中型企業Active Directory 設計部署系列四：組策略的設計

轉自： http://bbs.winos.cn/thread-53792-1-1.html  ，做者zh_cxl，轉載和分享請註明出處。

本文章單獨發於bbs.winos.cn，供論壇朋友交流分享，但願能有更多的交流和分享，你們一塊兒學習和提升，因近期有文章被做少量改動後在大型網站轉載，並未註明原文做者以及來源爲bbs.winos.cn，爲支持和保護論壇原創，如需轉載或對原文進行修改、裁剪編輯等後再轉載，請事先與我取得聯繫，故做聲明，謝謝合做




接上篇：中型企業Active Directory 設計部署系列三 AD架構的設計（下）



通過前面的工做OS公司的AD架構已經設計好了，下面進行組策略的設計。

設計組策略的目的是管理用戶和計算機，經過組策略能夠配置管理一羣用戶和一羣計算機的使用環境，所以須要根據公司的實際狀況和管理環境來進行設計。



先看下面的兩張設計圖吧
設計圖一

下載 (55.73 KB)

2009-3-11 17:44

設計圖二

下載 (48.43 KB)

2009-3-11 17:44

一、組策略分爲計算機策略和用戶策略，在設計組策略時最好把這兩樣分開；

二、合理的優化組策略，有助於加快客戶端處理組策略的速度和排錯，好比說你有一條策略是針對計算機的那徹底能夠把用戶策略這一塊禁用掉，若是是用戶策略則能夠把計算機策略這塊禁掉。

三、儘可能減小組策略的使用數量，組策略是同樣好東西，但不要亂用，剛學習組策略的朋友很喜歡在本身的AD裏使用大量的組策略，這是很差的。爲何？
（一、）用的策略越多對客戶端的性能影響就越大，由於客戶端須要花資源花時間去處理這些策略；
（二、）增長客戶端的複雜度，一旦出問題增長了排錯的困難。

在那裏優化呢？請參考下圖

下載 (74.82 KB)

2009-3-11 17:44

從上面的圖能夠看出OS公司AD組策略的設計是很簡單的；
域級別是2條策略，其中1條是默認策略；
Domain Controllers只有1條默認策略
每一個公司有4條OU級別的策略1條是針對用戶的，3條是針對計算機類型的；
爲何設計的這麼簡單呢？在大中型企業待過的朋友可能有體會，大中型企業的組策略每每是很簡單的特別是大型企業。
設計太多的組策略會下降客戶端的性能，不利於維護管理，增長了系統的複雜度。
組策略的管理，域級別和Domain Controllers的組策略由總公司IT進行管理，分公司的4條策略委派給本地IT進行管理。


這個系列就到此結束吧，寫得很粗略請你們見諒，主要是由於工做忙，下班回家還要帶小孩，精力有限。



本文章單獨發於bbs.winos.cn，供論壇朋友交流分享，但願能有更多的交流和分享，你們一塊兒學習和提升，因近期有文章被做少量改動後在大型網站轉載，並未註明原文做者以及來源爲bbs.winos.cn，爲支持和保護論壇原創，如需轉載或對原文進行修改、裁剪編輯等後再轉載，請事先與我取得聯繫，故做聲明，謝謝合做