组策略最佳实践之“降龙十八掌”
 
降龙十八掌第一式——亢龙有悔:单独保留默认的GPOs(推荐)
1Default Domain Policy & Default Domain Controllers Policy
密码、帐户锁定和Kerberos策略设置必须在域级别实现(如果在OU级别上去做,只是对计算机的本地用户生效而不是域用户)
还有以下设置:登录时间用完自动注销用户,重命名(Domain)管理员帐户和重命名(Domain)来宾帐户。这些策略也必须在域级别实现,也是只有这些策略需要在域级别上设置。
2、使用以下两种方法:
   1)在Default Domain Policy仅修改以上策略设置,然后在其下链接其他GPO
   2)单独保留Default Domain Policy永不修改,创建并链接高优先级的GPO
然后修改策略设置(推荐)
1、为什么因为恢复损坏的默认的GPOs是个噩梦?(KB 226243KB 324800
KB267553
4、不要依赖DCgpofix(这将是最后的还原工具),Dcgpofix还原默认的GPOs到干净的安装状态。最好的方法使用您的备份替代!
 
降龙十八掌第二式——飞龙在天:设计OU结构
1、DC放在DC所在的OU里并单独管理
2、为用户和计算机创建单独的OU
3、使用OU把用户/计算机按照角色分组,
例如:
(1)    计算机:邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等
(2)    域控制器:保留在默认的Domain controllers OU下(链接Default Domain Controller Policy GPO
(3)    用户:IT职员、工程师、车间、移动用户等
4、默认情况下,所有新帐户创建在cn=users或者cn=computers(不能链接GPO),所以如果是Windows 2003域:
(1)    在域中使用“redirusr.exe”和“redircmp.exe”指定所有新计算机/用户帐户创建时的默认OU
(2)    允许使用组策略管理新创建的帐户
(使用“redirusr.exe”和“redircmp.exe”两个命令,为使重定向成功,在目录域中的域功能级别必须至少是windows server 2003,这两个工具是内置的,示例:所用域的名字是zxy.xy,让新计算机加入到域,默认注册到TESTOU中去,进入命令提示符:c:\>redircmp “ou=test,dc=zxy,dc=xy”用户的相同)
(命令创建计算机帐户:c:>net computer \\computername /add
 
降龙十八掌第三式——龙战于野:反对跨域GPO链接
如果你公司是多域环境,绝对不要把父域的GPO链接到子域来使用,相反亦然。
1、将明显的影响处理时间
(1)    通过线缆取GPO的时间
(2)    使排错和客户端处理GPO的速度非常慢
2、违反KISS规则(使问题变的简单规则)
在一个域更改GPO设置将影响另外一个域(如果想使用相同的GPO,可以先在源域上备份或导出,然后在目标域做导入,或利用GPMC进行复制粘贴)
3、使用GPMC脚本来帮助部署和维护跨域的组策略的一致性
(1)    CreateEnvironmentFromXML.wsf
(2)    CreateXMLFromEnvironment.wsf
(例:我不是一个父域子域,我是一个测试域,我测试完了就链接到生产环境中来用,测试域跟生产域没关系,测试完了GPO没问题,然后就拿到生产环境来使用,可以通过复制粘贴,另外还可以使用脚本CreateEnvironmentFromXML.wsf去把测试环境中所有的OU、所有的GPOGPOOU的链接、GPO的设置,全部保存成一个XML文件,然后把XML的文件复制到生产的域,在生产的域安装GPMC,运行CreateXMLFromEnvironment.wsf这个脚本,他可以帮你从XML文件中把所有在测试环境中的OU,所有GPOGPOOU的链接、GPO的设置,甚至可以把和GPO相关的用户帐号和组帐号全部给他创建出来,所以这两个脚本可以很平滑的把测试环境到生产环境的组策略迁移的一个过程,而且很利害,他不仅可以迁组策略对象,还可以把OU给建出来,把组策略对象给建出来,他会自动的把组策略对象给链接到OU,还可以自动创建跟组策略相关的帐号,例用户帐号)
 
降龙十八掌第四式——潜龙勿用:谨慎使用强制/禁止替代/阻止继承、回环处理模式
1、增加了处理时间,增加了排错的难度
可以在域级别强制一个标准策略,但是不要使用阻止继承
2、回环处理模式会给排错带来负担,但是有特定的场景使用
(1)    通常用于保证等于的每一个用户都能获得相同的配置
(2)    用于特定的计算机(例如:公共场所的电脑,图书馆,还有教室),需要基于使用的计算机来修改用户策略
(3)    经常用户终端服务实现
(4)    KB 231287
 
降龙十八掌第五——利涉大川:使一切简单化
1、考虑以下几点:
(1)    每增加一个GPO都会增加复杂性(默认情况Client最多可处理999GPO
(2)    限制谁能创建/修改/链接GPOs(委派)
(3)    回环处理/强制/阻止继承使事情变得复杂
2、KISS:如果可能的话,使用以下三个层次的GPO
(1)    默认的域策略(用户帐户设置)
(2)    一个基线的安全策略(强制应用到域中的每个用户,每台计算机)
(3)    一个指定OU的策略(专门针对某个OU包含一些唯一设置的GPO
3、反对为每一个GPO设置安全过滤器(安全过滤器的好处是GPO只对指定的用户或组生效,不是非常必要的话,不要用安全过滤器,同样会增加处理GPO的负担的)
4、仅仅对每个GPO中需要的设置做修改,其他保留默认状态(未配置)
 
降龙十八掌第六式——鸿渐于陆:在GPMC中进行所有的操作
1、使用GPMCRSOP工具
2、文档化GPO的设置
3、进行委派
4、所有的启用、禁用、链接、强制等(使用它禁用所有GPO中不使用的部分用户或计算机略微的改进处理时的性能)
5、在测试环境和生产环境进行迁移
6、GPMC一起安装很多的脚本(c:\programfiles\gpmc\scripts
 
降龙十八掌第七——突如其来:使用GPO规划工具
1、所有的GPO设置参考
   [url]http://www.microsoft.com/downloads/details.aspx?familyid=[/url]7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
2XP SP2-specific(详细)
详细指南:
 
降龙十八掌第八式——震惊百里:即使没有改变设置也强制重新应用策略
1、使用于当用户是客户计算机的本地管理员组的成员的场景(要了解组策略的应用模式,首先用户登录后,要应用GPO的策略设置,以后就会有这样的一个问题,如果你不对这个GPO里的策略进行任何修改,那么客户端就不会再应用,因为客户端会检测GPO的版本号,只有对GPO更改过,版本号才不同,客户端才会去下载应用,如果没有改过,版本还一样,客户端就不会再去下载,重新刷新这个策略,用强制策略处理,可以把修改的一些策略刷新)
1)在组策略应用以后覆盖指定的设置
2)默认情况下,组策略只会检查有没有新的策略设置可用,然后在后台刷新
2、强制策略再次处理:
1)计算机或用户配置-> 管理模板-> 系统-> 组策略-> [每一种策略的类型]策略处理(需要启用以下节点:注册表、IE、软件安装、文件夹重定向、脚本、安全性、IPSec、无线、EFS、磁盘配额)
2)每个节点:(选择:启用“即使尚未更改组策略对象也要进行处理”)
3、处理每个节点:考虑禁用“允许通过慢速网络连接进行处理”,例如:“软件安装”禁用掉客户端就不会装这个软件,
 
降龙十八掌第九式——或跃在渊:使Windows XP同步处理组策略
1Windows XP默认是异步处理组策略
   无需等网络响应(XP应用过GPO就会在本地有个缓存的),这种异步处理方式大大缩短了XP客户端所需要的引导与登录时间,可是处理文件夹重定项等都会有延迟,这将会影响到排错。
2Windows 2000默认是同步处理组策略
3、我们应该:
   1)不想让操作系统来决定组策略的处理方式
   2)也不想其它因素影响排错
4、这个策略的位置在:计算机配置>管理模板>系统>登录>计算机启动和登录时总是等待网络(这个启用后,XP就使用同步处理的方式,这样应用GPO就不会有延迟了)
 
Continuation....