声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。
很多朋友在学习AD的时候都会遇到这样那样的问题,急于四处寻找解决问题的方法,其实很多的问题都是由于在安装操作时没有遵循规范而导致的,那么这个规范是什么呢?就是 Best Practices 最佳实践。又到哪里去找呢?在这里,Microsoft Windows Server 2003 TechCenter。虽然目前windows 2003的文档仍然不如windows 2000的多,但较之后者更有系统性,可操作性,而且MS一直在持续完善这个文档库,所完成的部分请参看 New and Updated Collections。一方面,您可以系统的浏览这个文档库的架构,找到各自的最佳实践,另一方面,也可以使用 Best Practices 为关键字来搜索它们。朋友们不妨将这些最佳实践收藏起来,结合自己公司的现状形成自己的操作规范,再根据最佳实践中给出的一些checklist定制自己的表单,同时为日常的部署活动建制自己的文档库。那么无论对于规范系统操作,还是工作汇报,工作总结都能够得心应手!(毕竟Report是很关键的,不是吗:)OK,这个GPO的最佳实践基本覆盖了大家日常策略管理中的操作,给出了不错的建议。就用它为朋友们揭开这一页!组策略对象最佳实践不要执行未经设置的策略设定
? 如果GPO中包含有处于未设置状态的设置,您可以通过禁止用户设置或者计算机设置来避免它的执行。这可以加速那些 受此GPO影响的用户、计算机的登陆、启动过程。
(gnaw0725注:组策略中包含用户设置和计算机设置两个部分,即便您未作任何变动,受此策略影响的用户、计算机在登陆或者启动的时候,本地的组策略扩展仍然会查询所有条目,以确定它们的状态。如果禁止应用其中的一部分,明确告诉系统不要执行那些条目,将会大大降低查询的时间。可能一个GPO节约的时间微乎其微,但数目多了,或者处于慢速链路,就很可观了)
? 防止从站点,域,OU连接整个GPO
(gnaw0725注:同样,当从其他位置链接GPO的时候,尽可能的避免应用整个GPO,我们可以禁止GPO的用户或者计算机部分。如果这个链接是跨域的甚至跨site,那么在客户端启动、登陆的时候,这个查询过程时间可能很长)
? 如果您不再使用某些GPO,请删除它们。
(gnaw0725注:客户端在启动、登陆的时候会查询自己在AD层次架构中所处的位置,对所需应用的GPO形成列表,并依次套用。删除无用GPO无疑能够加快应用的过程。
BTW:一个来自MS的建议,除非必要,一个对象上套用的策略不要超过10个) 使用禁止策略继承和不覆盖,需要谨慎。
? 经常使用它们将会导致策略排错异常困难
(gnaw0725注:从win2k到win2k3,AD在设计到完善,始终保持了层级架构,GPO的层层套用也是基于这一架构,在以最精简为前提下,以默认始终继承上级策略的状态,形成了最终体系。尤其在没有GPMC的win2k的ad中,随意的中断继承,强制向下套用策略,大量使用GPO filter,在一个复杂的ad层级架构中,一旦出现问题进行错误排查,无疑是个灾难。
BTW:在Fileserver中目录层级的权限设置,与这一点有些相似。)
不要对不同的GPO使用相同的名字
? 对不同的GPO使用相同的名字,不会造成功能性错误,但可能会导致混乱。
(gnaw0725注:在win2k 的ad中新建一个GPO的时候,名字总是一样的,在win2k3 的ad中系统会需要您另外给出一个名字。对于GPO的命名在日常管理规范中应该做出定义,一般最好能够遵循这样的原则:部门-功能-内容提示)
注意
? 如果GPO的命名查过255个字符,超出的部分将会被截断。
(gnaw0725注:按照上面的那个原则,一般来说255个英文字符,127个中文字符应该够用了。
BTW:ad中无论什么命名最好能够使用英文;DC的语言版本最好能够统一;如果使用工作站安装adminpak进行远程管理,最好能够对语言和gpedit的编辑器版本进行统一,比如win2k pro <-> win2k sever winxp pro<->win2k3 server,以避免GPO语言混乱或者发生版本支持性等问题)
最小化GPO使用WMI过滤的数目。
? 对GPO应用过多的WMI过滤将会导致执行时间变长。
(gnaw0725注:WMI过滤的实质就是执行VBS脚本,老实说,即便是win2k3 server sp1搭配winxp pro sp2的架构上,VBS执行效率也不高,特别是在计算机启动或者用户登录的时候。)
基于安全组成员关系过滤策略。
? 如果用户在被应用到的GPO上根本没有访问控制项,那么就可以避免相关的登陆延迟,因为用户根本没有执行那些GPO。
(gnaw0725注:这个就是所谓的GPO Filter了,关于它这里有个例子 。一个对象最终能够套用到策略,需要具备两个权限,一个是允许套用套用策略,一个是允许读取该GPO,Filter就是在这上面作手脚了。
BTW:上面我们提到,为了避免GPO Troubleshooting的问题,这个技巧还是少用 :)
? 过滤仅能作用于安全组成员。
(gnaw0725注:显然发布组不是用来做这个的。关于过滤得描述请参看 Filter the scope of Group Policy according to security group membership)
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/filter.mspx?mfr=true
http://support.microsoft.com/kb/322176
? 通过在GPO上查看属性对话框中的安全页,可以获取ACE的信息
只在必要的情况下,使用基于计算机的组策略覆盖用户策略。
? 只在不论谁登陆,都需要保持统一的桌面设置的情况下,使用基于计算机的组策略覆盖用户策略。这种机制就是策略环回,它是在某些特殊环境下应用的一种高级策略,例如实验室,教室等公共环境。同样在组策略编辑器中计算机策略管理模板中,您可以用户组策略环回处理模式。 详见:Order of processing settings
(gnaw0725注:使用策略环回,客户端组策略扩展要么只套用计算机策略,要么就在套用完用户策略后,再次执行计算机策略,以便覆盖。
BTW:策略环回仅能作用于win2k纯环境,并且只有win2k以上客户端可以支持。)
使用组策略,而非系统策略
? 系统策略仅用户管理运行windows 2000之前系统的计算机,或者您需要管理独立计算机上的多个用户。
(gnaw0725注:许多从winnt过渡的管理员,都还保持之前惯例,习惯用工作组和系统策略pol来管理用户,这个状况在win2k以上版本的ad中需要得到改善)
避免跨域指派GPO Avoid assigning Group Policy objects across domains.
? 如果从其他域获取组策略,那么在启动和登陆过程中,应用GPO会比较慢。 不要在特殊的驱动器或者目录上使用文件系统策略,比如为NTFS文件复制系统(FRS)所同步的Sysvol。
? 在这些对象上使用文件系统策略,将导致不必要的复制,并且会消耗网络带宽。
(gnaw0725注:这里所说的文件系统策略,在计算机设定-windows设置-安全设置-文件系统,通常用于通过策略定制客户端特定路径上的权限设置。通常,我们在需要定制用户访问某个路径或者文件的时候,就能用到它了。这里有个例子) 不要将一个GPO多次应用于相同的OU
? 当针对同一OU的策略链接多次被应用于单一对象的时候,客户端组策略扩展可能会对这些连接做出不同的解释,从而产生不可预料的策略组合。
---------- Best practices for Group Policy objects ----------本文译自:(MS更新于: 2005年1月21日)
Welcome > Administration and Scripting Tools > Configuration and Management Tools > Group Policy > Group Policy (pre-GPMC) > Group Policy Best Practices (pre-GPMC)
