《{战略管理}企业集中管理办法之组策略的操作》由会员分享,可在线阅读,更多相关《{战略管理}企业集中管理办法之组策略的操作(40页珍藏版)》请在金锄头文库上搜索。
1、WIN311:企业集中管理方法:组策略的操作,王 希 Microsoft MVP Windows & .NET Magazine (PRC),日程,组策略在企业中的应用 组策略管理的常见问题及解决 理解组策略的复杂性 组策略管理的常见问题及解决 组策略的最佳实践 组策略最佳实践:规划 针对具体设定的最佳实践,组策略在企业中应用,组策略在企业中的应用(2),组策略可以用于: 注册表设定 (WindowsXP中提供的设定数目超过700) Shell, TS, IE, MSI, Windows Update, Messenger, Net Meeting, Some Apps (i.e. Offic
2、e 2000 / XP) 安全设定 Security policies, account policies, restricted groups, services, local ACLs, Certificates, SW Restriction, IPSec IE 设定 软件安装 脚本 文件夹重定向 远程系统安装 (RIS设定),组策略管理的常见问题及解决,理解组策略使用环境的复杂性,站点由子网组成,可能会垮多个域。 GPOs不跨域储存 单个SDOU上可能关联了多个GPOs 一个GPO也可能和多个SDOUs关联。 任何SDOUs可以和任何GPOs关联,甚至跨域 (这样可能会非常慢) 可以通
3、过对安全组的权限设定(ACLs)来实现GPO的过滤,RSoP,RSoP (Resultant Set of Group Policy ) Win2k 推出后,客户对于组策略的第一改进要求 两种模式 Logging Mode: 哪些策略已应用 Planning Mode: 哪些策略将应用 在Windows.NET AD中可以实现授权,RSoP 工具,RSoP 工具 RSoP MMC snap-in 关于已应用策略的详细信息 可以远程使用 GPResult v2.0 命令行工具 可以远程使用 “帮助与支持中心”的HTML 报告 可以保存、打印 Win2000 中不支持这些工具,RSoP Plann
4、ing 模式,Windows .NET Server 提供RSoP的Planning模式 允许模拟在AD中的某个用户或者某台计算机上的设定 模拟选项: What if 分析: 改变管理范围 改变安全组的成员 改变WMI Filter状态 关联站点 慢速链接 Loopback 在哪台域控制器上运行,RSoP 授权,默认权限: Logging mode Local Admins Planning Mode Domain or Enterprise Admins 在 Windows .NET Server AD中 logging和 planning 模式均可授权. 如果对域和站点的RSoP进行授权,
5、需要Enterprise Admins身份。,RSoP 工具,demo,其他常见问题,其他常见问题 备份、恢复 导入、导出 报告功能 搜索功能 等等. 结论:组策略很难管理 解决: GPMC,GPMC 概览,什么是 GPMC (group policy management console)? 管理组策略的新工具: 提供一组可编程对象用于管理组策略 基于这些对象的MMC Snap-in GPMC 设计目标 统一的组策略管理 提供更好的用户界面 解决组策略部署中的关键性问题 允许通过脚本的方式来实现对组策略的操作,GPMC 特性概览,管理组策略的全新UI 报告功能: 可用HTML方式查看GPO设
6、定和RSoP数据 提供对GPO设定只读访问 备份、恢复GPOs 导入、导出功能 搜索功能 与RSoP整合 所有操作均可通过脚本实现 注意: 对GPO中的设定不行,关于GPMC,可用于管理 Windows 2000 或者 Windows .NET domains 在Windows .NET Server RTM之后将提供独立版本 (可通过Web下载) 系统需求: Windows .NET Server Windows XP专业版(SP1+ hotfix):,GPMC 漫游,demo,备份、恢复,备份: 将GPO设定保存在文件系统中 和导出一样 恢复: 将设定还原 GPO必须在同一个域 如果要实现
7、跨域设定转移,可以使用导入或者拷贝,备份一个GPO,备份将保存如下设定 (于文件系统中) GPO中的策略设定 GPO上的访问控制列表(ACLs) 与WMI filter的关联 (不是filter本身) 设定报告 并不备份GPO与SDOUs之间的关联关系,管理备份,多个备份可以保存于文件系统中的同一位置 多个GPOs 同一GPO的多个版本 每个备份可以通过以下方式标识: 名字,描述,域, 时间票,,GPO的GUID 可以通过GPMC查询,恢复,恢复GPO的所有属性 GPO中的策略设定 GPO的访问控制列表 与WMI filter的关联 (不是filter本身) 设定报告 使用相同的GUID 与备
8、份GPO在同一个域 并不修改GPO与SDOUs之间的关联关系,导入与拷贝:概览,仅仅转移策略设定 不修改: 访问控制列表(ACLs) WMI Filter (获关联) SDOUs与GPO的关联关系 可以在同一个域、多域或者多森林情况下使用,拷贝与导入:比较,拷贝 来源: Active Directory中某个当前存在的GPO 目标: 创建一个新的GPO 新的GUID 在GPO上使用默认的访问控制列表 导入 来源: 文件系统中某GPO的备份 目标: Active Directory中一个存在的GPO 清除目标GPO的当前策略设定 保留: 目标GPO的当前访问控制列表 与该GPO的关联关系 GPO
9、的GUID,报告,对GPO策略设定以及RSoP数据提供HTML报告 可打印,保存 (xml, html),搜索,可基于以下条件搜索GPOs 名称 明确权限 有效权限 WMI filter GUID GPOs中的策略设定 例如 查找所有: “Policy Admins” 组可以编辑的并包含“文件夹重定向”设定的GPOs,使用GPMC解决组策略管理的关键问题,demo,脚本,GPMC中的所有操作均可通过脚本实现 不能通过脚本对GPO中的设定进行操作 GPMC中包括了30多个示范脚本,使用脚本进行组策略操作,demo,组策略最佳实践,组策略最佳实践:规划,不要删除或者修改两个默认GPOs 使用GPM
10、C备份“默认域策略”和“默认域控制器策略” 每个新的GPO应先进行测试 每个GPO中只应用一组相关设定 控制通过安全组对组策略进行“过滤” 控制可管理组策略的管理员数量 GPO的命名具有描述性 如“工程部门软件部署策略”,组策略最佳实践:规划(2),在有AD的情况下,尽量不使用本地组策略 限制域上的GPO数量 尽可能不使用影响组策略默认继承性的 No Override Block 应用GPO时,尽可能将GPO关联到目标对象所在的容器上(比如OU),组策略最佳实践:管理模板,仅通过组策略对客户端进行设定,不使用其他方法修改客户端注册表 使用Windows XP/.NET中提供的最新工具来管理组策
11、略 详细的支持信息 更新了的策略注释 与帮助集成 尽量对win2000和windowsXp/.NET客户端使用同样的设定,以使用户有一致的体验,组策略最佳实践:漫游用户配置,对“我的文档”目录使用文件夹重定向 获取更快的登陆速度 优化在 XP, 2000 and NT4多系统间的漫游 各系统见使用应用程序的同一版本 确保操作系统安装在相同的 %systemdrive% 和 %windir% 对使用漫游用户配置的用户不设置太低的磁盘定额 推荐使用配置文件最大值的两倍,组策略最佳实践:文件夹重定向,让系统为每个用户创建目录 对“我的图片”和“我的文档”使用相同的设定 使用“文件夹重定向”的默认设定
12、 对储存用户数据的服务器使用“离线文件夹”设定 始终激活 “注销前同步所有离线文件夹” 设定,组策略最佳实践:软件安装,指定软件的“类别(categories)” 最终用户更易查找所需软件 在发布应用程序之前对其进行定制 发布之后将无法定制 将应用程序发布给用户或者计算机, 但不要同时 对当前应用程序重新打包,参考资料,参考资料(2),如果您有任何问题,请加入微软中文新闻组继续讨论, 2002 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.,
