组策略管理Vista网络

申请免费试用、咨询电话：400-8352-114

Windows Vista系统中的组策略技术增加了一些管理网络和通信的新功能，它与Longhorn Server结合使用可以更加有效地管理网络。

组策略（Group Policy）在Windows 2000 Server中首次采用，它大大提高了管理员的工作效率。虽然组策略在Windows Server 2003中也得到了改进及增强，不过组策略从网络功能角度可以管理的实际设置有许多地方没有得到改进。

不过，这种情况在Windows Vista中已得到了改变。现在，从局域网设置、网络安全模式、无线功能到服务质量的各个方面，这一切都可以通过熟悉的组策略管理工具来集中管理，譬如组策略管理控制台。

热点

组策略中人们最需要的一些新功能部分包括如下方面：

● 有线局域网设置:现在可以通过组策略配置由802.1x方案验证的有线连接。

● 多种安全模式:所有无线客户机都可以连接到使用单一服务集标识符（SSID）配置的连接点，无线客户机各自都有不同的安全功能，能够参与不同的安全模式。这就减轻了管理员的负担，并且简化了连接设置。

● 扩展性:组策略新增了对针对特定厂商属性的支持，譬如不同类型的可扩展验证协议，这意味着异构硬件类别再也不是获得统一安全配置面临的重大问题。

● 可控制许可的SSID列表：管理员通过组策略，同样可以为Vista客户机能够访问的无线接入点（更确切地说，是它们的相关SSID）建立一份列表,或者为拒绝客户机连接的SSID建立列表。

服务质量（QoS）

Windows Vista和Longhorn Server支持QoS的功能已得到了改进，这两款操作系统旨在能够比以往更好地协同工作，确保合法应用程序可以获得所需带宽，同时尽量减小不太重要但带宽密集型的应用程序和流量带来的影响。

QoS出现已有一段时间，通常得到交换机和路由器等众多网络硬件设备的支持。如果一起使用，Longhorn Server和Windows Vista让管理员可以使用组策略来设定切合实际的阈值和策略，根据进行发送的应用程序、源或目的IP地址、所用协议、源或目的TCP/IP或者UDP端口，遏制、优先传送或者以其他方式管理流量。

网络访问保护

什么是网络访问保护（NAP）？病毒和恶意软件有时候被桌面层部署的保护机制所阻挡，但阻止病毒和恶意软件发作的最容易、最可靠的方式还是阻止它们访问网络——因而使威胁不可能传播开来。

在Longhorn Server（以及可参与这项功能的Windows Vista）中，微软开发了一个平台。通过该平台，管理员可以根据自己设定的基准，通过组策略来分析计算机。如果某机器没有符合标准、满足这个基准，该机器就被隔离起来，无权访问网络，直到用户修复了这台有问题的机器为止。

NAP可以分为几个关键部分：健康策略验证、策略遵从及访问限制。验证是指按照管理员设定的某些健康标准，对试图连接到网络上的机器进行分析及检查。

遵从策略经设定后，未通过验证过程的被管理计算机可通过系统管理服务器（Systems Management Server）或者某个其他管理软件，自动加以更新或者修复。

访问限制可以说是NAP的执行机制，它同样可以通过组策略来设定。在活动模式下，没有通过验证的计算机被放到网络的限制访问区，该区域通常阻止几乎所有的网络访问活动，并且限制这些计算机只能连接一批经过特别加固的服务器，它们含有让机器符合标准所需的常用工具。

具有高级安全功能的防火墙

具有高级安全功能的Windows防火墙现在用组策略管理越来越容易了。除了防火墙引擎本身可以重新设计的优点外，还有更多的规则功能，很容易管理及定义明确的安全需求，譬如验证和加密。

可以根据活动目录或者用户组对设置进行配置。每台计算机上的配置文件支持功能也得到了改进。现在有一个配置文件用于将机器连接到域、一个配置文件用于专有网络连接、另一个配置文件用于公共网络连接（如无线热点）。策略可以轻松导入或导出，这样就简化了管理多台计算机的防火墙的配置工作。

（本文译自《ComputerWorld》）