WIN企业集中管理方法组策略的操作.ppt

《WIN企业集中管理方法组策略的操作.ppt》由会员分享，可在线阅读，更多相关《WIN企业集中管理方法组策略的操作.ppt（40页珍藏版）》请在三一办公上搜索。

1、WIN311:企业集中管理方法：组策略的操作,王 希Microsoft MVP Windows&.NET Magazine(PRC),日程,组策略在企业中的应用组策略管理的常见问题及解决理解组策略的复杂性组策略管理的常见问题及解决组策略的最佳实践组策略最佳实践：规划针对具体设定的最佳实践,组策略在企业中应用,组策略在企业中的应用(2),组策略可以用于:注册表设定(WindowsXP中提供的设定数目超过700)Shell,TS,IE,MSI,Windows Update,Messenger,Net Meeting,Some Apps(i.e.Office 2000/XP)安全设定Security

2、 policies,account policies,restricted groups,services,local ACLs,Certificates,SW Restriction,IPSecIE 设定软件安装脚本文件夹重定向远程系统安装(RIS设定),组策略管理的常见问题及解决,理解组策略使用环境的复杂性,站点由子网组成，可能会垮多个域。GPOs不跨域储存单个SDOU上可能关联了多个GPOs一个GPO也可能和多个SDOUs关联。任何SDOUs可以和任何GPOs关联，甚至跨域(这样可能会非常慢)可以通过对安全组的权限设定(ACLs)来实现GPO的过滤,RSoP,RSoP(Resultant

3、 Set of Group Policy)Win2k 推出后，客户对于组策略的第一改进要求两种模式Logging Mode:哪些策略已应用Planning Mode:哪些策略将应用在Windows.NET AD中可以实现授权,RSoP 工具,RSoP 工具RSoP MMC snap-in 关于已应用策略的详细信息可以远程使用GPResult v2.0 命令行工具 可以远程使用“帮助与支持中心”的HTML 报告可以保存、打印Win2000 中不支持这些工具,RSoP Planning 模式,Windows.NET Server 提供RSoP的Planning模式允许模拟在AD中的某个用户或者某台

4、计算机上的设定模拟选项:What if 分析:改变管理范围改变安全组的成员改变WMI Filter状态关联站点慢速链接Loopback在哪台域控制器上运行,RSoP 授权,默认权限:Logging mode Local AdminsPlanning Mode Domain or Enterprise Admins在 Windows.NET Server AD中 logging和 planning 模式均可授权.如果对域和站点的RSoP进行授权，需要Enterprise Admins身份。,RSoP 工具,demo,其他常见问题,其他常见问题备份、恢复导入、导出报告功能搜索功能等等.结论：组策略

5、很难管理解决:GPMC,GPMC 概览,什么是 GPMC(group policy management console)?管理组策略的新工具:提供一组可编程对象用于管理组策略基于这些对象的MMC Snap-inGPMC 设计目标统一的组策略管理提供更好的用户界面解决组策略部署中的关键性问题允许通过脚本的方式来实现对组策略的操作,GPMC 特性概览,管理组策略的全新UI报告功能:可用HTML方式查看GPO设定和RSoP数据 提供对GPO设定只读访问备份、恢复GPOs导入、导出功能搜索功能与RSoP整合所有操作均可通过脚本实现注意:对GPO中的设定不行,关于GPMC,可用于管理 Windows

6、2000 或者 Windows.NET domains在Windows.NET Server RTM之后将提供独立版本(可通过Web下载)系统需求:Windows.NET ServerWindows XP专业版(SP1+hotfix):,GPMC 漫游,demo,备份、恢复,备份:将GPO设定保存在文件系统中和导出一样恢复:将设定还原GPO必须在同一个域如果要实现跨域设定转移，可以使用导入或者拷贝,备份一个GPO,备份将保存如下设定(于文件系统中)GPO中的策略设定GPO上的访问控制列表(ACLs)与WMI filter的关联(不是filter本身)设定报告并不备份GPO与SDOUs之间的关联

7、关系,管理备份,多个备份可以保存于文件系统中的同一位置多个GPOs同一GPO的多个版本每个备份可以通过以下方式标识:名字，描述，域，时间票,，GPO的GUID可以通过GPMC查询,恢复,恢复GPO的所有属性GPO中的策略设定GPO的访问控制列表与WMI filter的关联(不是filter本身)设定报告使用相同的GUID与备份GPO在同一个域并不修改GPO与SDOUs之间的关联关系,导入与拷贝：概览,仅仅转移策略设定不修改:访问控制列表(ACLs)WMI Filter(获关联)SDOUs与GPO的关联关系可以在同一个域、多域或者多森林情况下使用,拷贝与导入：比较,拷贝来源:Active Dir

8、ectory中某个当前存在的GPO目标:创建一个新的GPO新的GUID在GPO上使用默认的访问控制列表导入来源:文件系统中某GPO的备份目标:Active Directory中一个存在的GPO清除目标GPO的当前策略设定 保留:目标GPO的当前访问控制列表与该GPO的关联关系GPO的GUID,报告,对GPO策略设定以及RSoP数据提供HTML报告可打印，保存(xml,html),搜索,可基于以下条件搜索GPOs名称明确权限有效权限WMI filterGUIDGPOs中的策略设定例如 查找所有：“Policy Admins”组可以编辑的并包含“文件夹重定向”设定的GPOs,使用GPMC解决组策略

9、管理的关键问题,demo,脚本,GPMC中的所有操作均可通过脚本实现不能通过脚本对GPO中的设定进行操作GPMC中包括了30多个示范脚本,使用脚本进行组策略操作,demo,组策略最佳实践,组策略最佳实践：规划,不要删除或者修改两个默认GPOs使用GPMC备份“默认域策略”和“默认域控制器策略”每个新的GPO应先进行测试每个GPO中只应用一组相关设定控制通过安全组对组策略进行“过滤”控制可管理组策略的管理员数量GPO的命名具有描述性如“工程部门软件部署策略”,组策略最佳实践：规划(2),在有AD的情况下，尽量不使用本地组策略限制域上的GPO数量尽可能不使用影响组策略默认继承性的No Overri

10、deBlock应用GPO时，尽可能将GPO关联到目标对象所在的容器上(比如OU),组策略最佳实践：管理模板,仅通过组策略对客户端进行设定，不使用其他方法修改客户端注册表使用Windows XP/.NET中提供的最新工具来管理组策略详细的支持信息更新了的策略注释 与帮助集成尽量对win2000和windowsXp/.NET客户端使用同样的设定，以使用户有一致的体验,组策略最佳实践：漫游用户配置,对“我的文档”目录使用文件夹重定向 获取更快的登陆速度优化在 XP,2000 and NT4多系统间的漫游各系统见使用应用程序的同一版本确保操作系统安装在相同的%systemdrive%和%windir%

11、对使用漫游用户配置的用户不设置太低的磁盘定额 推荐使用配置文件最大值的两倍,组策略最佳实践：文件夹重定向,让系统为每个用户创建目录对“我的图片”和“我的文档”使用相同的设定使用“文件夹重定向”的默认设定 对储存用户数据的服务器使用“离线文件夹”设定始终激活“注销前同步所有离线文件夹”设定,组策略最佳实践：软件安装,指定软件的“类别(categories)”最终用户更易查找所需软件在发布应用程序之前对其进行定制发布之后将无法定制 将应用程序发布给用户或者计算机,但不要同时对当前应用程序重新打包,参考资料,组策略白皮书:Windows 2000 Server Resource Kit 中分步式系统指南关于组策略的部分,参考资料(2),来自 Microsoft Management Alliance关于GPMC的文档 Windows&.NET 杂志论坛提问：,如果您有任何问题，请加入微软中文新闻组继续讨论,加入微软中文新闻组,2002 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.,