組策略最佳實(shí)踐（上）

高效管理現(xiàn)代企業(yè)網(wǎng)絡(luò)的有力武器

—組策略技巧與實(shí)踐議程組策略簡(jiǎn)介組策略最佳實(shí)踐組策略實(shí)戰(zhàn)應(yīng)用受限組策略WindowsFirewallIPSecPolicy使用組策略發(fā)布軟件組策略簡(jiǎn)介IT管理者面對(duì)什么？大規(guī)模的網(wǎng)絡(luò)個(gè)人用戶薄弱的安全意識(shí)軟件部署的難度軟件管理的難度復(fù)雜的系統(tǒng)設(shè)置什么是組策略?一種Onetomany管理模式的實(shí)現(xiàn)強(qiáng)制性安全配置靈活的軟件部署方式強(qiáng)化企業(yè)中的軟件管理簡(jiǎn)單明了的系統(tǒng)設(shè)置OneToMany管理模式活動(dòng)目錄管理員“組策略對(duì)象”影響最終用戶影響計(jì)算機(jī)解決方案:組策略幫助管理員使用策略控制多個(gè)用戶和多臺(tái)計(jì)算機(jī)的行為使用組策略管理控制臺(tái)能夠更方便的管理組策略特點(diǎn):減少管理員的管理負(fù)載減少企業(yè)在管理，支持和培訓(xùn)上的支出提升用戶生產(chǎn)力在不犧牲靈活性的條件下提供大量的可選自定義配置用戶組策略設(shè)置:桌面環(huán)境設(shè)置軟件設(shè)置Windows設(shè)置安全設(shè)置計(jì)算機(jī)策略設(shè)置:桌面環(huán)境設(shè)置軟件設(shè)置Windows設(shè)置安全設(shè)置組策略的組成組策略設(shè)置的類型基于注冊(cè)表的設(shè)定本地，域以及網(wǎng)絡(luò)等安全選項(xiàng)集中管理軟件安裝以及維護(hù)開(kāi)、關(guān)機(jī)腳本登陸、注銷腳本將用戶數(shù)據(jù)存放在網(wǎng)絡(luò)上管理IE設(shè)定管理模板 安全軟件安裝腳本文件夾重定向IE維護(hù)第三方擴(kuò)展組策略有很好的擴(kuò)展性組策略在企業(yè)中的應(yīng)用(2)組策略可以用于:注冊(cè)表設(shè)定(WindowsXP中提供的設(shè)定數(shù)目超過(guò)700)Shell,TS,IE,MSI,WindowsUpdate,Messenger,NetMeeting,…SomeApps(i.e.Office2000/XP)安全設(shè)定Securitypolicies,accountpolicies,restrictedgroups,services,localACLs,Certificates,SWRestriction,IPSecIE設(shè)定軟件安裝腳本文件夾重定向遠(yuǎn)程系統(tǒng)安裝(RIS設(shè)定)組策略對(duì)象鏈接組織單元GPO組織單元

GPO站點(diǎn)GPO域GPO站點(diǎn)域OUOUOU本地策略站點(diǎn)策略域策略父OU策略子OU策略組策略執(zhí)行順序組策略的繼承

Windows2000采用特定的順序應(yīng)用組策略SiteDomainOU

子容器會(huì)繼承父容器的組策略ComputersUsersPayrollDomainDomainGPO組策略沖突處理計(jì)算機(jī)策略優(yōu)于用戶策略不同層次的策略產(chǎn)生沖突時(shí)，子容器上的GPO優(yōu)先級(jí)高同一容器上多個(gè)GPO產(chǎn)生沖突時(shí)，處于GPO列表最高位置的GPO優(yōu)先級(jí)最高總體原則：后執(zhí)行的優(yōu)先級(jí)高組策略的應(yīng)用計(jì)算機(jī)啟動(dòng)應(yīng)用計(jì)算機(jī)設(shè)置運(yùn)行啟動(dòng)腳本刷新周期用戶登錄應(yīng)用用戶設(shè)置運(yùn)行登錄腳本刷新周期組策略對(duì)象管理工具缺省管理工具ActiveDirectory用戶和計(jì)算機(jī)管理域和組織單元的策略對(duì)象ActiveDirectory站點(diǎn)和服務(wù)管理站點(diǎn)的策略對(duì)象本地安全策略本地計(jì)算機(jī)安全設(shè)置額外工具組策略管理控制臺(tái)集中管理系統(tǒng)中的所有策略對(duì)象組策略最佳實(shí)踐組策略最佳實(shí)踐：規(guī)劃不要?jiǎng)h除或者修改兩個(gè)默認(rèn)GPOs使用GPMC備份“默認(rèn)域策略”和“默認(rèn)域控制器策略”每個(gè)新的GPO應(yīng)先進(jìn)行測(cè)試每個(gè)GPO中只應(yīng)用一組相關(guān)設(shè)定控制通過(guò)安全組對(duì)組策略進(jìn)行“過(guò)濾”控制可管理組策略的管理員數(shù)量GPO的命名具有描述性如“工程部門(mén)軟件部署策略”組策略最佳實(shí)踐：規(guī)劃(2)在有AD的情況下，盡量不使用本地組策略限制域上的GPO數(shù)量盡可能不使用影響組策略默認(rèn)繼承性的NoOverrideBlock應(yīng)用GPO時(shí)，盡可能將GPO關(guān)聯(lián)到目標(biāo)對(duì)象所在的容器上(比如OU)組策略最佳實(shí)踐：管理模板僅通過(guò)組策略對(duì)客戶端進(jìn)行設(shè)定，不使用其他方法修改客戶端注冊(cè)表使用WindowsServer2003中提供的最新工具來(lái)管理組策略詳細(xì)的支持信息更新了的策略注釋與幫助集成盡量對(duì)win2000和windowsXP客戶端使用同樣的設(shè)定，以使用戶有一致的體驗(yàn)組策略最佳實(shí)踐：漫游用戶配置對(duì)“我的文檔”目錄使用文件夾重定向獲取更快的登陸速度優(yōu)化在XP,2000andNT4多系統(tǒng)間的漫游各系統(tǒng)見(jiàn)使用應(yīng)用程序的同一版本確保操作系統(tǒng)安裝在相同的%systemdrive%和%windir%對(duì)使用漫游用戶配置的用戶不設(shè)置太低的磁盤(pán)定額推薦使用配置文件最大值的兩倍組策略最佳實(shí)踐：文件夾重定向讓系統(tǒng)為每個(gè)用戶創(chuàng)建目錄對(duì)“我的圖片”和“我的文檔”使用相同的設(shè)定使用“文件夾重定向”的默認(rèn)設(shè)定對(duì)儲(chǔ)存用戶數(shù)據(jù)的服務(wù)器使用“離線文件夾”設(shè)定始終激活“注銷前同步所有離線文件夾”設(shè)定組策略最佳實(shí)踐：軟件安裝指定軟件的“類別(categories)”最終用戶更易查找所需軟件在發(fā)布應(yīng)用程序之前對(duì)其進(jìn)行定制發(fā)布之后將無(wú)法定制將應(yīng)用程序發(fā)布給用戶或者計(jì)算機(jī),但不要同時(shí)對(duì)當(dāng)前應(yīng)用程序重新打包演示：組策略的應(yīng)用受限組策略WindowsFirewallIPSecPolicy使用組策略發(fā)布軟件Q&A參考資料組策略白皮書(shū):

/windows2000/techinfo/howitworks/management/grouppo