组策略最佳实践之降龙十八掌希望对大家有用.docVIP

组策略最佳实践之 降龙十八掌 希望对大家有用！ 降龙十八掌第一式——亢龙有悔：单独保留默认的GPOs（推荐）1、Default Domain Policy Default Domain Controllers Policy密码、帐户锁定和Kerberos策略设置必须在域级别实现（如果在OU级别上去做，只是对计算机的本地用户生效而不是域用户）还有以下设置：登录时间用完自动注销用户，重命名（Domain）管理员帐户和重命名（Domain）来宾帐户。这些策略也必须在域级别实现，也是只有这些策略需要在域级别上设置。2、使用以下两种方法：? ?（1）在Default Domain Policy仅修改以上策略设置，然后在其下链接其他GPO? ?（2）单独保留Default Domain Policy永不修改，创建并链接高优先级的GPO，然后修改策略设置（推荐）1、为什么因为恢复损坏的默认的GPOs是个噩梦？（KB 226243、KB 324800 — KB267553）4、不要依赖DCgpofix（这将是最后的还原工具），Dcgpofix还原默认的GPOs到干净的安装状态。最好的方法使用您的备份替代！降龙十八掌第二式——飞龙在天：设计OU结构1、将DC放在DC所在的OU里并单独管理2、为用户和计算机创建单独的OU3、使用OU把用户/计算机按照角色分组，例如：（1）? ? 计算机：邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等（2）? ? 域控制器：保留在默认的Domain controllers OU下（链接Default Domain Controller Policy GPO）（3）? ? 用户：IT职员、工程师、车间、移动用户等4、默认情况下，所有新帐户创建在cn=users或者cn=computers（不能链接GPO），所以如果是Windows 2003域：（1）? ? 在域中使用“redirusr.exe”和“redircmp.exe”指定所有新计算机/用户帐户创建时的默认OU（2）? ? 允许使用组策略管理新创建的帐户（使用“redirusr.exe”和“redircmp.exe”两个命令，为使重定向成功，在目录域中的域功能级别必须至少是windows server 2003，这两个工具是内置的，示例：所用域的名字是zxy.xy，让新计算机加入到域，默认注册到TEST的OU中去，进入命令提示符：c:\redircmp “ou=test,dc=zxy,dc=xy”用户的相同）（命令创建计算机帐户：c:net computer [url=file://computername/]\\computername[/url] /add）降龙十八掌第三式——龙战于野：反对跨域GPO链接如果你公司是多域环境，绝对不要把父域的GPO链接到子域来使用，相反亦然。1、将明显的影响处理时间（1）? ? 通过线缆取GPO的时间（2）? ? 使排错和客户端处理GPO的速度非常慢2、违反KISS规则（使问题变的简单规则）在一个域更改GPO设置将影响另外一个域（如果想使用相同的GPO，可以先在源域上备份或导出，然后在目标域做导入，或利用GPMC进行复制粘贴）3、使用GPMC脚本来帮助部署和维护跨域的组策略的一致性（1）? ? CreateEnvironmentFromXML.wsf（2）? ? CreateXMLFromEnvironment.wsf（例：我不是一个父域子域，我是一个测试域，我测试完了就链接到生产环境中来用，测试域跟生产域没关系，测试完了GPO没问题，然后就拿到生产环境来使用，可以通过复制粘贴，另外还可以使用脚本CreateEnvironmentFromXML.wsf去把测试环境中所有的OU、所有的GPO、GPO到OU的链接、GPO的设置，全部保存成一个XML文件，然后把XML的文件复制到生产的域，在生产的域安装GPMC，运行CreateXMLFromEnvironment.wsf这个脚本，他可以帮你从XML文件中把所有在测试环境中的OU，所有GPO、GPO到OU的链接、GPO的设置，甚至可以把和GPO相关的用户帐号和组帐号全部给他创建出来，所以这两个脚本可以很平滑的把测试环境到生产环境的组策略迁移的一个过程，而且很利害，他不仅可以迁组策略对象，还可以把OU给建出来，把组策略对象给建出来，他会自动的把组策略对象给链接到OU，还可以自动创建跟组策略相关的帐号，例用户帐号）降龙十八掌第四式——潜龙勿用：谨慎使用强制/禁止替代/阻止继承、回环处理模式1、增加了处理时间，增加了排错的难度可以在域级别强制一个标准策略，但是不要使用阻止继承2、回环