幾乎每個(gè)企業(yè)都有一個(gè)標(biāo)準(zhǔn)化配置來(lái)設(shè)置新電腦，它常常在圖像文件中建立并據(jù)此部署。雖然這個(gè)方法有效，企業(yè)的標(biāo)準(zhǔn)配置卻隨時(shí)間變化。一些組策略的設(shè)置可以幫助我們將標(biāo)準(zhǔn)化的配置部署到每臺(tái)計(jì)算機(jī)上，因?yàn)檫@樣可以讓變動(dòng)部分以統(tǒng)一的方式實(shí)施，確保每臺(tái)計(jì)算機(jī)運(yùn)行的都是當(dāng)前的標(biāo)準(zhǔn)配置。

基于圖像配置的弊端

部署計(jì)算機(jī)時(shí)，一般做法是：管理員先在一臺(tái)計(jì)算機(jī)上安裝Windows操作系統(tǒng)，然后對(duì)系統(tǒng)進(jìn)行手工微調(diào)。接著使用SYSPREP去除這臺(tái)計(jì)算機(jī)在操作系統(tǒng)中的私有信息（如SID或計(jì)算機(jī)名），最后將這臺(tái)計(jì)算機(jī)的硬驅(qū)制成圖像并部署到其它計(jì)算機(jī)。

第一次啟動(dòng)圖像時(shí)，Windows運(yùn)行一個(gè)包括基本配置問(wèn)題（這是因?yàn)閳D像是通用的）的小型安裝。為Windows提供一個(gè)應(yīng)答文件有可能省去這個(gè)過(guò)程。但是，請(qǐng)記住，應(yīng)答文件通常都用于自動(dòng)安裝過(guò)程，且假設(shè)我們?cè)趫D像文件中已經(jīng)做好了自定義設(shè)置，問(wèn)題就隱藏在這里。

Windows提供了幾百個(gè)不同的設(shè)置選項(xiàng)讓我們配置。雖然其中一些設(shè)置是全局性的，另一些則是針對(duì)用戶(hù)的，適用于用戶(hù)配置文件級(jí)別。

例如，在使用圖像部署一臺(tái)計(jì)算機(jī)前，你更改了電源管理設(shè)置并禁用了Windows Vista的側(cè)邊欄。然后，你用Sysprep標(biāo)準(zhǔn)化機(jī)器，創(chuàng)建一個(gè)圖像并將它部署到另一臺(tái)計(jì)算機(jī)。用戶(hù)第一次登錄到該計(jì)算機(jī)時(shí)，自定義的電源管理設(shè)置仍然有效，但在默認(rèn)情況下，Windows側(cè)邊欄會(huì)被啟用。這是因?yàn)閃indows側(cè)邊欄的配置基于用戶(hù)配置文件級(jí)別。新用戶(hù)第一次登錄時(shí)會(huì)創(chuàng)建一個(gè)新的配置文件，這個(gè)新的配置文件應(yīng)用了Windows的默認(rèn)設(shè)置。

還有一個(gè)基于圖像配置的問(wèn)題是，標(biāo)準(zhǔn)配置會(huì)隨著時(shí)間變化：現(xiàn)在的配置和一年前的配置很可能完全不同。

正因?yàn)槿绱?，?yīng)該在運(yùn)行Sysprep之前盡量避免對(duì)計(jì)算機(jī)進(jìn)行手動(dòng)配置。相反地，我們應(yīng)該更多地使用計(jì)算機(jī)的本地安全策略來(lái)進(jìn)行配置。

使用本地安全策略

我發(fā)現(xiàn)很多管理員很少使用本地安全策略，因?yàn)楫?dāng)用戶(hù)登入網(wǎng)絡(luò)時(shí)它的配置會(huì)被覆蓋。但不管怎樣，本地安全策略還是有它的用處。對(duì)于初學(xué)者來(lái)說(shuō)，組策略（包括本地安全策略）幾乎可以實(shí)現(xiàn)Windows所有方面的自定義。例如，微軟提供管理模板來(lái)自定義Office的設(shè)置。

具體來(lái)說(shuō)，本地安全策略的目的是保護(hù)沒(méi)有接入網(wǎng)絡(luò)的計(jì)算機(jī)。因此，即使用戶(hù)登錄到本地，創(chuàng)建一個(gè)本地安全策略也可以確保它是標(biāo)準(zhǔn)的配置。當(dāng)然，本地安全策略只是針對(duì)計(jì)算機(jī)本身的配置，無(wú)法集中管理。隨著時(shí)間變化，你的計(jì)算機(jī)本地安全策略的配置最終還是會(huì)過(guò)時(shí)。

幸運(yùn)的是，組策略是層次化的結(jié)構(gòu)。基于網(wǎng)絡(luò)層面的組策略對(duì)象（GPO）可以提供跟本地安全策略相同的設(shè)置，且在它們之間有沖突時(shí)，本地安全政策的優(yōu)先級(jí)是最低的。這意味著，如果一個(gè)策略的設(shè)置過(guò)時(shí)了，我們可以從網(wǎng)絡(luò)層面的組策略上更新設(shè)置，它就可以覆蓋本地安全策略的設(shè)置。

所有這些都讓我們不得不提出一個(gè)很重要的問(wèn)題：如果本地安全策略在登入網(wǎng)絡(luò)時(shí)會(huì)被網(wǎng)絡(luò)上的組策略覆蓋，為什么還要費(fèi)心地去用它們，況且它們最終還是會(huì)過(guò)時(shí)？

當(dāng)你的標(biāo)準(zhǔn)配置發(fā)生變化時(shí)，在一個(gè)特定的時(shí)間內(nèi)只是會(huì)有少數(shù)的設(shè)置發(fā)生改變，一個(gè)企業(yè)在一夜之間改變所有組策略設(shè)置的情況非常罕見(jiàn)?？紤]到這一點(diǎn)，我們假設(shè)一臺(tái)計(jì)算機(jī)有一個(gè)過(guò)時(shí)的本地安全策略，而網(wǎng)絡(luò)層面的組策略保持最新。如果有人在本地登錄，本地安全策略仍然會(huì)提供一定程度的保護(hù)，而且保持它安裝時(shí)的標(biāo)準(zhǔn)配置。這通常比保持Windows的默認(rèn)設(shè)置要好很多。

這樣也會(huì)產(chǎn)生爭(zhēng)論：既然手動(dòng)設(shè)置加上Sysprep圖像的方式也可以達(dá)到相同目的，如果沒(méi)有網(wǎng)絡(luò)層面組策略的強(qiáng)制設(shè)置，手工設(shè)置仍然會(huì)有效，那為什么還要建立一個(gè)本地安全策略？

理由是本地安全策略可以在一個(gè)地方進(jìn)行所有的設(shè)置。當(dāng)Sysprep的鏡像過(guò)時(shí)了，它需要更換，你可以只修改本地安全策略來(lái)匹配現(xiàn)在的標(biāo)準(zhǔn)配置，而不用在系統(tǒng)中的多個(gè)不同地方手動(dòng)修改其設(shè)置。

總之，雖然可以手動(dòng)配置Sysprep圖像，但是只要可能，最好還是通過(guò)組策略設(shè)置來(lái)實(shí)施配置的更改。