企業(yè)集中管理方法組策略的操作ppt課件

1、WIN311:企業(yè)集中管理方法：組戰(zhàn)略的操作王 希Microsoft MVP Windows & .NET Magazine (PRC) 日程組戰(zhàn)略在企業(yè)中的運(yùn)用組戰(zhàn)略管理的常見(jiàn)問(wèn)題及處理了解組戰(zhàn)略的復(fù)雜性組戰(zhàn)略管理的常見(jiàn)問(wèn)題及處理組戰(zhàn)略的最正確實(shí)際組戰(zhàn)略最正確實(shí)際：規(guī)劃針對(duì)詳細(xì)設(shè)定的最正確實(shí)際組戰(zhàn)略在企業(yè)中運(yùn)用基于注冊(cè)表的設(shè)定本地，域以及網(wǎng)絡(luò)等平安選項(xiàng)集中管理軟件安裝以及維護(hù)開(kāi)、關(guān)機(jī)腳本 登陸、注銷腳本將用戶數(shù)據(jù)存放在網(wǎng)絡(luò)上管理IE設(shè)定管理模板平安軟件安裝腳本文件夾重定向IE維護(hù)第三方擴(kuò)展組戰(zhàn)略有很好的擴(kuò)展性組戰(zhàn)略在企業(yè)中的運(yùn)用(2)組戰(zhàn)略可以用于:注冊(cè)表設(shè)定 (WindowsXP中提供的設(shè)

2、定數(shù)目超越700)Shell, TS, IE, MSI, Windows Update, Messenger, Net Meeting, Some Apps (i.e. Office 2000 / XP)平安設(shè)定Security policies, account policies, restricted groups, services, local ACLs, Certificates, SW Restriction, IPSecIE 設(shè)定軟件安裝腳本文件夾重定向遠(yuǎn)程系統(tǒng)安裝 (RIS設(shè)定)組戰(zhàn)略管理的常見(jiàn)問(wèn)題及處理OUsA1A2了解組戰(zhàn)略運(yùn)用環(huán)境的復(fù)雜性哪一個(gè)是我的戰(zhàn)略?GPOsA4A5

3、A1A2A3ADomainSiteBGPOsB1B2DomainOUsB1B2B3組戰(zhàn)略不跨域承繼Slower站點(diǎn)由子網(wǎng)組成，能夠會(huì)垮多個(gè)域。GPOs不跨域儲(chǔ)存單個(gè)SDOU上能夠關(guān)聯(lián)了多個(gè)GPOs一個(gè)GPO也能夠和多個(gè)SDOUs關(guān)聯(lián)。任何SDOUs可以和任何GPOs關(guān)聯(lián)，甚至跨域 (這樣能夠會(huì)非常慢)可以經(jīng)過(guò)對(duì)平安組的權(quán)限設(shè)定(ACLs)來(lái)實(shí)現(xiàn)GPO的過(guò)濾RSoP RSoP (Resultant Set of Group Policy )Win2k 推出后，客戶對(duì)于組戰(zhàn)略的第一改良要求兩種方式Logging Mode: 哪些戰(zhàn)略已運(yùn)用Planning Mode: 哪些戰(zhàn)略將運(yùn)用在Windows

4、.NET AD中可以實(shí)現(xiàn)授權(quán)RSoP 工具RSoP 工具RSoP MMC snap-in 關(guān)于已運(yùn)用戰(zhàn)略的詳細(xì)信息可以遠(yuǎn)程運(yùn)用GPResult v2.0 命令行工具 可以遠(yuǎn)程運(yùn)用“協(xié)助與支持中心的HTML 報(bào)告可以保管、打印Win2000 中不支持這些工具RSoP Planning 方式Windows .NET Server 提供RSoP的Planning方式允許模擬在AD中的某個(gè)用戶或者某臺(tái)計(jì)算機(jī)上的設(shè)定模擬選項(xiàng):What if 分析: 改動(dòng)管理范圍改動(dòng)平安組的成員改動(dòng)WMI Filter形狀關(guān)聯(lián)站點(diǎn)慢速鏈接Loopback在哪臺(tái)域控制器上運(yùn)轉(zhuǎn)RSoP 授權(quán)默許權(quán)限:Logging mode

5、 Local AdminsPlanning Mode Domain or Enterprise Admins在 Windows .NET Server AD中 logging和 planning 方式均可授權(quán).假設(shè)對(duì)域和站點(diǎn)的RSoP進(jìn)展授權(quán)，需求Enterprise Admins身份。RSoP 工具 demo其他常見(jiàn)問(wèn)題其他常見(jiàn)問(wèn)題備份、恢復(fù)導(dǎo)入、導(dǎo)出報(bào)告功能搜索功能等等.結(jié)論：組戰(zhàn)略很難管理處理: GPMCGPMC 概覽什么是 GPMC (group policy management console)? 管理組戰(zhàn)略的新工具:提供一組可編程對(duì)象用于管理組戰(zhàn)略基于這些對(duì)象的MMC Snap-

6、inGPMC 設(shè)計(jì)目的一致的組戰(zhàn)略管理提供更好的用戶界面處理組戰(zhàn)略部署中的關(guān)鍵性問(wèn)題允許經(jīng)過(guò)腳本的方式來(lái)實(shí)現(xiàn)對(duì)組戰(zhàn)略的操作GPMC 特性概覽管理組戰(zhàn)略的全新UI報(bào)告功能: 可用HTML方式查看GPO設(shè)定和RSoP數(shù)據(jù) 提供對(duì)GPO設(shè)定只讀訪問(wèn)備份、恢復(fù)GPOs導(dǎo)入、導(dǎo)出功能搜索功能與RSoP整合一切操作均可經(jīng)過(guò)腳本實(shí)現(xiàn)留意: 對(duì)GPO中的設(shè)定不行關(guān)于GPMC可用于管理 Windows 2000 或者 Windows .NET domains在Windows .NET Server RTM之后將提供獨(dú)立版本 (可經(jīng)過(guò)Web下載)系統(tǒng)需求:Windows .NET ServerWindows XP

7、專業(yè)版(SP1+ hotfix):GPMC 遨游 demo備份、恢復(fù)備份:將GPO設(shè)定保管在文件系統(tǒng)中和導(dǎo)出一樣恢復(fù):將設(shè)定復(fù)原GPO必需在同一個(gè)域假設(shè)要實(shí)現(xiàn)跨域設(shè)定轉(zhuǎn)移，可以運(yùn)用導(dǎo)入或者拷貝備份一個(gè)GPO備份將保管如下設(shè)定 (于文件系統(tǒng)中)GPO中的戰(zhàn)略設(shè)定GPO上的訪問(wèn)控制列表(ACLs)與WMI filter的關(guān)聯(lián) (不是filter本身)設(shè)定報(bào)告并不備份GPO與SDOUs之間的關(guān)聯(lián)關(guān)系 管理備份多個(gè)備份可以保管于文件系統(tǒng)中的同一位置多個(gè)GPOs同一GPO的多個(gè)版本每個(gè)備份可以經(jīng)過(guò)以下方式標(biāo)識(shí):名字，描畫，域， 時(shí)間票,，GPO的GUID可以經(jīng)過(guò)GPMC查詢恢復(fù)恢復(fù)GPO的一切屬性GPO

8、中的戰(zhàn)略設(shè)定GPO的訪問(wèn)控制列表與WMI filter的關(guān)聯(lián) (不是filter本身)設(shè)定報(bào)告運(yùn)用一樣的GUID與備份GPO在同一個(gè)域并不修正GPO與SDOUs之間的關(guān)聯(lián)關(guān)系導(dǎo)入與拷貝：概覽僅僅轉(zhuǎn)移戰(zhàn)略設(shè)定不修正:訪問(wèn)控制列表(ACLs) WMI Filter (獲關(guān)聯(lián)) SDOUs與GPO的關(guān)聯(lián)關(guān)系可以在同一個(gè)域、多域或者多森林情況下運(yùn)用拷貝與導(dǎo)入：比較拷貝來(lái)源: Active Directory中某個(gè)當(dāng)前存在的GPO目的: 創(chuàng)建一個(gè)新的GPO新的GUID在GPO上運(yùn)用默許的訪問(wèn)控制列表導(dǎo)入來(lái)源: 文件系統(tǒng)中某GPO的備份目的: Active Directory中一個(gè)存在的GPO去除目的GP

9、O的當(dāng)前戰(zhàn)略設(shè)定 保管:目的GPO的當(dāng)前訪問(wèn)控制列表與該GPO的關(guān)聯(lián)關(guān)系GPO的GUID報(bào)告對(duì)GPO戰(zhàn)略設(shè)定以及RSoP數(shù)據(jù)提供HTML報(bào)告可打印，保管 (xml, html)搜索可基于以下條件搜索GPOs稱號(hào)明確權(quán)限有效權(quán)限WMI filterGUIDGPOs中的戰(zhàn)略設(shè)定例如 查找一切： “Policy Admins 組可以編輯的并包含“文件夾重定向設(shè)定的GPOs運(yùn)用GPMC處理組戰(zhàn)略管理的關(guān)鍵問(wèn)題 demo腳本GPMC中的一切操作均可經(jīng)過(guò)腳本實(shí)現(xiàn)不能經(jīng)過(guò)腳本對(duì)GPO中的設(shè)定進(jìn)展操作GPMC中包括了30多個(gè)示范腳本運(yùn)用腳本進(jìn)展組戰(zhàn)略操作 demo組戰(zhàn)略最正確實(shí)際組戰(zhàn)略最正確實(shí)際：規(guī)劃不要?jiǎng)h除

10、或者修正兩個(gè)默許GPOs運(yùn)用GPMC備份“默許域戰(zhàn)略和“默許域控制器戰(zhàn)略每個(gè)新的GPO應(yīng)先進(jìn)展測(cè)試每個(gè)GPO中只運(yùn)用一組相關(guān)設(shè)定控制經(jīng)過(guò)平安組對(duì)組戰(zhàn)略進(jìn)展“過(guò)濾控制可管理組戰(zhàn)略的管理員數(shù)量GPO的命名具有描畫性如“工程部門軟件部署戰(zhàn)略組戰(zhàn)略最正確實(shí)際：規(guī)劃(2)在有AD的情況下，盡量不運(yùn)用本地組戰(zhàn)略限制域上的GPO數(shù)量盡能夠不運(yùn)用影響組戰(zhàn)略默許承繼性的No OverrideBlock運(yùn)用GPO時(shí)，盡能夠?qū)PO關(guān)聯(lián)到目的對(duì)象所在的容器上(比如OU)組戰(zhàn)略最正確實(shí)際：管理模板僅經(jīng)過(guò)組戰(zhàn)略對(duì)客戶端進(jìn)展設(shè)定，不運(yùn)用其他方法修正客戶端注冊(cè)表運(yùn)用Windows XP/.NET中提供的最新工具來(lái)管理組戰(zhàn)略

11、詳細(xì)的支持信息更新了的戰(zhàn)略注釋 與協(xié)助集成盡量對(duì)win2000和windowsXp/.NET客戶端運(yùn)用同樣的設(shè)定，以運(yùn)用戶有一致的體驗(yàn)組戰(zhàn)略最正確實(shí)際：遨游用戶配置對(duì)“我的文檔目錄運(yùn)用文件夾重定向 獲取更快的登陸速度優(yōu)化在 XP, 2000 and NT4多系統(tǒng)間的遨游各系統(tǒng)見(jiàn)運(yùn)用運(yùn)用程序的同一版本確保操作系統(tǒng)安裝在一樣的 %systemdrive% 和 %windir%對(duì)運(yùn)用遨游用戶配置的用戶不設(shè)置太低的磁盤定額 引薦運(yùn)用配置文件最大值的兩倍組戰(zhàn)略最正確實(shí)際：文件夾重定向讓系統(tǒng)為每個(gè)用戶創(chuàng)建目錄對(duì)“我的圖片和“我的文檔運(yùn)用一樣的設(shè)定運(yùn)用“文件夾重定向的默許設(shè)定 對(duì)儲(chǔ)存用戶數(shù)據(jù)的效力器運(yùn)用“離

12、線文件夾設(shè)定一直激活 “注銷前同步一切離線文件夾 設(shè)定組戰(zhàn)略最正確實(shí)際：軟件安裝指定軟件的“類別(categories) 最終用戶更易查找所需軟件在發(fā)布運(yùn)用程序之前對(duì)其進(jìn)展定制發(fā)布之后將無(wú)法定制 將運(yùn)用程序發(fā)布給用戶或者計(jì)算機(jī), 但不要同時(shí)對(duì)當(dāng)前運(yùn)用程序重新打包 參考資料組戰(zhàn)略白皮書: microsoft/windows2000/techinfo/howitworks/management/grouppolwp.aspWindows 2000 Server Resource Kit 中關(guān)于組戰(zhàn)略的部分 microsoft/windows2000/techinfo/reskit/en-us/distrib/dsec_pol_zbgy.asp參考資料(2)來(lái)自 Microsoft Management Alliance關(guān)于GPMC的文檔 Windows & .NET 雜志論壇winmag/forum提問(wèn)：Alricwinmag 假設(shè)您有任何問(wèn)題，請(qǐng)參與微軟中文新聞組繼續(xù)討論參與微軟中文新