使用 Windows PowerShell 配置组策略

在这篇博文中，我将介绍如何使用 PowerShell 在 Active Directory 环境中管理组策略。组策略控制用户和计算机的环境。但这不仅仅是控制：组策略可以帮助您使您的客户端和服务器系统更加用户友好。

模块组策略

所有命令都可以在组策略模块中找到。只需在其中一台域控制器上运行 Get-Command 即可获取所有这些内容。

Get-Command -Module GroupPolicy

创建 GPO

首先，我们创建一个简单的组策略对象，无需任何配置。

New-GPO -Name "ScreenSaverTimeOut" -Comment "Sets the time to 900 seconds"

配置 GPO 屏幕保护程序超时

现在是坏消息：您必须输入注册表项。

Set-GPRegistryValue -Name "ScreenSaverTimeOut" -Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop" -ValueName ScreenSaveTimeOut -Type String -Value 900

将 GPO 链接到组织单位/域/站点

现在我们已经配置了一个 GPO。最后一步是将其链接到 Active Directory 对象（OU、域、站点）。

New-GPLink -Name "ScreenSaverTimeOut" -Target "ou=people,dc=pagr,dc=inet"

正如您所看到的，默认情况下它并不强制执行。强制执行 GPO 是一种非常罕见的配置。当我们的某些组织单位配置为阻止从父 OU 继承的 GPO 时，它会很有用。然后强制执行的 GPO 将覆盖这些设置。稍后会详细介绍。

检查您的 GPO

您可以使用图形界面或 PowerShell 检查之前配置的 GPO。

Get-GPO -Name "ScreenSaverTimeOut" | Get-GPOReport -ReportType HTML -Path $Home\report.html
Invoke-Item $Home\report.html

或者打开 gpmc.msc 并导航到该对象。

配置高级设置

继承的组策略

要查找组织单位的所有继承的组策略对象，请运行

Get-GPInheritance -Target "ou=people,dc=pagr,dc=inet"

阻止继承

如果要阻止从父组织单位继承的所有 GPO，请运行

Set-GPInheritance -Target "ou=people,dc=pagr,dc=inet" -IsBlocked 1

将此屏幕截图与之前的屏幕截图进行比较。默认域策略来自父对象，现已消失。

执行组策略

如前所述，强制执行优先于阻止。因此，如果我强制执行默认域策略，它应该会再次出现。

Set-GPLink -Name "Default Domain Policy" -Target "dc=pagr,dc=inet" -Enforced Yes

它又出现了：

Get-GPInheritance -Target "ou=people,dc=pagr,dc=inet" | Select InheritedGpoLinks

配置安全设置

所有新创建的 GPO 的默认安全设置都是经过身份验证的用户（应用）。这意味着，应用策略的 OU、站点或域中的所有对象都有权读取 GPO 并因此应用它。

例如，一个 OU 中有 10 个用户。您只想将 GPO 应用于一个用户。然后只需修改Authenticated Users组的权限即可。

为此，请删除经过身份验证的用户组。不要在意这些警告。

Set-GPPermission -Name "ScreenSaverTimeOut" -TargetName "Authenticated Users" -TargetType User -PermissionLevel None

然后再次添加。但现在只允许“阅读”。

Set-GPPermission -Name "ScreenSaverTimeOut" -TargetName "Authenticated Users" -TargetType User -PermissionLevel GPORead

最后，添加您的用户并授予用户“GPOApply”。

Set-GPPermission -Name "ScreenSaverTimeOut" -TargetName "Petra" -TargetType User -PermissionLevel GPOApply