Active Directory 组策略管理终极指南

组策略管理简介

组策略是 Microsoft Windows 操作系统的一项功能，可帮助管理员管理和保护 Active Directory 环境中的用户和计算机。组策略设置分为组策略对象 (GPO)，并应用于 GPO 范围内的计算机和用户对象。

例如，组策略对象可用于管理：

• 配置，例如桌面设置、启动脚本和登录/注销脚本
• 安全，包括 Active Directory (AD) 密码策略、帐户锁定策略和防火墙设置
• 访问网络资源，例如共享文件夹、打印机和应用程序
• 软件部署，包括在选定的计算机上安装软件以及安排补丁和更新。

本指南解释了组策略管理的关键要素。

组策略管理工具

为了管理 GPO，管理员使用组策略管理控制台 (GPMC)。您可以从 Windows Server Manager 的“工具”菜单访问此域组策略编辑器。

通过单击组策略管理控制台左窗格中的“组策略对象”容器，您可以查看域中的所有 GPO。在下面，您可以看到 AD 域 ad.contoso.com 只有一个 GPO，默认域策略：

组策略管理控制台包括一个组策略编辑器，如下所示：

组策略设置的类型

下面屏幕截图的左侧面板显示了 GPO 中的设置类型：

如您所见，有两个主要类别：计算机配置和用户配置。

其中每个都有策略和首选项，您可以对其进行扩展进行配置：

• 软件设置
• Windows 设置
• 管理模板

政策与偏好

策略和首选项都可用于管理 Active Directory 计算机和用户对象的设置。主要区别如下：

• 用户无法更改政策。因此，应在策略中进行与安全和合规性相关的设置。示例包括密码策略、帐户锁定策略、防火墙策略和软件限制策略。
• 首选项可以由用户更改，因此它们应该仅用于用户体验和环境设置。例如，您可能提供一组标准的映射网络驱动器、打印机或桌面快捷方式，但通过首选项建立它们将允许用户调整它们以满足自己的需求。

在 Windows Server 上安装组策略管理控制台

要在 Windows Server 上安装组策略管理控制台，请执行以下步骤：

• 单击“开始”菜单并选择服务器管理器，启动服务器管理器。
• 在服务器管理器中，单击顶部菜单中的管理，然后选择添加角色和功能。

• 选择基于角色或基于功能的安装，然后单击下一步。

• 选择要安装 GPMC 的服务器，然后单击下一步。

• 在“选择服务器角色”页面上，单击下一步，因为我们不添加角色。
• 向下滚动，找到“组策略管理”，然后选中它旁边的框。

• 安装完成后，单击“下一步”任何确认消息。单击“关闭”退出向导。

在 Windows 上安装组策略管理控制台

如果您使用的是 Windows 10 版本 1809 或更高版本，您可以使用“设置”应用程序安装 GPMC：

1. 按 WIN+I 打开设置。
2. 搜索可选功能。
3. 点击+ 添加功能。
4. 点击RSAT：组策略管理工具，然后点击安装。

如果您使用的是旧版本的 Windows，则需要从 Microsoft 网站下载正确版本的 RSAT。

如何创建 GPO

要创建新的组策略对象：

• 打开服务器管理器，单击右上角的工具，然后从下拉菜单中选择组策略管理。

• 在组策略管理控制台中，展开要链接 GPO 的林和域。

  • 右键单击要链接 GPO 的 OU、域或站点，然后选择相应的创建选项，例如在此域中创建 GPO，然后在此处链接...

• 输入新 GPO 的描述性名称，然后单击确定。

如何编辑 GPO

要在组策略管理控制台中编辑组策略，请执行以下步骤：

• 展开 GPO 所属的林和域。
• 导航到链接 GPO 的 OU、域或站点。
• 右键单击要编辑的 GPO，然后选择编辑。

• 在组策略管理编辑器中，双击所需的策略设置并根据您的要求进行修改。

Windows 启动时应用计算机设置，用户登录时使用用户设置。如果 GPO 已更改，组策略后台处理会定期应用设置。

如何链接 GPO

要生效，GPO 必须链接到至少一个 Active Directory 容器，例如 OU、域或站点。要链接 GPO，请执行以下步骤：

• 在组策略管理控制台中，展开要链接 GPO 的林和域。
• 右键单击要链接 GPO 的 OU、域或站点，然后选择链接现有 GPO。

• 从可用 GPO 列表中选择要链接的 GPO，然后单击确定。

如何启用或禁用 GPO 链接

禁用 GPO 链接后，其设置将不会应用于链接容器中的对象。以下是启用或禁用 GPO 链接的方法：

• 在组策略管理控制台中，展开链接的 GPO 所属的 Active Directory 林和域。
• 展开链接 GPO 的容器，然后右键单击该 GPO。
• 在上下文菜单中，选中链接已启用以启用链接，或取消选中它以禁用链接。

如何导入 GPO 设置

您可以通过从备份 GPO 或模板文件导入设置来配置 GPO。其做法如下：

• 在组策略管理控制台中，导航到具有要将设置导入到的 GPO 的 OU、域或站点。
• 右键单击目标 GPO 并选择导入设置...
• 选择包含所需 GPO 设置的备份或模板文件（.admx 或 .adml），然后单击打开 。
• 由于备份位置可以包含多个 GPO，因此请选择要从中导入设置的一个。

• 单击下一步两次，查看摘要，然后单击完成完成导入过程。

GPO 继承和优先级

组策略继承和优先级决定了组策略对象如何应用于对象。

遗产

组策略继承遵循 AD 域和 OU 的层次结构。域级策略适用于域中的所有对象（用户、计算机、组）。 OU 级策略适用于特定 OU 内的对象。在层次结构中较高级别应用的策略由子对象继承，因此域级别 GPO 由域中的所有 OU 继承，链接到 OU 的策略由嵌套在该 OU 下的所有子 OU 继承。

但是，您可以使用站点、域或 OU 上的阻止继承设置来阻止链接到父对象的 GPO 应用于子对象。在各个 GPO 上设置强制标志会覆盖块继承设置。

要查看对象从父对象继承的 GPO，请单击 GPMC 中的对象，然后转到“组策略继承”选项卡。

优先级

给定的域、站点或 OU 可以链接多个 GPO，并且这些策略可能具有冲突的设置。组策略优先级控制 GPO 的应用顺序，从而控制哪个设置生效。 GPO 在序列中应用得越晚，其优先级就越高。

策略的应用顺序如下：

• 本地组策略
• 站点级 GPO
• 域级 GPO
• OU 级别的 GPO

要查看链接到某个对象的 GPO，请单击 GPMC 中的该对象，然后转到“链接的组策略对象”选项卡。链接顺序号较高的 GPO 优先于链接顺序号较低的 GPO。您可以通过单击 GPO 并使用左侧的箭头将其向上或向下移动来更改链接顺序号。

组策略可扩展性

您可以通过集成附加功能、自定义设置或第三方组件来扩展组策略的功能。以下是组策略可扩展性的几个方面：

• 管理模板（.admx 文件）- 管理员可以创建自定义模板来管理其他设置或配置自定义策略。
• 自定义组策略首选项 - 您可以使用 XML 文件或脚本创建自定义首选项。这些使您可以管理客户端计算机上的映射驱动器、打印机、注册表设置、文件和快捷方式等内容。
• 组策略客户端扩展 (CSE) - 您可以创建自定义 CSE 来添加额外的设置、策略或管理任务。
• 组策略过滤器和 WMI 过滤器 - 您可以根据特定条件（例如用户或计算机属性）创建过滤器以定位组策略设置。
• 第三方组策略工具 - 第三方解决方案提供额外的管理功能、报告功能、审核工具和策略模板。

备份 GPO

定期创建 GPO 备份，以确保您拥有最新的副本，以防意外或恶意删除、损坏或配置错误。您还应该在进行重大更改后或在执行可能影响组策略设置的维护任务之前备份 GPO。

建立一个集中位置来存储 GPO 备份，以确保轻松访问和管理。考虑按域、日期或目的组织备份文件，以方便检索和恢复。使用描述性命名约定或元数据来识别备份版本和相关更改。实施版本控制实践来跟踪 GPO 随着时间的推移所做的更改，并维护备份历史记录。

对组策略设置的更改进行建模

组策略建模是一项 GPMC 功能，允许管理员模拟组策略设置如何对 Active Directory 环境中的用户和计算机起作用。它提供了一种方法来预测应用特定组策略设置的结果，而无需实施它们。

高级组策略管理

高级组策略管理 (AGPM) 是 Microsoft 桌面优化包 (MDOP) 组件，可增强组策略对象的管理、委派、版本控制和审核。

与 GPMC 不同，AGPM 是客户端/服务器应用程序。服务器组件离线存储 GPO 及其历史记录。由 AGPM 管理的 GPO 称为受控 GPO。管理员可以将它们签入和签出，类似于 GitHub 或文档管理系统中处理文件或代码的方式。

AGPM 比 GPMC 提供更多对 GPO 的控制。除了版本控制之外，您还可以向组策略管理员分配审阅者、编辑者和审批者等角色。这有助于在整个 GPO 生命周期中进行严格的变更控制。 AGPM 审核还可以更深入地了解组策略的变化。

经常问的问题

什么是 Active Directory 组策略管理？

组策略是 Active Directory 的一项功能，使管理员能够控制用户和计算机的配置设置。组策略管理是创建和维护组策略设置的过程，这些设置可增强安全性、部署软件、管理桌面配置等。

如何打开组策略管理控制台？

要打开 Active Directory 组策略管理控制台：

1. 按键盘上的Windows 键 + R。
2. 在出现的“运行”对话框中，键入 gpmc。 msc，然后按 Enter 或单击确定。

如何安装组策略管理控制台？

要在 Windows 服务器上安装 GPMC，请执行以下步骤：

1. 启动服务器管理器。您通常可以在任务栏中找到它，也可以在“开始”菜单中找到它。
2. 在服务器管理器中，单击右上角的管理，然后选择添加角色和功能。
3. 在“开始之前”屏幕上，单击下一步。
4. 在“选择安装类型”屏幕上，选择基于角色或基于功能的安装，然后单击下一步。
5. 选择要安装 GPMC 功能的服务器，然后单击下一步。
6. 在“选择功能”屏幕上，选中组策略管理旁边的框。单击下一步。
7. 检查您的选择并单击安装。
8. 等待安装过程完成。看到确认消息后，关闭服务器管理器。

哪些用户被自动授予执行组策略管理任务的权限？

创建 Active Directory 林时会自动创建组策略创建者所有者组。组成员可以在域级别创建、编辑和管理组策略对象。当管理员想要委派对组策略的控制而不授予完全管理权限时，通常使用此组。默认情况下，只有域管理员是该组的成员。