组战略集合管理系统配置的利用手册[网络技术]

几近每个企业都有一个尺度化配置来设置新电脑,它常常在图象文件中成立并据此布置.固然这个办法有效,企业的尺度配置却随时间改变.一些组战略的设置可以帮忙我们将尺度化的配置布置到每台计算机上,因为这样可以让变更部份以统一的方法实施,确保每台计算机运行的都是当前的尺度配置.
    举荐专题:Windows组战略 系统管理员手中的管理利器
    基于图象配置的弊端
    布置计算机时,普通做法是:管理员先在一台计算机上安装Windows操作系统,然后对系统举行手工微调.接着利用SYSPREP去除这台计算机在操作系统中的私有信息（如SID或计算机名）,最后将这台计算机的硬驱制成图象并布置到别的计算机.
    第一次启动图象时,Windows运行一个包含基本配置问题（这是因为图象是通用的）的小型安装.为Windows供应一个应答文件有大概省去这个历程.但是,请记着,应答文件普通都用于自动安装历程,且假定我们在图象文件中已经做好了自定义设置,问题就躲藏在这里.
    Windows供应了几百个差别的设置选项让我们配置.固然此中一些设置是全局性的,另一些则是针对用户的,实用于用户配置文件级别.
    比方,在利用图象布置一台计算机前,你更改了电源管理设置并禁用了Windows Vista的侧边栏.然后,你用Sysprep尺度化机械,成立一个图象并将它布置到另一台计算机.用户第一次登录到该计算机时,自定义的电源管理设置仍旧有效,但在默许情形下,Windows侧边栏会被启用.这是因为Windows侧边栏的配置基于用户配置文件级别.新用户第一次登录时会成立一个新的配置文件,这个新的配置文件利用了Windows的默许设置.
    还有一个基于图象配置的问题是,尺度配置会随着时间改变:目前的配置和一年前的配置极大概完好差别.
    正因为如此,应当在运行Sysprep之前尽大概避免对计算机举行手动配置.相反地,我们应当更多地利用计算机的本地安全战略来举行配置.
    利用本地安全战略
    我发现很多管理员很少利用本地安全战略,因为当用户登入网络时它的配置会被覆盖.但不管怎样,本地安全战略还是有它的用处.关于初学者来说,组战略（包含本地安全战略）几近可以实现Windows全部方面的自定义.比方,微软供应管理模板来自定义Office的设置.
    具体来说,本地安全战略的目的是保护没有接入网络的计算机.因此,即便用户登录到本地,成立一个本地安全战略也可以确保它是尺度的配置.当然,本地安全战略只是针对计算机本身的配置,无法集合管理.随着时间改变,你的计算机本地安全战略的配置终究还是会过期.
    幸运的是,组战略是层次化的构造.基于网络层面的组战略对象（GPO）可以供应跟本地安全战略相同的设置,且在它们之间有冲突时,本地安全政策的优先级是最低的.这意味着,假如一个战略的设置过期了,我们可以从网络层面的组战略上更新设置,它便可以覆盖本地安全战略的设置.
    全部这些都让我们不得不提出一个很重要的问题:假如本地安全战略在登入网络时会被网络上的组战略覆盖,为什么还要操心地去用它们,何况它们终究还是会过期?
    当你的尺度配置发生改变时,在一个特定的时间内只是会有少数的设置发生改变,一个企业在一夜之间改变全部组战略设置的情形非常罕有.考虑到这一点,我们假定一台计算机有一个过期的本地安全战略,而网络层面的组战略保持最新.假若有人在本地登录,本地安全战略仍旧会供应一定程度的保护,并且保持它安装时的尺度配置.这普通比保持Windows的默许设置要好很多.
    这样也会产生争辩:既然手动设置加上Sysprep图象的方法也可以到达相同目的,假如没有网络层面组战略的强迫设置,手工设置仍旧会有效,那为什么还要成立一个本地安全战略?
    来由是本地安全战略可以在一个地方举行全部的设置.当Sysprep的镜像过期了,它需求改换,你可以只改正本地安全战略来匹配目前的尺度配置,而不用在系统中的多个差别地方手动改正其设置.
    总之,固然可以手动配置Sysprep图象,但是只要大概,最好还是通过组战略设置来实施配置的更改.