none
Win 2003 Server的GPO問題? RRS feed

  • 問題

  • 請問各位大大,

    AD為Windows 2003 Server,
    Client為VISTA

    在GPMC是否可以管理到VISTA??
    有何種方式呢??

    目前有碰到VISTA無法被AD為Win 2003 SERVER套用群組原則,
    所以想問一下各位是否有碰過??

    若可以是否有限定版本呢?(例如:windows 2003 r2 Sp2....等)

    有人則建議AD改為Win 2008,
    是否有其他方式呢??

    謝謝!!
    2009年3月26日 上午 10:10

解答

  • 有幾種方法:
    1. 用一台已加入網域的Vista SP1電腦,安裝RSAT工具,藉由該工具及電腦去管理網域的GPO。這樣,就能看到Vista的相關GPO設定了。
    2. 用一台已加入網域的Win2008 電腦,到伺服器管理員 -> 功能 -> 新增「群組原則管理」功能,再利用該電腦去管理網域的GPO。
    上面這兩個方法可能要注意權限的問題。

    3. 個人比較推薦的方法,就是在原本的網域裡面新增一台Server 2008 的DC,再從該DC上做GPO的管理。

    另外,可能要注意的一點是,建議GPO 最好能用WMI Filter 將OS 版本分開,比如XP 跟Vista 拆開套用。因為去年九月參加Vista企業用戶回娘家活動時,講師有提到直接套用像是防火牆設定,在不同世代的OS上會有一些奇怪的事情。

    不好意思,這個部分的詳情記不太得了。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已標示為解答 張瑋 2009年3月27日 下午 12:45
    2009年3月26日 上午 10:44
    版主
  • 在GPO裡面使用WMI Filter 的語法,
    在去年9/5 Vista 回娘家活動的企業用戶講義裡面有,
    不過很可惜,我剛再去試了一下官方提供的連結,發現都已經失效了。
    [文件] Windows Vista 用戶回娘家 - 課程講義、Q&A文件區(2008年9~11月)

    如果貴公司Vista 使用的總人數約40%,
    就算不把AD升級到2008,其實我覺得對於用戶沒有什麼差別,
    除非你認為2008 的網域功能對你們來說很重要,不過我覺得正常管理GPO 這件事情倒是非常重要。
    (可以參考看看微軟技術文件:Windows Server 2008 中的 Active Directory 網域服務新功能

    我想比較正確的問題應該是,在AD環境裡面增加一台Server 2008 的DC,
    然後利用該DC 去管理GPO後,對於XP用戶端的GPO套用是否有問題?
    我個人之前有用LAB小測過一段時間,是沒有發現異常的狀況,
    就看有無其他先進有更多經驗分享。

    至於你提到的方法,應該就是這篇微軟技術文件所提到的方法:Editing Domain-Based GPOs Using ADMX Files

    最後,我回家挖出去年參加活動的講義,找到去年講師提到的GPO 狀況,
    主要是Vista 套用了XP Firewall Policy卻無法正常Work,
    提供的解決方法就是利用WMI Filter 去分開不同版本的OS作套用。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已標示為解答 張瑋 2009年3月27日 下午 12:45
    2009年3月26日 下午 03:52
    版主

所有回覆

  • 有幾種方法:
    1. 用一台已加入網域的Vista SP1電腦,安裝RSAT工具,藉由該工具及電腦去管理網域的GPO。這樣,就能看到Vista的相關GPO設定了。
    2. 用一台已加入網域的Win2008 電腦,到伺服器管理員 -> 功能 -> 新增「群組原則管理」功能,再利用該電腦去管理網域的GPO。
    上面這兩個方法可能要注意權限的問題。

    3. 個人比較推薦的方法,就是在原本的網域裡面新增一台Server 2008 的DC,再從該DC上做GPO的管理。

    另外,可能要注意的一點是,建議GPO 最好能用WMI Filter 將OS 版本分開,比如XP 跟Vista 拆開套用。因為去年九月參加Vista企業用戶回娘家活動時,講師有提到直接套用像是防火牆設定,在不同世代的OS上會有一些奇怪的事情。

    不好意思,這個部分的詳情記不太得了。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已標示為解答 張瑋 2009年3月27日 下午 12:45
    2009年3月26日 上午 10:44
    版主
  • 謝謝您熱心的回應

    抱歉由於小弟經驗不多,
    故在請問WMI Filter該如何建立呢??
    是否有參考資料呢??

    假設當VISTA使用總人數佔約40%,
    是否建議將AD轉為2008?
    若為2008時,對XP用戶端套用GPO是否會有問題??


    在網路上有人提到:
    1.在Windows 2003 DC上塞入Vista光碟(建議塞入Vista SP1)
    2.光碟目錄 \sources\adprep中
    3.執行adprep.exe /forestprep
    4.在執行adprep.exe /domainprep
    5.將Vista sp1作業系統中 %SystemRoot%\PolicyDefinitions 整個資料夾複製
       到 DC 上%SystemRoot%\SYSVOL\[domainName]\Policies\PolicyDefinitions
      註:可以直接將檔案複製到DC對應資料夾,再由Vista進行管理,應可再開啟GPMC後,可以確認是否可連至03 Server上讀取ADMX
    6.使用Vista or windows2008 使用GPMC管理GPO
    7.由於Vista sp1又把GPMC拿掉了,所以如需在Vista sp1上管理GPO需安裝RSAT(Remote Server Administrator Tools)管理工具
    以上作法是否可行??
    2009年3月26日 下午 12:10
  • 在GPO裡面使用WMI Filter 的語法,
    在去年9/5 Vista 回娘家活動的企業用戶講義裡面有,
    不過很可惜,我剛再去試了一下官方提供的連結,發現都已經失效了。
    [文件] Windows Vista 用戶回娘家 - 課程講義、Q&A文件區(2008年9~11月)

    如果貴公司Vista 使用的總人數約40%,
    就算不把AD升級到2008,其實我覺得對於用戶沒有什麼差別,
    除非你認為2008 的網域功能對你們來說很重要,不過我覺得正常管理GPO 這件事情倒是非常重要。
    (可以參考看看微軟技術文件:Windows Server 2008 中的 Active Directory 網域服務新功能

    我想比較正確的問題應該是,在AD環境裡面增加一台Server 2008 的DC,
    然後利用該DC 去管理GPO後,對於XP用戶端的GPO套用是否有問題?
    我個人之前有用LAB小測過一段時間,是沒有發現異常的狀況,
    就看有無其他先進有更多經驗分享。

    至於你提到的方法,應該就是這篇微軟技術文件所提到的方法:Editing Domain-Based GPOs Using ADMX Files

    最後,我回家挖出去年參加活動的講義,找到去年講師提到的GPO 狀況,
    主要是Vista 套用了XP Firewall Policy卻無法正常Work,
    提供的解決方法就是利用WMI Filter 去分開不同版本的OS作套用。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已標示為解答 張瑋 2009年3月27日 下午 12:45
    2009年3月26日 下午 03:52
    版主
  • 感謝您的回覆及提供寶貴的意見,

    若在AD中添加一台Server 2008 的DC是否需要將5大角色轉移至Server 2008??
    若無需轉移五大角色,是否將GPO統一都由SERVER 2008中管理VISTA及XP,
    則無須再利用到2003的GPMC管理Client??

    我也順便尋找了依下有關WMI Filter及XP Firewall相關文件,
    找到了以下文件
    http://download.microsoft.com/download/A/0/D/A0D4CF2B-9B70-4846-A18D-0765D1F75343/WindowsVistaGroupPolicy.pptx

    該文件中有以下方式:

    問題描述:
    Vista 套用了XP Firewall Policy後,無法正常的Work,但XP Client不會有此問題。
    解決方法:
    使用Windows Vista的進階Firewall Policy來管理Vista Client
    使用WMI filter解決
    範例:
    Select * from Win32_operatingsystem where BuildNumber != 6000
    Select * from Win32_operatingsystem where BuildNumber = 6000
    Select * from Win32_OperatingSystem where Caption = “Microsoft Windows XP Professional” or Caption = “Microsoft Windows 2000 Professional”
    Select * from Win32_OperatingSystem where Caption = "Microsoft Windows Vista Enterprise”

    2009年3月26日 下午 05:02
  • 不需要把FSMO五大角色移至Server 2008 的DC 上才能管理GPO,
    只要增添了一台Server 2008 的DC 就能直接管理了,
    我在公司也不是用主DC 在管理GPO。 :)

    對了,你找到的那份簡報檔就是我去年參加活動時的講義。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年3月27日 上午 12:37
    版主
  • 感謝!!

    測試以上的方法皆可以!!
    2009年3月30日 上午 08:19
  • 若由win 2008為DC去管理

    我的設定方式如下:

    1.WMI篩選器中加入一筆:
        命名空間root\CIMv2  查詢Select * from Win32_operatingsystem where BuildNumber = 6000
    2.新增GPO:
        電腦設定->網路->禁止在您的 DNS 網域網路中使用網際網路連線防火牆 <<設定為[啟用]並[強制]

    在VISTA依然無效!!也有在CMD執行gpupdate /force也沒有套用GPO

    想問一下哪邊設定有問題??




       

    • 已編輯 張瑋 2009年4月29日 下午 03:20
    2009年4月29日 下午 03:02
  • vista 版本該如何查詢??
    我們都大多都使用VISTA 商業版 也已更新至SP1
    2009年4月29日 下午 03:20
  • 執行 winver 指令就可以看到
    如果是SP1的話,他的BuildNumber是 6001

    2009年4月29日 下午 03:23
  • 謝謝您!!

    後來發現需要在
    電腦設定->網路->網域設定->Windows 防火牆:保護所有網路連線<<設定為[停用]

    就可以了!!
    2009年4月29日 下午 03:44
  • 發現BuildNumber = 6001 是給Server 2008的
    真是一場誤會..不過有解決就好

    2009年4月29日 下午 03:47