New Group Policy Features in Windows Vista
Windows Vista 的组策略中的新增功能
 

XML模板文ADMX

u       New XML-based administrative template files (ADMX) files that use standard XML syn-
tax are now used in Windows Vista instead of the proprietary syntax used in ADM tem-
plate files in previous versions of Windows. Language-specific resources are stored in
separate Architecture Description Markup Language (ADML) files so that administra-
tors can display Group Policy settings in their own localized language. For more infor-
mation, see the section “Understanding ADMX Template Files” later in this chapter.
 
Windows Vista 之前,可在组策略中设置的注册表值是由 ADM 文件控制的,该文件不但语法晦涩,而且属于专有性质. 管理模板文件被基于 XML 的文件格式取代,后者增加了多语言支持和强版本控制,可以在多语言环境中管理组策略。

 

 

组策略多语言支持

sysvol bloat 的解决方案

u        ADMX template files can be stored in a central store in the SYSVOL share on domain
controllers instead of within each GPT. In addition, when you configure a central store
for ADMX files, the Group Policy Object Editor will not copy or read ADMX files in an
individual GPO. These enhancements considerably reduce SYSVOL bloat, which
reduces replication traffic and makes Group Policy processing more efficient. Placing
ADMX template files in a central store also makes them easier to manage and update
across a domain. For more information, see the section “Configuring the Central Store”
later in this chapter.
ADMX 文件的中央存储 : 中央存储是在 Sysvol 中创建的域范围的目录。降低因 GPO 数量的不断增加而导致的其他存储和更大复制通信的需求 .管理模板文件 包含用于描述基于注册表的组策略的标记语言。管理模板文件最初发布于 Windows NT4 中,使用称为 ADM 文件的独特文件格式。在 Windows Vista 中,这些文件被基于 XML 的文件格式(称为 ADMX 文件)所取代。使用这些新的管理模板文件可易于管理 Windows Vista 中的基于注册表的策略设置。在 Windows Vista 中,将 ADMX 文件分为语言中性的资源语言特定的资源,这些资源可供所有组策略管理员使用。这些因素允许组策略工具按照管理员已配置的语言来调整其用户界面。通过确保语言特定的资源文件可用,可以实现将新的语言添加到一组策略定义中。例如,组策略管理员可通过配置为英语的 Windows Vista 管理工作站创建组策略对象 (GPO) 。该管理员保存该 GPO 并将其链接到跨地理边界部署的域。巴黎的同事使用 GPMC 浏览同一域并选择使用英语创建的 GPO 。她可以用法语查看并编辑策略设置。创建此 GPO 的原始组策略管理员将仍看到使用其本地语言(英语)编写的所有设置,其中包括法语管理员所做的更改。

 

ADM 文件本身被置于 GPO 组策略模板 ”(GPT) 的内部(位于 SYSVOL 中)。这样,每当您创建一个 GPO ,就会在每个域控制器 (DC) 上占用大约 4MB 的空间。此外, ADM 文件本身被置于 GPO GPT 中,因为它对于在另一管理工作站上重新编辑 GPO 是必不可少的。没有此 ADM 文件,您便无法编辑包含在 GPO 内的任何自定义设置。
ADMX 格式帮助我们避免了这些问题。您不必再将任何内容直接存储在 GPO 内部,因此不会出现通常所说的 “SYSVOL 膨胀 ”— 即臃肿的 SYSVOL ,它要存储装满 ADM 文件的 GPO ,且造成将其复制到每个 DC 的负担。要解决此问题,新 ADMX 标准可以利用 中心库 所具备的优势。 中心库 的工作是提供一个放置新 ADMX 文件的位置,这样您就不必将它们复制到每个 GPO 中。这样,就可以向 SYSVOL 膨胀说再见了。 中心库 的另一重要作用是:如果 ADMX 文件具有更新的定义,则所有 Windows Vista 管理工作站将立即使用更新的 ADMX 文件。

 

 

 

 

全新的网络感知技术
改进了网络识别特性

u       Instead of using ICMP, Windows Vista now uses Network Location Awareness version
2.0 (NLA v2.0) to allow Group Policy to detect the current state of network connectivity
for the computer. With NLA, Windows Vista computers can determine when domain
controllers become available or unavailable to the client. NLA also allows Windows
Vista computers to refresh Group Policy in the background after they wake up from
Sleep, when they establish a ××× connection, when they dock with a docking station,
and when they successfully exit network quarantine (using the workaround described
in the whitepaper titled "Deploying Group Policy Using Windows Vista" which can be
found on the Companion DVD for this book). And with NLA, Group Policy can detect
slow links without using ICMP and can process Group Policy on the client even when a
firewall blocks all ICMP traffic.

 

网络位置感知

网络位置感知使组策略可以更好地对不断变化的网络条件进行响应。 网络位置感知 功能的一项主要优势是不用依赖 ICMP 协议 (PING) 即可应用策略。
网络位置感知确保客户端计算机可以感知并响应不断变化的网络条件和资源可用性。借助网络位置感知,组策略有权访问操作系统中的资源检测和事件通知功能,如从休眠或待机状态恢复、 ××× 会话的建立,以及移入或移出无线网络。
网络位置感知提供以下优势:
工作站或服务器的启动时间更加快速。网络位置感知可以正确指示网络就绪时的组策略。组策略还可以确定适配器是否被禁用或断开连接,从而使组策略可以缩短在网络不可用的情况下等待的时间。
每次返回域控制器可用性时,组策略客户端都会应用策略设置。触发组策略处理的连接事件包括建立 ××× 会话、从休眠或待机状态恢复、成功退出隔离以及插接便携式计算机等。此优势通过更快地应用组策略更改,可以潜在地增加工作站上的安全级别。
组策略客户端将使用网络位置感知来确定带宽并消除对 ICMP 协议 (PING) 的依赖。借助此优势,各组织可以使用防火墙保护其网络,筛选 ICMP 协议,并应用组策略。
借助 新建组策略 设置,管理员可以更多地控制计算机启动处理方案。
使用网络位置感知改善策略的应用和处理

以下方案说明了网络位置感知如何改善策略的应用和处理。
通过虚拟专用网络 (×××) 连接

借助网络位置感知,您可以对策略设置进行更改并确保将所做更改有效应用于移动用户。
当移动用户连接到公司网络时,组策略客户端将检测域控制器的可用性。如果组策略刷新周期已过,或以前的策略应用失败,则组策略将通过 ××× 连接启动后台刷新,以更新计算机和用户策略。无需重新启动或注销即可通过 ××× 连接到公司网络。
通过防火墙筛选 ICMP 处理组策略的能力

即使您删除了计算机对 ICMP 协议 (PING) 做出响应的能力,组策略也会正常处理。过去,在这种情况下组策略设置会失败,因为缓慢的链接检测依赖于 ICMP Windows Vista 中的组策略客户端现在可以利用网络位置感知来确定网络带宽并成功地继续处理组策略。

 

FRS Sysvol 改进

组策略因对文件复制服务 (FRS) 和新管理模板文件( ADMX 文件)存储的改进而受益,从而降低了网络带宽的使用率和 Sysvol 存储成本。
“DFS 复制 FRS 的后继功能)是一种新型的、基于状态的多主机复制引擎,支持复制计划和带宽限制。 DFS 复制使用一种称为远程差分压缩 (RDC) 的新式压缩算法。使用 RDC DFS 复制仅复制两个服务器之间的差异(或更改),从而导致复制期间降低带宽使用。
在早期操作系统中,每当创建组策略对象 (GPO) 时,会将所有默认的管理模板文件( ADM 文件)都添加到 GPO 中。存储成本大约为每 GPO 4 MB 。在导致所有 GPO 更改的事件(如在从 Windows 2000 域升级到 Windows Server 2003 域期间修改对 GPO 的权限)出现期间复制通信会阻止。这种情况导致 GPO 之间的所有 ADM 文件立即进行复制,这会影响网络带宽可用性和性能。
此过程在 Windows Vista 中被替换为 Sysvol 中的中央存储,其中包含新版本的 ADM 文件(称为 ADMX 文件)。与早期版本的 Windows 不同,并不是使用 Windows Vista 创建的每个 GPO 都包含 ADMX 文件。这种更改表示通过更有效的 DFS 复制服务进行更少的数据复制。
只要所有的组策略管理员都使用 Windows Vista 客户端,新的 GPO 就不会在 GPO 中包含 ADM ADMX 文件。这种更改的结果是每个 GPO 节省大约 4 MB 。将企业更新为使用新的 DFS 服务后, GPO 中包含的信息将使用 DFS 复制服务(仅复制 GPO 中的差异)进行复制。这两种更改会大大降低组策略管理员更改 GPO 后所需的存储和网络带宽量。有关对 ADM 文件及其存储的改进的详细信息

 

 

GPMC 的集成

u        Group Policy Management Console (GPMC) is now integrated into Windows Vista
instead of requiring a separate download as on previous platforms. Integrating GPMC
into the operating system also means that you can use Windows Update to upgrade and
maintain GPMC when new versions of the tool or security updates for it become available.

 

组策略管理控制台 (GPMC) 是一种可编脚本的 Microsoft 管理控制台 (MMC) 管理单元,为在企业中管理组策略提供单一的管理工具。最初, GPMC 作为 Microsoft Windows(R) XP Windows Server 2003 的单独下载组件提供。现在,它直接集成到操作系统中,与组策略对象编辑器一起作为管理组策略的标准工具。 现在, GPMC 可以充分利用新开发的基于 XML 且与资源无关的策略定义文件(称为 ADMX 文件)提供的功能。

 

 

支持多本地策略,多个本地 GPO

u        Support for multiple local Group Policy objects (MLGPOs) is now available in Windows
Vista. Using MLGPOs provides increased flexibility for configuring stand-alone comput-
ers for shared use, and you can even configure MLGPOs in domain environments if
required. For more information, see “Understanding Multiple Local Group Policies”
later in this chapter.

 

多个本地组策略对象 Windows Vista 在管理本地组策略对象 (LGPO) 方面引入了更强的灵活性,从而实现了在单个计算机上管理多个 LGPO 的方式。这种灵活性的增强,便于管理涉及单个计算机上的共享计算的环境(如图书馆或计算机实验室)。此外,在工作组中每个计算机都维护其自身的策略设置。可以将多个 LGPO 分配给本地用户或内置组。此功能将与基于域的组策略一同使用,或者可以通过 组策略 设置来进行禁用。
多本地组策略使您可以根据内置组灵活地管理组策略。例如,如果要在图书馆中设置展台计算机,则可以为内置用户组创建严格管理的策略设置,而为内置 Administrator 帐户创建轻松管理的策略设置。借助此方法,资助人可以在安全的环境中使用 Internet 展台。本地管理员不必再显式禁用或删除干扰他们在执行管理任务之前管理工作站的组策略设置。此外, Windows Vista 管理员还可以仅关闭本地组策略设置,而不必显式启用基于域的组策略。

 

u       Windows Vista now includes a new method to enable trace logging for troubleshooting
issues with Group Policy Processing. This method separates Group Policy function trace
statements from those created by other operating system activities so that log files are
easier to interpret when you are trying to diagnose Group Policy failure.
在从前组策略进程是通过 Winlogon 进程实现的

Vista 中组策略的引擎是运行在一个共享的服务主机
    在 Windows Vista 之前,组策略的处理过程在一个称为 winlogon 的进程中发生。Winlogon 有许多作用,其中包括让用户登录到桌面,以及维护各种各样的组策略操作。现在组策略有了自己的 Windows ® 服务。而且更为牢固,这意味着无法停止该服务,管理员也无法获取组策略的权限所有权来将其关闭。这些更改增强了组策略引擎的整体可靠性。
    在 Windows Vista 中,组策略基础结构发生了显著变化。组策略处理不再存在于 Winlogon 进程内,而是作为其自身的服务来承载。此外,组策略引擎不再依赖于在 userenv.dll 中发现的跟踪日志记录。
较早版本的 Windows 中许多组策略疑难解答依赖于在组件 userenv.dll 中启用的日志记录。这在 %WINDIR%\Debug\Usermode 文件夹中创建了名为 userenv.log 的日志文件。此日志文件包含支持数据的功能跟踪说明。此外,配置文件加载和卸载功能共享此日志文件,使日志有时难以诊断。此日志文件与策略的结果集 Microsoft 管理控制台 (RSoP MMC) 结合使用,是诊断和解决组策略问题的主要方式。
Windows Vista 中,组策略被视为其自身的组件,带有新的组策略服务(一种为读取和应用组策略而在 Svchost 进程下运行的独立服务)。新服务包括事件报告的更改。以前显示在应用程序日志中的组策略事件消息现在显示在系统日志中。事件查看器列出了包含 Microsoft-Windows-GroupPolicy 事件源的这些新消息。组策略操作日志将取代以前的 userenv 日志记录。操作事件日志提供特定于组策略处理的改进的事件消息。

 

 

u       Windows Vista now supports more than 2500 different policy settings, compared to the
1800 settings supported on previous platforms. These settings include several new pol-
icy categories, such as power management, blocking device installation, printer deploy-
ment based on location, and more. For a summary of these new policy setting
categories, see the section “New Group Policy Settings in Windows Vista” later in this
chapter. For detailed information concerning the policy settings for a particular cate-
gory, see the chapter in this Resource Kit that deals with this topic area. For example, for
more information about using Group Policy to assign printers based on location, see
Chapter 19, “Managing Printing.”
 
现在可以使用组策略集中管理大量的功能和组件行为。组策略设置的数量已从 Windows Server 2003 Service Pack 1 (SP1) 中的大约 1,700 个增加到 Windows Vista 中的大约 2,400 个。

 

Vista SP1中 GPMC (Group Policy Management Console) 被删除!

 
 

链接:

TechNet Magazine: Group Policy

 

 
新的或扩展的组策略设置