企业集中管理方法-组策略的操作(PPT 40页)

来自企业集中管理方法：组策略的操作王希MicrosoftMVPWindows&.NETMagazine(PRC)来自中国最大的资料库下载日程组策略在企业中的应用组策略管理的常见问题及解决理解组策略的复杂性组策略管理的常见问题及解决组策略的最佳实践组策略最佳实践：规划针对具体设定的最佳实践来自中国最大的资料库下载组策略在企业中应用基于注册表的设定本地，域以及网络等安全选项集中管理软件安装以及维护开、关机脚本登陆、注销脚本将用户数据存放在网络上管理IE设定管理模板安全软件安装脚本文件夹重定向IE维护第三方扩展组策略有很好的扩展性来自中国最大的资料库下载组策略在企业中的应用(2)组策略可以用于:注册表设定(WindowsXP中提供的设定数目超过700)Shell,TS,IE,MSI,WindowsUpdate,Messenger,NetMeeting,…SomeApps(i.e.Office2000/XP)安全设定Securitypolicies,accountpolicies,restrictedgroups,services,localACLs,Certificates,SWRestriction,IPSecIE设定软件安装脚本文件夹重定向远程系统安装(RIS设定)来自’sA1A2理解组策略使用环境的复杂性哪一个是我的策略?GPO’sA4A5A1A2A3ADomainSiteBGPO’sB1B2DomainOU’sB1B2B3组策略不跨域继承站点由子网组成，可能会垮多个域。GPOs不跨域储存单个SDOU上可能关联了多个GPOs一个GPO也可能和多个SDOUs关联。任何SDOUs可以和任何GPOs关联，甚至跨域(这样可能会非常慢)可以通过对安全组的权限设定(ACLs)来实现GPO的过滤来自RSoP(ResultantSetofGroupPolicy)Win2k推出后，客户对于组策略的第一改进要求两种模式LoggingMode:哪些策略已应用PlanningMode:哪些策略将应用在Windows.NETAD中可以实现授权来自工具RSoP工具RSoPMMCsnap-in关于已应用策略的详细信息可以远程使用GPResultv2.0命令行工具可以远程使用“帮助与支持中心”的HTML报告可以保存、打印Win2000中不支持这些工具来自模式Windows.NETServer提供RSoP的Planning模式允许模拟在AD中的某个用户或者某台计算机上的设定模拟选项:Whatif分析:改变管理范围改变安全组的成员改变WMIFilter状态关联站点慢速链接Loopback在哪台域控制器上运行来自授权默认权限:Loggingmode–LocalAdminsPlanningMode–DomainorEnterpriseAdmins在Windows.NETServerAD中logging和planning模式均可授权.如果对域和站点的RSoP进行授权，需要EnterpriseAdmins身份。来自中国最大的资料库下载其他常见问题其他常见问题备份、恢复导入、导出报告功能搜索功能等等………….结论：组策略很难管理解决:GPMC来自概览什么是GPMC(grouppolicymanagementconsole)?管理组策略的新工具:提供一组可编程对象用于管理组策略基于这些对象的MMCSnap-inGPMC设计目标统一的组策略管理提供更好的用户界面解决组策略部署中的关键性问题允许通过脚本的方式来实现对组策略的操作来自特性概览管理组策略的全新UI报告功能:可用HTML方式查看GPO设定和RSoP数据提供对GPO设定只读访问备份、恢复GPOs导入、导出功能搜索功能与RSoP整合所有操作均可通过脚本实现注意:对GPO中的设定不行来自可用于管理Windows®2000或者Windows.NETdomains在Windows.NETServerRTM之后将提供独立版本(可通过Web下载)系统需求:Windows.NETServerWindowsXP专业版(SP1+hotfix):来自中国最大的资料库下载备份、恢复备份:将GPO设定保存在文件系统中和导出一样恢复:将设定还原GPO必须在同一个域如果要实现跨域设定转移，可以使用导入或者拷贝来自备份将保存如下设定(于文件系统中)GPO中的策略设定GPO上的访问控制列表(ACLs)与WMIfilter的关联(不是filter本身)设定报告并不备份GPO与SDOUs之间的关联关系来自中国最大的资料库下载管理备份多个备份可以保存于文件系统中的同一位置多个GPOs同一GPO的多个版本每个备份可以通过以下方式标识:名字，描述，域，时间票,，GPO的GUID可以通过GPMC查询来自中国最大的资料库下载恢复恢复GPO的所有属性GPO中的策略设定GPO的访问控制列表与WMIfilter的关联(不是filter本身)设定报告使用相同的GUID与备份GPO在同一个域并不修改GPO与SDOUs之间的关联关系来自中国最大的资料库下载导入与拷贝：概览仅仅转移策略设定不修改:访问控制列表(ACLs)WMIFilter(获关联)SDOUs与GPO的关联关系可以在同一个域、多域或者多森林情况下使用来自中国最大的资料库下载拷贝与导入：比较拷贝来源:ActiveDirectory®中某个当前存在的GPO目标:创建一个新的GPO新的GUID在GPO上使用默认的访问控制列表导入来源:文件系统中某GPO的备份目标:ActiveDirectory中一个存在的GPO清除目标GPO的当前策略设定保留:目标GPO的当前访问控制列表与该GPO的关联关系GPO的GUID来自中国最大的资料库下载报告对GPO策略设定以及RSoP数据提供HTML报告可打印，保存(xml,html)来自中国最大的资料库下载搜索可基于以下条件搜索GPOs名称明确权限有效权限WMIfilterGUIDGPOs中的策略设定例如查找所有：“PolicyAdmins”组可以编辑的并包含“文件夹重定向”设定的GPOs来自中国最大的资料库下载脚本GPMC中的所有操作均可通过脚本实现不能通过脚本对GPO中的设定进行操作GPMC中包括了30多个示范脚本来自中国最大的资料库下载组策略最佳实践：规划不要删除或者修改两个默认GPOs使用GPMC备份“默认域策略”和“默认域控制器策略”每个新的GPO应先进行测试每个GPO中只应用一组相关设定控制通过安全组对组策略进行“过滤”控制可管理组策略的管理员数量GPO的命名具有描述性如“工程部门软件部署策略”来自中国最大的资料库下载组策略最佳实践：规划(2)在有AD的情况下，尽量不使用本地组策略限制域上的GPO数量尽可能不使用影响组策略默认继承性的NoOverrideBlock应用GPO时，尽可能将GPO关联到目标对象所在的容器上(比如OU)来自中国最大的资料库下载组策略最佳实践：管理模板仅通过组策略对客户端进行设定，不使用其他方法修改客户端注册表使用WindowsXP/.NET中提供的最新工具来管理组策略详细的支持信息更新了的策略注释与帮助集成尽量对win2000和windowsXp/.NET客户端使用同样的设定，以使用户有一致的体验来自中国最大的资料库下载组策略最佳实践：漫游用户配置对“我的文档”目录使用文件夹重定向获取更快的登陆速度优化在XP,2000andNT4多系统间的漫游各系统见使用应用程序的同一版本确保操作系统安装在相同的%systemdrive%和%windir%对使用漫游用户配置的用户不设置太低的磁盘定额推荐使用配置文件最大值的两倍来自中国最大的资料库下载组策略最佳实践：文件夹重定向让系统为每个用户创建目录对“我的图片”和“我的文档”使用相同的设定使用“文件夹重定向”的默认设定对储存用户数据的服务器使用“离线文件夹”设定始终激活“注销前同步所有离线文件夹”设定来自中国最大的资料库下载组策略最佳实践：软件安装指定软件的“类别(categories)”最终用户更易查找所需软件在发布应用程序之前对其进行定制发布之后将无法定制将应用程序发布给用户或者计算机,但不要同时对当前应用程序重新打包来自中国最大的资料库下载参考资料组策略白皮书:Windows2000ServerResourceKit中《分步式系统指南》关于组策略的部分来自中国最大的资料库下载参考资料(2)来自MicrosoftManagementAlliance关于GPMC的文档Windows&.NET杂志论坛提问：Alric@winmag.com.cn来自中国最大的资料库下载如果您有任何问题，请加入微软中文新闻组继续讨论加入微软中文新闻组来自中国最大的资料库下载©2002MicrosoftCorporation.Allrightsreserved.Thispresentationisforinformationalpurposesonly.Microsoftmakesnowarranties,expressorimplied,inthissummary.来自中国最大的资料库下载