中型企业Active Directory 设计部署系列四：组策略的设计

转自： http://bbs.winos.cn/thread-53792-1-1.html  ，做者zh_cxl，转载和分享请注明出处。

本文章单独发于bbs.winos.cn，供论坛朋友交流分享，但愿能有更多的交流和分享，你们一块儿学习和提升，因近期有文章被做少量改动后在大型网站转载，并未注明原文做者以及来源为bbs.winos.cn，为支持和保护论坛原创，如需转载或对原文进行修改、裁剪编辑等后再转载，请事先与我取得联系，故做声明，谢谢合做




接上篇：中型企业Active Directory 设计部署系列三 AD架构的设计（下）



通过前面的工做OS公司的AD架构已经设计好了，下面进行组策略的设计。

设计组策略的目的是管理用户和计算机，经过组策略能够配置管理一群用户和一群计算机的使用环境，所以须要根据公司的实际状况和管理环境来进行设计。



先看下面的两张设计图吧
设计图一

下载 (55.73 KB)

2009-3-11 17:44

设计图二

下载 (48.43 KB)

2009-3-11 17:44

一、组策略分为计算机策略和用户策略，在设计组策略时最好把这两样分开；

二、合理的优化组策略，有助于加快客户端处理组策略的速度和排错，好比说你有一条策略是针对计算机的那彻底能够把用户策略这一块禁用掉，若是是用户策略则能够把计算机策略这块禁掉。

三、尽可能减小组策略的使用数量，组策略是同样好东西，但不要乱用，刚学习组策略的朋友很喜欢在本身的AD里使用大量的组策略，这是很差的。为何？
（一、）用的策略越多对客户端的性能影响就越大，由于客户端须要花资源花时间去处理这些策略；
（二、）增长客户端的复杂度，一旦出问题增长了排错的困难。

在那里优化呢？请参考下图

下载 (74.82 KB)

2009-3-11 17:44

从上面的图能够看出OS公司AD组策略的设计是很简单的；
域级别是2条策略，其中1条是默认策略；
Domain Controllers只有1条默认策略
每一个公司有4条OU级别的策略1条是针对用户的，3条是针对计算机类型的；
为何设计的这么简单呢？在大中型企业待过的朋友可能有体会，大中型企业的组策略每每是很简单的特别是大型企业。
设计太多的组策略会下降客户端的性能，不利于维护管理，增长了系统的复杂度。
组策略的管理，域级别和Domain Controllers的组策略由总公司IT进行管理，分公司的4条策略委派给本地IT进行管理。


这个系列就到此结束吧，写得很粗略请你们见谅，主要是由于工做忙，下班回家还要带小孩，精力有限。



本文章单独发于bbs.winos.cn，供论坛朋友交流分享，但愿能有更多的交流和分享，你们一块儿学习和提升，因近期有文章被做少量改动后在大型网站转载，并未注明原文做者以及来源为bbs.winos.cn，为支持和保护论坛原创，如需转载或对原文进行修改、裁剪编辑等后再转载，请事先与我取得联系，故做声明，谢谢合做