群組原則的管理工具
<又是轉自我在雜誌的文章>
在 AD 的環境下,我們不能避免使用 GPO。雖然我們可以照常使用 GPEdit.msc 以及 ADUC 等工具來管理,但其實在
Windows Server 2003 上也推出了一些工具(包括視窗介面及指令工具)可以幫助我們更有效管理 GPO。
GPUpdate.exe
使用這個指令行工具,我們可以立即更新 GPO 的設定,而不需等待系統自動更新 GPO 設定(預設下 GPO 的更新間隔為 90 分鐘)。
DCGPOFix.exe
大家都可能有試過將網域的預設 GPO 修改得面目全非,甚麼將其刪除吧。有了這個工具,我們就可以將這個預設的網域 GPO 回復原貌了。不過,這個是 Windows Server 2003 新的工具,在 Windows 2000 下不能使用。如果在 Windows 2000 出現這個情況,我們可以使用一個叫做「RecreateDefPol.exe」的工具來幫手,不過相反地只能在 Windows 2000 伺服器上使用,而這個工具也是由微軟推出的。
Redirusr.exe 以及 redircmp.exe
相信大家一定遇到這個問題:當客戶端電腦或成員伺服器加入到網域之後,就會將這些電腦預設放到「Computer」容器中,然而由於這個容器並不是 OU,所以我們又要以人手將這些電腦移到另一個 OU 中來設定 GPO。
以往我們可以透過修改 AD Schema 來設定電腦的預設容器,但由於設定上有一定風險以及很麻煩,很多人都慢慢習慣了這個更麻煩的動作。不過在 Windows Server 2003 就有工具可以方便我們修改了,就是 Redirusr.exe 以及 redircmp.exe。這兩個工具都在 %systemroot%\system32 之中。
例如我們要將以後所有將會加入網域的電腦都放在一個叫 officepc 的 OU 中,我們可以執行「redircmp ōu=officepc,DC=company,dc=local」,這樣以後新加入的電腦預設都會放到 officepc 這個 OU 了(redirusr 的用法差不多,在此不詳述)。
Group Policy Management Console(GPMC)
要說在 Windows Server 2003 管理 GPO 的工具,不得不提 GPMC 這個功能強大的 GPO 工具。GPMC 提供了一站式的 GPO 管理介面,簡單的如建立,刪除以及修改 GPO 當然不在話下,除了可以一次過管理多個網域的 GPO 之外,更可以載入/匯出 GPO 設定。而且,我們也可以透過 GPMC 來查看各個用戶或電腦對 GPO 的套用情況,如:所套用的原則設定是在那一個 GPO 中設定,GPO 的 Filtering 以及 Overriding 等。GPMC 絕對是一個不可缺少的管理工具。(GPMC 需要另外到微軟網站下載,安裝了 GPMC 就不可以使用 ADUC 中直接設定 GPO,而要運行 GPMC 來設定。)
Resultant Set of Policies(RSoP)
除了 GPMC 之外,Windows XP 以及 Windows Server 2003 也提供了一個叫做 RSoP 的 MMC Snap-in。如果我們想知道 GPO 對目前使用者在電腦上的套用情況以及影響,就可以輕鬆地透過 RSoP 來查看。(和 GPMC 不同,這個 MMC Snap-in 是內建到系統的)
