系统组策略几乎是各位网络管理人员管理网络时的必用利器之一,有关该利器的常规应用技巧,相信许多人都已经耳熟能详了。例如,可使用"组策略"从桌面删除图标、自定义"开始"菜单并简化"控制面板"。此外,还可添加在计算机上(在计算机启动或停止时,以及用户登录或注销时)运行的脚本,甚至可配置Internet Explorer。 但是在组策略在企业中的应用还远不止此,更多深层次的应用,让我们一起来探索组策略在企业中的应用吧!
技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航
本期门诊特邀请微软技术专家、三届微软windows方向MVP苏繁与大家交流分享组策略管理在企业中的深层次应用。大家可针对组策略的应用以及日常管理中遇到的组策略的相关问题与专家进行互动交流。
姓 名:苏繁
擅长领域:windows
三届连任的微软最有价值专家(Windows方向),河南微软技术联盟的创建人。热衷于微软产品和技术的学习及推广,擅长 Windows Client/Server 技术,Windows SBS 产品,Windows 的 MDT 部署,微软虚拟化技术以及 IIS、DNS 在 Hosting 领域的技术应用。
查看本期门诊精彩实录:http://doctor.51cto.com/develop-163.html
参与最新技术门诊:http://doctor.51cto.com/
精选本期网友提问与专家解答,以供网友学习参考。
Q:域的组策略是一直在用的,我工作中主要应用的功能就是通过策略安装打印机,软件,桌面重定向等等.今天遇到专家,不禁想了解一下.组策略的深层应用,有那些比较实用的功能??可以为企业或者系统管理带来什么样的效果?先谢过了!
A:yjtmail您好,我们知道组策略实际上就是系统策略的高级扩展,通过MMC界面我们可以直观地对注册表进行相关项的修改,此外还可以通过ADM文件添加更多的配置支持。在AD环境中我们依靠组策略来实现客户端配置的集中化管理,从而帮助企业实现桌面标准化并降低维护成本。
Q:一般企业中常用的组策略的设置有哪些呢?最经常设置的地方时哪里呢?是否有相应的设置模板?对于一个使用AD域环境的组策略,最多设置的组策略是否有限制?为什么?如果领导要求调出已经在企业环境中已经实施的组策略,可否有快捷简便的方法显示出在具体某个OU或者部门间实施的组策略设置?谢谢专家指点!
A:bluebaby001您好,企业中常用组策略的设置主要依据企业的实际需求,比如禁用无用的服务、软件限制、目录权限、文件夹重定向等等。GPO支持添加模板,扩展名通常为ADM或ADMX。对于用户或计算机账户最多能应用999个组策略,有关相信的信息可以参考:http://technet.microsoft.com/en-us/library/cc756101(WS.10).aspx GPO的管理可以使用GPMC。
Q:现在还没有用到这个相关的知识,但是对这个很感兴趣,有什么好的书推荐,最好既有理论又有实践的,或者什么好的学习途径,请介绍一下,谢谢了!
A:jisuanji11011您好,推荐两个网站:Windows Server 组策略、Group Policy Team Blog。《Windows Group Policy Administrator's Pocket Consultant》这本书的口碑不错!但是我个人建议其实可以多在网上找些资料看看。另外强烈推荐Technet Webcast给你,早先推出过《组策略高手·完全手册》系列的视频广播,我认为对学习组策略非常有价值。
Q:呵呵,问一下,域用户漫游生成的文件夹,在删除用户,对应的文件夹,用ADMINISTRATOR删除不了,提示没有相应的权限,在域服务器上。有什么正确的流程进行删除不,关于漫游用户方法。再比如:一个漫游的用户改名,怎么让改名后用户对应未改名时的用户文件夹,怎么取得相关的权限,谢谢解答!
A:除去安全因素考虑,生成的用户目录默认只有CREATOR OWNER有完全控制权限,如果管理员要对其进行修改,必须先获得所有权再添加其他用户权限。如果公司安全策略允许,可以为主目录的安全权限做适当调整,添加相应的管理组对主目录下的子文件夹及文件有对应的权限。用户更名后,本地用户目录并不会更改名称,在注销后会重新将文件同步到服务器。或者修改用户配置文件将其设定为强制漫游,即手工指定配置文件路径。
Q:在组策略为啥不能彻底禁用QQ呢,在"用户配置" >"管理模板">"系统" >"不要运行指定的windows应用程序" 里面设置了,禁用QQ.EXE ,为啥点击"QQ在线"状态以后,可以启动QQ呢?
A:我个人认为您的这种做法并无法有效地禁用QQ,"不要运行指定的windows应用程序"说明中已经清楚地进行了解释。
我建议通过用户配置-windows设置-安全设置-软件限制策略进行禁用。如:新建路径规则,添加 *qq*,安全级别为不允许,但是如果用户有权限能更改其名称,那么就需要通过证书规则或哈希规则来禁用,这两项的数据可以从qq.exe文件属性中数字签名中获取。
Q:专家,你有实施过SCOM的经验吗,能不能推荐一本好点书。
A:对不起我对SCOM并不熟悉,很多资料我都会先从网上进行搜索,比如阅读微软SCOM网站或官方的Blog,此外TechNet Webcast推出过SCOM系列专题的网络广播,可以下载学习。
Q:生成的用户目录默认只有CREATOR OWNER有完全控制权限,如果管理员要对其进行修改,必须先获得所有权再添加其他用户权限,请讲一下,管理员怎么获得所有权,是不是所有者改为administrator。
A:是的,将所有者改为管理员账户,就可以进行权限配置。大致步骤:进入该目录属性,切换到安全选项卡,进入高级设置并切换到所有者选项卡。
Q:专家您好,我想问一下,在中小企业中的Windows服务器管理方面能够实施什么组策略呢,组策略对管理来说又有什么利与弊呢,在此谢过!
A:为Windows服务器实施组策略能极大地降低系统管理员的工作量,例如指定这些服务器要禁用的服务,允许本地登录的账户,账户锁定策略,文件系统权限规划,IPSec等等。
要统一实施组策略,计算机必须加入到AD。如果企业内一些服务器不适用于AD环境,那么就只能通过单机组策略进行配置,可以使用gpedit.msc进行配置。
Q:修改组策略就是修改注册表,但是组策略里能修改的东西相对于注册表还是比较少的,您这里说的组策略深层次应用,个人觉得是不是通过修改注册表能够更深层次的管理系统,(当然注册表要远远复杂与组策略)
A:组策略并不能完全对照注册表的各个项进行修改。它主要用于帮助管理员对计算机和用户的管理配置指定选项。这样当一台计算机加入到域后就能够通过组策略进行预定义配置,以满足企业的需要。此外用户也能通过组策略的预定义配置,来获得更好的桌面体验。
Q:您好,我想问下,组策略可不可以像注册表那样,编写reg文件的方式,快捷的修改呢?我之前都是为了防范优盘病毒,添加路径规则,一条一条添加,如h:\*.exe j:\*.bat等等,好累.能否建立一个文件,以后一执行就都弄好了.
A:可以创建一个只包含路径规则的GPO,并使用GPMC将其备份出来,以后再使用时就可以在创建了新的GPO后,先将包含路径规则的GPO备份导入现有GPO中。
Q:我在dc上建了个组织单元在里面建了个用户,然后对组织单元实施组策略,可是用这个用户登陆域之后没什么变化,就是组策略没起作用,重起了也没什么用。
A:建议在客户端实行update /force之后根据提示重新启动,使用rsop.msc检查是否执行了策略。否则请检查日志是否有相关的警告或错误。做进一步分析。
Q:想问一下...如何公司的管理不是域模式;就是普通的工作组模式;那除了用组策略单个设置各台机器的外,还有什么其它的用途呢?谢谢了!
A:使用组策略在AD环境下是最高效的。
Q:专家你好!刚刚毕业参加一家公司工作就遇到了这个组策略的问题!真的很不错!至少我想在网吧里有很多的桌面的东西不让看不让改都用了了它!想请专家推荐几本讲组策略的书看看!谢谢!
A:参考前面的解答,其实网上就有不少资源,特别是Technet上提供不少有价值的咨询。感谢提问。
Q:苏先生你好,我想请教一下:
1.是否有一个域控制器控制多个域的组策略的方案
2.建立多个域之间的信任关系需要注意什么样的安全性的问题
A:wenduke,您好。能否进一步介绍说明您当前的架构体系。
Q:您好!我想请问一下,学习网络管理员必备的专业课程有哪些?谢谢!
A:我个人认为,网络管理员具备的专业课程取决于您当前服务的环境,再进行投入性的学习。但是对于行业通用的产品或技术应该有一定的认识。谢谢!
Q:专家你好:为什么在本地策略中管理员状态和来宾用户状态都不适用,怎么修改呀?
A:zhengweiping,您好!您提问中的管理员状态和来宾用户状态具体指的是什么?
Q:今日有幸遇到专家,想了解一下,组策略是否可以设置有关网络端口方面的内容,比如BT的端口,QQ的端口。谢谢。
A:zhuzengju,您好!对于您的问题,我理解的是是否能够通过组策略对客户端配置端口策略。在组策略中,我们可以通过安全设置-IP安全策略对端口进行设置。
Q:你好!在域控制器上的应用组策略的时候提示,组策略不可用,但Netlong服务是正常运行,请问这种问题该怎样解决?
A:能够提供更详细的错误信息,日志中是否有相关的警告错误呢?执行gpupdate /force会获得一些可用信息。
Q:专家您好,我想请您推荐几本关于组策略及企业应用方面的入门和中级的书,以前学习过这些。。但是不是重点学习,对于策略的应用及规则很不懂。。也希望多学习学习。谢谢了。
A:组策略的学习上面已经解答过,可以通过微软Technet Webcast进行学习。那里有不少好资源。企业应用入门,可以找找Microsoft TechNet中文资源指南 - 企业 IT 构建核心基础架构解决方案。网上应该能够找到电子版的。
#P#
Q:老师您好,请教您一个问题果在域环境中,普通域用户是没有磁盘管理权限。请问在组策略中能否进行相关设置,允许普通域用户具有磁盘管理权限。
A:使用组策略中计算机配置-windows设置-安全设置-文件系统,即可为客户端配置统一的磁盘权限。谢谢提问!
Q:苏先生,你好!我想请问一下,对于企业管理与维护来说,具体地该怎样应用组策略来达到信息安全的最大化?谢谢!
A:清枫侠士,您好!企业信息安全最大化,我个人认为是一个庞大复杂的工程。首先要有一个安全标准,然后根据这个安全标准实施安全措施,其中GPO也只是一种手段。对于系统高级选项的设置以及支持GPO的应用软件,我们可以依靠GPO对AD中的服务器和客户端PC实施统一的预配置。在GPO的安全设置中提供了账户、本地、防火墙、软件限制等多种策略。
Q:组策略中有连个计算机配置和用户配置,他们之间的区别在那啊?设置好以后必须重启电脑吗?
A:计算机配置和用户配置,顾名思义。一个是针对计算机设置的,一个是针对用户设置的。他们的选项内容还是有一定的区别。比如在计算机配置下就能够对文件系统、系统服务、注册表等隶属计算机对象的选项进行配置。此外,当为一个OU配置GPO时,如果其中包含计算机和用户对象,并设置了GPO中的计算机配置和用户配置。当一个域帐户登录时会应用GPO的计算机配置和用户配置,但如果是OU之外的一个没有配置GPO的AD账号登录计算机,则只应用计算机配置。如果是计算机的一个本地账号登录那么也只应用计算机配置。
在配置了GPO后,可以在客户端执行gpupdate/force,根据提示选择是否重新启动。
Q:在组策略中哈希和路径的区别,用了之后也没发现区别,看了网上的资料也不是很清楚, 苏教授您分析一下。
A:rengguangli78yu,您好!软件限制策略中一旦添加了路径规则,那么如果用户将程序名称修改你讲无法实施对该软件的限制策略。而使用哈希值,即使程序更名或移动位置也能被识别,此外利用哈希值也可以帮助用户防止病毒。只要文件本身内容不变,那么它的哈希值就不会变化。相比较路径规则,利用哈希值能更准确得识别对象。
Q:专家您好!我最近正好在学习组策略相关知识,前二天做一个ipsec安全策略的时候遇到问题,问了好多人无法解答,问题如下:
环境:工作组模式,一台PC ,ip:172.19.51.3,netmask:255.255.255.0,gateway:172.19.51.1,机器无任何还原软件。
实验目标:限定该PC只能与同一网段以及外网某一IP(假设 1.1.1.1)通讯,其它通讯都阻止。
实验步骤:在组策略的计算机配置-ip安全策略中设置了2条IP安全规则,1是允许该机与同网段IP以及外网某一IP通讯,2是拒绝其它所有通讯,然后做了指派,再进行gpupdate /force,当时测试了一下,生效,达到了预期目的,紧接着重启电脑,再测试发现不起效果了,不知何故,请专家解答一下,谢谢!
有点长,不好意思 :)
A:号天,您好!对于您的问题我的理解是,您希望通过实施IPSec,实现如下的目标:
1、该计算机只能与同网段IP及其他网段某一IP通讯;
2、同网段IP及其他网段某一IP能访问该计算机。
那么你需要创建创建两个拒绝规则
1、拒绝任何计算机访问本机
2、拒绝本机访问任何计算机
之后创建2个允许规则,后面不再复述。
当重新启动计算机后"不起效果",具体是什么故障问题?!建议用rsop.msc执行GPO分析。
Q:请问专家如何搭建组策略学习的环境,如果身边不具备AD的实验环境,又想深入学习组策略应用的话。是否可是使用虚拟机环境?
A:likejackie,您好!如果能搭建虚拟环境,那么将会对学习提供很大的便利。对于GPO的学习,我个人认为还是应该在AD环境中进行学习和实验。
Q:对于组策略中软件的部署,客户端用户需要什么权限!MSI的文件包好象是USERS组就可以了,但其它的格式的文件好象要administrators!
A:windyeye,您好!通常通过GPO部署MSI无需管理凭据。如果使用zap则需要管理凭据,即有安装权限的账号。此外通常使用GPO部署软件时建议通过计算机配置进行分发。
Q:专家好,我现在遇到这样一个问题,在域中一台DNS上缓存的记录是错误是记录,假设说DNS的缓存中的A记录是:a.demo.com的IP:202.106.199.34,在demo.com的NS服务器中根本就没有创建a.demo.com这个域名,为什么DNS缓存中会有这个地址呢?这是什么原因造成的?请指教,谢谢。
A:pc-fans,您好!可以尝试清除缓存。如果仍能解析a.demo.com,那么可能是demo.com的ns服务器中创建了该域名的范解析记录。
Q:我是一家公司的IT,请问我如何说服我们总监同意在公司使用AD呢(用户客户端多未加入域)?您能例举出具体的优势吗?
A:简单说AD是一种管理架构,他是为实现安全管理和标准化管理为宗旨的。利用AD我们可以合理、安全的分配企业内部的信息资源,例如允许哪个用户登录到哪台计算机,访问指定的资源,并统一Windows桌面设置。每台计算机都不再是信息孤岛,他们彼此安全的相连接并被集中统一管理着。此外微软很多产品都与AD集成,如ISA,Exchange等等。这里我强烈建议您浏览两个地址:
Windows Server 2003 活动目录
活动目录的新特性
Q:专家好,我是一个组策略的初学者。我想问一下组策略有没有模板一类的东西,在使用的时候可以直接导入。要怎么导入和导出组策略?
A:GPO提供管理模板,一些应用程序也提供GPO模板供使用,如Office,OCS等等。进入组策略编辑器后选中管理模板,右键单击出现列表,使用添加/删除模板来管理adm模板,可参考:http://support.microsoft.com/kb/816662。在Windows Server 2003资源工具包中包含了一些GPO模板。如果你希望直接能应用自己预先配置好的设置,则需要编写ADM文件。可参考:http://support.microsoft.com/kb/323639。否则可以通过GPMC导出GPO,可参考:http://technet.microsoft.com/zh-cn/library/cc759276(WS.10).aspx。
Q:专家好:我们公司使用软件限制策略限QQ软件,使用散列规则限制,但是由于QQ的版本很多,很难做到没有遗这应该怎么办?我们公司的防火墙很烂,做不了QOS,但有些机器却不能禁止使用下载软件,有没有什么办法可以的限制一下下载软件的速度(哪种下载软件都可以,不过要使用服务器统一控制下载速度)。
A:anyuepiaoling,您好!据我所知目前Tencent对允许登录的版本是有限制的,过低的版本貌似已经无法登录。如果你的描述涉及到第三方修改的版本,建议你对这些版本进行收集并并创建哈希规则。同时创建路径规则如:*qq*来进行禁用。
要进行速度限制恐怕GPO无法实现,需要借助其他软件。谢谢!
Q:谢谢老师的回答!通常使用GPO部署软件时建议通过计算机配置进行分发,为何通过计算机配置进行分发好一点!
A:windyeye,您好!使用用户配置会导致每个用户在登录时都执行一次安装。谢谢!
Q:苏先生,你好,我想请问一个比较简单的问题,通过组策略,如果锁定桌面用户的图标或者通过管理员统一更改呢?用户的开关机情况是否可以通过组策略来统一汇总查看呢?谢谢。
A:可以使用用户配置-管理模板-桌面来进行配置。而用户开关机记录无法通过GPO实现统一汇总查看。
Q:专家您好,有关桌面维护这一块,在企业中,如何设置组策略可以让系统更安全,有没有相关的组策略的导入导出工具(针对XP系统),有没有相关的书籍系统的介绍这一块,望推荐一本。谢谢!!
A:gengliang,您好!推荐您阅读前面的解答。谢谢!
Q:专家,您好!请问在域控制器的组策略管理平台中,提供了哪些组策略的管理工具,以及这些工具在什么时候使用可以达到事半功倍的效果?谢谢!
A:GPMC和AGPM都是用来管理组策略的管理工具。前者在WinXP和WinSRV2003是最常用的。关于AGPM建议阅读http://technet.microsoft.com/zh-cn/library/dd420488.aspx
【编辑推荐】
