GPO 最佳实践

Question

您所描述的没有任何问题。您可以使用 OU 结构、安全过滤或 WMI 过滤器来微调谁应用您的 GPO 设置。我会尽可能避免阻止 OU 上的 GPO 继承。

您可以根据使用情况，在应用 GPO 时采用包容式或排他式的安全过滤。例如，您可以将 GPO 应用于 OU 中的所有“经过身份验证的用户”（即用户/计算机），但仅使用安全组进行排除。这样，您就可以轻松指向一个组来识别谁不受该策略的约束。想想安全设置覆盖。

另一方面，您可能有多个用户/计算机组共享同一个 OU，并且您希望某些设置应用于一个组而不应用于另一个组。在这种情况下，您可以仅将 GPO 过滤为安全组的成员，并从经过身份验证的用户中删除“应用组策略”权限。

我建议制定一个组命名约定，这样就可以轻松识别哪些组与安全过滤域 GPO 相关联。例如“GPO 应用 - [GPO 名称]”或“GPO 拒绝 - [GPO 名称]”。

您还可以创建 OU 来应用策略。我倾向于仅在委派管理访问权限时创建 OU。保持目录结构简单且易于管理。WMI 过滤器会稍微增加 GPO 处理时间，应谨慎使用。因此，我仅使用 WMI 过滤器来定位主要的 Windows 操作系统版本，以应用该版本独有的安全设置。

Answer 1

您所描述的没有任何问题。您可以使用 OU 结构、安全过滤或 WMI 过滤器来微调谁应用您的 GPO 设置。我会尽可能避免阻止 OU 上的 GPO 继承。

您可以根据使用情况，在应用 GPO 时采用包容式或排他式的安全过滤。例如，您可以将 GPO 应用于 OU 中的所有“经过身份验证的用户”（即用户/计算机），但仅使用安全组进行排除。这样，您就可以轻松指向一个组来识别谁不受该策略的约束。想想安全设置覆盖。

另一方面，您可能有多个用户/计算机组共享同一个 OU，并且您希望某些设置应用于一个组而不应用于另一个组。在这种情况下，您可以仅将 GPO 过滤为安全组的成员，并从经过身份验证的用户中删除“应用组策略”权限。

我建议制定一个组命名约定，这样就可以轻松识别哪些组与安全过滤域 GPO 相关联。例如“GPO 应用 - [GPO 名称]”或“GPO 拒绝 - [GPO 名称]”。

您还可以创建 OU 来应用策略。我倾向于仅在委派管理访问权限时创建 OU。保持目录结构简单且易于管理。WMI 过滤器会稍微增加 GPO 处理时间，应谨慎使用。因此，我仅使用 WMI 过滤器来定位主要的 Windows 操作系统版本，以应用该版本独有的安全设置。

相关内容