不建議頻繁改動域策略

我一般不建議「輕易」修改域一級的策略，尤爲是default domain policy，爲何這麼說呢？緣由以下：

一、覆蓋範圍。因爲域一級的策略覆蓋整個域，這裏麪包含了生產環境中重要服務器以及域控制器，頻繁變動可能會因爲缺少規劃，而對生產環境形成不良影響。並且一旦產生不良影響，再想恢復回原來的狀態，一般是比較麻煩的。(恐怕大多數ad管理員不會每變動一次策略，就備份一次狀態，但實際上若是ad環境比較大，工做站數量比較多，那麼這些資產的安全等級就會上升，當風險評估種認定這個等級已經上升到高級別的時候，您就應該對策略的變動制定嚴格的流程，這裏面就包含了嚴格的備份及恢復策略。關於管理員如何進行變動管理，請參考 IT管理員變動計劃，切記三思然後行）

二、同步問題。若是當前域中存在多臺dc，甚至跨越站點的時候，頻繁變動域策略，dc之間可能短期內不會得到徹底同步，這可能會形成客戶端的一些問題，例如密碼沒法變動的問題以及策略應用混亂。

三、效能問題。頻繁的變動域策略，可能會遺留不少無用的策略設置，長久積累，可能會致使客戶端及服務器登錄時的緩慢。客戶端在登錄的時候，經歷 站點－域－ou－子ou，當套用到的GPO個數超過10個
的時候，就會影響登錄速度，若是gpo中包含一些特殊策略，例如文件分發、重定向、策略環回、登錄腳本等等，這種狀況尤其明顯，這種情況即使在winxp 上開啓策略異步執行，也會形成很差的影響。

四、排查問題。若是頻繁的變動策略，可能會致使問題排查困難，這在Windows 2000上尤其明顯（windows 2003經過GPMC有效的改善了這一點。）

我甚至不太建議管理員隨意在域一級或者站點一級隨意放置策略，除非必須（例如密碼策略）或者通過了嚴格審覈。大多數狀況下，管理員應該對OU實施策略。
---gnaw0725