组策略最佳实践

好久不见. 提交于 2020-01-23 05:21:18

这是有关网络上组策略最佳实践的最全面指南。

我明白:

当您在整个域中应用了多个GPO时,组策略可能会变得复杂,复杂,并且可能很难进行故障排除。

但这是踢球者:

实施组策略实际上非常简单。

在本指南中,您将学习有关组策略设计和实施最佳实践所需的所有知识。这些是我本人和许多其他IT专业人员使用的可靠技巧和技术。

警告:组策略并非一刀切。每个Active Directory环境都是不同的,并且没有针对组策略的cookie裁剪器解决方案。这些最佳做法在我管理的环境中效果很好,但可能不适用于您的环境。最好计划和测试对组策略的任何更改。一个小的更改可能会导致重大问题并影响关键的业务服务。

我建议您阅读所有内容,因为有些内容如果不进一步阅读可能没有意义。

下载本指南的PDF版本(包括两个提示)

下载

1.不要修改默认域策略

GPO仅应用于帐户策略设置,密码策略,帐户锁定策略和Kerberos策略。其他任何设置都应放在单独的GPO中。默认域策略是在域级别设置的,因此所有用户和计算机都可以使用此策略。

2.不要修改默认域控制器策略

GPO应该仅包含用户权限分配策略和审核策略。域控制器的任何其他设置都应在单独的GPO中进行设置。

3.良好的OU结构将使您的工作轻松10

良好的OU结构可简化组策略的应用和故障排除。我更喜欢将用户和计算机分成他们自己的OU,然后为每个部门或业务职能创建子OU

OU结构示例。

将用户和计算机放在单独的OU中可以更轻松地将计算机策略应用于所有计算机,而将用户策略仅应用于用户。

相关: 21个有效的Active Directory管理技巧

4.不要在域级别设置GPO

应该在域级别设置的唯一GPO默认域策略。在域级别设置的任何内容都将应用于所有用户和计算机对象。这可能会导致将各种设置应用到您不需要的对象。最好在更详细的级别应用策略。

5.OU根级别应用GPO

OU级别应用GPO将允许子OU继承这些策略。这样,您无需将策略链接到每个单独的OU。如果您有不想继承设置的用户或计算机,则可以将它们放在自己的OU中,然后将策略直接应用于该OU。下面是一个例子。

Windows 10设置包含一个在30分钟后打开屏幕保护程序的策略。此策略应用于Winadpro计算机OU,因此子OU将继承此策略。我有一个不希望应用此策略的培训实验室,因此,我创建了一个GPO目录并将其链接到禁用了屏幕保护程序的Training Lab OU。此直接链接的GPO将具有优先权,并将其应用于继承的策略。

6.避免使用阻止策略继承和策略执行

如果您具有良好的OU结构,则很可能避免使用阻止策略继承和使用策略强制。我发现在域中均未设置组策略的情况下,对组策略进行管理和故障排除要容易得多。

7.不要禁用GPO

如果GPO链接到OU,并且您不希望将其链接,则将其删除而不是禁用它。从OU中删除链接不会删除GPO,而只是从OU中删除链接。禁用GPO将阻止其完全在域上进行处理,这可能会导致问题。

8.使用描述性GPO名称

能够根据名称快速识别GPO的工作,将使组策略管理更加容易。为GPO赋予通用名称(如笔记本电脑设置)是通用名称,会使人们感到困惑。一些很好的例子是浏览器设置,电源设置,MS Office策略,关闭屏幕保护程序和Citrix Receiver。这些都是描述性的,一看名称便可以清楚地知道该政策的作用。

9.通过禁用未使用的计算机和用户配置来加速GPO处理

例如,我有一个称为浏览器设置的GPO,它仅配置了计算机设置,没有用户设置,因此,我已禁用了此GPO的用户配置。这将加速组策略处理。

相关: 如何使用RSoP来检查组策略设置并对其进行故障排除

10.针对特定用例使用回送处理

简而言之,环回处理将接受用户设置并将这些设置限制为GPO所应用到的计算机。它非常有用,但是如果使用不当也会引起问题。环回处理的常见用法是在终端服务器和Citrix服务器上。用户正在登录到服务器,并且当他们仅登录到那些服务器时,您需要应用特定的用户设置。您将需要创建一个GPO,启用回送处理并将其应用于其中包含服务器的OU

11.实施组策略的变更管理

如果让所有管理员根据需要进行更改,则组策略可能会失控。

变更管理可能很可怕,并且确实会使项目变慢。

我并不是说所有组策略更改都应经过正式的更改管理流程,但应与管理层讨论并记录在案。

GPO的一个小更改可能会向服务台发送大量电话。它确实发生了,因此最好讨论并记录对GPO的更改。

12.使用小型GPO简化管理

容易陷入将所有内容填充到一个GPO中的陷阱。

我也为此感到内,

而且管理起来很头疼。

确实没有理由这样做,许多小型GPO不会影响性能。小型GPO使故障排除,管理,设计和实施的难度提高了10倍。

以下是将GPO分解为较小策略的一些方法:

  • 浏览器设定
  • 安全设定
  • 电源设定
  • Microsoft Office设置
  • 网络设置
  • 驱动器映射

13.组策略执行的最佳实践

以下是一些可能导致启动和登录时间变慢的设置。

  • 登录脚本下载大文件
  • 启动脚本下载大文件
  • 映射距离较远的家庭驱动器
  • 通过组策略首选项部署大型打印机驱动程序
  • 通过AD组成员身份过度使用组策略筛选
  • 使用过多的WMI筛选器
  • 通过慢速链接链接到用户或计算机的大量GPO。

 

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!