【51CTO独家特稿】当运维人员遇到繁琐的应用层配置与维护的时候都会十分头痛。其实在微软的产品中组策略可以帮助我们解决这个头痛的事情。
面对应用层我们需要部署更多的业务服务器,这些都要与母公司的接轨,接受其监督和监控;网络层面,要合乎母公司的IT政策,架构、性能方面要严格满足要求,;对于安全层面,从单台服务器的固化到整个网络的安全部署都是需要全面执行。
不过这几个方面似乎都容易解决,仅仅在数据中心操作服务器点点鼠标、编辑命令就可以完成,困难的是网内几千台终端电脑都务必要满足母公司的IT政策,这是另IT运维人员颇为头痛的事情,如果每台终端电脑都部署一遍,恐怕会耽误很多时间,这个时候我们就可以请组策略来援助了。
A)统一企业Logo 组策略来帮忙
IT安全政策我们要遵循母公司的安排,在企业文化方面亦要与母公司同步,首先需要进行变革的就是终端电脑的桌面背景和屏幕保护程序。
这个设置相对来说比较简单,员工自己就会设置,但是员工的电脑操作水平参差不齐,难免有些用户不会设置,另一方面新到职员工很难找到背景图片和屏保,这个时候我们就可以求助于组策略,从服务器强行推送,它的策略很简单。
桌面背景设置:
1、在文件备份服务器上建立一个共享文件夹,用来存放体现企业文化的桌面和屏保,共享名称为:logo,桌面背景的文件名为“wall.jpg”,屏保文件名为“screen.scr”;
2、登陆域控制器,启动“Active Directory 用户和计算机”程序,找到需要设置组策略的OU,打开组策略选项,依次选择“用户配置”→“管理模块”→“桌面”→“Active Desktop”,找到“启动Active Desktop选项”属性,将其启用;
3、再选择“Active Desktop墙纸”属性,选择“已启用”,将“墙纸名称”添入刚才共享的文件\\192.168.1.100\logo\wall.jpg(192.168.1.100为共享电脑),墙纸样式选择“拉伸”(见图一)
图一
4、设置完毕待组策略生效后,找一台客户机,重启一下电脑,桌面就已经更改。
屏幕保护程序设置:
1、选择需要设置的OU,启动组策略编辑器,找到“用户配置”→“管理模块”→“控制面板”→“显示”,将“屏幕保护程序”设置成“已启动”;
2、再将“可执行屏幕保护程序的名称” 设置成“已启动”,并在文本框中输入共享的屏保地址和文件名,\\192.168.1.100\logo\screen.scr,确定;
3、生效组策略后就可以到客户端查看效果了。
非常简单的设置却可以减轻很多重复性的劳动,组策略的作用功不可没。
B)组策略实现大规模部署软件
企业文化统一后接下来需要做的是信息安全的合规,对于客户端来讲首当其冲的就是杀毒软件的更换了。
早前的杀毒软件我们使用服务器端杀毒软件的管理平台向下推送的,将其卸载也可以在服务器款解决,IT运维人员不必到各个终端电脑上操作,而新的杀毒软件是一个安装包,安装过程中比较麻烦,这时我们可以请组策略出山,批量进行部署。
组策略可以指派或者分发的文件格式为ZAP或MSI的安装包文件,如果需部署的文件是EXE格式,我们可以通过WinINSTALL2003将其转换成MSI文件,转换完毕后即可进行下一步操作了。
1、在文件备份服务器上建立一个共享文件夹,用来存放需要部署的软件,共享名称为:soft,如果担心用户非法窥视文件夹中的内容,可以将共享文件夹隐藏,即在共享名字后加$符号即可,将制作好的MSI安装包(这里以部署nod32.msi为例)置于这个共享文件夹中;
2、登陆域控制器,找到需要设置组策略的OU,打开组策略选项,依次选择“计算机配置”→“软件设置”→“软件安装”,在右侧窗口中选择新建“程序包”,浏览到需要指派的文件“nod32.msi”,然后在部署方法中选择“已指派”;
3、接下来,重启一台受策略控制的电脑,待重新开机时,就会出现安装NOD32杀毒软件的提示(见图二),稍等片刻,软件即安装完成。
图二
怎么样,有了组策略的协助,我们的工作是不是轻松了很多呢。
【51CTO独家特稿,合作站点转载请注明原文译者和出处。】
【编辑推荐】
