Joh*_*ohn 3 windows-server-2003 windows-server-2008 active-directory windows-7 group-policy
我正在为我们的组织规划 Active Directory 安装的布局。我正在研究使用组策略来强制执行特定设置,增强我们台式机和服务器的安全性,并从我们的标准计算机映像中提供更一致的用户体验。我们将在我们的环境中混合使用 Windows XP、Windows 7 Pro、Windows Server 2003、Windows Server 2008 R2 Standard、Macintosh OS X (10.6) 和各种 Linux(CentOS 和 Ubuntu)服务器。
您的任何帮助和想法将不胜感激。我有兴趣向您和您的经验学习,以帮助我们成功迁移 - 尤其是这样我们就不必在一年后重新设计所有内容。
背景:
自 2000 年中期开始部署 Windows 2000 Server 和 Windows 2000 Professional 客户端以来,我一直在我的客户站点中大量使用组策略。与其他 Samba 和其他与 Windows 客户端操作系统兼容的单点登录机制相比,组策略是 Windows Server/Active Directory 平台最引人注目的功能之一。
异步策略处理提供非确定性体验。它在 Windows 2000 Processional 中默认关闭,但在所有更高版本的 Windows 客户端操作系统中默认打开。我强烈建议强制流程恢复同步以提供确定性的体验。
了解如何选择 GPO 中的设置并将其应用于计算机和用户具有巨大的价值。该算法非常非常简单(并且“块继承”和“无覆盖”只会使算法稍微复杂化)。大多数策略应用问题最终导致系统管理员对用于应用组策略的算法的理解与操作系统的实际操作不匹配。依赖 RSoP 或 GPRESULT 等工具而不是对该功能的工作原理有深入的了解是一个坏主意。
不要忘记站点级 GPO 链接。它们可以非常非常方便。当便携式计算机在站点之间移动时,请注意可能导致发生重大事件的设置(例如当计算机“超出范围”时强制删除软件安装)。
在部署到生产之前,在实验室 OU 和测试计算机中进行计划和测试——尤其是软件安装功能。测试,测试,测试,然后再测试。如果您犯了错误,组策略可以让您非常非常容易地损坏成百上千台计算机的配置。
不要将组策略视为为安全做任何事情本身。组策略有助于“深度防御”策略(打开 AppLocker 等功能、强制执行组成员身份等),但如果有人在机器上获得“管理员”权限,他们将很容易“杀死”组那台机器上的策略。
确保您了解“阻止继承”、“无覆盖”以及 WMI 和安全组过滤的工作原理。这些功能可以让您管理简单地链接 OU 中的 GPO 无法处理的场景。尽量不要过度使用这些功能,因为它们在几个月后对逆向工程或其他系统管理员来说可能不直观。
在进行更改之前备份关键 GPO。GPMC 工具添加了此功能,非常非常方便。无论如何,您应该对 AD 进行系统状态备份,但是使用 GPMC 从备份中还原单个 GPO比系统状态还原要方便得多。
我经常利用充当“活板门”的脚本。只要客户不是给定组的成员,就可以应用这些脚本。脚本的最后一行将客户端放入该组,以便在下次启动时客户端不再执行脚本。这是非常方便的行为。
不多。我有各种不同的客户,他们对我的组策略应用程序“风格”进行了各种不同的“修订”。我本身不会“做任何不同的事情”,但我确实致力于将所有内容标准化为一个非常相似的配置。对我来说,这只是调整 GPO 的“风格”的问题,而不是进行任何广泛、彻底的改变。我不得不做出的主要改变是在投入生产之前没有进行足够的测试。我有没有提到你应该尽早和经常测试?
就像我会隔离不同类别的用户或客户端计算机一样。我将客户端计算机和服务器计算机隔离到不同的 OU 中,并将不同的 GPO 链接到这些 OU。不同角色的服务器可能会被进一步隔离(或放入安全组并过滤 GPO 应用程序)。我有适用于两种类型计算机的通用 GPO(通常只有少数几个设置)。
WMI 筛选是处理各种 Windows 版本的一种方法。它工作正常,但我个人不喜欢它。
我通常部署一个启动脚本(我在客户的时间写的,不幸的是,所以我不能在这里分享它)来检测 Windows 版本的组策略客户端(以及它们的 32/64 位和是否它们是裸机或在给定的管理程序上运行)来填充组,以便我可以使用安全组过滤而不是 WMI 过滤。因为 WMI 筛选仅对 GPO 是原子的,而我可以在 GPO 内的单个软件安装中使用安全组筛选,所以我更喜欢安全组筛选。
我没有使用客户端软件来允许非 Windows 客户端使用组策略的经验,所以我根本无法谈论它。
我来自“老派”,所以我学会了根据 Microsoft“回到过去”提出的建议来设计 Active Directory 。当我布置我的 OU 结构时,我会非常认真地考虑组策略(以及控制委派,这是我的第一个关注点:OU 结构)。
就个人而言,我更喜欢使用尽可能少的 GPO 来完成工作,而无需在多个 GPO 中重复常见设置。我尽可能有限地使用“阻止继承”、“无覆盖”和安全组过滤(尤其是“拒绝”权限)。我尝试详细地命名 GPO,以便它们“自我记录”。我从不使用 Active Directory 修改“开箱即用”的默认 GPO,这样我就可以在“紧急”情况下禁用所有其他 GPO,并将产品恢复到“库存”行为。
这是我的总体策略,对我来说效果很好。我可能会在多个位置链接同一个 GPO(比如一个名为“成员服务器和域控制器计算机的通用设置”的 GPO,它链接在“成员服务器”OU 和默认的“域控制器”OU)。然后,当我向下移动到我的 OU 层次结构时,我会链接具有更具体设置的附加 GPO。链接“愚蠢”数量的 GPO(数十或数百)将影响性能。我有客户的客户链接 7 - 12 个 GPO,没有不良的性能影响。
某些组策略客户端扩展 (CSE) 模块可能很慢。在某些情况下(如文件夹重定向或软件安装策略),它可能只是一次减速。在其他情况下(如 Windows XP SP3 中的 IE 策略),它可以为每次登录增加几秒钟。一般来说,尽量保守一点,根据需要链接尽可能少的 GPO。根据需要运行尽可能少的脚本(如果您同步处理它们,它们真的可以加起来)。测试登录时间应该是测试的一部分。
ADM 文件与 ADMX 文件创建的 REGISTRY.POL 文件没有区别。如果您要从 Windows 2003 或 Windows XP 管理组策略,那么您需要保留 ADM 文件。如果您打算将 GPO 管理限制为 Windows Vista 或更新的操作系统,那么您可以放弃 ADM 文件。我个人并不担心,但是我最大的 SYSVOL 只有大约 400MB。如果我有数百个 GPO,那么我可能希望尽快从 ADM 文件中迁移出去。
如果您需要它提供的功能,那么这绝对是一个好主意。有些场景没有它你就无法配置。只要您了解它是如何工作的,环回策略处理就可以正常工作。它对于它的服务目的非常有用(无论用户登录如何,都将一致的用户设置应用于计算机)。
这与以下问题有关:登录时间。您可以对其进行基准测试并在您的环境中查看,但坦率地说,我没有看到性能差异。我不在我的客户网站上担心它。
| 归档时间: |
|
| 查看次数: |
694 次 |
| 最近记录: |