windows-server-2008 – 组策略设计

自2000年中期我开始部署Windows 2000 Server和Windows 2000 Professional客户端以来,我一直在我的客户站点中大量使用组策略.与其他Samba和其他与Windows客户端操作系统兼容的单点登录机制相比,组策略是Windows Server / Active Directory平台最引人注目的功能之一.

您在实施组策略时学到了什么？

>异步策略处理提供非确定性体验.默认情况下,它在Windows 2000 Processional中关闭,但在Windows客户端操作系统的所有更高版本中默认打开.我强烈建议强制该过程恢复同步以提供确定性体验.
>了解如何选择GPOs中的设置并将其应用于计算机和用户,具有极大的价值.该算法非常简单(“块继承”和“无覆盖”只会使算法稍微复杂化).大多数策略应用程序问题最终都是系统管理员对用于应用组策略的算法的理解与操作系统实际执行的操作之间的不匹配.依靠RSoP或GPRESULT等工具而不是对功能如何工作有充分的了解是一个坏主意.
>不要忘记网站级别的GPO链接.它们可以非常非常方便.当便携式计算机在站点之间移动时,请注意可能导致重大事件发生的设置(如在计算机“超出范围”时强制删除的软件安装).
>在部署到生产之前,在实验室OU和测试计算机上进行计划和测试 – 尤其是使用软件安装功能.测试,测试,然后再次测试.如果您犯了错误,组策略可以让您非常轻松地破坏数百或数千台计算机的配置.
>不要将组策略看作是为安全做任何事情本身.组策略可以帮助实现“纵深防御”策略(启用AppLocker等功能,强制执行组成员身份等),但如果有人在计算机上获得“管理员”权限,那么他们很容易“杀掉”组该机器的政策.
>确保您了解“阻止继承”,“无覆盖”以及WMI和安全组筛选的工作原理.这些功能可以让您管理简单地链接OU无法处理的GPO的方案.尽量不要过度使用这些功能,因为它们可能在几个月之后不直观地进行逆向工程,或者让其他系统管理员无法理解.
>在进行更改之前备份关键GPO. GPMC工具添加了此功能,非常非常方便.您应该正在进行AD的系统状态备份,但使用GPMC从备份还原单个GPO比系统状态还原更容易.
>我经常利用作为“陷阱门”的脚本.客户端可以应用脚本,只要它们不是给定组的成员即可.脚本的最后一行将客户端放入该组,以便在下次引导时客户端不再执行该脚本.这是非常方便的行为.

你会改变什么？

不多.我有各种不同的客户,我的组策略应用程序“样式”有各种不同的“修订版”.我本不会“做任何不同的事情”本身,但我确实努力将所有事情归一化为一个非常相似的配置.对我而言,这只是调整GPO“风格”的问题,而不是做出任何广泛而彻底的改变.主要是我必须做出的改变是因为在投入生产之前没有进行足够的测试.我提到你应该尽早测试吗？

您是如何设计它以与客户端和服务器一起使用的？

就像我将不同类别的用户或客户端计算机隔离开来一样.我将客户端计算机和服务器计算机隔离到不同的OU中,并将不同的GPO链接到这些OU.可以进一步隔离不同角色的服务器(或将其放入安全组并过滤GPO应用程序).我有适用于这两种类型计算机的通用GPO(通常只有少数几个设置).

您是如何处理或适应各种操作系统的？

WMI筛选是处理各种Windows版本的一种方法.它工作正常,但我个人不喜欢它.

我通常部署一个启动脚本(我写在客户的时间,不幸的是,所以我不能在这里分享它)来检测Windows版本的组策略客户端(以及他们的32/64位和以及是否它们是裸机或在给定的虚拟机管理程序上运行)来填充组,以便我可以使用安全组过滤而不是WMI过滤.因为WMI过滤仅对GPO是原子的,而我可以在GPO中的单个软件安装中使用安全组过滤,所以我更喜欢安全组过滤.

我没有使用客户端软件的经验,允许非Windows客户端使用组策略,所以我根本不能说.

是否应该遵循普遍接受的群体政策设计？

我来自“老学校”,所以我学会了基于recommendations made by Microsoft “back in the day”设计Active Directory.当我布局我的OU结构时,我非常重视组策略(以及控制委派,这是我的第一个关注点：OU结构).

就个人而言,我更喜欢尽可能少的GPO来完成工作,而无需在多个GPO中重复常见设置.我尽可能限制使用“块继承”,“无覆盖”和安全组过滤(特别是“拒绝”权限).我试着详细命名GPO,以便它们“自我记录”.我从不修改使用Active Directory“开箱即用”的默认GPO,这样我就可以在“紧急”情况下禁用所有其他GPO并将产品恢复为“库存”行为.

嵌套策略以创建类似模型的分层树是一个好主意吗？

这是我的总体战略,对我来说效果很好.我可以在多个位置链接相同的GPO(例如,名为“成员服务器和域控制器计算机的通用设置”的GPO,它们链接在“成员服务器”OU和默认的“域控制器”OU).然后,当我向下移动到OU层次结构时,我会链接具有更多特定设置的addt’l GPO.链接“愚蠢”数量的GPO(数十或数百)会影响性能.我有客户的客户链接7 – 12 GPO没有不良的性能影响.

对于与策略结构设计相关的客户端计算机的登录减速是否有任何问题？

某些组策略客户端扩展(CSE)模块可能很慢.在某些情况下(如文件夹重定向或软件安装策略),它可能只是一次性减速.在其他情况下(如Windows XP SP3中的IE策略),它可以为每次登录添加几秒钟.一般来说,尽量保守,并根据需要链接少量GPO.根据需要运行尽可能少的脚本(如果您同步处理它们,它们可以真正添加).测试登录时间应该是测试的一部分.

由于有Windows XP和Windows 7计算机,ADM文件和ADMX文件之间有区别吗？我如何知道何时使用其中一个？它甚至重要吗？

There is no difference in the REGISTRY.POL files由ADM文件与ADMX文件创建.如果您要从Windows 2003或Windows XP管理组策略,则需要保留ADM文件.如果您要将GPO管理限制为Windows Vista或更新的操作系统,则可以丢弃ADM文件.我个人并不担心,但是我最大的SYSVOL只有400MB左右.如果我有数百个GPO,那么我可能想尽快远离ADM文件.

环回处理是一个好主意吗？

如果您需要它提供的功能,那么这绝对是个好主意.有些情况下没有它就无法配置.如果你理解它是如何工作的,Loopback策略处理工作正常.它的用途非常有用(无论用户是否登录,都将一致的用户设置应用于计算机).

有人告诉我,我应该考虑在组策略对象中禁用用户配置设置或禁用计算机配置设置选项.这是一件聪明的事吗？这是否重要？

这与问题re：登录时间有关.您可以对它进行基准测试并在您的环境中查看,但坦白地说,我看到没有性能差异.我在客户网站上不担心.