組策略集中管理系統配置的使用手冊
幾乎每個企業都有一個標準化配置來設置新電腦,它常常在圖像文件中建立并據此部署。雖然這個方法有效,企業的標準配置卻隨時間變化。一些組策略的設置可以幫助我們將標準化的配置部署到每臺計算機上,因為這樣可以讓變動部分以統一的方式實施,確保每臺計算機運行的都是當前的標準配置。
基于圖像配置的弊端
部署計算機時,一般做法是:管理員先在一臺計算機上安裝Windows操作系統,然后對系統進行手工微調。接著使用SYSPREP去除這臺計算機在操作系統中的私有信息(如SID或計算機名),最后將這臺計算機的硬驅制成圖像并部署到其它計算機。
第一次啟動圖像時,Windows運行一個包括基本配置問題(這是因為圖像是通用的)的小型安裝。為Windows提供一個應答文件有可能省去這個過程。但是,請記住,應答文件通常都用于自動安裝過程,且假設我們在圖像文件中已經做好了自定義設置,問題就隱藏在這里。
Windows提供了幾百個不同的設置選項讓我們配置。雖然其中一些設置是全局性的,另一些則是針對用戶的,適用于用戶配置文件級別。
例如,在使用圖像部署一臺計算機前,你更改了電源管理設置并禁用了Windows Vista的側邊欄。然后,你用Sysprep標準化機器,創建一個圖像并將它部署到另一臺計算機。用戶第一次登錄到該計算機時,自定義的電源管理設置仍然有效,但在默認情況下,Windows側邊欄會被啟用。這是因為Windows側邊欄的配置基于用戶配置文件級別。新用戶第一次登錄時會創建一個新的配置文件,這個新的配置文件應用了Windows的默認設置。
還有一個基于圖像配置的問題是,標準配置會隨著時間變化:現在的配置和一年前的配置很可能完全不同。
正因為如此,應該在運行Sysprep之前盡量避免對計算機進行手動配置。相反地,我們應該更多地使用計算機的本地安全策略來進行配置。
使用本地安全策略
我發現很多管理員很少使用本地安全策略,因為當用戶登入網絡時它的配置會被覆蓋。但不管怎樣,本地安全策略還是有它的用處。對于初學者來說,組策略(包括本地安全策略)幾乎可以實現Windows所有方面的自定義。例如,微軟提供管理模板來自定義Office的設置。
具體來說,本地安全策略的目的是保護沒有接入網絡的計算機。因此,即使用戶登錄到本地,創建一個本地安全策略也可以確保它是標準的配置。當然,本地安全策略只是針對計算機本身的配置,無法集中管理。隨著時間變化,你的計算機本地安全策略的配置最終還是會過時。
幸運的是,組策略是層次化的結構。基于網絡層面的組策略對象(GPO)可以提供跟本地安全策略相同的設置,且在它們之間有沖突時,本地安全政策的優先級是最低的。這意味著,如果一個策略的設置過時了,我們可以從網絡層面的組策略上更新設置,它就可以覆蓋本地安全策略的設置。
所有這些都讓我們不得不提出一個很重要的問題:如果本地安全策略在登入網絡時會被網絡上的組策略覆蓋,為什么還要費心地去用它們,況且它們最終還是會過時?
當你的標準配置發生變化時,在一個特定的時間內只是會有少數的設置發生改變,一個企業在一夜之間改變所有組策略設置的情況非常罕見。考慮到這一點,我們假設一臺計算機有一個過時的本地安全策略,而網絡層面的組策略保持最新。如果有人在本地登錄,本地安全策略仍然會提供一定程度的保護,而且保持它安裝時的標準配置。這通常比保持Windows的默認設置要好很多。
這樣也會產生爭論:既然手動設置加上Sysprep圖像的方式也可以達到相同目的,如果沒有網絡層面組策略的強制設置,手工設置仍然會有效,那為什么還要建立一個本地安全策略?
理由是本地安全策略可以在一個地方進行所有的設置。當Sysprep的鏡像過時了,它需要更換,你可以只修改本地安全策略來匹配現在的標準配置,而不用在系統中的多個不同地方手動修改其設置。
總之,雖然可以手動配置Sysprep圖像,但是只要可能,最好還是通過組策略設置來實施配置的更改。
【編輯推薦】
