版权所有：如需转内容必须包含可点击链接且不得更改标题或内容.
http://voiceofchinese.com/blog/huang/group-policies-that-must-have-in-a-active-directory-zh

微软Windows 2003的组策略功能强大 ，有几个 组策略我认为在 一个公司的Active Directory里是 必须具备的。如果没有它们， 我们IT部门的 工作量至少增加3倍以上 。日子会很不好过 。

1. default domain policy/ 默认域组策略
每个Active Directory域都有它，因为它是在你安装好 第一个 域服务器后就自动生成了 ，不要随意改变他们，大多数情况我们只用它来改变用户帐户设置，如密码政策，锁定期。

2. 为客户端电脑自动安装默认的软件的组策略，该策略应用到所有客户电脑。
我们用这个策略来安装 除了系统补丁之外的所有 必备软件。系统补丁是由另外一个补丁服务器来另外安装的。
这个组策略将为客户端电脑自动安装常用软件如 压缩工具，系统 软件，办公用品，工业软件等。我们用它来自动安装约20个软件给所有安装Windows XP的客户端计算机。他们大多是免费软件。这些软件被分配到该GPO ：计算机设置\软件设置\软件安装\ *

3. 可选安装和按需安装的软件，该策略应用到所有客户账号 。
在此GPO中，我们发布软件到所有用户，而非电脑。用户可以安装他们自己的主张喜好在我们限定的范围内修改安装软件，具体在其控制面板> "添加/删除程序> "添加软件。
其中部分软件设置成按需自动安装,在电脑上默认并不安装该软件，而当用户需要打开 相关文件时自动安装，如用户点击的文件扩展名如 .MDB的时候立即自动安装access软件 。

4. 修改计算机设置的组策略
这个的组策略（GPO）修改注册表键值，如对客户端计算机，它自动配置好防火墙，更新伺服器参数，用户界面，网页， ODBC的配置。等等。

5. 禁用东东的组策略
IT部门很喜欢但是用户大都不喜欢这个组策略。因为它禁用电脑游戏，网路存取机密的文件，限制他们从一些无关的工作/不需要的访问。