使用GPMC随心所欲管理组策略 推荐

使用GPMC随心所欲管理组策略
1、什么是GPMC？
（1）管理组策略新的管理工具；
管理组策略的可脚本化的接口集
MMC Snap-in,基于这些接口
无 Web方式，以Web发布，不能取代AD工具
2、GPMC设计目标
（1）统一化的组策略管理工具（一站式）
（2）更好的可视化UI（用户接口）
（3）对组策略有序的访问
（4）最终提高组策略的易用性

GPMC运行所需
1、Windows Server 2003
2、Windows XP with
（1）SP1
（2）.NET Framework
（3）GPMC在Windows XP professional上运行时需要要Gpedit.dll版本
5.1.2600.1186或更高版本。通过修复程序可更新该版本(GPMC会自动安装)
（4）Hotfix QEF326469（自动安装，是用更新Gpedit.dll版本5.1.2600.1186）

GPMC可管理windows 2000的域（但是无WMI Filter及GP建模功能）和windows 2003的域。

域控制器问题：
1、避免修改默认的组策略：
（1）Default Domain Policy
（2）Default Domain Controllers policy
例外：
（1）帐号策略应该只在Default Domain policy上设置，不要在域级别上的任何其他组策略上使用。
（2）域控制器的用户权利应该只在Default Domain controllers policy上设置。
2、避免在域控制器上安装自动修改安全策略的应用程序
3、确保所有域控制器接受一致的组策略
（1）不要针对具体的域控制器过滤组策略
（2）所有域控制器应该保留在Domain controllers OU内

OU设计考虑要素
1、先考虑组策略可能带来的问题再规划OU的设计
2、用户和计算机对象
（1） 不要将用户和计算机对象放在同一OU内
（2） 定义用户和计算机的角色再创建和角色对应的OU
3、用户帐号必须在父OU上有读权限才能在子OU上获取组策略
文件夹生定向：
1、让系统为每个用户自动创建文件夹以避免设置错误的ACL；
2、如要删除重定向，使用“重定向到本地用户配置文件”选项；
3、使用EFS，加密本地缓存，而不是服务器上的文件夹。

确保计算机帐号能访问：
1、软件分发点（针对计算机帐号设置的应用程序）
2、启动/关机脚本

SYSVOL
1、不要对SYSVOL中的策略文件夹更改；
2、不要调整SYSVOL文件夹上的ACLs
3、只能通过管理工具管理SYSVOL和活动目录（如：GPEdit,GPMC,AD Users and Computers）

备份
1、规律地备份GPO（GPMC包含样本脚本）
2、确保GPO备份文件夹是安全的

性能
1、每用户/计算机对象应用的组策略越少越好
2、禁用GPO中未使用的用户或计算机部分（例GPO是针对用户设置的，那就就应该禁用计算机设置）
3、保守使用WMI过滤器
4、尽量避免跨域GPO链接