揭秘Longhorn Server：组策略增强

阿呆和阿瓜

全新的管理模板格式（ADMX）
    管理模板文件里包含了标记语言，它用来描述基于注册表的组策略。自从在windows nt 4.0中发布以来，管理模板文件一直使用单独的文件格式，也就是我们所熟悉的adm文件。然而，对于喜欢直接面对模板文件内容，并按照自己需要进行修改的windows管理员来说，adm模板文件虽然为修改注册表提供了必要的方法，但是也带来了不少不便之处，例如版本控制，多语种支持上的天生缺陷等。并且，对于一种独立格式的文件来说，学习与使用起来也会麻烦得多。
    如今，在windows vista中，微软开始务实地解决这一问题，并由此带来了vista和Longhorn Server 中新的管理模板文件格式——admx。admx文件是一种基于xml的文件，这种新管理模板文件的出现，使得在vista和longhorn server中管理基于注册表的策略设置变得更加简便。
    原先以.adm作为扩展名的管理员模板文件，现在在Longhorn Server中被定义为XML格式，同时也增加了许多新的特性，xml这种通用文件格式本身也就为管理员进行自动和手动管理带来了极大的便利。因为他们可以把以往xml方面的知识直接应用到admx文件的创建与编辑中，甚至是编写自己的策略管理工具，而不需要学习一种新的语法。
    在Longhorn Server 中，admx文件划分为语言无关和语言特定两种资源，以便适用于所有的组策略管理员——这为跨国公司域管理所带来的好处是不言而喻的。并且，组策略工具可根据管理员配置的语种来调整他们的管理界面。只需要确保特定语种的资源文件可用，你就可以添加新的语种到策略定义集中。
    同时admx文件会被集中存储——一个创建在sysvol中的域范围的目录。集中存储admx不仅可以减少额外的存储要求，最重要的就是，它可以集中地更新和管理admx文件，而不再需要存放在每一个gpo中，从而极大地提高复制的效率并减少带宽占用。同时，ADMX文件与ADM文件相比要明显地减小4兆以上。
    另外，在组策略工具兼容方面，组策略管理工具可以读取任何存储在本地或是gpo中的adm文件。它确保了vista、longhorn server以及之前版本操作系统在管理上的互操作性。需要注意的就是，对于那些admx文件中才有的策略设置将只可用于windows vista和longhorn server。

阿呆和阿瓜

设备阻止
    在如今这个复杂的环境中，我们制定了多种多样的法规和策略来防止信息在网络上的泄漏，但是我们同时不得不意识到，移动硬件设备的滥用同样对于信息安全存在着极大的隐患，一个小小的U盘就可以轻松的copy走成百上千个重要文件。为了解决这一问题，很多企业都采用了一个很极端的方法，如用胶水或者胶带封死USB接口，然而这毕竟不是解决问题的最好方法。
    在Longhorn Server 和Windows Vista中，微软引入了一种新的技术，从而使得管理员可以集中的管理和阻止各种类型设备的使用，例如CD-RW ，DVD-RW 以及其他移动设备的安装。新的设定在组策略编辑器的Computer Configuration/Administrative Templates/System/Device Installation group目录下。不过在Windows Vista中该功能并没有引起大家的重视，期待在Longhorn Server 中该功能可以在企业中得到真正的应用。
其他改进
    除了上述的新功能外，Longhorn Server 中组策略还有其他一些改进，包括：

• 基于位置的打印机分配可以为用户以及安装了Windows Vista的机器的物理位置进行管理，从而方便用户查找。
• Longhorn Server 上打印机驱动的安装不再需要用户的管理员权限，打印机安装的权限可以被委派给规定的用户，从而保证了在打印机正常使用的情况下，拥有最少的计算机管理员权限用户。
• Longhorn Server拥有更加出色的安全设置，IPsec与Windows 防火墙这两个经常需要同时配置的功能被集成在同一个管理界面上，用户不用在一个地方配置完防火墙后再到另一个地方完成IPsec的配置，从而大大降低了管理的复杂度，另外包括服务器到服务器通讯，网络访问保护（NAP）等新的功能也与防火墙完成了紧密的集成。

    Longhorn Server 作为微软下一代的服务器产品必将在企业管理方面下足功夫，而组策略的作用自然是不可或缺，从现有的Longhorn Server beta2版本中可以发现：新的组策略不仅在功能上大大增强，同时也降低了策略管理和设置的复杂度，这样今后就可以有更多的人有能力来完成日常管理操作，而企业内的IT精英则会有更多的时间去关注核心业务的处理。