76、网络变更控制与工作场所管理全解析-CSDN博客

网络变更控制与工作场所管理全解析

1. 网络管理关键领域概述

作为网络管理员，你掌控着多个关键领域，主要集中在以下三个方面：
- 应用程序 ：这是需要严格变更控制的重要领域之一。用户绝不能自行安装和管理软件。
- 安全：为维护网络安全，你需有权设置安全策略，或执行企业所有者要求的服务器和工作站安全策略。
- 操作系统环境 ：现代操作系统如Windows 2000和Windows XP极为复杂，其管理和配置应由经验丰富的网络技术人员、支持人员和管理员负责。

2. 应用程序管理

2.1 用户自行安装软件的风险

软件盗版风险 ：多数用户不了解软件盗版法律，容易触犯。例如，很多人从朋友或家人处借用软件，却不知这可能构成重罪，最高可判20年监禁。一旦有员工举报公司使用盗版软件，后果不堪设想。
增加管理负担 ：大多数用户不了解软件安装对操作系统的影响，自行安装软件会大幅增加管理负担。
系统稳定性问题 ：应用程序可能不稳定，损坏现有系统。如Windows Vista早期测试时，有技术支持工程师安装SP1候选版本代码，导致工作站损坏，数天无法使用。
安全风险 ：安装软件可能引入病毒和安全风险，从互联网下载软件可能带来恶意程序。
技术支持难题 ：用户可能会因不熟悉的应用程序问题向管理员求助，增加管理员工作难度。

2.2 应用程序管理策略

集中管理 ：由IT部门管理应用程序使用，仅技术支持人员可安装软件，降低风险。
集中分发 ：软件应从中央位置或服务器分发，如采用远程软件部署或电子软件分发，减少管理负担。
用户分组管理 ：创建用户组，为不同组分配不同应用程序，如Office07Users和AcrobatUsers。
用户需求列表 ：为每个用户创建两份列表，一份是基本用户所需的标准应用程序列表，另一份是高级用户可选的专业软件列表，高级用户需向变更控制或管理层说明部署理由。

3. 安全管理

安全管理必须集中进行。当工作站加入域时，本地工作站的安全设置会被域安全设置覆盖。以下是需要集中管理的安全策略：
- 密码策略 ：管理密码使用、锁定和破解尝试，防止用户使用简单易猜的密码。
- 其他安全策略 ：管理公钥、证书、数字签名等，限制用户在工作站和服务器上的操作权限，如仅少数管理员可登录域控制器。

4. 操作系统环境管理

操作系统管理日益复杂，如Windows Vista有上万个设置选项。为便于管理，企业内所有工作站应统一管理，或仅保留少数几种配置。例如，统一屏幕保护程序设置为公司标志，防止用户使用自定义屏幕保护程序带来的安全和合规问题。同时，应避免用户随意更改显示设置、网络设备和安装硬件。

5. 工作站锁定策略

虽然集中控制用户计算体验很重要，但某些用户可能需要更多管理权限。例如，每天连接网络不超过30分钟的笔记本远程用户，可能需要更多权限设置打印机驱动和配置，但不应允许其更改网络设备设置。控制面板中的许多设置，可在用户将笔记本带回办公室交给技术人员维护时再解锁。

6. 变更控制策略准备

在制定组策略前，需了解以下信息：
- 用户类型 ：明确所支持用户的类型，从基础用户到高级或技术型用户。
- 工作站类别 ：了解用户所需的工作站类型，如移动设备、工作站、手持设备等。
- 应用程序需求 ：清楚用户所需的应用程序及其使用方式，判断用户是高级还是基础用户。
- 应用程序列表 ：掌握不同类型用户所需的应用程序列表。

此外，还需考虑以下因素：
- 用户登录权限 ：确定用户是否以本地管理员身份登录，若用户可访问本地账户和注册表，可能绕过变更管理策略。
- 未经授权的软件安装 ：若企业缺乏相关控制策略，应尽快制定。
- 数据存储位置 ：若用户将数据存储在本地工作站，需制定策略将数据迁移到网络共享点或Active Directory文件夹中的文件夹资源，可利用Windows 2000和Windows Server 2008的文件夹重定向功能。
- 工作站故障频率 ：了解用户因软件或硬件安装、操作系统篡改等导致工作站故障的频率，仅少数管理员或参与变更管理测试的高级用户应拥有较高权限。

同时，要确保用户明智使用互联网，遵循企业规则。Windows 2000和Windows Server 2008的安全功能强大，但需将安全策略扩展到工作站，确保用户遵守企业要求。

7. 组策略概述

Windows Server 2008的变更控制工具是组策略管理控制台（GPM console或命令行中的GPMC.MSC），它是一个MMC管理单元，可将策略应用于Windows Server 2003和Windows Server 2008网络中的计算机、用户和组等安全主体。

组策略通过创建组策略对象（GPO）来应用，GPO包含控制计算机和用户访问网络及机器资源的属性。若对象所在容器与GPO关联，则该对象受GPO影响。若容器关联多个GPO，其效果将合并。

组策略架构复杂，虽超出本文范围，但值得深入研究，可在微软网站搜索相关白皮书。组策略不直接应用于单个安全主体，而是应用于安全主体集合，在Windows Server 2008网络中，安全主体集中在站点、域和组织单位，形成组策略层次结构。

组策略功能强大，大型公司可安排专人管理。它可用于管理变更、用户配置、桌面设置、工作站锁定安全、软件安装等。GPO具有超过100个安全相关设置和700多个基于注册表的设置，还可通过API和自定义模板扩展功能，具体如下：
- 配置和存储 ：GPO配置并存储在Active Directory中，也可在本地工作站定义。
- 应用对象 ：应用于AD容器（站点、域和组织单位）中的用户和计算机。
- 安全性 ：GPO安全可靠，可像其他对象一样锁定。
- 过滤和控制 ：可通过安全组成员身份过滤和控制GPO。
- 安全核心 ：是Windows网络安全的核心。
- IE管理 ：用于维护Microsoft Internet Explorer。
- 脚本应用 ：应用登录、注销和启动脚本。
- 软件管理 ：维护、限制和启用软件安装。
- 文件夹重定向 ：重定向文件夹，如My Documents。
- 用户配置保护 ：更改策略时不暴露用户配置文件。
- 非永久性设置 ：计算机上的组策略设置不是永久性的，可随时更改。

8. 组策略类型

组策略可影响Windows网络的各种进程、应用程序和服务，但不同版本的Windows受影响程度不同。Windows 9x和NT 4.0工作站受影响较小，因为其缺乏拉取和读取策略的客户端扩展。因此，网络中Windows版本过多会降低安全性和可管理性，升级到Windows Server 2008可长期节省成本并提高安全性。

以下是不同类型的组策略集合：
|策略类型|说明|
| ---- | ---- |
|应用程序部署|控制用户对应用程序的访问，包括分配（安装或升级应用程序、发布应用程序图标）和应用程序发布（在Active Directory中发布应用程序）。|
|文件部署|将文件放置在用户计算机的特定文件夹中，如My Documents文件夹。|
|脚本编写|选择在预定时间运行脚本，如启动、关闭、登录和注销时。Windows Server 2008可处理VB脚本、JScripts和Windows脚本宿主脚本。|
|软件配置|在全局或特定范围内配置用户工作站上的软件，通过配置用户配置文件中的设置实现。|
|安全策略|是Windows Server 2008中最重要的策略集合，保护企业免受黑客攻击。|

组策略不仅可降低管理成本，还可保障环境安全，提升用户工作体验。但在保障安全时，需平衡安全需求和用户友好性，避免因过度安全设置导致用户不便。例如，设置过长密码可能导致用户将密码贴在显示器上，失去安全意义。若需要严格安全措施，可向管理层建议使用智能卡或生物识别技术。

提升用户体验可通过以下方式实现：
- 软件交付方式 ：选择更符合用户需求的软件交付方式，如自动安装、网络下载安装或管理员现场安装。
- 应用程序定位 ：帮助用户轻松找到应用程序。
- 文件夹重定向 ：智能重定向文件夹或映射文件夹到资源。
- 自动化流程 ：在工作站登录和注销时自动化处理流程。

9. 组策略元素

从管理员角度看，组策略由以下元素组成：
- 组策略对象（GPO） ：包含组策略属性的容器，策略通过与GPO关联应用到用户或计算机对象。GPO需先创建和命名才能使用。
- Active Directory容器 ：GPO的默认目标，与GPO关联的容器中的对象默认接收组策略设置。可关联GPO的容器包括站点、域和组织单位，所有计算机也可关联本地GPO。
- 组策略链接 ：用于将容器与GPO关联，通过研究链接可确定影响特定容器及其成员的GPO。
- 策略：GPO的属性，通过关联应用到对象。所有GPO具有相同策略，策略需先定义，然后可能启用、禁用或应用到安全组，之后可操作策略设置。
- 解释文本 ：在策略的解释选项卡中查看，说明策略的目标、应用说明和不适用情况。
- 组策略编辑器 ：即Group Policy Object Editor（GPOE），是Microsoft Management Console（MMC）的管理单元，用于访问和配置GPO。
- 计算机配置和用户配置节点 ：GPO分为计算机配置和用户配置两个节点，分别包含对应安全主体的策略。
- GP容器和GP模板 ：所有GPO信息存储在GP Container（GPC）和GP Template（GPT）中，通过全局唯一标识符（GUID）同步。GPC存储在Active Directory中，处理版本、状态和设置信息；GPT在系统根目录的Sysvol结构中创建文件夹，存储客户端扩展、用户和计算机配置设置等信息。
- gpt.ini文件 ：每个GPT根文件夹中的文件，包含两个重要条目：
- Version = x ：GPO的版本号，是八位数十六进制数的十进制表示，低四位表示计算机设置版本号，高四位表示用户设置版本号。
- Disabled = y ：指示本地GPO是否禁用，禁用时值为0，启用时值为1。

以下是组策略的工作流程mermaid图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(创建GPO):::process --> B(关联Active Directory容器):::process
    B --> C(应用策略到容器内对象):::process
    C --> D(合并多个GPO效果):::process
    D --> E(用户和计算机受策略影响):::process

通过合理运用组策略，网络管理员可有效管理网络变更、保障安全并提升用户体验。在实际应用中，需根据企业具体情况制定和调整组策略，以满足不同用户和业务需求。

网络变更控制与工作场所管理全解析

10. 组策略对象（GPO）详解

GPO 作为组策略的核心载体，其内部结构和工作机制十分关键。它本质上是一个高级别的容器，用于存放各种策略属性。这些属性就像“魔法咒语”，当与用户或计算机对象相关联时，便会对其产生影响。

在创建 GPO 时，需要为其命名，这就好比给一个新出生的“孩子”取名字，之后才能使用它所包含的策略。例如，我们可以创建一个名为“Office_Users_Policy”的 GPO，专门为使用 Office 软件的用户组设置特定的策略。

11. Active Directory 容器的作用

Active Directory 容器是 GPO 的默认“目标地”。当我们将 GPO 与这些容器建立关联后，容器内的对象就会自动接收相应的组策略设置。具体来说，可关联 GPO 的容器有以下几种：
- 站点：通常代表一个物理位置，如公司的不同办公地点。将 GPO 应用到站点，可以为该站点内的所有计算机和用户统一设置策略。
- 域：是 Active Directory 中的核心概念，代表一个逻辑上的管理单位。域级别的 GPO 会影响整个域内的对象。
- 组织单位（OU） ：是域内的细分单位，可以根据部门、项目等进行划分。通过将 GPO 应用到 OU，可以实现更精细的策略管理。

所有计算机还可以关联本地 GPO，这为本地计算机的个性化设置提供了可能。例如，某台计算机有特殊的安全需求，就可以通过本地 GPO 进行单独配置。

12. 组策略链接的意义

组策略链接是连接容器和 GPO 的“桥梁”。通过研究这些链接，我们能够清晰地了解哪些 GPO 正在影响特定的容器及其成员。例如，我们可以通过以下步骤查看某个域的组策略链接：
1. 打开组策略管理控制台（GPMC.MSC）。
2. 在控制台树中找到目标域。
3. 右键单击该域，选择“属性”。
4. 在“组策略”选项卡中，查看已链接的 GPO 列表。

通过这种方式，我们可以及时发现策略应用中的问题，确保策略的正确实施。

13. 策略的定义与应用

策略是 GPO 的“灵魂”，它是实际要应用的设置。所有 GPO 都具有相同的策略框架，但具体的设置可以根据需求进行调整。策略的应用过程如下：
1. 定义策略 ：明确要实现的目标，如设置密码长度、限制软件安装等。
2. 启用或禁用策略 ：根据实际情况决定是否启用某个策略。
3. 应用到安全组 ：可以将策略应用到特定的安全组，实现更精准的控制。
4. 操作策略设置 ：对策略的具体参数进行调整，如设置密码的最小长度为 8 位。

例如，我们要定义一个限制用户安装软件的策略，首先在 GPO 中找到相关的策略选项，启用该策略，然后将其应用到普通用户组，最后设置禁止安装的软件列表。

14. 解释文本的价值

解释文本就像策略的“说明书”，它在策略的解释选项卡中可以查看。解释文本详细说明了策略的目标、应用说明以及不适用的情况。例如，在设置一个限制用户访问某些网站的策略时，解释文本会告诉我们该策略的目的是保护网络安全，应用时需要注意输入正确的网站地址，以及在某些特殊情况下（如员工需要访问特定的学习网站）不适用该策略。通过阅读解释文本，管理员可以更好地理解和应用策略，避免因误操作导致的问题。

15. 组策略编辑器的使用

组策略编辑器（GPOE）是配置 GPO 的重要工具，它是 Microsoft Management Console（MMC）的一个管理单元。使用 GPOE 配置 GPO 的步骤如下：
1. 打开组策略管理控制台（GPMC.MSC）。
2. 在控制台树中找到要编辑的 GPO。
3. 右键单击该 GPO，选择“编辑”，打开组策略编辑器。
4. 在编辑器中，可以对计算机配置和用户配置节点进行设置。例如，在计算机配置节点中，可以设置系统服务的启动方式；在用户配置节点中，可以设置桌面背景等。

通过组策略编辑器，管理员可以方便地对 GPO 进行定制，满足不同的管理需求。

16. 计算机配置和用户配置节点

GPO 分为计算机配置和用户配置两个节点，它们分别包含了对应安全主体的策略。计算机配置节点主要关注计算机的系统设置，如网络设置、服务配置等；用户配置节点则侧重于用户的个性化设置，如桌面布局、应用程序访问权限等。例如，我们可以在计算机配置节点中设置防火墙规则，保护计算机的网络安全；在用户配置节点中设置禁止用户更改桌面背景，保持企业桌面的统一风格。

17. GP 容器和 GP 模板的存储机制

所有 GPO 的信息都存储在 GP Container（GPC）和 GP Template（GPT）中，它们通过全局唯一标识符（GUID）进行同步。
- GPC ：存储在 Active Directory 中，它构建了一个容器层次结构，用于存储计算机和用户的配置信息。GPC 主要处理版本、状态和设置信息，确保策略的一致性和稳定性。
- GPT ：在系统根目录的 Sysvol 结构中创建文件夹，文件夹的名称就是其 GUID。GPT 存储了客户端扩展、用户和计算机配置设置等信息，如注册表.pol 文件、用户配置文件等。

一般来说，小而不常变化的策略数据存储在 GPC 中，大而经常变化的数据存储在 GPT 中。这种存储机制使得 GPO 的管理更加高效和灵活。

18. gpt.ini 文件的作用

gpt.ini 文件位于每个 GPT 的根文件夹中，它包含了两个重要的条目：
- Version = x ：GPO 的版本号，是八位数十六进制数的十进制表示。低四位表示计算机设置版本号，高四位表示用户设置版本号。例如，Version = 65539 对应的十六进制是 0X00010003，这意味着计算机设置版本是 3，用户设置版本是 1。通过版本号，我们可以了解 GPO 的更新情况，确保策略的正确应用。
- Disabled = y ：指示本地 GPO 是否禁用。当值为 0 时，表示禁用 GPO；当值为 1 时，表示启用 GPO。通过修改这个值，我们可以灵活地控制本地 GPO 的使用。

19. 组策略的综合应用案例

假设我们有一个企业网络，包含多个部门，每个部门有不同的业务需求和安全要求。我们可以通过组策略实现以下管理目标：
|部门|需求|组策略应用|
| ---- | ---- | ---- |
|研发部门|需要安装开发工具，对网络访问有一定限制|创建一个研发部门专用的 GPO，允许安装开发工具，设置网络访问规则，如只允许访问特定的代码库网站。|
|销售部门|需要经常外出，使用移动设备，对数据安全要求高|创建一个销售部门的 GPO，设置移动设备的加密策略，限制数据的外部传输，如禁止通过 USB 接口传输敏感数据。|
|财务部门|对数据安全和系统稳定性要求极高|创建一个财务部门的 GPO，设置严格的密码策略、访问控制策略，定期备份重要数据。|

通过为不同部门创建不同的 GPO，并将其应用到相应的组织单位，我们可以实现精细化的管理，满足不同部门的需求。

20. 总结与展望

网络变更控制和工作场所管理是一个复杂而重要的领域，组策略作为其中的核心工具，为我们提供了强大的管理能力。通过合理运用组策略的各个元素，我们可以有效地管理应用程序、保障网络安全、优化操作系统环境，提升用户体验。

在未来的网络环境中，随着技术的不断发展，组策略也将不断演进。例如，随着云计算、物联网的普及，组策略可能需要扩展到更多的设备和环境中。我们需要不断学习和探索，灵活运用组策略，以适应不断变化的网络需求，为企业的发展提供坚实的网络保障。

以下是一个总结组策略实施流程的 mermaid 图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    A(规划需求):::process --> B(创建 GPO):::process
    B --> C(配置策略):::process
    C --> D(关联容器):::process
    D --> E(测试策略):::process
    E --> F(正式应用):::process
    F --> G(监控和调整):::process

通过以上的流程，我们可以确保组策略的有效实施，为网络管理带来更好的效果。