介绍Windows 2007中的组策略特点

即将在07年晚些时候发布的Windows 2007 Server 将是微软服务器家族的又一款旗舰产品，而且Win2007也许会成为软件领域的下一个奇迹——微软将借助Longhorn Server 强大的功能进一步确立其在软件领域的垄断地位。如何围绕win2007 Server实现企业管理和企业应用相信也会成为业界关注的焦点。在下面的内容中，我们就win2007 Server 中得到明显增强的组策略(GP)功能加以介绍。

网络位置识别（NLA）服务

网络位置识别（Network Location Awareness，NLA）是Windows XP 上的默认服务。如果此服务停止，网络位置识别功能将不可用。使用“网络感知”功能可以报告应用程序的网络连接的改变，以便提供更加无缝的连接体验。NLA服务可收集并存储网络配置信息，如 IP 地址、域名更改以及位置更改信息。如果连接到不同的网络时，NLA将通知支持“网络感知”功能的兼容应用程序进行更改，以便程序能够重新配置使用当前网络连接。例如，如果从家庭办公室切换到临近的咖啡店的无线网络，可以更改防火墙的设置，使其它用户不能看到你的计算机和共享文件。

网络位置服务

NLA功能在win2007 Server 和 Windows Vista中得到了极大的增强，它可以有效的帮助操作系统检测现在的网络环境，并且针对特定的网络连接采取指定的连接方式和安全设置等。

当然NLA功能远不只如此，还可以帮助我们检测网络是否准备好，域控制器（DC）的即时可用性，带宽的数量，网络连接的速度以及哪些安全设置正在启用等等，NLA还能智能地判定那些进程应该启动、停止或者被暂停。

例如：一台加入了域的Windows XP计算机，由于域强制安全策略的限定而无法连入网络，那么它将循环的发起检查，尝试重新连接网络。而如果Windows XP使用的是ICMP或者PING来查找域控制器，这就存在一定的问题，当ICMP不能使用的时候，比如ICMP通讯被阻止掉，或者由于其他原因在这台计算机上无效的时候，这台计算机将无法发现域控制器，那么所有的组策略处理都将停止。

相比之下，NLA则是直接地允许组策略嗅探到这些场景，当组策略察觉连接到了企业网络时，自动地开始执行计算机的策略更改而无须等到下一次的检查循环。

未来NLA将会更好的适用于移动的用户。在之前的Windows版本中，当一个移动用户通过VPN登录到公司网络时，他不得不等待一个标准的循环周期来获取策略的应用，而在今后的版本中，这些将得到改变，在VPN拨入后，一旦域控制器被检测到，组策略将通过后台立即运行。

全新的管理模板格式（ADMX）

管理模板文件里包含了标记语言，它用来描述基于注册表的组策略。自从在windows nt 4.0中发布以来，管理模板文件一直使用单独的文件格式，也就是我们所熟悉的adm文件。然而，对于喜欢直接面对模板文件内容，并按照自己需要进行修改的 windows管理员来说，adm模板文件虽然为修改注册表提供了必要的方法，但是也带来了不少不便之处，例如版本控制，多语种支持上的天生缺陷等。并且，对于一种独立格式的文件来说，学习与使用起来也会麻烦得多。

如今，在windows vista中，微软开始务实地解决这一问题，并由此带来了vista和Longhorn Server 中新的管理模板文件格式——admx。admx文件是一种基于xml的文件，这种新管理模板文件的出现，使得在vista和longhorn server中管理基于注册表的策略设置变得更加简便。

原先以.adm作为扩展名的管理员模板文件，现在在Longhorn Server中被定义为XML格式，同时也增加了许多新的特性，xml这种通用文件格式本身也就为管理员进行自动和手动管理带来了极大的便利。因为他们可以把以往xml方面的知识直接应用到admx文件的创建与编辑中，甚至是编写自己的策略管理工具，而不需要学习一种新的语法。

在win2007 Server 中，admx文件划分为语言无关和语言特定两种资源，以便适用于所有的组策略管理员——这为跨国公司域管理所带来的好处是不言而喻的。并且，组策略工具可根据管理员配置的语种来调整他们的管理界面。只需要确保特定语种的资源文件可用，你就可以添加新的语种到策略定义集中。

同时admx文件会被集中存储—— 一个创建在sysvol中的域范围的目录。集中存储admx不仅可以减少额外的存储要求，最重要的就是，它可以集中地更新和管理admx文件，而不再需要存放在每一个gpo中，从而极大地提高复制的效率并减少带宽占用。同时，ADMX文件与ADM文件相比要明显地减小4兆以上。

另外，在组策略工具兼容方面，组策略管理工具可以读取任何存储在本地或是gpo中的adm文件。它确保了vista、longhorn server以及之前版本操作系统在管理上的互操作性。需要注意的就是，对于那些admx文件中才有的策略设置将只可用于windows vista和longhorn server。

设备阻止

在如今这个复杂的环境中，我们制定了多种多样的法规和策略来防止信息在网络上的泄漏，但是我们同时不得不意识到，移动硬件设备的滥用同样对于信息安全存在着极大的隐患，一个小小的U盘就可以轻松的copy走成百上千个重要文件。为了解决这一问题，很多企业都采用了一个很极端的方法，如用胶水或者胶带封死USB接口，然而这毕竟不是解决问题的最好方法。

在win2007 Server 和Windows Vista中，微软引入了一种新的技术，从而使得管理员可以集中的管理和阻止各种类型设备的使用，例如CD-RW ，DVD-RW 以及其他移动设备的安装。新的设定在组策略编辑器的Computer Configuration/Administrative Templates/System/Device Installation group目录下。不过在Windows Vista中该功能并没有引起大家的重视，期待在Longhorn Server 中该功能可以在企业中得到真正的应用。

其他改进

除了上述的新功能外，win2007 Server 中组策略还有其他一些改进，包括：

• 基于位置的打印机分配可以为用户以及安装了Windows Vista的机器的物理位置进行管理，从而方便用户查找。
• win2007 Server 上打印机驱动的安装不再需要用户的管理员权限，打印机安装的权限可以被委派给规定的用户，从而保证了在打印机正常使用的情况下，拥有最少的计算机管理员权限用户。
• win2007 Server拥有更加出色的安全设置，IPsec与Windows 防火墙这两个经常需要同时配置的功能被集成在同一个管理界面上，用户不用在一个地方配置完防火墙后再到另一个地方完成IPsec的配置，从而大大降低了管理的复杂度，另外包括服务器到服务器通讯，网络访问保护（NAP）等新的功能也与防火墙完成了紧密的集成。

win2007 Server 作为微软下一代的服务器产品必将在企业管理方面下足功夫，而组策略的作用自然是不可或缺，从现有的win2007 Server beta2版本中可以发现：新的组策略不仅在功能上大大增强，同时也降低了策略管理和设置的复杂度，这样今后就可以有更多的人有能力来完成日常管理操作，而企业内的IT精英则会有更多的时间去关注核心业务的处理。