五個須立刻實施的Windows組策略選項

作為微軟集中管理解決方案的組策略今年將慶祝它的10周歲生日。在管理上讓人感到驚奇的是，微軟並沒有因為這個方案增加額外的成本，我仍然對組策略在當今的IT界沒有得到足夠的使用而感到詫異。它在同Windows 2000 Server一起發布後，通過10年的研討會、會議講座、書籍以及培訓而變得很顯然。
　　在Windows Server 2008的功能集合裡面添加了新的組策略選項（GPPs）。在這樣一篇文章中，可能不必解釋GPPs是什麼以及它們是如何工作的，重要的是這些“可選的（如果您想要這樣的話）”的設定項目是如何實際地協助Windows域解決問題的。
　　考慮到這一點，讓我們來看看那五個必須實現的組策略選項。一旦您明白了它們能做什麼，您一定會發現，它們非常適合您的環境。
　　 網際網路設定
　　第一個設定可能是到目前為止最痛苦的一個集中設定。基於其原始的介面以及完全的成功需要客戶能實際保持您想要的設定，通過傳統的組策略對Internet Explorer（IE）的內部設定進行配置曆來就是一個噩夢。
　　早先Internet Explorer維護控制台的問題圍繞於傳統的組策略本身的局限性。使用該工具配置IE設定可以讓您從一個樣機（即正在運行控制台的機器）匯入客戶設定 ——真的沒有其它東西了。這種錯綜複雜的介面往往強迫管理員在僅僅試圖去查看什麼設定被配置時，無意地進行了更改。
　　通過基於您想要配置的版本，對實際的IE屬性螢幕的操作，會讓對組策略選項（GPPs）的配置設定變得更符合邏輯。此外，GPPs可以在保持一些選項為必須的同時，讓一些設定為可選。它們也有精確和便於使用的定位能力，以確保您將正確的設定發送到合適的電腦。
　　 驅動映射
　　在一個沒有對組策略選項提供支援的環境裡，之所以保留登入指令檔，其最大的原因是對驅動映射的需要。使用者習慣於將H:作為主驅動，S:作為共用驅動（或其它任何您記住的名字）。當他們更換電腦時，需要對磁碟機名進行重新設定，這讓他們很沮喪。
　　使用使用者配置下的驅動映射GPP，可以確保目的地磁碟機是基於它們是誰而不是它們在哪兒映射到使用者集合。這對傳統的需要手寫並針對特定機器的登入指令檔來說是一個大大的改進。
　　進一步講，組策略選項不僅能建立並管理驅動映射，而且當您完成工作或者需要變更時，也可以對其進行移除。使用GPPs，您可以簡單地通過修改驅動映射下的資源，來對其進行重配置。由於組策略處理延遲時間很少，您的使用者會擁有一個幾乎無縫地訪問所需資料的解決方案。
　 　服務
　　在電腦配置下還會發現另外一個用於管理服務，以及它們的啟動模式、賬戶和復原選項的增強工具。
　　如果您有一個需要對服務進行特別管理的安全政策或者相容規則（在如今誰不需要這麼做了？），您會探索服務GPP顯著地提高了服務被正確配置的保證度。這個組策略選項有一個屬性對話方塊，呈現域內的知名服務，為配置提供地區，並像所有的CPPs一樣可以被設為可選或者所需的配置以及非常具體的任務。
　　此外，如果您的審核員需要看到您正確佈建服務的可核實的證據，能用您的CPP設定本身來確切地看到：什麼服務被鎖定了、其原因是什麼。
　　 本機使用者和組
　　幾乎每一個IT環境中，都有將客戶的使用者和組轉移到本機使用者和組控制台以進行管理的需求。雖然每一個使用者或者他/她的電腦都有個別的需求，幾乎每一個環境都想將一個“本地IT”全域群組添加到Administrator 群組，以確保非域的技術人員可以對案頭進行訪問。
　　用其它工具做這個曆來就很難。許多環境都糾結於，在外出時，將組任務添加到他們的參考映像或者構建過程這一問題。一些更聰明的解決方案利用指令碼來解決問題。
　　通過使用標記到本機電腦的組策略選項，您現在可以利用一個簡單的螢幕就將正確的使用者和組添加到目標電腦。有了這個控制台，您只需要添加組名和它們的成員，然後為GPP設定合適的電腦許可權。接著，您就可以擷取所需的訪問，並可以在長期內確保其存在。
　　 資料來源
　　最後是為資料庫驅動應用程式配置資料來源這個多年的頑疾。即使是最堅毅的IT專業人員在回憶如何正確的設定電腦的ODBC串連時，有時也會抓頭皮。但當您可以一次建立一個ODBC串連並提供給需要它的使用者時，對於單獨配置又何必擔憂了？
　　這種配置可能伴隨著使用者配置下的資料來源。使用這個控制台，可能可以建立ODBC串連、它的DSN、驅動、屬性和登入資訊，並立馬標記到使用的應用程式需要串連的人。如果您的風格是操作大片的機器，也可將資料來源作為電腦配置下的一個組策略選項。
　　這五個GPPs可以作為您的開始，但它們僅僅是組策略選項可以提供的集中配置的一小部分……沒有什麼代價！在我的下一篇文章中，我將更進一步地介紹任務GPP的細節。您會發現使用這個控制台（以及一點指令）的計劃活動是非常容易的。