企业集中管理方法组策略的操作课件.pptVIP

组策略最佳实践：规划(2) 在有AD的情况下，尽量不使用本地组策略 限制域上的GPO数量 尽可能不使用影响组策略默认继承性的 No Override Block 应用GPO时，尽可能将GPO关联到目标对象所在的容器上(比如OU) 第三十页，共三十九页。 组策略最佳实践：管理模板 仅通过组策略对客户端进行设定，不使用其他方法修改客户端注册表 使用Windows XP/.NET中提供的最新工具来管理组策略 详细的支持信息 更新了的策略注释 与帮助集成 尽量对win2000和windowsXp/.NET客户端使用同样的设定，以使用户有一致的体验 第三十一页，共三十九页。 组策略最佳实践：漫游用户配置 对“我的文档”目录使用文件夹重定向 获取更快的登陆速度 优化在 XP, 2000 and NT4多系统间的漫游 各系统见使用应用程序的同一版本 确保操作系统安装在相同的 %systemdrive% 和 %windir% 对使用漫游用户配置的用户不设置太低的磁盘定额 推荐使用配置文件最大值的两倍 第三十二页，共三十九页。 组策略最佳实践：文件夹重定向 让系统为每个用户创建目录 对“我的图片”和“我的文档”使用相同的设定 使用“文件夹重定向”的默认设定 对储存用户数据的服务器使用“离线文件夹”设定 始终激活 “注销前同步所有离线文件夹” 设定 第三十三页，共三十九页。 组策略最佳实践：软件安装 指定软件的“类别(categories)” 最终用户更易查找所需软件 在发布应用程序之前对其进行定制 发布之后将无法定制 将应用程序发布给用户或者计算机, 但不要同时 对当前应用程序重新打包 第三十四页，共三十九页。 参考资料 第三十五页，共三十九页。 WIN311:企业集中管理方法：组策略的操作 王 希 Microsoft MVP Windows .NET Magazine (PRC) 第一页，共三十九页。 日程 组策略在企业中的应用 组策略管理的常见问题及解决 理解组策略的复杂性 组策略管理的常见问题及解决 组策略的最佳实践 组策略最佳实践：规划 针对具体设定的最佳实践 第二页，共三十九页。 组策略在企业中应用 基于注册表的设定 本地，域以及网络等安全选项 集中管理软件安装以及维护 开、关机脚本 登陆、注销脚本 将用户数据存放在网络上 管理IE设定 管理模板 安全 软件安装 脚本 文件夹重定向 IE维护 第三方扩展 组策略有很好的扩展性 第三页，共三十九页。 组策略在企业中的应用(2) 组策略可以用于: 注册表设定 (WindowsXP中提供的设定数目超过700) Shell, TS, IE, MSI, Windows Update, Messenger, Net Meeting, … Some Apps (i.e. Office 2000 / XP) 安全设定 Security policies, account policies, restricted groups, services, local ACLs, Certificates, SW Restriction, IPSec IE 设定 软件安装 脚本 文件夹重定向 远程系统安装 (RIS设定) 第四页，共三十九页。 组策略管理的常见问题及解决 第五页，共三十九页。 OU’s A1 A2 理解组策略使用环境的复杂性 哪一个是我的策略? GPO’s A4 A5 A1 A2 A3 A Domain Site B GPO’s B1 B2 Domain OU’s B1 B2 B3 组策略不跨域继承 Slower 站点由子网组成，可能会垮多个域。 GPOs不跨域储存 单个SDOU上可能关联了多个GPOs 一个GPO也可能和多个SDOUs关联。 任何SDOUs可以和任何GPOs关联，甚至跨域 (这样可能会非常慢) 可以通过对安全组的权限设定(ACLs)来实现GPO的过滤 第六页，共三十九页。 RSoP RSoP (Resultant Set of Group Policy ) Win2k 推出后，客户对于组策略的第一改进要求 两种模式 Logging Mode: 哪些策略已应用 Planning Mode: 哪些策略将应用 在Windows.NET AD中可以实现授权 第七页，共三十九页。 RSoP 工具 RSoP 工具 RSoP MMC snap-in 关于已应用策略的详细信息 可以远程使用 GPResult v2.0 命令行工具 可以远程使用 “帮助与支持中心”的HTML 报告 可以保存、打印 Win2000 中不支持这些工具 第八页，共三十九页。 RSoP Planning 模式 Windows .NET Server 提供RSoP的Plannin