科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理用群组原则轻松管理企业使用者电脑

用群组原则轻松管理企业使用者电脑

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

群组原则是AD中最重要的功能之一,也是Windows Server平台相当重要的一项管理机制,然而,仍有许多人并不了解这个功能究竟有多实用。

来源:eNet 2009年12月17日

关键字: 内网安全 企业安全

  • 评论
  • 分享微博
  • 分享邮件

  群组原则是AD中最重要的功能之一,也是Windows Server平台相当重要的一项管理机制,然而,仍有许多人并不了解这个功能究竟有多实用。

  Server 2008大幅强化群组原则

  由于使用人数众多,Windows操作系统衍生出来的管理问题,一直是企业感到最为头疼的麻烦之一,而想要精通Windows环境下的系统管理,就不能不了解群组原则这项内建在Windows Server中的工具。

  微软表示,在已经导入AD的大型企业中,90%以上都有使用群组原则,中小型企业的使用率也超过60%,但其中有很多企业仅是用来管理使用者帐号,事实上,群组原则的功能远不仅于此。是什么原因造成这么大的落差?综合这次7位来自企业、原厂和教育训练中心等不同领域专家的意见,他们一致认为IT人对群组原则的功能不够了解,或是既有版本的功能无法解决问题,是许多企业没有深入使用这项管理工具的主因。因此除了评估和采购第三方管理工具之外,企业如果想在目前的环境下,以最少的投资做好管理,就应该彻底了解,如何使用群组原则。

  善用管理工具,以简化群组原则设定流程

  微软从Windows 2000 Server时代开始加入群组原则管理功能,并整合了AD中的各项单元,管理能力比Windows NT中的系统工具强化许多,不过早期并没有一个统一的管理介面,管理人员只能使用本机群组原则编辑器(gpedit.msc)来个别设定。

  到了Server 2003,微软推出群组原则管理主控台(GPMC),让IT人员能在服务器端集中设定使用者电脑中的群组原则。GPMC适用于Windows XP及Server 2003,刚开始是属于个别下载单元,但后来已经直接整合在操作系统中,而在Server 2008,更是将GPMC和服务器管理员(Server Manager)合而为一,管理也更方便。

  在开始使用群组原则之前,必须要先了解它的运作原理。群组原则可分为域名和本机两种类型,前者必须搭配AD才能发挥功效,后者则可视为是单机设定和管理功能,所有具备本机管理员权限的使用者,都可以用本机群组原则编辑器来修改设定。

  至于域名的群组原则又可分为数个不同层级,分别是:站台(Site)、域名(Domain)、组织单位(OU),每一个层级都可以建立一或多个群组原则物件(GPO),而一个GPO也可以同时套用到不同层级。由于电脑或使用者都必然属于某一个站台或域名,因此连结至站台或域名的GPO,也必然会套用到隶属于其下的所有电脑或使用者。

  入门GPO的范本具备基本的安全性设定,IT人员在建立管理XP或Vista电脑的群组原则时,只要依安全性等级选择EC或SSLF原则,复制到OU中套用或修改即可,无需手动逐项设定。

  当使用者登入时,最先套用的是本机群组原则,接下来再依照站台、域名、组织单位的顺序套用,后套用的原则会覆盖先套用原则,所以当这些原则之间互相冲突时,会以组织单位的群组原则为最后套用的结果。

  有别于本机群组原则的管理工具,域名群组原则必须透过群组原则管理编辑器(Group Policy Management Editor,GPME)来设定,使用方式是在GPMC中,针对想要修改的GPO按右键选择”编辑”即可。

  如果依照功能来分类,群组原则主要包含软件设定、Windows设定,以及系统管理范本,其中最多人使用的帐号管理功能,就是属于Windows设定中的安全性设定,而系统管理范本也比较为人所熟知,它的每一项原则都分别对应一或多条的Windows登录密码。

  在XP与Server 2003时代,已经有超过1800条以上关于登录密码的设定原则,同时还有数百条其他原则,总计约有2千多项。在这些群组原则中,共包含Windows单元、系统、网络、打印机和安全性等类别,亦包含像是IE及远端安装服务等特定应用。举例来说,如果IT人员想要藉由远端桌面连线来管理使用者电脑,就可以利用群组原则强制开启员工电脑的远端连线功能,而不需要逐台至本机设定。

  虽然这些群组原则已经能让使用者自动套用符合公司政策的设定,而不需要IT人在使用者电脑间来回奔波,不过随着微软产品的不断改版,有许多功能靠旧版的群组原则已经无法管理,再加上群组原则的项目过多,Windows Server 2003缺乏有效的除错和检视工具,因此使用上仍有不少限制。

  到了Windows Server 2008 R2,微软新增包含了Windows 7新功能、IE 8,以及安全性强化等类别的3百多条群组原则,而可控制的原则总数也已经超过3千条。不仅如此,还一并强化先前版本较缺乏的管理、除错和搜寻等功能。像是之前并没有办法搜寻特定名称的群组原则,而在2008 R2中,管理人员只要开启群组原则筛选器,就可以使用关键字来快速搜寻。

  群组原则筛选器可让管理人员依照原则种类、关键字、套用设定,或是系统版本等不同条件,来搜寻群组原则的所在位置,当启用这项功能后,不符合条件的原则都将被隐藏。

  用群组原则解决常见的电脑问题

  群组原则可管理的项目繁多,但企业最关注的仍不外乎帐号管理与安全性。

  做好帐号和密码管理

  台湾微软技术支援工程师黄信嘉表示,根据他过去协助企业解决群组原则问题的经验,大部分的企业导入AD都是为了管理使用者帐号,而这也是群组原则最基本的功能之一。由于管理人员只要在AD中建立群组原则物件,系统就会自动产生一组帐户与密码原则,而且只要直接套用就可以立刻生效,因此用群组原则来管理使用者的登入行为相当容易,而且最为普遍。

  常用的控管功能包括密码强度、有效期限等。然而,帐户和密码群组原则和一般群组原则的继承关系不同,只能在域名层套用,所以即使在别的层次中设定也不会生效。精诚资讯资深讲师许俊龙说,如果把AD看成是政府或国家,那群组原则扮演的就是宪法的角色,而它的规定也和法律一样非常严谨,只要设定完成就会强制套用,但是帐户设定却违反了任何法律不能抵触宪法这条规定,所以许多企业在刚开始使用群组原则时,经常忽略这部分的设定方式。

  不仅如此,每一个域名层都只能对应唯一的密码原则,在管理使用者帐号时也衍生出许多麻烦,像是某些主管层级的使用者,如果需要套用不同的设定,就很难用一般性原则来达成目的。在XP/Server 2003环境遇到这样的问题,就只能建立一个新域名,并手动将使用者所属的OU迁移到新域名下,或是开启阻断继承来隔绝上层的密码原则。然而,这些特殊的设定方式,不但违背了群组原则大量管理的基本概念,也可能会造成运作机制大乱。

  为了解决这样的问题,Server 2008允许IT人员在同一个域名下,针对特定使用者建立专属的密码原则,同时不会影响既有原则的运作。这个功能称为”Granular Password Settings(GPS)”或”Fine-Grained Password Policy(FGPP)”,它的设定方式和一般的群组原则完全不同,管理人员必须自行利用ADSI编辑器,在密码设定容器(Password Settings Container,PSC)中建立密码设定物件(Password Settings Object,PSO),之后再将PSO指定至特定的使用者帐号。

  虽然FGPP可以让IT人员不用建立多个域名,就能指派特殊权限给使用者,不过许俊龙认为,设定方式并不像一般群组原则的设定一样直觉。

  强化安全性设定

  安全性设定一直是历代群组原则改良的重点之一,例如XP/Server 2003的群组原则并没有和防火墙相关的设定项,管理人员只能透过软件限制原则来封锁未经授权的应用程序执行,或是到使用者电脑上逐台设定防火墙。而Server 2008不但将防火墙纳入,还整合了IPsec,这样的改变可增加应用上的弹性。举例来说,如果使用者想从网际网络连线到公司内部存取资源,IT人员势必要先在2台电脑之间建立安全的通道,并依靠信任关系或电脑的健康状况,来决定存取资源的权限。这时只要利用”具备进阶安全性的Windows防火墙”原则设定,就可以达成目的。

  此外,Server 2008还新增了阻挡软、硬件的群组原则,可以避免因使用者不当操作应用程序或装置造成的信息漏洞,而在2008 R2更是将Windows 7的AppLocker也加入管理项目中,以便更全面地封锁软件。

  原则设定成功却没有生效怎么办?

  长期使用群组原则的IT人员,想必都遇过明明原则已经设定无误,但是套用后却没有在员工电脑上发挥效用,这时要从密密麻麻的事件记录中寻找相关的设定值,或是在数千条群组原则中挑出互相冲突的项目,难度都相当于大海捞针。台湾微软技术支援副理林文平建议依照下列流程来找出问题:

  1. 确定群组原则设定位置

  群组原则有域名、服务器端及使用者端3个部分,最好能先理清设定的群组原则作用范围,并确定配置是否正确。

  2. 确定配置的目标与所属位置

  如果设定时原则的套用对象是使用者,但在套用位置上并没有任何使用者存在,当然群组原则就不会生效,所以必须检查原则的本身属性和目标所属的位置是否一致。

  3. 检查域名控制站的同步设定

  一般来说,企业可能会同时建立2台以上负责执行AD的服务器,在过去的架构下,只要变更其中一台域名控制站(Domain Controller,DC)上的群组原则,其他域名控制站也会一并复写,这时一旦其中有任何一台域名控制站复写失败或连线错误,当使用者电脑在套用原则时,只要寻找的目标是这台复写失败的域名控制站,原则就不会生效,所以必须先检查域名控制站的复写机制是否正常,以及GPO的版本是否一致。

  4. 确认电脑连线状态

  如果检查后发现没有发生上述情况,就可以确定群组原则在服务器端的设定没有问题,不过由于个人端电脑必须套用域名控制站上的原则,所以接下来需要再确认服务器端和个人端之间的网络连线状态,并检查个人端电脑是否已经加入为域名成员,以及电脑和域名之间的沟通状况。(

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章