|
作为微软集中管理解决方案的组策略今年将庆祝它的周岁生日在管理上让人感到惊奇的是微软并没有因为这个方案增加额外的成本我仍然对组策略在当今的IT界没有得到足够的使用而感到诧异它在同Windows Server一起发布后通过年的研讨会会议讲座书籍以及培训而变得很显然 在Windows Server 的功能集合里面添加了新的组策略选项(GPPs)在这样一篇文章中可能不必解释GPPs是什么以及它们是如何工作的重要的是这些可选的(如果您想要这样的话)的配置项目是如何实际地帮助Windows域解决问题的 考虑到这一点让我们来看看那五个必须实现的组策略选项一旦您明白了它们能做什么您一定会发现它们非常适合您的环境 因特网设置 第一个设置可能是到目前为止最痛苦的一个集中设置基于其原始的界面以及完全的成功需要客户能实际保持您想要的设置通过传统的组策略对Internet Explorer(IE)的内部设置进行配置历来就是一个噩梦 早先Internet Explorer维护控制台的问题围绕于传统的组策略本身的局限性使用该工具配置IE设置可以让您从一个样机(即正在运行控制台的机器)导入客户设置 ——真的没有其它东西了这种错综复杂的接口往往强迫管理员在仅仅试图去查看什么设置被配置时无意地进行了更改 通过基于您想要配置的版本对实际的IE属性屏幕的操作会让对组策略选项(GPPs)的配置设置变得更符合逻辑此外GPPs可以在保持一些选项为必须的同时让一些设置为可选它们也有精确和易于使用的定位能力以确保您将正确的设置发送到合适的计算机 驱动映射 在一个没有对组策略选项提供支持的环境里之所以保留登录脚本其最大的原因是对驱动映射的需要用户习惯于将H:作为主驱动S:作为共享驱动(或其它任何您记住的名字)当他们更换计算机时需要对驱动器名进行重新设置这让他们很沮丧 使用用户配置下的驱动映射GPP可以确保目标驱动器是基于它们是谁而不是它们在哪儿映射到用户集合这对传统的需要手写并针对特定机器的登录脚本来说是一个大大的改进 进一步讲组策略选项不仅能创建并管理驱动映射而且当您完成工作或者需要进行更改时也可以对其进行移除使用GPPs您可以简单地通过修改驱动映射下的资源来对其进行重配置由于组策略处理延迟时间很少您的用户会拥有一个几乎无缝地访问所需数据的解决方案 服务 在计算机配置下还会发现另外一个用于管理服务以及它们的启动模式账户和恢复选项的增强工具 如果您有一个需要对服务进行特别管理的安全政策或者兼容规则(在如今谁不需要这么做了?)您会发现服务GPP显着地提高了服务被正确配置的保证度这个组策略选项有一个属性对话框呈现域内的知名服务为配置提供区域并像所有的CPPs一样可以被设为可选或者所需的配置以及非常具体的任务 此外如果您的审核员需要看到您正确配置服务的可核实的证据能用您的CPP设置本身来确切地看到什么服务被锁定了其原因是什么 本地用户和组 几乎每一个IT环境中都有将客户的用户和组转移到本地用户和组控制台以进行管理的需求虽然每一个用户或者他/她的计算机都有个别的需求几乎每一个环境都想将一个本地IT全局组添加到管理员组以确保非域的技术人员可以对桌面进行访问 用其它工具做这个历来就很难许多环境都纠结于在外出时将组任务添加到他们的参考图像或者构建过程这一问题一些更聪明的解决方案利用脚本来解决问题 通过使用标记到本地计算机的组策略选项您现在可以利用一个简单的屏幕就将正确的用户和组添加到目标计算机有了这个控制台您只需要添加组名和它们的成员然后为GPP设置合适的计算机权限接着您就可以获取所需的访问并可以在长期内确保其存在 数据源 最后是为数据库驱动应用程序配置数据源这个多年的顽疾即使是最坚毅的IT专业人员在回忆如何正确的设置计算机的ODBC连接时有时也会抓头皮但当您可以一次创建一个ODBC连接并提供给需要它的用户时对于单独配置又何必担忧了? 这种配置可能伴随着用户配置下的数据源使用这个控制台可能可以创建ODBC连接它的DSN驱动属性和登录信息并立马标记到使用的应用程序需要连接的人如果您的风格是操作大片的机器也可将数据源作为计算机配置下的一个组策略选项 这五个GPPs可以作为您的开始但它们仅仅是组策略选项可以提供的集中配置的一小部分……没有什么代价!在我的下一篇文章中我将更进一步地介绍任务GPP的细节您会发现使用这个控制台(以及一点指令)的计划活动是非常容易的 |
