降龍十八掌第一式——亢龍有悔：單獨保留默認的GPOs（推薦）

1、Default Domain Policy & Default Domain Controllers Policy
密碼、帳戶鎖定和Kerberos策略設(shè)置必須在域級別實現(xiàn)（如果在OU級別上去做，只是對計算機的本地用戶生效而不是域用戶）

還有以下設(shè)置：登錄時間用完自動注銷用戶，重命名（Domain）管理員帳戶和重命名（Domain）來賓帳戶。這些策略也必須在域級別實現(xiàn)，也是只有這些策略需要在域級別上設(shè)置。

2、使用以下兩種方法：
（1）在Default Domain Policy僅修改以上策略設(shè)置，然后在其下鏈接其他GPO
（2）單獨保留Default Domain Policy永不修改，創(chuàng)建并鏈接高優(yōu)先級的GPO，然后修改策略設(shè)置（推薦）

1、為什么因為恢復(fù)損壞的默認的GPOs是個噩夢？（KB 226243、KB 324800 — KB267553）
4、不要依賴DCgpofix（這將是最后的還原工具），Dcgpofix還原默認的GPOs到干凈的安裝狀態(tài)。最好的方法使用您的備份替代！

降龍十八掌第二式——飛龍在天：設(shè)計OU結(jié)構(gòu)

1、將DC放在DC所在的OU里并單獨管理
2、為用戶和計算機創(chuàng)建單獨的OU
3、使用OU把用戶/計算機按照角色分組

例如：

（1） 計算機：郵件服務(wù)器、終端服務(wù)器、WEB服務(wù)器、文件和打印服務(wù)器、便攜計算機等
（2） 域控制器：保留在默認的Domain controllers OU下（鏈接Default Domain Controller Policy GPO）
（3） 用戶：IT職員、工程師、車間、移動用戶等

4、默認情況下，所有新帳戶創(chuàng)建在cn=users或者cn=computers（不能鏈接GPO），所以如果是Windows 2003域：

（1） 在域中使用“redirusr.exe”和“redircmp.exe”指定所有新計算機/用戶帳戶創(chuàng)建時的默認OU
（2） 允許使用組策略管理新創(chuàng)建的帳戶
（使用“redirusr.exe”和“redircmp.exe”兩個命令，為使重定向成功，在目錄域中的域功能級別必須至少是windows server 2003，這兩個工具是內(nèi)置的，示例：所用域的名字是zxy.xy，讓新計算機加入到域，默認注冊到TEST的OU中去，進入命令提示符：c:\>redircmp “ou=test,dc=zxy,dc=xy”用戶的相同）
（命令創(chuàng)建計算機帳戶：c:>net computer [url=file://computername/]\\computername[/url] /add）

降龍十八掌第三式——龍戰(zhàn)于野：反對跨域GPO鏈接

如果你公司是多域環(huán)境，絕對不要把父域的GPO鏈接到子域來使用，相反亦然。

1、將明顯的影響處理時間
（1） 通過線纜取GPO的時間
（2） 使排錯和客戶端處理GPO的速度非常慢

2、違反KISS規(guī)則（使問題變的簡單規(guī)則）
在一個域更改GPO設(shè)置將影響另外一個域（如果想使用相同的GPO，可以先在源域上備份或?qū)С觯缓笤谀繕擞蜃鰧?dǎo)入，或利用GPMC進行復(fù)制粘貼）

3、使用GPMC腳本來幫助部署和維護跨域的組策略的一致性
（1） CreateEnvironmentFromXML.wsf
（2） CreateXMLFromEnvironment.wsf
（例：我不是一個父域子域，我是一個測試域，我測試完了就鏈接到生產(chǎn)環(huán)境中來用，測試域跟生產(chǎn)域沒關(guān)系，測試完了GPO沒問題，然后就拿到生產(chǎn)環(huán)境來使用，可以通過復(fù)制粘貼，另外還可以使用腳本CreateEnvironmentFromXML.wsf去把測試環(huán)境中所有的OU、所有的GPO、GPO到OU的鏈接、GPO的設(shè)置，全部保存成一個XML文件，然后把XML的文件復(fù)制到生產(chǎn)的域，在生產(chǎn)的域安裝GPMC，運行CreateXMLFromEnvironment.wsf這個腳本，他可以幫你從XML文件中把所有在測試環(huán)境中的OU，所有GPO、GPO到OU的鏈接、GPO的設(shè)置，甚至可以把和GPO相關(guān)的用戶帳號和組帳號全部給他創(chuàng)建出來，所以這兩個腳本可以很平滑的把測試環(huán)境到生產(chǎn)環(huán)境的組策略遷移的一個過程，而且很利害，他不僅可以遷組策略對象，還可以把OU給建出來，把組策略對象給建出來，他會自動的把組策略對象給鏈接到OU，還可以自動創(chuàng)建跟組策略相關(guān)的帳號，例用戶帳號）

降龍十八掌第四式——潛龍勿用：謹慎使用強制/禁止替代/阻止繼承、回環(huán)處理模式

1、增加了處理時間，增加了排錯的難度

可以在域級別強制一個標準策略，但是不要使用阻止繼承

2、回環(huán)處理模式會給排錯帶來負擔(dān)，但是有特定的場景使用
（1） 通常用于保證等于的每一個用戶都能獲得相同的配置
（2） 用于特定的計算機（例如：公共場所的電腦，圖書館，還有教室），需要基于使用的計算機來修改用戶策略
（3） 經(jīng)常用戶終端服務(wù)實現(xiàn)
（4） KB 231287

降龍十八掌第五——利涉大川：使一切簡單化

1、考慮以下幾點：
（1） 每增加一個GPO都會增加復(fù)雜性（默認情況Client最多可處理999個GPO）
（2） 限制誰能創(chuàng)建/修改/鏈接GPOs（委派）
（3） 回環(huán)處理/強制/阻止繼承使事情變得復(fù)雜

2、KISS：如果可能的話，使用以下三個層次的GPO：
（1） 默認的域策略（用戶帳戶設(shè)置）
（2） 一個基線的安全策略（強制應(yīng)用到域中的每個用戶，每臺計算機）
（3） 一個指定OU的策略（專門針對某個OU包含一些唯一設(shè)置的GPO）

3、反對為每一個GPO設(shè)置安全過濾器（安全過濾器的好處是GPO只對指定的用戶或組生效，不是非常必要的話，不要用安全過濾器，同樣會增加處理GPO的負擔(dān)的）

4、僅僅對每個GPO中需要的設(shè)置做修改，其他保留默認狀態(tài)（未配置）

降龍十八掌第六式——鴻漸于陸：在GPMC中進行所有的操作

1、使用GPMC的RSOP工具
2、文檔化GPO的設(shè)置
3、進行委派
4、所有的啟用、禁用、鏈接、強制等（使用它禁用所有GPO中不使用的部分用戶或計算機—略微的改進處理時的性能）
5、在測試環(huán)境和生產(chǎn)環(huán)境進行遷移
6、和GPMC一起安裝很多的腳本（c:\programfiles\gpmc\scripts）

降龍十八掌第七——突如其來：使用GPO規(guī)劃工具

1、所有的GPO設(shè)置參考
http://www.microsoft.com/downloads/details.aspx?familyid=7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
2、XP SP2-specific(詳細)：
詳細指南：
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx

降龍十八掌第八式——震驚百里：即使沒有改變設(shè)置也強制重新應(yīng)用策略

1、使用于當用戶是客戶計算機的本地管理員組的成員的場景（要了解組策略的應(yīng)用模式，首先用戶登錄后，要應(yīng)用GPO的策略設(shè)置，以后就會有這樣的一個問題，如果你不對這個GPO里的策略進行任何修改，那么客戶端就不會再應(yīng)用，因為客戶端會檢測GPO的版本號，只有對GPO更改過，版本號才不同，客戶端才會去下載應(yīng)用，如果沒有改過，版本還一樣，客戶端就不會再去下載，重新刷新這個策略，用強制策略處理，可以把修改的一些策略刷新）
（1）在組策略應(yīng)用以后覆蓋指定的設(shè)置
（2）默認情況下，組策略只會檢查有沒有新的策略設(shè)置可用，然后在后臺刷新

2、強制策略再次處理：
（1）計算機或用戶配置-> 管理模板-> 系統(tǒng)-> 組策略-> [每一種策略的類型]策略處理(需要啟用以下節(jié)點：注冊表、IE、軟件安裝、文件夾重定向、腳本、安全性、IPSec、無線、EFS、磁盤配額)
（2）每個節(jié)點：（選擇：啟用“即使尚未更改組策略對象也要進行處理”）

3、處理每個節(jié)點：考慮禁用“允許通過慢速網(wǎng)絡(luò)連接進行處理”，例如：“軟件安裝”禁用掉客戶端就不會裝這個軟件。