幾乎每個企業(yè)都有一個標準化配置來設(shè)置新電腦，它常常在圖像文件中建立并據(jù)此部署。雖然這個方法有效，企業(yè)的標準配置卻隨時間變化。一些組策略的設(shè)置可以幫助我們將標準化的配置部署到每臺計算機上，因為這樣可以讓變動部分以統(tǒng)一的方式實施，確保每臺計算機運行的都是當(dāng)前的標準配置。

推薦專題：Windows組策略 系統(tǒng)管理員手中的管理利器

基于圖像配置的弊端

部署計算機時，一般做法是：管理員先在一臺計算機上安裝Windows操作系統(tǒng)，然后對系統(tǒng)進行手工微調(diào)。接著使用SYSPREP去除這臺計算機在操作系統(tǒng)中的私有信息（如SID或計算機名），最后將這臺計算機的硬驅(qū)制成圖像并部署到其它計算機。

第一次啟動圖像時，Windows運行一個包括基本配置問題（這是因為圖像是通用的）的小型安裝。為Windows提供一個應(yīng)答文件有可能省去這個過程。但是，請記住，應(yīng)答文件通常都用于自動安裝過程，且假設(shè)我們在圖像文件中已經(jīng)做好了自定義設(shè)置，問題就隱藏在這里。

Windows提供了幾百個不同的設(shè)置選項讓我們配置。雖然其中一些設(shè)置是全局性的，另一些則是針對用戶的，適用于用戶配置文件級別。

例如，在使用圖像部署一臺計算機前，你更改了電源管理設(shè)置并禁用了Windows Vista的側(cè)邊欄。然后，你用Sysprep標準化機器，創(chuàng)建一個圖像并將它部署到另一臺計算機。用戶第一次登錄到該計算機時，自定義的電源管理設(shè)置仍然有效，但在默認情況下，Windows側(cè)邊欄會被啟用。這是因為Windows側(cè)邊欄的配置基于用戶配置文件級別。新用戶第一次登錄時會創(chuàng)建一個新的配置文件，這個新的配置文件應(yīng)用了Windows的默認設(shè)置。

還有一個基于圖像配置的問題是，標準配置會隨著時間變化：現(xiàn)在的配置和一年前的配置很可能完全不同。

正因為如此，應(yīng)該在運行Sysprep之前盡量避免對計算機進行手動配置。相反地，我們應(yīng)該更多地使用計算機的本地安全策略來進行配置。

使用本地安全策略

我發(fā)現(xiàn)很多管理員很少使用本地安全策略，因為當(dāng)用戶登入網(wǎng)絡(luò)時它的配置會被覆蓋。但不管怎樣，本地安全策略還是有它的用處。對于初學(xué)者來說，組策略（包括本地安全策略）幾乎可以實現(xiàn)Windows所有方面的自定義。例如，微軟提供管理模板來自定義Office的設(shè)置。

具體來說，本地安全策略的目的是保護沒有接入網(wǎng)絡(luò)的計算機。因此，即使用戶登錄到本地，創(chuàng)建一個本地安全策略也可以確保它是標準的配置。當(dāng)然，本地安全策略只是針對計算機本身的配置，無法集中管理。隨著時間變化，你的計算機本地安全策略的配置最終還是會過時。

幸運的是，組策略是層次化的結(jié)構(gòu)?；诰W(wǎng)絡(luò)層面的組策略對象（GPO）可以提供跟本地安全策略相同的設(shè)置，且在它們之間有沖突時，本地安全政策的優(yōu)先級是最低的。這意味著，如果一個策略的設(shè)置過時了，我們可以從網(wǎng)絡(luò)層面的組策略上更新設(shè)置，它就可以覆蓋本地安全策略的設(shè)置。

所有這些都讓我們不得不提出一個很重要的問題：如果本地安全策略在登入網(wǎng)絡(luò)時會被網(wǎng)絡(luò)上的組策略覆蓋，為什么還要費心地去用它們，況且它們最終還是會過時？

當(dāng)你的標準配置發(fā)生變化時，在一個特定的時間內(nèi)只是會有少數(shù)的設(shè)置發(fā)生改變，一個企業(yè)在一夜之間改變所有組策略設(shè)置的情況非常罕見?？紤]到這一點，我們假設(shè)一臺計算機有一個過時的本地安全策略，而網(wǎng)絡(luò)層面的組策略保持最新。如果有人在本地登錄，本地安全策略仍然會提供一定程度的保護，而且保持它安裝時的標準配置。這通常比保持Windows的默認設(shè)置要好很多。

這樣也會產(chǎn)生爭論：既然手動設(shè)置加上Sysprep圖像的方式也可以達到相同目的，如果沒有網(wǎng)絡(luò)層面組策略的強制設(shè)置，手工設(shè)置仍然會有效，那為什么還要建立一個本地安全策略？

理由是本地安全策略可以在一個地方進行所有的設(shè)置。當(dāng)Sysprep的鏡像過時了，它需要更換，你可以只修改本地安全策略來匹配現(xiàn)在的標準配置，而不用在系統(tǒng)中的多個不同地方手動修改其設(shè)置。

總之，雖然可以手動配置Sysprep圖像，但是只要可能，最好還是通過組策略設(shè)置來實施配置的更改。

【編輯推薦】

1. Windows組策略本地設(shè)置與審計
2. Windows本地組策略設(shè)置和審計策略概述
3. 組策略規(guī)劃和部署指南
4. 使用組策略首選項進行擴展控制
5. 五個必須立刻實施的Windows組策略選項