这是有关网络上组策略最佳实践的最全面指南。
我明白:
当您在整个域中应用了多个GPO时,组策略可能会变得复杂,复杂,并且可能很难进行故障排除。
但这是踢球者:
实施组策略实际上非常简单。
在本指南中,您将学习有关组策略设计和实施最佳实践所需的所有知识。这些是我本人和许多其他IT专业人员使用的可靠技巧和技术。
警告:组策略并非一刀切。每个Active Directory环境都是不同的,并且没有针对组策略的cookie裁剪器解决方案。这些最佳做法在我管理的环境中效果很好,但可能不适用于您的环境。最好计划和测试对组策略的任何更改。一个小的更改可能会导致重大问题并影响关键的业务服务。
我建议您阅读所有内容,因为有些内容如果不进一步阅读可能没有意义。
下载本指南的PDF版本(包括两个提示)
1.不要修改默认域策略
此GPO仅应用于帐户策略设置,密码策略,帐户锁定策略和Kerberos策略。其他任何设置都应放在单独的GPO中。默认域策略是在域级别设置的,因此所有用户和计算机都可以使用此策略。
2.不要修改默认域控制器策略
该GPO应该仅包含用户权限分配策略和审核策略。域控制器的任何其他设置都应在单独的GPO中进行设置。
3.良好的OU结构将使您的工作轻松10倍
良好的OU结构可简化组策略的应用和故障排除。我更喜欢将用户和计算机分成他们自己的OU,然后为每个部门或业务职能创建子OU。
OU结构示例。
将用户和计算机放在单独的OU中可以更轻松地将计算机策略应用于所有计算机,而将用户策略仅应用于用户。
相关: 21个有效的Active Directory管理技巧
4.不要在域级别设置GPO
应该在域级别设置的唯一GPO是“默认域策略”。在域级别设置的任何内容都将应用于所有用户和计算机对象。这可能会导致将各种设置应用到您不需要的对象。最好在更详细的级别应用策略。
5.在OU根级别应用GPO。
在OU级别应用GPO将允许子OU继承这些策略。这样,您无需将策略链接到每个单独的OU。如果您有不想继承设置的用户或计算机,则可以将它们放在自己的OU中,然后将策略直接应用于该OU。下面是一个例子。
Windows 10设置包含一个在30分钟后打开屏幕保护程序的策略。此策略应用于Winadpro计算机OU,因此子OU将继承此策略。我有一个不希望应用此策略的培训实验室,因此,我创建了一个GPO目录并将其链接到禁用了屏幕保护程序的Training Lab OU。此直接链接的GPO将具有优先权,并将其应用于继承的策略。
6.避免使用阻止策略继承和策略执行
如果您具有良好的OU结构,则很可能避免使用阻止策略继承和使用策略强制。我发现在域中均未设置组策略的情况下,对组策略进行管理和故障排除要容易得多。
7.不要禁用GPO
如果GPO链接到OU,并且您不希望将其链接,则将其删除而不是禁用它。从OU中删除链接不会删除GPO,而只是从OU中删除链接。禁用GPO将阻止其完全在域上进行处理,这可能会导致问题。
8.使用描述性GPO名称
能够根据名称快速识别GPO的工作,将使组策略管理更加容易。为GPO赋予通用名称(如笔记本电脑设置)是通用名称,会使人们感到困惑。一些很好的例子是浏览器设置,电源设置,MS Office策略,关闭屏幕保护程序和Citrix Receiver。这些都是描述性的,一看名称便可以清楚地知道该政策的作用。
9.通过禁用未使用的计算机和用户配置来加速GPO处理
例如,我有一个称为浏览器设置的GPO,它仅配置了计算机设置,没有用户设置,因此,我已禁用了此GPO的用户配置。这将加速组策略处理。
10.针对特定用例使用回送处理
简而言之,环回处理将接受用户设置并将这些设置限制为GPO所应用到的计算机。它非常有用,但是如果使用不当也会引起问题。环回处理的常见用法是在终端服务器和Citrix服务器上。用户正在登录到服务器,并且当他们仅登录到那些服务器时,您需要应用特定的用户设置。您将需要创建一个GPO,启用回送处理并将其应用于其中包含服务器的OU。
11.实施组策略的变更管理
如果让所有管理员根据需要进行更改,则组策略可能会失控。
变更管理可能很可怕,并且确实会使项目变慢。
我并不是说所有组策略更改都应经过正式的更改管理流程,但应与管理层讨论并记录在案。
GPO的一个小更改可能会向服务台发送大量电话。它确实发生了,因此最好讨论并记录对GPO的更改。
12.使用小型GPO简化管理
容易陷入将所有内容填充到一个GPO中的陷阱。
我也为此感到内,
而且管理起来很头疼。
确实没有理由这样做,许多小型GPO不会影响性能。小型GPO使故障排除,管理,设计和实施的难度提高了10倍。
以下是将GPO分解为较小策略的一些方法:
- 浏览器设定
- 安全设定
- 电源设定
- Microsoft Office设置
- 网络设置
- 驱动器映射
13.组策略执行的最佳实践
以下是一些可能导致启动和登录时间变慢的设置。
- 登录脚本下载大文件
- 启动脚本下载大文件
- 映射距离较远的家庭驱动器
- 通过组策略首选项部署大型打印机驱动程序
- 通过AD组成员身份过度使用组策略筛选
- 使用过多的WMI筛选器
- 通过慢速链接链接到用户或计算机的大量GPO。
来源:CSDN
作者:allway2
链接:https://blog.csdn.net/allway2/article/details/103959462