组策略最佳实践

1、组策略最佳实践组策略最佳实践|组策略|组策略编辑器 oubleshooting debug：无数伴侣在学习ad的时候都会碰到这样那样的问题，急于四处寻觅解决问题的办法，其实无数的问题都是因为在安装操作时没有遵循规范而导致的，那么这个规范是什么呢？就是 best practices 最佳实践。 最佳实践又到哪里去找呢？在这里，microsoft windows server 2003 techcenter。虽然目前windows 2003的文档仍然不如windows 2000的多，但较之后者更有系统性，可操作性，而且ms向来在持续完美这个文档库，所完成的部分请参看 new and upd col

2、lections。一方面，您可以系统的扫瞄这个文档库的，找到各自的最佳实践，另一方面，也可以用法 best practices 为关键字来搜寻它们。 伴侣们不妨将这些最佳实践保藏起来，结合自己公司的现状形成自己的操作规范，再按照最佳实践中给出的一些checklist定制自己的表单，同时为日常的部署活动建制自己的文档库。那么无论对于规范系统操作，还是工作汇报，工作总结都能够得心应手！（究竟report是很关键的，不是吗：） ok，这个gpo的最佳实践基本笼罩了大家日常策略管理中的操作，给出了不错的建议。就用它为伴侣们揭开这一页！组策略对象最佳实践不要执行未经设置的策略设定 假如gpo中包含有处于

3、未设置状态的设置，您可以通过禁止用户设置或者计算机设置来避开它的执行。这可以加速那些 受此gpo影响的用户、计算机的登陆、启动过程。 （gnaw0725注：组策略中包含用户设置和计算机设置两个部分，即便您未作任何变动，受此策略影响的用户、计算机在登陆或者启动的时候，本地的组策略扩展仍然会查询全部条目，以确定它们的状态。假如禁止应用其中的一部分，明确告知系统不要执行那些条目，将会大大降低查询的时光。可能一个gpo节省的时光微不足道，但数目多了，或者处于慢速链路，就很可观了） 防止从站点，域，ou衔接囫囵gpo （gnaw0725注：同样，当从其他位置链接gpo的时候，尽可能的避开应用囫囵gpo，

4、我们可以禁止gpo的用户或者计算机部分。假如这个链接是跨域的甚至跨site，那么在客户端启动、登陆的时候，这个查询过程时光可能很长） 假如您不再用法某些gpo，请删除它们。 （gnaw0725注：客户端在启动、登陆的时候会查询自己在ad层次架构中所处的位置，对所需应用的gpo形成列表，并依次套用。删除无用gpo无疑能够加快应用的过程。 btw：一个来自ms的建议，除非须要，一个对象上套用的策略不要超过10个） 用法禁止策略继承和不笼罩，需要谨慎。 常常用法它们将会导致策略排错异样困难 （gnaw0725注：从win2k到win2k3，ad在设计到完美，始终保持了层级架构，gpo的层层套用也是基

5、于这一架构，在以最精简为前提下，以默认始终继承上级策略的状态，形成了终于体系。尤其在没有gpmc的win2k的ad中，任意的中断继承，强制向下套用策略，大量用法gpo filter，在一个复杂的ad层级架构中，一旦浮现问题举行错误排查，无疑是个灾害。 btw：在fileserver中名目层级的权限设置，与这一点有些相像。） 不要对不同的gpo用法相同的名字 对不同的gpo用法相同的名字，不会造胜利能性错误，但可能会导致混乱。 （gnaw0725注：在win2k 的ad中新建一个gpo的时候，名字总是一样的，在win2k3 的ad中系统会需要您另外给出一个名字。对于gpo的命名在日常管理规范中应

6、当做出定义，普通最好能够遵循这样的原则：部门-功能-内容提醒） 注重 假如gpo的命名查过255个字符，超出的部分将会被截断。 （gnaw0725注：根据上面的那个原则，普通来说255个英文字符，127个中文字符应当够用了。 btw：ad中无论什么命名最好能够用法英文；dc的语言版本最好能够统一；假如用法工作站安装adminpak举行远程管理，最好能够对语言和gpit的编辑器版本举行统一，比如win2k pro - win2k sever winxp pro - win2k3 server，以避开gpo语言混乱或者发生版本支持性等问题） 最小化gpo用法wmi过滤的数目。 对gpo应用过多的w

7、mi过滤将会导致执行时光变长。 （gnaw0725注：wmi过滤的实质就是执行vbs脚本，狡猾说，即便是win2k3 server sp1搭配winxp pro sp2的架构上，vbs执行效率也不高，特殊是在计算机启动或者用户登录的时候。） 基于平安组成员关系过滤策略。 假如用户在被应用到的gpo上根本没有拜访控制项，那么就可以避开相关的登陆延迟，由于用户根本没有执行那些gpo。 （gnaw0725注：这个就是所谓的gpo filter了，关于它这里有个例子 。一个对象终于能够套用到策略，需要具备两个权限，一个是允许套用套用策略，一个是允许读取该gpo，filter就是在这上面作手脚了。 bt

8、w：上面我们提到，为了避开gpo troubleshooting的问题，这个技巧还是少用 ：） 过滤仅能作用于平安组成员。 （gnaw0725注：明显发布组不是用来做这个的。关于过滤的描述请参看 filter the scope of group policy according to security group membership） 通过在gpo上查看属性对话框中的平安页，可以猎取ace的信息 只在须要的状况下，用法基于计算机的组策略笼罩用户策略。 只在不论谁登陆，都需要保持统一的桌面设置的状况下，用法基于计算机的组策略笼罩用户策略。这种机制就是策略环回，它是在某些特别环境下应用的一种高

9、级策略，例照实验室，教室等公共环境。同样在组策略编辑器中计算机策略管理模板中，您可以用户组策略环回处理模式。 详见：order of processing tings （gnaw0725注：用法策略环回，客户端组策略扩展要么只套用计算机策略，要么就在套用尽用户策略后，再次执行计算机策略，以便笼罩。 btw：策略环回仅能作用于win2k纯环境，并且惟独win2k以上客户端可以支持。） 用法组策略，而非系统策略 系统策略仅用户管理运行windows 2000之前系统的计算机，或者您需要管理自立计算机上的多个用户。 （gnaw0725注：许多从winnt过渡的管理员，都还保持之前惯例，习惯用工作组和系统策略pol来管理用户，这个情况在win2k以上版本的ad中需要得到充实） 避开跨域指派gpo avo assigning group policy objects across domains. 假如从其他域猎取组策略，那么在启动和登陆过程中，应用gpo会比较慢。 不要在特别的驱动器或者名目上用法文件系统策略，比如为ntfs文件复制系统（frs）所同步的sysvol。 在这些对象上用法文件系统策略，将导致不须要的复制，并且会消耗网络带宽。 （gnaw0725注：这里所说的文件系统策略，在计算机设定-windows设置-平安设置-文件