在域環境中組策略為我們網絡管理員提供了一個很好的網絡管理平台大大提高了我們網路管理的效率與安全性不過組策略強調的是一個統一的安全管理策略為了達到這個目標光用組策略還是不行的需要一些組策略應用的控制手段才能夠達到這個目標下面筆者就為大家說說在域控制器的組策略管理平台中提供了哪些組策略的管理工具以及這些工具在什麼時候使用可以達到事半功倍的效果
一 強制使用組策略
我們在配置組策略的時候往往具有共性與個性的區別如一些共性的設置我們希望企業內部不分老幼都必須遵守如我們可以通過組策略實現當主機加入到域中時必須自動安裝殺毒軟件的客戶端並自動升級;如我們還可以通過組策略限制用戶端修改IP地址等等這些對於企業網絡來說是一些共性的內容我們雖然在分組的時候按部分分組分了銷售部門OU采購部麼OU等等但是這些共性的內容我們希望這些OU都遵守
但是在上篇文章中筆者也談到了一些例外如對於禁止用戶修改IP地址這個組策略若在下面的子OU中若沒有對這個組策略配置過則其會繼承這個組策略但是若其配置過這個組策略把這個策略配置成允許用戶修改IP地址則一般情況下這個配置值就會覆蓋上級傳遞下來參數這是我們不希望看到的
遇到這種情況我們該如何呢?在域控制器的組策略應用中提供了一個強制策略繼承的選項若我們在配置組策略的過程中選中這個選型的話則無論下面的容器是否對這個組策略配置過域控制器會強制的讓子OU繼承父OU的選項官方資料時這麼定義強制策略繼承的強制策略繼承是指可以在父容器中通過組策略的禁止替代選項強制子容器必須繼承(不准覆蓋)此組策略內的組策略設定而不論子容器是否設置了阻止策略繼承
通過這個定義我們可以明白以下幾點內容
一是這個禁止替代選項是針對具體的組策略而言的而不是應用在OU上的所有組策略如現在有個父OU叫管理人員在這個OU上我們配置了個組策略然後若網絡管理員認為其中的兩個組策略比較具有共性需要下面的所有人員都遵守如此的話就可以把這兩個組策略設置為禁止替代則下面的子OU只有這兩個組策略不能覆蓋另外的三個組策略仍然可以通過更改子OU的配置而實現覆蓋
二是禁止替代選項對於阻止策略繼承也仍然有效也就是說我們在子OU中設置了阻止策略繼承選項組策略仍然以子OU的配置值為准即使沒有配置也才用默認的值而不采用父OU的組策略配置但是我們若在父OU的某個組策略中選中了禁止替代的值則域控制器在組策略應用的時候就會忽略子OU中的阻止策略繼承選項而直接把父OU的組策略配置傳遞給子OU當然這也是針對特定的組策略而言而不是指應用在父OU上的所有組策略
二 針對計算機或者用戶的阻止策略
在上篇文章中筆者講述了一個組策略應用的例外即阻止策略繼承這個選項是針對OU而言的或者更確切的說是針對域控制器內的容器而言但是我們有時候往往覺得這個范圍比較寬我們喜歡針對具體的用戶或者計算機如我們信息部一共有六個人大家平時的工作都是分工負責為此在IT這個OU中我們希望只有兩個人可以更改客戶端的IP地址以及取得IP地址的方式即是固定IP地址還是自動獲得IP地址而其他信息部人員都沒有這個權力
這雖然也可以通過阻止策略繼承來實現如我們可以把這個兩個具有特權的IT部人員設置為一個OU然後通過阻止策略繼承工具或者修改這個OU的配置讓其不繼承或者覆蓋父OU的設置但是很明顯這麼處理的話工作量比較大而且OU太多也不容易後續的維護
為此域控制器在考慮到用戶的具體需求實現了一個針對特殊用戶或者計算機的過濾策略一般情況下只要把用戶加入到一個特定的OU則其就會受到這個OU中組策略的限制若我們比喜歡其中一些特定的計算機或者用戶受到這些組策略的限制呢?如在公司范圍內用戶不能夠更改IP地址或者取得IP地址的方式而只有IT部門中的兩個人可以有這個權力此時我們就可以首先利用強制使用組策略選項讓公司內的所有用戶都遵守這些組策略設置;然後再通過計算機或者用戶組策略過濾功能讓一些特定的用戶或者計算機具有相應的權限一般來說使針對具體的用戶而不是計算機采用組策略過濾選項
其實這跟上面講到的阻止策略繼承具有異曲同工之妙只是兩者針對的具體對象不同計算機或者用戶組策略過濾是針對終端主機或者域帳戶而言;而阻止策略繼承則是針對域控制器中的子容器而言
不過筆者還是建議要慎用計算機或者用戶組策略過濾功能因為這個功能會破壞組策略的統一性因為在企業網絡管理中有一個基本的原則就是要減少特權用戶的產生或者說要避免針對特定的帳戶或者計算機配置組策略而計算機或者用戶組策略過濾功能則會破還這個原則性的內容故筆者建議能夠不用計算機或者用戶組策略過濾功能就不用
三 網絡速度慢時組策略的處理方式
有時會一些組策略的應用效果還跟網絡速度有比較大的關系當網絡速度不怎麼理想的時候如有病毒或者其他原因導致網絡擁塞的時候實現某些族策略比較費時此時若需要強制使用組策略的話可能用戶登錄到系統或者域中需要十分鐘半個小時甚至更長的時間如我們在配置組策略的時候讓計算機登錄到域中的時候必須檢查殺毒軟件的版本若客戶端不是最新的版本則必須進行強制升級而殺毒軟件的升級速度跟網絡速度有著很大的關聯當網絡有擁塞時殺毒軟件的升級不是一下子可以完成的此時我們若讓終端主機在登錄的時候強制進行病毒軟件升級的話則顯得不怎麼現實
針對這種情況我們該如何呢?是放棄使用這種組策略嗎?當然不是讓用戶終端電腦每次登錄域環境中實現殺毒軟件的自動升級這是一個關系到企業網絡安全的組策略手段我們不能放棄我們現在只能想一個折中的方法即當網絡速度不怎麼理想的時候則可以放棄使用這個組策略;而在網絡速度還可以的情況下必須采用這個組策略通過這種有區別的對待即可以保障企業網絡的安全也可以在網絡速度不理想的情況下提高用戶登錄的速度
在域環境中可以設置讓域內的計算機自動探測他們與域控制器之間的連接速度是否理想如果不理想的話可以設置不要應用位於域控制器內的組策略配置當然這個選項也是針對一些具體的組策略而言也就是說某個帳戶所在的組可能有十個組策略我們可以設置其中的三個當網路速度不理想的時候可以不采用而其他的組策略則必須采用無論網路是否理想
在使用這個功能的時候還需要注意一點有些組策略域控制器默認是必須使用的無論網絡速度是否理想如安全策略處理與登錄策略處理這兩個組策略系統就默認無論網絡是否暢通則必須使用否則的話就無法使用域帳戶登錄到主機或者企業網絡中去
另外上面速度是不理想的網絡速度什麼時候又是理想的網路速度這我麼可以自己定義這往往沒有統一的標准而是要根據具體的策略而言的如禁止在桌面上顯示網上鄰居這個組策略應用起來對於網絡速度的依賴性就不是很高所以我們可以把網絡速度設置的低一點如制需要其有K的速度及可以利用這個組策略但是有些組策略則對於網絡速度要求比較高如一些軟件維護與升級的策略如殺毒軟件的自動安裝與升級策略WORD等辦公軟件的自動安裝與維護策略等等對於網絡速度就有比較高的要求此時在這些組策略上我們就可以自定義這個網絡的速度當低於什麼速度的時候可以不利用這個組策略這無疑為組策略的應用提高了更加靈活的手段
From:http://tw.wingwit.com/Article/os/xtgl/201311/10148.html
