组策略最佳实践之“降龙十八掌”
降龙十八掌第一式――亢龙有悔:单独保留默认的
GPOs
(推荐)
1
、
Default Domain Policy & Default Domain Controllers Policy
密码、帐户锁定和
Kerberos
策略设置必须在域级别实现(如果在
OU
级别上去做,只是对计算机的本地用户生效而不是域用户)
还有以下设置:登录时间用完自动注销用户,重命名(
Domain
)管理员帐户和重命名(
Domain
)来宾帐户。这些策略也必须在域级别实现,也是只有这些策略需要在域级别上设置。
2
、使用以下两种方法:
(
1
)在
Default Domain Policy
仅修改以上策略设置,然后在其下链接其他
GPO
(
2
)单独保留
Default Domain Policy
永不修改,创建并链接高优先级的
GPO
,
然后修改策略设置(推荐)
1、
为什么因为恢复损坏的默认的
GPOs
是个噩梦?(
KB 226243
、
KB 324800
―
KB267553
)
4
、不要依赖
DCgpofix
(这将是最后的还原工具),
Dcgpofix
还原默认的
GPOs
到干净的安装状态。最好的方法使用您的备份替代!
降龙十八掌第二式――飞龙在天:设计
OU
结构
1、
将
DC
放在
DC
所在的
OU
里并单独管理
2、
为用户和计算机创建单独的
OU
3、
使用
OU
把用户
/
计算机按照角色分组,
例如:
(1)
计算机:邮件服务器、终端服务器、
WEB
服务器、文件和打印服务器、便携计算机等
(2)
域控制器:保留在默认的
Domain controllers OU
下(链接
Default Domain Controller Policy GPO
)
(3)
用户:
IT
职员、工程师、车间、移动用户等
4、
默认情况下,所有新帐户创建在
cn=users
或者
cn=computers
(不能链接
GPO
),所以如果是
Windows 2003
域:
(1)
在域中使用“
redirusr.exe
”和“
redircmp.exe
”指定所有新计算机
/
用户帐户创建时的默认
OU
(2)
允许使用组策略管理新创建的帐户
(使用“
redirusr.exe
”和“
redircmp.exe
”两个命令,为使重定向成功,在目录域中的域功能级别必须至少是
windows server 2003
,这两个工具是内置的,示例:所用域的名字是
zxy.xy
,让新计算机加入到域,默认注册到
TEST
的
OU
中去,进入命令提示符:
c:\>redircmp “ou=test,dc=zxy,dc=xy”
用户的相同)
(命令创建计算机帐户:
c:>net computer \\computername /add
)
降龙十八掌第三式――龙战于野:反对跨域
GPO
链接
如果你公司是多域环境,绝对不要把父域的
GPO
链接到子域来使用,相反亦然。
1、
将明显的影响处理时间
(1)
通过线缆取
GPO
的时间
(2)
使排错和客户端处理
GPO
的速度非常慢
2、
违反
KISS
规则(使问题变的简单规则)
在一个域更改
GPO
设置将影响另外一个域(如果想使用相同的
GPO
,可以先在源域上备份或导出,然后在目标域做导入,或利用
GPMC
进行复制粘贴)
3、
使用
GPMC
脚本来帮助部署和维护跨域的组策略的一致性
(1)
CreateEnvironmentFromXML.wsf
(2)
CreateXMLFromEnvironment.wsf
(例:我不是一个父域子域,我是一个测试域,我测试完了就链接到生产环境中来用,测试域跟生产域没关系,测试完了
GPO
没问题,然后就拿到生产环境来使用,可以通过复制粘贴,另外还可以使用脚本
CreateEnvironmentFromXML.wsf
去把测试环境中所有的
OU
、所有的
GPO
、
GPO
到
OU
的链接、
GPO
的设置,全部保存成一个
XML
文件,然后把
XML
的文件复制到生产的域,在生产的域安装
GPMC
,运行
CreateXMLFromEnvironment.wsf
这个脚本,他可以帮你从
XML
文件中把所有在测试环境中的
OU
,所有
GPO
、
GPO
到
OU
的链接、
GPO
的设置,甚至可以把和
GPO
相关的用户帐号和组帐号全部给他创建出来,所以这两个脚本可以很平滑的把测试环境到生产环境的组策略迁移的一个过程,而且很利害,他不仅可以迁组策略对象,还可以把
OU
给建出来,把组策略对象给建出来,他会自动的把组策略对象给链接到
OU
,还可以自动创建跟组策略相关的帐号,例用户帐号)
降龙十八掌第四式――潜龙勿用:谨慎使用强制
/
禁止替代
/
阻止继承、回环处理模式
1、
增加了处理时间,增加了排错的难度
可以在域级别强制一个标准策略,但是不要使用阻止继承
2、
回环处理模式会给排错带来负担,但是有特定的场景使用
(1)
通常用于保证等于的每一个用户都能获得相同的配置
(2)
用于特定的计算机(例如:公共场所的电脑,图书馆,还有教室),需要基于使用的计算机来修改用户策略
(3)
经常用户终端服务实现
(4)
KB 231287
降龙十八掌第五――利涉大川:使一切简单化
1、
考虑以下几点:
(1)
每增加一个
GPO
都会增加复杂性(默认情况
Client
最多可处理
999
个
GPO
)
(2)
限制谁能创建
/
修改
/
链接
GPOs
(委派)
(3)
回环处理
/
强制
/
阻止继承使事情变得复杂
2、
KISS
:如果可能的话,使用以下三个层次的
GPO
:
(1)
默认的域策略(用户帐户设置)
(2)
一个基线的安全策略(强制应用到域中的每个用户,每台计算机)
(3)
一个指定
OU
的策略(专门针对某个
OU
包含一些唯一设置的
GPO
)
3、
反对为每一个
GPO
设置安全过滤器(安全过滤器的好处是
GPO
只对指定的用户或组生效,不是非常必要的话,不要用安全过滤器,同样会增加处理
GPO
的负担的)
4、
仅仅对每个
GPO
中需要的设置做修改,其他保留默认状态(未配置)
降龙十八掌第六式――鸿渐于陆:在
GPMC
中进行所有的操作
1、
使用
GPMC
的
RSOP
工具
2、
文档化
GPO
的设置
3、
进行委派
4、
所有的启用、禁用、链接、强制等(使用它禁用所有
GPO
中不使用的部分用户或计算机
―
略微的改进处理时的性能)
5、
在测试环境和生产环境进行迁移
6、
和
GPMC
一起安装很多的脚本(
c:\programfiles\gpmc\scripts
)
降龙十八掌第七――突如其来:使用
GPO
规划工具
1
、所有的
GPO
设置参考
[url]http://www.microsoft.com/downloads/details.aspx?familyid=[/url] 7821c 32f -da15-438d-8e48-45915cd2bc14&displaylang=en
2
、
XP SP2-specific(
详细
)
:
详细指南:
[url]http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx[/url]
降龙十八掌第八式――震惊百里:即使没有改变设置也强制重新应用策略
1
、使用于当用户是客户计算机的本地管理员组的成员的场景(要了解组策略的应用模式,首先用户登录后,要应用
GPO
的策略设置,以后就会有这样的一个问题,如果你不对这个
GPO
里的策略进行任何修改,那么客户端就不会再应用,因为客户端会检测
GPO
的版本号,只有对
GPO
更改过,版本号才不同,客户端才会去下载应用,如果没有改过,版本还一样,客户端就不会再去下载,重新刷新这个策略,用强制策略处理,可以把修改的一些策略刷新)
(
1
)在组策略应用以后覆盖指定的设置
(
2
)默认情况下,组策略只会检查有没有新的策略设置可用,然后在后台刷新
2
、强制策略再次处理:
(
1
)计算机或用户配置
->
管理模板
->
系统
->
组策略
-> [
每一种策略的类型
]
策略处理
(
需要启用以下节点:注册表、
IE
、软件安装、文件夹重定向、脚本、安全性、
IPSec
、无线、
EFS
、磁盘配额
)
(
2
)每个节点:(选择:启用“即使尚未更改组策略对象也要进行处理”)
3
、处理每个节点:考虑禁用“允许通过慢速网络连接进行处理”,例如:“软件安装”禁用掉客户端就不会装这个软件,
降龙十八掌第九式――或跃在渊:使
Windows XP
同步处理组策略
1
、
Windows XP
默认是异步处理组策略
无需等网络响应(
XP
应用过
GPO
就会在本地有个缓存的),这种异步处理方式大大缩短了
XP
客户端所需要的引导与登录时间,可是处理文件夹重定项等都会有延迟,这将会影响到排错。
2
、
Windows 2000
默认是同步处理组策略
3
、我们应该:
(
1
)不想让操作系统来决定组策略的处理方式
(
2
)也不想其它因素影响排错
4
、这个策略的位置在:计算机配置
>
管理模板
>
系统
>
登录
>
计算机启动和登录时总是等待网络(这个启用后,
XP
就使用同步处理的方式,这样应用
GPO
就不会有延迟了)
Continuation....