我通常不建议“轻易”修改域一级的策略，尤其是default domain policy，为什么这么说呢？原因如下：
1、覆盖范围。由于域一级的策略覆盖整个域，这里面包含了生产环境中重要服务器以及域控制器，频繁变更可能会由于缺乏规划，而对生产环境造成不良影响。而且一旦产生不良影响，再想恢复回原来的状态，通常是比较麻烦的。(恐怕大多数ad管理员不会每变更一次策略，就备份一次状态，但实际上如果ad环境比较大，工作站数量比较多，那么这些资产的安全等级就会上升，当风险评估种认定这个等级已经上升到高级别的时候，您就应该对策略的变更制定严格的流程，这里面就包含了严格的备份及恢复策略。关于管理员如何进行变更管理，请参考 http://gnaw0725.blogbus.com/logs/4888499.html ）
2、同步问题。如果当前域中存在多台dc，甚至跨越站点的时候，频繁变更域策略，dc之间可能短时间内不会获得完全同步，这可能会造成客户端的一些问题，例如密码无法变更的问题以及策略应用混乱。
3、效能问题。频繁的变更域策略，可能会遗留很多无用的策略设置，长久积累，可能会导致客户端及服务器登陆时的缓慢。客户端在登陆的时候，经历 站点－域－ou－子ou，当套用到的GPO个数超过10个
的时候，就会影响登陆速度，如果gpo中包含一些特殊策略，例如文件分发、重定向、策略环回、登陆脚本等等，这种情况尤为明显，这种状况即便在winxp 上开启策略异步执行，也会造成不好的影响。
4、排查问题。如果频繁的变更策略，可能会导致问题排查困难，这在Windows 2000上尤为明显（windows 2003通过GPMC有效的改善了这一点。关于策略应用的排查，请参考
http://gnaw0725.blogbus.com/logs/4888491.html
http://gnaw0725.blogbus.com/logs/4888525.html
http://gnaw0725.blogbus.com/logs/2004/10/4888704.html
http://gnaw0725.blogbus.com/logs/2004/11/4888709.html
）
我甚至不太建议管理员随意在域一级或者站点一级随意放置策略，除非必须（例如密码策略）或者经过了严格审核。大多数情况下，管理员应该对OU实施策略。