|
在域环境中组策略为我们网络管理员提供了一个很好的网络管理平台大大提高了我们网路管理的效率与安全性不过组策略强调的是一个统一的安全管理策略为了达到这个目标光用组策略还是不行的需要一些组策略应用的控制手段才能够达到这个目标下面笔者就为大家说说在域控制器的组策略管理平台中提供了哪些组策略的管理工具以及这些工具在什么时候使用可以达到事半功倍的效果 一 强制使用组策略 我们在配置组策略的时候往往具有共性与个性的区别如一些共性的设置我们希望企业内部不分老幼都必须遵守如我们可以通过组策略实现当主机加入到域中时必须自动安装杀毒软件的客户端并自动升级;如我们还可以通过组策略限制用户端修改IP地址等等这些对于企业网络来说是一些共性的内容我们虽然在分组的时候按部分分组分了销售部门OU采购部么OU等等但是这些共性的内容我们希望这些OU都遵守 但是在上篇文章中笔者也谈到了一些例外如对于禁止用户修改IP地址这个组策略若在下面的子OU中若没有对这个组策略配置过则其会继承这个组策略但是若其配置过这个组策略把这个策略配置成允许用户修改IP地址则一般情况下这个配置值就会覆盖上级传递下来参数这是我们不希望看到的 遇到这种情况我们该如何呢?在域控制器的组策略应用中提供了一个强制策略继承的选项若我们在配置组策略的过程中选中这个选型的话则无论下面的容器是否对这个组策略配置过域控制器会强制的让子OU继承父OU的选项官方资料时这么定义强制策略继承的强制策略继承是指可以在父容器中通过组策略的禁止替代选项强制子容器必须继承(不准覆盖)此组策略内的组策略设定而不论子容器是否设置了阻止策略继承 通过这个定义我们可以明白以下几点内容 一是这个禁止替代选项是针对具体的组策略而言的而不是应用在OU上的所有组策略如现在有个父OU叫管理人员在这个OU上我们配置了个组策略然后若网络管理员认为其中的两个组策略比较具有共性需要下面的所有人员都遵守如此的话就可以把这两个组策略设置为禁止替代则下面的子OU只有这两个组策略不能覆盖另外的三个组策略仍然可以通过更改子OU的配置而实现覆盖 二是禁止替代选项对于阻止策略继承也仍然有效也就是说我们在子OU中设置了阻止策略继承选项组策略仍然以子OU的配置值为准即使没有配置也才用默认的值而不采用父OU的组策略配置但是我们若在父OU的某个组策略中选中了禁止替代的值则域控制器在组策略应用的时候就会忽略子OU中的阻止策略继承选项而直接把父OU的组策略配置传递给子OU当然这也是针对特定的组策略而言而不是指应用在父OU上的所有组策略 二 针对计算机或者用户的阻止策略 在上篇文章中笔者讲述了一个组策略应用的例外即阻止策略继承这个选项是针对OU而言的或者更确切的说是针对域控制器内的容器而言但是我们有时候往往觉得这个范围比较宽我们喜欢针对具体的用户或者计算机如我们信息部一共有六个人大家平时的工作都是分工负责为此在IT这个OU中我们希望只有两个人可以更改客户端的IP地址以及取得IP地址的方式即是固定IP地址还是自动获得IP地址而其他信息部人员都没有这个权力 这虽然也可以通过阻止策略继承来实现如我们可以把这个两个具有特权的IT部人员设置为一个OU然后通过阻止策略继承工具或者修改这个OU的配置让其不继承或者覆盖父OU的设置但是很明显这么处理的话工作量比较大而且OU太多也不容易后续的维护 为此域控制器在考虑到用户的具体需求实现了一个针对特殊用户或者计算机的过滤策略一般情况下只要把用户加入到一个特定的OU则其就会受到这个OU中组策略的限制若我们比喜欢其中一些特定的计算机或者用户受到这些组策略的限制呢?如在公司范围内用户不能够更改IP地址或者取得IP地址的方式而只有IT部门中的两个人可以有这个权力此时我们就可以首先利用强制使用组策略选项让公司内的所有用户都遵守这些组策略设置;然后再通过计算机或者用户组策略过滤功能让一些特定的用户或者计算机具有相应的权限一般来说使针对具体的用户而不是计算机采用组策略过滤选项 其实这跟上面讲到的阻止策略继承具有异曲同工之妙只是两者针对的具体对象不同计算机或者用户组策略过滤是针对终端主机或者域帐户而言;而阻止策略继承则是针对域控制器中的子容器而言 不过笔者还是建议要慎用计算机或者用户组策略过滤功能因为这个功能会破坏组策略的统一性因为在企业网络管理中有一个基本的原则就是要减少特权用户的产生或者说要避免针对特定的帐户或者计算机配置组策略而计算机或者用户组策略过滤功能则会破还这个原则性的内容故笔者建议能够不用计算机或者用户组策略过滤功能就不用 三 网络速度慢时组策略的处理方式 有时会一些组策略的应用效果还跟网络速度有比较大的关系当网络速度不怎么理想的时候如有病毒或者其他原因导致网络拥塞的时候实现某些族策略比较费时此时若需要强制使用组策略的话可能用户登录到系统或者域中需要十分钟半个小时甚至更长的时间如我们在配置组策略的时候让计算机登录到域中的时候必须检查杀毒软件的版本若客户端不是最新的版本则必须进行强制升级而杀毒软件的升级速度跟网络速度有着很大的关联当网络有拥塞时杀毒软件的升级不是一下子可以完成的此时我们若让终端主机在登录的时候强制进行病毒软件升级的话则显得不怎么现实 针对这种情况我们该如何呢?是放弃使用这种组策略吗?当然不是让用户终端电脑每次登录域环境中实现杀毒软件的自动升级这是一个关系到企业网络安全的组策略手段我们不能放弃我们现在只能想一个折中的方法即当网络速度不怎么理想的时候则可以放弃使用这个组策略;而在网络速度还可以的情况下必须采用这个组策略通过这种有区别的对待即可以保障企业网络的安全也可以在网络速度不理想的情况下提高用户登录的速度 在域环境中可以设置让域内的计算机自动探测他们与域控制器之间的连接速度是否理想如果不理想的话可以设置不要应用位于域控制器内的组策略配置当然这个选项也是针对一些具体的组策略而言也就是说某个帐户所在的组可能有十个组策略我们可以设置其中的三个当网路速度不理想的时候可以不采用而其他的组策略则必须采用无论网路是否理想 在使用这个功能的时候还需要注意一点有些组策略域控制器默认是必须使用的无论网络速度是否理想如安全策略处理与登录策略处理这两个组策略系统就默认无论网络是否畅通则必须使用否则的话就无法使用域帐户登录到主机或者企业网络中去 另外上面速度是不理想的网络速度什么时候又是理想的网路速度这我么可以自己定义这往往没有统一的标准而是要根据具体的策略而言的如禁止在桌面上显示网上邻居这个组策略应用起来对于网络速度的依赖性就不是很高所以我们可以把网络速度设置的低一点如制需要其有K的速度及可以利用这个组策略但是有些组策略则对于网络速度要求比较高如一些软件维护与升级的策略如杀毒软件的自动安装与升级策略WORD等办公软件的自动安装与维护策略等等对于网络速度就有比较高的要求此时在这些组策略上我们就可以自定义这个网络的速度当低于什么速度的时候可以不利用这个组策略这无疑为组策略的应用提高了更加灵活的手段 |
