组策略在-MicrosoftCorporation

WCI321组策略在WindowsVista中的新特性今天的组策略现状WindowsVista中的组策略全新的功能更多被使用的策略集议程今天的组策略现状被广泛的应用在中大型企业组策路的应用情况:超过90%的大型企业和组织采用组策路超过60%的中小企业采用组策管理企业环境策略的覆盖面非常大超过1800项的策略设置比如在安全方面或者IE等方面都有很多的策略ADMfileformat&SysvolbloatADPolicyTargetingPolicyTroubleshootingPolicyEnforcementPolicyDefinitionGPOManagementandOperations(GPMC/GPEdit)GroupPolicyObject(GPO)基础结构:客户的痛DifficulttolocatesettingsLackofbestpracticeknowledgeErrormessagesComplicateddiagnosticlog(Userenv)Pingissues,VPNscenariosNon-ADscenariosWhatandwhereisGPMC?Changemanagement,auditingandworkflow类别关键特性和增强可控策略从1,800到3,000条增加策略－针对WindowsVista的新特性主要区域的改进扩展更安全可靠的基础结构全新的网络感知技术支持多本地策略组策略多语言支持GPMC的集成更强大的模版支持sysvolbloat的解决方案搜索/分类/过滤/模板应用组词策略可靠性和性能易用性WindowsVista中组策略的改变更多的设置,更可靠,容易使用议程今天的组策略现状WindowsVista中的组策略全新的功能更多使用的策略集GroupPolicyClientService可靠性–WindowsVista的基础在从前组策略进程是通过Winlogon进程实现的在Vista中组策略的引擎是运行在一个共享的服务主机增强的服务管理员也需要通过权限提升才能停止服务在遇到不可预料的情况下，服务将重新启动第三方客户端的支持GPMC集成GPMC推出已经三年为什么要集成GPMC到系统中？Theperceptionis:GPMC是一个很有用的小工具集吗？非常正确，但它不是操作系统的一部分什么是GPMC不在需要下载/安装，它将默认集成到WindowsVista&LonghornServer中。单一的本地安全策略本地安全策略主要被应用在:没有活动目录的情况下共享计算机(比如：展台)客户需要更加有效的安全策略比如：管理员和普通用户应该有不同策略设置没有目的的策略应用WindowsVista：多本地安全策略域组策略的优先级依然高于本地安全策略本地策略可以应用到:计算机新:管理员或者管理员组新:单独的本地用户应用的顺序是最后应用的生效一个用户只能接收一种策略（针对管理员或针对非管理员）新的策略设置:ExcludeprocessingofalllocalGPOsMultipleLocalGPOs今天:网络感知策略的应用不是网络敏感的，比如:VPN会话笔记本待机/休眠慢速连接检测错误ICMPPing数据包不能通过路由器带宽高延迟很高的场合WindowsVista:网络感知适应网络改变策略应用不再局限在90分钟如果从前应用的策略出现问题，而没能成功应用，网络感知将在下一次网络可用时自动应用网络感知应用组策路可以订阅服务器边的改变不再依靠ICMP(没有更多的ping!)准确的带宽检测今天:组策略故障排除含糊的错误消息不一致的排错和解决信息错误帮助连接部可用难以识别Userenv.log许多用户不清楚这个选项界面不友好每个组策略扩展都有不同的模版和不同的日志位置不支持事件合并WindowsVista:组策略日志增强新的‘Crimson’事件管理特性基于XML的事件日志支持应用程序‘channels’使用‘Subscription’实现事件合并支持事件触发器两个不同的日志级别AdmineventsOperationaleventsWindowsVista:组策略增强AdmineventsActionablesetofeventsin‘System’log(source=‘GroupPolicyService’not‘Userenv’)LinkedtoMicrosoftWebsitewithmoreinformationincludingtroubleshootingsteps,relatedKBsOperationaleventsStep-by-steppolicyprocessingeventsin‘GroupPolicy’ApplicationchannelAdminfriendlyreplacementofUserenv.logUniqueActivityIDenablesgroupingofeventsoccurringinasinglepolicyrefreshProvidesvaluabledatalikeUsername,GPOlist,policyprocessingmetrics(totaltime,individualextensionprocessingtime,etc.)WhyADMXFiles?ADM文件的挑战…不支持多语言环境Sysvol的膨胀(4Mb+perGPO）难以理解和使用的语法ADMX文件的优点内建多言支持通过集中存储，解决Sysvol膨胀的问题支持集中存储或本地存储更多的扩展语言支持*Currentplanistomakeavailableinthistimeframe–willNOTrequireWindowsServer“Longhorn”ADMX中心存储默认是不启用中心存储的管理员可以使用GPMC/GPEdit来编辑本地的ADMX启用中心存储在域中ADMX的存储位置是–[sysvol]\policies\policydefinitions一次性创建中心存储WindowsVista:通过InternetExplorerWindowsServer“Longhorn”Timeframe*:Additionaltools最后，管理员可以使用WindowsVista中的GPMC/GPEdit工具管理中心存储的ADMXfiles(忽略本地存储)ADMX/ADM共存WindowsVista不会装载任何的ADM文件ADMX和ADM文件可以并存，可以通过添加删除模版来添加ADM文件提示：没有计划推出从ADM到ADMX的装换工具BehaviorADMX(WindowsVistaandlater)ADM(Windows2000,WindowsServer2003andWindowsXP)CanManageWindows2000,WindowsServer2003,WindowsXP√√CanManageWindowsVista,LonghornServer√XMultilingualSupport√(ADMLFiles)XCanConsumeCustomADMFiles√√DefaultLocationofFilesADMXfilesreadlocallyADMfilescopiedtoGPOCanUseCentralStore√XAvoidsDuplicatedFilesintheGPO(SysvolBloat)√XOptiontoAddGPO-SpecificFiles(Add/RemoveTemplates)ADMFilesOnlyADMFilesOnlyFileComparisonsVersionNumbersTimestampADM和ADMX文件对比议程今天的组策略现状WindowsVista中的组策略全新的功能更多使用的策略集RemovableStorageDevicesIPSec/WindowsFirewallPowerManagementPrinterManagementTroubleshooting&DiagnosticsWindowsDefenderNetworkAccessProtectionInternetExplorerTabletPCWindowsErrorReportingUserAccountControlWiredandWirelessPolicyDesktopShellGlobalizationRemoteAssistance新的、更合理的策路设置更多的策略且实用的策略。。。。。。PowerManagementCanLowerOperationalCosts(1)Energymanagementfeatures(sleepanddisplayblanking)translateintosavingsComparesystemon24x365withonewithenergysavingfeaturesenabledDisplayblankingalone17”LCDupto$17/monitorperyear17”CRTupto$31/monitorperyearSystemsleepanddisplayblankingtogetherUpto$63/systemperyearSavingsMultiplywithGroupPolicyManagementofEnergyFeaturesAssume$63systemidleanddisplayblankingsavingsperPC1PC$631,000PCs$63,00010,000PCs$630,000OthervalueHeating/coolingsavings(HVAC)ReductioninenvironmentalimpactInstantCostSavingsWithPowerManagementPolicySettings电源管理通过组策略控制电源管理为企业节省电源开销WindowsVista包括全面的电源管理•针对不同用户的电源设置•通过组策略完全控制•Separatepowerplanforwhennouserisloggedintothesystem默认在所有的PC上启用省电模式•Sleep作为默认的“关机”动作•支持系统Sleep空闲时间•支持关闭显示器空闲时间全面的电源管理默认省电模式移动存储设备导致的问题数据保护USB设备MP3播放器CD/DVD刻录攻击:恶意软件与病毒主要数据泄露(销售数据，产品计划和价格等）客户非常想对移动设备进行控制移动设备控制控制设备的读写权限移动设备类别CD/DVDTapesUSBplug-indevicesWindowsPortableDevices(WPD)AllotherexternalremovablestoragedevicesOnlycomputersettingsareapplicableonTerminalServer了解=UAC=LUA=UAP!默认情况下，任何用户将运行在标准用户下Administrator始终有全部的管理权限针对管理员使用赞成模式标准用户使用全新的权限提升方式工作用户账号控制用户账号访问策略用户账号策略位置:ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies\SecurityOptions管理UAC的用户体验权限提升行为(没有提示,赞成模式,权限提升)应用程序安装提示通过支持Virtualizesfile和registry写入失败的支持，减少应用程序兼容的问题UserAccountContralWindows防火墙和IPsec•单点、统一的管理•无缝的管理•Restrictnetworkresourceaccesstodomain-joinedcomputers•只允许健康计算机访问网络资源Windows防火墙和IPsec简化管理强制隔离更加智能的防火墙•特定应用程序和端口允许•只允许安全连接•只允许A