zoukankan      html  css  js  c++  java
  • GPO配置时的注意事项

    当两个组策略冲突时:

    1。如在同一层OU,后生效的组策略有效,优先级高。在组织单元的‘链接的组策略对象’中标明了组策略的先后应用次序,其中下面的组策略先应用,上面的组策略后应用,即上面的组策略优先级高。但也可以按边上的按钮来调整其应用次序。

    2。而当有多层OU时,最里层的策略优先级高,有效。

    3。当有两个OU,各有一个GPO,第一个OU在计算机A 的组策略 的计算机配置里设置了显示桌面图标,而第二个OU在计算机A的组策略 的用户配 置里设置了不显示桌面。则用户配置优先,有效。

    或着说,在一个组策略里即在计算机A 的组策略 的计算机配置里设置了显示桌面图标,又在计算机A的组策略 的用户配置里设置了不显示桌面。则用户配置优先,有效。
    如果非要计算机配置优先(某些场合),则可在计算机配制>管理模板>组策略 中将‘用户组策略还回处理模式’启用,并设置‘模式’为‘替换’即可。

    规划:

    1.尽量将用户账户和计算机账户放在不同的OU里,比如将用户账户全都放到USERS组织单元里,把计算机账户都放到COMPUTERS组织单元里(但要注意--在active directory中原有的‘USERS’和‘COMPUTERS’并不是OU,在它们里面建的计算机和用户都不能链接GPO,要自己新建OU,并加入计算机或用户)。并在做组策略时明确做出只含用户或计算机的组策略,比如建一个USERS组策略和一个COMPUTERS组策略。在编辑USERS的GPO时就可以只编辑其用户配置,而不用编辑计算机配置,并可以在USERS组策略的详细信息选项页中的‘GPO 状态’选项中选择‘已禁用计算机配置设置’来客户计算机的登入速度。这样可方便组策略的规划和管理

    避免过多的GPO链接到同一用户和计算机,禁用GPO中不用的用户和计算机设置,将包含多个设置的多个GPO整合为一个GPO来减少复制(即在一个GPO中配置多个设置,而不是建多个GPO,每个GPO中只有一个设置),以加快客户计算机的登入速度

    软件限制策略(SRP)最好独立建一个GPO,以方便管理

    以下策略只能在默认域策略和域控制器策略里更改:
    密码、账户锁定和Kerberos策略

    登录时间用完自动注销用户,重命名(domain)管理员账户和重命名(domain)来宾账户

    在域级别里建一个新的策略(如:default domain),并将其的优先级设为比default domain policy高,来控制整个域,而不要去改default domain policy.

    做一个象default domain policy的默认GPO(如:default domain),并用命令redirusr.exe和redircmp.exe来设定新建的用户和计算机所使用的默认GPO(本来默认的是default domain policy)

    不要跨域链接GPO,影响客户机的登录速度。

    最好不要使用回环处理模式,它只用于使计算机上的所有用户获得同一设置。使用回环处理模式,导致混乱,不利管理和排错。
    也少用强制/禁止替代/阻止继承,导致混乱,不利管理和排错。

    少改安全筛选

    GPO的一般层次:
    1.默认的域策略----用户账户设置
    2.一个基线的安全策略(强制)----应用到全部计算机和用户,来保证安全
    3.一个指定的OU策略----专门用途。

    让windows xp也使用同步模式来处理组策略

    GPO命名惯例:范围(end user、group、domain)+目的+谁管理GPO
    如:IT-OFFICE2003-ADMINISTRATOR

    最好做好组策略时将组策略的常见问题写出来供自己和大家查阅。
    常见问题如:
    有些设置不能对低客户端生效,如WINDOWS98
    有些设置不能对慢速链接生效(当客户端的链接速度小于500K时,系统认为是慢速链接):如---软件部署、脚本、文件夹重定向、磁盘配额管理等,启用慢速连接有利于VPN和远程用户。
    组策略刷新速度慢
    组策略复制速度慢
    客户端登录速度慢

    %systemroot%

    dcgpofix

    终端服务能让管理软件装在服务器上,但却可以在任意一个客户端上运行

    但如仅要让管理软件在任意一个客户端上运行,可用文件夹重定向,用自己的用户登录

    尽量配制用户策略而不是计算机策略,以方便自己在客户端用自己的账户登录时
    的维护工作

  • 相关阅读:
    IOS Charles(代理服务器软件,可以用来拦截网络请求)
    Javascript中addEventListener和attachEvent的区别
    MVC中实现Area几种方法
    Entity Framework Code First 中使用 Fluent API 笔记。
    自定义JsonResult解决 序列化类型 System.Data.Entity.DynamicProxies 的对象时检测到循环引用
    序列化类型 System.Data.Entity.DynamicProxies 的对象时检测到循环引用
    An entity object cannot be referenced by multiple instances of IEntityChangeTracker 的解决方案
    Code First :使用Entity. Framework编程(8) ----转发 收藏
    Code First :使用Entity. Framework编程(6) ----转发 收藏
    Code First :使用Entity. Framework编程(5) ----转发 收藏
  • 原文地址:https://www.cnblogs.com/lbnnbs/p/3670963.html
Copyright © 2011-2022 走看看