当两个组策略冲突时:
1。如在同一层OU,后生效的组策略有效,优先级高。在组织单元的‘链接的组策略对象’中标明了组策略的先后应用次序,其中下面的组策略先应用,上面的组策略后应用,即上面的组策略优先级高。但也可以按边上的按钮来调整其应用次序。
2。而当有多层OU时,最里层的策略优先级高,有效。
3。当有两个OU,各有一个GPO,第一个OU在计算机A 的组策略 的计算机配置里设置了显示桌面图标,而第二个OU在计算机A的组策略 的用户配 置里设置了不显示桌面。则用户配置优先,有效。
或着说,在一个组策略里即在计算机A 的组策略 的计算机配置里设置了显示桌面图标,又在计算机A的组策略 的用户配置里设置了不显示桌面。则用户配置优先,有效。
如果非要计算机配置优先(某些场合),则可在计算机配制>管理模板>组策略 中将‘用户组策略还回处理模式’启用,并设置‘模式’为‘替换’即可。
规划:
1.尽量将用户账户和计算机账户放在不同的OU里,比如将用户账户全都放到USERS组织单元里,把计算机账户都放到COMPUTERS组织单元里(但要注意--在active directory中原有的‘USERS’和‘COMPUTERS’并不是OU,在它们里面建的计算机和用户都不能链接GPO,要自己新建OU,并加入计算机或用户)。并在做组策略时明确做出只含用户或计算机的组策略,比如建一个USERS组策略和一个COMPUTERS组策略。在编辑USERS的GPO时就可以只编辑其用户配置,而不用编辑计算机配置,并可以在USERS组策略的详细信息选项页中的‘GPO 状态’选项中选择‘已禁用计算机配置设置’来客户计算机的登入速度。这样可方便组策略的规划和管理
避免过多的GPO链接到同一用户和计算机,禁用GPO中不用的用户和计算机设置,将包含多个设置的多个GPO整合为一个GPO来减少复制(即在一个GPO中配置多个设置,而不是建多个GPO,每个GPO中只有一个设置),以加快客户计算机的登入速度
软件限制策略(SRP)最好独立建一个GPO,以方便管理
以下策略只能在默认域策略和域控制器策略里更改:
密码、账户锁定和Kerberos策略
登录时间用完自动注销用户,重命名(domain)管理员账户和重命名(domain)来宾账户
在域级别里建一个新的策略(如:default domain),并将其的优先级设为比default domain policy高,来控制整个域,而不要去改default domain policy.
做一个象default domain policy的默认GPO(如:default domain),并用命令redirusr.exe和redircmp.exe来设定新建的用户和计算机所使用的默认GPO(本来默认的是default domain policy)
不要跨域链接GPO,影响客户机的登录速度。
最好不要使用回环处理模式,它只用于使计算机上的所有用户获得同一设置。使用回环处理模式,导致混乱,不利管理和排错。
也少用强制/禁止替代/阻止继承,导致混乱,不利管理和排错。
少改安全筛选
GPO的一般层次:
1.默认的域策略----用户账户设置
2.一个基线的安全策略(强制)----应用到全部计算机和用户,来保证安全
3.一个指定的OU策略----专门用途。
让windows xp也使用同步模式来处理组策略
GPO命名惯例:范围(end user、group、domain)+目的+谁管理GPO
如:IT-OFFICE2003-ADMINISTRATOR
最好做好组策略时将组策略的常见问题写出来供自己和大家查阅。
常见问题如:
有些设置不能对低客户端生效,如WINDOWS98
有些设置不能对慢速链接生效(当客户端的链接速度小于500K时,系统认为是慢速链接):如---软件部署、脚本、文件夹重定向、磁盘配额管理等,启用慢速连接有利于VPN和远程用户。
组策略刷新速度慢
组策略复制速度慢
客户端登录速度慢
%systemroot%
dcgpofix
终端服务能让管理软件装在服务器上,但却可以在任意一个客户端上运行
但如仅要让管理软件在任意一个客户端上运行,可用文件夹重定向,用自己的用户登录
尽量配制用户策略而不是计算机策略,以方便自己在客户端用自己的账户登录时
的维护工作