WCI組策略方案在WindowsVista中新特性

1、WCI組策略方案在WindowsVista中新特性今天的組策略現(xiàn)狀Windows Vista 中的組策略全新的功能更多被使用的策略集議程WCI組策略方案在WindowsVista中新特性今天的組策略現(xiàn)狀被廣泛的應(yīng)用在中大型企業(yè)組策路的應(yīng)用情況:超過90%的大型企業(yè)和組織采用組策路超過60%的中小企業(yè)采用組策管理企業(yè)環(huán)境策略的覆蓋面非常大超過1800項(xiàng)的策略設(shè)置比如在安全方面或者IE等方面都有很多的策略WCI組策略方案在WindowsVista中新特性ADM & Sysvol bloat AD Policy TargetingPolicy TroubleshootingPolicy Enforc

2、ementPolicy DefinitionGPO Management and Operations (GPMC/GPEdit)Group Policy Object (GPO) 基礎(chǔ)結(jié)構(gòu): 客戶的痛Difficult to locate settingsLack of best practice knowledgeError messagesComplicated diagnostic log (Userenv)Ping issues, VPN scenariosNon-AD scenariosWhat and where is GPMC?Change management, auditi

3、ng and workflowWCI組策略方案在WindowsVista中新特性類別關(guān)鍵特性和增強(qiáng) 可控策略從1,800 到3,000條 增加策略針對Windows Vista的新特性 主要區(qū)域的改進(jìn)擴(kuò)展 更安全可靠的基礎(chǔ)結(jié)構(gòu) 全新的網(wǎng)絡(luò)感知技術(shù) 支持多本地策略 組策略多語言支持 GPMC的集成 更強(qiáng)大的模版支持 sysvol bloat 的解決方案 搜索/分類/過濾/模板應(yīng)用組詞策略可靠性和性能易用性Windows Vista 中組策略的改變更多的設(shè)置, 更可靠, 容易使用WCI組策略方案在WindowsVista中新特性議程今天的組策略現(xiàn)狀Windows Vista 中的組策略全新的功能更

4、多使用的策略集WCI組策略方案在WindowsVista中新特性Group Policy Client Service可靠性 Windows Vista的基礎(chǔ)在從前組策略進(jìn)程是通過Winlogon進(jìn)程實(shí)現(xiàn)的在Vista中組策略的引擎是運(yùn)行在一個(gè)共享的服務(wù)主機(jī) 增強(qiáng)的服務(wù)管理員也需要通過權(quán)限提升才能停止服務(wù) 在遇到不可預(yù)料的情況下，服務(wù)將重新啟動(dòng)第三方客戶端的支持WCI組策略方案在WindowsVista中新特性GPMC 集成GPMC推出已經(jīng)三年為什么要集成GPMC到系統(tǒng)中？ The perception is:GPMC是一個(gè)很有用的小工具集嗎？非常正確，但它不是操作系統(tǒng)的一部分什么是GPMC不

5、在需要下載/安裝，它將默認(rèn)集成到Windows Vista &Longhorn Server中。WCI組策略方案在WindowsVista中新特性單一的本地安全策略本地安全策略主要被應(yīng)用在:沒有活動(dòng)目錄的情況下共享計(jì)算機(jī) (比如：展臺)客戶需要更加有效的安全策略比如：管理員和普通用戶應(yīng)該有不同策略設(shè)置沒有目的的策略應(yīng)用WCI組策略方案在WindowsVista中新特性Windows Vista：多本地安全策略域組策略的優(yōu)先級依然高于本地安全策略本地策略可以應(yīng)用到:計(jì)算機(jī) 新: 管理員或者管理員組新: 單獨(dú)的本地用戶應(yīng)用的順序是最后應(yīng)用的生效一個(gè)用戶只能接收一種策略（針對管理員或針對非管理員）新

6、的策略設(shè)置: Exclude processing of all local GPOsWCI組策略方案在WindowsVista中新特性Multiple Local GPOsWCI組策略方案在WindowsVista中新特性今天: 網(wǎng)絡(luò)感知策略的應(yīng)用不是網(wǎng)絡(luò)敏感的，比如:VPN 會(huì)話筆記本待機(jī)/休眠慢速連接檢測錯(cuò)誤ICMP Ping數(shù)據(jù)包不能通過路由器帶寬高延遲很高的場合WCI組策略方案在WindowsVista中新特性Windows Vista: 網(wǎng)絡(luò)感知適應(yīng)網(wǎng)絡(luò)改變策略應(yīng)用不再局限在90分鐘如果從前應(yīng)用的策略出現(xiàn)問題，而沒能成功應(yīng)用，網(wǎng)絡(luò)感知將在下一次網(wǎng)絡(luò)可用時(shí)自動(dòng)應(yīng)用網(wǎng)絡(luò)感知應(yīng)用組策路可

7、以訂閱服務(wù)器邊的改變不再依靠ICMP (沒有更多的ping!)準(zhǔn)確的帶寬檢測WCI組策略方案在WindowsVista中新特性今天: 組策略故障排除含糊的錯(cuò)誤消息不一致的排錯(cuò)和解決信息錯(cuò)誤幫助連接部可用 難以識別許多用戶不清楚這個(gè)選項(xiàng)界面不友好每個(gè)組策略擴(kuò)展都有不同的模版和不同的日志位置不支持事件合并WCI組策略方案在WindowsVista中新特性Windows Vista: 組策略日志增強(qiáng)新的 Crimson 事件管理特性基于XML的事件日志支持應(yīng)用程序 channels使用 Subscription實(shí)現(xiàn)事件合并支持事件觸發(fā)器兩個(gè)不同的日志級別Admin eventsOperational

8、 eventsWCI組策略方案在WindowsVista中新特性Windows Vista: 組策略增強(qiáng)Admin eventsActionable set of events in System log (source = Group Policy Service not Userenv)Linked to Microsoft Web site with more information including troubleshooting steps, related KBs Operational eventsStep-by-step policy processing events in

9、 Group Policy Application channelUnique Activity ID enables grouping of events occurring in a single policy refreshProvides valuable data like Username, GPO list, policy processing metrics (total time, individual extension processing time, etc.)WCI組策略方案在WindowsVista中新特性Why ADMX Files?ADM文件的挑戰(zhàn)不支持多語言環(huán)

10、境Sysvol的膨脹(4Mb+ per GPO）難以理解和使用的語法ADMX 文件的優(yōu)點(diǎn)內(nèi)建多言支持通過集中存儲，解決Sysvol膨脹的問題支持集中存儲或本地存儲更多的擴(kuò)展語言支持WCI組策略方案在WindowsVista中新特性* Current plan is to make available in this timeframe will NOT require Windows Server “Longhorn” ADMX 中心存儲默認(rèn)是不啟用中心存儲的管理員可以使用GPMC/GPEdit來編輯本地的ADMX啟用中心存儲在域中ADMX的存儲位置是 sysvolpoliciespolicy

11、definitions一次性創(chuàng)建中心存儲Windows Vista: 通過 Internet Explorer Windows Server “Longhorn” Timeframe*: Additional tools最后，管理員可以使用Windows Vista 中的GPMC/GPEdit 工具管理中心存儲的ADMX files (忽略本地存儲)WCI組策略方案在WindowsVista中新特性ADMX/ADM 共存Windows Vista 不會(huì)裝載任何的ADM文件ADMX和ADM文件可以并存，可以通過添加刪除模版來添加ADM文件提示：沒有計(jì)劃推出從ADM到ADMX的裝換工具WCI組策略

12、方案在WindowsVista中新特性BehaviorADMX(Windows Vista and later)ADM(Windows 2000, Windows Server 2003 and Windows XP)Can Manage Windows 2000, Windows Server 2003, Windows XPCan Manage Windows Vista, Longhorn ServerXMultilingual Support (ADML Files)XCan Consume Custom ADM FilesDefault Location of FilesADMX f

13、iles read locallyADM files copied to GPOCan Use Central StoreXAvoids Duplicated Files in the GPO (Sysvol Bloat)XOption to Add GPO-Specific Files (Add/Remove Templates)ADM Files OnlyADM Files OnlyVersion NumbersTimestampADM 和 ADMX 文件 對比WCI組策略方案在WindowsVista中新特性議程今天的組策略現(xiàn)狀Windows Vista 中的組策略全新的功能更多使用的策

14、略集WCI組策略方案在WindowsVista中新特性Removable Storage DevicesIPSec / Windows FirewallPower ManagementPrinter ManagementTroubleshooting & DiagnosticsWindows DefenderNetwork Access ProtectionInternet ExplorerTablet PCWindows Error ReportingUser Account ControlWired and Wireless PolicyDesktop ShellGlobalization

15、Remote Assistance新的、更合理的策路設(shè)置更多的策略且實(shí)用的策略。WCI組策略方案在WindowsVista中新特性Power Management Can Lower Operational Costs(1)Energy management features (sleep and display blanking) translate into savingsCompare system on 24x365 with one with energy saving features enabledDisplay blanking alone17” LCD up to $17/m

16、onitor per year17” CRT up to $31/monitor per yearSystem sleep and display blanking togetherUp to $63/system per yearSavings Multiply with Group Policy Management of Energy FeaturesAssume $63 system idle and display blanking savings per PC1 PC $631,000 PCs $63,00010,000 PCs $630,000Other valueHeating

17、 / cooling savings (HVAC)Reduction in environmental impactInstant Cost Savings With Power Management Policy SettingsWCI組策略方案在WindowsVista中新特性電源管理通過組策略控制電源管理為企業(yè)節(jié)省電源開銷Windows Vista 包括全面的電源管理針對不同用戶的電源設(shè)置通過組策略完全控制Separate power plan for when no user is logged into the system默認(rèn)在所有的PC上啟用省電模式Sleep作為默認(rèn)的“關(guān)機(jī)”動(dòng)

18、作支持系統(tǒng)Sleep空閑時(shí)間支持關(guān)閉顯示器空閑時(shí)間全面的電源管理默認(rèn)省電模式WCI組策略方案在WindowsVista中新特性移動(dòng)存儲設(shè)備導(dǎo)致的問題數(shù)據(jù)保護(hù)USB設(shè)備MP3 播放器CD/DVD 刻錄攻擊:惡意軟件與病毒主要數(shù)據(jù)泄露 (銷售數(shù)據(jù)，產(chǎn)品計(jì)劃和價(jià)格等）客戶非常想對移動(dòng)設(shè)備進(jìn)行控制WCI組策略方案在WindowsVista中新特性移動(dòng)設(shè)備控制控制設(shè)備的讀寫權(quán)限移動(dòng)設(shè)備類別CD/DVDTapesUSB plug-in devicesWindows Portable Devices (WPD)All other external removable storage devicesOnly

19、computer settings are applicable on Terminal ServerWCI組策略方案在WindowsVista中新特性了解 = UAC = LUA = UAP!默認(rèn)情況下，任何用戶將運(yùn)行在標(biāo)準(zhǔn)用戶下Administrator始終有全部的管理權(quán)限針對管理員使用贊成模式標(biāo)準(zhǔn)用戶使用全新的權(quán)限提升方式工作用戶賬號控制WCI組策略方案在WindowsVista中新特性用戶賬號訪問策略用戶賬號策略位置: Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options管理UAC的用戶體驗(yàn)權(quán)限提升行為 (沒有提示, 贊成模式, 權(quán)限提升)應(yīng)用程序安裝提示通過支持Virtualizes file和registry 寫入失敗的支持，減少應(yīng)用程序兼容的問題 WCI組策略方案在WindowsVista中新特性User Account ContralWCI組策略方案在WindowsVista中新特性Windows 防火墻和IPsec單點(diǎn)、統(tǒng)一