如何在 Microsoft Windows 服务器中构建组策略对象？

“政策”一词的一般用法很容易理解，它意味着您需要遵守的某种规则集、结构或标准。在我们的例子中，我们谈论的是基于 Microsoft Windows 的计算机（和服务器）。将策略应用于计算机，例如安全策略、应用程序策略或打印机策略，听起来是个好主意。如果对计算机应用策略很棒，那么对一组计算机应用策略一定更好，因此有了“组策略”这个术语。简而言之，组策略是向域网络内的计算机组发布策略的集中方式。

本文摘自 Jordan 所著的《掌握 Windows Server 2019，第三版》一书的其中一章 Krause - 更新的第三版，为您提供在任何环境中实施和使用此操作系统所需的深入知识。

掌握 Windows Server 2019：系统管理员安装、管理和部署 Windows Server 2019 第三版新功能的完整指南

构建 GPO

没有什么比亲自动手更好的了，所以让我们言归正传，构建一个新的 GPO。不用担心，我们会小心不要将此 GPO 应用于任何内容，并将其保存到下一部分。与大多数 Microsoft 技术一样，有一个专门为与组策略交互而创建的特殊管理控制台，适当地命名为组策略管理控制台 (GPMC)。登录到任何域控制器服务器，您可以从管理工具、服务器管理器的工具菜单中启动 GPMC，或者从“开始”>“运行”、命令提示符或 PowerShell 启动 GPMC.MSC：

您会注意到图 1 中已经列出了一些 GPO。它们是安装 Active Directory 时始终存在的默认 GPO 的组合。要以尚未应用于任何工作站或用户的方式创建新 GPO，请右键单击组策略对象文件夹，然后选择新建。为您的新 GPO 创建一个名称，然后单击确定，您就创建了一个组策略对象！到目前为止，您的新 GPO 没有任何设置或配置，并且它不适用于任何事物或任何人，因此毫无意义。我们很快就会改变这一点……

添加可信站点

我将我的第一个 GPO 命名为“添加受信任的站点”，因为我将使用这个新的 GPO 来应用一些 URL，以便在我的 Windows 10 客户端计算机上的 Internet Explorer 中将其识别为受信任的站点。如果您在网络中运行的网络应用程序需要运行 JavaScript 或 ActiveX 控件或类似控件，则可能需要该网站属于 Internet Explorer 内受信任的网站列表的一部分，才能正常运行。您可以为帮助台打印一份说明页，说明如何在每台计算机上执行此操作，并让他们花时间为每个因无法访问该应用程序而致电的用户执行此操作。或者，您可以简单地创建一个 GPO，在每个工作站上自动为您进行这些更改，从而使您无需处理所有这些电话。这只是组策略所拥有的功能的一个小例子，但它是一个很好的例子，因为它很有用，而且它是一个隐藏在 GPO 设置中的设置，因此您可以感受到这些设置的深度。能力去。

右键单击新 GPO 并选择编辑...。现在导航至计算机配置|政策|管理模板| Windows 组件|互联网浏览器|互联网控制面板|安全页面。看，我告诉过你它被埋在那里了！

现在，双击站点到区域分配列表并将其设置为启用。这允许您单击显示...按钮，您可以在其中输入网站并为其分配区域。每个 GPO 设置都附有精美的描述性文本，准确告诉您该特定设置的用途以及选项的含义。正如您在本文的文本中所看到的，为了将我的网站设置为受信任的网站，我需要为其指定区域分配值2。而且，为了好玩，我还添加了一个我不希望用户访问的网站，并将其区域值设置为4，以便 badsite.contoso.com 成为受限制的成员我所有台式计算机上的网站区域。这是我完成的清单：

我们完了吗？几乎。一旦我单击确定按钮，这些设置现在就会存储在我的组策略对象中并准备好部署。如您所知，我们尚未将这个新 GPO 分配给任何人，因此目前 GPO 已填充了这些设置，但仍不执行任何操作。在我们推出这些设置之前，让我们构建几个更常见的 GPO，以确保我们这里的示例是全面的。

映射网络驱动器

文件服务器是最常见的服务器类型之一，因为所有行业的所有公司都需要创建和维护文档来运营其业务。本章不是关于如何构建文件服务器、设置共享、限制权限或利用分布式文件系统（DFS）来提高整体灵活性和弹性的章节。你的文件服务器基础设施，尽管这些都是值得学习的好东西。今天，我们假设您已经拥有文件服务器，并且这些文件服务器上已经有共享文件夹。在我的测试实验室中，我有来自几个不同服务器的共享文件夹，如下所示：

• \DC1\HR
• \DC2\会计
• \WEB3\安装程序

我们试图解决的挑战是如何自动在所有用户的工作站上提供这些共享文件夹位置。我可以整理一份文档，向用户展示如何使用插入文件资源管理器地址栏中的 UNC 路径手动访问这些位置。或者甚至可以更进一步，向我的朋友展示如何从文件资源管理器内部映射网络驱动器，以便他们最终在计算机上分配驱动器号，以便持续访问这些位置。这样做是可行的，但它给我的用户带来了管理负担，并且还导致用户可能拥有不同的驱动器盘符。格蕾丝可能会使用她的“R”驱动器盘符来映射到会计共享，而杰克逊可能会决定“T”是他选择的会计驱动器盘符。

显然，有更好的方法来处理这种情况。我们为 GPO 分配的最常见的工作之一是在客户端计算机上标准化创建映射网络驱动器。在新的 GPO 中，我们可以定义共享的 UNC 路径并为其分配驱动器号。然后，我们可以将该 GPO 分配给用户和计算机，当用户登录其计算机时，驱动器号将神奇地映射。

为此目的创建一个新的 GPO，然后编辑该 GPO，正如您已经知道的那样。这次我们将导航到以下位置：

用户配置|偏好 | Windows 设置 |驾驶地图

右键点击云端硬盘地图并选择新建|映射驱动器会将您带入单个映射驱动器号的配置部分。您可以在下面的屏幕截图中看到，我将驱动器映射到 \\DC1\HR，并为其分配驱动器号 H：

您会注意到操作下拉菜单有四个不同的选项：创建、替换、更新和 >删除。理解这一点很重要，因为许多 GPO 首选项配置都有相同的下拉选择。以下是与我们新的驱动器映射策略相关的每个可用选项的快速摘要：

• 创建：仅当新的映射驱动器尚不存在时，才使用此操作创建新的映射驱动器。如果 H: 驱动器已在工作站上使用，则该新映射将被忽略。在我们的示例中，如果我要为“创建”配置此新驱动器映射，则仅当 H: 驱动器盘符当前打开且可用时才会执行操作。
• 替换：使用此操作可删除现有设置并将其替换为新设置。在我们的例子中，它将使用 H: 更新任何映射驱动器到我们的 \\DC1\HR。由于“更新”选项，“替换”选项是多余的，并且很少使用。
• 更新：这是大多数首选项设置的默认操作，通常也是最有用的。如果我们正在配置的设置不存在，更新将创建它。此外，如果设置（映射驱动器）已在工作站上就位，那么现在将对其进行更新以反映我们在 GPO 中的新定义。驱动器映射策略几乎总是使用更新操作将新驱动器号推送到位。
• 删除：这将从客户端计算机中删除特定设置。如果您要删除网络共享并希望确保将其从域中的所有计算机中删除，那么这将是一个有用的操作，可确保实现这一目标。

在这个新的驱动器映射上点击确定之前，请先访问通用选项卡。此选项卡及其五个选项通常显示在插入 GPO 的许多首选项设置中。其中大多数都是不言自明的，尽管我们将在短短几页中更多地讨论项目级定位。对于我们的驱动器映射 GPO，我想指出在登录用户的安全上下文中运行复选框。这会告诉组策略在登录用户的帐户下运行 GPO 所设置的任何设置或首选项。对于映射驱动器，这特别有用，因为您通常希望用户在常规用户上下文中与其映射驱动器进行交互。虽然选中此框并不常见，但对于驱动器映射 GPO，我总是这样做。

冲洗并重复您想要包含在新 GPO 中的任何其他驱动器号，现在您就可以自动映射整个网络中的所有驱动器号了！我为每个共享文件夹设置了驱动器盘符映射，还包括一个 GPO 设置，用于删除 Z: 驱动器（如果存在）。我的实验室中没有，但这样您还可以看到政策内部的示例：

再说一次，这个新的 GPO 尚未适用于任何用户，但不用担心 - 一旦我们完成创建又一个示例 GPO，我们将继续确定 GPO 设置的范围，在这里我们将把新的 GPO 付诸实践并验证设置和映射驱动器会自动显示在我们的客户端计算机上。

安装注册表项

就像通过 GPO 将映射的网络驱动器推送给用户一样，我们也可以自动在计算机上实现注册表项和值。这是非常强大的，因为 Windows 环境中的几乎所有内容都可以通过使用注册表项进行操作。创建另一个新的 GPO，这次导航到以下位置：

用户配置|偏好 | Windows 设置 |注册表

创建、替换、更新或删除注册表项的流程与映射网络驱动器的流程非常相似。棘手的一点是确保正确指定选项，否则它们将不起作用，特别是键路径和值信息。对于我们的示例，我将推送一个注册表值，该值阻止用户更改其桌面背景图像并指定我自己的自定义桌面背景。根据我的经验，确保在配置窗口中正确填充 GPO 配置的最简单方法是将您正在使用的新注册表项和/或值实际放置到运行 GPMC 的服务器或计算机上。这样，您可以选择省略号按钮并查找确切的注册表设置，而不是试图记住“密钥路径”字段的格式必须如何设置。

我要放置的注册表信息是：

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

在系统注册表项中，注册表值名称为Wallpaper。

这是我在组策略中填充的条目：

由于我已选择将此注册表值作为更新操作推送，因此每次组策略在此计算机上进行处理时，都会确保此注册表项存在，从而不断防止用户被能够调整他们的桌面壁纸。

我选择这个示例是因为它很简单，而且通常在组策略中您会发现有多种方法可以完成同一件事。我可以创建一个使用以下 GPO 设置的 GPO，而不是使用注册表值来锁定壁纸设置，并且无需触摸注册表设置即可完成相同的操作：

用户配置|政策 |管理模板|桌面|桌面|桌面壁纸

组策略是一个非常强大的工具，在域环境中工作时可以使用。存在许多预构建的配置和设置，并且由于我们可以操纵客户端计算机上的注册表，因此您可以通过 GPO 在客户端计算机上管理的内容几乎是无限的。

作者简介

Jordan Krause 已成为 IT 专业人士 20 多年，并因其在 Microsoft 服务器和网络技术方面的工作而获得了 9 项 Microsoft MVP 奖项。作为世界上最早的 Microsoft DirectAccess 专家之一，他热衷于帮助公司找到支持远程员工的最佳方法。 Jordan 致力于持续学习，拥有 MCSE、MCSA 和 MCITP 企业管理员认证，并撰写了大量有关 Microsoft 技术的书籍。乔丹生活在美丽的西密歇根州（美国），但每天都与世界各地的公司合作。