Jeremy Moskowitz Michael:我想许多人都想知道,您认为您在领导 Microsoft 组策略团队这段时间内所取得的最大成就是什么。
Michael Dennis :最大的成就应追溯到很久以前,那时我们正全力开发后来称为组策略的项目。我们已经在 Windows NT® 4.0 上有了系统策略,因此我们开始对这方面以及所存在的问题予以关注。因为当时正处于 Active Directory® 开发期间,所以我们着眼于需要更好地解决客户端和服务器的可管理性方面。
当时即构想以层次结构来构建组策略,这种构想之前从未实施过,这对我们是一个巨大挑战。因此,我们开始专注于核心基础结构、客户端进程以及与 Active Directory 的集成。
我们所取得的最大成就的副产物同时也是我们的最大失误所在。那是因为我们在 Windows 2000 中提供的 GUI 出现了许多问题。人们需要一个组策略专家才能有效使用它,因为管理员需要了解所有的一切是如何运作的。真希望当时就能够创建并提供组策略管理控制台 (GPMC) 和策略的结果集 (RSoP)(尽管当时的设计规范包含了这些内容)。
JM :您希望能在组策略中包含哪些内容?
MD :值得高兴的是,我希望在 Windows 2000 版本后能够包含的内容如今都已在 Windows Vista 中实现 — 例如 RSoP、GPMC,以及增加的各种设置等。真希望我们能够早些完成所有这一切。
此外,我还希望合作伙伴们能够更方便地对组策略基础结构进行扩展。我们的服务器端/客户端扩展模型要求开发人员进行大量工作。不过,也许有人会说我们的 ADM/ADMX 模板结构已经能够提供一个方便的可扩展框架。但是,如果该系统部分能够允许人们扩展更多类型的设置,那再好不过了。
我还希望 GPMC 报告功能对于合作伙伴和第三方开发人员具有更好的可扩展性。这是第三方工具供应商一直迫切希望的。
JM :人们对于组策略团队尚有哪些不了解的方面?
MD :有时人们并不清楚组策略团队在整个体系中所处的位置。人们普遍认为我们负责构建基础结构、传输以及服务器端和客户端部分。但是仅在 Windows Vista 中,我们就与 Microsoft 的 120 个不同团队展开合作,以使各项新设置在此版本中准备就绪。
读者应当清楚,组策略不应为启动或登录时的系统运行缓慢问题负责。如果出现运行缓慢的情况,应当是组策略负载的原因。如果您让组策略执行某个重量级任务,它只是按照指示执行。例如,如果让它在每台计算机上安装 Microsoft Office,那就等着吧。但是要清楚它只是在执行您的指示,它将安装所有 Office,之后才会给出登录提示。这属于运行缓慢吗?您当然会如此认为,但是作为部署它的管理员,这只是您希望系统做的。
JJM :您一般喜欢使用组策略展示哪些得意之处?
MD :最近,我一直喜欢展示 Windows Vista 中所含的某些新设置。可移动设备设置(用于限制诸如 USB 记忆棒等)是人们一直以来所期盼的。Windows Vista 提供了大约 2,400 项设置,这大大提升了管理员的控制能力。我喜欢询问客户需要进行哪些控制,然后为他们展示如何实现。
JM :您为什么从 ADM 转为使用 ADMX 文件?
MD :从技术角度讲,我们不需要那样做也能在 Windows Vista 中实现新的中心存储功能。转为 ADMX 的一个重要推动因素是这使我们能够相应支持多语言。
过去,在多语言环境中,您经常会遇到无法用另一种语言充分写出 GPO 中的 ADM 文件内容的情况。由于历史原因,我们借用了 Windows NT 4.0 的 ADM 格式,它又是借用自 Windows 98,而后者又借用自 Windows 95。如果那时就有了 XML,我们的文件格式会有一个更好的选择。
但是现在,因为有了 XML,多语言支持变得更简单,并且将来还有机会针对我们目前架构化的语言进行注册表和设置增强。
JJM :在 GP 团队的工作过程中,您必须克服的最大内部困难是什么?
MD :团队所面临的最大也是一直存在的问题是试图使 Windows 的其他组件能够通过策略启用其功能。
某个团队可能会说“我们刚刚构建了这一伟大的新功能。怎么会有人想要关闭它呢?”。对此我们可以理解。但是我们确实经历了许多这类问题。
此外还有与通过策略启用某些功能相关的技术难题,新推出的高级安全 Windows 防火墙 (Windows Firewall with Advanced Security, WFAS) 就是一例。WFAS 是一块难啃的骨头,很难直接通过策略正确启用它。WFAS 团队为 Windows Vista 创建的接口很好,但正确处理它却是难上加难。
在 Windows Vista 之前的 Windows 版本中,产品团队自身并不总是考虑通过策略启用他们的组件。但是,在 Windows Vista 的开发过程中,许多团队都来询问我们如何这样做。那真的令人望而生畏!
JM : 您下一步准备做些什么?
MD :我正准备调到“移动信息工作者”团队,该团队负责 Smartphone、Pocket PC 等项目。我的任务会是将 Windows Server System 中的管理技术扩展到 Windows Mobile® 设备中。
我会将我对可管理性的憧憬和热情倾注到这一新领域。与此同时,我已经将组策略团队提升到一个重要地位,即使我不在,他们也能够不断向前发展。
JM :您还想对我们的读者说些什么?
MD :在组策略的整个发展过程中,一项重要措施就是面对客户,切实了解他们要做些什么。如果客户已经有了一个良好的方案结构构思,他们会希望组策略能够包容他们的想法;如果他们有了一个执行某项任务的业务案例,他们需要将情况反馈给我们。
我们有一套良好的信息反馈机制,任何人都可以通过 WindowsServerFeedback.com 向我们反馈信息。找到其中的“组策略”按钮即可。
如果大家能够明确说明“这是我的问题,这是我的业务案例,我需要系统能够完成这项任务,这是原因所在”,那么这类信息对我们来说是非常非常有价值的。那些决定实施组策略的人们应认真阅读其中提供的每个条目。
同样,如果您希望通过实施组策略获得实效,也请告诉我们您的需要。但是,请不要只是告诉我们说“我们需要一个完成某任务的策略设置”,而不告诉我们原因。“如何实现”是我们的工作要解决的,但组策略团队真正需要了解的是“为什么”。
JM :非常感谢您抽出时间和我们分享您在 Microsoft 组策略团队的经历。祝您一切都好!
MD :谢谢您,Jeremy。
Jeremy Moskowitz是 MCSE 和组策略方面的 MVP,他管理着 GPanswers.com,这是一个关于组策略的社区论坛。他负责一系列有关组策略的深入培训研讨会。他的最新著作是“Group Policy:Management, Troubleshooting and Security”(组策略:管理、疑难解答与安全性)(Sybex, 2007)。您可通过 www.GPanswers.com 与 Jeremy 联系