|
使用GPMC随心所欲管理组策略
1、什么是GPMC?
(1)管理组策略新的管理工具;
管理组策略的可脚本化的接口集
MMC Snap-in,基于这些接口
无 Web方式,以Web发布,不能取代AD工具
2、GPMC设计目标
(1)统一化的组策略管理工具(一站式)
(2)更好的可视化UI(用户接口)
(3)对组策略有序的访问
(4)最终提高组策略的易用性
GPMC运行所需
1、Windows Server 2003
2、Windows XP with
(1)SP1
(2).NET Framework
(3)GPMC在Windows XP professional上运行时需要要Gpedit.dll版本
5.1.2600.1186或更高版本。通过修复程序可更新该版本(GPMC会自动安装)
(4)Hotfix QEF326469(自动安装,是用更新Gpedit.dll版本5.1.2600.1186)
GPMC可管理windows 2000的域(但是无WMI Filter及GP建模功能)和windows 2003的域。
域控制器问题:
1、避免修改默认的组策略:
(1)Default Domain Policy
(2)Default Domain Controllers policy
例外:
(1)帐号策略应该只在Default Domain policy上设置,不要在域级别上的任何其他组策略上使用。
(2)域控制器的用户权利应该只在Default Domain controllers policy上设置。
2、避免在域控制器上安装自动修改安全策略的应用程序
3、确保所有域控制器接受一致的组策略
(1)不要针对具体的域控制器过滤组策略
(2)所有域控制器应该保留在Domain controllers OU内
OU设计考虑要素
1、先考虑组策略可能带来的问题再规划OU的设计
2、用户和计算机对象
(1) 不要将用户和计算机对象放在同一OU内
(2) 定义用户和计算机的角色再创建和角色对应的OU
3、用户帐号必须在父OU上有读权限才能在子OU上获取组策略
文件夹生定向:
1、让系统为每个用户自动创建文件夹以避免设置错误的ACL;
2、如要删除重定向,使用“重定向到本地用户配置文件”选项;
3、使用EFS,加密本地缓存,而不是服务器上的文件夹。
确保计算机帐号能访问:
1、软件分发点(针对计算机帐号设置的应用程序)
2、启动/关机脚本
SYSVOL
1、不要对SYSVOL中的策略文件夹更改;
2、不要调整SYSVOL文件夹上的ACLs
3、只能通过管理工具管理SYSVOL和活动目录(如:GPEdit,GPMC,AD Users and Computers)
备份
1、规律地备份GPO(GPMC包含样本脚本)
2、确保GPO备份文件夹是安全的
性能
1、每用户/计算机对象应用的组策略越少越好
2、禁用GPO中未使用的用户或计算机部分(例GPO是针对用户设置的,那就就应该禁用计算机设置)
3、保守使用WMI过滤器
4、尽量避免跨域GPO链接 |
|