定義 GPO

已完成

自舊版 Windows Server 以來，Windows作系統的組策略功能已提供基礎結構，系統管理員可以集中定義設定，然後將這些設定部署至整個組織的計算機。

因此，Contoso 的IT人員可以使用 GPO 設定來定義、強制執行及更新其整個設定。 藉由使用 GPO 設定，它們可能會影響組織內的整個網站或網域，也可以將其焦點縮小到單一 OU。

小提示

根據安全組成員資格和實體計算機屬性進行篩選，也可讓 Contoso 進一步定義其 GPO 設定的目標。

什麼是組策略？

組策略是 Windows作系統中的架構，其元件位於 AD DS、域控制器上，以及每個 Windows Server 和用戶端上。 您可以使用這些元件來管理 AD DS 網域中的設定。 您可以在 GPO 中定義組策略設定。 GPO 是物件，其中包含一或多個套用至使用者或計算機之一或多個組態設定的原則設定。

組策略是功能強大的系統管理工具。 您可以使用 GPO 將各種設定推送至大量的使用者和電腦。 因為您可以將它們套用到不同的層級，從本機計算機到網域，您也可以精確地將這些設定放在一起。 主要是使用組策略來設定您不希望使用者設定的設定。 此外，您可以使用組策略，將組織單位（OU） 或整個組織中所有電腦上的桌面環境標準化。 您也可以使用組策略來提供其他安全性、設定某些進階系統設定，以及後續示範單元中討論的其他用途。

什麼是 GPO？

組策略最細微的元件是個別原則設定。 個別原則設定會定義特定組態，例如防止使用者存取登錄編輯工具的原則設定。 如果您定義該原則設定，然後將它套用至使用者，該使用者將無法執行 Regedit.exe之類的工具。

某些設定會影響使用者，稱為使用者組態設定或用戶原則，有些會影響計算機，稱為計算機組態設定或計算機原則。

這很重要

設定不會影響群組，而且只會套用至用戶和計算機物件。

組策略會管理各種原則設定，而且組策略架構是可延伸的。 您可以使用組策略管理幾乎任何可設定的設定。

若要定義原則設定：

1. 在 [組策略管理編輯器] 中，找出原則設定，然後選取 Enter。 原則設定 [屬性 ] 對話框隨即出現。
2. 將原則狀態變更為 [已啟用] 或 [已停用]。 大部分的原則設定可以有三種狀態：[未設定]、[已啟用] 和 [已停用]。
3. 如有需要，請設定其他值，並在完成時選取 [確定]。

GPO 會儲存組策略設定。 在新 GPO 中，每個原則設定都會預設為 [未設定]。 當您啟用或停用原則設定時，Windows Server 會變更套用 GPO 的使用者和電腦設定。

備註

當您將設定傳回至其 [未設定 ] 值時，會將它傳回其預設值。

若要在網域中建立新的 GPO：

1. 在 [組策略管理] 中，以滑鼠右鍵按兩下或存取 組策略物件 容器的作功能表，然後選取[ 新增]。
2. 若要修改 GPO 中的組態設定，請以滑鼠右鍵按兩下或存取 GPO 的作功能表，然後選取 [ 編輯]。 這會開啟組策略管理編輯器嵌入式管理單元。

組策略管理編輯器會顯示組織階層中 GPO 中可用的所有原則設定，其開頭為計算機設定和使用者設定之間的除法： [計算機 設定] 節點和 [使用者設定 ] 節點。

GPO 會顯示在名為組策略物件的容器中。 階層的下兩個層級是名為 Policies 和 Preferences 的節點。 在階層中，組策略管理編輯器會顯示資料夾，稱為節點或原則設定群組。 原則設定位於資料夾內。

什麼是入門 GPO？

您可以使用入門 GPO 作為範本，在組策略管理控制台中建立其他 GPO。 入門 GPO 只有系統管理範本設定。 您可以使用入門 GPO 來提供在網域中建立新 GPO 的起點。 入門 GPO 可能已經有您環境最佳做法的特定設定。 您可以將入門 GPO 匯出至封包（.cab）檔案，並將其匯入，讓散發至其他環境簡單且有效率。

備註

組策略管理主控台會將 Starter GPO 儲存在名為 StarterGPOs 的資料夾中，其位於 SYSVOL 中。

備註

SYSVOL 是域控制器上的共享資料夾。

Microsoft包含適用於 Windows 用戶端作系統的預先設定入門 GPO。 這些入門 GPO 具有 系統管理範本 設定，可反映Microsoft針對客戶端環境設定建議的最佳做法。