组策略最佳实践之 降龙十八掌 希望对大家有用
降龙十八掌第一式——亢龙有悔:单独保留默认的 GPOs(推荐) 1、Default Domain Policy & Default Domain Controllers Policy 密码、帐户锁定和 Kerberos策略设置必须在域级别实现(如果在 OU级别上去做,只是对计算机的本地用户生效而不是域用户) 还有以下设置:登录时间用完自动注销用户,重命名(Domain)管理员帐户和重命名(Domain)来宾帐户
这些策略也必须在域级别实现,也是只有这些策略需要在域级别上设置
2、使用以下两种方法: (1)在 Default Domain Policy仅修改以上策略设置,然后在其下链接其他 GPO (2)单独保留 Default Domain Policy永不修改,创建并链接高优先级的 GPO, 然后修改策略设置(推荐) 1、为什么因为恢复损坏的默认的 GPOs是个噩梦
(KB 226243、KB 324800 — KB267553) 4、不要依赖 DCgpofix(这将是最后的还原工具),Dcgpofix还原默认的 GPOs到干净的安装状态
最好的方法使用您的备份替代
降龙十八掌第二式——飞龙在天:设计 OU结构 1、将 DC放在 DC所在的 OU里并单独管理 2、为用户和计算机创建单独的 OU 3、使用OU把用户/计算机按照角色分组, 例如: (1) 计算机:邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等 (2) 域控制器:保留在默认的 Domain controllers OU下(链接 Default Domain Controller Policy GPO) (3) 用户:IT职员、工程师、车间、移动用户等 4、默认情况下,所有新帐户创建在 cn=users或者 cn=computers(不能链
