组策略技巧与实践2.pptxVIP

高效管理现代企业网络的有力武器 —组策略技巧与实践(二)议程组策略实战管理 —— GPMC组策略对象的备份与还原组策略对象的迁移评估组策略执行结果组策略简单排错组策略高级应用技巧ADM模版文件定制与使用组策略过滤器WMI FilterSecurity FilterWindows Server 2003 组策略改进资源微软资源第三方资源组策略实战管理 —— GPMCGPMC 概览什么是 GPMC (group policy management console)? 管理组策略的新工具:提供一组可编程对象用于管理组策略基于这些对象的MMC Snap-inGPMC 设计目标统一的组策略管理提供更好的用户界面解决组策略部署中的关键性问题允许通过脚本的方式来实现对组策略的操作GPMC 特性概览管理组策略的全新UI报告功能: 可用HTML方式查看GPO设定和RSoP数据 提供对GPO设定只读访问备份、恢复GPOs导入、导出功能搜索功能与RSoP整合所有操作均可通过脚本实现注意: 对GPO中的设定不行关于GPMC可用于管理 Windows? 2000 或者 Windows Server 2003 domains在Windows Server 2003之后将提供独立版本 (可通过Web下载)系统需求:Windows Server 2003Windows XP专业版(SP1+ hotfix):备份、恢复备份:将GPO设定保存在文件系统中和导出一样恢复:将设定还原GPO必须在同一个域如果要实现跨域设定转移，可以使用导入或者拷贝备份一个GPO备份将保存如下设定 (于文件系统中)GPO中的策略设定GPO上的访问控制列表(ACLs)与WMI filter的关联 (不是filter本身)设定报告并不备份GPO与SDOUs之间的关联关系 管理备份多个备份可以保存于文件系统中的同一位置多个GPOs同一GPO的多个版本每个备份可以通过以下方式标识:名字，描述，域， 时间票,，GPO的GUID可以通过GPMC查询恢复恢复GPO的所有属性GPO中的策略设定GPO的访问控制列表与WMI filter的关联 (不是filter本身)设定报告使用相同的GUID与备份GPO在同一个域并不修改GPO与SDOUs之间的关联关系导入与拷贝：概览仅仅转移策略设定不修改:访问控制列表(ACLs) WMI Filter (获关联) SDOUs与GPO的关联关系可以在同一个域、多域或者多森林情况下使用拷贝与导入：比较拷贝来源: Active Directory?中某个当前存在的GPO目标: 创建一个新的GPO新的GUID在GPO上使用默认的访问控制列表导入来源: 文件系统中某GPO的备份目标: Active Directory中一个存在的GPO清除目标GPO的当前策略设定 保留:目标GPO的当前访问控制列表与该GPO的关联关系GPO的GUID报告对GPO策略设定以及RSoP数据提供HTML报告可打印，保存 (xml, html)搜索 可基于以下条件搜索GPOs名称明确权限有效权限WMI filterGUIDGPOs中的策略设定例如 查找所有： “Policy Admins” 组可以编辑的并包含“文件夹重定向”设定的GPOs demo使用GPMC解决组策略管理的关键问题理解组策略使用环境的复杂性GPO’sA1DomainAA2A3SiteA1A2A4A5OU’s组策略不跨域继承GPO’sBDomainB1SlowerB1B2B2OU’sB3哪一个是我的策略?站点由子网组成，可能会垮多个域。GPOs不跨域储存单个SDOU上可能关联了多个GPOs一个GPO也可能和多个SDOUs关联。任何SDOUs可以和任何GPOs关联，甚至跨域 (这样可能会非常慢)可以通过对安全组的权限设定(ACLs)来实现GPO的过滤RSoP RSoP (Resultant Set of Group Policy )Win2k 推出后，客户对于组策略的第一改进要求两种模式Logging Mode: 哪些策略已应用Planning Mode: 哪些策略将应用RSoP 工具RSoP 工具RSoP MMC snap-in 关于已应用策略的详细信息可以远程使用GPResult v2.0 命令行工具 可以远程使用“帮助与支持中心”的HTML 报告可以保存、打印Win2000 中不支持这些工具GPO ModelingWindows Server 2003 提供RSoP的Planning模式允许模拟在AD中的某个用户或者某台计算机上的设定模拟选项:What if 分析: 改变管理范围改变安全组的成员改变WMI Filter状态关联站点慢速链接Loopback在哪台域控制器上运行 demoRSoP 工具组策略的诊断排错GPOTO