创建和配置基于域的 GPO
- 10 分钟
使用两个主要工具管理 GPO:
- 组策略管理控制台
- 组策略管理编辑器
还可以使用 Windows PowerShell cmdlet 管理 GPO 及其设置,包括下表中所述的设置。
Cmdlet
说明
New-GPO
创建新 GPO。
New-GPLink
将 GPO 链接到站点、域或 OU。
Get-GPInheritance
获取指定域或 OU 的组策略继承信息。
Set-GPInheritance
阻止或取消阻止指定域或组织单位的继承。
Get-GPO
获取域中的一个 GPO 或所有 GPO。
可以使用 GPO 管理哪些内容?
策略设置有两个主要类别:计算机设置(包含在 计算机配置 节点中)和用户设置(包含在 用户配置 节点中):
- “计算机配置”节点包含应用于计算机的设置,无论谁登录到这些设置。 在操作系统启动时、后台刷新期间以及之后每隔 90 到 120 分钟,计算机设置将被应用。
- “用户配置”节点包含一个设置,这些设置在用户登录到计算机时,在后台刷新期间,每隔 90 到 120 分钟应用一次。
在“计算机配置”和“用户配置”节点中,有“策略”和“首选项”节点。
计算机配置和用户配置中的 策略 节点具有包含策略设置的文件夹层次结构。 由于有数千个设置,因此本课程的范围不包括单个设置。 但是,值得查看可配置的设置类型。
应用安全设置
在 Windows Server作系统中,GPO 包含大量可应用于用户和计算机的与安全相关的设置。 例如,可以为域密码策略、Windows Defender 防火墙强制实施设置,还可以配置审核和其他安全设置。 还可以配置完整的用户权限分配集。
管理桌面和应用程序设置
可以使用组策略为组织中的所有用户提供一致的桌面和应用程序环境。 通过使用 GPO,可以配置影响用户环境表示形式的每个设置。 还可以为支持 GPO 的某些应用程序配置设置。
部署软件
使用组策略,可以将软件部署到用户和计算机。 可以使用组策略部署 .msi 格式提供的所有软件。 此外,还可以强制实施自动软件安装,或者允许用户决定是否希望软件部署到其计算机。
重要
使用 GPO 部署大型软件包可能不是将应用程序分发到组织计算机的最有效方法。 在某些情况下,将应用程序分发为桌面计算机镜像的一部分可能更有效。
管理文件夹重定向
使用“文件夹重定向”选项,可以更轻松地备份用户的数据文件。 通过重定向文件夹,还可以确保用户无论在哪台计算机上登录,都可以访问他们的数据。 此外,可以将所有用户的数据集中到网络服务器上的一个位置,同时仍然提供类似于将这些文件夹存储在其计算机上的用户体验。 例如,可以将文件夹重定向配置为将用户的文档文件夹重定向到网络服务器上的共享文件夹。
配置网络设置
通过使用组策略,可以在客户端计算机上配置各种网络设置。 例如,可以强制实施无线网络设置,使用户只能连接到特定的 Wi-Fi 网络 SSID,并使用预定义的身份验证和加密设置。 还可以部署适用于有线网络设置的策略,某些 Windows Server 角色使用组策略来配置服务的客户端,例如 DirectAccess。
排查应用 GPO 的故障?
组策略继承、筛选器和异常很复杂,通常很难确定将应用哪些策略设置。 RSoP 是考虑了 GPO 链接、强制和阻止继承等异常以及安全和 WMI 筛选器的应用后,应用到用户或计算机的 GPO 的最终效果。
RSoP 也是一系列工具,可用于评估、建模和排查组策略设置的应用程序问题。 RSoP 可以查询本地或远程计算机,并向已登录到计算机的任何用户报告应用于计算机的确切设置。 RSoP 还可以对预期在各种方案中应用于用户或计算机的策略设置建模,包括在 OU 或站点之间移动对象,或更改对象的组成员身份。 借助这些功能,RSoP 可帮助你管理和排查冲突策略。 存在用于执行 RSoP 分析的以下工具:
- 组策略结果向导。
- 组策略建模向导。
- GPResult.exe。
演示
以下视频演示如何创建、配置和应用 GPO。 此过程的主要步骤如下:
- 打开组策略管理控制台。
- 导航到组策略对象容器。
- 创建新的 GPO。
- 打开 GPO 进行编辑和修改某些用户设置。
- 将 GPO 链接到
Contoso.com域。 - 以管理员身份登录到客户端计算机,并通过防火墙启用远程事件日志管理和 WMI。
- 以标准用户身份登录并查看 GPO 在本地计算机上的效果。
- 创建新的 GPO,编辑其设置,并将其链接到 OU。 查看继承设置。
- 更改安全筛选设置,使策略仅适用于组,而不是经过身份验证的用户。
- 验证继承和安全筛选更改的效果。