我通常不建议“轻易”修改域一级的策略,尤其是default domain policy,为什么这么说呢?原因如下:

1、覆盖范围。由于域一级的策略覆盖整个域,这里面包含了生产环境中重要服务器以及域控制器,频繁变更可能会由于缺乏规划,而对生产环境造成不良影响。而且一旦产生不良影响,再想恢复回原来的状态,通常是比较麻烦的。(恐怕大多数ad管理员不会每变更一次策略,就备份一次状态,但实际上如果ad环境比较大,工作站数量比较多,那么这些资产的安全等级就会上升,当风险评估种认定这个等级已经上升到高级别的时候,您就应该对策略的变更制定严格的流程,这里面就包含了严格的备份及恢复策略。关于管理员如何进行变更管理,请参考 )

2、同步问题。如果当前域中存在多台dc,甚至跨越站点的时候,频繁变更域策略,dc之间可能短时间内不会获得完全同步,这可能会造成客户端的一些问题,例如密码无法变更的问题以及策略应用混乱。

3、效能问题。频繁的变更域策略,可能会遗留很多无用的策略设置,长久积累,可能会导致客户端及服务器登陆时的缓慢。客户端在登陆的时候,经历 站点-域-ou-子ou,当套用到的GPO个数超过10个

的时候,就会影响登陆速度,如果gpo中包含一些特殊策略,例如文件分发、重定向、策略环回、登陆脚本等等,这种情况尤为明显,这种状况即便在winxp 上开启策略异步执行,也会造成不好的影响。

4、排查问题。如果频繁的变更策略,可能会导致问题排查困难,这在Windows 2000上尤为明显(windows 2003通过GPMC有效的改善了这一点。)

我甚至不太建议管理员随意在域一级或者站点一级随意放置策略,除非必须(例如密码策略)或者经过了严格审核。大多数情况下,管理员应该对OU实施策略。
---gnaw0725