企业集中管理方法组策略的操作crpe.pptx

《企业集中管理方法组策略的操作crpe.pptx》由会员分享，可在线阅读，更多相关《企业集中管理方法组策略的操作crpe.pptx（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、WIN311:企业集中管理方法：企业集中管理方法：组策略的操作组策略的操作王王 希希Microsoft MVP Windows&.NET Magazine(PRC)日程日程l l组策略在企业中的应用组策略在企业中的应用l l组策略管理的常见问题及解决组策略管理的常见问题及解决理解组策略的复杂性理解组策略的复杂性理解组策略的复杂性理解组策略的复杂性组策略管理的常见问题及解决组策略管理的常见问题及解决组策略管理的常见问题及解决组策略管理的常见问题及解决l l组策略的最佳实践组策略的最佳实践组策略最佳实践：规划组策略最佳实践：规划组策略最佳实践：规划组策略最佳实践：规划针对具体设定的最佳实践针对具体

2、设定的最佳实践针对具体设定的最佳实践针对具体设定的最佳实践组策略在企业中应用组策略在企业中应用基于注册表的设定基于注册表的设定基于注册表的设定基于注册表的设定本地，域以及网络等安全选项本地，域以及网络等安全选项本地，域以及网络等安全选项本地，域以及网络等安全选项集中管理软件安装以及维护集中管理软件安装以及维护集中管理软件安装以及维护集中管理软件安装以及维护开、关机脚本开、关机脚本开、关机脚本开、关机脚本 登陆、注销脚本登陆、注销脚本登陆、注销脚本登陆、注销脚本将用户数据存放在网络上将用户数据存放在网络上将用户数据存放在网络上将用户数据存放在网络上管理管理管理管理IEIE设定设定设定设定管理模板

3、管理模板管理模板管理模板安全安全安全安全软件安装软件安装软件安装软件安装脚本脚本脚本脚本文件夹重定向文件夹重定向文件夹重定向文件夹重定向IEIE维护维护维护维护第三方扩展第三方扩展第三方扩展第三方扩展组策略有很好的扩展性组策略有很好的扩展性组策略有很好的扩展性组策略有很好的扩展性组策略在企业中的应用组策略在企业中的应用(2)l l组策略可以用于组策略可以用于:注册表设定注册表设定注册表设定注册表设定 (WindowsXP(WindowsXP中提供的设定数目超过中提供的设定数目超过中提供的设定数目超过中提供的设定数目超过700)700)Shell,TS,IE,MSI,Windows Update

4、,Messenger,Net Shell,TS,IE,MSI,Windows Update,Messenger,Net Meeting,Meeting,Some Apps(i.e.Office 2000/XP)Some Apps(i.e.Office 2000/XP)安全设定安全设定安全设定安全设定 Security policies,account policies,restricted groups,Security policies,account policies,restricted groups,services,local ACLs,Certificates,SW Restric

5、tion,IPSecservices,local ACLs,Certificates,SW Restriction,IPSecIE IE 设定设定设定设定软件安装软件安装软件安装软件安装脚本脚本脚本脚本文件夹重定向文件夹重定向文件夹重定向文件夹重定向远程系统安装远程系统安装远程系统安装远程系统安装 (RIS(RIS设定设定设定设定)组策略管理的常见问题及解决组策略管理的常见问题及解决OUsA1A1A2A2理解组策略使用环境的复杂性理解组策略使用环境的复杂性哪一个是我的哪一个是我的哪一个是我的哪一个是我的策略策略策略策略?GPOsA4A4A5A5A1A1A2A2A3A3A ADomainSite

6、SiteB BGPOsB1B1B2B2DomainOUsB1B1B2B2B3B3组策略不跨域继承组策略不跨域继承l l站点由子网组成，可能会垮站点由子网组成，可能会垮站点由子网组成，可能会垮站点由子网组成，可能会垮多个域。多个域。多个域。多个域。l lGPOsGPOs不跨域储存不跨域储存不跨域储存不跨域储存l l单个单个单个单个SDOUSDOU上可能关联了多个上可能关联了多个上可能关联了多个上可能关联了多个GPOsGPOsl l一个一个一个一个GPOGPO也可能和多个也可能和多个也可能和多个也可能和多个SDOUsSDOUs关联。关联。关联。关联。l l任何任何任何任何SDOUsSDOUs可以和

7、任何可以和任何可以和任何可以和任何GPOsGPOs关联，甚至跨域关联，甚至跨域关联，甚至跨域关联，甚至跨域 (这样可能会非常慢这样可能会非常慢这样可能会非常慢这样可能会非常慢)l l可以通过对安全组的权限设可以通过对安全组的权限设可以通过对安全组的权限设可以通过对安全组的权限设定定定定(ACLs)(ACLs)来实现来实现来实现来实现GPOGPO的过滤的过滤的过滤的过滤RSoP l lRSoP(Resultant Set of Group Policy)Win2k Win2k 推出后，客户对于组策略的第一改进推出后，客户对于组策略的第一改进推出后，客户对于组策略的第一改进推出后，客户对于组策略的

8、第一改进要求要求要求要求两种模式两种模式两种模式两种模式 Logging Mode:Logging Mode:哪些策略已应用哪些策略已应用哪些策略已应用哪些策略已应用 Planning Mode:Planning Mode:哪些策略将应用哪些策略将应用哪些策略将应用哪些策略将应用在在在在Windows.NET ADWindows.NET AD中可以实现授权中可以实现授权中可以实现授权中可以实现授权RSoP 工具工具l lRSoP 工具工具RSoP MMC snap-in RSoP MMC snap-in 关于已应用策略的详细信息关于已应用策略的详细信息关于已应用策略的详细信息关于已应用策略的详

9、细信息 可以远程使用可以远程使用可以远程使用可以远程使用GPResult v2.0 GPResult v2.0 命令行工具命令行工具命令行工具命令行工具 可以远程使用可以远程使用可以远程使用可以远程使用“帮助与支持中心帮助与支持中心帮助与支持中心帮助与支持中心”的的的的HTML HTML 报告报告报告报告 可以保存、打印可以保存、打印可以保存、打印可以保存、打印l lWin2000 中不支持这些工具中不支持这些工具RSoP Planning 模式模式l lWindows .NET Server Windows .NET Server 提供提供提供提供RSoPRSoP的的的的PlanningPl

10、anning模模模模式式式式允许模拟在允许模拟在允许模拟在允许模拟在ADAD中的某个用户或者某台计算机上的设定中的某个用户或者某台计算机上的设定中的某个用户或者某台计算机上的设定中的某个用户或者某台计算机上的设定l l模拟选项模拟选项模拟选项模拟选项:What if What if 分析分析分析分析:改变管理范围改变管理范围改变管理范围改变管理范围 改变安全组的成员改变安全组的成员改变安全组的成员改变安全组的成员 改变改变改变改变WMI FilterWMI Filter状态状态状态状态关联站点关联站点关联站点关联站点慢速链接慢速链接慢速链接慢速链接LoopbackLoopback在哪台域控制器

11、上运行在哪台域控制器上运行在哪台域控制器上运行在哪台域控制器上运行RSoP 授权授权l l默认权限默认权限:Logging mode Local AdminsLogging mode Local AdminsPlanning Mode Domain or Enterprise AdminsPlanning Mode Domain or Enterprise Adminsl l在在 Windows.NET Server AD中中 logging和和 planning 模式均可授权模式均可授权.l l如果对域和站点的如果对域和站点的RSoP进行授权，需要进行授权，需要Enterprise Admi

12、ns身份。身份。RSoP 工具工具 demo其他常见问题其他常见问题l l其他常见问题其他常见问题备份、恢复备份、恢复备份、恢复备份、恢复导入、导出导入、导出导入、导出导入、导出报告功能报告功能报告功能报告功能搜索功能搜索功能搜索功能搜索功能等等等等等等等等.l l结论：组策略很难管理结论：组策略很难管理l l解决解决:GPMCGPMC 概览概览l l什么是什么是 GPMC(group policy management console)?管理组策略的新工具管理组策略的新工具管理组策略的新工具管理组策略的新工具:提供一组可编程对象用于管理组策略提供一组可编程对象用于管理组策略提供一组可编程对象

13、用于管理组策略提供一组可编程对象用于管理组策略 基于这些对象的基于这些对象的基于这些对象的基于这些对象的MMC Snap-inMMC Snap-inl lGPMC 设计目标设计目标统一的组策略管理统一的组策略管理统一的组策略管理统一的组策略管理提供更好的用户界面提供更好的用户界面提供更好的用户界面提供更好的用户界面解决组策略部署中的关键性问题解决组策略部署中的关键性问题解决组策略部署中的关键性问题解决组策略部署中的关键性问题允许通过脚本的方式来实现对组策略的操作允许通过脚本的方式来实现对组策略的操作允许通过脚本的方式来实现对组策略的操作允许通过脚本的方式来实现对组策略的操作GPMC 特性概览特

14、性概览l l管理组策略的全新管理组策略的全新UIl l报告功能报告功能:可用可用可用可用HTMLHTML方式查看方式查看方式查看方式查看GPOGPO设定和设定和设定和设定和RSoPRSoP数据数据数据数据 提供对提供对提供对提供对GPOGPO设定只读访问设定只读访问设定只读访问设定只读访问l l备份、恢复备份、恢复GPOsl l导入、导出功能导入、导出功能l l搜索功能搜索功能l l与与RSoP整合整合l l所有操作均可通过脚本实现所有操作均可通过脚本实现注意注意注意注意:对对对对GPOGPO中的设定不行中的设定不行中的设定不行中的设定不行关于关于GPMCl l可用于管理可用于管理 Windo

15、ws 2000 或者或者 Windows.NET domainsl l在在Windows.NET Server RTM之后将提供之后将提供独立版本独立版本(可通过可通过Web下载下载)l l系统需求系统需求:Windows.NET ServerWindows.NET ServerWindows XPWindows XP专业版专业版专业版专业版(SP1+hotfix):(SP1+hotfix):GPMC 漫游漫游 demo备份、恢复备份、恢复l l备份备份:将将将将GPOGPO设定保存在文件系统中设定保存在文件系统中设定保存在文件系统中设定保存在文件系统中和导出一样和导出一样和导出一样和导出一样

16、l l恢复恢复:将设定还原将设定还原将设定还原将设定还原GPOGPO必须在同一个域必须在同一个域必须在同一个域必须在同一个域 如果要实现跨域设定转移，可以使用如果要实现跨域设定转移，可以使用如果要实现跨域设定转移，可以使用如果要实现跨域设定转移，可以使用导入导入导入导入或者或者或者或者拷贝拷贝拷贝拷贝备份一个备份一个GPOl l备份将保存如下设定备份将保存如下设定(于文件系统中于文件系统中)GPOGPO中的策略设定中的策略设定中的策略设定中的策略设定GPOGPO上的访问控制列表上的访问控制列表上的访问控制列表上的访问控制列表(ACLs)(ACLs)与与与与WMI filterWMI filte

17、r的关联的关联的关联的关联 (不是不是不是不是filterfilter本身本身本身本身)设定报告设定报告设定报告设定报告l l并不备份并不备份GPO与与SDOUs之间的关联关系之间的关联关系 管理备份管理备份l l多个备份可以保存于文件系统中的同一位多个备份可以保存于文件系统中的同一位置置多个多个多个多个GPOsGPOs同一同一同一同一GPOGPO的多个版本的多个版本的多个版本的多个版本l l每个备份可以通过以下方式标识每个备份可以通过以下方式标识:名字，描述，域，名字，描述，域，名字，描述，域，名字，描述，域，时间票时间票时间票时间票,，GPOGPO的的的的GUIDGUIDl l可以通过可以

18、通过GPMC查询查询恢复恢复l l恢复恢复GPO的所有属性的所有属性GPOGPO中的策略设定中的策略设定中的策略设定中的策略设定GPOGPO的访问控制列表的访问控制列表的访问控制列表的访问控制列表与与与与WMI filterWMI filter的关联的关联的关联的关联 (不是不是不是不是filterfilter本身本身本身本身)设定报告设定报告设定报告设定报告使用相同的使用相同的使用相同的使用相同的GUIDGUIDl l与备份与备份GPO在同一个域在同一个域l l并不修改并不修改GPO与与SDOUs之间的关联关系之间的关联关系导入与拷贝：概览导入与拷贝：概览l l仅仅转移策略设定仅仅转移策略设

19、定l l不修改不修改:访问控制列表访问控制列表访问控制列表访问控制列表(ACLs)(ACLs)WMI Filter(WMI Filter(获关联获关联获关联获关联)SDOUsSDOUs与与与与GPOGPO的关联关系的关联关系的关联关系的关联关系l l可以在同一个域、多域或者多森林情况下使可以在同一个域、多域或者多森林情况下使用用拷贝与导入：比较拷贝与导入：比较l l拷贝拷贝拷贝拷贝来源来源来源来源:Active Directory:Active Directory中某个当前存在的中某个当前存在的中某个当前存在的中某个当前存在的GPOGPO目标目标目标目标:创建一个新的创建一个新的创建一个新的创

20、建一个新的GPOGPO 新的新的新的新的GUIDGUID 在在在在GPOGPO上使用默认的访问控制列表上使用默认的访问控制列表上使用默认的访问控制列表上使用默认的访问控制列表l l导入导入导入导入来源来源来源来源:文件系统中某文件系统中某文件系统中某文件系统中某GPOGPO的备份的备份的备份的备份目标目标目标目标:Active Directory:Active Directory中一个存在的中一个存在的中一个存在的中一个存在的GPOGPO 清除目标清除目标清除目标清除目标GPOGPO的当前策略设定的当前策略设定的当前策略设定的当前策略设定 保留保留保留保留:目标目标目标目标GPOGPO的当前访

21、问控制列表的当前访问控制列表的当前访问控制列表的当前访问控制列表 与该与该与该与该GPOGPO的关联关系的关联关系的关联关系的关联关系 GPOGPO的的的的GUIDGUID报告报告l l对对GPO策略设定以及策略设定以及RSoP数据提供数据提供HTML报告报告l l可打印，保存可打印，保存(xml,html)搜索搜索l l可基于以下条件搜索可基于以下条件搜索可基于以下条件搜索可基于以下条件搜索GPOsGPOs名称名称名称名称明确权限明确权限明确权限明确权限有效权限有效权限有效权限有效权限WMI filterWMI filterGUIDGUIDGPOsGPOs中的策略设定中的策略设定中的策略设定

22、中的策略设定l l例如例如例如例如 查找所有：查找所有：查找所有：查找所有：“Policy Admins”Policy Admins”组可以编辑的并包含组可以编辑的并包含组可以编辑的并包含组可以编辑的并包含“文件夹重定向文件夹重定向文件夹重定向文件夹重定向”设定的设定的设定的设定的GPOsGPOs使用使用GPMC解决组策略管理的关键解决组策略管理的关键问题问题 demo脚本脚本l lGPMC中的所有操作均可通过脚本实现中的所有操作均可通过脚本实现l l不能通过脚本对不能通过脚本对GPO中的设定进行操作中的设定进行操作l lGPMC中包括了中包括了30多个示范脚本多个示范脚本使用脚本使用脚本进行

23、组策略操作进行组策略操作 demo组策略最佳实践组策略最佳实践组策略最佳实践：规划组策略最佳实践：规划l l不要删除或者修改两个默认不要删除或者修改两个默认GPOsl l使用使用GPMC备份备份“默认域策略默认域策略”和和“默认域默认域控制器策略控制器策略”l l每个新的每个新的GPO应先进行测试应先进行测试l l每个每个GPO中只应用一组相关设定中只应用一组相关设定l l控制通过安全组对组策略进行控制通过安全组对组策略进行“过滤过滤”l l控制可管理组策略的管理员数量控制可管理组策略的管理员数量l lGPO的命名具有描述性的命名具有描述性如如如如“工程部门软件部署策略工程部门软件部署策略工程

24、部门软件部署策略工程部门软件部署策略”组策略最佳实践：规划组策略最佳实践：规划(2)(2)l l在有在有AD的情况下，尽量不使用本地组策略的情况下，尽量不使用本地组策略l l限制域上的限制域上的GPO数量数量l l尽可能不使用影响组策略默认继承性的尽可能不使用影响组策略默认继承性的No OverrideNo OverrideBlockBlockl l应用应用GPO时，尽可能将时，尽可能将GPO关联到目标对关联到目标对象所在的容器上象所在的容器上(比如比如OU)组策略最佳实践：管理模板组策略最佳实践：管理模板l l仅通过组策略对客户端进行设定，不使仅通过组策略对客户端进行设定，不使用其他方法修改

25、客户端注册表用其他方法修改客户端注册表l l使用使用Windows XP/.NET中提供的最新工中提供的最新工具来管理组策略具来管理组策略详细的支持信息详细的支持信息详细的支持信息详细的支持信息更新了的策略注释更新了的策略注释更新了的策略注释更新了的策略注释 与帮助集成与帮助集成与帮助集成与帮助集成l l尽量对尽量对win2000和和windowsXp/.NET客户客户端使用同样的设定，以使用户有一致的端使用同样的设定，以使用户有一致的体验体验组策略最佳实践：漫游用户配置组策略最佳实践：漫游用户配置l l对对“我的文档我的文档”目录使用文件夹重定向目录使用文件夹重定向 获取更快的登陆速度获取更

26、快的登陆速度获取更快的登陆速度获取更快的登陆速度l l优化在优化在 XP,2000 and NT4多系统间的漫多系统间的漫游游各系统见使用应用程序的同一版本各系统见使用应用程序的同一版本各系统见使用应用程序的同一版本各系统见使用应用程序的同一版本确保操作系统安装在相同的确保操作系统安装在相同的确保操作系统安装在相同的确保操作系统安装在相同的%systemdrive%systemdrive%和和和和%windir%windir%l l对使用漫游用户配置的用户不设置太低对使用漫游用户配置的用户不设置太低的磁盘定额的磁盘定额 推荐使用配置文件最大值的两倍推荐使用配置文件最大值的两倍推荐使用配置文件最

27、大值的两倍推荐使用配置文件最大值的两倍组策略最佳实践：文件夹重定向组策略最佳实践：文件夹重定向l l让系统为每个用户创建目录让系统为每个用户创建目录l l对对“我的图片我的图片”和和“我的文档我的文档”使用相使用相同的设定同的设定l l使用使用“文件夹重定向文件夹重定向”的默认设定的默认设定 l l对储存用户数据的服务器使用对储存用户数据的服务器使用“离线文离线文件夹件夹”设定设定l l始终激活始终激活“注销前同步所有离线文件夹注销前同步所有离线文件夹”设定设定组策略最佳实践：软件安装组策略最佳实践：软件安装l l指定软件的指定软件的“类别类别(categories)”最终用户更易查找所需软件

28、最终用户更易查找所需软件最终用户更易查找所需软件最终用户更易查找所需软件l l在发布应用程序之前对其进行定制在发布应用程序之前对其进行定制发布之后将无法定制发布之后将无法定制发布之后将无法定制发布之后将无法定制 l l将应用程序发布给用户将应用程序发布给用户或者或者计算机计算机,但不但不要同时要同时l l对当前应用程序重新打包对当前应用程序重新打包 参考资料参考资料参考资料参考资料(2)(2)如果您有任何问题，请加入如果您有任何问题，请加入微软中文新闻组微软中文新闻组继续讨论继续讨论 2002 Microsoft Corporation.All rights reserved.2002 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.