1 / 56

Windows Vista Group Policy 介紹

Windows Vista Group Policy 介紹. 黃信嘉 Eric Huang 技術支援工程師 Support Engineer Platform Desktop Support Team Global Technical Support Center – Taiwan. Agenda. Vista Group Policy 做了什麼改善 Vista Group Policy 新功能 如何使用 Windows 2003 網域來管理 Vista 的 Group Policy Case study. Vista Group Policy 做了什麼改善.

nuala
Download Presentation

Windows Vista Group Policy 介紹

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows Vista Group Policy介紹 黃信嘉Eric Huang 技術支援工程師Support Engineer Platform Desktop Support Team Global Technical Support Center – Taiwan

  2. Agenda • Vista Group Policy做了什麼改善 • Vista Group Policy新功能 • 如何使用Windows 2003網域來管理Vista的Group Policy • Case study

  3. Vista Group Policy 做了什麼改善

  4. GPO Infrastructure 網路問題 套用失敗 套用至用戶端 Active Directory 系統管理範本造成SYSVOL資料夾容量過大 問題排除 使用GPMC 或是GPEDIT來設定和管理原則 除錯困難,沒有很好的工具可以使用 原則太多,難以快速找到需要的設定

  5. Windows Vista Group Policy做了什麼加強? • Group Policy 服務 • NLA服務 • 更多的EventLog可記錄 • 多個本機群組原則 穩定性及使 用功能加強 • GPMC • RSAT • ADMX格式的系統管理範本 更容易管理 • 電源管理 • USB儲存限制 • 有線802.1x原則 更多的原則可設定

  6. Network Location Awareness • 讓系統能正確的分辨不同的網路環境 • 不使用 ICMP來判斷慢速連結 • 在網路裏若偵測到DC,NLA會通知Group Policy可以套用。 • 修眠、待命、VPN環境……

  7. Group Policy Client 服務 • Group Policy不再依賴Winlogon程序套用 • 以Group Policy Client服務的形式執行 • 服務是無法被停止 • 讓群組原則套用更有效率

  8. Group Policy 無法套用成功? • DC問題 • 設定錯誤?同步問題?SYSVOL問題? • Client問題 (2000/XP) • Event Log • Userenv.log (KB221833)

  9. Windows XP的Event Log

  10. Windows XP的UserEnv Log • HKLME\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon • UserEnvDebugLevel=DWORD 0x10002 • C:\WINDOWS\Debug\UserMode\userenv.log

  11. UserEnv Log 套用失敗 USERENV(374.130) 12:33:52:450 ProcessGPOList: Extension Security returned 0x4b8. USERENV(374.130) 12:33:52:450 ProcessGPOList: Extension Security was able to log data. RsopStatus = 0x0, dwRet = 1208, Clearing the dirty bit USERENV(374.130) 12:33:52:450 ProcessGPOs: Extension Security ProcessGroupPolicy failed, status 0x4b8.

  12. 在Vista上的新Log • Event Log • 系統Event Log • 應用程式及服務記錄檔>Microsoft>Windows>Group Policy

  13. Vista Group Policy Log

  14. Group Policy Log View  • 下載點 http://www.microsoft.com/downloads/details.aspx?FamilyID=bcfb1955-ca1d-4f00-9cff-6f541bad4563&DisplayLang=en • Troubleshooting Group Policy Using Event Logs http://technet2.microsoft.com/WindowsVista/en/library/7e940882-33b7-43db-b097-f3752c84f67f1033.mspx?mfr=true

  15. ADM Files • Windows 2000/2003系統管理範本(ADM files) • 無法支援多國語言 • 容易造成SYSVOL 資料夾過大,讓DC同步時造成網路負擔

  16. ADM Files

  17. ADMX Files • Windows Vista/2008 系統管理範本 • 支援多國語言 (配合 ADML檔案) • 不再造成SYSVOL資料夾容量負擔 (Central Store) • XML格式,可以讓開發人員容易新增範本

  18. 使用CentralStore時 本機 %windir%\policydefinitions printers.admx inetres.admx .. \en-us printers.adml inetres.adml <sysvol>\policies <GPO GUID> \ADM myapp.adm system.adm inetres.adm conf.adm wmplayer.adm wuau.adm Windows Vista (英文) Central Store \policydefinitions printers.admx inetres.admx .. \en-us printers.adml inetres.adml \zh-tw printers.adml inetres.adml \ .. 本機 %windir%\policydefinitions printers.admx inetres.admx .. \zh-tw printers.adml inetres.adml Windows Vista (繁體中文)

  19. Vista Group Policy新功能

  20. Vista Group Policy新功能 • 可以設定多個不同的本機原則 • 電源管理 • 防火牆管理 • 針對USB隨身碟限制

  21. 多個不同的本機原則 • 不需網域的環境 • 不同的原則套用在不同的本機使用者、群組上 • 同一個電腦原則設定 • 針對不同的使用者群組做設定 (管理者、非管理者) • 針對不同的使用者做設定 • Domain群組原則的優先權仍大於本機原則

  22. Demo • Multiple Local GPOs

  23. Windows 電源管理模式 • 睡眠 (Vista 才有):資料會同時儲存於記憶體及硬碟中,以確保在發生斷電情形時,Windows 仍可利用儲存於硬碟中的資料快速恢復執行,也可在非斷電情形下,利用儲存於記憶體中的資料更快速地恢復執行。 • 休眠:休眠模式會將桌面所有開啟的文件和檔案的狀態儲存為影像檔,然後關機。 開啟電源後,檔案和文件會以關機前的狀態在桌面開啟 • 待命:待命模式會切斷目前未使用的硬體元件的供電,降低電腦耗電量。 雖然待命模式可以切斷對周邊裝置、螢幕甚至硬碟的供電,但會持續對電腦記憶體供電,這樣工作就不會遺失

  24. 電費計算標準 (根據台灣電力公司電費表) • 一度電=1000瓦小時 • 營業用電價 (以企業而言屬於501 度以上部分): • 夏月 (6月1日至9月30日): 3.74元/每度 • 非夏月 (夏月以外時間):2.9元/每度 • 平均=(3.74+2.9)/2 = 3.32元/每度

  25. 桌上型電腦測試機的硬體規格 • HP Compaq dc7700:Intel Core 2 Duo CPU 產品代號:RN132ET。2.13GHz Intel E6400 Core 2 Duo 處理器、Intel Q965 Express 晶片組、Intel GMA 3000 繪圖卡、1GB RAM、160GB 硬碟 • HP dx5150:AMD Athlon 64 X2 CPU 產品代號:EU305ET。2.4GHz AMD Athlon 64 3800 + 處理器、ATI Radeon Xpress 200 晶片組、ATI Radeon X300繪圖卡、512MB RAM、160GB 硬碟 • HP Compaq D530S:Intel 2.8GHz Pentium 4 CPU 產品代號:PB603A。2.8GHz Intel Pentium 4 處理器、Intel 865G 晶片組、Intel 865G 繪圖卡、512MB RAM、40GB硬碟

  26. Windows XP和Windows Vista的測試情境 • 根據使用者工作時的實際使用習慣之調查結果,電腦在 8 小時的工作時間中,有 40% 的時間是處於閒置狀態,30% 的時間執行輕度工作(例如編輯 Microsoft Word 文件),15% 的時間執行中度工作(例如播放 MP3),另外 15% 的時間執行重度工作(例如視訊編碼)。 • 在 XP 預設設定中,系統在不使用時會處於閒置狀態,但在 Vista 中,系統將會在 60 分鐘後進入「睡眠」模式,並於進入「睡眠」模式 18 小時後進入「休眠」模式。在「群組原則」案例中,我們是將電腦設定為 20 分鐘後進入「睡眠」模式,並於進入「睡眠」模式 60 分鐘後進入「休眠」模式。 • 所有數據都是以新台幣3.32元/每度 (夏月與非夏月的電價平均值)的成本作為計算基準

  27. 1部PC一年執行成本及可能節省金額 XP 預設設定 vs. Vista 預設設定 • 每一台 PC 從 Windows XP 預設值換成 Windows Vista的電源管理預設設定值可省下的電費比較 • Windows XP: 預設系統在不使用時會處於閒置狀態 • Windows Vista:預設系統將會在 60 分鐘後進入「睡眠」模式,並於進入「睡眠」模式 18 小時後進入「休眠」模式

  28. 200 部PC的一年執行成本及可能節省的金額 XP 預設設定 vs. Vista 預設設定

  29. 200 部電腦的一年執行成本及可能節省的金額 • 擁有200台PC的企業透過群組原則進行電源管理與使用XP預設值和Vista預設值的可節省電費比較 • IT透過群組原則設定 20 分鐘後進入「睡眠」模式,並於進入「睡眠」模式 60 分鐘後進入「休眠」模式

  30. 二氧化碳排放標準 (根據台灣電力公司標準) • 根據台灣電力公司96年度電力排放系數報告,每一度用電會產生=0.637公斤的CO2排放

  31. 使用 200 部電腦的年二氧化碳排放量(公噸) • 只要將 Windows XP 升級為 Windows Vista就可以大量減少二氧化碳排放量 • 搭配Vista群組原則,可以更進一步減少二氧化碳的排放效果

  32. 結論 • 企業將 Windows XP 升級為 Windows Vista,每部桌上型電腦可節省的成本高達新台幣1711元;若以200台電腦計算,可節省的電費每年可達新台幣366,708元 (需配合群組原則,若使用Vista預設值為342,200元)。 • 在降低耗電量的同時,也可大量減少二氧化碳的排放量,且可減少的量每年達數噸之多。以使用 200 部電腦的企業為例,每年約可減少排放 69.91公噸的二氧化碳(需配合群組原則,若使用Vista預設值為65.64公噸) 。

  33. Windows XP電源管理 • Powercfg powercfg.exe /create test powercfg.exe /change test /monitor-timeout-ac 15 powercfg.exe /change test /monitor-timeout-dc 15 powercfg.exe /change test /disk-timeout-ac 25 powercfg.exe /change test /disk-timeout-dc 25 powercfg.exe /change test /standby-timeout-ac 0 powercfg.exe /change test /standby-timeout-dc 0 powercfg.exe /change test /hibernate-timeout-ac 120 powercfg.exe /change test /hibernate-timeout-dc 120 powercfg.exe /setactive test • 機碼 HKCU\Control Panel\PowerCfg HKLM\Software\Microsoft\Windows\CurrentVersion\Controls Folder\PowerCfg HKLM\SYSTEM\CURRENTCONTROLSET\Control\Session Manager\Power

  34. Vista 電源管理 電腦設定>系統管理範本>系統>電源管理

  35. Demo • 電源管理設定

  36. Windows XP 卸除式儲存裝置管理 • Windows XP如何停用 USB 儲存裝置 • http://support.microsoft.com/kb/823732 • 將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor機碼右方的Start值改成4。 • 將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor機碼整個權限加上Everyone 拒絕存取。

  37. 卸除式儲存裝置管理 Windows Vista • 針對電腦或使用者做限制 • 裝置有 • CD/DVD • Tapes • USB 隨身碟 • Windows Portable Devices (WPD) • 軟碟機

  38. Windows Vista 卸除式儲存裝置管理

  39. Demo • Windows Vista 卸除式儲存裝置管理

  40. Windows XP Windows Firewall Policy

  41. Windows Vista Windows Firewall Policy

  42. Demo • Windows Vista Windows Firewall Policy

  43. 如何使用Windows 2003網域來管理Vista的群組原則

  44. Central Store • 如果找得到Server上的Central Store,會以Server上的 ADMX來當作範本。 • 如果找不到,則會使用Vista本機的ADMX

  45. Central Store 設定 • 在DC 上新增以下資料夾 • C:\WINDOWS\SYSVOL\sysvol\domain\Policies\PolicyDefinitions • C:\WINDOWS\SYSVOL\sysvol\domain\Policies\PolicyDefinitions\[MUIculture]\ • 在Client上執行以下指令 • Copy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions • Copy %systemroot%\PolicyDefinitions\[MUIculture]\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\[MUIculture]\

  46. Demo • Central Store 設定

  47. 由Vista連到2003 DC管理 • Windows 2003 沒有新的Policy可以設定。 • 使用Windows Vista連到Windows 2003做管理。 • Vista RTM-GPMC • Vista SP1-Remote Server Administration Tools (RSAT)

  48. Remote Server Administration Tools(RSAT) • 需要另外安裝。 • 至「控制台」>「程式和功能」>「開啟或關閉Windows 功能」啟動GPMC

  49. 關於新的GPMC的新功能 喜好設定 入門GPO 篩選 註解

  50. Case study

More Related