组策略2003服务器系统下载

WCI321组策略在WindowsVista中的新特性WCI321WCI321组策略在组策略在WindowsVistaWindowsVista中的新特性中的新特性今天的组策略现状今天的组策略现状WindowsVistaWindowsVista中的组策略中的组策略全新的功能全新的功能更多被使用的策略集更多被使用的策略集议程议程今天的组策略现状今天的组策略现状被广泛的应用在中大型企业被广泛的应用在中大型企业组策路的应用情况组策路的应用情况::超过超过90%90%的大型企业和组织采用组策路的大型企业和组织采用组策路超过超过60%60%的中小企业采用组策管理企业环境的中小企业采用组策管理企业环境策略的覆盖面非常大策略的覆盖面非常大超过超过18001800项的策略设置项的策略设置比如在安全方面或者比如在安全方面或者IEIE等方面都有很多的策略等方面都有很多的策略ADMfileADMfileformatformat&Sysvol&SysvolbloatbloatADADPolicyTargetingPolicyTargetingPolicyTroubleshootingPolicyTroubleshootingPolicyEnforcementPolicyEnforcementPolicyDefinitionPolicyDefinitionGPOManagementandOperationsGPOManagementandOperations(GPMC/GPEdit)(GPMC/GPEdit)GroupPolicyObject(GPO)GroupPolicyObject(GPO)基础结构基础结构::客户的痛客户的痛DifficulttolocatesettingsDifficulttolocatesettingsLackofbestpracticeLackofbestpracticeknowledgeknowledgeErrormessagesErrormessagesComplicateddiagnosticlogComplicateddiagnosticlog(Userenv)(Userenv)Pingissues,Pingissues,VPNscenariosVPNscenariosNonNon--ADscenariosADscenariosWhatandwhereisGPMCWhatandwhereisGPMCChangemanagement,auditingandChangemanagement,auditingandworkflowworkflow类别类别关键特性和增强关键特性和增强可控策略从可控策略从1,8001,800到到3,0003,000条条增加策略-针对增加策略-针对WindowsVistaWindowsVista的新特性的新特性主要区域的改进主要区域的改进扩展扩展更安全可靠的基础结构更安全可靠的基础结构全新的网络感知技术全新的网络感知技术支持多本地策略支持多本地策略组策略多语言支持组策略多语言支持GPMCGPMC的集成的集成更强大的模版支持更强大的模版支持sysvolbloatsysvolbloat的解决方案的解决方案搜索搜索//分类分类//过滤过滤//模板模板应用组词策略应用组词策略可靠性和性能可靠性和性能易用性易用性WindowsVistaWindowsVista中组策略的改变中组策略的改变更多的设置更多的设置,,更可靠更可靠,,容易使用容易使用议程议程今天的组策略现状今天的组策略现状WindowsVistaWindowsVista中的组策略中的组策略全新的功能全新的功能更多使用的策略集更多使用的策略集GroupPolicyClientServiceGroupPolicyClientService可靠性可靠性––WindowsVistaWindowsVista的基础的基础在从前组策略进程是通过在从前组策略进程是通过WinlogonWinlogon进程实现的进程实现的在在VistaVista中组策略的引擎是运行在一个共享的服务主机中组策略的引擎是运行在一个共享的服务主机增强的服务增强的服务管理员也需要通过权限提升才能停止服务管理员也需要通过权限提升才能停止服务在遇到不可预料的情况下,服务将重新启动在遇到不可预料的情况下,服务将重新启动第三方客户端的支持第三方客户端的支持GPMCGPMC集成集成GPMCGPMC推出已经三年推出已经三年为什么要集成为什么要集成GPMCGPMC到系统中到系统中Theperceptionis:Theperceptionis:GPMCGPMC是一个很有用的小工具集吗是一个很有用的小工具集吗非常正确,但它不是操作系统的一部分非常正确,但它不是操作系统的一部分什么是什么是GPMCGPMC不在需要下载不在需要下载//安装,它将默认集成到安装,它将默认集成到WindowsVista&LonghornServerWindowsVista&LonghornServer中中.
.
单一的本地安全策略单一的本地安全策略本地安全策略主要被应用在本地安全策略主要被应用在::没有活动目录的情况下没有活动目录的情况下共享计算机共享计算机((比如:展台比如:展台))客户需要更加有效的安全策略客户需要更加有效的安全策略比如:管理员和普通用户应该有不同策略设置比如:管理员和普通用户应该有不同策略设置没有目的的策略应用没有目的的策略应用WindowsVistaWindowsVista:多本地安全策略:多本地安全策略域组策略的优先级依然高于本地安全策略域组策略的优先级依然高于本地安全策略本地策略可以应用到本地策略可以应用到::计算机计算机新新::管理员或者管理员组管理员或者管理员组新新::单独的本地用户单独的本地用户应用的顺序是最后应用的生效应用的顺序是最后应用的生效一个用户只能接收一种策略(针对管理员或针对非管理员)一个用户只能接收一种策略(针对管理员或针对非管理员)新的策略设置新的策略设置:ExcludeprocessingofalllocalGPOs:ExcludeprocessingofalllocalGPOsMultipleLocalGPOsMultipleLocalGPOs今天今天::网络感知网络感知策略的应用不是网络敏感的,比如策略的应用不是网络敏感的,比如::VPNVPN会话会话笔记本待机笔记本待机//休眠休眠慢速连接检测错误慢速连接检测错误ICMPPingICMPPing数据包不能通过路由器数据包不能通过路由器带宽高延迟很高的场合带宽高延迟很高的场合WindowsVista:WindowsVista:网络感知网络感知适应网络改变适应网络改变策略应用不再局限在策略应用不再局限在9090分钟分钟如果从前应用的策略出现问题,而没能成功应用,网络感知将在下一次如果从前应用的策略出现问题,而没能成功应用,网络感知将在下一次网络可用时自动应用网络可用时自动应用网络感知应用网络感知应用组策路可以订阅服务器边的改变组策路可以订阅服务器边的改变不再依靠不再依靠ICMP(ICMP(没有更多的没有更多的ping!
)ping!
)准确的带宽检测准确的带宽检测今天今天::组策略故障排除组策略故障排除含糊的错误消息含糊的错误消息不一致的排错和解决信息不一致的排错和解决信息错误帮助连接部可用错误帮助连接部可用难以识别难以识别Userenv.
logUserenv.
log许多用户不清楚这个选项许多用户不清楚这个选项界面不友好界面不友好每个组策略扩展都有不同的模版和不同的日志位置每个组策略扩展都有不同的模版和不同的日志位置不支持事件合并不支持事件合并WindowsVista:WindowsVista:组策略日志增强组策略日志增强新的新的''CrimsonCrimson''事件管理特性事件管理特性基于基于XMLXML的事件日志的事件日志支持应用程序支持应用程序''channelschannels''使用使用''SubscriptionSubscription''实现事件合并实现事件合并支持事件触发器支持事件触发器两个不同的日志级别两个不同的日志级别AdmineventsAdmineventsOperationaleventsOperationaleventsWindowsVista:WindowsVista:组策略增强组策略增强AdmineventsAdmineventsActionablesetofeventsinActionablesetofeventsin''SystemSystem''loglog(source=(source=''GroupPolicyServiceGroupPolicyService''notnot''UserenvUserenv''))LinkedtoMicrosoftWebsitewithmoreinformationincludingLinkedtoMicrosoftWebsitewithmoreinformationincludingtroubleshootingsteps,relatedKBstroubleshootingsteps,relatedKBsOperationaleventsOperationaleventsStepStep--byby--steppolicyprocessingeventsinsteppolicyprocessingeventsin''GroupPolicyGroupPolicy''ApplicationchannelApplicationchannelAdminfriendlyreplacementofUserenv.
logAdminfriendlyreplacementofUserenv.
logUniqueActivityIDenablesgroupingofeventsoccurringinasinUniqueActivityIDenablesgroupingofeventsoccurringinasingleglepolicyrefreshpolicyrefreshProvidesvaluabledatalikeUsername,GPOlist,policyprocessinProvidesvaluabledatalikeUsername,GPOlist,policyprocessinggmetrics(totaltime,individualextensionprocessingtime,etc.
)metrics(totaltime,individualextensionprocessingtime,etc.
)WhyADMXFilesWhyADMXFilesADMADM文件的挑战文件的挑战……不支持多语言环境不支持多语言环境SysvolSysvol的膨胀的膨胀(4Mb+perGPO(4Mb+perGPO))难以理解和使用的语法难以理解和使用的语法ADMXADMX文件的优点文件的优点内建多言支持内建多言支持通过集中存储,解决通过集中存储,解决SysvolSysvol膨胀的问题膨胀的问题支持集中存储或本地存储支持集中存储或本地存储更多的扩展语言支持更多的扩展语言支持urrentplanistomakeavailableinthisurrentplanistomakeavailableinthistimeframetimeframe––willNOTrequireWindowsServerwillNOTrequireWindowsServer""LonghornLonghorn""ADMXADMX中心存储中心存储默认是不启用中心存储的默认是不启用中心存储的管理员可以使用管理员可以使用GPMC/GPEditGPMC/GPEdit来编辑本地的来编辑本地的ADMXADMX启用中心存储启用中心存储在域中在域中ADMXADMX的存储位置是的存储位置是––[sysvol][sysvol]\\policiespolicies\\policydefinitionspolicydefinitions一次性创建中心存储一次性创建中心存储WindowsVista:WindowsVista:通过通过InternetExplorerInternetExplorerWindowsServerWindowsServer""LonghornLonghorn""Timeframe*:AdditionaltoolsTimeframe*:Additionaltools最后,管理员可以使用最后,管理员可以使用WindowsVistaWindowsVista中的中的GPMC/GPEditGPMC/GPEdit工具管理中工具管理中心存储的心存储的ADMXfiles(ADMXfiles(忽略本地存储忽略本地存储))ADMX/ADMADMX/ADM共存共存WindowsVistaWindowsVista不会装载任何的不会装载任何的ADMADM文件文件ADMXADMX和和ADMADM文件可以并存,可以通过添加删除模版来添加文件可以并存,可以通过添加删除模版来添加ADMADM文件文件提示:没有计划推出从提示:没有计划推出从ADMADM到到ADMXADMX的装换工具的装换工具BehaviorBehaviorADMXADMX(WindowsVistaandlater)(WindowsVistaandlater)ADMADM(Windows2000,WindowsServer2003(Windows2000,WindowsServer2003andWindowsXP)andWindowsXP)CanManageWindows2000,WindowsCanManageWindows2000,WindowsServer2003,Server2003,WindowsXPWindowsXP√√√√CanManageWindowsVista,LonghornCanManageWindowsVista,LonghornServerServer√√XXMultilingualSupportMultilingualSupport√√(ADMLFiles)(ADMLFiles)XXCanConsumeCustomADMFilesCanConsumeCustomADMFiles√√√√DefaultLocationofFilesDefaultLocationofFilesADMXfilesreadlocallyADMXfilesreadlocallyADMfilescopiedtoGPOADMfilescopiedtoGPOCanUseCentralStoreCanUseCentralStore√√XXAvoidsDuplicatedFilesintheGPO(SysvolAvoidsDuplicatedFilesintheGPO(SysvolBloat)Bloat)√√XXOptiontoAddGPOOptiontoAddGPO--SpecificFilesSpecificFiles(Add/RemoveTemplates)(Add/RemoveTemplates)ADMFilesOnlyADMFilesOnlyADMFilesOnlyADMFilesOnlyFileComparisonsFileComparisonsVersionNumbersVersionNumbersTimestampTimestampADMADM和和ADMXADMX文件文件对比对比议程议程今天的组策略现状今天的组策略现状WindowsVistaWindowsVista中的组策略中的组策略全新的功能全新的功能更多使用的策略集更多使用的策略集RemovableStorageRemovableStorageDevicesDevicesIPSec/WindowsIPSec/WindowsFirewallFirewallPowerManagementPowerManagementPrinterManagementPrinterManagementTroubleshooting&Troubleshooting&DiagnosticsDiagnosticsWindowsDefenderWindowsDefenderNetworkAccessNetworkAccessProtectionProtectionInternetExplorerInternetExplorerTabletPCTabletPCWindowsErrorWindowsErrorReportingReportingUserAccountUserAccountControlControlWiredandWirelessWiredandWirelessPolicyPolicyDesktopShellDesktopShellGlobalizationGlobalizationRemoteAssistanceRemoteAssistance新的、更合理的策路设置新的、更合理的策路设置更多的策略且实用的策略.
.
.
.
.
.
更多的策略且实用的策略.
.
.
.
.
.
PowerManagementCanLowerOperationalCostsPowerManagementCanLowerOperationalCosts(1)(1)Energymanagementfeatures(sleepanddisplayEnergymanagementfeatures(sleepanddisplayblanking)translateintosavingsblanking)translateintosavingsComparesystemon24x365withonewithenergyComparesystemon24x365withonewithenergysavingfeaturesenabledsavingfeaturesenabledDisplayblankingaloneDisplayblankingalone1717""LCDupto$17/monitorperyearLCDupto$17/monitorperyear1717""CRTupto$31/monitorperyearCRTupto$31/monitorperyearSystemsleepanddisplayblankingtogetherSystemsleepanddisplayblankingtogetherUpto$63/systemperyearUpto$63/systemperyearSavingsMultiplywithGroupPolicyManagementSavingsMultiplywithGroupPolicyManagementofEnergyFeaturesofEnergyFeaturesAssume$63systemidleanddisplayblankingsavingsAssume$63systemidleanddisplayblankingsavingsperPCperPC1PC1PC$63$631,000PCs1,000PCs$63,000$63,00010,000PCs10,000PCs$630,000$630,000OthervalueOthervalueHeating/coolingsavings(HVAC)Heating/coolingsavings(HVAC)ReductioninenvironmentalimpactReductioninenvironmentalimpactInstantCostSavingsWithPowerInstantCostSavingsWithPowerManagementPolicySettingsManagementPolicySettings电源管理电源管理通过组策略控制电源管理为企业节省电源开销WindowsVista包括全面的电源管理针对不同用户的电源设置通过组策略完全控制Separatepowerplanforwhennouserisloggedintothesystem默认在所有的PC上启用省电模式Sleep作为默认的"关机"动作支持系统Sleep空闲时间支持关闭显示器空闲时间全面的电源管理默认省电模式移动存储设备导致的问题移动存储设备导致的问题数据保护数据保护USBUSB设备设备MP3MP3播放器播放器CD/DVDCD/DVD刻录刻录攻击攻击::恶意软件与病毒恶意软件与病毒主要数据泄露主要数据泄露((销售数据,产品计划和价格等)销售数据,产品计划和价格等)客户非常想对移动设备进行控制客户非常想对移动设备进行控制移动设备控制移动设备控制控制设备的读写权限控制设备的读写权限移动设备类别移动设备类别CD/DVDCD/DVDTapesTapesUSBplugUSBplug--indevicesindevicesWindowsPortableDevices(WPD)WindowsPortableDevices(WPD)AllotherexternalremovablestoragedevicesAllotherexternalremovablestoragedevicesOnlycomputersettingsareapplicableonTerminalServerOnlycomputersettingsareapplicableonTerminalServer了解了解==UACUAC=LUA=UAP!
=LUA=UAP!
默认情况下,任何用户将运行在标准用户下默认情况下,任何用户将运行在标准用户下AdministratorAdministrator始终始终有全部的管理权限有全部的管理权限针对管理员使用赞成模式针对管理员使用赞成模式标准用户使用全新的标准用户使用全新的权限提升方式工作权限提升方式工作用户账号控制用户账号控制用户账号访问策略用户账号访问策略用户账号策略位置用户账号策略位置::ComputerConfigurationComputerConfiguration\\WindowsSettingsWindowsSettings\\SecuritySettingsSecuritySettings\\LocalLocalPoliciesPolicies\\SecurityOptionsSecurityOptions管理管理UACUAC的用户体验的用户体验权限提升行为权限提升行为((没有提示没有提示,,赞成模式赞成模式,,权限提升权限提升))应用程序安装提示应用程序安装提示通过支持通过支持VirtualizesfileVirtualizesfile和和registryregistry写入失败的支持,减少应用程序兼容写入失败的支持,减少应用程序兼容的问题的问题UserAccountContralUserAccountContralWindowsWindows防火墙和防火墙和IPsecIPsec单点、统一的管理无缝的管理Restrictnetworkresourceaccesstodomain-joinedcomputers只允许健康计算机访问网络资源Windows防火墙和IPsec简化管理强制隔离更加智能的防火墙特定应用程序和端口允许只允许安全连接只允许AD中的某个组进行连接安全特性安全特性::更多的新策略更多的新策略WindowsDefender(WindowsDefender(反间谍软件反间谍软件))即时扫描与监控即时扫描与监控有效管理签名下载有效管理签名下载设备安装控制设备安装控制有效控制移动设备的使用有效控制移动设备的使用无线网络安全无线网络安全更安全的无线网络策略更安全的无线网络策略网络访问保护网络访问保护安全隔离控制安全隔离控制增强的公钥配置增强的公钥配置更多的认证设置更多的认证设置增强的增强的IEIE安全控制安全控制IE7IE7新增加更多的安全策略新增加更多的安全策略Q&AQ&AWindowsVistaWindowsVista组策略的全新的组策略模板格式是什么答出至组策略的全新的组策略模板格式是什么答出至少两个优点少两个优点WindowsVistaWindowsVista组策略在客户端增加了一个新的服务,它是什么组策略在客户端增加了一个新的服务,它是什么WindowsVistaWindowsVista对移动设备采取的管理措施是什么对移动设备采取的管理措施是什么多本地策略对于用户的好处是什么多本地策略对于用户的好处是什么WindowsVistaWindowsVista如何解决组策略远程应用的问题如何解决组策略远程应用的问题ResourcesResourcesWhatWhat''snewinGPinWidowsVistasnewinGPinWidowsVistahttp://www.
microsoft.
com/technet/windowsvista/library/a8366c42http://www.
microsoft.
com/technet/windowsvista/library/a8366c42--63736373--48cd48cd--9d119d11--2510580e4817.
mspx2510580e4817.
mspxNewcategoriesofPolicysettingsNewcategoriesofPolicysettingshttp://www.
microsoft.
com/technet/windowsvista/library/2b8dc2fdhttp://www.
microsoft.
com/technet/windowsvista/library/2b8dc2fd--eafeeafe--4c744c74--914c914c--ec101133feb4.
mspxec101133feb4.
mspxManagingthenewADMXfiles:AstepbyManagingthenewADMXfiles:Astepbystepguidestepguidehttp://www.
microsoft.
com/technet/windowsvista/library/02633470http://www.
microsoft.
com/technet/windowsvista/library/02633470--396c396c--4e344e34--971a971a--0c5b090dc4fd.
mspx0c5b090dc4fd.
mspx