GPO配置时的注意事项

当两个组策略冲突时：

1。如在同一层OU，后生效的组策略有效，优先级高。在组织单元的‘链接的组策略对象’中标明了组策略的先后应用次序，其中下面的组策略先应用，上面的组策略后应用，即上面的组策略优先级高。但也可以按边上的按钮来调整其应用次序。

2。而当有多层OU时，最里层的策略优先级高，有效。

3。当有两个OU，各有一个GPO，第一个OU在计算机A 的组策略 的计算机配置里设置了显示桌面图标，而第二个OU在计算机A的组策略 的用户配 置里设置了不显示桌面。则用户配置优先，有效。

或着说，在一个组策略里即在计算机A 的组策略 的计算机配置里设置了显示桌面图标，又在计算机A的组策略 的用户配置里设置了不显示桌面。则用户配置优先，有效。
如果非要计算机配置优先（某些场合），则可在计算机配制>管理模板>组策略 中将‘用户组策略还回处理模式’启用，并设置‘模式’为‘替换’即可。

规划：

1.尽量将用户账户和计算机账户放在不同的OU里，比如将用户账户全都放到USERS组织单元里，把计算机账户都放到COMPUTERS组织单元里(但要注意--在active directory中原有的‘USERS’和‘COMPUTERS’并不是OU，在它们里面建的计算机和用户都不能链接GPO，要自己新建OU，并加入计算机或用户)。并在做组策略时明确做出只含用户或计算机的组策略，比如建一个USERS组策略和一个COMPUTERS组策略。在编辑USERS的GPO时就可以只编辑其用户配置，而不用编辑计算机配置，并可以在USERS组策略的详细信息选项页中的‘GPO 状态’选项中选择‘已禁用计算机配置设置’来客户计算机的登入速度。这样可方便组策略的规划和管理

避免过多的GPO链接到同一用户和计算机，禁用GPO中不用的用户和计算机设置，将包含多个设置的多个GPO整合为一个GPO来减少复制（即在一个GPO中配置多个设置，而不是建多个GPO，每个GPO中只有一个设置），以加快客户计算机的登入速度

软件限制策略（SRP）最好独立建一个GPO，以方便管理

以下策略只能在默认域策略和域控制器策略里更改：
密码、账户锁定和Kerberos策略

登录时间用完自动注销用户，重命名(domain)管理员账户和重命名(domain)来宾账户

在域级别里建一个新的策略（如：default domain)，并将其的优先级设为比default domain policy高，来控制整个域，而不要去改default domain policy.

做一个象default domain policy的默认GPO（如：default domain)，并用命令redirusr.exe和redircmp.exe来设定新建的用户和计算机所使用的默认GPO（本来默认的是default domain policy）

不要跨域链接GPO，影响客户机的登录速度。

最好不要使用回环处理模式，它只用于使计算机上的所有用户获得同一设置。使用回环处理模式，导致混乱，不利管理和排错。
也少用强制/禁止替代/阻止继承，导致混乱，不利管理和排错。

少改安全筛选

GPO的一般层次：
1.默认的域策略----用户账户设置
2.一个基线的安全策略（强制）----应用到全部计算机和用户，来保证安全
3.一个指定的OU策略----专门用途。

让windows xp也使用同步模式来处理组策略

GPO命名惯例：范围（end user、group、domain）+目的+谁管理GPO
如：IT-OFFICE2003-ADMINISTRATOR

最好做好组策略时将组策略的常见问题写出来供自己和大家查阅。
常见问题如：
有些设置不能对低客户端生效，如WINDOWS98
有些设置不能对慢速链接生效（当客户端的链接速度小于500K时，系统认为是慢速链接）:如---软件部署、脚本、文件夹重定向、磁盘配额管理等，启用慢速连接有利于VPN和远程用户。
组策略刷新速度慢
组策略复制速度慢
客户端登录速度慢

%systemroot%

dcgpofix

终端服务能让管理软件装在服务器上，但却可以在任意一个客户端上运行

但如仅要让管理软件在任意一个客户端上运行，可用文件夹重定向，用自己的用户登录

尽量配制用户策略而不是计算机策略，以方便自己在客户端用自己的账户登录时
的维护工作