組策略最佳實(shí)踐（上）ppt課件

1、高效管理現(xiàn)代企業(yè)網(wǎng)絡(luò)的有力武器 組戰(zhàn)略技巧與實(shí)際 議程組戰(zhàn)略簡介組戰(zhàn)略最正確實(shí)際組戰(zhàn)略實(shí)戰(zhàn)運(yùn)用受限組戰(zhàn)略Windows FirewallIPSec Policy運(yùn)用組戰(zhàn)略發(fā)布軟件組戰(zhàn)略簡介IT管理者面對(duì)什么？大規(guī)模的網(wǎng)絡(luò)個(gè)人用戶薄弱的平安認(rèn)識(shí)軟件部署的難度軟件管理的難度復(fù)雜的系統(tǒng)設(shè)置什么是組戰(zhàn)略?一種One to many管理方式的實(shí)現(xiàn)強(qiáng)迫性平安配置靈敏的軟件部署方式強(qiáng)化企業(yè)中的軟件管理簡單明了的系統(tǒng)設(shè)置One To Many 管理方式活動(dòng)目錄管理員“組戰(zhàn)略對(duì)象影響最終用戶影響計(jì)算機(jī)處理方案: 組戰(zhàn)略協(xié)助管理員運(yùn)用戰(zhàn)略控制多個(gè)用戶和多臺(tái)計(jì)算機(jī)的行為運(yùn)用組戰(zhàn)略管理控制臺(tái)可以更方便的管理組戰(zhàn)略特點(diǎn)

2、:減少管理員的管理負(fù)載減少企業(yè)在管理，支持和培訓(xùn)上的支出提升用戶消費(fèi)力在不犧牲靈敏性的條件下提供大量的可選自定義配置用戶組戰(zhàn)略設(shè)置:桌面環(huán)境設(shè)置軟件設(shè)置Windows 設(shè)置平安設(shè)置計(jì)算機(jī)戰(zhàn)略設(shè)置:桌面環(huán)境設(shè)置軟件設(shè)置Windows 設(shè)置平安設(shè)置組戰(zhàn)略的組成組戰(zhàn)略設(shè)置的類型基于注冊(cè)表的設(shè)定本地，域以及網(wǎng)絡(luò)等平安選項(xiàng)集中管理軟件安裝以及維護(hù)開、關(guān)機(jī)腳本 登陸、注銷腳本將用戶數(shù)據(jù)存放在網(wǎng)絡(luò)上管理IE設(shè)定管理模板平安軟件安裝腳本文件夾重定向IE維護(hù)第三方擴(kuò)展組戰(zhàn)略有很好的擴(kuò)展性組戰(zhàn)略在企業(yè)中的運(yùn)用(2)組戰(zhàn)略可以用于:注冊(cè)表設(shè)定 (WindowsXP中提供的設(shè)定數(shù)目超越700)Shell, TS, I

3、E, MSI, Windows Update, Messenger, Net Meeting, Some Apps (i.e. Office 2000 / XP)平安設(shè)定Security policies, account policies, restricted groups, services, local ACLs, Certificates, SW Restriction, IPSecIE 設(shè)定軟件安裝腳本文件夾重定向遠(yuǎn)程系統(tǒng)安裝 (RIS設(shè)定)組戰(zhàn)略對(duì)象鏈接組織單元GPO組織單元 GPO站點(diǎn) GPO域 GPO站點(diǎn)域OUOUOU本地戰(zhàn)略站點(diǎn)戰(zhàn)略域戰(zhàn)略父OU戰(zhàn)略子OU戰(zhàn)略組戰(zhàn)略執(zhí)行順序組

4、戰(zhàn)略的承繼 Windows 2000采用特定的順序運(yùn)用組戰(zhàn)略SiteDomainOU 子容器會(huì)承繼父容器的組戰(zhàn)略ComputersUsersPayrollDomainDomain GPO組戰(zhàn)略沖突處置計(jì)算機(jī)戰(zhàn)略優(yōu)于用戶戰(zhàn)略不同層次的戰(zhàn)略產(chǎn)生沖突時(shí)，子容器上的GPO優(yōu)先級(jí)高同一容器上多個(gè)GPO產(chǎn)生沖突時(shí)，處于GPO列表最高位置的GPO優(yōu)先級(jí)最高總體原那么：后執(zhí)行的優(yōu)先級(jí)高組戰(zhàn)略的運(yùn)用計(jì)算機(jī)啟動(dòng)運(yùn)用計(jì)算機(jī)設(shè)置運(yùn)轉(zhuǎn)啟動(dòng)腳本刷新周期用戶登錄運(yùn)用用戶設(shè)置運(yùn)轉(zhuǎn)登錄腳本刷新周期組戰(zhàn)略對(duì)象管理工具缺省管理工具Active Directory 用戶和計(jì)算機(jī)管理域和組織單元的戰(zhàn)略對(duì)象Active Director

5、y 站點(diǎn)和效力管理站點(diǎn)的戰(zhàn)略對(duì)象本地平安戰(zhàn)略本地計(jì)算機(jī)平安設(shè)置額外工具組戰(zhàn)略管理控制臺(tái)集中管理系統(tǒng)中的一切戰(zhàn)略對(duì)象組戰(zhàn)略最正確實(shí)際組戰(zhàn)略最正確實(shí)際：規(guī)劃不要?jiǎng)h除或者修正兩個(gè)默許GPOs運(yùn)用GPMC備份“默許域戰(zhàn)略和“默許域控制器戰(zhàn)略每個(gè)新的GPO應(yīng)先進(jìn)展測(cè)試每個(gè)GPO中只運(yùn)用一組相關(guān)設(shè)定控制經(jīng)過平安組對(duì)組戰(zhàn)略進(jìn)展“過濾控制可管理組戰(zhàn)略的管理員數(shù)量GPO的命名具有描畫性如“工程部門軟件部署戰(zhàn)略組戰(zhàn)略最正確實(shí)際：規(guī)劃(2)在有AD的情況下，盡量不運(yùn)用本地組戰(zhàn)略限制域上的GPO數(shù)量盡能夠不運(yùn)用影響組戰(zhàn)略默許承繼性的No OverrideBlock運(yùn)用GPO時(shí)，盡能夠?qū)PO關(guān)聯(lián)到目的對(duì)象所在的容器上

6、(比如OU)組戰(zhàn)略最正確實(shí)際：管理模板僅經(jīng)過組戰(zhàn)略對(duì)客戶端進(jìn)展設(shè)定，不運(yùn)用其他方法修正客戶端注冊(cè)表運(yùn)用Windows Server 2003中提供的最新工具來管理組戰(zhàn)略詳細(xì)的支持信息更新了的戰(zhàn)略注釋 與協(xié)助集成盡量對(duì)win2000和windows XP客戶端運(yùn)用同樣的設(shè)定，以運(yùn)用戶有一致的體驗(yàn)組戰(zhàn)略最正確實(shí)際：遨游用戶配置對(duì)“我的文檔目錄運(yùn)用文件夾重定向 獲取更快的登陸速度優(yōu)化在 XP, 2000 and NT4多系統(tǒng)間的遨游各系統(tǒng)見運(yùn)用運(yùn)用程序的同一版本確保操作系統(tǒng)安裝在一樣的 %systemdrive% 和 %windir%對(duì)運(yùn)用遨游用戶配置的用戶不設(shè)置太低的磁盤定額 引薦運(yùn)用配置文件最大

7、值的兩倍組戰(zhàn)略最正確實(shí)際：文件夾重定向讓系統(tǒng)為每個(gè)用戶創(chuàng)建目錄對(duì)“我的圖片和“我的文檔運(yùn)用一樣的設(shè)定運(yùn)用“文件夾重定向的默許設(shè)定 對(duì)儲(chǔ)存用戶數(shù)據(jù)的效力器運(yùn)用“離線文件夾設(shè)定一直激活 “注銷前同步一切離線文件夾 設(shè)定組戰(zhàn)略最正確實(shí)際：軟件安裝指定軟件的“類別(categories) 最終用戶更易查找所需軟件在發(fā)布運(yùn)用程序之前對(duì)其進(jìn)展定制發(fā)布之后將無法定制 將運(yùn)用程序發(fā)布給用戶或者計(jì)算機(jī), 但不要同時(shí)對(duì)當(dāng)前運(yùn)用程序重新打包 演示：組戰(zhàn)略的運(yùn)用受限組戰(zhàn)略Windows FirewallIPSec Policy運(yùn)用組戰(zhàn)略發(fā)布軟件Q&A參考資料組戰(zhàn)略白皮書: microsoft/windows2000/techinfo/howitworks/management/grouppolwp.asp