組策略最佳實踐

2021-10-02 03:56:30 字數 3998 閱讀 8301

這是有關網路上組策略最佳實踐的最全面指南。

我明白:

當您在整個域中應用了多個

gpo時,組策略可能會變得複雜,複雜,並且可能很難進行故障排除。

但這是踢球者:

實施組策略實際上非常簡單。

在本指南中,您將學習有關組策略設計和實施最佳實踐所需的所有知識。這些是我本人和許多其他

it專業人員使用的可靠技巧和技術。

警告:組策略並非一刀切。每個

active directory

環境都是不同的,並且沒有針對組策略的

cookie

裁剪器解決方案。這些最佳做法在我管理的環境中效果很好,但可能不適用於您的環境。最好計畫和測試對組策略的任何更改。乙個小的更改可能會導致重大問題並影響關鍵的業務服務。

我建議您閱讀所有內容,因為有些內容如果不進一步閱讀可能沒有意義。

pdf版本(包括兩個提示)

1.不要修改預設域策略

此gpo

僅應用於帳戶策略設定,密碼策略,帳戶鎖定策略和

kerberos

策略。其他任何設定都應放在單獨的

gpo中。預設域策略是在域級別設定的,因此所有使用者和計算機都可以使用此策略。

2.不要修改預設域控制器策略

該gpo

應該僅包含使用者許可權分配策略和審核策略。域控制器的任何其他設定都應在單獨的

gpo中進行設定。

3.良好的ou結構將使您的工作輕鬆10

良好的ou

結構可簡化組策略的應用和故障排除。我更喜歡將使用者和計算機分成他們自己的

ou,然後為每個部門或業務職能建立子ou。

ou結構示例。

將使用者和計算機放在單獨的

ou中可以更輕鬆地將計算機策略應用於所有計算機,而將使用者策略僅應用於使用者。

相關:21

個有效的

active directory

管理技巧

4.不要在域級別設定gpo

應該在域級別設定的唯一

gpo是

「預設域策略

」。在域級別設定的任何內容都將應用於所有使用者和計算機物件。這可能會導致將各種設定應用到您不需要的物件。最好在更詳細的級別應用策略。

5.ou根級別應用gpo在ou

級別應用

gpo將允許子

ou繼承這些策略。這樣,您無需將策略鏈結到每個單獨的

ou。如果您有不想繼承設定的使用者或計算機,則可以將它們放在自己的

ou中,然後將策略直接應用於該

ou。下面是乙個例子。

windows 10

設定包含乙個在

30分鐘後開啟螢幕保護程式的策略。此策略應用於

winadpro

計算機ou

,因此子

ou將繼承此策略。我有乙個不希望應用此策略的培訓實驗室,因此,我建立了乙個

gpo目錄並將其鏈結到禁用了螢幕保護程式的

training lab ou

。此直接鏈結的

gpo將具有優先權,並將其應用於繼承的策略。

6.避免使用阻止策略繼承和策略執行

如果您具有良好的

ou結構,則很可能避免使用阻止策略繼承和使用策略強制。我發現在域中均未設定組策略的情況下,對組策略進行管理和故障排除要容易得多。

7.不要禁用gpo

如果gpo

鏈結到ou

,並且您不希望將其鏈結,則將其刪除而不是禁用它。從

ou中刪除鏈結不會刪除

gpo,而只是從

ou中刪除鏈結。禁用

gpo將阻止其完全在域上進行處理,這可能會導致問題。

8.使用描述性gpo名稱

能夠根據名稱快速識別

gpo的工作,將使組策略管理更加容易。為

gpo賦予通用名稱(如膝上型電腦設定)是通用名稱,會使人們感到困惑。一些很好的例子是瀏覽器設定,電源設定,

ms office

策略,關閉螢幕保護程式和

citrix receiver

。這些都是描述性的,一看名稱便可以清楚地知道該政策的作用。

9.通過禁用未使用的計算機和使用者配置來加速gpo處理

例如,我有乙個稱為瀏覽器設定的

gpo,它僅配置了計算機設定,沒有使用者設定,因此,我已禁用了此

gpo的使用者配置。這將加速組策略處理。

相關:如何使用

rsop

來檢查組策略設定並對其進行故障排除

10.針對特定用例使用回送處理

簡而言之,環迴處理將接受使用者設定並將這些設定限制為

gpo所應用到的計算機。它非常有用,但是如果使用不當也會引起問題。環迴處理的常見用法是在終端伺服器和

citrix

伺服器上。使用者正在登入到伺服器,並且當他們僅登入到那些伺服器時,您需要應用特定的使用者設定。您將需要建立乙個

gpo,啟用回送處理並將其應用於其中包含伺服器的ou。

11.實施組策略的變更管理

如果讓所有管理員根據需要進行更改,則組策略可能會失控。

變更管理可能很可怕,並且確實會使專案變慢。

我並不是說所有組策略更改都應經過正式的更改管理流程,但應與管理層討論並記錄在案。

gpo的乙個小更改可能會向服務台傳送大量**。它確實發生了,因此最好討論並記錄對

gpo的更改。

12.使用小型gpo簡化管理

容易陷入將所有內容填充到乙個

gpo中的陷阱。

我也為此感到內,

而且管理起來很頭疼。

確實沒有理由這樣做,許多小型

gpo不會影響效能。小型

gpo使故障排除,管理,設計和實施的難度提高了

10倍。

以下是將

gpo分解為較小策略的一些方法:

13.組策略執行的最佳實踐

以下是一些可能導致啟動和登入時間變慢的設定。

對映距離較遠的家庭驅動器

通過組策略首選項部署大型印表機驅動程式

通過ad組成員身份過度使用組策略篩選

使用過多的wmi篩選器

通過慢速鏈結鏈結到使用者或計算機的大量gpo。

組策略知識

1 組策略中包含兩部分 1 計算機配置 針對計算機的配置,只在計算機上生效。計算機啟動的時候應用,在出現登入界面前。2 使用者配置 針對使用者的配置,只在所有使用者帳戶上生效。使用者登入後應用。2 根據應用範圍將組策略分為三類 1 域的組策略 設定對於整個域都生效。在 ad使用者和計算機 中,右擊網...

組策略更新命令

對於windows 2000域來說,如果你想讓新修改的計算機策略立即生效的話,可以依次單擊 開始 執行 命令,開啟系統執行對話方塊,並在其中輸入字串命令 cmd 單擊 確定 按鈕後,將windows系統切換到ms dos工作模式下 接著在dos命令提示符下,輸入字串命令 secedit refres...

關於組策略配置

一 rsop自動檢測法 要想恢復組策略的設定,最簡單的方法無非是逐一檢視策略專案。在預設情況下,策略專案的 狀態 顯示應為 未被配置 如圖1 如果被他人進行了更改,則會顯示 已啟用 或 已禁用 的提示。不過組策略中的設定項 多如牛毛 想要在眾多項中找到被修改的位置,顯然太過費時費力,這時不妨試試簡單...