GPO 清理：权威指南

这是清理组策略的分步指南。在本指南中，我将向您展示如何检查 GPO 以确定是否可以删除它们。

GPO 清理步骤：

• 步骤 1. 创建电子表格
• 步骤 2. 备份 GPO
• 步骤 3. 如何查找禁用的 GPO (AllsettingsDisabled)
• 步骤 4. 如何查找未链接的 GPO
• 步骤 5. 如何查找空 GPO（未配置策略设置）
• 步骤 6. 检查 GPO WMI 筛选器
• 步骤 7. 检查 GPO 安全过滤
• 步骤 8. 检查和清理 GPO

注意：在本指南中，我将使用 AD PRO 工具包中的组策略报告。该工具可以非常轻松地生成有关所有 GPO 和设置的报告。您还可以使用 PowerShell 和组策略管理控制台来创建报告，但需要执行其他步骤。

步骤 1. 创建电子表格

哎呀，不是另一个电子表格。我知道，但这是一个简单的电子表格，可帮助您轻松识别可能被删除的 GPO。

如果您不使用 AD Pro Toolkit，您可以手动创建包含以下标题的电子表格：

• 组策略对象名称
• 地点
• 地位
• 用户版本
• 电脑版
• WMI过滤器
• 安全过滤

使用该工具包选择“报告”->“所有 GPO”，然后单击“运行”。接下来单击“导出到 CSV”。

在报告列表中，选择所有 GPO，然后单击“运行”，然后导出为 CSV。

这将创建一个包含所有 GPO 和一些设置的电子表格，我们将用于清理过程。

步骤 2. 备份 GPO

在对 GPO 进行任何更改之前，您应该对其进行备份。

您需要能够尽快恢复 GPO，以防清理过程后出现问题。有关步骤，请参阅备份 GPO 指南。

步骤 3. 如何查找禁用的 GPO (AllsettingsDisabled)

禁用的 GPO 的状态设置为“所有设置均已禁用”。这意味着 GPO 无所作为。即使 GPO 链接到站点或 OU，GPO 也不会应用任何设置。

在电子表格中，我将用橙色突出显示所有状态设置为“AllSettingsDisabled”的 GPO。我将以黄色突出显示这些设置，以便我可以轻松了解标记 GPO 的原因。

您可以在上面看到我有两个 GPO“PSRemoting”和“FIPS”被禁用。

或者，您可以通过运行“所有设置禁用的 GPO”报告来列出所有禁用的 GPO。

在组策略管理控制台 (GPMC) 中，您需要打开每个 GPO，单击详细信息并查找 GPO 状态。

步骤 4. 如何查找未链接的 GPO

未链接的 GPO 未链接到站点、域或 OU。这是当前未使用的 GPO。管理员可能创建了 GPO，但从未链接或使用过它，然后删除了该链接。无论如何，未链接的 GPO 当前未在使用中。

在电子表格中，未链接的 GPO 的位置字段为空。

您可以在上面看到我有几个未链接的 GPO。

要在 GPMC 控制台中查找未链接的 GPO，您需要单击每个 GPO 并查看位置框。

或者，使用工具包 -> 所有 GPO 报告并查看“位置”列中没有任何内容的 GPO。使用 AD Pro Toolkit，我还可以过滤位置列以仅显示位置为空的 GPO。

步骤 5. 如何查找空 GPO

空 GPO 是没有策略设置的组策略对象。每次修改 GPO 时，userVersion 或 ComputerVersion 都会递增。如果您创建新的 GPO 并且不修改任何设置，则版本将为 0。您想要查找 userVersion 和 ComputerVersion 均设置为 0 的所有 GPO。

在电子表格中，我发现三个 GPO 是空的。

在 GPMC 控制台中，您需要打开每个 GPO 并单击详细信息选项卡以查看用户和计算机版本。

步骤 6. 检查 GPO WMI 筛选器

接下来，检查任何使用 WMI 筛选器的 GPO。 GPO WMI 筛选器用于定位特定设备，例如您只想将 GPO 应用到运行 Windows 10 的计算机。

您可能有一些使用我不再需要的 WMI 筛选器的 GPO。例如，此过滤器仅针对 32 位 Windows 10 计算机。

我的网络中没有任何 32 位系统，因此未使用此 GPO。我会在电子表格上突出显示这一点。对于任何具有 wmi 筛选器的 GPO，您将需要检查 WMI 查询。以确定它是否仍然有效。

在 GPMC 中，您可以通过单击“组策略对象”查看哪些 GPO 设置了 WMI 过滤器。

步骤 7. 检查 GPO 安全过滤

最后要检查的 GPO 设置是配置了安全筛选的 GPO。默认情况下，GPO 可由经过身份验证的用户组处理。如果有人将组或用户添加到安全过滤中，那么这将限制 GPO 的范围。

例如，我有两个 GPO，它们的内容不是“经过身份验证的用户”。我将在电子表格上标记这些并进行审查。

在上面的示例中，配置了组“gpo_apply_block_control_panel”，但当我查看该组时，它没有成员。查看 GPO 的委派权限，经过身份验证的用户没有选中“应用组策略”。这意味着只有“gpo_apply_block_control_pane”组的成员才能处理 GPO。但由于该组没有成员，因此未使用 GPO。

步骤 8. 检查和清理 GPO

重要提示：在删除 GPO 之前，请不要忘记对其进行备份。

如果您完成了上述所有步骤，您现在应该有一个如下所示的电子表格，其中包含可能被删除的 GPO 列表。下一步是与您的团队一起审查电子表格，然后获得删除它们的批准。

回顾一下您应该为每个 GPO 查看的内容：

• 位置=空白 - 这些是未使用的 GPO，因为它们未链接到任何域对象。
• 状态=AllSettingsDisabled - 这些 GPO 已禁用用户和计算机配置，因此不会应用任何策略设置。
• userVersion 和computerVersion=0 - 这些是空的GPO。有人创建了 GPO 但未配置任何设置。
• 查看 WMI 筛选器 - 检查是否配置了 WMI 筛选器的 GPO。 WMI 筛选器限制哪些设备可以应用 GPO。
• 安全过滤 - 安全过滤可以限制哪些用户或计算机可以处理 GPO。修改它并阻止 GPO 工作非常容易。

概括

清理组策略并不是一个简单的过程。需要执行多个步骤来审核每个 GPO 并确定它们是否仍然有效。 AD Pro 工具包通过创建所有 GPO 和状态设置的简单报告来帮助清理过程。如果您不使用该工具包，您仍然可以使用 PowerShell 或 GPMC 手动检查每个 GPO。这将需要更多步骤，但它仍然有效。