什么是组策略和组策略对象 (GPO)？

什么是组策略？什么是 GPO（组策略对象）？

组策略是 Windows 的一项功能，可实现操作系统、计算机设置和用户设置的集中配置和管理。每个策略或组策略对象 (GPO) 都定义一组组策略设置。

创建 GPO 时，您实际上有数千个可用设置。例如，您可以：

• 指定用户打开浏览器时看到的主页。
• 防止用户安装未经批准的软件或访问命令提示符。
• 强制执行密码长度和复杂性要求，以降低帐户泄露的风险。
• 防止使用可移动介质，以最大限度地降低数据被盗和恶意软件感染的风险。
• 阻止用户创建 PST 文件，这对于备份、合规性和电子取证来说是一个令人头疼的问题。
• 在系统启动和关闭时运行特定脚本，例如启动用户每天需要的应用程序或在一天结束时清理不必要的数据。

事实上，您可以将多达 999 个 GPO 应用于用户帐户或计算机帐户。

组策略的好处

上一节中的示例开始说明组策略可以带来的巨大好处 — 从提高用户工作效率和安全性到减少 IT 工作负载。以下是使用组策略可以使您的组织受益的几种方式：

• 您可以确保用户的所有文件和文件夹及其自定义设置（例如任务栏位置、壁纸选择和桌面图标）在他们使用的所有计算机上的可用性。
• 您可以通过要求使用强大的网络和身份验证协议来增强安全性。
• 您可以通过在下班时间安装和更新软件来提高员工的工作效率。

此外，组策略可以实现相当精细的控制。例如，您可以有策略地限制用户可以修改的控制面板设置 - 例如，您可以允许他们调整屏幕分辨率以满足他们的需求，但阻止他们更改 VPN 设置。

Active Directory 组策略和本地组策略

本文主要涉及 Active Directory 级别的组策略，它可以应用于整个组织单位 (OU) 或整个域。但是，还有另一种类型的组策略，即本地组策略。它提供了许多与 AD 组策略相同的选项，但这些设置仅影响本地 Windows 工作站。您可以创建多个本地策略；例如，您可以将一组不同的设置分配给可能登录到计算机的每个业务用户，并将另一组设置分配给计算机管理员。

本地 GPO 与 Active Directory GPO 是分开的，最好在 Active Directory 不可用时使用，例如在未连接到域的计算机上。本地计算机策略编辑器用于编辑计算机上的本地组策略。要打开它，只需单击开始按钮并运行命令GPEDIT.MSC。

GPO 如何运作？

每个 GPO 都有两部分：

• 计算机节点包含仅应用于计算机的策略设置，无论谁在给定时刻登录。示例包括启动脚本、关闭脚本以及控制如何配置本地防火墙的设置。
• 用户节点包含仅适用于用户的策略设置；他们跟踪用户使用的每台机器。示例包括登录脚本、注销脚本和控制面板选项的可用性。

用户和计算机节点下的第一级包含软件设置、Windows 设置和管理模板。然而，这些部门内部存在差异。例如，计算机节点的管理模板部分包括打印机，但用户节点的该部分不包括打印机；其选项包括共享文件夹、桌面、开始菜单和任务栏。

Active Directory GPO 存储在域控制器 (DC) 上。

使用 GPMC 管理组策略

管理员可以使用组策略管理控制台 (GPMC) 管理 Active Directory 中的任何 GPO。 它包括 Microsoft 管理控制台 (MMC) 管理单元，该管理单元提供一组用于管理组策略的可编程接口和脚本接口。

创建和链接 GPO

创建组策略对象只是使其可以在创建它的 Active Directory 域中使用。为了使 GPO 生效，您需要将其链接到一个或多个容器，如下所示：

• 站点 - 如果 GPO 在站点级别链接，则其设置会影响该站点中的所有用户帐户和计算机帐户，无论它们位于哪个域或 OU。
• 域 - 如果 GPO 在域级别链接，它将影响该域中所有 OU 中的所有用户和计算机。
• 组织单位 - 如果 GPO 在 OU 级别链接，它会影响该 OU 及其下的所有 OU（称为子 OU 或子 OU）中的所有用户或计算机。 OU）。

给定的组策略对象可以链接到多个容器，甚至可以链接到不同级别的容器。一个给定的容器可以有多个 GPO 链接到它；在这种情况下，您可以指定 GPO 的应用顺序。

组策略按以下顺序应用：本地、站点、域、OU。此顺序很重要，因为两个 GPO 的设置可能会发生冲突；例如，域级别的策略可能指定一个设置，而 OU 级别的策略则指定不同的设置。结果很简单：食物链下游的政策制定优先。在我们的示例中，OU 级别设置将胜过域级别设置。乍一看这似乎违反直觉，但请记住组策略的规则是“最后编写者获胜”。

组策略首选项

组策略首选项 (GPPrefs) 是一组客户端扩展，可扩展组策略的范围和功能。它们不是政策；而是政策。它们是管理员可以在 GPMC 中配置的高级设置。

使用组策略首选项，您可以将所需的配置部署到计算机和用户，而不会阻止用户选择不同的配置。例如，您可以：

• 设置一个环境变量，使用户无需每次都输入完整路径即可访问某些文件。
• 将文件从服务器复制到用户的计算机。
• 每天删除特定文件夹的内容。
• 将某些注册表设置发送到所有客户端计算机。
• 创建或删除工作站或服务器上的共享。
• 在桌面上创建快捷方式。
• 映射网络驱动器。
• 更改文件关联。
• 配置 VPN 和拨号连接。
• 修改电源选项，例如显示器进入待机模式的时间。
• 管理共享打印机。
• 设置计划任务。
• 更改“开始”菜单。

Netwrix 如何提供帮助

组策略功能强大且复杂，有超过一千种设置可供选择。因此，手动管理组策略是一项艰巨的任务。

但正确设置组策略至关重要，因为一个错误的 GPO 设置可能会给安全性、合规性和业务连续性带来风险。事实上，组策略是恶意行为者最常见的目标之一；更改一台计算机上的本地 GPO 可以实现跨网络的横向移动，而更改 Active Directory GPO 可以禁用域范围的安全控制。

Netwrix 提供的解决方案可以提供帮助，包括以下内容：

• Netwrix PolicyPak 简化了组策略管理，并通过清理和整合 GPO 帮助消除 GPO 蔓延。通过减少托管对象的数量，您的组织将实现更快的登录、更高的安全性、更长的正常运行时间和更少的错误配置。
• Netwrix Auditor 使您能够及时发现组策略对象的不需要的更改，以便您可以在遭受违规或其他问题之前对其进行修复。其预定义报告远远超出了本机工具的范围，提供了有关每个更改的完整详细信息，包括哪个 GPO 受到影响、谁进行了更改、何时进行、来自哪个工作站以及之前和之后的值。

常问问题

Active Directory 中的组策略是什么？

组策略是 Windows 的一项功能，可实现计算机和用户帐户的集中管理。 Active Directory 组策略支持对整个环境进行管理，而本地组策略则支持对特定计算机上的各个用户进行精细管理。

什么是 Windows 组策略？

Windows 组策略这个术语有时用来指本地组策略 — 一组仅适用于一台特定计算机的策略。

为什么我们需要组策略？

组策略提供了一种在加入域的计算机上配置用户和计算机设置的简单方法，而无需逐台物理访问和配置每台计算机。

Active Directory 中有多少个 GPO？

您可以根据组织的需要创建任意数量的组策略对象 (GPO)。创建 AD 域时会自动创建以下 GPO：默认域策略和默认域控制器策略。

如何控制组策略中的自动更新？

您可以使用组策略编辑器启用自动组策略更新。展开计算机配置→管理模板=>Windows 组件，然后单击Windows 更新。在配置自动更新窗口中，勾选启用复选框，然后选择下载和安装更新的首选选项。这些选项在右侧的“帮助”部分中有详细描述。