建立並設定網域型 GPO
- 10 分鐘
您可以使用兩個主要工具來管理 GPO:
- 組策略管理主控台
- 群組原則管理編輯器
您也可以使用 Windows PowerShell cmdlet 來管理 GPO 及其設定,包括下表中描述的那些。
cmdlet
說明
New-GPO
建立新的 GPO。
New-GPLink
將 GPO 連結至網站、網域或 OU。
Get-GPInheritance
取得指定網域或 OU 的組策略繼承資訊。
Set-GPInheritance
封鎖或解除封鎖指定網域或組織單位的繼承。
Get-GPO
取得網域中的一個 GPO 或所有 GPO。
您可以使用 GPO 管理什麼?
原則設定有兩個主要類別:計算機設定,這些設定包含在 [計算機 設定] 節點中,以及 [ 用戶 設定] 節點中包含的用戶設定:
- [計算機設定] 節點包含套用至計算機的設定,不論登入計算機是誰。 當作業系統啟動時、在背景重新整理期間,以及此後每隔 90 到 120 分鐘,作業系統設定就會被套用。
- [用戶設定] 節點包含當使用者登入計算機、在背景重新整理期間,以及之後每隔 90 到 120 分鐘套用的設定。
在 [計算機設定 ] 和 [ 用戶設定 ] 節點中,是 [ 原則 ] 和 [ 喜好設定 ] 節點。
[計算機設定] 和 [用戶設定] 中的 [原則] 節點具有包含原則設定的資料夾階層。 因為有數千個設定,因此本課程的範圍不包含個別設定。 不過,值得檢閱您可以設定的設定類型。
套用安全性設定
在 Windows Server作系統中,GPO 包含大量安全性相關設定,您可以套用至使用者和計算機。 例如,您可以針對 Windows Defender 防火牆強制執行網域密碼原則的設定,以及設定稽核和其他安全性設定。 您也可以設定完整的用戶權力指派集。
管理桌面和應用程式設定
您可以使用群組策略為組織中的所有使用者提供一致的桌面和應用程式環境。 藉由使用 GPO,您可以設定會影響使用者環境表示法的每個設定。 您也可以為支援 GPO 的某些應用程式設定設定。
部署軟體
使用組策略,您可以將軟體部署至使用者和計算機。 您可以使用組策略來部署以 .msi 格式提供的所有軟體。 此外,您可以強制執行自動軟體安裝,或者讓用戶決定是否要將軟體部署至計算機。
這很重要
使用 GPO 部署大型軟體套件可能不是將應用程式散發至組織電腦的最有效率的方式。 在某些情況下,將應用程式散發為桌面計算機映像的一部分可能更有效率。
管理資料夾重新導向
使用 [資料夾重新導向] 選項,即可更輕鬆地備份用戶的數據檔。 藉由重新導向資料夾,您也可確保無論使用者登入的電腦為何,都能存取其數據。 此外,您可以將所有使用者的數據集中到網路伺服器上的一個位置,同時仍提供類似將這些資料夾儲存在其電腦上的用戶體驗。 例如,您可以設定資料夾重新導向,將使用者的檔案資料夾重新導向至網路伺服器上的共享資料夾。
設定網路設定
您可以使用組策略,在用戶端電腦上設定各種網路設定。 例如,您可以強制執行無線網路的設定,讓使用者只能連線到特定的 Wi-Fi 網路 SSID,並使用預先定義的驗證和加密設定。 您也可以部署套用至有線網路設定的原則,而某些 Windows Server 角色會使用組策略來設定服務的用戶端,例如 DirectAccess。
針對 GPO 的套用進行疑難排解
組策略繼承、篩選和例外狀況很複雜,而且通常很難判斷將套用哪些原則設定。 RSoP 是 GPO 套用至使用者或電腦的淨影響,其考量項目包含 GPO 連結、強制執行和封鎖繼承的例外狀況,以及安全性和 WMI 篩選條件的套用。
RSoP 也是一組工具,可用來評估、模型化和疑難解答組策略設定的應用程式。 RSoP 可以查詢本機或遠端電腦,並報告套用至計算機的確切設定,以及已登入計算機的任何使用者。 RSoP 也可以建立原則設定模型,這些原則設定預期會在各種案例下套用至使用者或計算機,包括移動 OU 或網站之間的物件,或變更物件的群組成員資格。 透過這些功能,RSoP 可協助您管理和排解衝突的政策問題。 下列工具可用於執行 RSoP 分析:
- 群組政策結果導引
- 組策略模型化精靈。
- GPResult.exe。
示範
下列影片示範如何建立、設定及套用 GPO。 此程序的主要步驟如下:
- 開啟組策略管理主控台。
- 流覽至組策略物件容器。
- 建立新的 GPO。
- 開啟 GPO 進行編輯,並修改某些用戶設定。
- 將 GPO 連結至
Contoso.com網域。 - 以系統管理員身分登入用戶端電腦,並透過防火牆啟用遠端事件記錄管理和 WMI。
- 以標準使用者身分登入,並檢閱 GPO 在本機電腦上的效果。
- 建立新的 GPO、編輯其設定,並將其連結至 OU。 查看繼承設定。
- 變更安全性篩選設定,讓原則只套用至群組,而非已驗證的使用者。
- 確認繼承和安全性篩選變更的效果。