使用原则结果组.doc

使用原則結果組 24 使用原則結果組(Using Resultant Set of Policy)本文前導在Active Directory網路環境下，管理員通常透過群組原則的功能來集中設定並管理使用者或電腦上的各項工作環境組態，這包括了登錄資料庫的組態、指令檔設計、安全性設定和軟體安裝維護等項目、不過當使用者開機並登入網路時，由於群組原則通常會依據站台、網域、組織單位、子組織單位的順序連結並套用多個等級的群組原則，最後的工作環境結果就可能會因為群組原則物件設定上的衝突而出現和原先規劃不同的狀況。在目前的Windows 2000 Active Directory管理環境下，對於群組原則於大型網路環境下的規劃不易與問題診斷並沒有提供足夠的工具來協助管理員執行必要的診斷或規劃工作。server 2003的原則結果組(RSOP)則是為了解決這一個問題所新增的功能，它讓群組原則在規劃、使用及問題診斷上更容易有效率。換言之，RSoP 的提供正好可以協助您了解或預計使用者或電腦所套用的多個原則組、應用優先順序及套用內容的最後結果。這將大幅的簡化群組原則使用上的複雜度。本文將介紹原則結果組的基本概念、運作模式及實作方法與步驟。記錄模式與計劃模式RSoP 包含兩個操作模式：計劃模式(planning mode)與記錄模式(logging mode)。使用計劃模式時，您可以預先模擬所想要套用至電腦和使用者的原則設定值的效果。而記錄模式則可以報告目前已登入的電腦和使用者的現有原則設定值。 RSOP記錄模式 原則結果組 記錄模式可協助系統管理員，檢查曾套用到電腦和使用者上的現有原則設定。一般記錄模式應用於下列的狀況最為有用： 您想要追綜並了解電腦或使用者到低套用了哪些原則設定。 您想要發現有無失敗或遭到覆寫的原則設定。 您想要瞭解安全性群組如何影響原則設定。 若要在遠端電腦上執行 RSoP 記錄模式，您必須以 Domain Admins 群組或Enterprise Admins 群組成員的身分登入，或被委派 產生原則結果組 (記錄) 這項權限。而任何一個本機使用者帳戶在登入到本機電腦之後，都可以執行 RSoP 記錄模式的單一查詢作業。 RSoP 計劃模式 原則結果組的計劃模式可以幫助系統管理員進行群組原則的擴充和重新規劃。使用 RSoP 計劃模式，您可以建構一個群組則的假設性情況，以便預測變更原則設定之後所會產生的最終效果，如此一來，便可以較正確的決定不同的群組原則規劃上的可能衝擊及良窳。計劃模式通常應用於下列的狀況最為有用： 您想要模擬特定的群組原則應用於電腦、使用者、網域、組織單位或站台上的效果。 您想要在下列狀況下測試原則的優先順序： o 使用者和電腦在不同的安全性群組中。 o 使用者和電腦在不同的組織單位中。 o 使用者或電腦要移至新的位置。 您想要建立較慢的網路模擬作業(slow link processing)。 您想要建立回送模擬作業(loopback processing)。 在您決定需要進行變更之後，可以先執行一連串的 RSoP 計劃模擬作業，以查看當使用者或群組使用者移至另一個位置或安全性群組，甚至另一部電腦時，會發生什麼狀況。這包含會套用的原則設定，以及在您執行變更之後，系統會自動載入哪些檔案。 一旦對於所有可能的不同群組設定所產生的狀況都掌握了解後，才真正在線上系統實施。若要在遠端電腦上執行 RSoP 計劃模式，您必須以 Domain Admins群組或者是 Enterprise Admins 群組內的成員的身分登入，或者被委派產生原則結果組 (計劃) 權限。原則結果組嵌入式管理單元Windows server 2003 提供了一個原則結果組的嵌入式管理單元來協助您建立各項RSoP 的查詢。您可以經由微軟管理主控台(Microsoft Management Console；MMC)、Active Directory 使用者和電腦 或 Active Directory 站台及服務來開啟這個精靈程式。當您執行精靈後，會建立 RSoP 查詢並顯示其查詢結果。您也可以在這裡儲存、變更和更新您的查詢。甚至可以藉由新增多個原則結果組 嵌入式管理單元至 MMC (每個查詢一個 RSoP 嵌入式管理單元)，來建立許多 RSoP 查詢。使用RSOP記錄模式使用群組原則結果組的記錄模式可以找出目前的使用者、群組或其它的容區物件如何套用群組原則，有利於群組原則的分析及問題診斷，其實作步驟如下：1. 開啟微軟管理主控台(mmc)，並將原則結果組嵌入式管理單元新增到MMC內。圖：於MMC內加入原則結果組嵌入式管理單元2. 在主控台樹狀目錄中，於原則結果組上按一下滑鼠右鍵，再按產生 RSoP 資料選項。 3. 接下來螢幕會出現原則結果組精靈歡迎畫面，請按下一步繼續。 4. 在模式選取設定頁內選取記錄模式，再按 下一步繼續。 圖：選取記錄模式5. 在選取電腦 設定頁中，指定您要執行 RSoP 的電腦，然後按下一步繼續。 圖：選擇要顯示原則設定的電腦6. 在使用者選取設定頁中，指定您要收集 RSoP 資料的使用者，然後按 下一步按鈕繼續。 圖：選取要查詢的使用者7. 在選項的摘要 頁面中，按下一步按鈕，然後等待 RSoP 收集並處理這些設定的群組資料。 8. 在完成原則結果組精靈 頁面中，按一下完成。 圖：完成記錄模式的設定9. 在主控台樹狀目錄中，按一下新建立的 RSoP 查詢以檢視資料。 圖：完成後，檢視最後查詢的結果 使用 RSoP 計劃模式RSOP計劃模式幫助管員進行群組原則的規劃工作，可以預先顯示出各種不同選項下的效果，其實作的步驟如下：1. 利用MMC管理主控台新增原則結果組嵌入式管理單元。若需相關資訊，請參閱 相關主題。 2. 在計劃模式中啟動原則結果組精靈，並選擇使用規劃模式。 在主控台樹狀目錄中，以滑鼠右鍵於原則結果組上按一下，再選取右鍵功能表上的產生 RSoP 資料。 在原則結果組精靈中按一下下一步繼續。 在模式選取頁面上按一下計劃模式，再按下一步繼續。 圖：選取計劃模式選項3. 在選擇使用者及電腦定頁面中，指定所要規劃的使用者和電腦。 在選擇使用者及電腦設定頁面中的使用者資訊和電腦資訊 下，指定使用者和電腦的名稱，然後再按 下一步繼續。 圖：設定所要檢視或模擬的使用者和機器4. 在進階模擬選項頁面中，指定您要套用的模擬選項 如果您要模擬低速的網路連線情況，請選取低速網路連線核取方塊。 如果您要模擬回送處理 (loopback processing)，請選取回送處理 核取方塊。一旦選取了回送處理核取方塊後，您還必需選取回送處理的模式。o 取代模式可僅模擬此電腦上已套用的群組原則物件 (GPO)。o 合併模式則可模擬此電腦和使用者所套用的 GPO。 最後，請按下一步繼續。圖：選擇是否作低速網路連線或回送處理的模擬 接下來的設定頁詢問是否要模擬目前所選取的使用者或電腦的位置變更後的效果。5. 在使用者安全性群組設定頁中，模擬使用者安全性群組成員權的變更影響。 目前指派的安全性群組會出現在安全性群組 下方。 若要搜尋替代的使用者安全性群組，請按一下新增，鍵入安全性群組的名稱，再按檢查名稱，然後按安全性群組，最後選按確定。 若要將安全性群組還原為目前指派給使用者的安全性群組，請按一下還原成預設值。 圖：模擬使用者安全性群組成員的變更6. 在電腦安全性群組設定頁中，模擬電腦安全性群組成員權的變更影響。 目前指派的安全性群組會出現在安全性群組下方的列示盒內。 若要搜尋替代的電腦安全性群組，請按一下新增，鍵入安全性群組的名稱，再按檢查名稱，然後按安全性群組，最後選按確定。 若要將安全性群組還原為目前指派給電腦的安全性群組，請按一下還原成預設值。 圖：模擬腦安全性群組成員的變更7. 在使用者 WMI 篩選器設定頁中，選擇並確認 WMI 篩選器的清單 若要自動評估所有與任何群組原則物件 (GPO)相關的 WMI 篩選器為真，請按一所有已連結的篩選。 若要指定您想要哪些與任何 GPO 相關的 WMI 篩選器自動評估為真，請按一下只限這些篩選。如果您想要的篩選器不在清單中，請按一下列出篩選。 若要從清單中移除篩選器，請按一下此篩選器名稱，再按移除。為指定的電腦移除任何會被認為是錯誤條件的篩選器。 圖：設定所要連結的使用者WMI篩選器8. 在電腦 WMI 篩選器設定頁中，選擇並確認 WMI 篩選器的清單，然後按下一步。 若要自動評估所有與任何群組原則物件 (GPO)相關的 WMI 篩選器為真，請按一下所有已連結的篩選。 若要指定您想要哪些與任何 GPO 相關的 WMI 篩選器自動評估為真，請按一下只限這些篩選。如果您想要的篩選器不在清單中，請按一下列出篩選。 若要從清單中移除篩選器，請按一下此篩選器名稱，再按移除。為指定的電腦移除任何會被認為是錯誤條件的篩選器。 圖：設定所要連結的電腦WMI篩選器9. 在選項摘要設定頁中，確認模擬的資料及網域控制器 精靈程式可能需要花幾分鐘時間執行這項模擬工作。 圖：確認設定資料無誤後，開始執行模擬10. 完成原則結果組精靈 在主控台樹狀目錄中，按一下 RSOP 查詢以檢視此資料。 圖：完成原則結果組精靈程式圖：檢視模擬後的結果RSOP相關管理工作除了使用RSOP記錄模式和計劃模式外，下列的RSOP相關的操作亦有助於群組原則組的使用，包括：1. 儲存RSOP查詢的資料2. 變更RSOP查詢3. 以HTML格式檢視RSOP報告底下將分別說明它們的實作方法： 儲存RSOP查詢的資料 有時後，您可能需將目前利用原則結果組精靈程式所作的查詢的結果儲存成MMC方式，以利日後重新檢視或變改查詢，則您可以在利用精靈結果查詣後，再執行下面的步驟：1. 由MMC上的檢視功能表下，核選在主控台檔案中的保存資料項目。圖：核選保留目前的主控台上的資料內容2. 在MMC的檔案功能表下，選取儲存選項後，於出現的另存檔案對話盒中，輸入檔案名稱後按儲存即可。圖：儲存目前的查詢結果3. 日後，只需要再重新執行這個msc檔案就可以重新顯示查詢結果資料。 變更RSOP查詢 一旦RSOP查詢完畢，您還可以變更不同的條件或選項來重新查詢，作法很簡單：1. 於MMC左邊的目錄結構下，選擇想要變更查詢的RSOP查詢結果的項目，按滑鼠右鍵，於出現的功能表下選擇變更查詢選項(下圖)圖 ：選擇變更查詢選項2. 接下來利用畫面上的RSOP精靈程式，依畫面指示重新選擇不同的項目來變更查詢。以HTML格式檢視RSOP報告原則結果組還提供了一個好用的HTML格式的報告功能，方便檢視，修改、列印與攜帶。1. 由開始功能表下，啟動說明及支援選項。2. 在支援工具下，選按工具項目(下圖)。圖：啟動server 2003的支援工具3. 接下來於左側的Help and Support Center Tools項目底下，選按Advanced System Information項目(圖 )圖：選按Advanced System Information4. 緊接下來，請選按右側的檢視套用的組原則設定。圖：按檢視套用的群組原則設定5. 工具將會開始進行分析，分析後