利用高级组策略管理避免企业IT策略部署中的风险及分析策略.docx

利用高级组策略管理避免企业IT策略部署中的风险目前很多企业都采用微软活动目录作为企业的IT基础架构。活动目录的主要特性之一就是通过组策略在技术层面上帮助企业将IT管理规章落实到网络内的每一个用户和每一台设备。组策略作为企业集中化IT管理的核心组成部分，为企业提供了诸多的便利并促使IT进一步提升企业生产力。另一方面，企业IT在享受组策略带来便利的同时，也面临着种种问题，包括庞大数量的策略条目管理、错误的策略下发导致的业务停顿，组策略管理员责任不明晰等，这些问题一旦出现将引发一连串的负面影响，甚至给企业带来致命的打击。如何才能在有效利用组策略来进行集中管理的同时确保策略部署的安全？本文将为您介绍“高级组策略管理 (AGPM)”如何帮助企业实现高效安全的组策略编辑与部署。维奇公司的IT系统建设较早，基于历史和技术发展方面的原因，内部的IT环境是逐步建立起来的，由于在建立初期缺乏整体架构的科学指导，从而形成了松散型的IT环境。客户端、服务器各自独立，好像一个个“孤岛”，无法实现统一管理。在这种松散型环境中，一旦某个节点出现问题需要定位其位置，并需要繁琐的恢复过程来实现修复。生产系统应用软件的大规模部署需要相关人员在各个计算机上逐一手工安装，服务器和客户端需要大量人为设置，极大耗费人力，严重的影响了企业IT部门的工作效率。站在企业IT部门的角度，受到当时技术手段的局限，编制的IT管理制度与策略只能印在员工手册上，无法完全被最终用户执行。IT管理规范的制订是为了防止信息系统出现如安全问题等风险以及其他不稳定状况，从而保障企业业务的正常运行。但由于IT人员无法监控与统一管理这种松散式环境中的桌面计算机与服务器、应用程序的运行等，常常会有规范只是一纸空文的感觉。随着技术的不断发展与IT管理观念的改进，维奇公司开始转变IT环境的发展的思路，从简单考虑硬件及应用软件的采购与建设，转而考虑如何整合现有IT环境中的资源，将IT环境的管理由松散方式变为集中管理的方式，减轻日常管理维护负担，从而实现提升IT生产力。目录服务的出现正好满足了企业对于集中管理的需求。以目前业内最为成熟的目录服务解决方案——微软Active Directory（活动目录）为例，活动目录可以将公司范围内的计算机设备、用户、共享资源（文件、打印机等）作为“目录”中的对象整合并管理，方便企业内的登录、查询及使用。此外，对于用户，活动目录还对用户身份验证的统一管理，企业员工账户信息全部由活动目录域控制器进行验证，可以实现通过单一的账户登录就可以访问企业域范围内所有具备权限的任何资源，从而简化了普通用户使用IT的复杂程度。基于以上优点，维奇公司将活动目录作为标准IT基础架构进行部署。IT小职员粗心险些酿大错今年是维奇公司部署活动目录和应用组策略的第7年。刚刚大学毕业的小王通过层层招聘正式进入维奇公司做了一名IT管理员。小王在活动目录和组策略方面具有较为丰富的理论知识，到了公司上班之后他就发现企业历经多年的积累，目前已经部署的组策略条目已经多达二百条以上，这些策略的功能包括软件部署策略，系统更新、安全设置以及企业桌面用户界面统一化设置等，涉及到企业IT的各个方面。如何维护好这些组策略条目成了小王最重要的工作。一天临近下班的时候，公司IT部门接到财务部门的电话，财务部门要求将各个分公司的与财务系统相关客户端计算机的安全性做进一步的提升，其中一条要求便是如果用户在计算机上连续三次将登录密码输入错误，系统将会自动锁定半小时，30分钟之后才允许用户重新登录。IT主管和财务主管认为这样可以有效地防止非授权用户对财务系统的登录尝试，为财务系统提供更好的安全性。小王觉得自己表现的机会来了，在上学的时候小王曾经参加过活动目录和组策略相关知识的培训，想起Windows组策略中正好有符合需要的条目，只需要将该条目编辑并部署就可以实现财务部门的要求。于是小王主动要求留下加班，让其他同事按时下班回家，他自己来完成这个任务，看到小王如此积极地工作，IT部门的其他同事放心的走了。理论知识丰富的小王心想这下终于有实践的机会了，可以在公司的IT系统中自己编辑和部署组策略。小王将自己的桌面计算机连接到公司的活动目录域控制器上，快速的找到与要求有关的组策略编辑并部署，一杯咖啡的时间，策略就已经被指派到公司的IT环境中了。小王得意的下班回家，这次主动要求的加班并没有占用小王太多的时间，回家的路上小王还在期许明天主管对自己工作的肯定。然而，有时现实和想象还是有差距的。第二天一早刚刚上班的时候，IT部门接到多个有关财务系统的电话，这些电话既有总部财务部的，也有各地分公司财务人员的，电话的内容都一样，无法登录自己的电脑。这么多的电话让IT部门一下忙碌了起来，很多IT工程师开始了问题的调查，他们发现打电话求助的这些财务人员有一个共同的