2024年5月2日发(作者:)
组策略最佳实践之 降龙十八掌 希望对大家有用!
降龙十八掌第一式——亢龙有悔:单独保留默认的GPOs(推荐)
1、Default Domain Policy & Default Domain Controllers Policy
密码、帐户锁定和Kerberos策略设置必须在域级别实现(如果在OU级别上去做,只是对计算机
的本地用户生效而不是域用户)
还有以下设置:登录时间用完自动注销用户,重命名(Domain)管理员帐户和重命名(Domain)
来宾帐户。这些策略也必须在域级别实现,也是只有这些策略需要在域级别上设置。
2、使用以下两种方法:
(1)在Default Domain Policy仅修改以上策略设置,然后在其下链接其他GPO
(2)单独保留Default Domain Policy永不修改,创建并链接高优先级的GPO,
然后修改策略设置(推荐)
1、为什么因为恢复损坏的默认的GPOs是个噩梦?(KB 226243、KB 324800 —
KB267553)
4、不要依赖DCgpofix(这将是最后的还原工具),Dcgpofix还原默认的GPOs到干净的安装状
态。最好的方法使用您的备份替代!
降龙十八掌第二式——飞龙在天:设计OU结构
1、将DC放在DC所在的OU里并单独管理
2、为用户和计算机创建单独的OU
3、使用OU把用户/计算机按照角色分组,
例如:
(1) 计算机:邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等
(2) 域控制器:保留在默认的Domain controllers OU下(链接Default Domain Controller
Policy GPO)
(3) 用户:IT职员、工程师、车间、移动用户等
4、默认情况下,所有新帐户创建在cn=users或者cn=computers(不能链接GPO),所以如果是
Windows 2003域:
(1) 在域中使用“”和“”指定所有新计算机/用户帐户创建时
的默认OU
(2) 允许使用组策略管理新创建的帐户
(使用“”和“”两个命令,为使重定向成功,在目录域中的域功能
级别必须至少是windows server 2003,这两个工具是内置的,示例:所用域的名字是,
让新计算机加入到域,默认注册到TEST的OU中去,进入命令提示符:c:>redircmp
“ou=test,dc=zxy,dc=xy”用户的相同)
(命令创建计算机帐户:c:>net computer [url=file://computername/]computername[/url]
/add)
降龙十八掌第三式——龙战于野:反对跨域GPO链接
如果你公司是多域环境,绝对不要把父域的GPO链接到子域来使用,相反亦然。
1、将明显的影响处理时间
(1) 通过线缆取GPO的时间
(2) 使排错和客户端处理GPO的速度非常慢
2、违反KISS规则(使问题变的简单规则)
在一个域更改GPO设置将影响另外一个域(如果想使用相同的GPO,可以先在源域上备份或导出,
然后在目标域做导入,或利用GPMC进行复制粘贴)
3、使用GPMC脚本来帮助部署和维护跨域的组策略的一致性
(1)
(2)
(例:我不是一个父域子域,我是一个测试域,我测试完了就链接到生产环境中来用,测试域跟
生产域没关系,测试完了GPO没问题,然后就拿到生产环境来使用,可以通过复制粘贴,另外还
可以使用脚本去把测试环境中所有的OU、所有的GPO、GPO到
OU的链接、GPO的设置,全部保存成一个XML文件,然后把XML的文件复制到生产的域,在生产
的域安装GPMC,运行这个脚本,他可以帮你从XML文件中把所
有在测试环境中的OU,所有GPO、GPO到OU的链接、GPO的设置,甚至可以把和GPO相关的用户
帐号和组帐号全部给他创建出来,所以这两个脚本可以很平滑的把测试环境到生产环境的组策略
迁移的一个过程,而且很利害,他不仅可以迁组策略对象,还可以把OU给建出来,把组策略对
象给建出来,他会自动的把组策略对象给链接到OU,还可以自动创建跟组策略相关的帐号,例用
户帐号)
降龙十八掌第四式——潜龙勿用:谨慎使用强制/禁止替代/阻止继承、回环处理模式
1、增加了处理时间,增加了排错的难度
可以在域级别强制一个标准策略,但是不要使用阻止继承
2、回环处理模式会给排错带来负担,但是有特定的场景使用
(1) 通常用于保证等于的每一个用户都能获得相同的配置
(2) 用于特定的计算机(例如:公共场所的电脑,图书馆,还有教室),需要基于使用的
计算机来修改用户策略
(3) 经常用户终端服务实现
(4) KB 231287
降龙十八掌第五——利涉大川:使一切简单化
1、考虑以下几点:
(1) 每增加一个GPO都会增加复杂性(默认情况Client最多可处理999个GPO)
(2) 限制谁能创建/修改/链接GPOs(委派)
(3) 回环处理/强制/阻止继承使事情变得复杂
2、KISS:如果可能的话,使用以下三个层次的GPO:
(1) 默认的域策略(用户帐户设置)
(2) 一个基线的安全策略(强制应用到域中的每个用户,每台计算机)
发布者:admin,转转请注明出处:http://www.yc00.com/web/1714660293a2490223.html
评论列表(0条)