1、WIN311:企業(yè)集中管理方法：組策略的操作,王 希 Microsoft MVP Windows & .NET Magazine (PRC),日程,組策略在企業(yè)中的應(yīng)用 組策略管理的常見(jiàn)問(wèn)題及解決 理解組策略的復(fù)雜性 組策略管理的常見(jiàn)問(wèn)題及解決 組策略的最佳實(shí)踐 組策略最佳實(shí)踐：規(guī)劃 針對(duì)具體設(shè)定的最佳實(shí)踐,組策略在企業(yè)中應(yīng)用,組策略在企業(yè)中的應(yīng)用(2),組策略可以用于: 注冊(cè)表設(shè)定 (WindowsXP中提供的設(shè)定數(shù)目超過(guò)700) Shell, TS, IE, MSI, Windows Update, Messenger, Net Meeting, Some Apps (i.e. Offic

2、e 2000 / XP) 安全設(shè)定 Security policies, account policies, restricted groups, services, local ACLs, Certificates, SW Restriction, IPSec IE 設(shè)定 軟件安裝 腳本 文件夾重定向 遠(yuǎn)程系統(tǒng)安裝 (RIS設(shè)定),組策略管理的常見(jiàn)問(wèn)題及解決,理解組策略使用環(huán)境的復(fù)雜性,站點(diǎn)由子網(wǎng)組成，可能會(huì)垮多個(gè)域。 GPOs不跨域儲(chǔ)存 單個(gè)SDOU上可能關(guān)聯(lián)了多個(gè)GPOs 一個(gè)GPO也可能和多個(gè)SDOUs關(guān)聯(lián)。 任何SDOUs可以和任何GPOs關(guān)聯(lián)，甚至跨域 (這樣可能會(huì)非常慢) 可以通

3、過(guò)對(duì)安全組的權(quán)限設(shè)定(ACLs)來(lái)實(shí)現(xiàn)GPO的過(guò)濾,RSoP,RSoP (Resultant Set of Group Policy ) Win2k 推出后，客戶(hù)對(duì)于組策略的第一改進(jìn)要求 兩種模式 Logging Mode: 哪些策略已應(yīng)用 Planning Mode: 哪些策略將應(yīng)用 在Windows.NET AD中可以實(shí)現(xiàn)授權(quán),RSoP 工具,RSoP 工具 RSoP MMC snap-in 關(guān)于已應(yīng)用策略的詳細(xì)信息 可以遠(yuǎn)程使用 GPResult v2.0 命令行工具 可以遠(yuǎn)程使用 “幫助與支持中心”的HTML 報(bào)告 可以保存、打印 Win2000 中不支持這些工具,RSoP Plann

4、ing 模式,Windows .NET Server 提供RSoP的Planning模式 允許模擬在AD中的某個(gè)用戶(hù)或者某臺(tái)計(jì)算機(jī)上的設(shè)定 模擬選項(xiàng): What if 分析: 改變管理范圍 改變安全組的成員 改變WMI Filter狀態(tài) 關(guān)聯(lián)站點(diǎn) 慢速鏈接 Loopback 在哪臺(tái)域控制器上運(yùn)行,RSoP 授權(quán),默認(rèn)權(quán)限: Logging mode Local Admins Planning Mode Domain or Enterprise Admins 在 Windows .NET Server AD中 logging和 planning 模式均可授權(quán). 如果對(duì)域和站點(diǎn)的RSoP進(jìn)行授權(quán)，

5、需要Enterprise Admins身份。,RSoP 工具,demo,其他常見(jiàn)問(wèn)題,其他常見(jiàn)問(wèn)題 備份、恢復(fù) 導(dǎo)入、導(dǎo)出 報(bào)告功能 搜索功能 等等. 結(jié)論：組策略很難管理 解決: GPMC,GPMC 概覽,什么是 GPMC (group policy management console)? 管理組策略的新工具: 提供一組可編程對(duì)象用于管理組策略 基于這些對(duì)象的MMC Snap-in GPMC 設(shè)計(jì)目標(biāo) 統(tǒng)一的組策略管理 提供更好的用戶(hù)界面 解決組策略部署中的關(guān)鍵性問(wèn)題 允許通過(guò)腳本的方式來(lái)實(shí)現(xiàn)對(duì)組策略的操作,GPMC 特性概覽,管理組策略的全新UI 報(bào)告功能: 可用HTML方式查看GPO設(shè)

6、定和RSoP數(shù)據(jù) 提供對(duì)GPO設(shè)定只讀訪問(wèn) 備份、恢復(fù)GPOs 導(dǎo)入、導(dǎo)出功能 搜索功能 與RSoP整合 所有操作均可通過(guò)腳本實(shí)現(xiàn) 注意: 對(duì)GPO中的設(shè)定不行,關(guān)于GPMC,可用于管理 Windows 2000 或者 Windows .NET domains 在Windows .NET Server RTM之后將提供獨(dú)立版本 (可通過(guò)Web下載) 系統(tǒng)需求: Windows .NET Server Windows XP專(zhuān)業(yè)版(SP1+ hotfix):,GPMC 漫游,demo,備份、恢復(fù),備份: 將GPO設(shè)定保存在文件系統(tǒng)中 和導(dǎo)出一樣 恢復(fù): 將設(shè)定還原 GPO必須在同一個(gè)域 如果要實(shí)現(xiàn)

7、跨域設(shè)定轉(zhuǎn)移，可以使用導(dǎo)入或者拷貝,備份一個(gè)GPO,備份將保存如下設(shè)定 (于文件系統(tǒng)中) GPO中的策略設(shè)定 GPO上的訪問(wèn)控制列表(ACLs) 與WMI filter的關(guān)聯(lián) (不是filter本身) 設(shè)定報(bào)告 并不備份GPO與SDOUs之間的關(guān)聯(lián)關(guān)系,管理備份,多個(gè)備份可以保存于文件系統(tǒng)中的同一位置 多個(gè)GPOs 同一GPO的多個(gè)版本 每個(gè)備份可以通過(guò)以下方式標(biāo)識(shí): 名字，描述，域， 時(shí)間票,，GPO的GUID 可以通過(guò)GPMC查詢(xún),恢復(fù),恢復(fù)GPO的所有屬性 GPO中的策略設(shè)定 GPO的訪問(wèn)控制列表 與WMI filter的關(guān)聯(lián) (不是filter本身) 設(shè)定報(bào)告 使用相同的GUID 與備

8、份GPO在同一個(gè)域 并不修改GPO與SDOUs之間的關(guān)聯(lián)關(guān)系,導(dǎo)入與拷貝：概覽,僅僅轉(zhuǎn)移策略設(shè)定 不修改: 訪問(wèn)控制列表(ACLs) WMI Filter (獲關(guān)聯(lián)) SDOUs與GPO的關(guān)聯(lián)關(guān)系 可以在同一個(gè)域、多域或者多森林情況下使用,拷貝與導(dǎo)入：比較,拷貝 來(lái)源: Active Directory中某個(gè)當(dāng)前存在的GPO 目標(biāo): 創(chuàng)建一個(gè)新的GPO 新的GUID 在GPO上使用默認(rèn)的訪問(wèn)控制列表 導(dǎo)入 來(lái)源: 文件系統(tǒng)中某GPO的備份 目標(biāo): Active Directory中一個(gè)存在的GPO 清除目標(biāo)GPO的當(dāng)前策略設(shè)定 保留: 目標(biāo)GPO的當(dāng)前訪問(wèn)控制列表 與該GPO的關(guān)聯(lián)關(guān)系 GPO

9、的GUID,報(bào)告,對(duì)GPO策略設(shè)定以及RSoP數(shù)據(jù)提供HTML報(bào)告 可打印，保存 (xml, html),搜索,可基于以下條件搜索GPOs 名稱(chēng) 明確權(quán)限 有效權(quán)限 WMI filter GUID GPOs中的策略設(shè)定 例如 查找所有： “Policy Admins” 組可以編輯的并包含“文件夾重定向”設(shè)定的GPOs,使用GPMC解決組策略管理的關(guān)鍵問(wèn)題,demo,腳本,GPMC中的所有操作均可通過(guò)腳本實(shí)現(xiàn) 不能通過(guò)腳本對(duì)GPO中的設(shè)定進(jìn)行操作 GPMC中包括了30多個(gè)示范腳本,使用腳本進(jìn)行組策略操作,demo,組策略最佳實(shí)踐,組策略最佳實(shí)踐：規(guī)劃,不要?jiǎng)h除或者修改兩個(gè)默認(rèn)GPOs 使用GPM

10、C備份“默認(rèn)域策略”和“默認(rèn)域控制器策略” 每個(gè)新的GPO應(yīng)先進(jìn)行測(cè)試 每個(gè)GPO中只應(yīng)用一組相關(guān)設(shè)定 控制通過(guò)安全組對(duì)組策略進(jìn)行“過(guò)濾” 控制可管理組策略的管理員數(shù)量 GPO的命名具有描述性 如“工程部門(mén)軟件部署策略”,組策略最佳實(shí)踐：規(guī)劃(2),在有AD的情況下，盡量不使用本地組策略 限制域上的GPO數(shù)量 盡可能不使用影響組策略默認(rèn)繼承性的 No Override Block 應(yīng)用GPO時(shí)，盡可能將GPO關(guān)聯(lián)到目標(biāo)對(duì)象所在的容器上(比如OU),組策略最佳實(shí)踐：管理模板,僅通過(guò)組策略對(duì)客戶(hù)端進(jìn)行設(shè)定，不使用其他方法修改客戶(hù)端注冊(cè)表 使用Windows XP/.NET中提供的最新工具來(lái)管理組策

11、略 詳細(xì)的支持信息 更新了的策略注釋 與幫助集成 盡量對(duì)win2000和windowsXp/.NET客戶(hù)端使用同樣的設(shè)定，以使用戶(hù)有一致的體驗(yàn),組策略最佳實(shí)踐：漫游用戶(hù)配置,對(duì)“我的文檔”目錄使用文件夾重定向 獲取更快的登陸速度 優(yōu)化在 XP, 2000 and NT4多系統(tǒng)間的漫游 各系統(tǒng)見(jiàn)使用應(yīng)用程序的同一版本 確保操作系統(tǒng)安裝在相同的 %systemdrive% 和 %windir% 對(duì)使用漫游用戶(hù)配置的用戶(hù)不設(shè)置太低的磁盤(pán)定額 推薦使用配置文件最大值的兩倍,組策略最佳實(shí)踐：文件夾重定向,讓系統(tǒng)為每個(gè)用戶(hù)創(chuàng)建目錄 對(duì)“我的圖片”和“我的文檔”使用相同的設(shè)定 使用“文件夾重定向”的默認(rèn)設(shè)定

12、 對(duì)儲(chǔ)存用戶(hù)數(shù)據(jù)的服務(wù)器使用“離線文件夾”設(shè)定 始終激活 “注銷(xiāo)前同步所有離線文件夾” 設(shè)定,組策略最佳實(shí)踐：軟件安裝,指定軟件的“類(lèi)別(categories)” 最終用戶(hù)更易查找所需軟件 在發(fā)布應(yīng)用程序之前對(duì)其進(jìn)行定制 發(fā)布之后將無(wú)法定制 將應(yīng)用程序發(fā)布給用戶(hù)或者計(jì)算機(jī), 但不要同時(shí) 對(duì)當(dāng)前應(yīng)用程序重新打包,參考資料,組策略白皮書(shū): Windows 2000 Server Resource Kit 中分步式系統(tǒng)指南關(guān)于組策略的部分 ,參考資料(2),來(lái)自 Microsoft Management Alliance關(guān)于GPMC的文檔 Windows & .NET 雜志論壇 提問(wèn)：A,如果您有任何問(wèn)題，請(qǐng)加入微軟中文新