[技術門診150期] 組策略管理之企業深層次應用
系統組策略幾乎是各位網絡管理人員管理網絡時的必用利器之一,有關該利器的常規應用技巧,相信許多人都已經耳熟能詳了。例如,可使用"組策略"從桌面刪除圖標、自定義"開始"菜單并簡化"控制面板"。此外,還可添加在計算機上(在計算機啟動或停止時,以及用戶登錄或注銷時)運行的腳本,甚至可配置Internet Explorer。 但是在組策略在企業中的應用還遠不止此,更多深層次的應用,讓我們一起來探索組策略在企業中的應用吧!
技術門診是51CTO社區品牌欄目,每周邀請一位客座專家,為廣大技術網友解答疑問。從熱門技術到前沿知識,從技術答疑到職業規劃。每期一個主題,站在最新最熱的技術前沿為你引航
本期門診特邀請微軟技術專家、三屆微軟windows方向MVP蘇繁與大家交流分享組策略管理在企業中的深層次應用。大家可針對組策略的應用以及日常管理中遇到的組策略的相關問題與專家進行互動交流。
姓 名:蘇繁
擅長領域:windows
三屆連任的微軟最有價值專家(Windows方向),河南微軟技術聯盟的創建人。熱衷于微軟產品和技術的學習及推廣,擅長 Windows Client/Server 技術,Windows SBS 產品,Windows 的 MDT 部署,微軟虛擬化技術以及 IIS、DNS 在 Hosting 領域的技術應用。
查看本期門診精彩實錄:http://doctor.51cto.com/develop-163.html
參與最新技術門診:http://doctor.51cto.com/
精選本期網友提問與專家解答,以供網友學習參考。
Q:域的組策略是一直在用的,我工作中主要應用的功能就是通過策略安裝打印機,軟件,桌面重定向等等.今天遇到專家,不禁想了解一下.組策略的深層應用,有那些比較實用的功能??可以為企業或者系統管理帶來什么樣的效果?先謝過了!
A:yjtmail您好,我們知道組策略實際上就是系統策略的高級擴展,通過MMC界面我們可以直觀地對注冊表進行相關項的修改,此外還可以通過ADM文件添加更多的配置支持。在AD環境中我們依靠組策略來實現客戶端配置的集中化管理,從而幫助企業實現桌面標準化并降低維護成本。
Q:一般企業中常用的組策略的設置有哪些呢?最經常設置的地方時哪里呢?是否有相應的設置模板?對于一個使用AD域環境的組策略,最多設置的組策略是否有限制?為什么?如果領導要求調出已經在企業環境中已經實施的組策略,可否有快捷簡便的方法顯示出在具體某個OU或者部門間實施的組策略設置?謝謝專家指點!
A:bluebaby001您好,企業中常用組策略的設置主要依據企業的實際需求,比如禁用無用的服務、軟件限制、目錄權限、文件夾重定向等等。GPO支持添加模板,擴展名通常為ADM或ADMX。對于用戶或計算機賬戶最多能應用999個組策略,有關相信的信息可以參考:http://technet.microsoft.com/en-us/library/cc756101(WS.10).aspx GPO的管理可以使用GPMC。
Q:現在還沒有用到這個相關的知識,但是對這個很感興趣,有什么好的書推薦,最好既有理論又有實踐的,或者什么好的學習途徑,請介紹一下,謝謝了!
A:jisuanji11011您好,推薦兩個網站:Windows Server 組策略、Group Policy Team Blog。《Windows Group Policy Administrator's Pocket Consultant》這本書的口碑不錯!但是我個人建議其實可以多在網上找些資料看看。另外強烈推薦Technet Webcast給你,早先推出過《組策略高手·完全手冊》系列的視頻廣播,我認為對學習組策略非常有價值。
Q:呵呵,問一下,域用戶漫游生成的文件夾,在刪除用戶,對應的文件夾,用ADMINISTRATOR刪除不了,提示沒有相應的權限,在域服務器上。有什么正確的流程進行刪除不,關于漫游用戶方法。再比如:一個漫游的用戶改名,怎么讓改名后用戶對應未改名時的用戶文件夾,怎么取得相關的權限,謝謝解答!
A:除去安全因素考慮,生成的用戶目錄默認只有CREATOR OWNER有完全控制權限,如果管理員要對其進行修改,必須先獲得所有權再添加其他用戶權限。如果公司安全策略允許,可以為主目錄的安全權限做適當調整,添加相應的管理組對主目錄下的子文件夾及文件有對應的權限。用戶更名后,本地用戶目錄并不會更改名稱,在注銷后會重新將文件同步到服務器。或者修改用戶配置文件將其設定為強制漫游,即手工指定配置文件路徑。
Q:在組策略為啥不能徹底禁用QQ呢,在"用戶配置" >"管理模板">"系統" >"不要運行指定的windows應用程序" 里面設置了,禁用QQ.EXE ,為啥點擊"QQ在線"狀態以后,可以啟動QQ呢?
A:我個人認為您的這種做法并無法有效地禁用QQ,"不要運行指定的windows應用程序"說明中已經清楚地進行了解釋。
我建議通過用戶配置-windows設置-安全設置-軟件限制策略進行禁用。如:新建路徑規則,添加 *qq*,安全級別為不允許,但是如果用戶有權限能更改其名稱,那么就需要通過證書規則或哈希規則來禁用,這兩項的數據可以從qq.exe文件屬性中數字簽名中獲取。
Q:專家,你有實施過SCOM的經驗嗎,能不能推薦一本好點書。
A:對不起我對SCOM并不熟悉,很多資料我都會先從網上進行搜索,比如閱讀微軟SCOM網站或官方的Blog,此外TechNet Webcast推出過SCOM系列專題的網絡廣播,可以下載學習。
Q:生成的用戶目錄默認只有CREATOR OWNER有完全控制權限,如果管理員要對其進行修改,必須先獲得所有權再添加其他用戶權限,請講一下,管理員怎么獲得所有權,是不是所有者改為administrator。
A:是的,將所有者改為管理員賬戶,就可以進行權限配置。大致步驟:進入該目錄屬性,切換到安全選項卡,進入高級設置并切換到所有者選項卡。
Q:專家您好,我想問一下,在中小企業中的Windows服務器管理方面能夠實施什么組策略呢,組策略對管理來說又有什么利與弊呢,在此謝過!
A:為Windows服務器實施組策略能極大地降低系統管理員的工作量,例如指定這些服務器要禁用的服務,允許本地登錄的賬戶,賬戶鎖定策略,文件系統權限規劃,IPSec等等。
要統一實施組策略,計算機必須加入到AD。如果企業內一些服務器不適用于AD環境,那么就只能通過單機組策略進行配置,可以使用gpedit.msc進行配置。
Q:修改組策略就是修改注冊表,但是組策略里能修改的東西相對于注冊表還是比較少的,您這里說的組策略深層次應用,個人覺得是不是通過修改注冊表能夠更深層次的管理系統,(當然注冊表要遠遠復雜與組策略)
A:組策略并不能完全對照注冊表的各個項進行修改。它主要用于幫助管理員對計算機和用戶的管理配置指定選項。這樣當一臺計算機加入到域后就能夠通過組策略進行預定義配置,以滿足企業的需要。此外用戶也能通過組策略的預定義配置,來獲得更好的桌面體驗。
Q:您好,我想問下,組策略可不可以像注冊表那樣,編寫reg文件的方式,快捷的修改呢?我之前都是為了防范優盤病毒,添加路徑規則,一條一條添加,如h:\*.exe j:\*.bat等等,好累.能否建立一個文件,以后一執行就都弄好了.
A:可以創建一個只包含路徑規則的GPO,并使用GPMC將其備份出來,以后再使用時就可以在創建了新的GPO后,先將包含路徑規則的GPO備份導入現有GPO中。
Q:我在dc上建了個組織單元在里面建了個用戶,然后對組織單元實施組策略,可是用這個用戶登陸域之后沒什么變化,就是組策略沒起作用,重起了也沒什么用。
A:建議在客戶端實行update /force之后根據提示重新啟動,使用rsop.msc檢查是否執行了策略。否則請檢查日志是否有相關的警告或錯誤。做進一步分析。
Q:想問一下...如何公司的管理不是域模式;就是普通的工作組模式;那除了用組策略單個設置各臺機器的外,還有什么其它的用途呢?謝謝了!
A:使用組策略在AD環境下是最高效的。
Q:專家你好!剛剛畢業參加一家公司工作就遇到了這個組策略的問題!真的很不錯!至少我想在網吧里有很多的桌面的東西不讓看不讓改都用了了它!想請專家推薦幾本講組策略的書看看!謝謝!
A:參考前面的解答,其實網上就有不少資源,特別是Technet上提供不少有價值的咨詢。感謝提問。
Q:蘇先生你好,我想請教一下:
1.是否有一個域控制器控制多個域的組策略的方案
2.建立多個域之間的信任關系需要注意什么樣的安全性的問題
A:wenduke,您好。能否進一步介紹說明您當前的架構體系。
Q:您好!我想請問一下,學習網絡管理員必備的專業課程有哪些?謝謝!
A:我個人認為,網絡管理員具備的專業課程取決于您當前服務的環境,再進行投入性的學習。但是對于行業通用的產品或技術應該有一定的認識。謝謝!
Q:專家你好:為什么在本地策略中管理員狀態和來賓用戶狀態都不適用,怎么修改呀?
A:zhengweiping,您好!您提問中的管理員狀態和來賓用戶狀態具體指的是什么?
Q:今日有幸遇到專家,想了解一下,組策略是否可以設置有關網絡端口方面的內容,比如BT的端口,QQ的端口。謝謝。
A:zhuzengju,您好!對于您的問題,我理解的是是否能夠通過組策略對客戶端配置端口策略。在組策略中,我們可以通過安全設置-IP安全策略對端口進行設置。
Q:你好!在域控制器上的應用組策略的時候提示,組策略不可用,但Netlong服務是正常運行,請問這種問題該怎樣解決?
A:能夠提供更詳細的錯誤信息,日志中是否有相關的警告錯誤呢?執行gpupdate /force會獲得一些可用信息。
Q:專家您好,我想請您推薦幾本關于組策略及企業應用方面的入門和中級的書,以前學習過這些。。但是不是重點學習,對于策略的應用及規則很不懂。。也希望多學習學習。謝謝了。
A:組策略的學習上面已經解答過,可以通過微軟Technet Webcast進行學習。那里有不少好資源。企業應用入門,可以找找Microsoft TechNet中文資源指南 - 企業 IT 構建核心基礎架構解決方案。網上應該能夠找到電子版的。
#P#
Q:老師您好,請教您一個問題果在域環境中,普通域用戶是沒有磁盤管理權限。請問在組策略中能否進行相關設置,允許普通域用戶具有磁盤管理權限。
A:使用組策略中計算機配置-windows設置-安全設置-文件系統,即可為客戶端配置統一的磁盤權限。謝謝提問!
Q:蘇先生,你好!我想請問一下,對于企業管理與維護來說,具體地該怎樣應用組策略來達到信息安全的最大化?謝謝!
A:清楓俠士,您好!企業信息安全最大化,我個人認為是一個龐大復雜的工程。首先要有一個安全標準,然后根據這個安全標準實施安全措施,其中GPO也只是一種手段。對于系統高級選項的設置以及支持GPO的應用軟件,我們可以依靠GPO對AD中的服務器和客戶端PC實施統一的預配置。在GPO的安全設置中提供了賬戶、本地、防火墻、軟件限制等多種策略。
Q:組策略中有連個計算機配置和用戶配置,他們之間的區別在那啊?設置好以后必須重啟電腦嗎?
A:計算機配置和用戶配置,顧名思義。一個是針對計算機設置的,一個是針對用戶設置的。他們的選項內容還是有一定的區別。比如在計算機配置下就能夠對文件系統、系統服務、注冊表等隸屬計算機對象的選項進行配置。此外,當為一個OU配置GPO時,如果其中包含計算機和用戶對象,并設置了GPO中的計算機配置和用戶配置。當一個域帳戶登錄時會應用GPO的計算機配置和用戶配置,但如果是OU之外的一個沒有配置GPO的AD賬號登錄計算機,則只應用計算機配置。如果是計算機的一個本地賬號登錄那么也只應用計算機配置。
在配置了GPO后,可以在客戶端執行gpupdate/force,根據提示選擇是否重新啟動。
Q:在組策略中哈希和路徑的區別,用了之后也沒發現區別,看了網上的資料也不是很清楚, 蘇教授您分析一下。
A:rengguangli78yu,您好!軟件限制策略中一旦添加了路徑規則,那么如果用戶將程序名稱修改你講無法實施對該軟件的限制策略。而使用哈希值,即使程序更名或移動位置也能被識別,此外利用哈希值也可以幫助用戶防止病毒。只要文件本身內容不變,那么它的哈希值就不會變化。相比較路徑規則,利用哈希值能更準確得識別對象。
Q:專家您好!我最近正好在學習組策略相關知識,前二天做一個ipsec安全策略的時候遇到問題,問了好多人無法解答,問題如下:
環境:工作組模式,一臺PC ,ip:172.19.51.3,netmask:255.255.255.0,gateway:172.19.51.1,機器無任何還原軟件。
實驗目標:限定該PC只能與同一網段以及外網某一IP(假設 1.1.1.1)通訊,其它通訊都阻止。
實驗步驟:在組策略的計算機配置-ip安全策略中設置了2條IP安全規則,1是允許該機與同網段IP以及外網某一IP通訊,2是拒絕其它所有通訊,然后做了指派,再進行gpupdate /force,當時測試了一下,生效,達到了預期目的,緊接著重啟電腦,再測試發現不起效果了,不知何故,請專家解答一下,謝謝!
有點長,不好意思 :)
A:號天,您好!對于您的問題我的理解是,您希望通過實施IPSec,實現如下的目標:
1、該計算機只能與同網段IP及其他網段某一IP通訊;
2、同網段IP及其他網段某一IP能訪問該計算機。
那么你需要創建創建兩個拒絕規則
1、拒絕任何計算機訪問本機
2、拒絕本機訪問任何計算機
之后創建2個允許規則,后面不再復述。
當重新啟動計算機后"不起效果",具體是什么故障問題?!建議用rsop.msc執行GPO分析。
Q:請問專家如何搭建組策略學習的環境,如果身邊不具備AD的實驗環境,又想深入學習組策略應用的話。是否可是使用虛擬機環境?
A:likejackie,您好!如果能搭建虛擬環境,那么將會對學習提供很大的便利。對于GPO的學習,我個人認為還是應該在AD環境中進行學習和實驗。
Q:對于組策略中軟件的部署,客戶端用戶需要什么權限!MSI的文件包好象是USERS組就可以了,但其它的格式的文件好象要administrators!
A:windyeye,您好!通常通過GPO部署MSI無需管理憑據。如果使用zap則需要管理憑據,即有安裝權限的賬號。此外通常使用GPO部署軟件時建議通過計算機配置進行分發。
Q:專家好,我現在遇到這樣一個問題,在域中一臺DNS上緩存的記錄是錯誤是記錄,假設說DNS的緩存中的A記錄是:a.demo.com的IP:202.106.199.34,在demo.com的NS服務器中根本就沒有創建a.demo.com這個域名,為什么DNS緩存中會有這個地址呢?這是什么原因造成的?請指教,謝謝。
A:pc-fans,您好!可以嘗試清除緩存。如果仍能解析a.demo.com,那么可能是demo.com的ns服務器中創建了該域名的范解析記錄。
Q:我是一家公司的IT,請問我如何說服我們總監同意在公司使用AD呢(用戶客戶端多未加入域)?您能例舉出具體的優勢嗎?
A:簡單說AD是一種管理架構,他是為實現安全管理和標準化管理為宗旨的。利用AD我們可以合理、安全的分配企業內部的信息資源,例如允許哪個用戶登錄到哪臺計算機,訪問指定的資源,并統一Windows桌面設置。每臺計算機都不再是信息孤島,他們彼此安全的相連接并被集中統一管理著。此外微軟很多產品都與AD集成,如ISA,Exchange等等。這里我強烈建議您瀏覽兩個地址:
Windows Server 2003 活動目錄
活動目錄的新特性
Q:專家好,我是一個組策略的初學者。我想問一下組策略有沒有模板一類的東西,在使用的時候可以直接導入。要怎么導入和導出組策略?
A:GPO提供管理模板,一些應用程序也提供GPO模板供使用,如Office,OCS等等。進入組策略編輯器后選中管理模板,右鍵單擊出現列表,使用添加/刪除模板來管理adm模板,可參考:http://support.microsoft.com/kb/816662。在Windows Server 2003資源工具包中包含了一些GPO模板。如果你希望直接能應用自己預先配置好的設置,則需要編寫ADM文件。可參考:http://support.microsoft.com/kb/323639。否則可以通過GPMC導出GPO,可參考:http://technet.microsoft.com/zh-cn/library/cc759276(WS.10).aspx。
Q:專家好:我們公司使用軟件限制策略限QQ軟件,使用散列規則限制,但是由于QQ的版本很多,很難做到沒有遺這應該怎么辦?我們公司的防火墻很爛,做不了QOS,但有些機器卻不能禁止使用下載軟件,有沒有什么辦法可以的限制一下下載軟件的速度(哪種下載軟件都可以,不過要使用服務器統一控制下載速度)。
A:anyuepiaoling,您好!據我所知目前Tencent對允許登錄的版本是有限制的,過低的版本貌似已經無法登錄。如果你的描述涉及到第三方修改的版本,建議你對這些版本進行收集并并創建哈希規則。同時創建路徑規則如:*qq*來進行禁用。
要進行速度限制恐怕GPO無法實現,需要借助其他軟件。謝謝!
Q:謝謝老師的回答!通常使用GPO部署軟件時建議通過計算機配置進行分發,為何通過計算機配置進行分發好一點!
A:windyeye,您好!使用用戶配置會導致每個用戶在登錄時都執行一次安裝。謝謝!
Q:蘇先生,你好,我想請問一個比較簡單的問題,通過組策略,如果鎖定桌面用戶的圖標或者通過管理員統一更改呢?用戶的開關機情況是否可以通過組策略來統一匯總查看呢?謝謝。
A:可以使用用戶配置-管理模板-桌面來進行配置。而用戶開關機記錄無法通過GPO實現統一匯總查看。
Q:專家您好,有關桌面維護這一塊,在企業中,如何設置組策略可以讓系統更安全,有沒有相關的組策略的導入導出工具(針對XP系統),有沒有相關的書籍系統的介紹這一塊,望推薦一本。謝謝!!
A:gengliang,您好!推薦您閱讀前面的解答。謝謝!
Q:專家,您好!請問在域控制器的組策略管理平臺中,提供了哪些組策略的管理工具,以及這些工具在什么時候使用可以達到事半功倍的效果?謝謝!
A:GPMC和AGPM都是用來管理組策略的管理工具。前者在WinXP和WinSRV2003是最常用的。關于AGPM建議閱讀http://technet.microsoft.com/zh-cn/library/dd420488.aspx
【編輯推薦】
