一篇對新版windows 2008 AD GPO有很好的說明,以下是節錄,原文共有10幾頁,原文請參考上方hyper link
用群組原則輕鬆管理使用者電腦 | |||
| |||
群組原則是AD中最重要的功能之一,也是Windows Server平臺相當重要的一項管理機制,然而,仍有許多人並不了解這個功能究竟有多實用。 | |||
群組原則是AD中最重要的功能之一,也是Windows Server平臺相當重要的一項管理機制,然而,仍有許多人並不了解這個功能究竟有多實用。因此,我們接下來將製作一系列的群組原則專題報導,並邀請分屬於不同領域的專家,示範如何用群組原則來減少IT人的電腦管理負擔。 Server 2008大幅強化群組原則 群組原則的強化上,Server 2008比先前的版本新增300多條,並包含許多簡化管理和除錯的功能 用工具協助檢查原則套用記錄 如果這些檢查都不能發現問題,最後就必須利用輔助工具來檢視個人端電腦的狀態。 群組原則管理範本檔案的改進 Windows Server 2008,微軟將原本群組原則使用的範本檔案,從ADM格式轉換為ADMX格式,IT人員只要利用XML語法,就可以輕易修改或新增自行定義的群組原則 避免使用者取得管理員權限 要解決這種問題,可以從變更本機管理員帳號名稱和密碼,和將管理員群組加入受限群組原則,限制群組成員名單來著手 強制電腦休眠,幫公司省電 一般企業較常用的電源設定選項群組原則,除了電源計畫外,還有「指定系統休眠逾時」、「關閉硬碟電源」或「關閉顯示器 讓死板的群組原則限制,變得更有彈性 微軟在Windows Server 2008中加入了「群組原則喜好設定(Group Policy Preference)」,IT人員可以藉由這項功能來設定使用者電腦的網路磁碟機、排程工作、電源選項開始功能表設定等項目 禁止使用未經BitLocker加密的隨身碟 微軟在Windows Vista及Server 2008中新增的磁碟加密工具「BitLocker」,到了Windows 7又進一步改進新增BitLocker To Go功能,並開始支援外接磁碟機或隨身碟 用進階安全性防火牆阻擋非法的連線 在具有進階安全性的Windows防火牆中,包含了網域、私人及公用等3種網路位置類型,分別對應使用者所在的網路環境 建立固定的IE瀏覽器使用環境 在數以百計的IE群組原則中,企業較需要的功能為IE的安全性、隱私權或網路設定等。如果是公用電腦,用群組原則來限制IE的部分功能就顯得更為重要 針對特定的使用者,設定密碼例外原則 Server 2008的AD網域服務(DS)提供了「更細緻的密碼原則(Fine-Grained Password Policy)」,讓IT人員可以在單一網域內指定多個密碼原則 |
沒有留言:
張貼留言