组策略：取代还是增强？

    活动目录合规工具有望提高可见性、简化管理工作，但厂商采用的方法大不相同。大型套件试图满足活动目录或整个企业内部的多项合规需求；而比较有针对性的产品旨在满足网络访问控制、身份管理和日志聚合等特定需求。

    致力于组策略的产品一般走两条路线当中的某一条：一条是通过堵住最常见漏洞的扩展来增强组策略，常常辅以增强型图形用户界面和报告功能；另一条是完全用一大批部署和监控工具来取代组策略。

    你要决定到底是需要针对组策略的单点产品（IT基础架构中很狭窄但很重要的组件），还是选择一款更全面的合规套件，走更具战略性的道路？你要认真研究一下手头拥有的工具。

    如果你愿意费一点劲，就会发现需要的核心功能可能已摆在你面前。资产管理套件往往拥有资产清查和报告功能，稍稍配置一番，就能够收集必要的信息。比方说，微软的系统管理服务器（Systems Management Server）中的“期望配置管理器”（Desired Configuration Manager）功能可以用来按照名为“清单”（manifest）的预定义设置模板，进行审计和报告。

    不过要注意：DCM不适合胆小怕事者，如果你还没有升级到系统管理服务器的最新版本：系统中心配置管理器2007（System Center Configuration Manager 2007），更是如此。

    附文：按部就班

• ·下面教你如何在提高端点安全的同时，满足活动目录策略合规需求：
• ·评估风险。采用有条理的方法来确定威胁的严重程度，首先着眼于最严重的威胁。
• ·明确定义策略。使用可适用的合规要求，依赖相关方面的非常好的实践。
• ·根据策略来制订技术控制措施。充分利用组策略及其他现有工具来执行设置。
• ·堵住漏洞。确定是开发还是购买能够处理审计和报告工作的工具。