几乎每个企业都有一个标准化配置来设置新电脑,它常常在图像文件中建立并据此部署。虽然这个方法有效,企业的标准配置却随时间变化。一些组策略的设置可以帮助我们将标准化的配置部署到每台计算机上,因为这样可以让变动部分以统一的方式实施,确保每台计算机运行的都是当前的标准配置。
基于图像配置的弊端
部署计算机时,一般做法是:管理员先在一台计算机上安装Windows操作系统,然后对系统进行手工微调。接着使用SYSPREP去除这台计算机在操作系统中的私有信息(如SID或计算机名),最后将这台计算机的硬驱制成图像并部署到其它计算机。
第一次启动图像时,Windows运行一个包括基本配置问题(这是因为图像是通用的)的小型安装。为Windows提供一个应答文件有可能省去这个过程。但是,请记住,应答文件通常都用于自动安装过程,且假设我们在图像文件中已经做好了自定义设置,问题就隐藏在这里。
Windows提供了几百个不同的设置选项让我们配置。虽然其中一些设置是全局性的,另一些则是针对用户的,适用于用户配置文件级别。
例如,在使用图像部署一台计算机前,你更改了电源管理设置并禁用了Windows Vista的侧边栏。然后,你用Sysprep标准化机器,创建一个图像并将它部署到另一台计算机。用户第一次登录到该计算机时,自定义的电源管理设置仍然有效,但在默认情况下,Windows侧边栏会被启用。这是因为Windows侧边栏的配置基于用户配置文件级别。新用户第一次登录时会创建一个新的配置文件,这个新的配置文件应用了Windows的默认设置。
还有一个基于图像配置的问题是,标准配置会随着时间变化:现在的配置和一年前的配置很可能完全不同。
正因为如此,应该在运行Sysprep之前尽量避免对计算机进行手动配置。相反地,我们应该更多地使用计算机的本地安全策略来进行配置。
使用本地安全策略
我发现很多管理员很少使用本地安全策略,因为当用户登入网络时它的配置会被覆盖。但不管怎样,本地安全策略还是有它的用处。对于初学者来说,组策略(包括本地安全策略)几乎可以实现Windows所有方面的自定义。例如,微软提供管理模板来自定义Office的设置。
具体来说,本地安全策略的目的是保护没有接入网络的计算机。因此,即使用户登录到本地,创建一个本地安全策略也可以确保它是标准的配置。当然,本地安全策略只是针对计算机本身的配置,无法集中管理。随着时间变化,你的计算机本地安全策略的配置最终还是会过时。
幸运的是,组策略是层次化的结构。基于网络层面的组策略对象(GPO)可以提供跟本地安全策略相同的设置,且在它们之间有冲突时,本地安全政策的优先级是最低的。这意味着,如果一个策略的设置过时了,我们可以从网络层面的组策略上更新设置,它就可以覆盖本地安全策略的设置。
所有这些都让我们不得不提出一个很重要的问题:如果本地安全策略在登入网络时会被网络上的组策略覆盖,为什么还要费心地去用它们,况且它们最终还是会过时?
当你的标准配置发生变化时,在一个特定的时间内只是会有少数的设置发生改变,一个企业在一夜之间改变所有组策略设置的情况非常罕见。考虑到这一点,我们假设一台计算机有一个过时的本地安全策略,而网络层面的组策略保持最新。如果有人在本地登录,本地安全策略仍然会提供一定程度的保护,而且保持它安装时的标准配置。这通常比保持Windows的默认设置要好很多。
这样也会产生争论:既然手动设置加上Sysprep图像的方式也可以达到相同目的,如果没有网络层面组策略的强制设置,手工设置仍然会有效,那为什么还要建立一个本地安全策略?
理由是本地安全策略可以在一个地方进行所有的设置。当Sysprep的镜像过时了,它需要更换,你可以只修改本地安全策略来匹配现在的标准配置,而不用在系统中的多个不同地方手动修改其设置。
总之,虽然可以手动配置Sysprep图像,但是只要可能,最好还是通过组策略设置来实施配置的更改。
【编辑推荐】