Presentation is loading. Please wait.

Presentation is loading. Please wait.

Windows Vista 群組原則新增功能

Similar presentations


Presentation on theme: "Windows Vista 群組原則新增功能"— Presentation transcript:

1 Windows Vista 群組原則新增功能
謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT

2 預備知識 熟悉Windows網路環境的使用與管理 熟悉群組原則的基本功能 Level 300

3 講題大綱 群組原則的使用情形 Windows Vista的群組原則 新功能 原則的組合使用

4 群組原則目前的使用情形 大量而廣泛被使用 在已部署AD的環境,群組原則: 群組原則設定涵蓋: 大型企業超過 90% 以上使用
中小型企業環境超過 60% 以上使用 群組原則設定涵蓋: 超過1,800 以上的登錄檔架構原則設定 還有更多有關安全以及 Internet Explorer 等相關部分的設定

5 Group Policy Object (GPO) 使用時可能面對的頭痛問題
ADM 檔案格式 Sysvol資料膨脹 原則強制設定 網路連線 VPN 連線時 無 AD 的時候呢 AD 原則套用目標 原則的問題診斷 錯誤問題發生的診斷很複雜 原則設定、定義 位置尋找困難 缺乏足夠的知識與經驗 GPMC? 變動管理、稽核與標準操作流程? 群組原則的管理與操作設定 (GPMC/GPEdit)

6 Windows Vista有關群組原則的改善 更多的功能設定、套用更加可靠、使用更加簡單
主要功能與加強 廣泛的設定 有關於Windows Vista新功能的設定 更多現存設定部份的新增 (安全性、桌面環境管理……) 可靠與有效套用 更安全可靠的群組原則引擎 網路連線狀態變動的牽連 加強問題診斷的能力 (事件與錯誤紀錄) 本機群組原則的加強 簡易的使用 GPMC直接與作業系統整合 系統管理範本檔案的語法改善與多國語系的支援 Sysvol 資料膨脹的問題解決 註解的使用、更多的範本、搜尋與過濾的使用

7 講題大綱 群組原則的使用情形 Windows Vista的群組原則 新功能 原則的組合使用

8 Group Policy Client Service
可靠性 –Windows Vista的基本目標 在以前: Group Policy 的處理由 Winlogon 程序負責 現在:Group Policy 由獨立的服務來處理 Group Policy Client Application Management 服務已經更加強固 本機管理員需要提升權限才能停止服務 服務重新啟動機制提供意外錯誤時的回復功能 與第三方Client Side Extensions (CSEs)隔絕 請參考 MSDN: IGPMClientSideExtension

9 GPMC的整合 GPMC 是最完整的群組原則管理工具 可是呢? 不再需要另行下載或安裝
完整而方便使用的工具? 很棒的工具,可是作業系統沒有內建! 啊,什麼是 GPMC? 不再需要另行下載或安裝 Windows Vista沒有太大的變動,僅有新功能部分的支援調整 未來的Windows Server “Longhorn” : Templates, Comments, Search/Filters

10 目前:單一本機群組原則 (LGPO) LGPO主要使用在: 可是客戶需要更彈性的使用方式: 沒有 AD 的環境
共用的特定電腦 (kiosks, “task stations”, etc.) 可是客戶需要更彈性的使用方式: 管理員需要跟一般使用者不同的工作環境設定 目前很難處理!!

11 Windows Vista: 多重 LGPOs
LGPO 與 AD GPO 套用順序與優先權沒有變動 (AD GPOs 依然有較高套用權) LGPOs 可以建立在: The machine NEW: Admin or non-Admin local groups NEW: Individual local users 套用順序依舊!(machine LGPO 先處理……) 個別使用者的 GPO “wins” 單一使用者依然會套用相關群組的LGPO (Admins or the Non-Admins, not both) 新的原則設定:排除(Exclude)使用所有的 LGPOs

12 Multiple Local GPOs

13 目前:網路連線狀態偵測 原則套用會有網路連線的狀態問題: 慢速連線狀態偵測錯誤: VPN 連線 筆記型電腦從休眠/待命狀態回復時
ICMP Ping 在路由器上被關閉時 高速頻寬/回應時間出問題時

14 Windows Vista:網路連線狀態偵測
對網路狀態變動偵測更敏銳 不再只是單純的以時間表來做分隔(“90 minutes or so”) 如果上一次的套用有問題,群組原則會在網路恢復正常(可連結到DC時)就進行重試 NLA v2.0的使用 (Network Location Awareness) Group Policy 開始使用 DC 可使用性通知機制(DC availability notification) 不再依靠 ICMP (no more Ping!) 透過NLA來提供更好的網路連線頻寬狀態的決定方式 注意:網路隔絕(Network quarantine)方式需要更進階的設定

15 目前:群組原則的問題診斷 並不明顯的錯誤訊息 Userenv.log 不同的群組原則設定會有不同的報告記錄格式,甚至擺在不同的位置
沒有提供一致的問題診斷或解決資訊 錯誤事件的協助超連結會有問題 沒有相關解決措施的提供 Userenv.log 大部分人不清楚有這個選項可使用 格式對IT管理員來說並不夠友善 不同的群組原則設定會有不同的報告記錄格式,甚至擺在不同的位置 沒有集中的資料收集處理方式

16 Enabling Userenv logging in Windows 2000, Windows Server™ 2003, and Windows XP
Add or modify existing registry key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\NT\CurrentVersion\Winlogon Value: UserEnvDebugLevel Value Type: REG_DWORD Value Data: (hexadecimal) File is written to: %SystemRoot%\Debug\UserMode\Userenv.log KB835302

17 Windows Vista: 群組原則紀錄的改善(I)
新的更明顯直接的事件管理使用 XML架構的事件記錄 支援更詳細的應用程式分類 透過訂閱(Subscription)來簡化管理 可以附加觸發動作到特定事件 (send , execute script/Microsoft Windows Management Instrumentation (WMI) jobs) 兩個不同等級的紀錄 Admin events Operational events

18 Windows Vista: 群組原則紀錄的改善(II)
Admin events Actionable set of events in “系統”紀錄的相關部分 (source = ‘Group Policy Service’ not ‘Userenv’) 可連結 Microsoft Web site 來取得更多相關資訊 Operational events Step-by-step 原則處理事件,位於”Group Policy” 應用程式紀錄 用來取代 Userenv.log 單一原則更新處理過程會記錄到單一事件 ID 來群組所有事件 提供有用的資訊,如Username, GPO 清單, 原則套用的參數(total time, individual extension processing time, etc.)

19 改善的事件記錄與錯誤回報

20 Why ADMX? ADM檔案的挑戰: ADMX 的好處 不支援多國語系環境 Sysvol 體積膨脹 (4Mb+ per GPO)
有些不清楚且有限制的語法 ADMX 的好處 內建多國語系支援 (與 ADML 檔案關聯) 改善的檔案儲存方式 (可擺放本機或集中位置) 更彈性的語法方式 (XML-based)

21 ADMX 的集中存放 預設為非集中存放 建立與使用集中存放 ADMX 擺放本機(位於GPMC或GPEdit管理時的電腦)
全網域的存放位置 – [sysvol]\policies\policydefinitions 一個簡單步驟即可完成 啟用後, Windows Vista GPMC/GPEdit 開始使用集中存放的 ADMX 檔案 (並且忽略本機位置的)

22 Windows Vista 共存使用情形 (ADMX/ADM 並存)
Windows Vista 未包含任何的 ADM 檔 (ADMX 檔已涵蓋原來的 ADM 檔) ADMX and ADM files 可以同時共存使用 用“新增/移除範本”來新增 ADM 檔(非 ADMX 檔). Note: No plan to ship ADM to ADMX conversion tool

23 ADMX vs. ADM √ X √ (配合ADML檔案) 本機 ADMX ADM 複製到 GPO ADM Only 版本序號 時間戳記
Behavior ADMX (Windows Vista and later) ADM (Windows 2000, Windows Server 2003 and Windows XP) 管理 Windows 2000, Windows Server 2003, Windows XP 管理 Windows Vista, Windows Server “Longhorn” X 多國語系支援 √ (配合ADML檔案) 結合自訂 ADM 檔 預設檔案位置 本機 ADMX ADM 複製到 GPO 使用集中存放 避免GPO檔案的重覆(Sysvol膨脹) 新增/移除範本 ADM Only 檔案的比較 版本序號 時間戳記

24 講題大綱 群組原則的使用情形 Windows Vista的群組原則 新功能 原則的組合使用

25 群組原則設定的組合 目前有1,800+ 原則設定,Windows Vista將超過 2,400 Some examples:
作業系統功能的大量支援 群組原則是Windows平台管理的基礎 Some examples: Removable Storage Devices IPSec / Windows Firewall Power Management Printer Management Troubleshooting & Diagnostics Windows Defender Network Access Protection Internet Explorer Tablet PC Windows Error Reporting User Account Control Wired and Wireless Policy Desktop Shell Globalization Remote Assistance

26 電源管理原則 透過電源管理原則來控管企業的能源支出 進階電源管理 預設電源設定
Windows Vista 包含的進階電源管理功能 可以 per-user and per-machine 來設定 支援所有的電源管理設定功能 當無使用者登入時,有獨立的電源管理計畫 預設系統的電源管理設定 “Sleep”是預設的系統設定行為 系統”Sleep”的時間計數是啟用的 螢幕關閉時間計數是啟用的 進階電源管理 預設電源設定

27 卸除式存放裝置的管理 各種小型儲存裝置可能是安全的問題考量 風險 我們的客戶要更細、更嚴謹的管理 USB storage devices
MP3 players CD/DVD burners 風險 攜入危險的資料 (Spyware, Virus) 敏感資訊被攜出 (業務資料、產品開發設計、商業策略等等) 我們的客戶要更細、更嚴謹的管理

28 卸除式存放裝置原則設定 Removable storage device Policy Settings
可依“電腦”或“使用者”來分別設定原則控管,管理可依“read”或“write”來處理 卸除式存放裝置分類 CD/DVD Tapes USB plug-in devices Windows Portable Devices (WPD) All other external removable storage devices

29 電源管理原則 卸除式存放裝置原則

30 使用者帳戶控制 User Account Control
預設,包含管理員帳號在內,系統一律視為標準使用者 管理員只有在進行管理工作或應用程式處理時才使用完整的權限 在進行權限提升時, 使用者必須進行確認動作 使用者進行需特殊權限的 工作時必須提昇到管理員 帳戶身分

31 使用者帳戶控制原則設定 User Account Control Policy setting
以電腦來設定: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options 使用者帳戶控制原則設定式控制 “UAC”的使用行為

32 Windows Firewall 與 IPSec
指定允許的應用程式與連接埠 只有具安全連結時才允許連線 只有特定的AD群組才允許連線 更智慧的功能 強迫隔離的設定 限制只允許加入網域的電腦進行網路資源存取 簡化的管理 在單一主控台來一致性的管理設定 常用連線情境的順暢設定

33 更多安全相關原則設定 Windows Defender Wireless and Wired Configuration
Network Access Protection Public Key Policy Configuration Integrated IE 7.0 Policy Settings Version 7.0 Device Installation control

34 桌面環境管理 印表機管理 Internet Explorer Windows Components 部署印表機設定給電腦或使用者
定義信任的印表機驅動程式,避免安裝出問題 委派印表機安裝權限 Internet Explorer 將Internet Explorer Maintenance大部份設定轉為登錄檔方式設定 (.admx/.adml) Windows Components MMC Backup Task Scheduler Tablet PC……

35 New Policy Settings

36 Windows LongHorn Server Comments and Templates
Enabled per-GPO and per-setting Free-form text - helpful for simple annotation of administrative intent Templates Contain recommended policy settings and values Supports the encapsulation of best practices / scenarios Will ship some initial scenario-based templates but anyone can create and share custom templates GPMC provides “template management” support

37 Windows LongHorn Server Search/Filters
Filter/Search By: Text search of setting title, explain text and comments Platform and application “supported” tag Managed (“true policy setting”) Configured (Enabled/Disabled) Commented Results of search is a filtered GPedit view

38 講題總結 Windows Vista的群組原則 新功能 原則的組合使用

39 For More Information… TechNet Windows Vista
Windows Vista Windows Vista: Resources for IT Professional MVP Community社群網站

40 Resources What’s new in GP in Windows Vista
New categories of Policy settings Managing the new ADMX files: A step by step guide

41


Download ppt "Windows Vista 群組原則新增功能"

Similar presentations


Ads by Google