26、组策略配置、故障排除与活动目录安全指南

组策略配置、故障排除与活动目录安全指南

1. 组策略配置与故障排除场景分析

在公司的AD DS域中，组策略的配置和维护至关重要。以下通过几个具体场景来深入了解组策略的相关问题及解决方案。

1.1 移动OU的策略影响评估

Ellen负责公司AD DS域的组策略配置与维护。域内有运行不同Windows系统的计算机，且有八个代表公司部门的OU，每个OU都链接了多个GPO。由于组织变更，Ellen需将Design OU移至Engineering OU下，她要找出Design OU中哪些对象会受到Engineering OU链接的GPO的不利影响，同时不能影响用户。正确做法是使用Design OU的组策略建模向导，选择Engineering OU来模拟策略设置。因为该向导可在实际应用前测试潜在策略设置，而组策略结果向导用于测试当前策略设置的应用情况，不适合测试未应用的策略。

1.2 其他场景及解决方案

• Harry的策略链接问题 ：Harry要实现特定限制策略，应将Restrictions GPO链接到Research、Financial、Legal、Sales和Marketing OUs，因为这些OU包含应受限制的员工账户。若链接到Charlotte站点，会使该站点所有用户（包括管理员等）都受策略影响；若链接到域或Employees OU，所有员工都会受限制，不符合要求。
• Debbie的GPO链接问题 ：Debbie应将每个GPO链接到其所在站点并指定“强制”选项。这样能确保GPO始终应用于该站点的计算机，避免链接到其他容器产生混