使用GPMC随心所欲管理组策略 推荐
2007-06-22 10:58
162 查看
使用GPMC随心所欲管理组策略
1、什么是GPMC?
(1)管理组策略新的管理工具;
管理组策略的可脚本化的接口集
MMC Snap-in,基于这些接口
无 Web方式,以Web发布,不能取代AD工具
2、GPMC设计目标
(1)统一化的组策略管理工具(一站式)
(2)更好的可视化UI(用户接口)
(3)对组策略有序的访问
(4)最终提高组策略的易用性
GPMC运行所需
1、Windows Server 2003
2、Windows XP with
(1)SP1
(2).NET Framework
(3)GPMC在Windows XP professional上运行时需要要Gpedit.dll版本
5.1.2600.1186或更高版本。通过修复程序可更新该版本(GPMC会自动安装)
(4)Hotfix QEF326469(自动安装,是用更新Gpedit.dll版本5.1.2600.1186)
GPMC可管理windows 2000的域(但是无WMI Filter及GP建模功能)和windows 2003的域。
域控制器问题:
1、避免修改默认的组策略:
(1)Default Domain Policy
(2)Default Domain Controllers policy
例外:
(1)帐号策略应该只在Default Domain policy上设置,不要在域级别上的任何其他组策略上使用。
(2)域控制器的用户权利应该只在Default Domain controllers policy上设置。
2、避免在域控制器上安装自动修改安全策略的应用程序
3、确保所有域控制器接受一致的组策略
(1)不要针对具体的域控制器过滤组策略
(2)所有域控制器应该保留在Domain controllers OU内
OU设计考虑要素
1、先考虑组策略可能带来的问题再规划OU的设计
2、用户和计算机对象
(1) 不要将用户和计算机对象放在同一OU内
(2) 定义用户和计算机的角色再创建和角色对应的OU
3、用户帐号必须在父OU上有读权限才能在子OU上获取组策略
文件夹生定向:
1、让系统为每个用户自动创建文件夹以避免设置错误的ACL;
2、如要删除重定向,使用“重定向到本地用户配置文件”选项;
3、使用EFS,加密本地缓存,而不是服务器上的文件夹。
确保计算机帐号能访问:
1、软件分发点(针对计算机帐号设置的应用程序)
2、启动/关机脚本
SYSVOL
1、不要对SYSVOL中的策略文件夹更改;
2、不要调整SYSVOL文件夹上的ACLs
3、只能通过管理工具管理SYSVOL和活动目录(如:GPEdit,GPMC,AD Users and Computers)
备份
1、规律地备份GPO(GPMC包含样本脚本)
2、确保GPO备份文件夹是安全的
性能
1、每用户/计算机对象应用的组策略越少越好
2、禁用GPO中未使用的用户或计算机部分(例GPO是针对用户设置的,那就就应该禁用计算机设置)
3、保守使用WMI过滤器
4、尽量避免跨域GPO链接
1、什么是GPMC?
(1)管理组策略新的管理工具;
管理组策略的可脚本化的接口集
MMC Snap-in,基于这些接口
无 Web方式,以Web发布,不能取代AD工具
2、GPMC设计目标
(1)统一化的组策略管理工具(一站式)
(2)更好的可视化UI(用户接口)
(3)对组策略有序的访问
(4)最终提高组策略的易用性
GPMC运行所需
1、Windows Server 2003
2、Windows XP with
(1)SP1
(2).NET Framework
(3)GPMC在Windows XP professional上运行时需要要Gpedit.dll版本
5.1.2600.1186或更高版本。通过修复程序可更新该版本(GPMC会自动安装)
(4)Hotfix QEF326469(自动安装,是用更新Gpedit.dll版本5.1.2600.1186)
GPMC可管理windows 2000的域(但是无WMI Filter及GP建模功能)和windows 2003的域。
域控制器问题:
1、避免修改默认的组策略:
(1)Default Domain Policy
(2)Default Domain Controllers policy
例外:
(1)帐号策略应该只在Default Domain policy上设置,不要在域级别上的任何其他组策略上使用。
(2)域控制器的用户权利应该只在Default Domain controllers policy上设置。
2、避免在域控制器上安装自动修改安全策略的应用程序
3、确保所有域控制器接受一致的组策略
(1)不要针对具体的域控制器过滤组策略
(2)所有域控制器应该保留在Domain controllers OU内
OU设计考虑要素
1、先考虑组策略可能带来的问题再规划OU的设计
2、用户和计算机对象
(1) 不要将用户和计算机对象放在同一OU内
(2) 定义用户和计算机的角色再创建和角色对应的OU
3、用户帐号必须在父OU上有读权限才能在子OU上获取组策略
文件夹生定向:
1、让系统为每个用户自动创建文件夹以避免设置错误的ACL;
2、如要删除重定向,使用“重定向到本地用户配置文件”选项;
3、使用EFS,加密本地缓存,而不是服务器上的文件夹。
确保计算机帐号能访问:
1、软件分发点(针对计算机帐号设置的应用程序)
2、启动/关机脚本
SYSVOL
1、不要对SYSVOL中的策略文件夹更改;
2、不要调整SYSVOL文件夹上的ACLs
3、只能通过管理工具管理SYSVOL和活动目录(如:GPEdit,GPMC,AD Users and Computers)
备份
1、规律地备份GPO(GPMC包含样本脚本)
2、确保GPO备份文件夹是安全的
性能
1、每用户/计算机对象应用的组策略越少越好
2、禁用GPO中未使用的用户或计算机部分(例GPO是针对用户设置的,那就就应该禁用计算机设置)
3、保守使用WMI过滤器
4、尽量避免跨域GPO链接
相关文章推荐
- Linux下"base64"命令工具的使用 推荐
- 使用zendstudio10.6轻松创建符合官方推荐目录结构的zendframework2应用程序
- 使用Mahout搭建推荐系统之入门篇1-搭建REST风格简单推荐系统
- Android应用中使用及实现系统“分享”接口 推荐
- Java中如何正确使用字体编码(推荐)转
- Sublime Text 使用介绍、全套快捷键及插件推荐
- Centos 推荐使用xtrabackup备份数据库
- MySQL Server类型之MySQL客户端工具的下载、安装和使用(博主推荐)
- Oracle存储过程、包、方法使用总结(推荐)
- iOS UITableView下拉刷新上拉加载更多MJRefresh类库(推荐)使用初级剑侠篇(欢迎提建议和分享遇到的问题)
- 推荐与VS2010配合使用的远程源代码管理工具:SVN
- GNS3使用详解2 推荐
- 关于Mysql 外键使用的问题 推荐
- 在线表格,推荐使用超级表格——超好用的电子表格
- Android中,HttpURLConnection与Apache的DefaultHttpClient哪个更被推荐使用?
- 在django1.2+python2.7环境中使用send_mail发送邮件 推荐
- 推荐!手把手教你使用Git
- 推荐 VS使用技巧分享