组策略技巧与实践2

高效管理现代企业网络的有力武器—组策略技巧与实践(二)议程组策略实战管理——GPMC组策略对象的备份与还原组策略对象的迁移评估组策略执行结果组策略简单排错组策略高级应用技巧ADM模版文件定制与使用组策略过滤器WMIFilterSecurityFilterWindowsServer2003组策略改进资源微软资源第三方资源组策略实战管理——GPMC概览什么是GPMC(grouppolicymanagementconsole)?管理组策略的新工具:提供一组可编程对象用于管理组策略基于这些对象的MMCSnap-inGPMC设计目标统一的组策略管理提供更好的用户界面解决组策略部署中的关键性问题允许通过脚本的方式来实现对组策略的操作特性概览管理组策略的全新UI报告功能:可用HTML方式查看GPO设定和RSoP数据提供对GPO设定只读访问备份、恢复GPOs导入、导出功能搜索功能与RSoP整合所有操作均可通过脚本实现注意:对GPO中的设定不行关于GPMC可用于管理Windows®2000或者WindowsServer2003domains在WindowsServer2003之后将提供独立版本(可通过Web下载)系统需求:WindowsServer2003WindowsXP专业版(SP1+hotfix):备份、恢复备份:将GPO设定保存在文件系统中和导出一样恢复:将设定还原GPO必须在同一个域如果要实现跨域设定转移，可以使用导入或者拷贝备份一个GPO备份将保存如下设定(于文件系统中)GPO中的策略设定GPO上的访问控制列表(ACLs)与WMIfilter的关联(不是filter本身)设定报告并不备份GPO与SDOUs之间的关联关系管理备份多个备份可以保存于文件系统中的同一位置多个GPOs同一GPO的多个版本每个备份可以通过以下方式标识:名字，描述，域，时间票,，GPO的GUID可以通过GPMC查询恢复恢复GPO的所有属性GPO中的策略设定GPO的访问控制列表与WMIfilter的关联(不是filter本身)设定报告使用相同的GUID与备份GPO在同一个域并不修改GPO与SDOUs之间的关联关系导入与拷贝：概览仅仅转移策略设定不修改:访问控制列表(ACLs)WMIFilter(获关联)SDOUs与GPO的关联关系可以在同一个域、多域或者多森林情况下使用拷贝与导入：比较拷贝来源:ActiveDirectory®中某个当前存在的GPO目标:创建一个新的GPO新的GUID在GPO上使用默认的访问控制列表导入来源:文件系统中某GPO的备份目标:ActiveDirectory中一个存在的GPO清除目标GPO的当前策略设定保留:目标GPO的当前访问控制列表与该GPO的关联关系GPO的GUID报告对GPO策略设定以及RSoP数据提供HTML报告可打印，保存(xml,html)搜索可基于以下条件搜索GPOs名称明确权限有效权限WMIfilterGUIDGPOs中的策略设定例如查找所有：“PolicyAdmins”组可以编辑的并包含“文件夹重定向”设定的GPOs使用GPMC解决组策略管理的关键问题demo’sA1A2理解组策略使用环境的复杂性哪一个是我的策略?GPO’sA4A5A1A2A3ADomainSiteBGPO’sB1B2DomainOU’sB1B2B3组策略不跨域继承站点由子网组成，可能会垮多个域。GPOs不跨域储存单个SDOU上可能关联了多个GPOs一个GPO也可能和多个SDOUs关联。任何SDOUs可以和任何GPOs关联，甚至跨域(这样可能会非常慢)可以通过对安全组的权限设定(ACLs)来实现GPO的过滤RSoP(ResultantSetofGroupPolicy)Win2k推出后，客户对于组策略的第一改进要求两种模式LoggingMode:哪些策略已应用PlanningMode:哪些策略将应用工具RSoP工具RSoPMMCsnap-in关于已应用策略的详细信息可以远程使用GPResultv2.0命令行工具可以远程使用“帮助与支持中心”的HTML报告可以保存、打印Win2000中不支持这些工具WindowsServer2003提供RSoP的Planning模式允许模拟在AD中的某个用户或者某台计算机上的设定模拟选项:Whatif分析:改变管理范围改变安全组的成员改变WMIFilter状态关联站点慢速链接Loopback在哪台域控制器上运行工具demo组策略的诊断排错GPOTOOL对象校验工具GPRESULT显示GPO结果SECEDIT刷新策略组策略高级应用技巧组策略管理模板通过策略修改注册表设置Registry.pol文件标准管理模板文件System.admInetres.admConf.admWmplayer.admWuau.admInetsec.adm什么是自定义管理模板?扩展组策略的应用创建一个管理模板(e.g.companyname_Custom.adm)使用操作系统版本标记使用EXPLAIN标记进行注释……组策略管理模板管理模板文件在Sysvol中并进行复制两条策略Turnoffautomatic.ADMupdatesUselocalADMFilesforGPEdit从Sysvol中删除ADM文件的考虑KB816662KB316977管理模板复制创建自定义管理模板demo过滤器条件：至少500MB剩余磁盘空间?WMIFilterAdministrator安装Office2003?10GB400MB35GB750MBGPO组策略改进demo使用GPMC管理组策略对象实施软件限制策略RSOPWMIFilterDCGPOFIX演示：在2003中实现组策略使用GPMC管理组策略对象实施软件限制策略RSOPWMIFilterDCGPOFIX://参考资料组策略白皮书:Windows2000ServerResourceKit中《分步式系统指南》关于组策略的部分