《《精编》企业集中管理方法之组策略的操作》由会员分享,可在线阅读,更多相关《《精编》企业集中管理方法之组策略的操作(40页珍藏版)》请在金锄头文库上搜索。
1、WIN311 企业集中管理方法 组策略的操作 王希MicrosoftMVPWindows NETMagazine PRC 日程 组策略在企业中的应用组策略管理的常见问题及解决理解组策略的复杂性组策略管理的常见问题及解决组策略的最佳实践组策略最佳实践 规划针对具体设定的最佳实践 组策略在企业中应用 组策略在企业中的应用 2 组策略可以用于 注册表设定 WindowsXP中提供的设定数目超过700 Shell TS IE MSI WindowsUpdate Messenger NetMeeting SomeApps i e Office2000 XP 安全设定Securitypolicies ac
2、countpolicies restrictedgroups services localACLs Certificates SWRestriction IPSecIE设定软件安装脚本文件夹重定向远程系统安装 RIS设定 组策略管理的常见问题及解决 理解组策略使用环境的复杂性 站点由子网组成 可能会垮多个域 GPOs不跨域储存单个SDOU上可能关联了多个GPOs一个GPO也可能和多个SDOUs关联 任何SDOUs可以和任何GPOs关联 甚至跨域 这样可能会非常慢 可以通过对安全组的权限设定 ACLs 来实现GPO的过滤 RSoP RSoP ResultantSetofGroupPolicy W
3、in2k推出后 客户对于组策略的第一改进要求两种模式LoggingMode 哪些策略已应用PlanningMode 哪些策略将应用在Windows NETAD中可以实现授权 RSoP工具 RSoP工具RSoPMMCsnap in关于已应用策略的详细信息可以远程使用GPResultv2 0命令行工具可以远程使用 帮助与支持中心 的HTML报告可以保存 打印Win2000中不支持这些工具 RSoPPlanning模式 Windows NETServer提供RSoP的Planning模式允许模拟在AD中的某个用户或者某台计算机上的设定模拟选项 Whatif分析 改变管理范围改变安全组的成员改变WMI
4、Filter状态关联站点慢速链接Loopback在哪台域控制器上运行 RSoP授权 默认权限 Loggingmode LocalAdminsPlanningMode DomainorEnterpriseAdmins在Windows NETServerAD中logging和planning模式均可授权 如果对域和站点的RSoP进行授权 需要EnterpriseAdmins身份 RSoP工具 demo 其他常见问题 其他常见问题备份 恢复导入 导出报告功能搜索功能等等 结论 组策略很难管理解决 GPMC GPMC概览 什么是GPMC grouppolicymanagementconsole 管理组
5、策略的新工具 提供一组可编程对象用于管理组策略基于这些对象的MMCSnap inGPMC设计目标统一的组策略管理提供更好的用户界面解决组策略部署中的关键性问题允许通过脚本的方式来实现对组策略的操作 GPMC特性概览 管理组策略的全新UI报告功能 可用HTML方式查看GPO设定和RSoP数据提供对GPO设定只读访问备份 恢复GPOs导入 导出功能搜索功能与RSoP整合所有操作均可通过脚本实现注意 对GPO中的设定不行 关于GPMC 可用于管理Windows 2000或者Windows NETdomains在Windows NETServerRTM之后将提供独立版本 可通过Web下载 系统需求 W
6、indows NETServerWindowsXP专业版 SP1 hotfix GPMC漫游 demo 备份 恢复 备份 将GPO设定保存在文件系统中和导出一样恢复 将设定还原GPO必须在同一个域如果要实现跨域设定转移 可以使用导入或者拷贝 备份一个GPO 备份将保存如下设定 于文件系统中 GPO中的策略设定GPO上的访问控制列表 ACLs 与WMIfilter的关联 不是filter本身 设定报告并不备份GPO与SDOUs之间的关联关系 管理备份 多个备份可以保存于文件系统中的同一位置多个GPOs同一GPO的多个版本每个备份可以通过以下方式标识 名字 描述 域 时间票 GPO的GUID可以通
7、过GPMC查询 恢复 恢复GPO的所有属性GPO中的策略设定GPO的访问控制列表与WMIfilter的关联 不是filter本身 设定报告使用相同的GUID与备份GPO在同一个域并不修改GPO与SDOUs之间的关联关系 导入与拷贝 概览 仅仅转移策略设定不修改 访问控制列表 ACLs WMIFilter 获关联 SDOUs与GPO的关联关系可以在同一个域 多域或者多森林情况下使用 拷贝与导入 比较 拷贝来源 ActiveDirectory 中某个当前存在的GPO目标 创建一个新的GPO新的GUID在GPO上使用默认的访问控制列表导入来源 文件系统中某GPO的备份目标 ActiveDirecto
8、ry中一个存在的GPO清除目标GPO的当前策略设定保留 目标GPO的当前访问控制列表与该GPO的关联关系GPO的GUID 报告 对GPO策略设定以及RSoP数据提供HTML报告可打印 保存 xml html 搜索 可基于以下条件搜索GPOs名称明确权限有效权限WMIfilterGUIDGPOs中的策略设定例如查找所有 PolicyAdmins 组可以编辑的并包含 文件夹重定向 设定的GPOs 使用GPMC解决组策略管理的关键问题 demo 脚本 GPMC中的所有操作均可通过脚本实现不能通过脚本对GPO中的设定进行操作GPMC中包括了30多个示范脚本 使用脚本进行组策略操作 demo 组策略最佳
9、实践 组策略最佳实践 规划 不要删除或者修改两个默认GPOs使用GPMC备份 默认域策略 和 默认域控制器策略 每个新的GPO应先进行测试每个GPO中只应用一组相关设定控制通过安全组对组策略进行 过滤 控制可管理组策略的管理员数量GPO的命名具有描述性如 工程部门软件部署策略 组策略最佳实践 规划 2 在有AD的情况下 尽量不使用本地组策略限制域上的GPO数量尽可能不使用影响组策略默认继承性的NoOverrideBlock应用GPO时 尽可能将GPO关联到目标对象所在的容器上 比如OU 组策略最佳实践 管理模板 仅通过组策略对客户端进行设定 不使用其他方法修改客户端注册表使用WindowsXP
10、 NET中提供的最新工具来管理组策略详细的支持信息更新了的策略注释与帮助集成尽量对win2000和windowsXp NET客户端使用同样的设定 以使用户有一致的体验 组策略最佳实践 漫游用户配置 对 我的文档 目录使用文件夹重定向获取更快的登陆速度优化在XP 2000andNT4多系统间的漫游各系统见使用应用程序的同一版本确保操作系统安装在相同的 systemdrive 和 windir 对使用漫游用户配置的用户不设置太低的磁盘定额推荐使用配置文件最大值的两倍 组策略最佳实践 文件夹重定向 让系统为每个用户创建目录对 我的图片 和 我的文档 使用相同的设定使用 文件夹重定向 的默认设定对储存
11、用户数据的服务器使用 离线文件夹 设定始终激活 注销前同步所有离线文件夹 设定 组策略最佳实践 软件安装 指定软件的 类别 categories 最终用户更易查找所需软件在发布应用程序之前对其进行定制发布之后将无法定制将应用程序发布给用户或者计算机 但不要同时对当前应用程序重新打包 参考资料 参考资料 2 如果您有任何问题 请加入微软中文新闻组继续讨论 2002MicrosoftCorporation Allrightsreserved Thispresentationisforinformationalpurposesonly Microsoftmakesnowarranties expressorimplied inthissummary
