组策略管理指南

内容

第 1 课 - 组策略基础知识

在本课程中，您将了解组策略的基础知识、其工作原理以及本地 GPO 和域 GPO 之间的区别。

第 2 课 - 组策略流程顺序

了解组策略处理的四个级别（本地、站点、域和 OU）。理解这一点非常重要。

第 3 课 - 管理组策略

在本课程中，我将介绍如何正确创建组策略对象以及管理控制台的概述。

第 4 课 - 组策略首选项

组策略首选项允许您部署默认配置，并允许用户更改设置。

第 5 课 - 组策略过滤

了解如何筛选组策略对象以及排除或包含 GPO 中的特定用户和组。

第 6 课 - 组策略故障排除

了解如何排除组策略故障并使用各种客户端命令来验证和检查 GPO 策略。

第 1 课
组策略基础知识

什么是组策略？

组策略是 Microsoft Windows 的一项功能，允许 IT 管理员集中管理和配置 Windows 计算机上的设置。组策略可以管理操作系统设置、应用程序、浏览器和用户设置。

组策略用于具有加入域的计算机的 Active Directory 环境。它还适用于 Azure 混合连接设备，但不适用于仅限 Azure 的设备。

团体政策的好处

使用组策略的主要优点是组织可以在所有计算机和用户上应用一组标准策略。这有助于确保满足安全性和合规性需求。它还通过拥有一个可以轻松配置计算机和用户设置的工具而使 IT 部门受益。

政策示例：

• 密码政策
• 屏幕锁
• 电源设置
• 映射网络驱动器
• 安装打印机、软件、桌面快捷方式等。
• 软件限制（阻止访问程序）

组策略定义

以下是您需要熟悉的一些常见组策略术语。

组策略对象 (GPO)=组策略对象是策略设置的集合。 GPO 应用于域，或 OU 应用于目标用户、计算机或整个域。您将花费大部分时间与全科医生一起工作。

组策略管理控制台 (GPMC)=这是用于管理组策略和 GPO 的管理控制台。它安装在 Active Directory 服务器上，但也可以通过安装 RSAT 工具将其添加到其他计算机。

本地组策略=本地组策略是应用于单台计算机并在计算机上本地管理的策略。您可以使用 gpedit.msc 控制台访问本地 GPO。这些策略仅适用于您编辑它们的计算机。域策略优先于本地策略。

域组策略 (DGP)=域组策略集中管理，可以应用于多台计算机和用户。 DGP 将是本指南的重点。

用户配置策略=每个 GPO 都有一个用户配置和计算机配置部分。用户配置策略仅适用于用户。

计算机配置策略=GPO 计算机配置策略适用于计算机，而不适用于用户。

组策略如何工作？

组策略由管理员创建适用于用户或计算机的策略。计算机或用户下载策略并将其设置应用到计算机。

以下是使用组策略的典型用例以及组策略的工作原理。您是管理员，需要确保所有计算机屏幕在 15 分钟不活动后锁定。

1. 管理员使用组策略管理控制台创建新的 GPO。 GPO 制定了在使用 15 分钟后锁定计算机屏幕的政策。
2. 管理员将新的 GPO 应用于整个域。这意味着域中的所有计算机都将获得该策略。
3. 计算机在启动时和用户登录时检查并应用新的 GPO。计算机还每 90 分钟检查一次新的 GPO。
4. GPO 策略被下载并应用到计算机或用户。

如果您想遵循本指南，您可能需要构建一个测试环境。这将允许您创建、修改和删除 GPO，而不会破坏您的生产环境。请参阅我关于构建 Active Directory 测试环境的文章以获取分步说明。

第 2 课
组策略流程顺序

了解组策略的应用顺序非常重要。了解优先顺序更为重要。这对于组策略设计和故障排除至关重要。

GPO 处理订单

GPO 按以下顺序处理：

1. 本地组策略对象
2. GPO 链接到站点
3. 链接到域的 GPO
4. 链接到组织单位的 GPO

组策略优先顺序

最后应用的 GPO 具有最高优先级。这意味着如果两个策略具有相同的设置，则将应用优先级最高的 GPO。这是因为它是最后应用的，并且会覆盖其他策略设置。

让我通过一个例子来更好地说明这意味着什么。

我有两个 GPO，名称和策略设置如下。

1. 用户 - Chrome 设置= 此 GPO 将主页设置为 google.com。此 GPO 应用于域。
2. 用户 - Chrome 设置 2=此 GPO 将主页设置为 bing.com。此 GPO 应用于 OU。

下面的屏幕截图示例。

您能猜出将应用哪个主页吗？

它将是 bing.com。

“用户 - Chrome 设置 2”GPO 具有最高优先级，因为它是最后应用的。

因此请记住，对于任何具有冲突策略设置的 GPO，优先级最高的 GPO 将获胜。

域组策略对象将始终覆盖任何本地策略，因为它们具有更高的优先级。

第 3 课
管理组策略

在本课程中，您将学习如何创建组策略。我将演示如何创建适用于用户的 GPO 和适用于计算机的单独 GPO。

组策略管理控制台概述

管理组策略时，您将使用内置的组策略管理控制台 (GPMC)。 GPMC 位于开始菜单 -> Windows 管理工具中。

我将回顾 GPMC 的基础知识。 （参见下图）。

1. 域=这将列出您的域和 OU 结构。请注意，它没有列出任何 Active Directory 容器，这是因为 GPO 只能链接到域和 OU。
2. 链接的 GPO=如果任何 OU 具有链接的 GPO，它将列在该 OU 下。例如，您可以看到我的“ADPRO 计算机”或已链接 PsExec 允许策略。
3. 组策略对象=此部分将列出所有已链接和未链接的 GPO。

不必担心“WMI 筛选器”或“入门 GPO”。

选择 GPO 后，您将在屏幕右侧看到 GPO 详细信息。

• 范围=范围显示 GPO 所在的所有位置。下面是安全过滤（第 5 节中介绍）
• 详细信息=显示 GPO 的基本详细信息，例如创建时间和上次修改时间。
• 设置=显示为 GPO 配置的策略
• 委派=列出 GPO 的权限。您通常不需要修改这些设置。

这确实涵盖了管理组策略所需的最常见设置。接下来，我将逐步创建一个新的 GPO。

新 GPO 示例 1：阻止所有用户访问控制面板

在第一个示例中，您将创建一个新的 GPO 以阻止所有用户访问控制面板。

首先，打开组策略管理控制台。

找到包含您的用户帐户的组织单位，对于我来说，这是我的“ADPRO 用户”OU。

右键单击 OU 并选择“在此域中创建 GPO，并在此处链接”

为新 GPO 命名。例如，用户 - 块控制面板。

此时，有一个链接到所有用户的新 GPO，但该 GPO 尚未设置策略。右键单击 GPO 并选择编辑。

浏览至用户配置 -> 策略 -> 管理模板 -> 控制面板

右键单击该策略并选择“编辑”。

将策略设置更改为“已启用”，然后单击“确定”。

要验证 GPO 是否正常工作，请重新启动计算机并使用域用户帐户登录。

当您尝试打开控制面板时，您应该会收到如下所示的弹出消息。

请记住，这是用户配置，仅在用户登录计算机时应用。在下一个示例中，我将介绍计算机 GPO。

新 GPO 示例 2：创建登录横幅（法律声明）

在此示例中，您将创建一个新的 GPO，该 GPO 在用户登录计算机之前向用户显示一条横幅消息。许多组织出于法律目的要求这样做。这将是一个计算机配置 GPO。

首先，确定包含要应用策略的计算机的 OU。在我的域中，所有计算机都位于“ADPRO Computers”OU 中，所有子 OU 都将继承此策略。

右键单击 OU，然后选择在此域中创建 GPO，并将其链接到此处。

为新 GPO 命名，例如计算机 - 登录横幅。

浏览至计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项。

在右侧打开策略“交互式登录：尝试登录的用户的消息标题”。

现在选择“定义此策略设置”并输入您的消息。此消息通常由人力资源部门或您的法律部门提供。

接下来，打开策略“交互式登录：尝试登录的用户的消息标题”并输入横幅的标题。

接下来，重新启动计算机，当您登录时，系统应该会提示您 GPO 登录横幅消息。

干得好！

如果您遵循了本课程，那么您只需创建两个 GPO，一个用于用户，一个用于计算机。

很容易吧？

您如何知道 GPO 的链接位置？

打开 GPMC，转到组策略对象，选择 GPO 并查看范围设置。这将告诉您 GPO 链接到域中的哪个位置（它适用于哪些对象）。

在下面的屏幕截图中，您可以看到登录横幅 GPO 链接到我的 ADPRO 计算机 OU。因此，此 GPO 将应用于此 OU 和任何子 OU 中的所有设备。

有关更多组策略示例，请参阅文章最有用的安全 GPO 示例。本文列出了 23 个有助于提高任何网络安全性的 GPO 示例。

第 4 课
组策略首选项

组策略首选项用于设置初始配置，但允许用户更改它们。例如，GPO 首选项可以在用户桌面上创建快捷方式，但允许用户删除它。

GPO 首选项与策略设置不同，因为用户无法修改策略设置。例如，在第 4 课中我们创建了一个登录横幅，这是一个策略设置，用户无法更改它。

GPO 首选项主要用于：

• 映射网络驱动器
• 安装打印机
• 安装软件
• 添加桌面快捷方式
• 修改注册表设置

项目级定位

GPO 首选项包括一个名为“项目级定位”的过滤选项。项目级定位使您可以精细控制 GPO 应用到的对象（哪些用户或计算机）。

项目级定位的一些示例：

• 具有特定操作系统的目标计算机
• 定位安全组
• 通过 IP 地址定位目标计算机
• 内存、CPU 速度。

这是所有项目的屏幕截图。

使用首选项和项目级定位创建 GPO

在此示例中，我们将使用首选项创建一个新的 GPO，该首选项将添加桌面快捷方式。我们还将使用项目级定位将 GPO 仅应用于安全组。

首先，创建一个新的 GPO 并将其链接到用户的 OU。

编辑 GPO 并浏览到用户配置 -> 首选项 -> Windows 设置

右键单击快捷方式，选择新建，然后选择快捷方式。

有关快捷方式设置，请参阅下面的屏幕截图。

我将此 GPO 链接到所有用户，如果用户登录，他们将在桌面上看到一个快捷方式。

但是如果您不希望所有用户的桌面上都有该快捷方式怎么办？

通过 GPO 首选项，您可以使用项目级定位来限制 GPO 应用到的用户。

对于此示例，我将限制桌面快捷方式到安全组。

我创建了一个名为“gpo_desktop_shortcut”的组，并添加了来自各个部门的一些用户。

返回 GPO 设置并单击“通用”。

接下来，选择“项目级定位”并单击“定位”按钮。

单击“新建项目”，从下拉菜单中选择“安全组”。

选择您要定位的组，然后单击“确定”。

这就对了！

现在 GPO 将仅适用于安全组中的用户。

请记住，项目级定位仅适用于 GPO 首选项。要过滤其他 GPO，您可以使用安全过滤，我将在下一课中介绍这一点。

第 5 课
组策略过滤

组策略安全过滤尚未得到足够的重视。

组策略安全过滤可让您控制 GPO 应用到的用户和计算机。例如，如果您不希望某些计算机具有屏幕锁定策略，您可以使用安全过滤。

每个 GPO 都有一个安全过滤部分，默认情况下，所有经过身份验证的用户都有权应用该 GPO。

如何使用安全筛选从 GPO 中排除用户

在此示例中，我将使用安全筛选从 GPO 中排除用户。我将使用我在上一课中创建的控制面板策略。

我有适用于所有域用户的“用户 - 阻止控制面板”策略。

一些用户致电服务台，对无法从控制面板访问电源选项感到非常沮丧。

老板批准了访问权限，因此我需要一种方法将这些用户排除在策略之外。

没问题。

我将创建一个安全组，添加批准的用户并使用安全筛选来拒绝该组对 GPO 的访问。

在 GPO 中，单击“委派”选项卡。

单击右下角的高级按钮。

单击“添加”，添加安全组。

对于权限，为“应用组策略”选择“拒绝”。

全做完了。

现在，该组的任何成员都将被拒绝 GPO。在此示例中，用户将被拒绝阻止访问控制面板的组策略，而该组策略允许用户访问控制面板。

如何通过安全筛选将 GPO 应用于特定用户或计算机

在此示例中，我将使用安全筛选将 GPO 应用于特定的用户组。

首先，为要应用 GPO 的用户或计算机创建一个安全组。

转到 GPO，然后转到安全筛选。

单击“添加”按钮并选择您的组。

接下来，单击 GPO 顶部的委派选项卡。

单击右下角的“高级”按钮。

对于“经过身份验证的用户”，取消选中“应用组策略”。但请确保“已读”仍处于选中状态。

完毕。

现在，GPO 将仅应用于添加的安全组。

第 5 课就完成了。在上一课中，我将向您展示如何对组策略进行故障排除。

第 6 课
组策略故障排除

在本课程中，您将学习如何排除组策略故障。

首先，这里有一些经常导致组策略问题的快速提示。

• 将太多设置塞进一个大 GPO 中
• 使用块继承
• 使用环回处理
• 更改委派权限
• OU 设计不佳。

不要让组策略变得复杂，保持简单就可以避免大多数 GPO 问题。有关更多提示，请参阅我的 GPO 最佳实践指南。

组策略故障排除步骤

1.运行 gpupdate 命令

在存在 GPO 问题的计算机上，登录并运行 gpupdate /force 命令。 /force 命令重新应用所有策略设置。

该命令应该返回且没有错误。有时运行此命令可以解决或强制应用 GPO。根据策略，它可能会提示您在策略生效之前重新启动。

2.检查 sysvol 访问权限

从客户端计算机测试对 sysvol 目录的访问。

单击“开始”，然后输入域控制器的 UNC 路径。我的域控制器主机名是 DC1，因此 UNC 路径是 \\DC1。单击 SYSVOL、您的域，然后单击策略。您应该看到一个包含随机数字和字母的文件夹列表，这些是 GPO。

如果您没有看到或无法访问此文件夹，则会阻止 GPO 工作。

确保通过主机名而不是 IP 地址测试 sysvol 访问。

3：检查事件日志

在客户端计算机上检查系统事件日志。事件日志可以提供有关 GPO 失败原因的详细信息。以下示例是尝试安装 Chrome 浏览器的 GPO 出现的错误。

4. GPResult命令

gpresult 命令将显示哪些组策略应用于用户和计算机。这是 GPO 故障排除的一个很好的命令，它是确定正在应用哪些 GPO 的最佳选项。您需要知道您期望看到哪些 GPO，这可以从 GPMC 确定。

要查看计算机策略 GPO，您必须以管理员身份运行命令提示符。

从命令提示符运行gpresult /r。

该命令应返回计算机设置和应用的组策略对象。

在上面的屏幕截图中，您可以看到 4 个 GPO 已应用到计算机。

现在关闭命令提示符并以普通用户身份运行它。例如，我以用户“Adam.Reed”登录。

在上面的屏幕截图中，您可以看到 3 个 GPO 已应用于用户 Adam Reed，但由于安全过滤而未应用其中一个。

5.使用 RSOP（策略结果集）。

仅当您已验证 GPO 已通过 gpresult 命令应用时才使用此命令。

此命令将显示对所应用的 GPO 进行的策略更改。因此，如果 GPO 没有得到应用，那么它对您没有任何帮助。使用此命令有几个步骤，您可以参阅我的 RSoP 指南以获取完整说明。

6. GPO 优先顺序

也许您没有错误，所有 GPO 均按预期应用，但策略仍然错误。

您是否在管理控制台中检查了 GPO 优先顺序？

请记住，最后应用的 GPO 优先。另一种思考方式是最接近对象（用户或计算机）的 GPO 获胜。

我希望您喜欢本组策略指南。如果您有意见或问题，请在下面的评论部分发表。

推荐阅读：

• 配置组策略中央存储
• 从本地管理员组 GPO 中删除用户