降龍十八掌第一式——亢龍有悔：?jiǎn)为?dú)保留默認(rèn)的GPOs（推薦）

1、Default Domain Policy & Default Domain Controllers Policy
密碼、帳戶鎖定和Kerberos策略設(shè)置必須在域級(jí)別實(shí)現(xiàn)（如果在OU級(jí)別上去做，只是對(duì)計(jì)算機(jī)的本地用戶生效而不是域用戶）

還有以下設(shè)置：登錄時(shí)間用完自動(dòng)注銷用戶，重命名（Domain）管理員帳戶和重命名（Domain）來賓帳戶。這些策略也必須在域級(jí)別實(shí)現(xiàn)，也是只有這些策略需要在域級(jí)別上設(shè)置。

2、使用以下兩種方法：
（1）在Default Domain Policy僅修改以上策略設(shè)置，然后在其下鏈接其他GPO
（2）單獨(dú)保留Default Domain Policy永不修改，創(chuàng)建并鏈接高優(yōu)先級(jí)的GPO，然后修改策略設(shè)置（推薦）

1、為什么因?yàn)榛謴?fù)損壞的默認(rèn)的GPOs是個(gè)噩夢(mèng)？（KB 226243、KB 324800 — KB267553）
4、不要依賴DCgpofix（這將是最后的還原工具），Dcgpofix還原默認(rèn)的GPOs到干凈的安裝狀態(tài)。最好的方法使用您的備份替代！

降龍十八掌第二式——飛龍?jiān)谔欤涸O(shè)計(jì)OU結(jié)構(gòu)

1、將DC放在DC所在的OU里并單獨(dú)管理
2、為用戶和計(jì)算機(jī)創(chuàng)建單獨(dú)的OU
3、使用OU把用戶/計(jì)算機(jī)按照角色分組

例如：

（1） 計(jì)算機(jī)：郵件服務(wù)器、終端服務(wù)器、WEB服務(wù)器、文件和打印服務(wù)器、便攜計(jì)算機(jī)等
（2） 域控制器：保留在默認(rèn)的Domain controllers OU下（鏈接Default Domain Controller Policy GPO）
（3） 用戶：IT職員、工程師、車間、移動(dòng)用戶等

4、默認(rèn)情況下，所有新帳戶創(chuàng)建在cn=users或者cn=computers（不能鏈接GPO），所以如果是Windows 2003域：

（1） 在域中使用“redirusr.exe”和“redircmp.exe”指定所有新計(jì)算機(jī)/用戶帳戶創(chuàng)建時(shí)的默認(rèn)OU
（2） 允許使用組策略管理新創(chuàng)建的帳戶
（使用“redirusr.exe”和“redircmp.exe”兩個(gè)命令，為使重定向成功，在目錄域中的域功能級(jí)別必須至少是windows server 2003，這兩個(gè)工具是內(nèi)置的，示例：所用域的名字是zxy.xy，讓新計(jì)算機(jī)加入到域，默認(rèn)注冊(cè)到TEST的OU中去，進(jìn)入命令提示符：c:\>redircmp “ou=test,dc=zxy,dc=xy”用戶的相同）
（命令創(chuàng)建計(jì)算機(jī)帳戶：c:>net computer [url=file://computername/]\\computername[/url] /add）

降龍十八掌第三式——龍戰(zhàn)于野：反對(duì)跨域GPO鏈接

如果你公司是多域環(huán)境，絕對(duì)不要把父域的GPO鏈接到子域來使用，相反亦然。

1、將明顯的影響處理時(shí)間
（1） 通過線纜取GPO的時(shí)間
（2） 使排錯(cuò)和客戶端處理GPO的速度非常慢

2、違反KISS規(guī)則（使問題變的簡(jiǎn)單規(guī)則）
在一個(gè)域更改GPO設(shè)置將影響另外一個(gè)域（如果想使用相同的GPO，可以先在源域上備份或?qū)С觯缓笤谀繕?biāo)域做導(dǎo)入，或利用GPMC進(jìn)行復(fù)制粘貼）

3、使用GPMC腳本來幫助部署和維護(hù)跨域的組策略的一致性
（1） CreateEnvironmentFromXML.wsf
（2） CreateXMLFromEnvironment.wsf
（例：我不是一個(gè)父域子域，我是一個(gè)測(cè)試域，我測(cè)試完了就鏈接到生產(chǎn)環(huán)境中來用，測(cè)試域跟生產(chǎn)域沒關(guān)系，測(cè)試完了GPO沒問題，然后就拿到生產(chǎn)環(huán)境來使用，可以通過復(fù)制粘貼，另外還可以使用腳本CreateEnvironmentFromXML.wsf去把測(cè)試環(huán)境中所有的OU、所有的GPO、GPO到OU的鏈接、GPO的設(shè)置，全部保存成一個(gè)XML文件，然后把XML的文件復(fù)制到生產(chǎn)的域，在生產(chǎn)的域安裝GPMC，運(yùn)行CreateXMLFromEnvironment.wsf這個(gè)腳本，他可以幫你從XML文件中把所有在測(cè)試環(huán)境中的OU，所有GPO、GPO到OU的鏈接、GPO的設(shè)置，甚至可以把和GPO相關(guān)的用戶帳號(hào)和組帳號(hào)全部給他創(chuàng)建出來，所以這兩個(gè)腳本可以很平滑的把測(cè)試環(huán)境到生產(chǎn)環(huán)境的組策略遷移的一個(gè)過程，而且很利害，他不僅可以遷組策略對(duì)象，還可以把OU給建出來，把組策略對(duì)象給建出來，他會(huì)自動(dòng)的把組策略對(duì)象給鏈接到OU，還可以自動(dòng)創(chuàng)建跟組策略相關(guān)的帳號(hào)，例用戶帳號(hào)）

降龍十八掌第四式——潛龍勿用：謹(jǐn)慎使用強(qiáng)制/禁止替代/阻止繼承、回環(huán)處理模式

1、增加了處理時(shí)間，增加了排錯(cuò)的難度

可以在域級(jí)別強(qiáng)制一個(gè)標(biāo)準(zhǔn)策略，但是不要使用阻止繼承

2、回環(huán)處理模式會(huì)給排錯(cuò)帶來負(fù)擔(dān)，但是有特定的場(chǎng)景使用
（1） 通常用于保證等于的每一個(gè)用戶都能獲得相同的配置
（2） 用于特定的計(jì)算機(jī)（例如：公共場(chǎng)所的電腦，圖書館，還有教室），需要基于使用的計(jì)算機(jī)來修改用戶策略
（3） 經(jīng)常用戶終端服務(wù)實(shí)現(xiàn)
（4） KB 231287

降龍十八掌第五——利涉大川：使一切簡(jiǎn)單化

1、考慮以下幾點(diǎn)：
（1） 每增加一個(gè)GPO都會(huì)增加復(fù)雜性（默認(rèn)情況Client最多可處理999個(gè)GPO）
（2） 限制誰能創(chuàng)建/修改/鏈接GPOs（委派）
（3） 回環(huán)處理/強(qiáng)制/阻止繼承使事情變得復(fù)雜

2、KISS：如果可能的話，使用以下三個(gè)層次的GPO：
（1） 默認(rèn)的域策略（用戶帳戶設(shè)置）
（2） 一個(gè)基線的安全策略（強(qiáng)制應(yīng)用到域中的每個(gè)用戶，每臺(tái)計(jì)算機(jī)）
（3） 一個(gè)指定OU的策略（專門針對(duì)某個(gè)OU包含一些唯一設(shè)置的GPO）

3、反對(duì)為每一個(gè)GPO設(shè)置安全過濾器（安全過濾器的好處是GPO只對(duì)指定的用戶或組生效，不是非常必要的話，不要用安全過濾器，同樣會(huì)增加處理GPO的負(fù)擔(dān)的）

4、僅僅對(duì)每個(gè)GPO中需要的設(shè)置做修改，其他保留默認(rèn)狀態(tài)（未配置）

降龍十八掌第六式——鴻漸于陸：在GPMC中進(jìn)行所有的操作

1、使用GPMC的RSOP工具
2、文檔化GPO的設(shè)置
3、進(jìn)行委派
4、所有的啟用、禁用、鏈接、強(qiáng)制等（使用它禁用所有GPO中不使用的部分用戶或計(jì)算機(jī)—略微的改進(jìn)處理時(shí)的性能）
5、在測(cè)試環(huán)境和生產(chǎn)環(huán)境進(jìn)行遷移
6、和GPMC一起安裝很多的腳本（c:\programfiles\gpmc\scripts）

降龍十八掌第七——突如其來：使用GPO規(guī)劃工具

1、所有的GPO設(shè)置參考
http://www.microsoft.com/downloads/details.aspx?familyid=7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
2、XP SP2-specific(詳細(xì))：
詳細(xì)指南：
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx

降龍十八掌第八式——震驚百里：即使沒有改變?cè)O(shè)置也強(qiáng)制重新應(yīng)用策略

1、使用于當(dāng)用戶是客戶計(jì)算機(jī)的本地管理員組的成員的場(chǎng)景（要了解組策略的應(yīng)用模式，首先用戶登錄后，要應(yīng)用GPO的策略設(shè)置，以后就會(huì)有這樣的一個(gè)問題，如果你不對(duì)這個(gè)GPO里的策略進(jìn)行任何修改，那么客戶端就不會(huì)再應(yīng)用，因?yàn)榭蛻舳藭?huì)檢測(cè)GPO的版本號(hào)，只有對(duì)GPO更改過，版本號(hào)才不同，客戶端才會(huì)去下載應(yīng)用，如果沒有改過，版本還一樣，客戶端就不會(huì)再去下載，重新刷新這個(gè)策略，用強(qiáng)制策略處理，可以把修改的一些策略刷新）
（1）在組策略應(yīng)用以后覆蓋指定的設(shè)置
（2）默認(rèn)情況下，組策略只會(huì)檢查有沒有新的策略設(shè)置可用，然后在后臺(tái)刷新

2、強(qiáng)制策略再次處理：
（1）計(jì)算機(jī)或用戶配置-> 管理模板-> 系統(tǒng)-> 組策略-> [每一種策略的類型]策略處理(需要啟用以下節(jié)點(diǎn)：注冊(cè)表、IE、軟件安裝、文件夾重定向、腳本、安全性、IPSec、無線、EFS、磁盤配額)
（2）每個(gè)節(jié)點(diǎn)：（選擇：?jiǎn)⒂谩凹词股形锤慕M策略對(duì)象也要進(jìn)行處理”）

3、處理每個(gè)節(jié)點(diǎn)：考慮禁用“允許通過慢速網(wǎng)絡(luò)連接進(jìn)行處理”，例如：“軟件安裝”禁用掉客戶端就不會(huì)裝這個(gè)軟件。