域 = 仅限 w2k3 DC
工作站 = xp、vista,现在还有一些 Win 7 Enterprise
我的 Windows 7 计算机上安装了 RSAT 工具。
我可以在我的 Win 7 计算机上“大部分”为域管理组策略管理,甚至使用 XP 客户端。
但是,某些策略(例如 Windows 防火墙策略)会显示不同的设置,甚至不同的界面,这取决于我在 Vista/Win7 上使用 GPMC 还是在 W2k3 上使用 GPMC。
如果我在 Vista/Win7 GPMC 上创建新设置,然后尝试查看 w2k3 上的 GPMC 中的那些 gpo 设置,那么它通常会显示“无法显示页面”...尽管它在 Vista/Win7 GPMC 上看起来很好。
所以......我的问题是......
我应该使用什么 GPMC 或可以使用什么 GPMC 来正确管理和将 GPO 部署到 XP、Vista 和 Win7 计算机?我可以使用单个控制台吗?如果可以,我该使用哪一个?无论如何都存在问题(优点/缺点)吗?
我喜欢使用 Windows 7 中的附加功能,但我担心它对 XP 的“向后兼容性”(例如策略中的 Windows 防火墙设置)。
答案1
我刚刚读了这篇文章。你会发现一些非常有用的信息http://technet.microsoft.com/en-us/library/cc766208%28WS.10%29.aspxGPO 如何在混合模式环境中工作。
基本上,建议使用较新的客户端来管理 GPO,因为它有许多改进 - 其中包括如何将 GPO 本身存储在 SYSVOL 共享上。
正如您在防火墙设置中注意到的那样,GPO 的某些部分在不同版本之间是不兼容的。我一直在尝试查找有关此问题的 MS 文档,但一时找不到。不过,搜索一下,您就会找到它。
答案2
据我了解,该问题与 AD 树本身的架构有关,在某种程度上也与您拥有的 DC 类型有关。您拥有 2003 树。如果我没记错的话,2003r2 包含 GPO 改进以支持 Vista 客户端。2008 在这方面进行了更多改进,2008r2 为 GPO 环境添加了 Win7 支持。
使用 GPO 控制台作为域中的架构级别。听起来您应该使用 2003 版 gpmc,而不是 2008 版 gpmc。
答案3
GPO 与 AD 架构版本无关。AD 仅存储 GUID、链接和指向实际存储 GPO 设置的 SYSVOL\domain\policies 共享的指针。