组策略最佳实践之 降龙十八掌 希望对大家有用! 降龙十八掌第一式——亢龙有悔:单独保留默认的 GPOs(推荐) 1、Default Domain Policy & Default Domain Controllers Policy 密码、帐户锁定和 Kerberos策略设置必须在域级别实现(如果在 OU级别上去做,只是对计算机的本地用户生效而不是域用户) 还有以下设置:登录时间用完自动注销用户,重命名(Domain)管理员帐户和重命名(Domain)来宾帐户。这些策略也必须在域级别实现,也是只有这些策略需要在域级别上设置。 2、使用以下两种方法: (1)在 Default Domain Policy仅修改以上策略设置,然后在其下链接其他 GPO (2)单独保留 Default Domain Policy永不修改,创建并链接高优先级的 GPO, 然后修改策略设置(推荐) 1、为什么因为恢复损坏的默认的 GPOs是个噩梦?(KB 226243、KB 324800 — KB267553) 4、不要依赖 DCgpofix(这将是最后的还原工具),Dcgpofix还原默认的 GPOs到干净的安装状态。最好的方法使用您的备份替代! 降龙十八掌第二式——飞龙在天:设计 OU结构 1、将 DC放在 DC所在的 OU里并单独管理 2、为用户和计算机创建单独的 OU 3、使用OU把用户/计算机按照角色分组, 例如: (1) 计算机:邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等 (2) 域控制器:保留在默认的 Domain controllers OU下(链接 Default Domain Controller Policy GPO) (3) 用户:IT职员、工程师、车间、移动用户等 4、默认情况下,所有新帐户创建在 cn=users或者 cn=computers(不能链接 GPO),所以如果是Windows 2003域: (1) 在域中使用“redirusr.exe”和“redircmp.exe”指定所有新计算机/用户帐户创建时的默认 OU (2) 允许使用组策略管理新创建的帐户 (使用“redirusr.exe”和“redircmp.exe”两个命令,为使重定向成功,在目录域中的域功能级别必须至少是 windows server 2003,这两个工具是内置的,示例:所用域的名字是 zxy.xy,让新计算机加入到域,默认注册到 TEST的 OU中去,进入命令提示符:c:\>redircmp “ou=test,dc=zxy,dc=xy”用户的相同) (命令创建计算机帐户:c:>net computer [url=file://computername/]\\computername[/url] /add) 降龙十八掌第三式——龙战于野:反对跨域 GPO链接 如果你公司是多域环境,绝对不要把父域的 GPO链接到子域来使用...
