windows-server-2008 – 组策略设计
我正在为我们的组织规划Active Directory安装的布局.我正在研究使用组策略来强制执行特定设置,增强桌面和服务器的安全性,并从我们的标准计算机映像中提供更一致的用户体验.我们将在我们的环境中混合使用
Windows XP,Windows 7 Pro,Windows Server 2003,Windows Server 2008 R2 Standard,Macintosh OS X(10.6)以及各种
Linux(CentOS和Ubuntu)服务器.
>我正在寻找想法,提示,建议,甚至资源,以确定适用于这些不同机器的组策略的适当方法和适当的布局. 我们将非常感谢您提供的任何帮助和想法.我有兴趣向您和您的经验学习,以帮助我们的移民取得成功 – 特别是我们不必一年后重新设计并重新设计一切.
背景:
自2000年中期我开始部署Windows 2000 Server和Windows 2000 Professional客户端以来,我一直在我的客户站点中大量使用组策略.与其他Samba和其他与Windows客户端操作系统兼容的单点登录机制相比,组策略是Windows Server / Active Directory平台最引人注目的功能之一. 您在实施组策略时学到了什么? >异步策略处理提供非确定性体验.默认情况下,它在Windows 2000 Processional中关闭,但在Windows客户端操作系统的所有更高版本中默认打开.我强烈建议强制该过程恢复同步以提供确定性体验. 你会改变什么? 不多.我有各种不同的客户,我的组策略应用程序“样式”有各种不同的“修订版”.我本不会“做任何不同的事情”本身,但我确实努力将所有事情归一化为一个非常相似的配置.对我而言,这只是调整GPO“风格”的问题,而不是做出任何广泛而彻底的改变.主要是我必须做出的改变是因为在投入生产之前没有进行足够的测试.我提到你应该尽早测试吗? 您是如何设计它以与客户端和服务器一起使用的? 就像我将不同类别的用户或客户端计算机隔离开来一样.我将客户端计算机和服务器计算机隔离到不同的OU中,并将不同的GPO链接到这些OU.可以进一步隔离不同角色的服务器(或将其放入安全组并过滤GPO应用程序).我有适用于这两种类型计算机的通用GPO(通常只有少数几个设置). 您是如何处理或适应各种操作系统的? WMI筛选是处理各种Windows版本的一种方法.它工作正常,但我个人不喜欢它. 我通常部署一个启动脚本(我写在客户的时间,不幸的是,所以我不能在这里分享它)来检测Windows版本的组策略客户端(以及他们的32/64位和以及是否它们是裸机或在给定的虚拟机管理程序上运行)来填充组,以便我可以使用安全组过滤而不是WMI过滤.因为WMI过滤仅对GPO是原子的,而我可以在GPO中的单个软件安装中使用安全组过滤,所以我更喜欢安全组过滤. 我没有使用客户端软件的经验,允许非Windows客户端使用组策略,所以我根本不能说. 是否应该遵循普遍接受的群体政策设计? 我来自“老学校”,所以我学会了基于recommendations made by Microsoft “back in the day”设计Active Directory.当我布局我的OU结构时,我非常重视组策略(以及控制委派,这是我的第一个关注点:OU结构). 就个人而言,我更喜欢尽可能少的GPO来完成工作,而无需在多个GPO中重复常见设置.我尽可能限制使用“块继承”,“无覆盖”和安全组过滤(特别是“拒绝”权限).我试着详细命名GPO,以便它们“自我记录”.我从不修改使用Active Directory“开箱即用”的默认GPO,这样我就可以在“紧急”情况下禁用所有其他GPO并将产品恢复为“库存”行为. 嵌套策略以创建类似模型的分层树是一个好主意吗? 这是我的总体战略,对我来说效果很好.我可以在多个位置链接相同的GPO(例如,名为“成员服务器和域控制器计算机的通用设置”的GPO,它们链接在“成员服务器”OU和默认的“域控制器”OU).然后,当我向下移动到OU层次结构时,我会链接具有更多特定设置的addt’l GPO.链接“愚蠢”数量的GPO(数十或数百)会影响性能.我有客户的客户链接7 – 12 GPO没有不良的性能影响. 对于与策略结构设计相关的客户端计算机的登录减速是否有任何问题? 某些组策略客户端扩展(CSE)模块可能很慢.在某些情况下(如文件夹重定向或软件安装策略),它可能只是一次性减速.在其他情况下(如Windows XP SP3中的IE策略),它可以为每次登录添加几秒钟.一般来说,尽量保守,并根据需要链接少量GPO.根据需要运行尽可能少的脚本(如果您同步处理它们,它们可以真正添加).测试登录时间应该是测试的一部分. 由于有Windows XP和Windows 7计算机,ADM文件和ADMX文件之间有区别吗?我如何知道何时使用其中一个?它甚至重要吗? There is no difference in the REGISTRY.POL files由ADM文件与ADMX文件创建.如果您要从Windows 2003或Windows XP管理组策略,则需要保留ADM文件.如果您要将GPO管理限制为Windows Vista或更新的操作系统,则可以丢弃ADM文件.我个人并不担心,但是我最大的SYSVOL只有400MB左右.如果我有数百个GPO,那么我可能想尽快远离ADM文件. 环回处理是一个好主意吗? 如果您需要它提供的功能,那么这绝对是个好主意.有些情况下没有它就无法配置.如果你理解它是如何工作的,Loopback策略处理工作正常.它的用途非常有用(无论用户是否登录,都将一致的用户设置应用于计算机). 有人告诉我,我应该考虑在组策略对象中禁用用户配置设置或禁用计算机配置设置选项.这是一件聪明的事吗?这是否重要? 这与问题re:登录时间有关.您可以对它进行基准测试并在您的环境中查看,但坦白地说,我看到没有性能差异.我在客户网站上不担心. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- 在Fortran90中调用同一模块中的功能
- 在Windows上删除后重新安装USB设备
- Windows下使用TortoiseGit的无法直接使用linux ssh-key的解
- 在WiX中的对话框(InstallUISequence)之间插入自定义操作
- .net – 我应该在IIS中托管我的WCF服务吗?
- 使用Microsoft Access作为MySQL数据库的前端?
- windows-mobile – Visual Studio 2010中的智能设备项目
- windows-server-2003 – 在Windows上使用什么样的SSH服务器
- 从MSI安装程序中删除修复选项屏幕
- installer – 预安装WinXP USB驱动程序,以便无需交互即可连