几乎每个企业都有一个标准化配置来设置新电脑,它常常在镜像文件中建立并据此部署。虽然这个方法有效,企业的标准配置却随时间变化。 一些组策略的设置可以帮助我们将标准化的配置部署到每台计算机上,因为这样可以让变动部分以统一的方式实施,确保每台计算机运行的都是当前的标准配置。 基于镜像配置的弊端 部署计算机时,一般做法是:管理员先在一台计算机上安装Windows操作系统,然后对系统进行手工微调。
接着使用SYSPREP去除这台计算机在操作系统中的私有信息(如SID或计算机名),最后将这台计算机的硬驱制成镜像并部署到其它计算机。 第一次启动镜像时,Windows运行一个包括基本配置问题(这……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
几乎每个企业都有一个标准化配置来设置新电脑,它常常在镜像文件中建立并据此部署。虽然这个方法有效,企业的标准配置却随时间变化。
一些组策略的设置可以帮助我们将标准化的配置部署到每台计算机上,因为这样可以让变动部分以统一的方式实施,确保每台计算机运行的都是当前的标准配置。
基于镜像配置的弊端
部署计算机时,一般做法是:管理员先在一台计算机上安装Windows操作系统,然后对系统进行手工微调。接着使用SYSPREP去除这台计算机在操作系统中的私有信息(如SID或计算机名),最后将这台计算机的硬驱制成镜像并部署到其它计算机。
第一次启动镜像时,Windows运行一个包括基本配置问题(这是因为镜像是通用的)的小型安装。为Windows提供一个应答文件有可能省去这个过程。但是,请记住,应答文件通常都用于自动安装过程,且假设我们在镜像文件中已经做好了自定义设置,问题就隐藏在这里。
Windows提供了几百个不同的设置选项让我们配置。虽然其中一些设置是全局性的,另一些则是针对用户的,适用于用户配置文件级别。
例如,在使用镜像部署一台计算机前,你更改了电源管理设置并禁用了Windows Vista的侧边栏。然后,你用Sysprep标准化机器,创建一个镜像并将它部署到另一台计算机。用户第一次登录到该计算机时,自定义的电源管理设置仍然有效,但在默认情况下,Windows侧边栏会被启用。这是因为Windows侧边栏的配置基于用户配置文件级别。新用户第一次登录时会创建一个新的配置文件,这个新的配置文件应用了Windows的默认设置。
还有一个基于镜像配置的问题是,标准配置会随着时间变化:现在的配置和一年前的配置很可能完全不同。
正因为如此,应该在运行Sysprep之前尽量避免对计算机进行手动配置。相反地,我们应该更多地使用计算机的本地安全策略来进行配置。
使用本地安全策略
我发现很多管理员很少使用本地安全策略,因为当用户登入网络时它的配置会被覆盖。但不管怎样,本地安全策略还是有它的用处。
对于初学者来说,组策略(包括本地安全策略)几乎可以实现Windows所有方面的自定义。例如,微软提供管理模板来自定义Office的设置。
具体来说,本地安全策略的目的是保护没有接入网络的计算机。因此,即使用户登录到本地,创建一个本地安全策略也可以确保它是标准的配置。
当然,本地安全策略只是针对计算机本身的配置,无法集中管理。随着时间变化,你的计算机本地安全策略的配置最终还是会过时。
幸运的是,组策略是层次化的结构。基于网络层面的组策略对象(GPO)可以提供跟本地安全策略相同的设置,且在它们之间有冲突时,本地安全政策的优先级是最低的。这意味着,如果一个策略的设置过时了,我们可以从网络层面的组策略上更新设置,它就可以覆盖本地安全策略的设置。
所有这些都让我们不得不提出一个很重要的问题:如果本地安全策略在登入网络时会被网络上的组策略覆盖,为什么还要费心地去用它们,况且它们最终还是会过时?
当你的标准配置发生变化时,在一个特定的时间内只是会有少数的设置发生改变,一个企业在一夜之间改变所有组策略设置的情况非常罕见。
考虑到这一点,我们假设一台计算机有一个过时的本地安全策略,而网络层面的组策略保持最新。如果有人在本地登录,本地安全策略仍然会提供一定程度的保护,而且保持它安装时的标准配置。这通常比保持Windows的默认设置要好很多。
这样也会产生争论:既然手动设置加上Sysprep镜像的方式也可以达到相同目的,如果没有网络层面组策略的强制设置,手工设置仍然会有效,那为什么还要建立一个本地安全策略?
理由是本地安全策略可以在一个地方进行所有的设置。当Sysprep的镜像过时了,它需要更换,你可以只修改本地安全策略来匹配现在的标准配置,而不用在系统中的多个不同地方手动修改其设置。
总之,虽然可以手动配置Sysprep镜像,但是只要可能,最好还是通过组策略设置来实施配置的更改。
作者
Brien M. Posey,微软认证系统工程师,Windows 2000 Server 和 IIS方面最有价值专家。Brien曾任全国性连锁医院的CIO,负责过Fort Knox的网络安全。作为一名自由撰稿人,他为微软, CNET, ZDNet, TechTarget, MSD2D, Relevant Technologies 以及其他的科技公司写过稿。
翻译
相关推荐
-
跟上DevOps、微服务和混合云:网络需要自动化
网络正朝向基于软件的系统迅速发展,提供自动配置、改进的管理与安全性,以更好地支持DevOps风格的应用程序开发……
-
如何配置Windows服务器本地安全策略?
企业为新服务器配置本地安全策略非常重要,包括配置及启动服务器防火墙,停用所有不必要的系统服务,处理补丁管理以及阻止未经授权的访问等等。
-
Windows管理员如何学习组策略基础知识
组策略自出现以来并没有太多改变,但对于初学者来说却是一堵难以翻越的城墙。本文介绍如何学习使用组策略来管理用户和计算机。
-
初探Windows Server 2016用户组策略
虽然Windows Server 2016系统中用户组策略架构没有大的改变,但是该版本仍发布了一些独特的用户组策略功能。