降龍十八掌第一式——亢龍有悔：單獨保留默認的GPOs（推薦）

1、Default Domain Policy & Default Domain Controllers Policy
密碼、帳戶鎖定和Kerberos策略設置必須在域級別實現（如果在OU級別上去做，只是對計算機的本地用戶生效而不是域用戶）

還有以下設置：登錄時間用完自動注銷用戶，重命名（Domain）管理員帳戶和重命名（Domain）來賓帳戶。這些策略也必須在域級別實現，也是只有這些策略需要在域級別上設置。

2、使用以下兩種方法：
（1）在Default Domain Policy僅修改以上策略設置，然后在其下鏈接其他GPO
（2）單獨保留Default Domain Policy永不修改，創建并鏈接高優先級的GPO，然后修改策略設置（推薦）

1、為什么因為恢復損壞的默認的GPOs是個噩夢？（KB 226243、KB 324800 — KB267553）
4、不要依賴DCgpofix（這將是最后的還原工具），Dcgpofix還原默認的GPOs到干凈的安裝狀態。最好的方法使用您的備份替代！

降龍十八掌第二式——飛龍在天：設計OU結構

1、將DC放在DC所在的OU里并單獨管理
2、為用戶和計算機創建單獨的OU
3、使用OU把用戶/計算機按照角色分組

例如：

（1） 計算機：郵件服務器、終端服務器、WEB服務器、文件和打印服務器、便攜計算機等
（2） 域控制器：保留在默認的Domain controllers OU下（鏈接Default Domain Controller Policy GPO）
（3） 用戶：IT職員、工程師、車間、移動用戶等

4、默認情況下，所有新帳戶創建在cn=users或者cn=computers（不能鏈接GPO），所以如果是Windows 2003域：

（1） 在域中使用“redirusr.exe”和“redircmp.exe”指定所有新計算機/用戶帳戶創建時的默認OU
（2） 允許使用組策略管理新創建的帳戶
（使用“redirusr.exe”和“redircmp.exe”兩個命令，為使重定向成功，在目錄域中的域功能級別必須至少是windows server 2003，這兩個工具是內置的，示例：所用域的名字是zxy.xy，讓新計算機加入到域，默認注冊到TEST的OU中去，進入命令提示符：c:\>redircmp “ou=test,dc=zxy,dc=xy”用戶的相同）
（命令創建計算機帳戶：c:>net computer [url=file://computername/]\\computername[/url] /add）

降龍十八掌第三式——龍戰于野：反對跨域GPO鏈接

如果你公司是多域環境，絕對不要把父域的GPO鏈接到子域來使用，相反亦然。

1、將明顯的影響處理時間
（1） 通過線纜取GPO的時間
（2） 使排錯和客戶端處理GPO的速度非常慢

2、違反KISS規則（使問題變的簡單規則）
在一個域更改GPO設置將影響另外一個域（如果想使用相同的GPO，可以先在源域上備份或導出，然后在目標域做導入，或利用GPMC進行復制粘貼）

3、使用GPMC腳本來幫助部署和維護跨域的組策略的一致性
（1） CreateEnvironmentFromXML.wsf
（2） CreateXMLFromEnvironment.wsf
（例：我不是一個父域子域，我是一個測試域，我測試完了就鏈接到生產環境中來用，測試域跟生產域沒關系，測試完了GPO沒問題，然后就拿到生產環境來使用，可以通過復制粘貼，另外還可以使用腳本CreateEnvironmentFromXML.wsf去把測試環境中所有的OU、所有的GPO、GPO到OU的鏈接、GPO的設置，全部保存成一個XML文件，然后把XML的文件復制到生產的域，在生產的域安裝GPMC，運行CreateXMLFromEnvironment.wsf這個腳本，他可以幫你從XML文件中把所有在測試環境中的OU，所有GPO、GPO到OU的鏈接、GPO的設置，甚至可以把和GPO相關的用戶帳號和組帳號全部給他創建出來，所以這兩個腳本可以很平滑的把測試環境到生產環境的組策略遷移的一個過程，而且很利害，他不僅可以遷組策略對象，還可以把OU給建出來，把組策略對象給建出來，他會自動的把組策略對象給鏈接到OU，還可以自動創建跟組策略相關的帳號，例用戶帳號）

降龍十八掌第四式——潛龍勿用：謹慎使用強制/禁止替代/阻止繼承、回環處理模式

1、增加了處理時間，增加了排錯的難度

可以在域級別強制一個標準策略，但是不要使用阻止繼承

2、回環處理模式會給排錯帶來負擔，但是有特定的場景使用
（1） 通常用于保證等于的每一個用戶都能獲得相同的配置
（2） 用于特定的計算機（例如：公共場所的電腦，圖書館，還有教室），需要基于使用的計算機來修改用戶策略
（3） 經常用戶終端服務實現
（4） KB 231287

降龍十八掌第五——利涉大川：使一切簡單化

1、考慮以下幾點：
（1） 每增加一個GPO都會增加復雜性（默認情況Client最多可處理999個GPO）
（2） 限制誰能創建/修改/鏈接GPOs（委派）
（3） 回環處理/強制/阻止繼承使事情變得復雜

2、KISS：如果可能的話，使用以下三個層次的GPO：
（1） 默認的域策略（用戶帳戶設置）
（2） 一個基線的安全策略（強制應用到域中的每個用戶，每臺計算機）
（3） 一個指定OU的策略（專門針對某個OU包含一些唯一設置的GPO）

3、反對為每一個GPO設置安全過濾器（安全過濾器的好處是GPO只對指定的用戶或組生效，不是非常必要的話，不要用安全過濾器，同樣會增加處理GPO的負擔的）

4、僅僅對每個GPO中需要的設置做修改，其他保留默認狀態（未配置）

降龍十八掌第六式——鴻漸于陸：在GPMC中進行所有的操作

1、使用GPMC的RSOP工具
2、文檔化GPO的設置
3、進行委派
4、所有的啟用、禁用、鏈接、強制等（使用它禁用所有GPO中不使用的部分用戶或計算機—略微的改進處理時的性能）
5、在測試環境和生產環境進行遷移
6、和GPMC一起安裝很多的腳本（c:\programfiles\gpmc\scripts）

降龍十八掌第七——突如其來：使用GPO規劃工具

1、所有的GPO設置參考
http://www.microsoft.com/downloads/details.aspx?familyid=7821c32f-da15-438d-8e48-45915cd2bc14&displaylang=en
2、XP SP2-specific(詳細)：
詳細指南：
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/mangxpsp2/mngxpsp2.mspx

降龍十八掌第八式——震驚百里：即使沒有改變設置也強制重新應用策略

1、使用于當用戶是客戶計算機的本地管理員組的成員的場景（要了解組策略的應用模式，首先用戶登錄后，要應用GPO的策略設置，以后就會有這樣的一個問題，如果你不對這個GPO里的策略進行任何修改，那么客戶端就不會再應用，因為客戶端會檢測GPO的版本號，只有對GPO更改過，版本號才不同，客戶端才會去下載應用，如果沒有改過，版本還一樣，客戶端就不會再去下載，重新刷新這個策略，用強制策略處理，可以把修改的一些策略刷新）
（1）在組策略應用以后覆蓋指定的設置
（2）默認情況下，組策略只會檢查有沒有新的策略設置可用，然后在后臺刷新

2、強制策略再次處理：
（1）計算機或用戶配置-> 管理模板-> 系統-> 組策略-> [每一種策略的類型]策略處理(需要啟用以下節點：注冊表、IE、軟件安裝、文件夾重定向、腳本、安全性、IPSec、無線、EFS、磁盤配額)
（2）每個節點：（選擇：啟用“即使尚未更改組策略對象也要進行處理”）

3、處理每個節點：考慮禁用“允許通過慢速網絡連接進行處理”，例如：“軟件安裝”禁用掉客戶端就不會裝這個軟件。