高级组策略处理

在上一章中，我们讨论了基本的组策略处理原理以及一些特殊情况，包括通过慢速链接发生的情况以及如何使用组策略管理组策略引擎本身。

在本章中，我们将探讨一些高级方案。以下是它们的简要说明以及我认为您会感兴趣的原因：

■ ■   如果你曾经想以决定何时和何处特定的组策略应该应用，你会喜欢WMI过滤器。

■ ■   如果你想过给自己，“我怎么获得用户端设置影响到我的电脑？”你要爱环回策略处理。

■ ■   而且，如果你有多个活动目录与跨森林信任捆绑在一起，你会想了解组策略如何以及何时应用。

我们还将探索PolicyPak内部部署套件的一个组件PolicyPak Admin Templates Manager，该组件可帮助处理上一个列表中的前两个项目符号。

因此，让我们开始进行高级组策略处理。

优化何时何地  应用组策略

假装一秒钟，只有一组级别的组策略。

这将很难将您的用户和计算机划分为多个专区，然后将GPO链接到它们。

但是即使那样，使用站点，域和OU这三个级别，有时要获得特定的GPO或GPO中的特定内容来打击某个级别的用户和计算机，仍然是一个真正的挑战。

在以下各节中，我们将探索两种方法来微调何时应用组策略对象（本身）和组策略对象的内容。

使用WMI筛选器筛选  组策略对象的作用域（本身）

在第2章“使用GPMC和通过PowerShell管理组策略”中，我提到了一种称为WMI筛选器的功能。我喜欢将WMI过滤器视为对组策略的有效补充。使用WMI筛选器，您可以深入研究客户端计算机的灵魂，如果满足某些条件，则可以将GPO应用于它们。

尽管WMI筛选器可与任何GPO一起使用，但我发现人们通常将它们用于通过组策略软件安装（GPSI）定位软件或用于您希望OU中的机器根据其操作系统获得不同设置的情况。

我将在第11章“托管桌面”中探讨“组策略软件安装”，

第2部分：通过组策略进行软件部署。”

WMI是一种巨大的动物，您可以选择过滤数千个项目。通常要筛选的热门项目包括：

■ ■  的内存量

■ ■  可用硬盘空间

■■  CPU速度

■■  修补程序

■ ■  操作系统版本或Service Pack级别

但是您不必在此停下来。您可以获取创造性的GPO并对其进行筛选（如果它们存在并且受硬件支持），例如以下内容：

■■  BIOS修订版

■ ■   光盘驱动器制造商

■ ■  无论UPS连接

■ ■  风扇的旋转速度

您可以查询，然后过滤的潜在深奥标准一直存在。

一个愚蠢的例子可能是“当机器至少有2GB内存时防止访问控制面板。”

好吧，也许这太愚蠢了。您可能不会在乎显示或隐藏桌面设置，具体取决于计算机拥有的RAM数量。但是您可以在这里接受这些想法，并在实际示例中使用它们。您可以执行以下操作：

■ ■    “只有部署DogFoodMaker专业时，我已经安装了这些修补程序。”

■ ■   “在星期二在登录时，启动Excel的。”

■ ■   “只有当我至少有3GB的内存和可用硬盘空间10GB安装操作系统的服务包。”

这样的想法是，如果WMI筛选器的评估结果为True，则组策略将应用GPO的全部内容，或者如果WMI筛选器的评估结果为False，则组策略将不应用GPO的内容。同样，如果“今天” GPO的评估结果为“真”，而“明天” GPO的评估结果为“假”，则GPO将“超出范围”，然后不适用。

为了进行尝试，我们首先需要一些工具来帮助我们确定要查询的WMI。然后，我们将利用所学的知识，并使用GPMC创建一个WMI筛选器，以专门针对所需的系统。

不幸的是，我没有空间探讨WMI在分子水平上的工作方式或原因。如果您不熟悉WMI，请查看以下内容：

http://msdn.microsoft.com/zh-CN/library/aa394582%28VS.85%29.aspx

简称为http://tinyurl.com/yjpojph 。

因此，让我们从创建WMI筛选器并将其与GPO关联开始。让我们举一个例子，说：“当计算机上的RAM超过500MB时，关闭更改Windows声音的功能。”是的，这是一个很愚蠢的例子。关键是，您将能够创建第一个WMI筛选器并将其与GPO关联，并可以正常运行（前提是您的计算机具有超过500MB的RAM）。

WMI交易的工具（和参考）

要掌握WMI，您必须做很多工作。您必须阅读并掌握WMI文档的四个关键部分，其中三个可以在以下网站找到：

http://msdn2.microsoft.com/en-us/library/ms974579.aspx

（缩短到http://tinyurl.com/yt4jlu ）http://msdn2.microsoft.com/en-us/library/ms974592.aspx

（缩短到http://tinyurl.com/2bjfkb ）http://msdn2.microsoft.com/en-us/library/ms974547.aspx

（简称为http://tinyurl.com/2f464f ）

或当您使用Google时，浏览必胜的点击数，我的意思是Bing，“ WMI和

电源外壳。”

什么？你没有时间吗？没问题！您可以做第二件好事，然后“摆弄”它。我们将使用两个工具来创建WMI查询，然后将它们手动弯曲为WMI筛选器。

■ ■    WMI CIM Studio是可以在微软的网站上。最后检查，它是在http://www.microsoft.com/en-us/download/details.aspx?id=24045 。■ 。■  Scriptomatic的版本2的工具，我们将使用这些例子，可以在http://www.microsoft.com/zh-cn/download/details.aspx?id=12028

Scriptomatic工具由我的好朋友“ Microsoft脚本专家”制作。该工具“枚举”所有可用的WMI类，然后使它们可用于easybreezy查询。请注意，您将必须以管理员身份运行该工具，否则会出错。

在图4.1中，选择了WMI类Win32_ComputerSystem 。然后，从脚本上来讲，该类中的所有WMI属性都在准备运行的VBScript应用程序中公开。您可以在图4.1中看到它们，包括Systemtype ，Status ， WakeUpType 和我们想要的一个类型，即TotalPhysicalMemory ，它表示此计算机中的RAM数量。只需单击“运行”按钮，您就可以在此计算机上看到带有值的输出。

图4.1 来自“ Microsoft脚本专家”的Scriptomatic版本2工具

 

当您单击运行时，脚本将在一个小的提示窗口中运行。您可以看到

此框的TotalPhysicalMemory 为932761600，约为1GB。但是，这里的要点是，该字段的单位度量和预期输出以字节数表示。当我们将此WMI查询弯曲到WMI筛选器时，我们将利用这些信息。

WMI筛选器语法

您几乎可以启动所有将使用Scriptomatic创建的WMI筛选器。剩下的就是在输出周围包裹一些逻辑。我们将创建的所有WMI过滤器都具有以下语法：

SELECT *来自Win32_ {something}

{variable} [=，>，<，is，etc] {期望的结果}

现在，我们要做的就是插入我们已经知道的东西，然后就可以开始运行了。

在此示例中，我们使用Win32_ComputerSystem 。我们知道我们想要的变量是TotalPhysicalMemory，并且我们希望它大于1.5GB，我们可以表示为>1500000000。是的，我知道1500000000并不完全是1.5GB的内存（实际上更少），但距离足够近 无论如何，将它们放在一起，您将获得：

从Win32_ComputerSystem那里选择* WHERE TotalPhysicalMemory> 1500000000

非常简单。但是，并非所有WMI筛选器都这么简单。一些WMI变量条目具有文本，并且必须使用引号将字符串内的内容与WMI变量内的内容专门匹配。

创建和使用WMI筛选器

一旦WMI过滤器使用正确的语法，就可以将其注入到现有的GPO中。

同样，这可以是您想要的任何GPO。

创建和使用WMI筛选器分为两个步骤：创建然后使用。（我想这很有道理。）

WMI筛选器创建

在筛选特定的GPO之前，需要在Active Directory中定义筛选器。按着这些次序：

1. 启动GPMC，然后深入到“林” ➢ “域” ➢“ WMI筛选器”节点。

2. 右键单击“ WMI筛选器”节点，然后选择“新建”，如图4.2所示。

图4.2 右键单击“ WMI筛选器”节点以创建WMI筛选器。

 

3. 完成后，将显示“ New WMI Filter”对话框，  如图4.3所示。您将能够输入新过滤器的名称和描述。然后，单击“添加”按钮，然后在“查询”字段中，输入之前的完整SELECT语句  。

图4.3 当计算机具有1.5GB或更多的内存时，此WMI查询将评估为True。

 

4. 完成后，单击“保存”。现在，您的查询已保存到Active Directory中，并且可以用于任何所需的GPO。接下来，我们将探讨如何做。

WMI筛选器用法

使用GPMC，可以轻松找到所需的GPO，然后利用刚刚创建的WMI筛选器。按着这些次序：

1. 找到您创建的“禁止更改声音” GPO（应该将其链接到域级别）。

2. 单击GPO的“范围”选项卡。

3. 在“ WMI筛选”部分中，选择刚创建的WMI筛选器，  如图4.4所示。

4. 在提示符下，确认您的选择。

现在，此GPO仅适用于具有1.5GB或更多RAM的计算机。

WMI性能影响

WMI筛选器可能很难创建，但是值得。您可以针对利用GPSI或任何其他组策略功能的GPO满足满足特定条件的目标计算机。

请记住，当WMI筛选器评估为True时，将处理组策略对象的全部内容，当WMI筛选器评估为False时，整个内容将评估为False。

图4.4 选择GPO（或GPO链接），然后选择WMI筛选器。

 

请记住，每次评估组策略处理时，WMI筛选器都会占用一定百分比的性能。通常，延迟约为几毫秒到一秒或两秒（有一个大例外，稍后会指出）。

因此，也就是说，在每次登录，启动时以及之后的每90分钟，由于WMI筛选器都会重新评估，因此您的性能会受到一些影响。因此，请注意不要将GPO链接到域级别，否则每台机器都会努力评估该WMI查询。

因此，在整个域上对GPO使用WMI筛选器的示例并不是一个好主意。我只是出于示例的目的这样做的，您应该尝试避免在现实世界中使用这种方法。

结果：在链接GPO和WMI查询时要小心。您可能会影响GPO处理性能。您肯定要先在实验室中测试WMI筛选器的性能指标，然后再在全公司范围内推广它们。

这里有个重要提示：避免使用Win32_Product 类，该类可以使您方便地验证计算机上是否安装了特定软件。如果这么方便，为什么要避免呢？测试表明，就性能而言，这太糟糕了。对Win32_Product 的查询平均大约需要11秒！因此，如果不需要，您不想增加11秒的处理时间。

请注意，Windows 7和更高版本的WMI性能相对于XP有所提高。我已经阅读过统计数据，它的速度提高了20％到50％，但是您的体验可能会有所不同。

返回第2章，以查看如何备份和还原WMI筛选器以及如何委派其创建和使用。

使用PolicyPak管理模板管理器筛选组策略对象内容的范围

作为一个12年的组策略MVP（本文写作时），有一个问题人们问我，一遍又一遍，就是“有什么办法来瞄准一些组策略对象内的项目，以一些基础的人根据条件？”

换句话说，仅使用一个组策略对象，您是否可以使该GPO中的某些内容击中某些用户（基于他们的身份和所从事的工作），而在同一GPO中的其他内容可以击中其他用户（基于他们是谁，他们在做什么）？

如果您正在使用组策略首选项，则简短的答案是肯定的。在下一章中，我将深入探讨组策略首选项的项目级定位（ILT）的概念。

但是对于组策略对象中的大多数设置（Microsoft提供的3000多个组策略管理模板设置），则无法做到这一点。因此，我要求我公司PolicyPak的开发人员进行构建，它称为PolicyPak Admin Templates Manager。

以下是PolicyPak管理模板管理器的一般概念：

■ ■   创建不同的“集合”（如文件夹）。

■ ■   集合可以有过滤器（真的，项目级目标）在他们身上，所以当条件为真，他们将只适用。

■ ■   里面的收藏，你把你的政策。

■ ■           集合内政策本身还可以有过滤器（真的，项目级别目标。）

因此，在图4.5中，您可以使用PolicyPak管理模板管理器查看特定的组策略对象，该对象包含两个集合（一个用于“当计算机是Windows 7时”，另一个用于“当计算机是Windows 10时”）。我只是认为这是一个很好的例子。您的条件可能几乎是您想要的任何东西，包括计算机名称匹配，IP范围以及许多其他可能性。

然后在每个文件夹中，放入要触发的“管理模板”策略设置（当“集合”的条件评估为“真”时）。因此，在图4.6中，“当计算机是Windows 10时”集合中，您可以看到我已添加了策略设置禁止访问注册表编辑工具，禁止访问命令提示符和自定义用户界面。

如果仔细观察图4.6，您会发现“项目级别定位”列中的“ 自定义用户界面”策略设置被设置为“是”。这意味着此特定策略设置将使用其自己的条件集触发。例如，也许我只希望顽皮的用户Fred获得一个自定义用户界面，但是所有其他获得此组策略对象的人将仅获得集合中的其他两个策略设置（当他们使用Windows 10时）。

 

图4.5 使用PolicyPak Admin Templates Manager创建集合，并在其上放置过滤器（项目级定位）。制定政策。

 

图4.6 指定哪个组策略管理模板策略设置应在集合中生效。

 

因此，很清楚，如果要指定组策略对象的全部内容何时生效（或不生效），则使用内置WMI筛选器就足够了，但是如果您使用PolicyPak Admin Templates Manager，则可以组策略管理模板设置生效（或不生效）时，可以在组策略对象内部灵活地定位。

要查看具有集合和项目级定位的PolicyPak管理模板管理器，请参阅以下页面上的视频：

http://www.policypak.com/products/admin-template-manager.html

组策略环回处理

如您所知，组策略范围的正常过程是本地计算机，站点，域，然后是每个嵌套的OU。但是有时候有必要偏离常规。例如，您可能希望所有用户（无论他们是谁）都能够走上并登录到特定计算机上并获得相同的“用户”节点设置。这在诸如图书馆，护理站和信息亭等公共计算环境以及制造和生产装配环境中非常方便。这对于远程桌面/终端服务器环境也是至关重要的，正如本章后面的“组策略环回-替换模式”部分中所讨论的。

如果您可以将所有需要OU相同设置的特殊计算机集中在一起，并强迫他们使用这些设置，会不会很热衷？这样，无论登录到那些计算机上的人，都将获得相同的Internet Explorer设置（例如特殊代理）和登录脚本或某些“控制面板”限制-仅适用于那些工作站。

有两种方法可以执行此操作：使用组策略回送处理（在Microsoft的框中）或使用PolicyPak（PolicyPak应用程序管理器和/或PolicyPak管理模板管理器）。

我们将探索两者。

查看正常的组策略处理

回想一下，有时计算机和用户可以分别归属于不同的OU。确实，来自域其他任何部分的任何用户（例如域管理员）都可以登录位于“ 人力资源计算机” OU 下的WIN10 。

当一个OU中包含的用户帐户登录到另一个OU中包含的计算机时，通常的行为是基于站点，域和OU层次结构处理计算机GPO，然后基于站点，域和域处理用户GPO。 OU层次结构。仅根据时间规则，这就是事实：计算机启动，处理其GPO，用户登录以及处理其GPO。

即使关闭了Windows XP（及更高版本）中的“快速启动”的默认设置，通常也是如此。

因此，如果域管理员要坐在人力资源计算机 OU 中的WIN10 计算机上，则正常的事件过程将是应用“默认”-“第一-站点-名称”中“计算机”节点中的策略设置，然后应用Corp.com。域，最后是人力资源计算机 OU。接下来，将应用链接到用户帐户的GPO中的策略设置。首先从Default-First-Site-Name出发，然后仅从Corp.com域出发（因为在我们的示例中，Administrator帐户不在任何OU下）。

启用组策略环回处理后，客户端计算机的规则将更改。

组策略环回模式有两种：合并和替换。在这两种方法中，计算机都被欺骗而忘记了它实际上是一台计算机。

它会临时戴上帽子，说“我是用户”，并像对待用户一样处理站点，域和组织单位GPO。古怪，对吗？让我们看一下用于回送处理的合并和替换模式。

对于我们的示例，我们将假装有一台名为WIN10B的计算机。这是一台新机器，仅用于这组示例。未在“准备使用本书”的第1章中列出。

组策略环回—合并模式

当计算机处于组策略环回合并模式时，GPO将在启动时（和后台刷新时）以常规方式处理：站点，域以及每个嵌套OU的计算机节点。然后，用户登录，并以正常方式应用针对该用户的策略设置：从站点，域，然后从每个嵌套的OU处理所有GPO。

但是，当计算机受组策略环回（合并模式）影响时，系统将确定计算机帐户所在的位置，并应用另一轮用户节点设置（所有导致该计算机的GPO中包含的设置）（是，用户节点设置）。这意味着，已登录的用户会受到两组不同的用户节点策略设置的打击。这是时间表：

■ ■       计算机启动，并得到相应的计算机节点的策略设置。

■ ■       在用户登录并获得相应的用户节点的策略设置。

■ ■   然后，计算机上的一顶帽子，上面写着，看跌期权“我是一个用户。”然后，所有用户节点策略设置应用到计算机。同样，发生这种情况是因为计算机戴着“我是用户”的帽子。

最终结果是，用户帐户中的用户设置与计算机（临时认为是用户）中的用户设置彼此相同；两者都比其他任何一个都重要，除非它们重叠。在这种情况下，计算机设置将照常获胜。

当您需要在用户配置文件中修改属性，但需要在每台计算机上进行修改时，组策略环回合并模式可以派上用场。

组策略环回-替换模式

当计算机处于组策略环回替换模式时，组策略在启动时（和后台刷新时）以常规方式处理：站点，域以及每个嵌套OU的计算机节点。然后，用户登录，而对于该用户而言，在该用户的整个食物链中，针对该用户的GPO将被完全忽略。取而代之的是，计算机戴上“我是用户”的帽子，系统确定计算机帐户所在的位置，但应用所有通向该计算机的GPO中包含的“用户”节点设置。因此，您需要更改电源平衡，以便所有用户都必须根据适合计算机的情况来注意用户设置。

组策略环回-替换模式还有另一个主要用途：远程桌面

服务（以前称为终端服务）。如果您有很多服务器，并且有许多用户登录到它们，则很可能希望每个登录到您的终端服务计算机的人都具有完全相同的设置，而不管他们是谁。建立这些设置的过程很简单：

1. 为终端服务（即远程桌面服务（RDS））计算机创建一个OU，并为其指定一个适当的名称，例如远程桌面服务 OU。

2. 设置“回送替换”模式以应用于该OU。

3. 将您的远程桌面服务服务器计算机对象塞入OU，然后重新启动RDS计算机。

现在，在远程桌面服务 OU 上设置的GPO中的任何用户策略设置，以及登录这些远程桌面服务器的每个用户都将获得完全相同的设置。

所有远程桌面服务器都对“环回-替换”模式响应良好。只需确保也将RDS（即终端服务）计算机对象塞入指定的OU，然后根据需要在这些计算机上手动配置策略设置。

作为管理员，您可能要登录到远程桌面  服务计算机，但不想与其他所有人使用相同的设置。要进行配置，只需使用第2章中介绍的技术，然后过滤包含对域管理员执行锁定的策略的GPO。

总的来说，组策略环回替换模式比合并模式更有用，并且在公共计算环境（例如实验室，信息亭，教室，培训机器，图书馆等）中也能很好地工作。

困惑？让我们生成一个示例来“混淆”您。

因此，让我们通过一个示例来巩固您对“替换”模式的理解。在此示例中，我们将执行各种步骤：

1. 创建一个名为“公共信息亭”的新OU。

2. 将Windows 10计算机移至公共信息亭 OU。再次，使用WIN10B  计算机（这些示例是新计算机）。

3. 为公共信息亭 OU创建一个新的GPO，该GPO执行以下两个功能：

      ■ ■     禁用控制面板，使用户不能得到它。

■ ■   执行组策略环回，替换模式处理，使所有用户被迫接受设置。也就是说，每个登录到公共信息亭 OU中的计算机的人都会得到杀死控制面板的命令。（因此，没有人将能够访问控制面板。）

 

回送-远程桌面服务的合并模式

在“组策略环回-替换模式”部分中，我建议使用环回-替换模式对于RDS或远程桌面服务（以前称为终端服务）非常有用。这样做的问题是，您确实确实将台式机和笔记本电脑的世界与RDS的世界“分开了”。不一定要那样。 稍加精明，您实际上就可以使用组策略环回-合并模式，并仅指定台式机和笔记本电脑世界与RDS世界之间的某些区别-具体来说，您想要在RDS世界中有所不同。 这是一个典型的例子和解决这个问题的方法。 假设您在所有普通工作站上都​​有非常漂亮的公司背景图片。这些图形通常是非常详细的大型图形文件。 这在台式机和笔记本电脑上是超级双面打印机：您很可能将图像存储在本地，并且显示那些详细图像完全没有问题。小菜一碟。 在RDS会话上，这是另一个故事。 通过慢速的WAN或3G连接，将不得不一遍又一遍地绘制背景，这会使用户每次登录时和使用系统时都变慢。当然，您可以根本不显示背景图像，但是随后他们看到的只是一个糟糕的黑色背景，看起来很糟糕。 因此，这是个好主意：为您的RDS会话创建一个单独的图像，该图像与您的常规公司背景图像相似，但尺寸较小且细节有所减少。 然后，当您的用户使用RDS时，您希望发生两件事：您还希望用户的“日常”策略在那里（也就是他们所有的正常东西）在那儿，但问题是您要确保他们放弃“复杂”背景表示“简单”（但类似）背景。两个系统之间的外观（几乎）将完全相同，并且它们可以维护其其他正常的组策略设置！ 因此，如果您要小心，可以使用“环回”合并，这样就无需维护一套完全独立的用户端策略设置：一个用于台式机和笔记本电脑，一个用于RDS世界。 相反，您已将所有用户设置应用到用户对象（正常情况下），然后只需要将特殊的优化用户端设置的增量应用到远程桌面服务服务器。

为此，您需要按照以下步骤操作：

1. 创建一个OU，例如 Remote Desktop Services，然后将您的Remote Desktop  Services计算机帐户移到该OU中。

2. 在该OU上创建一个新的GPO，并将其命名为“所有远程桌面服务  服务器”。

3. 向下钻取到新的GPO，进入“计算机配置” ➢“ 策略” ➢“ 管理模板” ➢“ 系统” ➢“ 组策略” ➢“ 用户组策略环回处理”模式，并指定它处于“合并”模式。

4. 向下钻取用户配置 ➢ 视窗 ➢ 桌面 ➢ 桌面。双击“桌面墙纸”策略设置，然后启用它并为“远程桌面服务”服务器指定新的桌面墙纸的路径。

现在，无论何时以任何用户身份登录到远程桌面服务，您都会获得不同的背景图像，但保留所有其他用户设置。

创建一个新的OU

要创建一个名为Public Kiosk的新OU ，请按照下列步骤操作：

1. 以域管理员身份登录到域控制器DC01或WIN10MANAGEMENT。

2. 选择开始 ➢所有程序 ➢管理工具，然后选择Active Directory用户和计算机。

3. 右键单击域名，然后选择“新建 ➢组织单位”。在“新建对象-新建组织单位”对话框中，输入 Public Kiosk作为名称。

您将在与人力资源相同级别上创建此新OU 。不要在“ 人力资源”下面创建这个新的OU 。

将客户转移到公共信息亭OU

在这种情况下，我们将另一台计算机（例如WIN10B）移到公共信息亭 OU中。按着这些次序：

1. 在“ Active Directory用户和计算机”中，右键单击域，然后选择“查找”以打开“查找用户，联系人和组”对话框。

2. 在查找下拉列表中，选择计算机。在“名称”字段中，键入 WIN10B（或其他计算机的名称）以查找相同名称的计算机帐户。找到它后，右键单击该帐户，然后选择“移动”。将帐户移动到公共信息亭 OU。

对要移至公共信息亭 OU的所有其他计算机重复这些步骤。

创建具有组策略环回的组策略对象-替换模式

我们希望所有登录WIN10B的用户都禁用“显示属性”对话框。

为此，我们需要在一个GPO中设置两个策略设置：禁止访问

控制面板 和用户组策略环回处理模式。使用GPMC，请按照下列步骤操作：

1. 右键单击“公共信息亭 OU”，然后选择“在此域中创建GPO，然后  在此处链接”。

2. 在“新建GPO”对话框中，将GPO命名为描述性名称，例如“无  控制面板-环回替换”。

3. 突出显示GPO，然后单击“编辑”以打开组策略管理编辑器。

4. 要隐藏“设置”选项卡，请深入到“用户配置” ➢“策略” ➢“管理模板” ➢“控制面板” ➢并双击“禁止访问控制面板”策略设置。将策略设置从“未配置”更改为“启用”，然后单击“确定”。

5. 要启用回送处理，请深入到“计算机配置” ➢“策略” ➢“管理模板” ➢“系统” ➢“组策略”，然后双击“配置用户组策略回送处理模式”策略设置。将设置从“未配置”更改为“启用”；从下拉框中选择“替换”，  如图4.7所示，然后单击“确定”。

6. 关闭组策略管理编辑器。

验证组策略环回-替换模式是否正常

您将需要登录WIN10B，但是您需要重新启动它，因为环回处理在重新启动之前似乎不会生效。由于我们在“替换”模式下使用“回送策略”处理，因此您可以选择已定义的任何用户-凡人，甚至是域管理员。

切换到“桌面”视图，右键单击“桌面”，然后选择“个性化”。请注意，没有人可以访问“个性化设置”（属于“控制面板”），如图4.8所示。

组策略环回-替换模式策略处理功能强大，但仅对专用计算机有用。此外，您需要谨慎使用它，因为回送处理对于客户端和服务器来说会占用更多的CPU资源，并且在出现问题时很难进行故障排除。

图4.7 选择所需的环回处理模式；在这种情况下，请更换。

 

图4.8 使用组策略环回-启用替换模式处理后，所有用户都将受到计算机设置的影响。

 

其他远程桌面（终端服务）提示

附带说明一下，有一些影响远程桌面服务服务器的策略设置。 ■■  要操作远程桌面服务的计算机设置，请深入到“计算机配置” ➢“策略” ➢“管理模板” ➢Windows组件 ➢“远程桌面服务”。 ■■  要操作终端服务客户端，请深入到“用户配置” ➢“策略” ➢“管理模板” ➢“ Windows组件” ➢“远程桌面服务”。 关于如何最好地使用这些策略设置的信息不在本书的范围之内。为此，这里有一堆推荐阅读：■ ■       Windows Server 2008终端服务资源工具包：HTTP：// TinyURL的。 com / 773x7ws ■■                   的Windows Server 2008 R2远程桌面服务资源工具包： HTTP：// TinyURL的。 com / blqm8pt 以下三篇文章均有助于使用组策略进行XenApp调整： www.xenappblog.com/2010/xenapp-6-tuning-group-policy-for-windows-2008-r2/ www.xenappblog.com/2009/terminal-server-xenapp-tuning-tips-group-policy/ http： //www.citrixtools.net/articles/article/terminal-server-xenapptuning -tips 我的好朋友卡尔·韦伯斯特和Alex Verboon经常在博客组策略和远程桌面在www.CarlWebster.com 的 d www.verboon.info ，重新 spectively。 关于终端服务的最后一个分手技巧是远程桌面服务。Microsoft有一个不错的较旧的文档，其中包含针对组策略的终端服务管理员的许多提示和技巧。该文档名为“为终端服务配置组策略的循序渐进指南”，可以在以下位置找到：http : //tinyurl.com/7snwgjn 。

没有环回的环回（使用PolicyPak Application Manager和PolicyPak Admin Templates Manager的切换模式）

再说一次：这不是商业广告，而是一些您应该了解的东西。

在继续之前，让我们面对现实：回送处理确实可以像所宣传的那样工作，但是它附带了一些字符串。

问题1：难以实施。 使用环回时，您必须经过心理体操才能计算出哪些策略设置会影响哪些人在什么机器上以及什么时间出现。通常，人们会在环回中“放弃”，因为它可能无法预测。

问题2：可以减慢速度。 使用环回时，登录时速度变慢。这是因为您实际上要处理两次组策略：一次是针对用户，另一次是针对假装为用户的计算机。（请记住，计算机戴上了“我是用户”的帽子。）

问题3 ：（通常）您得到的收益超出您的讨价还价。 当我回顾人们对环回处理的使用时，我看到的第一个问题是，管理员只想向所有计算机提供一个或两个用户端设置，而是偶然地从许多GPO（哎呀）中实施了大量的设置。这确实非常容易做到。这是因为计算机处于“回送”模式时，并不关心“仅一项设置”。它会将所有 设置作为用户应用到计算机。

因此，有什么方法可以清理所有这三个问题，并将所需的用户端设置准确地传递给OU中的所有计算机……而无需实际使用环回？

就在这里。通过PolicyPak本地套件，您可以通过两种方式执行此操作。首先，您可以将应用程序设置部署到计算机上的所有用户（无需使用回送）。其次，您可以将任何管理模板设置部署到计算机上的所有用户（同样，不使用回送）。

在图4.9中，您可以看到一个定义，用于提供Firefox，Java和Lync设置，这些指令存储在“ 计算机”端。这样，计算机上的所有用户都可以使用这些应用程序的设置：不需要环回。这些计算机上的所有用户都可以得到您所放置的内容。

在图4.10中，您可以看到使用PolicyPak Admin Templates Manager在计算机端部署了两个（通常是用户端）Admin Template策略设置。您会看到“ 禁止访问控制面板和PC设置”以及“ 密码保护屏幕保护程序”用户端策略设置…，但在计算机端提供。这样，计算机上的所有用户都可以选择以下策略设置：不需要环回。

用PolicyPak术语，我们称这种想法为切换模式。这是因为在计算机启动，运行gpupdate 或用户登录后，我们正在使用自己的特殊处理魔术。在此期间，我们将其进行切换并将用户端项目发送到计算机。

设置好这些之后，就无事可做了。换句话说，您不需要设置

进行所有环回操作都可以进行这种特殊的切换。在登录时（以及在后台），这些用户端设置会自动传递给这些计算机上的所有用户。

简而言之，您可以充分利用Loopback尝试做的最好的部分，而不必担心实际使用Loopback所带来的所有麻烦。

您可以在此处看到PolicyPak Application Manager通过切换模式交付设置的示例视频（此视频显示了通过切换模式部署的Java设置）：http : //www.policypak.com/video/policypak-manage-and-lock-down- java-site-listexceptions。html 。

图4.9 使用PolicyPak应用程序管理器将设置传递到计算机（影响所有用户）而无需环回。

 

图4.10 使用PolicyPak管理模板管理器将任何用户端组策略管理模板策略设置传递到计算机（影响所有用户），而无需环回。

 

而且，您可以在此处观看PolicyPak管理模板管理器和切换模式的视频：http : //www.policypak.com/video/policypak-admin-templates-managerswitched- policy-without-loopback.html 。

跨林信任的组策略

Windows 2003域为表带来了一种新的信任类型：林信任（也称为跨林信任）。这个想法是，如果您有多个不相关的林，则可以通过一个信任关系加入其根域。然后，无论何时在任何一个目录林中弹出新域，都会自动存在一个隐含的信任关系。

做到这一点需要所有相关方做出巨大的承诺（尽管在大多数组织中，这一要求是可以满足的）。也就是说，所有域都必须至少处于Windows 2003 Functional模式，并且所有林都必须处于Windows 2003 Functional模式。只有这样，才可以通过Active Directory域和信任实用程序创建跨林信任。有关可能使用此功能的组织的示例，请参见图4.11。

图4.11 这是如何使用跨林信任的一个示例。

 

 

跨林信任的组策略

在此示例中，所有域都通过跨林信任来信任所有其他域。的确，拥有在bigu.edu中拥有帐户的用户（例如Sol Rosenberg）可以坐在Corp.com或Widgets.corp.com中的计算机上，并登录到他的用户帐户，该用户帐户保存在bigu.edu中。

当来自bigu.edu的Sol（srosenberg）登录到Corp.com（即Widgets.corp.com）下的域中的任何计算机时，登录屏幕将不会显示BIGU作为选项。要登录，Sol将需要输入srosenberg @ bigu.edu作为他的登录ID和密码。这是跨林信任的限制之一。

跨森林信任登录到不同的客户端时会发生什么？

那么，当来自bigu.edu的Sol可以访问  Corp.com林中的各种计算机类型时，会发生什么情况？

这是奇怪的地方，所以请尝试和我在一起。想象一下，毕古（Bigu）的索尔·罗森伯格（Sol Rosenberg）。edu还是人力资源SQL-Servers OU 中Corp.com中名为SERV1的服务器的SQL数据库管理员。索尔有时会乘车上车，从BigU校园到位于Corp.com总部的SERV1计算机。他坐下来，本地登录到控制台（已被授予访问权限），但他没有得到对他有用的GPO（因此也没有得到自己的策略设置）。

而是，服务器像在替换模式下使用组策略环回处理一样处理GPO。这是什么意思？

■ ■   通常会适用于Sol的用户帐户bigu.edu由SERV1计算机被忽略的GPO。

■ ■   在一个“我是用户”的帽子计算机把，说：“给我一个适用于我，如果我是一个用户的GPO。”

因此，在我们的示例中，我们可以看到，当来自bigu.edu的Sol登录到SERV1（它实际上可以是任何Windows Server 2003和更高版本的计算机或Windows XP和更高版本的计算机）时，其策略设置将被忽略。然后，计算机在人力资源SQL服务器 OU（SERV1帐户所在的位置）中查看将应用于用户的GPO 。

由于没有链接到“ 人力资源SQL服务器 OU”的GPO 包含针对用户的策略设置，因此Sol不会应用任何策略设置。

登录后，您可以签出应用程序事件日志并查看事件ID 1109，其中指出Sol是“来自登录到该计算机的其他林中”。跨林组策略处理已禁用，并且已为此用户帐户在此林中强制执行环回处理。”

此时，您可能难以置信。Sol为什么不仅仅获得应该 影响他的“正常GPO” ？

答案很简单：如果为Sol分配了软件（第11章），登录脚本，组策略首选项（第5章）或其他潜在危险设置，则可能会影响我们计算机的稳定性。

通过进入环回模式，我们的系统受到了我们可能不希望发生的事情的保护。由于我们不管理Sol，因此我们不知道Sol的设置可能造成的潜在危害。

奇怪？是的，但是它有效，而且您对它的思考越多，这变得越合逻辑。

如果您花了一段时间，就可以设计Active Directory来解决这种“现象”。也就是说，如果您为用户设置了用户端策略设置并将它们链接到包含计算机的OU，在整个横林信任“洋”域名将得到用户的策略设置，你打算为他们，不是他们的管理员想要的。

这是一个弯腰。

因此，是的，这可能很复杂，而且值得庆幸的是，只有少数管理员可以彻夜不眠。但是，如果您拥有跨森林的信任-恭喜您-您现在就是我们之一。

事实证明，这里还发生了一些“额外”的异常情况。也就是说，当用户通过跨林信任关系登录到您的计算机时，也不允许将他们的用户配置文件下载到您的计算机上。没错-来自该外部域的用户个人资料显然也“潜在危险”，就像来自该外部域的GPO一样。

因此，通过跨林信任从外部域登录的用户可能会看到如图4.12所示的内容。

图4.12 当用户通过跨林信任登录时，将限制他们对其自己的用户配置文件的访问。

 

事件ID 1109将在应用程序事件中的客户端计算机上生成

记录说明用户“来自……不同的森林”。

跨林信任的组策略

使用  跨林信任时禁用回送处理

让我们回想一下跨林信任中发生的两件事：

。■ 。■   环回更换处理，开启跨越谁跨林信任使用您的计算机的用户。

■ ■   漫游用户配置文件是为谁跨越crossforest信任使用您的计算机的用户禁用。

也许您想恢复“正常”行为。你可以做到的。应用此设置后，这些计算机上的目标用户将获得其“常规”策略设置集（同样，这些设置将来自其域，而不是您的域）。

为此，您需要找到“ 允许跨林用户策略和漫游”

用户个人资料 策略设置。深入研究计算机配置➢策略➢管理模板➢系统➢组策略。请注意，策略设置显示为“至少Windows Server 2003”，但它将影响Windows XP / SP2计算机以及更高版本。

只需创建一个GPO，然后将其链接到您要再次“恢复正常”的计算机即可。但是，同样，要点是，这会降低系统的安全性，因为您将不知道“其他管理员”对用户的要求。然后用户可能会在客户端计算机上运行恶意，讨厌的程序或脚本。

了解跨林信任权限

如果您要建立跨林信任，那么这里有一些额外的知识可帮助您入门。

Windows跨林信任有两种模式：全林范围的身份验证和选择性身份验证，如图4.13所示。要查看此处显示的屏幕，请打开“ Active Directory域和信任关系”，找到信任关系的属性，然后单击“身份验证”选项卡。

图4.13 您可以设置全林范围的身份验证或选择性身份验证。

 

在Windows 2003（或更高版本）Active Directory域中，完全身份验证模式使所有用户都可以跨跨林信任关系登录“其他人的计算机”。

我们已经知道Sol是Corp.com的SQL数据库管理员，并且我们看到他登录Windows成员服务器SERV1时发生的情况。但是，Sol每周两次，在WIDGETS机器上的Widgets.corp.com上进行一些CAD工作。

然后，不可思议的事情发生了。

源自bigu.edu的Corp.com计算机攻击使两名域管理员陷入了激烈的战斗。Corp.com域管理员决定要阻止来自bigu.edu的攻击，因此他启用了选择性身份验证。现在，bigu.edu中的任何人都无法登录Corp.com或Widgets.corp.com中的任何计算机。因此，Sol将无法登录Corp.com中的SERV1成员服务器或Widgets.corp.com中的WIDGETS计算机。Sol需要在他将使用的计算机对象上具有“允许进行身份验证”权限。在此示例中，您可以在图4.14中看到对WIDGETS所做的操作。

如果bigu.edu的其他任何人将要使用它们，则Corp.com和Widgets.corp.com中的其他计算机也需要这些显式权限。

图4.14 您需要专门授予“允许进行身份验证”权限，以使Sol使用此特定计算机。

 

最后的想法

最后的想法

在本章中，您学习了在某些有趣的情况下利用组策略的方法。

WMI筛选器很棒。使用时要小心。它们确实需要花一点时间在每台计算机上进行处理（从毫秒到几秒钟），因此请小心您要求计算机处理的WMI筛选器的数量。WMI筛选器评估为True时，将应用组策略对象的全部内容。

但是，如果相反，您想管理GPO内部哪些特定的管理模板设置将在什么条件下交付，PolicyPak管理员模板管理器将帮助您做到这一点。

环回处理也很棒；它的作用是帮助您确保同一组用户设置会影响计算机。最初理解和使用这两种方法可能会造成混淆，从长远来看，很难进行故障排除。由于组策略引擎所涉及的额外工作，它也可能减慢登录速度。因此，在生产环境中运行它之前，请确保在测试实验室中对其进行尝试，并确切记录您决定使用它的原因。

另外，PolicyPak应用程序管理器和PolicyPak管理模板管理器都为您提供了一种将设置传送到计算机的方式（这会影响所有用户），而根本不需要环回。只需在“计算机”端设置您要执行的操作，这些计算机上的所有用户都将在登录时获得他们想要的。不涉及环回。

如果您拥有跨林信任，请考虑在信任上会发生什么。您可以决定是否要恢复为“标准”行为（也就是说，可以重新训练系统以允许组策略对象影响您的用户帐户）还是保留前面所述的“环回替换”模式行为。与本书中的所有建议一样，请在部署之前进行测试，测试和测试。