這是有關網路上組策略最佳實踐的最全面指南。
我明白:
當您在整個域中應用了多個
gpo時,組策略可能會變得複雜,複雜,並且可能很難進行故障排除。
但這是踢球者:
實施組策略實際上非常簡單。
在本指南中,您將學習有關組策略設計和實施最佳實踐所需的所有知識。這些是我本人和許多其他
it專業人員使用的可靠技巧和技術。
警告:組策略並非一刀切。每個
active directory
環境都是不同的,並且沒有針對組策略的
cookie
裁剪器解決方案。這些最佳做法在我管理的環境中效果很好,但可能不適用於您的環境。最好計畫和測試對組策略的任何更改。乙個小的更改可能會導致重大問題並影響關鍵的業務服務。
我建議您閱讀所有內容,因為有些內容如果不進一步閱讀可能沒有意義。
pdf版本(包括兩個提示)
1.不要修改預設域策略
此gpo
僅應用於帳戶策略設定,密碼策略,帳戶鎖定策略和
kerberos
策略。其他任何設定都應放在單獨的
gpo中。預設域策略是在域級別設定的,因此所有使用者和計算機都可以使用此策略。
2.不要修改預設域控制器策略
該gpo
應該僅包含使用者許可權分配策略和審核策略。域控制器的任何其他設定都應在單獨的
gpo中進行設定。
3.良好的ou結構將使您的工作輕鬆10倍
良好的ou
結構可簡化組策略的應用和故障排除。我更喜歡將使用者和計算機分成他們自己的
ou,然後為每個部門或業務職能建立子ou。
ou結構示例。
將使用者和計算機放在單獨的
ou中可以更輕鬆地將計算機策略應用於所有計算機,而將使用者策略僅應用於使用者。
相關:21
個有效的
active directory
管理技巧
4.不要在域級別設定gpo
應該在域級別設定的唯一
gpo是
「預設域策略
」。在域級別設定的任何內容都將應用於所有使用者和計算機物件。這可能會導致將各種設定應用到您不需要的物件。最好在更詳細的級別應用策略。
5.在ou根級別應用gpo。在ou
級別應用
gpo將允許子
ou繼承這些策略。這樣,您無需將策略鏈結到每個單獨的
ou。如果您有不想繼承設定的使用者或計算機,則可以將它們放在自己的
ou中,然後將策略直接應用於該
ou。下面是乙個例子。
windows 10
設定包含乙個在
30分鐘後開啟螢幕保護程式的策略。此策略應用於
winadpro
計算機ou
,因此子
ou將繼承此策略。我有乙個不希望應用此策略的培訓實驗室,因此,我建立了乙個
gpo目錄並將其鏈結到禁用了螢幕保護程式的
training lab ou
。此直接鏈結的
gpo將具有優先權,並將其應用於繼承的策略。
6.避免使用阻止策略繼承和策略執行
如果您具有良好的
ou結構,則很可能避免使用阻止策略繼承和使用策略強制。我發現在域中均未設定組策略的情況下,對組策略進行管理和故障排除要容易得多。
7.不要禁用gpo
如果gpo
鏈結到ou
,並且您不希望將其鏈結,則將其刪除而不是禁用它。從
ou中刪除鏈結不會刪除
gpo,而只是從
ou中刪除鏈結。禁用
gpo將阻止其完全在域上進行處理,這可能會導致問題。
8.使用描述性gpo名稱
能夠根據名稱快速識別
gpo的工作,將使組策略管理更加容易。為
gpo賦予通用名稱(如膝上型電腦設定)是通用名稱,會使人們感到困惑。一些很好的例子是瀏覽器設定,電源設定,
ms office
策略,關閉螢幕保護程式和
citrix receiver
。這些都是描述性的,一看名稱便可以清楚地知道該政策的作用。
9.通過禁用未使用的計算機和使用者配置來加速gpo處理
例如,我有乙個稱為瀏覽器設定的
gpo,它僅配置了計算機設定,沒有使用者設定,因此,我已禁用了此
gpo的使用者配置。這將加速組策略處理。
相關:如何使用
rsop
來檢查組策略設定並對其進行故障排除
10.針對特定用例使用回送處理
簡而言之,環迴處理將接受使用者設定並將這些設定限制為
gpo所應用到的計算機。它非常有用,但是如果使用不當也會引起問題。環迴處理的常見用法是在終端伺服器和
citrix
伺服器上。使用者正在登入到伺服器,並且當他們僅登入到那些伺服器時,您需要應用特定的使用者設定。您將需要建立乙個
gpo,啟用回送處理並將其應用於其中包含伺服器的ou。
11.實施組策略的變更管理
如果讓所有管理員根據需要進行更改,則組策略可能會失控。
變更管理可能很可怕,並且確實會使專案變慢。
我並不是說所有組策略更改都應經過正式的更改管理流程,但應與管理層討論並記錄在案。
gpo的乙個小更改可能會向服務台傳送大量**。它確實發生了,因此最好討論並記錄對
gpo的更改。
12.使用小型gpo簡化管理
容易陷入將所有內容填充到乙個
gpo中的陷阱。
我也為此感到內,
而且管理起來很頭疼。
確實沒有理由這樣做,許多小型
gpo不會影響效能。小型
gpo使故障排除,管理,設計和實施的難度提高了
10倍。
以下是將
gpo分解為較小策略的一些方法:
13.組策略執行的最佳實踐
以下是一些可能導致啟動和登入時間變慢的設定。
對映距離較遠的家庭驅動器
通過組策略首選項部署大型印表機驅動程式
通過ad組成員身份過度使用組策略篩選
使用過多的wmi篩選器
通過慢速鏈結鏈結到使用者或計算機的大量gpo。
組策略知識
1 組策略中包含兩部分 1 計算機配置 針對計算機的配置,只在計算機上生效。計算機啟動的時候應用,在出現登入界面前。2 使用者配置 針對使用者的配置,只在所有使用者帳戶上生效。使用者登入後應用。2 根據應用範圍將組策略分為三類 1 域的組策略 設定對於整個域都生效。在 ad使用者和計算機 中,右擊網...
組策略更新命令
對於windows 2000域來說,如果你想讓新修改的計算機策略立即生效的話,可以依次單擊 開始 執行 命令,開啟系統執行對話方塊,並在其中輸入字串命令 cmd 單擊 確定 按鈕後,將windows系統切換到ms dos工作模式下 接著在dos命令提示符下,輸入字串命令 secedit refres...
關於組策略配置
一 rsop自動檢測法 要想恢復組策略的設定,最簡單的方法無非是逐一檢視策略專案。在預設情況下,策略專案的 狀態 顯示應為 未被配置 如圖1 如果被他人進行了更改,則會顯示 已啟用 或 已禁用 的提示。不過組策略中的設定項 多如牛毛 想要在眾多項中找到被修改的位置,顯然太過費時費力,這時不妨試試簡單...