Active Diretory 全攻略（八）－－组策略（1）

核心提示： 提示成功加入，4、规划组策略的建议*一般性策略尽量应用于上层容器，Active Diretory 全攻略（八）－－组策略（1）(9)，较特殊的策略应用于下层容器*尽量避免使用不可强制覆盖与阻碍策略继承两项功能，维持整个组策略单纯，但是查看的对象若是从B计算机登录域，那么执行记录模式的用户必

提示成功加入。

4、规划组策略的建议

*一般性策略尽量应用于上层容器，较特殊的策略应用于下层容器

*尽量避免使用不可强制覆盖与阻碍策略继承两项功能，维持整个组策略单纯，清楚的结构，减低各项设置发生冲突的机率。

*善用筛选，一方面可以使用特定的组不应用组策略，另一方面可以加快这些组成员的登录

*控制GPO的数目，因为设置的GPO愈多，登录所花费的时间愈长。

*禁用GPO中没有作用的节点，以加快所花费的时间愈长。

*善用委派控制，减低系统管理员的负担。

5、使用策略结果集

策略结果集（RSOP）主要有两项功能“模拟应用组策略之后的效果”和“查看应用哪些组策略”

RSOP两种模式：

1、计划模式：主要提供仿真功能，使得系统管理员在做某些动作之前，可以先预知结果。以避免事后反复地修正。通常在下列情形会用到此模式：将用户或计算机加入某个组织单位之前。将用户或计算机在组织单位间移动之前。想了解特定组策略应用在站点、域和组织单位时的差异。，因为计划模式会影响到AD数据库的属性，因此必须为ENTERPRISE ADMINS或DOMAIN ADMINS的成员，或是获得产生策略结果集的委派，才能够执行计划模式。

2、记录模式；

对于已登录的用户，记录模式可以将它们所应用的组策略，整理成一份报告，有了这份报告，系统管理员更能够省下用纸笔记录的工夫，通常在以下情形会用到此模式：想知道特定用户应用了哪些策略。想知道是否有哪些组策略，在应用过程中被覆盖或是被阻碍策略继承阻挡。

若是从A计算机执行记录模式，所要查看的对象也是从A计算机登录域，那么执行记录模式的用户不必是具有系统管理员的权限，只要是一般域用户即可，但是查看的对象若是从B计算机登录域，那么执行记录模式的用户必须为ENTERPRISE ADMINS 或DOMAIN ADMINS的成员，或是获得产生策略结果集的委派权限。