組策略技巧與實踐課件

高效管理現(xiàn)代企業(yè)網(wǎng)絡的有力武器

—組策略技巧與實踐(二)高效管理現(xiàn)代企業(yè)網(wǎng)絡的有力武器

議程組策略實戰(zhàn)管理——GPMC組策略對象的備份與還原組策略對象的遷移評估組策略執(zhí)行結果組策略簡單排錯組策略高級應用技巧ADM模版文件定制與使用組策略過濾器WMIFilterSecurityFilterWindowsServer2003組策略改進資源微軟資源第三方資源議程組策略實戰(zhàn)管理——GPMC組策略實戰(zhàn)管理——GPMC組策略實戰(zhàn)管理——GPMCGPMC概覽什么是GPMC(grouppolicymanagementconsole)?管理組策略的新工具:提供一組可編程對象用于管理組策略基于這些對象的MMCSnap-inGPMC設計目標統(tǒng)一的組策略管理提供更好的用戶界面解決組策略部署中的關鍵性問題允許通過腳本的方式來實現(xiàn)對組策略的操作GPMC概覽什么是GPMC(grouppolicyGPMC特性概覽管理組策略的全新UI報告功能:可用HTML方式查看GPO設定和RSoP數(shù)據(jù)提供對GPO設定只讀訪問備份、恢復GPOs導入、導出功能搜索功能與RSoP整合所有操作均可通過腳本實現(xiàn)注意:對GPO中的設定不行GPMC特性概覽管理組策略的全新UI關于GPMC可用于管理Windows?2000

或者WindowsServer2003domains在WindowsServer2003之后將提供獨立版本(可通過Web下載)系統(tǒng)需求:WindowsServer2003WindowsXP專業(yè)版(SP1+hotfix):關于GPMC可用于管理Windows?2000

或者備份、恢復備份:將GPO設定保存在文件系統(tǒng)中和導出一樣恢復:將設定還原GPO必須在同一個域如果要實現(xiàn)跨域設定轉(zhuǎn)移，可以使用導入或者拷貝備份、恢復備份:備份一個GPO備份將保存如下設定(于文件系統(tǒng)中)GPO中的策略設定GPO上的訪問控制列表(ACLs)與WMIfilter的關聯(lián)(不是filter本身)設定報告并不備份GPO與SDOUs之間的關聯(lián)關系備份一個GPO備份將保存如下設定(于文件系統(tǒng)中)管理備份多個備份可以保存于文件系統(tǒng)中的同一位置多個GPOs同一GPO的多個版本每個備份可以通過以下方式標識:名字，描述，域，時間票,，GPO的GUID可以通過GPMC查詢管理備份多個備份可以保存于文件系統(tǒng)中的同一位置恢復恢復GPO的所有屬性GPO中的策略設定GPO的訪問控制列表與WMIfilter的關聯(lián)(不是filter本身)設定報告使用相同的GUID與備份GPO在同一個域并不修改GPO與SDOUs之間的關聯(lián)關系恢復恢復GPO的所有屬性導入與拷貝：概覽僅僅轉(zhuǎn)移策略設定不修改:訪問控制列表(ACLs)WMIFilter(獲關聯(lián))SDOUs與GPO的關聯(lián)關系可以在同一個域、多域或者多森林情況下使用導入與拷貝：概覽僅僅轉(zhuǎn)移策略設定拷貝與導入：比較拷貝來源:ActiveDirectory?中某個當前存在的GPO目標:創(chuàng)建一個新的GPO新的GUID在GPO上使用默認的訪問控制列表導入來源:文件系統(tǒng)中某GPO的備份目標:ActiveDirectory中一個存在的GPO清除目標GPO的當前策略設定保留:目標GPO的當前訪問控制列表與該GPO的關聯(lián)關系GPO的GUID拷貝與導入：比較拷貝報告對GPO策略設定以及RSoP數(shù)據(jù)提供HTML報告

可打印，保存(xml,html)報告對GPO策略設定以及RSoP數(shù)據(jù)提供HTML報告

搜索 可基于以下條件搜索GPOs名稱明確權限有效權限WMIfilterGUIDGPOs中的策略設定例如查找所有：“PolicyAdmins”組可以編輯的并包含“文件夾重定向”設定的GPOs搜索 可基于以下條件搜索GPOs使用GPMC

解決組策略管理的關鍵問題demo使用GPMC

解決組策略管理的關鍵問題demoOU’sA1A2理解組策略使用環(huán)境的復雜性哪一個是我的

策略?GPO’sA4A5A1A2A3ADomainSiteBGPO’sB1B2DomainOU’sB1B2B3組策略不跨域繼承Slower站點由子網(wǎng)組成，可能會垮多個域。GPOs不跨域儲存單個SDOU上可能關聯(lián)了多個GPOs一個GPO也可能和多個SDOUs關聯(lián)。任何SDOUs可以和任何GPOs關聯(lián)，甚至跨域

(這樣可能會非常慢)可以通過對安全組的權限設定(ACLs)來實現(xiàn)GPO的過濾OU’sA1A2理解組策略使用環(huán)境的復雜性哪一個是我的

策略RSoPRSoP(ResultantSetofGroupPolicy)Win2k推出后，客戶對于組策略的第一改進要求兩種模式LoggingMode:哪些策略已應用PlanningMode:哪些策略將應用RSoPRSoP(ResultantSetofGrRSoP工具RSoP工具RSoPMMCsnap-in關于已應用策略的詳細信息可以遠程使用GPResultv2.0命令行工具可以遠程使用“幫助與支持中心”的HTML報告可以保存、打印Win2000中不支持這些工具RSoP工具RSoP工具GPOModelingWindowsServer2003提供RSoP的Planning模式允許模擬在AD中的某個用戶或者某臺計算機上的設定模擬選項:Whatif分析:改變管理范圍改變安全組的成員改變WMIFilter狀態(tài)關聯(lián)站點慢速鏈接Loopback在哪臺域控制器上運行GPOModelingWindowsServer200RSoP工具demoRSoP工具demo組策略的診斷排錯GPOTOOL對象校驗工具GPRESULT顯示GPO結果SECEDIT刷新策略組策略的診斷排錯GPOTOOL組策略高級應用技巧組策略高級應用技巧組策略管理模板通過策略修改注冊表設置Registry.pol文件標準管理模板文件System.admInetres.admConf.admWmplayer.admWuau.admInetsec.adm組策略管理模板通過策略修改注冊表設置System.admWm什么是自定義管理模板?擴展組策略的應用創(chuàng)建一個管理模板(e.g.<companyname>_Custom.adm)使用操作系統(tǒng)版本標記使用EXPLAIN標記進行注釋……組策略管理模板什么是自定義管理模板?組策略管理模板管理模板文件在Sysvol中并進行復制兩條策略Turnoffautomatic.ADMupdatesUselocalADMFilesforGPEdit從Sysvol中刪除ADM文件的考慮KB816662KB316977

管理模板復制管理模板文件在Sysvol中并進行復制管理模板復制創(chuàng)建自定義管理模板demo創(chuàng)建自定義管理模板demoWMI過濾器條件：至少500MB剩余磁盤空間?

WMIFilterAdministrator安裝

Office2003?10GB400MB35GB750MBGPOWMI過濾器條件：至少500MB剩余磁盤空間?

WMIWindowsServer2003組策略改進demo使用GPMC管理組策略對象實施軟件限制策略RSOPWMIFilterDCGPOFIXWindowsServer2003組策略改進dem演示：在2003中實現(xiàn)組策略使用GPMC管理組策略對象實施軟件限制策略RSOPWMIFilterDCGPOFIX演示：在2003中實現(xiàn)組策略使用GPMC管理組策略對象Q&AQ&A參考資料參考資料高效管理現(xiàn)代企業(yè)網(wǎng)絡的有力武器

—組策略技巧與實踐(二)高效管理現(xiàn)代企業(yè)網(wǎng)絡的有力武器

議程組策略實戰(zhàn)管理——GPMC組策略對象的備份與還原組策略對象的遷移評估組策略執(zhí)行結果組策略簡單排錯組策略高級應用技巧ADM模版文件定制與使用組策略過濾器WMIFilterSecurityFilterWindowsServer2003組策略改進資源微軟資源第三方資源議程組策略實戰(zhàn)管理——GPMC組策略實戰(zhàn)管理——GPMC組策略實戰(zhàn)管理——GPMCGPMC概覽什么是GPMC(grouppolicymanagementconsole)?管理組策略的新工具:提供一組可編程對象用于管理組策略基于這些對象的MMCSnap-inGPMC設計目標統(tǒng)一的組策略管理提供更好的用戶界面解決組策略部署中的關鍵性問題允許通過腳本的方式來實現(xiàn)對組策略的操作GPMC概覽什么是GPMC(grouppolicyGPMC特性概覽管理組策略的全新UI報告功能:可用HTML方式查看GPO設定和RSoP數(shù)據(jù)提供對GPO設定只讀訪問備份、恢復GPOs導入、導出功能搜索功能與RSoP整合所有操作均可通過腳本實現(xiàn)注意:對GPO中的設定不行GPMC特性概覽管理組策略的全新UI關于GPMC可用于管理Windows?2000

或者WindowsServer2003domains在WindowsServer2003之后將提供獨立版本(可通過Web下載)系統(tǒng)需求:WindowsServer2003WindowsXP專業(yè)版(SP1+hotfix):關于GPMC可用于管理Windows?2000

或者備份、恢復備份:將GPO設定保存在文件系統(tǒng)中和導出一樣恢復:將設定還原GPO必須在同一個域如果要實現(xiàn)跨域設定轉(zhuǎn)移，可以使用導入或者拷貝備份、恢復備份:備份一個GPO備份將保存如下設定(于文件系統(tǒng)中)GPO中的策略設定GPO上的訪問控制列表(ACLs)與WMIfilter的關聯(lián)(不是filter本身)設定報告并不備份GPO與SDOUs之間的關聯(lián)關系備份一個GPO備份將保存如下設定(于文件系統(tǒng)中)管理備份多個備份可以保存于文件系統(tǒng)中的同一位置多個GPOs同一GPO的多個版本每個備份可以通過以下方式標識:名字，描述，域，時間票,，GPO的GUID可以通過GPMC查詢管理備份多個備份可以保存于文件系統(tǒng)中的同一位置恢復恢復GPO的所有屬性GPO中的策略設定GPO的訪問控制列表與WMIfilter的關聯(lián)(不是filter本身)設定報告使用相同的GUID與備份GPO在同一個域并不修改GPO與SDOUs之間的關聯(lián)關系恢復恢復GPO的所有屬性導入與拷貝：概覽僅僅轉(zhuǎn)移策略設定不修改:訪問控制列表(ACLs)WMIFilter(獲關聯(lián))SDOUs與GPO的關聯(lián)關系可以在同一個域、多域或者多森林情況下使用導入與拷貝：概覽僅僅轉(zhuǎn)移策略設定拷貝與導入：比較拷貝來源:ActiveDirectory?中某個當前存在的GPO目標:創(chuàng)建一個新的GPO新的GUID在GPO上使用默認的訪問控制列表導入來源:文件系統(tǒng)中某GPO的備份目標:ActiveDirectory中一個存在的GPO清除目標GPO的當前策略設定保留:目標GPO的當前訪問控制列表與該GPO的關聯(lián)關系GPO的GUID拷貝與導入：比較拷貝報告對GPO策略設定以及RSoP數(shù)據(jù)提供HTML報告

可打印，保存(xml,html)報告對GPO策略設定以及RSoP數(shù)據(jù)提供HTML報告

搜索 可基于以下條件搜索GPOs名稱明確權限有效權限WMIfilterGUIDGPOs中的策略設定例如查找所有：“PolicyAdmins”組可以編輯的并包含“文件夾重定向”設定的GPOs搜索 可基于以下條件搜索GPOs使用GPMC

解決組策略管理的關鍵問題demo使用GPMC

解決組策略管理的關鍵問題demoOU’sA1A2理解組策略使用環(huán)境的復雜性哪一個是我的

策略?GPO’sA4A5A1A2A3ADomainSiteBGPO’sB1B2DomainOU’sB1B2B3組策略不跨域繼承Slower站點由子網(wǎng)組成，可能會垮多個域。GPOs不跨域儲存單個SDOU上可能關聯(lián)了多個GPOs一個GPO也可能和多個SDOUs關聯(lián)。任何SDOUs可以和任何GPOs關聯(lián)，甚至跨域

(這樣可能會非常慢)可以通過對安全組的權限設定(ACLs)來實現(xiàn)GPO的過濾OU’sA1A2理解組策略使用環(huán)境的復雜性哪一個是我的

策略RSoPRSoP(ResultantSetofGroupPolicy)Win2k推出后，客戶對于組策略的第一改進要求兩種模式LoggingMode:哪些策略已應用PlanningMode:哪些策略將應用RSoPRSoP(ResultantSetofGrRSoP工具RSoP工具RSoPMMCsnap-in關于已應用策略的詳細信息可以遠程使用GPResultv2.0命令行工具可以遠程使用“幫助與支持中心”的HTML報告可以保存、打印Win2000中不支持這些工具RSoP工具RSoP工具GPOModelingWindowsServer2003提供RSoP的Planning模式允許模擬在AD中的某個用戶或者某臺計算機上的設定模擬選項:Whatif分析:改變管理范圍改變安全組的成員改變WMIFilter狀態(tài)關聯(lián)站點慢速鏈接Loopback在哪臺域控制器上運行GPOModelingWindowsServer200RSoP工具demoRSoP工具demo組策略的診斷排錯GPOTOOL對象校驗工具GPRESULT顯示GPO結果SECEDIT刷新策略組策略的診斷排錯GPOTOOL組策略高級應用技巧組策略高級應用技巧組策略管理模板通過策略修改注冊表設置Registry.pol文件標準管理模板文件System.admInetres.admConf.admWmplayer.admWuau.admInetsec.ad