定义 GPO
从 Windows Server 的早期版本开始,Windows 操作系统的组策略功能就提供了一个基础结构,管理员可使用该基础结构来集中定义设置,然后将其部署到组织内的计算机。
因此,Contoso 的 IT 员工可以使用 GPO 设置来定义、强制实施和更新其整个配置。 通过使用 GPO 设置,他们可以影响组织内的整个网站或域,或者可以将焦点缩小到单个 OU。
小窍门
通过根据安全组成员身份和物理计算机属性进行筛选,Contoso 还可以进一步为其 GPO 设置定义目标。
什么是组策略?
组策略是 Windows作系统中的框架,其组件驻留在 AD DS、域控制器上以及每个 Windows Server 和客户端上。 通过使用这些组件,可以管理 AD DS 域中的配置。 在 GPO 中定义组策略设置。 GPO 是一个包含一个或多个策略设置的对象,这些设置应用于用户或计算机的一个或多个配置设置。
< c1>
组策略是一种功能强大的管理工具。 你可以使用 GPO 向大量用户和计算机推送各种设置。 由于你可以将它们应用到不同的级别,从本地计算机到域,因此也可以准确聚焦于这些设置。 主要使用组策略来配置不希望用户配置的设置。 此外,还可以使用组策略来标准化组织单位(OU)或整个组织中的所有计算机上的桌面环境。 还可以使用组策略提供其他安全性、配置某些高级系统设置,以及后续演示单元中讨论的其他目的。
什么是 GPO?
组策略的最细化组件是单个策略设置。 单个策略设置定义了特定配置,例如防止用户访问注册表编辑工具的策略设置。 如果定义该策略设置,然后将其应用于用户,则该用户将无法运行 Regedit.exe 之类的工具。
某些设置会影响用户,这些设置称为用户配置设置或用户策略,而某些设置会影响计算机,这些设置称为计算机配置设置或计算机策略。
重要
设置不会直接影响组,只会应用于用户和计算机对象。
组策略可管理各种策略设置,并且组策略框架可扩展。 使用组策略几乎可以管理所有可配置的设置。
定义策略设置:
- 在组策略管理编辑器中,找到策略设置,然后选择 Enter。 此时会显示策略设置 “属性 ”对话框。
- 将策略状态更改为“已启用”或“已禁用”。 大多数策略设置可以有三种状态:“未配置”、“已启用”和“已禁用”。
- 如果需要,请配置其他值,完成后,选择“确定”。
GPO 存储组策略设置。 在新 GPO 中,每个策略设置默认为 “未配置”。 启用或禁用策略设置时,Windows Server 将对应用了 GPO 的用户和计算机的配置进行更改。
注释
将设置返回到其 “未配置” 值时,将其返回到其默认值。
在域中创建新的 GPO:
- 在组策略管理中,右键单击或访问 组策略对象 容器的上下文菜单,然后选择“ 新建”。
- 若要修改 GPO 中的配置设置,请右键单击或访问该 GPO 的上下文菜单,然后选择“编辑”。 这将打开组策略管理编辑器的管理单元。
组策略管理编辑器以有序的层次结构显示 GPO 中可用的所有策略设置,首先是区分计算机设置和用户设置:“计算机配置”节点和“用户配置”节点。
GPO 在名为组策略对象的容器中显示。 该层次结构的下两级分别是名为“策略”和“首选项”的节点。 在层次结构中,组策略管理编辑器显示名为节点或策略设置组的文件夹。 策略设置位于这些文件夹内。
什么是 Starter GPO?
Starter GPO 可作为模板用于在组策略管理控制台中创建其他 GPO。 Starter GPO 仅具有管理模板设置。 你可以将 Starter GPO 作为起点,在域中创建新 GPO。 Starter GPO 可能已有特定的设置,这些设置是适用于你的环境的最佳做法。 你可以将 Starter GPO 导出到 cabinet (.cab) 文件,也可以从 cabinet (.cab) 文件将其导入,以简单高效地分发到其他环境。
注释
组策略管理控制台将初学者 GPO 存储在名为 Starter GPO 的文件夹中,该文件夹位于 SYSVOL 中。
注释
SYSVOL 是域控制器上的共享文件夹。
Microsoft 包括预配置的适用于 Windows 客户端操作系统的 Starter GPO。 这些 Starter GPO 具有“管理模板”设置,这些设置提供了 Microsoft 建议用于配置客户端环境的最佳做法。