大多数Windows系统管理员都知道组策略管理是管理用户,安全和网络策略的不可或缺的工具。
Windows Server 2016 对组策略进行了一些小的更改,并包含管理员应考虑的许多新策略设置。
对于管理移动设备的管理员而言,某些策略尤其值得注意。例如,Windows Server 2016在appprivacy.admx模板中包含一套应用程序管理组策略。这些允许Windows应用程序访问本地工具,例如日历,通话记录,联系人,相机,电子邮件,位置,消息,麦克风,动作,无线电,帐户信息,可信设备和同步。
管理员可以将各种模板中的新组策略设置应用于:
- 阻止使用Windows运行时API访问启动Windows应用商店应用(appxruntime.admx);
- 禁用Microsoft消费者体验报告(cloudcontent.admx);
- 允许输入个性化(globalization.admx);
- 阻止不受信任的字体(grouppolicy.admx);
- 切换用户对构建的控制并切换遥测的使用(datacollection.admx);
- 停止显示Windows提示(cloudcontent.admx)。
Windows Server 2016还为组策略管理添加了许多安全策略和功能。例如,管理员可以: - 禁用预发布功能或设置(datacollection.admx);
- 关闭密钥管理服务客户端和在线地址验证系统验证(avsvalidationgp.admx);
- 使用增强的反欺骗技术(biometrics.admx);
- 分配默认凭据提供程序(credentialproviders.admx)。
某些新的组策略设置专用于加密操作。管理员可以使用ciphersuiteorder.admx模板设置椭圆曲线加密顺序,或使用lanmanserver.admx设置密码套件顺序或强制使用密码套件顺序。
这些新策略主要用于Windows Server ; Windows Nano Server不直接支持组策略。但是,管理员可以将其他策略应用于核心应用程序,如Internet Explorer 10,Microsoft Edge等。