组策略管理

组策略是一种适用于 Windows 的 Active Directory 管理技术，可提供配置设置的集中管理。虽然它不是唯一可用的管理解决方案 - 也可以使用 PowerShell Desired State Configuration (DSC) 和移动设备管理 (MDM) - 组策略是加入域的客户端设备的推荐技术，因为它比其他技术提供更精细的控制解决方案。

组策略管理控制台

组策略设置在组策略对象 (GPO) 中配置。您可以将 GPO 链接到域、站点和组织单位 (OU)。为了获得更多控制，可以根据 Windows Management Instrumentation (WMI) 筛选器的结果应用 GPO，但应谨慎使用 WMI 筛选器，因为它们会显着增加策略处理时间。

组策略管理控制台 (GPMC) 是一个内置的 Windows 管理工具，使管理员能够管理 Active Directory 林中的组策略并获取用于排除组策略故障的数据。您可以在 Microsoft Windows Server Manager 的“工具”菜单中找到组策略管理控制台。使用域控制器执行日常管理任务并不是最佳实践，因此您应该安装适合您的 Windows 版本的远程服务器管理工具 (RSAT)。

安装组策略管理控制台

如果您使用的是 Windows 10 版本 1809 或更高版本，您可以使用“设置”应用程序安装 GPMC：

1. 按 WIN+I 打开“设置”应用程序。
2. 单击“Windows 设置”下的应用。
3. 点击管理可选功能。
4. 点击+ 添加功能。
5. 单击RSAT：组策略管理工具，然后单击安装。

图 1. 使用设置应用界面安装组策略管理控制台

如果您使用的是旧版本的 Windows，则需要从 Microsoft 网站下载正确版本的 RSAT。

为了方便起见，您可能还想安装服务器管理器。但如果您选择不这样做，则可以将 GPMC 添加到 Microsoft 管理控制台 (MMC) 并保存控制台。

使用组策略管理控制台

每个 AD 域都有两个默认 GPO：

• 默认域策略，链接到域
• 默认域控制器策略，链接到域控制器的 OU

您可以通过单击 GPMC 左侧窗格中的“组策略对象”容器来查看域中的所有 GPO。

图 2. 组策略管理控制台的界面

创建新的组策略对象

请勿更改默认域控制器策略或默认域策略。添加自己的设置的最佳方法是创建新的 GPO。创建新 GPO 有两种方法：

• 右键单击要链接新 GPO 的域、站点或 OU，然后选择在此域中创建 GPO，然后在此处链接...保存新 GPO 时，它将被链接并立即启用。
• 右键单击“组策略对象”容器，然后从菜单中选择新建。您需要手动链接新的 GPO，方法是右键单击域、站点或 OU，然后选择链接现有 GPO。您可以随时执行此操作。

无论如何创建新 GPO，在“新建 GPO”对话框中，您都必须为 GPO 命名，并且可以选择将其基于现有 GPO。有关其他选项的信息，请参阅下一节。

编辑组策略对象

要编辑 GPO，请在 GPMC 中右键单击它，然后从菜单中选择编辑。 Active Directory 组策略管理编辑器将在单独的窗口中打开。

图 3. 组策略管理编辑器的界面

GPO 分为计算机设置和用户设置。 Windows 启动时应用计算机设置，用户登录时应用用户设置。如果在 GPO 中检测到更改，组策略后台处理会定期应用设置。

政策与偏好

用户和计算机设置进一步分为策略和首选项：

• 策略不会影响注册表 - 当 GPO 中的设置发生更改或 GPO 超出范围时，策略设置将被删除，并使用原始值。策略设置始终取代应用程序的配置设置，并且将显示为灰色，以便用户无法修改它们。
• 默认情况下首选项纹身注册表，但此行为可以为每个首选项设置进行配置。首选项会覆盖应用程序的配置设置，但始终允许用户更改配置项。组策略首选项中的许多可配置项可能是以前使用登录脚本配置的，例如驱动器映射和打印机配置。

您可以展开策略或首选项来配置其设置。然后，这些设置将应用于属于 GPO 范围的计算机和用户对象。例如，如果将新 GPO 链接到域控制器的 OU，则这些设置将应用于位于该 OU 和任何子 OU 中的计算机和用户对象。您可以使用站点、域或 OU 上的阻止继承设置来阻止链接到父对象的 GPO 应用于子对象。您还可以在各个 GPO 上设置“强制”标志，这会覆盖“块继承”设置以及 GPO 中具有更高优先级的任何配置项。

GPO 优先级

多个 GPO 可以链接到域、站点和 OU。当您单击 GPMC 中的这些对象之一时，链接的 GPO 列表将出现在“链接的组策略对象”选项卡的右侧。如果有多个链接的 GPO，则链接顺序编号较高的 GPO 优先于编号较低的 GPO 中配置的设置。

您可以通过单击 GPO 并使用左侧的箭头将其向上或向下移动来更改链接顺序号。 “组策略继承”选项卡将显示所有应用的 GPO，包括从父对象继承的 GPO。

图 4. 有关 GPMC 中所有应用的 GPO 的信息

高级组策略管理

高级组策略管理 (AGPM) 作为 Microsoft 桌面优化包 (MDOP) 的一部分提供给软件保障客户。与 GPMC 不同，AGPM 是一种客户端/服务器应用程序，其中服务器组件离线存储 GPO，包括每个 GPO 的历史记录。由 AGPM 管理的 GPO 称为受控 GPO，因为它们由 AGPM 服务管理，管理员可以将它们签入和签出，就像您在 GitHub 或文档管理系统中签入和签出文件或代码一样。

与 GPMC 相比，AGPM 可以更好地控制 GPO。除了提供版本控制之外，它还允许您向组策略管理员分配审阅者、编辑者和审批者等角色，这有助于您在整个 GPO 生命周期中实施严格的变更控制。 AGPM 审核还可以更深入地了解组策略更改。