Win2008组策略ADMX文件配置攻略

自从在windows nt 4.0中发布以来,管理模板文件一直使用单独的文件格式,也就是我们所熟悉的adm文件。管理模板文件里包含了标记语言,它用来描述基于注册表的组策略。然而,对于喜欢直接面对模板文件内容,并按照自己需要进行修改的 windows管理员来说,adm模板文件虽然为修改注册表提供了必要的方法,但是也带来了不少不便之处,例如版本控制,多语种支持上的天生缺陷等。并且,对于一种独立格式的文件来说,学习与使用起来也会麻烦得多。   如今,在Windows Server 2008 中,微软开始务实地解决这一问题,并由此带来了vista和Windows Server 2008 中新的管理模板文件格式――admx。admx文件是一种基于xml的文件,这种新管理模板文件的出现,使得在vista和Windows Server 2008中管理基于注册表的策略设置变得更加简便。
  原先以.adm作为扩展名的管理员模板文件,现在在Windows Server 2008中被定义为XML格式,同时也增加了许多新的特性,xml这种通用文件格式本身也就为管理员进行自动和手动管理带来了极大的便利。因为他们可以把以往xml方面的知识直接应用到admx文件的创建与编辑中,甚至是编写自己的策略管理工具,而不需要学习一种新的语法。
在Windows Server 2008中,admx文件划分为语言无关和语言特定两种资源,以便适用于所有的组策略管理员――这为跨国公司域管理所带来的好处是不言而喻的。并且,组策略工具可根据管理员配置的语种来调整他们的管理界面。只需要确保特定语种的资源文件可用,你就可以添加新的语种到策略定义集中。
  同时admx文件会被集中存储在一个创建在sysvol中的域范围的目录。集中存储admx不仅可以减少额外的存储要求,最重要的就是,它可以集中地更新和管理admx文件,而不再需要存放在每一个gpo中,从而极大地提高复制的效率并减少带宽占用。同时,ADMX文件与ADM文件相比要明显地减小4兆以上。
  另外,在组策略工具兼容方面,组策略管理工具可以读取任何存储在本地或是gpo中的adm文件。它确保了vista、Windows Server 2008以及之前版本操作系统在管理上的互操作性。需要注意的就是,对于那些admx文件中才有的策略设置将只可用于windows vista和Windows Server 2008。
ADMX文件在运行环境中的一些重要特性
新的基于Windows Server 2008和Windows Vista的组策略设置只能够通过基于Windows Server 2008和Windows Vista的组策略对象编辑器或者组策略管理控制台来管理使用,利用ADMX文件定义的组策略在Windows Sever 2003, Microsoft Windows® XP, 以及Windows 2000版本上都是无法使用的。不过使用基于Windows Server 2008和Windows Vista的组策略对象编辑器或者组策略管理控制台是可以管理任意操作系统支持的组策略对象的,同时支持与早期操作系统管理工具的协作,例如,存储在GPO中的传统的ADM文件同样可以在新工具中使用。当然这些改变都是基于后台的,实际上,在大多数的情况下,用户并不会在日常的组策略管理工作中注意到ADMX文件的存在。

使用ADMX文件的组策略对象主要分为两类,一类是本地组策略,另一类则是基于域环境的组策略对象。在编辑本地GPO时,用户必须使用Windows Server 2008或者Windows Vista 计算机来查看ADMX策略设置。而要想创建或者编辑基于域环境的GPO,那么首先需要一个基于DNS名称解析的Windows Server 2008 Windows Server 2003或者是Windows 2000的域。然后再使用Windows Server 2008或者Windows Vista 计算机来查看ADMX策略设置。
 
ADMX 使用场景
本文涉及了两个有关ADMX文件的组策略管理,示例中将为大家展示如何使用ADMX文件编辑会话,基于域的使用场景将展现ADMX文件的集中管理。
 
 
场景1:编辑本地组策略对象管理模板设置
使用ADMX文件编辑组策略管理模板时,首先需要开启组策略编辑器,点击开始菜单,选择Run,键入GPEDIT.msc 组策略编辑器将会自动的读取 %systemroot%\PolicyDefinitions\ 文件夹中存储的所有ADMX文件。用户需要做的就是定位到自己希望编辑的策略设置上,然后开始编辑,具体的编辑方法与先前版本的组策略没有差别。需要注意的就是,用户依然可以通过Add/Remove Templates菜单选项来添加或者删除ADM文件。在Windows Server 2008和Windows Vista中尚没有一个用户界面来添加,删除ADMX文件。要想添加ADMX文件到组策略编辑会话,可以直接将ADMX文件拷贝到%systemroot%\PolicyDefinitions\文件夹,然后重启组策略对象编辑器。
下面我们例举Windows Server 2008 组策略中在Windows防火墙方面的改进,以及如何使用策略控制防火墙。按下Windows徽标键+R,打开运行对话框输入secpol.msc并回车,打开Local Security Settings对话框打开Windows Firewall with Advanced Security - Windows Firewall with Advanced Security on Local Computer节点点击打开Inbound Exceptions节点,然后点击鼠标右键,选择Create New Exception选择Port,点击Next选择Specific ports,输入“21”,点击Next保持Action页面的设置不变,但留意这里的所有选项,点击Next保持Profile页面的设置不变,但留意这里的所有选项,点击Next在Name框中输入“FTP Port 21”,然后点击Finish. 点击打开Outbound Exceptions节点,然后点击鼠标右键,选择Create New Exception保持Exception Type页面的设置不变,留意这里的所有选项,点击Next选择Specific Program,接着点击Browse按钮,定位到%windir%\system32目录下,选择ftp.exe文件,点击Open,点击Next选择Block,点击Next,保持Profile页面的设置不变,但留意这里的所有选项,点击Next,在Name框中输入“Block FTP”,然后点击Finish。按下Windows徽标键+R,打开运行对话框,输入“CMD”并回车,打开命令提示行窗口,输入命令“ftp ftp.microsoft.com”,等待出错信息。
场景2:使用ADMX文件编辑基于域的GPOs
该场景中我们将为大家展示如何在Windows Server 2008和Windows Vista计算机上设置集中定位和升级ADMX文件,管理基于域的组策略对象。
要想完成这个模拟的场景,首先我们需要一个使用DNS解析的Windows Server 2008,Windows Server 2003 或者Windows 2000的域环境,同时至少有一台基于Windows Server 2008或者Windows Vista的计算机用来管理组策略。
如果用户不选择创建一个ADMX集中存储,那么GPOs的编辑方式将和场景1一样。所以我们首先要做的就是创建一个ADMX文件的集中存储。
创建一个集中存储
中心存储是一个在组织中每个域的域控制器的Sysvol文件夹下创建的文件夹结构。用户只需在组织中每个域的一台域控制器上创建一个中心存储。文件复制服务(File Replication service)会将中心存储中的内容复制到所有域控制器。建议用户在主域控制器上创建中心存储,因为默认来讲,组策略管理控制台以及组策略对象编辑器是与主域控制器相连接的。
中心存储由一个根级别的文件夹和不同的子文件夹组成,这个根文件夹中包括了所有语言无关的ADMX文件,子文件夹则包括特定语言的资源文件。
要想执行这些操作,用户必须作为活动目录中域管理员的成员。在域控制器的%systemroot%\sysvol\domain\policies\PolicyDefinitions 目录创建根文件夹。为组策略管理员使用的每种语言创建一个子文件夹存放在%systemroot%\sysvol\domain\policies\PolicyDefinitions 每个子文件夹的命名需要按照ISO的标准填写,例如创建一个U.S. English的子文件夹的样式为:%systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US.
转存ADMX文件的中心存储
在Windows Server 2008 和Windows Vista中并没有用于转存和移动中心存储的用户界面。要想实现这些操作必须通过命令行的方式。首先我们在开始运行中,键入cmd,打开命令提示行工具,使用xcopy命令可以将所有语言无关的ADMX文件从管理工作站上拷贝到域控制的中心存储上。具体格式如下:xcopy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdnsdomain
%\policies\PolicyDefinitions\ 同样拷贝所有ADMX语言资料文件的命令也是xcopy,只不过具体的格式改为:xcopy %systemroot%\PolicyDefinitions\EN-US\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\EN-US\
在基于域的GPOs下编辑策略设置管理模板
要想编辑基于域的GPOs策略设置管理模板,首先要开启GPMC.msc,然后在Group Policy objects 节点上右击选择New 创建一个新的GPO用来编辑,键入对象名称后点击OK,展开Group Policy objects节点,右击刚刚创建的GPO名称然后点击编辑。组策略对象编辑器将会自动的读取所有中心存储上的ADMX文件,如果没有中心存储,那么组策略编辑器将会读取本地的ADMX文件版本。
和本地组策略编辑一样,用户依然可以通过Add/Remove Templates菜单选项来添加或者删除ADM文件。这个操作同样没有用户界面,要想添加ADMX文件到组策略编辑会话,可以直接将ADMX文件拷贝到%systemroot%\PolicyDefinitions\文件夹,然后重启组策略对象编辑器。
此外,Windows Server 2008 还会在多本地策略方面提供一些全新的内容。用户按下Windows徽标键+R,打开运行对话框输入secpol.msc并回车,打开Local Security Settings对话框,点击OK。展开本地安全设置管理单元窗口左侧的节点到Account Policies - Password Policy,双击打开Enforce password history策略,输入“4”,并回车,修改这一策略根据实际需要修改任意几个其他策略在Security Settings节点上点击鼠标右键,选择“Export Policy”在默认位置为该模板输入文件名“test1.inf”,然后按下回车,这将可以把我们的当前设置导出成模板文件在Security Settings节点上点击鼠标右键,选择“Import Policy”在打开对话框中选中并双击test1.inf,这样将重新把之前创建的模板文件导入。
从上面的试验我们不难看出,其实对于用户而言,ADMX文件更多的是在后台工作,通过ADMX文件,不仅可以减少额外的存储要求,更大大提高了管理工具的一致性。
虽然现在种类繁多的管理软件层出不穷,当对于70%以上的管理员来讲,组策略依然是他们最为得心应手的“管家武器”,相信在操作习惯并不发生太大变化的基础上,Windows Server 2008的组策略增强必然会带给用户更多的便利,更多的惊喜。

 

你可能感兴趣的:(windows,server,配置,2008,组策略)