組策略設計
我正在為我們的組織規劃 Active Directory 安裝的佈局。我正在研究使用組策略來強制執行特定設置,增強我們桌面和伺服器的安全性,並通過我們的標準電腦映像提供更一致的使用者體驗。我們將在我們的環境中混合使用 Windows XP、Windows 7 Pro、Windows Server 2003、Windows Server 2008 R2 Standard、Macintosh OS X (10.6) 和各種 Linux(CentOS 和 Ubuntu)伺服器。
- 我正在尋找想法、技巧、建議甚至資源,以用於確定在這些不同機器集上使用的適當方法和適當的組策略佈局。
- 您在實施組策略時學到了什麼?
- 你會改變什麼?
- 你是如何設計它來同時與客戶端和伺服器一起工作的?
- 您是如何處理或適應各種作業系統的?
- 是否存在人們應該遵循的普遍接受的組策略設計?
- 嵌套策略以創建類似層次結構樹的模型是個好主意嗎?
- 環回處理是一個好主意嗎?
- 與策略結構的設計有關的客戶端電腦的登錄速度是否有任何顧慮?
- 既然有 Windows XP 和 Windows 7 的機器,那麼 ADM 文件和 ADMX 文件有區別嗎?我怎麼知道何時使用其中一種?這還重要嗎?
- 有人告訴我,我應該查看在組策略對像中使用禁用使用者配置設置或禁用電腦配置設置選項。這是明智的做法嗎?這個設置有關係嗎?
您的任何幫助和想法將不勝感激。我有興趣向您和您的經驗學習,以幫助我們的遷移取得成功——尤其是這樣一次,我們不必在一年後重新設計所有內容。
背景:
自 2000 年中期開始部署 Windows 2000 Server 和 Windows 2000 Professional 客戶端以來,我一直在我的客戶站點中大量使用組策略。組策略是 Windows Server / Active Directory 平台最引人注目的功能之一,優於其他 Samba 和其他與 Windows 客戶端作業系統兼容的單點登錄機制。
您在實施組策略時學到了什麼?
- 非同步策略處理提供了非確定性體驗。它在 Windows 2000 Processional 中預設關閉,但在所有更高版本的 Windows 客戶端作業系統中預設打開。我強烈建議強制流程恢復同步以提供確定性體驗。
- 了解如何選擇 GPO 中的設置並將其應用於電腦和使用者具有巨大的價值。該算法非常非常簡單(並且“塊繼承”和“無覆蓋”僅使算法稍微複雜化)。大多數策略應用問題最終會導致系統管理員對用於應用組策略的算法的理解與作業系統實際執行的操作不匹配。依賴 RSoP 或 GPRESULT 等工具,而不是深入了解該功能的工作原理是一個壞主意。
- 不要忘記站點級 GPO 連結。它們可以非常非常方便。當攜帶式電腦在站點之間移動時,請注意可能導致發生重大事件的設置(例如當電腦“超出範圍”時強制刪除軟體安裝)。
- 在部署到生產環境之前,在實驗室 OU 和測試電腦中進行計劃和測試——尤其是使用軟體安裝功能。測試,測試,測試,然後再測試。如果您犯了錯誤,組策略可以讓您非常非常容易地破壞數百或數千台電腦的配置。
- 不要將組策略本身視為為了安全而做的任何事情。組策略可以幫助實現“縱深防禦”策略(打開 AppLocker 等功能、強制執行組成員資格等),但如果有人在機器上獲得“管理員”權限,他們將很容易“殺死”組那台機器上的策略。
- 確保您了解“阻止繼承”、“無覆蓋”以及 WMI 和安全組過濾的工作原理。這些功能可以讓您管理在 OU 中僅連結 GPO 無法處理的方案。盡量不要過度使用這些功能,因為幾個月後的逆向工程或其他系統管理員無法理解它們可能不直覺。
- 在進行更改之前備份關鍵 GPO。GPMC 工具添加了這個功能,非常非常方便。無論如何,您都應該對 AD 進行系統狀態備份,但是使用 GPMC 從備份中還原單個 GPO比系統狀態還原要方便得多。
- 我經常利用充當“活板門”的腳本。只要客戶不是給定組的成員,他們就可以應用腳本。腳本的最後一行將客戶端放入該組,以便在下次啟動時客戶端不再執行該腳本。這是非常方便的行為。
你會改變什麼?
不多。我有各種不同的客戶,他們對我的組策略應用程序“樣式”進行了各種不同的“修訂”。就其本身而言,我不會“做任何不同的事情”,但我確實致力於將所有內容標準化為一個非常相似的配置。對我來說,這只是調整 GPO 的“風格”,而不是進行任何廣泛、徹底的改變。我不得不做出的主要改變是因為在投入生產之前沒有進行足夠的測試。我有沒有提到你應該儘早並經常測試?
你是如何設計它來同時與客戶端和伺服器一起工作的?
就像我會隔離不同類別的使用者或客戶端電腦一樣。我將客戶端電腦和伺服器電腦隔離到不同的 OU 中,並將不同的 GPO 連結到這些 OU。不同角色的伺服器可以進一步隔離(或放入安全組並過濾 GPO 應用程序)。我有適用於這兩種電腦的通用 GPO(通常只有少數幾個設置)。
您是如何處理或適應各種作業系統的?
WMI 篩選是處理各種 Windows 版本的一種方法。它工作正常,但我個人不喜歡它。
我通常會部署一個啟動腳本(不幸的是,我是在客戶的時間寫的,所以我不能在這里分享)來檢測 Windows 版本的組策略客戶端(以及它們的 32/64 位以及是否它們是裸機或在給定的管理程序上執行)來填充組,以便我可以使用安全組過濾而不是 WMI 過濾。因為 WMI 篩選僅對 GPO 是原子的,而我可以在 GPO 內的單個軟體安裝中使用安全組篩選,所以我更喜歡安全組篩選。
我沒有使用客戶端軟體允許非 Windows 客戶端使用組策略的經驗,所以我根本無法談論它。
是否存在人們應該遵循的普遍接受的組策略設計?
我來自“老派”,所以我學會了根據微軟“當年”提出的建議來設計 Active Directory 。當我佈置我的 OU 結構時,我會非常重視組策略(以及控制委派,這是我首先關注的:OU 結構)。
就個人而言,我更喜歡使用盡可能少的 GPO 來完成工作,而無需在多個 GPO 中重複常用設置。我盡可能有限地使用“阻止繼承”、“禁止覆蓋”和安全組過濾(尤其是“拒絕”權限)。我嘗試詳細地命名 GPO,以便它們“自我記錄”。我從不修改 Active Directory 中“開箱即用”的預設 GPO,這樣我就可以在“緊急”情況下禁用所有其他 GPO,並將產品恢復為“庫存”行為。
嵌套策略以創建類似層次結構樹的模型是個好主意嗎?
這是我的總體策略,對我來說效果很好。我可能會在多個位置連結同一個 GPO(比如一個名為“成員伺服器和域控制器電腦的通用設置”的 GPO,該 GPO 連結到“成員伺服器”OU 和預設的“域控制器”OU)。然後,當我向下移動到我的 OU 層次結構時,我將連結具有更具體設置的附加 GPO。連結“愚蠢”數量的 GPO(幾十個或幾百個)會影響性能。我有客戶的客戶連結 7 - 12 個 GPO,而沒有不良的性能影響。
與策略結構的設計有關的客戶端電腦的登錄速度是否有任何顧慮?
某些組策略客戶端擴展 (CSE) 模組可能很慢。在某些情況下(如文件夾重定向或軟體安裝策略),它可能只是一次減速。在其他情況下(如 Windows XP SP3 中的 IE 策略),它可以為每次登錄增加幾秒鐘的時間。一般來說,盡量保守一點,根據需要連結盡可能少的 GPO。根據需要執行盡可能少的腳本(如果您同步處理它們,它們真的可以加起來)。測試登錄時間應該是您測試的一部分。
既然有 Windows XP 和 Windows 7 的機器,那麼 ADM 文件和 ADMX 文件有區別嗎?我怎麼知道何時使用其中一種?這還重要嗎?
ADM 文件與 ADMX 文件創建的 REGISTRY.POL 文件沒有區別。如果您要從 Windows 2003 或 Windows XP 管理組策略,那麼您需要保留 ADM 文件。如果您打算將 GPO 管理限制為 Windows Vista 或更新的作業系統,那麼您可以放棄 ADM 文件。我個人並不擔心,但我最大的 SYSVOL 只有 400MB 左右。如果我有數百個 GPO,那麼我可能希望盡快從 ADM 文件遷移出去。
環回處理是一個好主意嗎?
如果您需要它提供的功能,那麼這絕對是一個好主意。有些場景沒有它是無法配置的。只要您了解它的工作原理,環回策略處理就可以正常工作。它對於它的服務目的非常有用(無論使用者登錄如何,都將一致的使用者設置應用於電腦)。
有人告訴我,我應該查看在組策略對像中使用禁用使用者配置設置或禁用電腦配置設置選項。這是明智的做法嗎?這個設置有關係嗎?
這與問題有關:登錄時間。您可以對其進行基準測試並在您的環境中查看,但坦率地說,我沒有看到性能差異。在我的客戶站點中,我不擔心它。