GPO带来的难题

　　虽然GPO的功能很强大，但要掌握它可不容易。最难掌握的是如何判断一条有效的策略如何对域中的计算机或用户起作用，由于GPO可以存在于AD链中不同的层次上，这种判断就特别困难。同时，由于可以指派一个GPO的控制，因此不大容易清楚其他的GPO是否会对你没有控制权的容器中的GPO有影响。因此，计算一个计算机或用户对象接收的“策略的结果集”（RSoP）是相当困难的。尽管微软还没有提供计算RSoP的工具，但已经有第三方厂商提供了相应的计算RSoP的工具。

　　另一个难题是策略的执行。如果在AD链上的许多层次上都存在有GPO，在用户每次登录或系统启动时都会执行所有的GPO。在Win2K系统中，微软推出了一些新的功能来优化系统的性能。首先，GPO的版本信息依赖于工作站和GPO，如果GPO没有变化，系统就不会执行它。另外，在GPE的属性页上，可以禁止用户或计算机对GPO的执行。如果建立一个GPO用来分发关闭系统或启动系统时的脚本，禁用GPO的用户配置部分，这样会使工作站不能解析GPO并判断它是否已经发生了什么变化。

　　最后的一个难题起源于GPC和GPT是两个单独的实体。GPC是AD中的一个对象，它与GPT中包含的文件的复制不同步，这意味着创建一个GPO时，在GPT开始向域控制器上的Sysvol复制文件之前GPC可能已经开始进行复制了。

　　所有问题的起源都是由于AD使用了一种多主体的复制模式。理论上，当另一个系统管理员在一个域控制器上编辑一个GPO时，你也可以在某个域上对它进行编辑。因此，当建立一个GPE时，缺省状态下指的是在“操作主体”中充当PDC的域控制器。（“操作主体”是AD基础结构中的一系列托管功能，用作PDC的服务器可以兼容运行NT和Win9x的工作站。）一般情况下，可以通过只向少数的系统管理员授予编辑GPO的权利来避免这种情况的发生，并保证如果有人在编辑GPO时，让其他的人都知道。此外，需要注意的是，在对一个GPO进行编辑时，要“禁止”它，修改结束后重新使能。

　　GPO的优缺点

　　GPO的优点是可以让用户灵活地控制Win2K环境，但伴随着灵活性而来的是复杂性。如果能够正确、灵活地运用GPO，就能使Win2K发挥出更加强大的功能。