組策略管理Vista網(wǎng)絡(luò)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

Windows Vista系統(tǒng)中的組策略技術(shù)增加了一些管理網(wǎng)絡(luò)和通信的新功能，它與Longhorn Server結(jié)合使用可以更加有效地管理網(wǎng)絡(luò)。

組策略（Group Policy）在Windows 2000 Server中首次采用，它大大提高了管理員的工作效率。雖然組策略在Windows Server 2003中也得到了改進(jìn)及增強(qiáng)，不過(guò)組策略從網(wǎng)絡(luò)功能角度可以管理的實(shí)際設(shè)置有許多地方?jīng)]有得到改進(jìn)。

不過(guò)，這種情況在Windows Vista中已得到了改變?，F(xiàn)在，從局域網(wǎng)設(shè)置、網(wǎng)絡(luò)安全模式、無(wú)線功能到服務(wù)質(zhì)量的各個(gè)方面，這一切都可以通過(guò)熟悉的組策略管理工具來(lái)集中管理，譬如組策略管理控制臺(tái)。

熱點(diǎn)

組策略中人們最需要的一些新功能部分包括如下方面：

● 有線局域網(wǎng)設(shè)置:現(xiàn)在可以通過(guò)組策略配置由802.1x方案驗(yàn)證的有線連接。

● 多種安全模式:所有無(wú)線客戶機(jī)都可以連接到使用單一服務(wù)集標(biāo)識(shí)符（SSID）配置的連接點(diǎn)，無(wú)線客戶機(jī)各自都有不同的安全功能，能夠參與不同的安全模式。這就減輕了管理員的負(fù)擔(dān)，并且簡(jiǎn)化了連接設(shè)置。

● 擴(kuò)展性:組策略新增了對(duì)針對(duì)特定廠商屬性的支持，譬如不同類型的可擴(kuò)展驗(yàn)證協(xié)議，這意味著異構(gòu)硬件類別再也不是獲得統(tǒng)一安全配置面臨的重大問(wèn)題。

● 可控制許可的SSID列表：管理員通過(guò)組策略，同樣可以為Vista客戶機(jī)能夠訪問(wèn)的無(wú)線接入點(diǎn)（更確切地說(shuō)，是它們的相關(guān)SSID）建立一份列表,或者為拒絕客戶機(jī)連接的SSID建立列表。

服務(wù)質(zhì)量（QoS）

Windows Vista和Longhorn Server支持QoS的功能已得到了改進(jìn)，這兩款操作系統(tǒng)旨在能夠比以往更好地協(xié)同工作，確保合法應(yīng)用程序可以獲得所需帶寬，同時(shí)盡量減小不太重要但帶寬密集型的應(yīng)用程序和流量帶來(lái)的影響。

QoS出現(xiàn)已有一段時(shí)間，通常得到交換機(jī)和路由器等眾多網(wǎng)絡(luò)硬件設(shè)備的支持。如果一起使用，Longhorn Server和Windows Vista讓管理員可以使用組策略來(lái)設(shè)定切合實(shí)際的閾值和策略，根據(jù)進(jìn)行發(fā)送的應(yīng)用程序、源或目的IP地址、所用協(xié)議、源或目的TCP/IP或者UDP端口，遏制、優(yōu)先傳送或者以其他方式管理流量。

網(wǎng)絡(luò)訪問(wèn)保護(hù)

什么是網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）？病毒和惡意軟件有時(shí)候被桌面層部署的保護(hù)機(jī)制所阻擋，但阻止病毒和惡意軟件發(fā)作的最容易、最可靠的方式還是阻止它們?cè)L問(wèn)網(wǎng)絡(luò)——因而使威脅不可能傳播開(kāi)來(lái)。

在Longhorn Server（以及可參與這項(xiàng)功能的Windows Vista）中，微軟開(kāi)發(fā)了一個(gè)平臺(tái)。通過(guò)該平臺(tái)，管理員可以根據(jù)自己設(shè)定的基準(zhǔn)，通過(guò)組策略來(lái)分析計(jì)算機(jī)。如果某機(jī)器沒(méi)有符合標(biāo)準(zhǔn)、滿足這個(gè)基準(zhǔn)，該機(jī)器就被隔離起來(lái)，無(wú)權(quán)訪問(wèn)網(wǎng)絡(luò)，直到用戶修復(fù)了這臺(tái)有問(wèn)題的機(jī)器為止。

NAP可以分為幾個(gè)關(guān)鍵部分：健康策略驗(yàn)證、策略遵從及訪問(wèn)限制。驗(yàn)證是指按照管理員設(shè)定的某些健康標(biāo)準(zhǔn)，對(duì)試圖連接到網(wǎng)絡(luò)上的機(jī)器進(jìn)行分析及檢查。

遵從策略經(jīng)設(shè)定后，未通過(guò)驗(yàn)證過(guò)程的被管理計(jì)算機(jī)可通過(guò)系統(tǒng)管理服務(wù)器（Systems Management Server）或者某個(gè)其他管理軟件，自動(dòng)加以更新或者修復(fù)。

訪問(wèn)限制可以說(shuō)是NAP的執(zhí)行機(jī)制，它同樣可以通過(guò)組策略來(lái)設(shè)定。在活動(dòng)模式下，沒(méi)有通過(guò)驗(yàn)證的計(jì)算機(jī)被放到網(wǎng)絡(luò)的限制訪問(wèn)區(qū)，該區(qū)域通常阻止幾乎所有的網(wǎng)絡(luò)訪問(wèn)活動(dòng)，并且限制這些計(jì)算機(jī)只能連接一批經(jīng)過(guò)特別加固的服務(wù)器，它們含有讓機(jī)器符合標(biāo)準(zhǔn)所需的常用工具。

具有高級(jí)安全功能的防火墻

具有高級(jí)安全功能的Windows防火墻現(xiàn)在用組策略管理越來(lái)越容易了。除了防火墻引擎本身可以重新設(shè)計(jì)的優(yōu)點(diǎn)外，還有更多的規(guī)則功能，很容易管理及定義明確的安全需求，譬如驗(yàn)證和加密。

可以根據(jù)活動(dòng)目錄或者用戶組對(duì)設(shè)置進(jìn)行配置。每臺(tái)計(jì)算機(jī)上的配置文件支持功能也得到了改進(jìn)?，F(xiàn)在有一個(gè)配置文件用于將機(jī)器連接到域、一個(gè)配置文件用于專有網(wǎng)絡(luò)連接、另一個(gè)配置文件用于公共網(wǎng)絡(luò)連接（如無(wú)線熱點(diǎn)）。策略可以輕松導(dǎo)入或?qū)С?，這樣就簡(jiǎn)化了管理多臺(tái)計(jì)算機(jī)的防火墻的配置工作。

（本文譯自《ComputerWorld》）