15 组策略最佳实践

这是网络上最全面的组策略最佳实践指南。

在本指南中，我将分享我推荐的组策略设置和 GPO 管理技巧。这些最佳实践将简化 GPO 管理、提高安全性和 GPO 性能。

警告：组策略并非一刀切。每个 Active Directory 环境都是不同的，并且没有针对组策略的千篇一律的解决方案。最好先计划并测试对组策略的任何更改，然后再将其推广到所有系统。一个小变化可能会导致重大问题并影响关键业务服务。

GPO 最佳实践和推荐设置

我建议阅读下面的完整列表，因为除非您全部阅读，否则一些最佳实践可能没有意义。

1. 不要修改默认域策略

此 GPO 只能用于帐户策略设置、密码策略、帐户锁定策略和 Kerberos 策略。任何其他设置都应放入单独的 GPO 中。默认域策略是在域级别设置的，因此所有用户和计算机都会获得此策略。默认域策略链接到域的根。

当您将多个 GPO 设置放入默认域策略时，对 GPO 设置进行故障排除和控制将变得非常困难。如果 GPO 有太多设置并且每个用户和计算机都必须处理它们，它也会影响性能。最好使用小型 GPO（请参阅技巧 #12），而不是将所有内容都塞到一个大 GPO 中。

2. 不要修改默认域控制器策略

该 GPO 应仅包含用户权利分配策略和审核策略。域控制器的任何其他设置都应在单独的 GPO 中设置。

默认域控制器策略链接到域控制器 OU。

3. 良好的组织单元 (OU) 设计将使您的工作轻松 10 倍

良好的 OU 设计可以更轻松地应用组策略并对其进行故障排除。最好为计算机创建一个 OU，为用户创建一个单独的 OU。然后根据您想要如何管理对象创建子 OU。我通常按部门和功能来组织对象。

OU 设计示例：

将用户和计算机放在不同的组织单位中可以更轻松地将计算机策略应用于所有计算机，并将用户策略仅应用于用户。

相关： 21 个有效的 Active Directory 管理技巧

4. 不要在域级别设置 GPO

唯一应在域级别设置的 GPO 是默认域策略。在域级别设置的任何内容都将应用于所有用户和计算机对象。这可能会导致各种设置应用于您不想要的对象。最好在更细粒度的层面上应用这些政策。

5. 将 GPO 应用到根 OU

在 OU 的根应用 GPO 将允许子 OU 继承这些策略。这样您就不需要将策略链接到每个单独的 OU。

如果您想排除 OU 或一组用户，您有几个选择。

1. 使用 GPO 安全过滤 - 最佳选择。
2. 使用商品级定位
3. 将 GPO 应用到禁用该策略的组。

使用 GPO 安全过滤排除用户。

让我们看一个例子。我的 GPO 禁止在 Chrome 浏览器中保存密码，该 GPO 链接到所有用户。

如果我不希望对不同部门的用户应用此策略怎么办？解决方案是使用GPO安全过滤。

我创建一个安全组，将用户添加到该组，然后拒绝该组应用组策略。现在除了安全组中的用户之外，所有用户都将获得 GP。

6.避免使用阻塞策略继承和策略执行

如果您拥有良好的 OU 结构，那么您很可能可以避免使用阻止策略继承和使用策略强制。我发现管理和排除组策略故障要容易得多，因为我知道这些策略都没有在域中设置。

7. 不要禁用 GPO

如果 GPO 链接到 OU 而您不希望它如此，请将其删除而不是禁用它。从 OU 中删除链接不会删除 GPO，而只是从 OU 中删除链接。禁用 GPO 将阻止它完全在域上进行处理，这可能会导致问题。

8. 使用描述性 GPO 名称

能够根据名称快速识别 GPO 的用途将使组策略管理变得更加容易。给 GPO 起一个像“笔记本电脑设置”这样的通用名称太通用了，会让人们感到困惑。它还会邀请其他管理员将任何和所有设置转储到单个 GPO 中。前面是一些描述性 GPO 名称：

• 用户 - 浏览器设置
• 用户 - Office 365 设置
• 用户 - 阻止 PowerShell
• 计算机 - 屏幕锁定打开
• 电脑 - 安装 Adobe

只需查看上面的 GPO 名称，您就很清楚它们的用途。

9. 通过禁用未使用的计算机和用户配置来加速 GPO 处理

例如，我有一个名为浏览器设置的 GPO，它只配置了计算机设置，没有用户设置，因此，我禁用了该 GPO 的用户配置。这将加快组策略处理速度。

要禁用 GPO 的计算机或用户配置：

1. 浏览到组策略对象
2. 右键单击 GPO 并选择 GPO 状态
3. 选择选项之一。

10.针对特定用例使用环回处理

简而言之，环回处理采用用户设置并将这些设置限制到应用 GPO 的计算机。它非常有用，但如果使用不当也会导致问题。环回处理的常见用途是在终端服务器和 Citrix 服务器上。用户正在登录服务器，并且当他们仅登录这些服务器时，您需要应用特定的用户设置。您需要创建一个 GPO，启用环回处理并将其应用到其中包含服务器的 OU。

11.组策略变更管理

如果您让所有管理员根据需要进行更改，组策略可能会失控。

变更管理可能很可怕，而且确实会减慢项目速度。

我并不是说所有组策略变更都应该经过正式的变更管理流程，但应该与管理层讨论并记录下来。

一个小小的 GPO 更改可能会向帮助台发送大量呼叫。这种情况时有发生，因此最好讨论并记录对 GPO 的更改。

12.使用小型 GPO 来简化管理

人们很容易陷入将所有内容都塞进一个 GPO 的陷阱。

我也对此感到内疚，这让我非常头疼。

确实没有理由这样做，许多小 GPO 不会影响性能。小型 GPO 使故障排除、管理、设计和实施变得更加容易 10 倍。

以下是将 GPO 拆分为更小的策略的一些方法：

• 浏览器设置
• 安全设定
• 电源设置
• 微软办公设置
• 网络设置
• 驱动器映射
• 电源设置
• 比特锁
• 应用锁
• 防火墙规则
• 等等…..

13.组策略性能的最佳实践

以下是一些可能导致启动和登录速度缓慢的设置。

• 下载大文件的登录脚本
• 下载大文件的启动脚本
• 映射距离较远的家庭驱动器
• 根据组策略首选项部署庞大的打印机驱动程序
• 过度使用 AD 组成员身份的组策略过滤
• 使用过多的 WMI 过滤器
• 大量 GPO 通过慢速链接链接到用户或计算机。

14. 组策略故障排除提示

了解如何使用 RSop 和 gpresult 命令来验证组策略并对其进行故障排除。进行故障排除时，您需要一种方法来验证 GPO 是否得到应用，并准确检查应用了哪些策略。这两个命令是一个巨大的救星。我已经为每个命令写了一篇完整的操作方法文章，因此请务必查看它们。

15. 备份 GPO

如果您不备份 Active Directory 或进行系统状态备份，则需要开始备份 GPO。您可能需要恢复已删除的 GPO 或从现有 GPO 恢复设置。请参阅我的有关如何备份和还原组策略对象的完整指南。

要了解有关组策略的更多信息，请查看我的组策略管理终极指南。

我希望这篇文章对您有所帮助，如果您有任何组策略问题，请在下面发表评论。

主题：组策略