Server 2008大幅強化群組原則

由於使用人數眾多，Windows作業系統衍生出來的管理問題，一直是企業感到最為頭疼的麻煩之一，而想要精通Windows環境下的系統管理，就不能不了解群組原則這項內建在Windows Server中的工具。

微軟表示，在已經導入AD的大型企業中，90％以上都有使用群組原則，中小型企業的使用率也超過60％，但其中有很多企業僅是用來管理使用者帳號，事實上，群組原則的功能遠不僅於此。是什麼原因造成這麼大的落差？綜合這次7位來自企業、原廠和教育訓練中心等不同領域專家的意見，他們一致認為IT人對群組原則的功能不夠了解，或是既有版本的功能無法解決問題，是許多企業沒有深入使用這項管理工具的主因。因此除了評估和採購第三方管理工具之外，企業如果想在目前的環境下，以最少的投資做好管理，就應該徹底了解，如何使用群組原則。

善用管理工具，以簡化群組原則設定流程

微軟從Windows 2000 Server時代開始加入群組原則管理功能，並整合了AD中的各項元件，管理能力比Windows NT中的系統工具強化許多，不過早期並沒有一個統一的管理介面，管理人員只能使用本機群組原則編輯器（gpedit.msc）來個別設定。

到了Server 2003，微軟推出群組原則管理主控臺（GPMC），讓IT人員能在伺服器端集中設定使用者電腦中的群組原則。GPMC適用於Windows XP及Server 2003，剛開始是屬於個別下載元件，但後來已經直接整合在作業系統中，而在Server 2008，更是將GPMC和伺服器管理員（Server Manager）合而為一，管理也更方便。

在開始使用群組原則之前，必須要先了解它的運作原理。群組原則可分為網域和本機兩種類型，前者必須搭配AD才能發揮功效，後者則可視為是單機設定和管理功能，所有具備本機管理員權限的使用者，都可以用本機群組原則編輯器來修改設定。

至於網域的群組原則又可分為數個不同層級，分別是：站臺（Site）、網域（Domain）、組織單位（OU），每一個層級都可以建立一或多個群組原則物件（GPO），而一個GPO也可以同時套用到不同層級。由於電腦或使用者都必然屬於某一個站臺或網域，因此連結至站臺或網域的GPO，也必然會套用到隸屬於其下的所有電腦或使用者。

當使用者登入時，最先套用的是本機群組原則，接下來再依照站臺、網域、組織單位的順序套用，後套用的原則會覆蓋先套用原則，所以當這些原則之間互相衝突時，會以組織單位的群組原則為最後套用的結果。

有別於本機群組原則的管理工具，網域群組原則必須透過群組原則管理編輯器（Group Policy Management Editor，GPME）來設定，使用方式是在GPMC中，針對想要修改的GPO按右鍵選擇「編輯」即可。

如果依照功能來分類，群組原則主要包含軟體設定、Windows設定，以及系統管理範本，其中最多人使用的帳號管理功能，就是屬於Windows設定中的安全性設定，而系統管理範本也比較為人所熟知，它的每一項原則都分別對應一或多條的Windows登錄機碼。

在XP與Server 2003時代，已經有超過1800條以上關於登錄機碼的設定原則，同時還有數百條其他原則，總計約有2千多項。在這些群組原則中，共包含Windows元件、系統、網路、印表機和安全性等類別，亦包含像是IE及遠端安裝服務等特定應用。舉例來說，如果IT人員想要藉由遠端桌面連線來管理使用者電腦，就可以利用群組原則強制開啟員工電腦的遠端連線功能，而不需要逐臺至本機設定。

雖然這些群組原則已經能讓使用者自動套用符合公司政策的設定，而不需要IT人在使用者電腦間來回奔波，不過隨著微軟產品的不斷改版，有許多功能靠舊版的群組原則已經無法管理，再加上群組原則的項目過多，Windows Server 2003缺乏有效的除錯和檢視工具，因此使用上仍有不少限制。

到了Windows Server 2008 R2，微軟新增包含了Windows 7新功能、IE 8，以及安全性強化等類別的3百多條群組原則，而可控制的原則總數也已經超過3千條。不僅如此，還一併強化先前版本較缺乏的管理、除錯和搜尋等功能。像是之前並沒有辦法搜尋特定名稱的群組原則，而在2008 R2中，管理人員只要開啟群組原則篩選器，就可以使用關鍵字來快速搜尋。

用群組原則解決常見的電腦問題

群組原則可管理的項目繁多，但企業最關注的仍不外乎帳號管理與安全性。

做好帳號和密碼管理

臺灣微軟技術支援工程師黃信嘉表示，根據他過去協助企業解決群組原則問題的經驗，大部分的企業導入AD都是為了管理使用者帳號，而這也是群組原則最基本的功能之一。由於管理人員只要在AD中建立群組原則物件，系統就會自動產生一組帳戶與密碼原則，而且只要直接套用就可以立刻生效，因此用群組原則來管理使用者的登入行為相當容易，而且最為普遍。

常用的控管功能包括密碼強度、有效期限等。然而，帳戶和密碼群組原則和一般群組原則的繼承關係不同，只能在網域層套用，所以即使在別的層次中設定也不會生效。精誠資訊資深講師許俊龍說，如果把AD看成是政府或國家，那群組原則扮演的就是憲法的角色，而它的規定也和法律一樣非常嚴謹，只要設定完成就會強制套用，但是帳戶設定卻違反了任何法律不能牴觸憲法這條規定，所以許多企業在剛開始使用群組原則時，經常忽略這部分的設定方式。

不僅如此，每一個網域層都只能對應唯一的密碼原則，在管理使用者帳號時也衍生出許多麻煩，像是某些主管層級的使用者，如果需要套用不同的設定，就很難用一般性原則來達成目的。在XP／Server 2003環境遇到這樣的問題，就只能建立一個新網域，並手動將使用者所屬的OU遷移到新網域下，或是開啟阻斷繼承來隔絕上層的密碼原則。然而，這些特殊的設定方式，不但違背了群組原則大量管理的基本概念，也可能會造成運作機制大亂。

為了解決這樣的問題，Server 2008允許IT人員在同一個網域下，針對特定使用者建立專屬的密碼原則，同時不會影響既有原則的運作。這個功能稱為「Granular Password Settings（GPS）」或「Fine-Grained Password Policy（FGPP）」，它的設定方式和一般的群組原則完全不同，管理人員必須自行利用ADSI編輯器，在密碼設定容器（Password Settings Container，PSC）中建立密碼設定物件（Password Settings Object，PSO），之後再將PSO指定至特定的使用者帳號。

雖然FGPP可以讓IT人員不用建立多個網域，就能指派特殊權限給使用者，不過許俊龍認為，設定方式並不像一般群組原則的設定一樣直覺。

強化安全性設定

安全性設定一直是歷代群組原則改良的重點之一，例如XP／Server 2003的群組原則並沒有和防火牆相關的設定項，管理人員只能透過軟體限制原則來封鎖未經授權的應用程式執行，或是到使用者電腦上逐臺設定防火牆。而Server 2008不但將防火牆納入，還整合了IPsec，這樣的改變可增加應用上的彈性。舉例來說，如果使用者想從網際網路連線到公司內部存取資源，IT人員勢必要先在2臺電腦之間建立安全的通道，並依靠信任關係或電腦的健康狀況，來決定存取資源的權限。這時只要利用「具備進階安全性的Windows防火牆」原則設定，就可以達成目的。

此外，Server 2008還新增了阻擋軟、硬體的群組原則，可以避免因使用者不當操作應用程式或裝置造成的資安漏洞，而在2008 R2更是將Windows 7的AppLocker也加入管理項目中，以便更全面地封鎖軟體。

原則設定成功卻沒有生效怎麼辦？

長期使用群組原則的IT人員，想必都遇過明明原則已經設定無誤，但是套用後卻沒有在員工電腦上發揮效用，這時要從密密麻麻的事件記錄中尋找相關的設定值，或是在數千條群組原則中挑出互相衝突的項目，難度都相當於大海撈針。臺灣微軟技術支援副理林文平建議依照下列流程來找出問題：

1. 確定群組原則設定位置

群組原則有網域、伺服器端及使用者端3個部分，最好能先釐清設定的群組原則作用範圍，並確定配置是否正確。

2. 確定配置的目標與所屬位置

如果設定時原則的套用對象是使用者，但在套用位置上並沒有任何使用者存在，當然群組原則就不會生效，所以必須檢查原則的本身屬性和目標所屬的位置是否一致。

3. 檢查網域控制站的同步設定

一般來說，企業可能會同時建立2臺以上負責執行AD的伺服器，在過去的架構下，只要變更其中一臺網域控制站（Domain Controller，DC）上的群組原則，其他網域控制站也會一併複寫，這時一旦其中有任何一臺網域控制站複寫失敗或連線錯誤，當使用者電腦在套用原則時，只要尋找的目標是這臺複寫失敗的網域控制站，原則就不會生效，所以必須先檢查網域控制站的複寫機制是否正常，以及GPO的版本是否一致。

4. 確認電腦連線狀態

如果檢查後發現沒有發生上述情況，就可以確定群組原則在伺服器端的設定沒有問題，不過由於個人端電腦必須套用網域控制站上的原則，所以接下來需要再確認伺服器端和個人端之間的網路連線狀態，並檢查個人端電腦是否已經加入為網域成員，以及電腦和網域之間的溝通狀況。用工具協助檢查原則套用記錄
如果這些檢查都不能發現問題，最後就必須利用輔助工具來檢視個人端電腦的狀態。

在使用者電腦上檢視記錄檔

在Server 2003環境下，我們可以透過WinLogon.log和UserENV.log這2個事件記錄檔來判斷GPO的套用情形。由於UserENV中記錄的訊息非常雜亂，而且又會因svchost.exe的運行，而記錄到許多和群組原則無關的資訊，因此並不容易單靠這個文件來找出問題，這時就要再搭配RSOP.MSC與MPS Report，前者為內建在Windows中的系統工具，可以快速查閱目前電腦已經套用的本機和網域群組原則；後者則是一個包含多個指令碼及其他公用程式的軟體工具，能用來擷取關於電腦的重要系統、診斷以及設定資訊，IT人員可以自行至微軟下載中心，輸入「MPS Report」搜尋。

Server 2008的伺服器端除錯工具

這些方法在應付單一電腦時相當管用，但當發生問題的電腦數量較多時，IT人員逐臺到使用者電腦查看記錄檔顯然並不可行，這時就必須依賴伺服器端的管理工具。這些管理工具包含「群組原則結果（Group Policy Resault）」和「群組原則模型（Group Policy Modeling Wizard）」

這兩項工具都已經直接內建在Server 2008的群組原則管理（Group Policy Management，可視為是新版的GPMC）中，只要利用群組原則管理工具的群組原則結果，就可以依電腦或使用者帳號來檢視目前已套用的群組原則結果，其中包含已套用及被拒絕的群組原則，如果再進一步點選群組原則物件，則可以看到已套用GPO的位置，或是被拒絕的GPO位置和原因。

至於群組原則模型的功能，主要模擬設定套用到不同網段或地區的情況，換句話說，群組原則結果是針對單一電腦或使用者設計的檢視工具，群組原則模型則是以組織單位、子組織單位（Sub OU）、DC甚至網域為操作對象。舉例來說，如果有一臺原本屬於臺灣群組的電腦，被美國的使用者透過遠端連線到臺北操作，那結果究竟是哪些群組原則被套用並生效，就可以從這個精靈中查看。微軟資深講師馮立偉表示，這個工具主要是看整個區域的狀況，一般來說比較少用，但可以針對伺服器端的狀態來除錯，和前一種是針對使用者端的工具不同。值得注意的是，這2個工具雖然都是在伺服器端模擬操作，但檢測時使用者電腦必須與AD保持連線。

其實除了不同層之外，在同一個OU下的群組原則也有套用順序之分，而且只要直接在GPMC中點選想要查看的OU，就可以在說明欄的「已連結的群組物件原則」列表中看到連結清單。這個清單會將OU目前已套用的所有群組原則列出，並依照優先權排序，數字越大的原則代表越先套用，當發生衝突時，以數字小的原則為最後結果。

馮立偉說，過去在舊平臺上想要尋找原則套用失敗的原因，一般常見的作法是將使用者帳號刪除後重建，或是把使用者或電腦搬移到另一個群組下。林文平則表示，如果是擔心自行新增的原則與舊原則互相衝突，建議自行創立一個測試專用的OU，並將此OU設定為禁止繼承。由於OU是新建立的，它本身並不會有任何原則，而設定禁止繼承後，更上層的原則也不會被套用，可說是一個完全乾淨的OU環境。之後再把可能造成錯誤的原則分別加入測試，就可以將互相影響的原則範圍縮到最小。

測試時可以先將較上層的原則加入，或是比對先前的套用結果，理論上每一個GPO都會有一個結果，從結果就可以找到和目標對象（例如IE）有關的原則，再分別加入這些原則，就可以知道問題為何發生。在排除問題時必須要循序漸進，先找問題在哪一層，再找哪一類、哪一條。

其他簡化管理的新功能

對於剛開始接觸電腦管理的IT人員來說，要從數千條群組原則中選擇適合的項目並不是件容易的事。在Server 2008中具有一系列稱為「入門GPO」的範本，它們是依照微軟建議的標準安全性所設定的預設原則，直接套用就能讓IT人員快速建立具有基本安全性的防護原則。這些原則具有唯讀屬性，使用時需先自行複製到OU中才能修改。

入門GPO範本分為企業電腦（Enterprise Computer，EC）及特殊安全性電腦（Specialized Security - Limited Functionality ，SSLF）兩種設定，並提供XP及Vista作業系統下的電腦和使用者群組原則設定範本。目前入門GPO只有針對安全性提供範本，如果想要在Server 2003環境中套用，必須自行至微軟下載並安裝「WindowsXPStatersGPOs.MSI」與「VistaStarterGPOs.MSI」。

除了先前提到的GPedit和GPME之外，微軟也有一些額外的管理工具可以幫助IT人員強化群組原則的設定。舉例來說，在Server 2008內建的ADSI編輯器（adsiedit.msc），就是一種專門用來建立或修改群組原則的低階編輯工具，可以用來編寫原則中的特定參數，以便調整成符合企業實際需求的功能。此外微軟桌面最佳化套件（MDOP）中，也提供了進階群組原則管理工具（AGPM），能強化GPMC的管理功能，像是自動發出群組物件異動通知等。

如果IT人員想要從遠端電腦設定群組原則，可以利用遠端伺服器管理工具（RSAT，適用於Vista SP1／Server 2008）或Windows Server 2003管理工具組（適用於XP SP1／Server 2000、2008），從個人端平臺遠端管理伺服器中的功能或角色。

目前仍缺乏軟體收集功能

雖然群組原則一直在強化，不過上述受訪的幾位專家也都認同，目前還是有一些不足之處，像是搜尋功能僅適用於系統管理範本，屬於軟體設定或Windows設定的原則都無法使用。此外在設定群組原則時，管理工具並沒有防止衝突的檢測或限制機制，因此在套用新原則時，建議不要一次大量部署，最好逐條設定並隨時利用群組原則結果這項工具來模擬套用結果，以免當設定失敗時徒增除錯難度。林文平說，現階段管理人員只能依照群組原則分類，將同類型的原則放在一起比對來避免衝突，或是依照先前提到的除錯步驟來檢查。

針對限制使用者執行或安裝軟體這項企業常用的功能，Server 2008 R2新增的AppLocker，大幅改進並彌補了過去軟體限制原則的不足，不過仍無法得知目前使用者已經安裝了哪些軟體，只能在事後禁止。如果想要事先防範，必須另外搭配System Center Configuration Manager（SCCM）或是第三方資產管理軟體才能做到，此外AppLocker也不支援排程功能，無法指定禁止或允許執行應用程式的時間。

不過即便如此，如果能善加利用群組原則，將可以顯著提升企業中使用者電腦的管理效率。接下來，將由7位專家，分別介紹實用的群組原則應用案例與功能。

更快找到指定的群組原則

群組原則篩選器可讓管理人員依照原則種類、關鍵字、套用設定，或是系統版本等不同條件，來搜尋群組原則的所在位置，當啟用這項功能後，不符合條件的原則都將被隱藏。

可模擬原則套用結果，並整合查詢機制

在Windows Server 2008 內建的GPMC中，提供了群組原則模型和群組原則結果，這2 個工具可以模擬並檢視群組原則套用至使用者電腦後的結果，以協助IT人員排除套用錯誤或未生效等問題。

快速設定安全性的好幫手：入門GPO

入門GPO 的範本具備基本的安全性設定， IT 人員在建立管理XP 或Vista電腦的群組原則時，只要依安全性等級選擇EC或SSLF原則，複製到OU中套用或修改即可，無需手動逐項設定。

祕技：使用連微軟都鮮少提及的實用工具

在Windows Server 2008 R2的環境，有一個純PowerShell的AD管理介面ADAC（Active Directory Administrative Center），它可以搭配群組原則來做更有效的管理，不過在目前臺灣微軟舉辦的多場Server 2008 R2說明會上，卻很少提到這個工具。

馮立偉表示，過去管理AD必須要一項一項查看，但在ADAC中是用單一畫面呈現所有的設定項，直接點選就可以對應到相關功能。舉例來說，如果想要查詢密碼即將過期或已經過期的使用者，只要把條件輸入過濾器，系統就會快速找出符合的物件，而且還可以跨網域，讓群組原則的部署、執行和稽核流程更加順利。

另外ADAC也可以快速查出特定的使用者是否已經一段時間沒有登入，可指定15天、30天、最高180天。

這些功能過去版本的管理工具完全做不到，管理人員只能一項項點選及查看，相當不方便。

ADAC可強化使用者帳號管理

用ADAC搭配群組原則管理工具，可以簡化使用者帳號管理流程。像是先用ADAC快速找出密碼即將到期，或是長時間未登入的使用者名稱，再到GPMC中調整權限。

相關報導請參考「用群組原則輕鬆管理使用者電腦」