主持人和专家介绍
Guide_Wendy_MS : 大家下午好!
Guide_Wendy_MS : 欢迎大家来参加今天的微软技术聊天。
Guide_Wendy_MS : 今天的话题是"企业集中管理方法:组策略的操作"
Guide_Wendy_MS : 主持人是王希MVP。
Guide_Wendy_MS : 欢迎王希!
Guide_Wendy_MS : 今天的时间是两点到三点。稍后,四点到五点还有一个关于Win2000的聊天话题,欢迎大家继续参加。
Guide_Wendy_MS : 下面就请大家继续踊跃提问吧。
wangxi_mvp : 谢谢大家的参与,请尽量提问,相关的问题我会尽量回答!
wangxi_mvp : 有问题不方便直接提出的,可以发到alric@winmag.com.cn我的邮箱。
来宾提问 Q 和专家解答 A
[Q] 我想问问MICROSOFT这次上课有没有图像可以看啊?
[A] 哪次上课?
[A] Tech ED有光盘,不过这次问答没有图像的。
[Q] 开始前给我先介绍一下什么是组策略可以吗?我对组的概念不是很懂。
[A] 组策略功能上类似nt4的系统策略,只是更强大。
[A] 简单来说,是通过做一次设定,影响一批对象(用户、计算机)。
[Q] 比如说,不许去哪个网站,不许访问某些程序吗?
[A] 可以控制一部分行为,但不能控制所有的,比如可以访问哪些网站之类的,需要使用防火墙,比如ISA来做到。
[Q] 还有就是想问一下:如果我希望给所有人都装同样的一个软件是不是可以不在每个机器上都设置一遍?
[A] 是这样的,可以通过组策略直接分发,但是要求客户端系统必须在win2k或者以上。
[Q] 如果是WIN98就不行了吧.因为现在台里的我这个部门大多数还是WIN98呢!
[A] 98不能直接通过组策略分发,但是可以用过脚本或者sms做到。
[A] 另外,可以在微软网站下载98的zak-- zero administratio.n kit,可以实现一部分98的集中管理工作。
[Q] 请问管理98有类似组策略这种方式么?
[A] 98加入nt4的domain后可以通过系统策略进行管理。
[A] 只是功能上要比组策略弱很多。
[Q] 听人说组策略实际是对注册表的管理,是这样么?
[A] 并不完全是这样,组策略中有超过半数的策略针对注册表,其实还优很多策略和注册表没有关系。
[A] 比如应用程序分发等。
[A] 组策略中administrative template下面的策略都是关于注册表的。
[Q] 请问组策略修改后,如何在客户端立即刷新组策略?
[A] 可以用secedit /refreshpolicy machine_policy。
[A] 或者 aecedit /refreshpolicy user_policy。
[A] 如果是xp的客户端,可以用gpupdate命令。
[A] 不过这种刷新方法有些策略设定无法刷新,比如软件分发的策略。
[Q] 能否介绍一篇文章?
[A] 推荐去www.fullarmor.com上面有关于组策略的文章,很好的。
[Q] 什么是组策略?
[A] 简单来说,就是通过做一次设定,影响一批对象,类似nt的系统策略?
[Q] 有中文的组策略的操作文章吗?
[A] 我看过的关于组策略的文章中,最好的还是fullarmor的,其他的中文的主要看微软的白皮书了。
[Q] 事件类型: 错误 事件来源: Userenv 事件种类: 无 事件 ID: 1000 日期: 2002-9-27 事件: 14:05:44 用户: NT AUTHORITY\SYSTEM 计算机: MOZART 描述: 给组策略客户端扩展名 Security 传递了标志(17),并返回了失败状态代码 (3)。
[A] 你可以查查支持工具中带的事件帮助或者微软网站。
[Q] 对了,我问一下,有没有错误代码的中文解释的网站啊?
[A] 我了解到的最好的还是英文的网站。
[Q] 我看还是让王老师来讲吧,讲些好处和我们不知道的,讲一些他认为比较有用的功能吧!
[A] 组策略的设定是很多的,xp中已经增加到700多个,可以涉及到方方面面。
[A] 比如软件分发,设置文件系统的安全,IPsec,IE的设定,等等。
[A] 还有对客户端的设置。
[Q] 组策略太复杂了,用好还不容易,能否讲讲一般企业中设置的安全组策略方法?
[A] 对!组策略功能太强大,机制也比较复杂,在2k里面管理起来并不算太方便。
[A] 可以用RSoP进行排错和规划,用即将推出的gpmc进行管理工作。
[Q] rsop是什麽?
[A] windowsxp和.NET中的一个新工具,--组策略结果集,可以对组策略的最终结果进行诊断和模拟。
[Q] 域策略是否优先本地策略?
[A] 是的,组策略的执行顺序是LSDOU,优先级正好相反,除非做了其他设置。
[Q] 我的一个部门的小域里有40多台机器,什么系统都有,现在主PDC是NT4的现在想新做个WIN2000的域,怎么个搞法?从什么地方下手?
[A] 你打算升级呢还是重新做一个win2k的domian?
[Q] 请问,经常有一些人在把WIN2K升级成为域控制器以后,登录的时候就出现 不能交互登录 的提示是怎么回事?
[A] 升级后,该计算机是dc,普通用户在dc上没有本地登陆权限的。
[Q] 除非做了其他设置 的意思是?
[A] 比如做了no override或者block,那么优先级可能就会有变化。
[Q] 再请问 DC 是什么意思
[A] ac-域控制器,普通用户是不能在dc上登陆的。
[Q] gpmc什么时候出来,集成在什么软件上?
[A] 这个工具我在北京teched上演示了的,会在windows.NET出来后推出,还会推出单独下载版本。
[A] 很多win2k下组策略的管理问题,通过它都可以轻松解决。
[Q] AC是域控制器,那DC是不是就是指本地?
[A] 刚才我的输入显示有些不正常, dc--domain controller指的是域控制器。
[Q] 那我在Active Directory 用户和计算机中添加了一个用户,但还是出现同样的故障!
[A] 默认新建的用户是domian user,没有dc上的登陆权力,可以通过组策略赋予,我说说怎么做:
[A] 在domain controller的ou上,设置计算机策略,在其中的用户权力设定中设置logon locally权力,给予该用户权力。
[Q] 请问windows.NET什么时候出来,单独的gpmc可以用在windows2000 server吗?gpmc的全称是?
[A] gpmc:group policy management console组策略管理控制台,可以用来管理win2k或者.NET的domian,但是必须运行在xp或者.NET server上。
[A] 也就是说要用这个工具,domain中至少要有一台xp或者.NET server。
[Q] 那我是不是只要把这个用户加入到Domain Users组中就行了呢
[A] 默认他就是属于这个组的,而这个组没有在dc上的本地登陆权力,要额外赋予他。
[A] 如果你只是做实验,而不是在生产环境中,简单的把他加入备份管理员组就行了。
[Q] 要赋给什么样的权限才行?
[A] 要有logon locally 的权力,在刚才说的组策略中指派。
[Q] 要运行gpmc, xp必须是dc吗?
[A] 要xp pro,还要打最新的hotfix,xp不能成为dc的。
[Q] 在一个别的NT4域中的用户是不是也可以来 LOGIN win2000的新建立的域啊?
[A] 其实登陆到哪里,取决于你的帐号在哪个域。
[Q] 我想问,可不可以装两台mail服務器。一台用來工作,一台用來同步,但我实现不了,不知为什么。
[A] 可以考虑用cluster。
[Q] cluster是什么?
[A] 集群。
[Q] 这个如何通过Group Policy来实现?
[A] 这个组策略是做不到的,要用win2k advanced server来做。
[Q] cluster是可以实现的,大不了再使用application center来管理,请问wangxi,不通过cluster,只通过Group policy可以实现你说的功能吗?
[A] 单纯通过组策略是做不到这一点的。
[Q] 那么我想我们就不必在这里讨论cluster的问题,因为tppic是Group Policy或者叫GPO。
[A] 谢谢!!
[Q] 虽然GPO很强大,但是真正实施起来会很麻烦,不知道你是如何看待这个问题?
[A] 可否提出一些问题? 如果用rsop和gpmc会好很多。
[Q] rsop全称是什么?
[A] resultant set of policy 组策略结果集。
[Q] 虽然微软的解决方案(主要是针对域结构,来进行策略的分发)很好,也很全面,我也做过很多的实验,但是总的感觉目前在国内,最起码是在大多数的企业或者公司中应用的并不是很多,微软有没有什么具体的方法来推动GPO在实际中的应用?
[A] 我个人感觉,这样做的原因还是微软觉得功能上的强大和灵活对大企业更需要。
[Q] rsop也是windows.NET的内置功能吗?
[A] xp pro里面已经有这个工具有,但是已有部分功能(logging mode)。
[Q] GPO能否阻止员工随便安装软件或运行程序?
[A] 你的公司是做的domain?
[A] 一般用户在domain里面连安装的权限也没有的。
[Q] 我这里的人水平也很低,还乱装软件。
[A] 技术不是万能的,还要公司,领导,各个方面了解到集中管理,或者说这些新技术带来便利的同时肯定也会带来一些不适。
[Q] 没办法,只能将规定嵌入系统内,强制执行。
[A] 我决定技术是为了解决实际问题,主要在国内很多地方没有太强的管理需要,或者不认为集中管理是必要的。
[Q] 请问windows2000 pro 加入域后,domain admin自动加到w2k pro的local admin组里了,是否是组策略的效果还是windows2000域自动加的?
[A] pro加入domain的时候就会这样,这样domian admin才能有选先管理客户端。
[Q] wangxi,前两天有一个客户说xp加入domain的时候会有问题,我没有试验环境,你遇没有遇到过?
[A] 加入我还没有遇见问题,不过确实xp在win2k的地面里面有些支持不好,不如帐号策略
时间快到了。
[Q] alric@winmag.com.cn ?您不是MS的吗?
[A] 我不是的,是mvp。
结束语
Guide_Wendy_MS : 大家好,这一个小时的聊天时间马上要到了。在稍后的四点到五点,还有一个小时关于windows 2000的话题,欢迎大家参加。
Guide_Wendy_MS : 谢谢王希!
wangxi_mvp : 谢谢大家!
Guide_Wendy_MS : 谢谢王希。今天的聊天就到这里了,如果大家还有更多的问题的话,欢迎到微软中文新闻组讨论。
Guide_Wendy_MS : 服务器是msnews.microsoft.com。
Guide_Wendy_MS : 谢谢王希,大家再见!
wangxi_mvp : thanks 下线了,多联系!
wangxi_mvp : 再见!