一个优化过的FCS 可以承载更多的客户端，可以节省更多的硬件投资，可以预留更多的升级空间。本文从四个方面阐述了优化FCS 的方法。

      当Forefront Client Security（以下简称FCS）成功部署，并且运行稳定之后，我们需要做什么？对，就是优化。作为一个优秀的IT Pro，我们需要有足够的主动性，无论技术的成长还是人格的成长，我们都需要主动去挑战，只有挑战自己，才能让我们百尺竿头更进一步。从原理上来说，优化的
动作完全可以用Troubleshooting的思路来理解。优化，就是要找出整个系统中的瓶颈，并且将瓶颈拓宽，使得整个系统更加流畅，并且在优化的过程中为将来的升级、优化做好准备，准备好资料。因此一个优化过的FCS可以承载更多的客户端，可以节省更多的硬件投资，可以预留更多的升级空间。下文从四个方面阐述了优化FCS的方法。

      FCS在AD中策略的优化
      FCS是一个系统，一个安全防护的系统，思路就是利用集中化管理，减少安全问题带来的损失，同时减少人工维护量，降低维护成本。

      在优化之前，我们首先要明白，在真实的企业环境中，PC的重要等级之分，是根据使用这台PC的人，以及他在此PC存放的数据，进行的操作。因此，我们在FCS中的安全策略就需要对不同安全需求的群体进行不同的设置，因为FCS的安全策略是通过AD进行部署以及管控，并且，每台PC只能接受一个Client Security的策略。在域中，PC与OU组织结合的越好，FCS的策略就越简单。

图1为策略架构图。

     在Active Directory中，目标电脑上策略的接受原则是一种类似最近优先并且包容的模式，先接受最近一层的策略，然后再接受远一层的策略，一直套用到最后。如果远一层的策略与近一层的策略有矛盾，那么以最近一层的策略为优先原则。由此可以看出，如果每层都套用了一些原则，虽然每层并不多，但是累计起来就会很可观，并且由于对策略的判断，使得电脑启动的速度会降低。因此优化策略的套用，会提高电脑的可用性能。

      在FCS中的安全策略接受原则和Active Directory中策略的接受原则是不同的，FCS的安全策略是完全覆写的原则，也就是说，如果子OU中与父OU中部署了不同的策略，那么，目标电脑接受的策略只有子OU的FCS策略。因此在域中对FCS的策略部署请注意有效性。

………
     上述内容选自《Windows IT Pro Magazine国际中文版》2008年第5期，更多精彩内容，敬请参阅这儿，订阅《Windows IT Pro Magazine国际中文版》，请点击这儿。

      关于作者
      朱炜，富士康科技集团基础架构课课长。微软2008 十大杰出IT 英雄之一。微软Technet 观察员。具有10 余年网络架构规划、I T 管理系统规划、I T 运维管理的实际经验。

全文共1860字节