中型企业Active Directory 设计部署之一 子网划分

中型企业Active Directory 设计部署二 站点设计

中型企业Active Directory 设计部署 AD架构设计

    经过前面的工作OS公司的AD架构已经设计好了，下面进行组策略的设计。

    设计组策略的目的是管理用户和计算机，通过组策略可以配置管理一群用户和一群计算机的使用环境，因此需要根据公司的实际情况和管理环境来进行设计。

    先看下面的两张设计图吧

    设计图一

    设计图二

    1、组策略分为计算机策略和用户策略，在设计组策略时最好把这两样分开；

    2、合理的优化组策略，有助于加快客户端处理组策略的速度和排错，比如说你有一条策略是针对计算机的那完全可以把用户策略这一块禁用掉，如果是用户策略则可以把计算机策略这块禁掉。

    3、尽量减少组策略的使用数量，组策略是一样好东西，但不要乱用，刚学习组策略的朋友很喜欢在自己的AD里使用大量的组策略，这是不好的。为什么？
    （1、）用的策略越多对客户端的性能影响就越大，因为客户端需要花资源花时间去处理这些策略；
    （2、）增加客户端的复杂度，一旦出问题增加了排错的困难。

    在那里优化呢？请参考下图

    从上面的图可以看出OS公司AD组策略的设计是很简单的；

    域级别是2条策略，其中1条是默认策略；

    Domain Controllers只有1条默认策略

    每个公司有4条OU级别的策略1条是针对用户的，3条是针对计算机类型的；

    为什么设计的这么简单呢？在大中型企业待过的朋友可能有体会，大中型企业的组策略往往是很简单的特别是大型企业。

    设计太多的组策略会降低客户端的性能，不利于维护管理，增加了系统的复杂度。

    组策略的管理，域级别和Domain Controllers的组策略由总公司IT进行管理，分公司的4条策略委派给本地IT进行管理。

    推荐阅读：组策略最佳实践之“降龙十八掌