了解什么是组策略及其工作原理（详细）

组策略。几乎每个 Windows 管理员都熟悉这项服务。但什么是组策略？组策略是在数千台 Active Directory (AD) 加入域的计算机上应用配置设置、安装软件、运行脚本等的常用方法。

扩展组策略的功能并简化细粒度密码策略的管理。使用 Specops 密码策略将字典和密码短语设置定位到任何 GPO 级别、组、用户或计算机。免费试用！

组策略由许多不同的服务和工作流程组成。大多数管理员可能甚至不知道它在幕后是如何工作的！在这篇文章中，我们的目标是改变这一点。

如果您有兴趣了解什么是组策略并了解其工作原理，请继续关注，因为我们将不遗余力！

什么是组策略对象 (GPO)

GPO 是组策略的关键。 GPO 是单独的策略，其中包含要在加入域的计算机上执行的许多不同设置。

在 Windows 10/2019 Server 中，有超过 5000 个设置涵盖了 Windows 的所有相关方面。最重要的是，您可以为特定应用程序导入更多内容：Office、Microsoft Edge、Google Chrome、LAPS-E 等等。您也可以创建自己的。

将 GPO 视为简单的单一策略；它是一个清单，其中包含执行任务的说明，例如设置登录脚本、更改用户桌面、安装软件和数千个其他任务。

Active Directory 将 GPO 存储在 Active Directory 数据库中，并在域控制器 (DC) 之间复制。

GPO 有两种设置“类别”：一个用于计算机，一个用于用户。这些“类别”定义了 GPO 内部的设置如何应用于计算机。例如，如果您需要更改用户的背景，那就是用户设置。如果您需要安装系统范围的软件，那就是计算机设置。

创建 GPO 后，您可以将该 GPO 定位到 OU 内的一组计算机或用户。然后，计算机会定期查找新的 GPO 并应用这些设置（稍后会详细介绍）。

什么是组策略模板

如果 GPO 是组策略的主要组件，那么组策略模板 (GPT) 就是下一个重要概念。 GPT 与 GPO 齐头并进。

Active Directory 将 GPO 存储在 SYSOL 中，SYSOL 是 DC 上用于分发文件的文件共享。 GPT 由注册表设置、安全文件、应用程序、脚本和安装程序、快捷方式、XML 文件、图形文件等组成，具体取决于您在相应 GPO 中定义的设置类型。

使用 GPMC 管理组策略

组策略通过组策略管理控制台 (GPMC) 进行控制。该控制台安装在所有域控制器上，并作为远程服务器管理工具包 (RSAT) 的一部分。GPMC 连接到拥有主域控制器仿真器 (PDCe) 角色的域控制器以对组进行更改政策。

在 GPMC 内部，您可以创建组策略对象 (GPO) 并将其分配给 Active Directory 组织单位 (OU)、Active Directory 站点等。

组策略复制的工作原理

如前所述，GPO 和 GPT 是 AD 的一部分。因此，它们是典型 Active Directory 复制过程的一部分。

当您创建/更新新的 GPO 并将其定位到 Active Directory OU 时，特定的工作流程将启动。

1. 一旦通过 GPMC 更改 GPO，GPMC 就会连接到 PDCe DC。
2. 然后，GPMC 在 Active Directory 数据库内创建或修改 GPO，并在 SYSVOL 中创建/更新 GPT。
3. 修改后，AD 复制将接管并根据 AD 复制计划将 GPO 和 GPT 复制到其余 DC。如果您的“本地”DC 和 PDCE 位于同一站点，则复制通常最多需要 5 分钟；如果它们位于不同站点，则复制时间通常需要更长的时间。

一旦使用 GPMC 创建，DC 也会复制 SYSVOL 中的 GPT，但它们是通过称为 DFS-R 的单独复制机制来实现的。 SYSVOL 的复制计划与 AD 数据库的复制计划相同。 GP 的两个组件应该大致同时到达您的本地 DC。

如何应用 GPO

因此，GPMC 创建了 GPO/GPT，并且它们已被复制到 AD 环境中的所有 DC。怎么办？现在客户需要领取保单。此时，由客户端检查 DC 是否有新的/更改的策略。

客户端遵守其定义的组策略刷新间隔。这是他们定期检查 DC 更改的时间间隔。默认情况下，刷新间隔设置为 90 分钟，加上 0 到 30 分钟之间的随机偏移。

如果策略以 DC 为目标，则默认刷新间隔仅为五分钟。

一旦刷新间隔结束，客户端上的组策略客户端服务将向 DC 检查是否有任何新的或更改的策略。如果找到，它将下载这些策略并开始在客户端计算机上执行指令。

组策略客户端服务可能不会立即应用新设置。某些设置无法立即应用，例如下次登录时、重定向文件夹、下次重新启动后等。

有些 GP 即使自上次应用以来没有发生任何变化也适用。安全设置就是一个很好的例子，这些设置会在计算机启动时重新应用，如果计算机尚未重新启动，则每 16 小时重新应用一次。这很重要：如果有人对特定安全配置进行了更改，这些更改将在下次刷新时恢复（想想 Windows 防火墙中打开的防火墙端口，或者添加到受限组或从中删除的成员）本地计算机）。

即使 GP 未更改，其他设置也可以配置为重新应用。您可以通过注册表（或者您猜对了，通过 GP）针对特定类型的设置控制 GP 客户端的行为。

强制执行合规性要求，阻止超过 30 亿个被泄露的密码，并通过动态最终用户反馈帮助用户在 Active Directory 中创建更强的密码。立即联系我们了解 Specops 密码政策！

结论

如果您曾经问过自己，“什么是组策略？”，我希望本教程能够回答这个问题。组策略是一个已经存在很长时间的系统，至今仍有数千个组织在使用。对于许多需要在 Windows 计算机环境中应用更改的人来说，这是一个主要工具。

如果您需要对一台、十台或 1,000 台加入域的计算机执行更改，请确保您知道什么是组策略。