管理Win 2000 Server环境中的WinXP(组图)

　　简介

　　在 Windows 2000 Server 环境中部署运行 Windows XP 操作系统的客户端，为管理员提供了新的选项、策略设置和功能，来管理组织中的台式机。

　　本文面向已经部署或正在计划部署 Active Directory 服务的组织，有助于管理员对运行 Windows XP(Windows 2000 Professional 的后续产品)的计算机的策略设置进行管理。Windows XP 的许多新功能——比如:远程协助、Windows Media Player 和错误报告——自身都带有组策略设置，管理员可以利用这些设置，对网络中的用户和计算机进行配置自定义和标准化。

　　组策略定义了管理员所需管理的用户桌面环境的各种组件，比如:用户可用的程序、用户桌面上的程序以及“开始”菜单中的选项。

　　策略管理是 IntelliMirror 管理技术集的一部分。该技术集最初是在 Windows 2000 操作系统中引入的。IntelliMirror 使用户数据、软件和设置在整个分布式计算环境中，都一直跟随着用户(无论他们是处于联机还是脱机状态)。IntelliMirror 共有三个核心功能:用户数据管理、用户设置管理以及软件安装和维护。可以单独或结合使用上述功能。

　　IntelliMirror 策略管理带来了两个重要的优点:

　　降低了管理桌面环境所需的总拥有成本。由于可以部署和管理自定义的桌面配置，因此组织可以花更少的资金来对用户提供个人支持。用户获得了完成个人工作所需的灵活性，而不必花时间亲自配置自己的系统。

　　提高了应用新功能的用户的生产力。由于不管在何处登录，用户的应用程序、数据和设置都对他们可用，因此他们可以实现更高的生产力。而且，可以远程安装和升级应用程序。

　　可以把运行 Windows XP 的客户端直接加入 Active Directory，并处理目前应用于运行 Windows 2000 的台式机的所有相同的策略。任何运行 Windows 2000 的客户端都将忽略仅应用到 Windows XP 的新的策略设置。通过直接包含在组策略管理单元新的用户界面中说明文字，可以更轻松地验证每项设置的操作系统要求及功能——管理员不必搜索文档来确定相关的策略。

　　本文阐述了:

　　Windows XP 中的策略设置提供了哪些新功能。

　　Windows XP 中的登录优化。

　　运用 Windows XP 管理客户端计算机。

　　通过策略结果集 (RSoP) 验证策略。

　　Windows XP 中的策略设置提供了哪些新功能

　　Windows XP 包含经改进的策略设置管理，使管理员可以对功能进行优化和管理，或者关闭不想用的功能。管理员可以从 Windows 2000 Server Active Directory，部署 Windows XP 中的任何策略设置。

　　Windows XP 支持所有 Windows 2000 策略

　　Windows XP 完全支持 Windows 2000 所带有的 421 个策略设置，而且在某些情况下，还对有关设置进行了改进。例如，改进了外壳设置，以对有关项目(如“开始”菜单)提供更好的控制。

　　Windows XP 中新的策略设置

　　借助 Windows XP 的 212 个新的策略设置，组织可以按照自己的意愿来标准化新功能，比如:远程协助、Windows Media Player 和“开始”菜单。如果愿意的话，管理员可以将桌面设置为使用 Windows 2000 的典型用户界面。本文附带了一份列有 Windows 2000 和 Windows XP 的所有策略的电子表格。有关详细信息，请访问 Windows XP 网站，具体地址为:http://go.microsoft.com/fwlink/?LinkId=22031.

　　运行 Windows 2000 的计算机忽略了 Windows XP 的策略设置

　　Windows XP 中新的策略设置仅适用于运行 Windows XP 的计算机，但会被所有运行 Windows 2000 的计算机所忽略。另外，运行 Windows 2000 的计算机不会受到 Windows XP 所附带的任何新策略的负面影响。在 Windows XP 中查看策略设置时，每个策略设置的具体要求都显示在说明文字的开头部分，如下方“图 1”的中间一栏所示。

　　图 1:使用Windows XP 中的组策略管理单元

　　用于管理策略的新用户界面

　　组策略管理单元利用了 Windows XP 的 Web 视图功能，让管理员可以更轻松地访问和验证策略设置。所上方“图 1”所示，管理员可以定位所要的策略，查看有关功能及所支持的环境(比如:仅 Windows XP 或 Windows 2000)的说明文字。

　　集成的联机帮助

　　借助可搜索的、集成的帮助文件，用户可以更轻松地了解和跟踪策略设置。除了管理单元直接附带的说明文字外，用户还可以通过按键盘上的 F1 键，获得有关具体领域的“帮助”信息。譬如，如果在组策略管理单元中选中了“管理模板”节点，并按“F1”键，就可以直接转到有关“管理模板”的帮助部分，从而可以查找具体的 HTML 帮助文件，比如下方“图 2”所示的 system.adm 文件。

　　图 2:在 Windows XP 中查看集成的联机帮助

　　Windows XP 中的登录优化

　　在默认情况下，Windows XP 在启动和登录时，不会等待网络完成初始化。任何现有的用户在登录时，都使用了缓存凭据，从而实现了更短的登录时间。由于计算机不会等待网络完全启动，因此一旦网络可用，就将在后台(异步地)应用组策略。下方“表 1”对比了 Windows 2000 和 Windows XP Professional 处理策略的具体方式。

　　表 1. Windows 2000 和 Windows XP 中的策略处理

　　启动时间指用户从开机到看到 Ctrl-Alt-Delete 屏幕之间的这段时间。而登录时间指从启动后到用户可以在计算机上开始展开工作之间的这段时间。

　　与 Windows 2000 中的同步处理相比，Windows XP Pro 中的异步处理实现了更快速的启动和登录。Windows 2000 要求用户等待所有策略应用之后，才能启动计算机会话。不过，在 Windows XP Pro 中，当用户首次登录计算机时，仍会处理所有组策略设置。

　　更改某些组策略设置需要重复登录三次才能生效

　　因为后台刷新是 Windows XP 的默认行为，所以有些策略扩展(比如:软件安装和文件夹重定向)可以需要多达三次的登录，才会成功应用所作的更改。

　　存在这种情况是因为无法在异步或后台应用策略的期间，应用软件安装和文件夹重定向。只有在同步处理时，才能应用这些扩展。

　　这里有一个示例情境显示了策略的应用方式:

　　1.管理员向用户 A 部署了一个软件包。

　　2.用户 A 快速登录后，系统在后台(异步地)应用了策略。

　　3.由于策略应用是异步的，因此这时无法安装预定要安装的软件。相反，该计算机被打上了标记，指示需要安装该软件。

　　4.用户下次登录时，计算机会以同步的方式登录用户，从而允许安装该软件包。(这与 Windows 2000 完全相同)。因此，这里需要多登录一次才能安装软件。

　　对于高级文件夹重定向，由于策略是根据安全组成员身份来评估的，因此需要三次登录:第一次登录用于更新缓存的用户对象(及安全组成员身份)，第二次登录是让策略检测安全组成员身份中所作的更改，并要求执行前台策略应用，而第三次登录则是在前台实际应用文件夹重定向策略。

　　更改某些用户对象属性可能需要重复登录两次才能生效

　　启用了快速登录优化后，将缓存所有用户登录。用户登录信息会在登录后进行更新，这就使得只有当第二次登录时，才会检测到对用户对象属性(比如:添加漫游配置文件路径、主目录或用户对象登录脚本)所作的更改。在第二次登录时，系统会检测到用户拥有一个漫游用户配置文件、HOMEDIR 或用户对象登录脚本，并对该用户禁用快速登录优化。(不过，用户计算机仍会执行快速启动。)

　　恢复 Windows 2000 登录处理

　　某些管理员可能想确保通过单次登录或启动计算机，就能应用文件夹重定向、软件安装或漫游用户配置文件设置，即 Windows 2000 的默认状态。为了对 Windows XP 实现该操作，管理员需要启用“计算机启动和登录时总是等待网络”设置(位于组策略管理单元的 Computer Configuration\Administrative Templates\System\Logon 下)。

　　通过 Windows XP 管理模板文件管理客户端计算机

　　管理员指定的组策略设置包含在组策略对象 (GPO) 内，而组策略对象反过来又与所选定的 Active Directory 对象(站点、域或组织单位)相关联。组策略不仅应用于用户和客户端计算机，而且也应用于成员服务器、域控制器以及处在管理范围内的任何基于 Windows 2000 或 Windows XP 的其它计算机。为了对特定的一组用户创建具体的桌面配置，管理员需使用组策略管理单元(也称为“组策略编辑器”)。

　　为了管理 Windows XP 客户端，管理员需要一台运行 Windows XP 的计算机，并带有已更新的管理模板文件 (.adm)。这些文件为组策略管理单元控制台树中的管理模板文件夹下的条目，提供策略信息，如下方“图 3”所示。

　　Windows XP 包含以下经过更新的管理模板文件:

　　System.adm: 用于核心设置。

　　Wmplayer.adm:用于 Windows Media 设置。

　　Conf.adm:用于 NetMeeting 会议软件。

　　Inetres.adm:用于 Internet Explorer。

　　图 3: 在 Windows XP 中查看管理模板策略

　　升级到最新的管理模板文件

　　若有比 GPO 中的 .adm 文件更新的文件，计算机将自动用较新的 .adm 文件来更新 GPO。为了实现这一点，用户需要在 INF 目录中拥有最新的 .adm 文件。

　　升级 .adm 文件:

　　1.在 Windows XP 计算机上，定位所要的 .adm 文件。(这些文件位于 Windows/INF 目录中。)

　　2.将 system.adm 及任何其它的 .adm 文件到复制到一个文件共享中。

　　3.到一台基于 Windows 2000 的计算机上，在组策略管理单元中打开一个 GPO。

　　4.右键单击“管理模板”，并选择“添加/删除模板”，如下方“图 4”所示。

　　图 4:添加/删除模板

　　5.弹出“添加/删除模板”对话框后，删除基于 Windows 2000 的 .adm 文件，并添加基于 Windows XP 的 .adm 文件。

　　6.对每个 GPO 重复执行上述步骤。

　　最佳操作方法

　　在混合环境中，使用 Windows XP .adm 文件管理 GPO。

　　尽量对 Windows XP 和 Windows 2000 应用相同的策略设置，以便使漫游用户获得一致的体验。

　　在部署之前，测试各种设置的互操作性。

　　仅在使用 GPO 的客户端计算机上，配置策略设置。不要通过其它方法创建这些注册表值。

　　通过策略结果集 (RSoP) 验证策略

　　借助策略结果集 (RSoP)，管理员可以评估并预测对于特定的计算机或用户以及一组计算机或一组用户，策略的工作方式有何不同。当在多个级别(比如:站点、域、域控制器和组织单位)上应用策略时，结果可能会出现冲突。若设置了存在冲突的策略，则很难进行跟踪并加以更改。RSoP 可帮助管理员确定所要应用的最终的策略集，并跟踪策略优先级，从而使疑难解答变得更加容易。

　　RSoP 如何运作

　　RSoP 是一种查询引擎，可轮询现有的策略，然后报告查询的结果。它会按照站点、域、域控制器和组织单位 (OU)，来轮询现有的策略。RSoP 从 CIMOM 数据库(通常称为“WMI”) 收集有关信息。

　　除了检查组策略设置的策略外，RSoP 还会检查任何与特定的用户或计算机相关联的应用程序的软件安装，并报告有关查询的结果。RSoP 会详细汇报管理员所配置的策略设置。具体包括管理模板、文件夹重定向、Internet Explorer 维护、安全性以及脚本。

　　策略结果集工具

　　Windows XP 让用户可以更轻松地验证在特定的计算机上应用了哪些策略。管理员可使用几种工具，对用户和计算机运行 RSoP:

　　RSoP 管理单元。

　　GPResult 命令行工具。

　　帮助和支持中心的 RSoP 报告工具。

　　使用 RSoP 管理单元

　　RSoP 管理单元允许用户对给定的用户或计算机，验证有效的策略。RSoP 完全支持远程操作，管理员可以指示该管理单元，检查域上任何计算机或用户的策略。

　　运行 RSoP 管理单元

　　1.作为管理员登录到使用 Windows XP 的域。

　　2.依次单击“开始”和“运行”，并键入“MMC”。将弹出微软管理控制台。

　　3.在“文件”菜单上，单击“添加/删除管理单元”。弹出“添加/删除管理单元”对话框后，单击“添加”。

　　4.在“可用的独立管理单元”对话框中，选择“策略结果集”，并单击“添加”。

　　5.弹出 RSoP 向导的欢迎页面后，单击“下一步”。出现“模式选择”页面后，单击“下一步”。

　　6.当出现“计算机选择”页面时，可以浏览到所要显示其设置的计算机。否则，向导将检查运行 RSoP 的计算机。单击“下一步”。

　　7.当出现“用户选择”页面时，可以选择所要查看其策略设置的用户。(在本例中，管理员选择了用户 Cynthia，如下方“图 5”所示。)单击“下一步”。

　　图 5:在 RSoP 向导中选择一个目标用户

　　8.出现“选择摘要”页面后，单击“下一步”。这时，向导会显示完成页面。单击“完成”。关闭“添加独立的管理单元”对话框。

　　9.在“添加/删除管理单元”对话框中，单击“确定”。RSoP 结果会显示在控制台中，如下方“图 6”所示。

　　图 6:RSoP 结果

　　可以在左侧窗格中扩展策略树，并定位任何已对目标用户生效的策略。在本例中，RSoP 显示用户 Cynthia 受通过 GPO Kiosklockdown 启用的各种策略的约束。

　　图 7:在 RSoP 结果中查看已启用的策略

　　使用 Group Policy Results Tool (GPResult.exe) 命令行工具

　　这是一种命令行工具，用于在要测试组策略的计算机上运行。因为可以对任何计算机或用户应用重叠的策略级别，所以组策略会在登录时，生成一个策略的结果集。Gpresult 可显示在登录时，对计算机上的用户执行的策略的结果集。

　　在本地计算机上，运行 GPResult:

　　1.依次单击“开始”和“运行”，然后输入“cmd”，打开命令窗口。

　　2.键入“gpresult”，将输出重定向到一个文本文件，如下方“图 8”所示:

　　图 8:将 GPResult 数据定向到文本文件

　　3.输入“notepad gp.txt”，打开该文件。将显示相关的结果，如下方“图 9”所示。

　　图 9:通过 GPResult 验证策略

　　帮助和支持中心的 RSoP 报告工具

　　虽然对管理员来说用途有限，但普通用户可以在自己的计算机上，运行帮助和支持中心的 RSoP 报告工具，来验证策略设置。该工具提供了有关计算机上运行的大多数有效策略的直观易懂的报告。

　　打开组策略帮助和支持中心的 RSoP 工具:

　　1.单击“开始”，再单击“帮助和支持中心”。

　　2.在“选择一个任务”下方，选择“使用工具查看您的计算机信息并分析问题”。

　　3.单击“高级系统信息”，然后单击“查看应用的组策略设置”。

　　注意:还可以通过在浏览器中输入以下 URL 地址，生成该报告:hcp://system/sysinfo/RSoP.htm#

　　当收集完系统信息后，RSoP 结果将出现在屏幕上。可以打印或保存该报告，也可以将其发送给管理员。在本例中，报告最先显示的几个条目如下方“图 10”所示。

　　图 10:在帮助和支持中心里查看 RSoP 报告

　　部署自定义的 RSoP 工具

　　有关 RSoP 的详细信息(包括有关开发 RSoP 工具的文档)，请参阅Microsoft Platform SDK :http://www.microsoft.com/msdownload/platformsdk/sdkupdate/.

　　总结

　　本文面向已经部署或计划部署 Active Directory 服务的组织，分别阐述了以下几方面的内容:

　　Windows XP 中的策略设置提供了哪些新功能。除了支持 Windows 2000 的 421 个策略外，Windows XP 还附带了 200 多个新的策略。所有 Windows XP 策略都不会损害 Windows 2000 计算机，仅会被忽略。

　　Windows XP 中的登录优化。Windows XP 支持快速登录，缩短了登录时的延迟时间。软件安装或文件夹重定向等一些策略需要多次登录，才能生效。

　　通过 Windows XP 管理客户端计算机。管理员可使用 Windows XP 中最新的管理模板文件，管理 Windows 2000 Server Active Directory 中的策略设置。包含每个策略的说明文字和操作系统要求的新用户界面，使得策略管理变得更加简单。针对策略设置的新的帮助文件，允许用户根据关键词来搜索特定的策略。

　　策略结果集 (RSoP)。用户和管理员验证哪些策略对给定的用户和特定的计算机有效。一些新工具可使管理员对域中的任何计算机或用户有效的策略设置。用户可通过直观易懂的报告(可从帮助和支持中心访问)，验证本地计算机上的策略设置。