什么是 GPO（组策略对象）

成为 GPO 大师！了解设备顺序、安全过滤、故障排除以及组策略对象的各个其他方面。

本文将让您全面了解 GPO（又名 Microsoft 组策略对象）。

单击下面列表中的项目直接转到您感兴趣的主题。或者，阅读全文以确保您牢牢掌握基础架构中的 GPO 配置。

本文按结构化顺序涵盖以下主题：

• 什么是 GPO？
• GPO 存储在哪里？
• 如何配置 GPO
• GPO 设备订单
• GPO 安全过滤和委派
• GPO 和 OU 设计
• GPO 设备故障排除

什么是 GPO？

GPO（即组策略对象）是您为配置客户端或服务器而设置的对象。使用 GPO 的好处是您可以通过一个或多个策略集中配置许多客户端或服务器。此外，GPO 设置每 60 - 120 分钟重新应用一次，以确保环境的一致性。

GPO 由两个主要部分组成：计算机设置和用户设置。

计算机设置包含特定于操作系统的设置，例如事件日志的大小、用户权限分配或网络设置。

用户设置包含特定于用户帐户的设置，例如桌面布局、开始菜单和应用程序设置。

可以配置成千上万的设置，并且可以轻松扩展 GPO 框架以适应新的设置。

下图显示了组策略编辑器中典型 GPO 的计算机和用户设置：

计算机设置在系统启动期间应用。

用户设置在登录期间应用。

大多数（但不是全部）设置每 60 - 120 分钟重新应用一次。

GPO 存储在哪里？

GPO 部分存储在您的 Active Directory 数据库中，部分存储在由域控制器共享的复制的 Sysvol 文件夹中。这只是您在故障排除时应该了解的内容。

在日常管理中，您不会直接访问 Active Directory 对象或 Sysvol 文件夹，也许登录脚本除外，登录脚本通常与 GPO 文件一起手动放置在 Sysvol 文件夹中。

在对 GPO 一致性进行高级故障排除时，可以在 Domain\System\Policies 中找到 AD 对象：

GPO 文件和文件夹可以在 \\[Domain]\Sysvol\[Domain]\Policies 中找到：

您会注意到 GPO 由 GUID 标识。例如，我的简单测试设置中的四个 GPO 的 GUID 可以在上面的屏幕截图中的 AD 和 Sysvol 共享中看到。

如何配置 GPO

要创建、编辑和删除 GPO，您通常会使用组策略管理控制台 (GPMC)。默认情况下，GPMC 在域控制器上可用，但也可以使用 Install-WindowsFeature 命令将其安装在服务器上。在客户端上，您需要安装 RSAT 才能通过 GPMC 工具管理 GPO。

当您打开 GPMC 工具时，您将能够看到域的 OU 结构，这很有意义：要应用组策略，您必须将其与 OU 链接。 GPO 链接后，它将开始应用于链接的 OU 和任何子 OU 中的用户和/或客户端（有关更多详细信息，请参阅下一节）。

要创建新的 GPO，请右键单击要链接的 OU，然后选择“在此域中创建 GPO，然后在此处链接...”：

这将创建一个新的 GPO 对象，然后您可以打开该对象并使用所需的设置进行配置：

请注意，此操作将创建两件事：GPO 本身和 GPO 链接，确保 GPO 应用于 OU（和子 OU）中的用户和/或计算机。如果您删除GPO 链接或GPO 本身，则会产生很大的差异，因此请确保您了解其中的区别！

一个GPO可以链接到多个OU，编辑GPO将影响所有GPO链接！

GPO 还可以链接到站点对象。此功能不经常使用，但当您想要根据设备的网络位置配置设备时可能会很有帮助。

在 GPMC 工具的底部，您将找到域中所有 GPO 的概述。如果您不知道特定 GPO 的链接位置，可以在此处查找该 GPO：

GPO 设备订单

GPO 设备一开始可能会非常混乱，因为许多配置都会影响 GPO 设备订单的最终结果。我们经常看到经验丰富的管理员在这方面犯错误。

首先：

AD 中的计算机对象（仅）从链接到计算机的 OU 或父 OU 的 GPO 接收计算机设置。

AD 中的用户对象（仅）从链接到用户的 OU 或父 OU 的 GPO 接收用户设置。

此规则存在例外情况！请仔细阅读整个部分！

GPO 可以禁用其计算机设置或用户设置。使用此功能可以通过禁用仅保存用户设置的 GPO 的计算机设置来加速客户端上的 GPO 处理，反之亦然。禁用计算机和用户设置将有效禁用 GPO。

由于多个 GPO 可能具有冲突的设置，并且甚至计算机和用户设置有时也可以配置相同的设置，因此出现了一个重要问题：

在存在多个相互冲突的 GPO 的情况下，应用哪些有效设置？

首先，您应该避免在 GPO 中配置冲突的设置。尽管如此，这些是 GPO 设备的“基本”规则：

• 同一 OU 上具有较低链接顺序（例如 1）的 GPO 设置将覆盖同一 OU 上具有较高链接顺序（例如 3）的 GPO 设置
• 较低级别 OU 的 GPO 设置将覆盖较高级别 OU 的 GPO 设置

这意味着您在 OU 层次结构中配置的 GPO 越低，它们就越占主导地位（因为它们最后应用，从而覆盖以前应用的设置）。

在下面的示例中，具有最高链接顺序的 GPO 将胜过链接顺序较低的 GPO 中的任何冲突设置：

笔记！左侧域对象下方的 GPO 按字母顺序排序！因此，您必须查看右侧的链接顺序。

在下面的示例中，链接到较低级别 OU（“桌面配置”）的 GPO 将胜过链接到较高级别（更接近域对象）的 GPO 中的任何冲突设置：

除此之外，在用户和计算机设置发生冲突的情况下，您应该了解以下内容：

• GPO 计算机设置在系统启动期间应用
• GPO 用户设置在用户登录时应用

因此，用户设置将覆盖任何冲突的计算机设置（因为它们是最后应用的）。

让事情变得更加复杂的是，可以通过以下方式修改 GPO 设备：

• 链接已禁用
• 无覆盖
• 块继承
• 环回处理
• WMI过滤
• 安全过滤

链接已禁用是指您禁用 GPO 链接。 GPO 已链接到 OU，但该链接已禁用。在这种情况下，GPO 不会应用任何内容。这主要在测试期间使用。

无覆盖表示较低级别的 GPO 设置无法覆盖 GPO 中的设置。此设置通常用于防止较低级别的管理员覆盖企业设置。

块继承是 OU（而非 GPO）的一项功能，可确保较高级别 OU 中设置的 GPO 不会应用于 OU（或子 OU）中的计算机或用户对象。请注意，无覆盖优先于块继承。

环回处理意味着影响计算机的GPO的用户设置被应用到对象（通常，只有计算机设置影响计算机）。环回处理有两种形式：替换和合并：

• 使用“替换”，将完全跳过影响用户对象的 GPO 中的用户设置。此设置在例如您不希望随机用户 GPO 弄乱您的终端服务器的终端服务器环境中很有用。
• 通过“合并”，影响用户的 GPO 中的用户设置将在影响计算机的 GPO 中的用户设置之上进行处理。

WMI 过滤允许您使用 WMI 过滤器来过滤目标。 WMI 过滤器可以查询 WMI 中的任何内容，例如操作系统版本、BIOS 版本、磁盘大小、硬件类型等。WMI 过滤器在 GPMC 的 WMI 过滤器部分中定义，定义后，可以将它们添加到组策略中策略的范围选项卡。

最后，可以通过安全筛选来修改 GPO 设备，这将在下一节中介绍。

GPO 安全过滤和委派

组策略对象是安全对象，例如文件和文件夹、Active Directory 对象、注册表项等。GPO 的安全设置会影响其应用于用户和计算机的方式。

要从 GPO 接收设置，计算机或用户必须对 GPO 具有读取和应用权限。如果他们不具有读取和应用权限，则不会应用 GPO。

您最初可能不会注意到这一点，因为经过身份验证的用户默认分配为“读取”和“应用”。但是，由于域用户和域计算机都属于该组，因此 GPO 将不加区别地应用于所有这些组。

但有时，您可能希望将 GPO 设备限制为单个用户或计算机，例如在测试新 GPO 期间。

这可以通过从经过身份验证的用户中删除“应用”权限或从 GPO 的 ACL 中完全删除经过身份验证的用户来实现：

…然后手动将读取和应用分配给您用于测试的用户或计算机：

此方法称为安全过滤。它主要用于测试以及当您的 OU 设计和 GPO 设备需求之间存在次优对应关系时。请查看下一节以获取有关此内容的更多信息。

更改 GPO ACL 的另一个原因是委托。同样，这与 GPO 设备无关，而是 GPO 管理的问题。

在较大的组织中，将 GPO 的管理委托给本地团队通常是有意义的。这可以通过向 GPO 分配写入权限来完成：

这将允许您配置空白 GPO，然后将 GPO 的配置委托给本地团队。如果需要，您还可以分配修改 GPO ACL 的权限，以允许他们设置安全过滤以进行测试。

GPO 和 OU 设计

GPO 分配与您的 OU 设计密切相关，因为 GPO 与 OU 相关联。但有时，您的 OU 结构可能与您的 GPO 分配需求不匹配。稍微修改您的 OU 结构以更好地适应您的 GPO 设计可能很诱人。不要上当！

OU 结构应根据您的需要来设计，以委派对 Active Directory 对象的管理访问权限 - 而不是您的 GPO 分配需要！

假设您有一个基于地理位置的 OU 设计，允许国家/地区管理员在管理本地用户和计算机时拥有一定的自主权。例如，您有国家 OU 以及按部门命名的子 OU。

但现在，您拥有一个包含企业设置的 GPO，您希望将其分配给组织中的所有营销用户。您现在有几个选择：

• 好处：使用安全过滤（如上一节所述）定位所有营销用户并将其链接到顶层
• 坏处：将 GPO 与所有国家/地区的营销 OU 链接（这是很多链接！）
• 丑陋的地方：创建一个包含所有营销用户的 OU

最终的解决方案不符合 AD 对象委派的安全需求，因此甚至不应该考虑。相反，在设计 OU 结构时，AD 对象委派的需求应该是您首要考虑的问题。

专业提示！ 使用动态组可以根据 OU 放置和/或 AD 对象属性轻松组织用户和计算机。然后使用动态组对相关 GPO 执行安全过滤。这将允许您通过在 AD 对象上设置正确的属性来管理 GPO。最后，使用我们的免费工具（是的，完全免费）像真正的专业人士一样管理您的广告！

GPO 设备故障排除

显然，由于与 GPO 处理相关的所有复杂性，您最终会遇到计算机似乎无法反映您的 GPO 设置的情况。但是，同样，有不同的方法和工具可以解决此问题。

GP更新

您可以使用 GPUpdate 命令在系统上触发 GPO 处理。使用 /Force 参数确保完整处理并使用 /Target 参数限制范围，例如：

GPUpdate /Force /Target:Computer

GP结果

在客户端上，用于对 GPO 设备进行故障排除的第一个工具是 GPResult 命令。它采用各种参数，其中最常用的是/R 和/Scope。

例如，以下命令将显示（仅）与计算机设置相关的 GPO 设备信息：

GPResult /R /Scope:Computer

将计算机替换为用户以仅获取用户设置的 GPO 信息。完全省略 /Scope 参数以获得完整信息。

上述命令的输出包含各个部分的信息。每个部分都提供了对 GPO 处理进行故障排除的宝贵信息。

让我们看一下不同的部分及其提供的信息：

    CN=DC-01,OU=Domain Controllers,DC=gigacorp,DC=local
    Last time Group Policy was applied: 8/10/2020 at 8:48:31 PM
    Group Policy was applied from:      DC-01.gigacorp.local
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        GIGACORP
    Domain Type:                        Windows 2008 or later

本节的主要信息：

• 您的计算机帐户位于哪个 OU（在 GPO 设备时）
• GPO 何时应用
• 您的计算机从中接收 GPO 设置的 DC

如果您的计算机帐户最近从一个 OU 移动到另一个 OU 并且新设置未应用，则此信息非常方便。

    Applied Group Policy Objects
    -----------------------------
        Default Domain Controllers Policy
        Default Domain Policy
        Computer Certificate Autoenroll

此处的信息是应用于您的系统的 GPO 列表。显然，了解您是否从 GPO 接收到您期望的设置非常重要。

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        802.1x LAN Authentication
            Filtering:  Denied (Security)

        Local Group Policy
            Filtering:  Not Applied (Empty)

在这里您可以看到由于安全过滤而未应用的 GPO 列表。这可以让您确认您设置的安全过滤是否正在运行。

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        BUILTIN\Pre-Windows 2000 Compatible Access
        BUILTIN\Users
        Certificate Service DCOM Access
        Windows Authorization Access Group
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        DC-01$
        Domain Controllers
        NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
        Authentication authority asserted identity
        Cert Publishers
        Denied RODC Password Replication Group
        System Mandatory Level

最后，您的计算机所属的安全组的列表。此信息可以帮助您解决安全过滤不起作用的情况。

仔细检查您的计算机是否是您在安全过滤器中使用的组的成员。如果该组不存在，请调查组成员身份的任何最近更改是否已复制到您从中收到 GPO 的 DC。

政策结果

对 GPO 设备进行故障排除的另一个有效工具是策略结果集 (RSoP) 工具。 RSoP 允许您从远程系统收集 GPO 处理信息，并且是 GPMC 工具的一部分：

右键单击“组策略结果”并选择“组策略结果向导”。然后单击“下一步”并选择要分析的远程系统：

选择您想要收集 GPO 信息的用户 - 或者如果您只是调查计算机设置，则不选择任何用户：

RSoP 工具将为您提供我们从“摘要”选项卡中的 GPResult 工具看到的所有信息。当您单击“详细信息”选项卡时，事情会变得更加有趣。您可以在此处找到从 GPO 应用的所有设置的列表。展开任意部分可查看有关所应用内容以及设置来自哪个 GPO 的详细信息：

记录 GPO 设置

如果您有数十个甚至数百个 GPO，则获取现有设置的概述可能会很困难。

幸运的是，PowerShell 命令非常强大。通过一些编程，您可以在所有 GPO 中提取您喜欢的任何设置。

看看下面的例子：

• 查找具有驱动器映射的 GPO
• 通过软件安装查找 GPO
• 通过文件夹重定向查找 GPO
• 创建您自己的 GPO 分析脚本

概括

我希望这篇文章可以帮助您消除有关 GPO 处理的一些困惑。

通过安全过滤，您可以轻松测试任何新的 GPO，而不会影响实时用户和系统。

使用动态组完成 GPO 安全过滤。我们的免费工具将允许您根据用户和计算机属性自动进行设置。

在客户端或 RSoP 服务器端使用 GPResult，您可以快速排除 GPO 错误并成为当天的英雄 ?

您还可以使用 PowerShell 的 GroupPolicy 模块管理组策略。使用 PowerShell，您可以执行手动无法完成的任务。

作为如何使用 PowerShell 管理 GPO 的示例，请查看本文。它向您展示如何仅使用 PowerShell 和 Excel 快速分析域中的每个 GPO 以进行安全筛选和自定义委派。