WindowsVista群组原则新增功能模板.ppt

Windows Vista群組原則新增功能 謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT 預備知識 熟悉Windows網路環境的使用與管理 熟悉群組原則的基本功能 講題大綱 群組原則的使用情形 Windows Vista的群組原則 新功能 原則的組合使用 群組原則目前的使用情形大量而廣泛被使用 在已部署AD的環境，群組原則： 大型企業超過 90% 以上使用 中小型企業環境超過 60% 以上使用 群組原則設定涵蓋： 超過1,800 以上的登錄檔架構原則設定 還有更多有關安全以及 Internet Explorer 等相關部分的設定 Group Policy Object (GPO)使用時可能面對的頭痛問題 Windows Vista有關群組原則的改善更多的功能設定、套用更加可靠、使用更加簡單 講題大綱 群組原則的使用情形 Windows Vista的群組原則 新功能 原則的組合使用 Group Policy Client Service 可靠性 –Windows Vista的基本目標 在以前: Group Policy 的處理由 Winlogon 程序負責 現在：Group Policy 由獨立的服務來處理 Group Policy Client Application Management 服務已經更加強固 本機管理員需要提升權限才能停止服務 服務重新啟動機制提供意外錯誤時的回復功能 與第三方Client Side Extensions (CSEs)隔絕 請參考 MSDN: IGPMClientSideExtension GPMC的整合 GPMC 是最完整的群組原則管理工具 可是呢? 完整而方便使用的工具？ 很棒的工具，可是作業系統沒有內建！ 啊，什麼是 GPMC？ 不再需要另行下載或安裝 Windows Vista沒有太大的變動，僅有新功能部分的支援調整 未來的Windows Server “Longhorn” ： Templates, Comments, Search/Filters 目前：單一本機群組原則 (LGPO) LGPO主要使用在： 沒有 AD 的環境 共用的特定電腦 (kiosks, “task stations”, etc.) 可是客戶需要更彈性的使用方式： 管理員需要跟一般使用者不同的工作環境設定 目前很難處理!! Windows Vista: 多重 LGPOs LGPO 與 AD GPO 套用順序與優先權沒有變動 (AD GPOs 依然有較高套用權) LGPOs 可以建立在： The machine NEW: Admin or non-Admin local groups NEW: Individual local users 套用順序依舊！(machine LGPO 先處理……) 個別使用者的 GPO “wins” 單一使用者依然會套用相關群組的LGPO (Admins or the Non-Admins, not both) 新的原則設定:排除(Exclude)使用所有的 LGPOs Multiple Local GPOs 目前：網路連線狀態偵測 原則套用會有網路連線的狀態問題： VPN 連線 筆記型電腦從休眠/待命狀態回復時 慢速連線狀態偵測錯誤： ICMP Ping 在路由器上被關閉時 高速頻寬/回應時間出問題時 Windows Vista:網路連線狀態偵測 對網路狀態變動偵測更敏銳 不再只是單純的以時間表來做分隔(“90 minutes or so”) 如果上一次的套用有問題，群組原則會在網路恢復正常(可連結到DC時)就進行重試 NLA v2.0的使用 (Network Location Awareness) Group Policy 開始使用 DC 可使用性通知機制(DC availability notification) 不再依靠 ICMP (no more Ping!) 透過NLA來提供更好的網路連線頻寬狀態的決定方式 注意：網路隔絕(Network quarantine)方式需要更進階的設定 目前：群組原則的問題診斷 並不明顯的錯誤訊息 沒有提供一致的問題診斷或解決資訊 錯誤事件的協助超連結會有問題 沒有相關解決措施的提供 Userenv.log 大部分人不清楚有這個選項可使用 格式對IT管理員來說並不夠友善 不同的群組原則設定會有不同的報告記錄格式，甚至擺在不同的位置 沒有集中的資料收集處理方式 Enabling Userenv loggingin Windows 2000, Windows Server? 2003, and Windows XP Add or modify existing registry