共用方式為

群組原則管理主控台

組策略管理主控台 (GPMC) 提供組織中多個樹系之組策略所有層面的統一管理。 GPMC 可讓您管理網路中所有組策略物件 (GPO)、Windows Management Instrumentation (WMI) 篩選和組策略相關許可權。 請將 GPMC 視為組策略的主要存取點,其中包含 GPMC 介面中所有可用的組策略管理工具。

GPMC 包含一組可編寫腳本的介面,用於管理組策略和 MMC 型使用者介面(UI)。 GPMC 隨附於 Windows Server 和遠端伺服器管理工具。

GPMC 提供下列功能:

  • 匯入和導出 GPO。
  • 複製並貼上 GPO。
  • 備份和還原 GPO。
  • 搜尋現有的 GPO。
  • 報表功能。
  • 組策略模型化。 可讓您在實際執行環境中實作組策略部署之前,先模擬原則結果集 (RsoP) 數據來規劃組策略部署。
  • 組策略結果。 可讓您檢視 GPO 互動,以及針對組策略部署進行疑難解答。
  • 支援移轉數據表,以利跨網域和樹系匯入和複製 GPO。 移轉數據表是一個檔案,會將來源 GPO 中使用者、群組、計算機和通用命名約定 (UNC) 路徑的參考對應至目的地 GPO 中的新值。
  • 在 HTML 報表中報告 GPO 設定和 RSoP 數據,您可以加以儲存和列印。
  • 可編寫文本的介面,允許 GPMC 內提供的所有作業。 您無法使用腳本來編輯 GPO 中的個別原則設定。

先決條件

若要使用 GPMC,您必須完成下列必要條件。

  • 在執行 Windows Server 或 Windows 用戶端作系統的電腦上安裝組策略管理功能。
  • 在 GPO 上擁有 [編輯設定]、 [刪除] 和 [修改 安全性] 許可權。
  • 若要連結 GPO,您需要該站臺、網域或 OU 的 修改 權限。 根據預設,只有網域系統管理員和企業系統管理員具有此許可權。
    • 具有將 GPO 連結至特定網站、網域或 OU 許可權的使用者和群組,可以連結 GPO、變更連結順序,以及在該網站、網域或 OU 上設定封鎖繼承。

建立未連結的 GPO

若要建立未連結的 GPO,請執行下列步驟:

  1. 若要開啟 GPMC,請選取 [ 開始],在搜尋方塊中輸入 組策略管理 ,然後選取 [ 組策略管理]。
  2. 在 GPMC 控制台樹中,於樹系和網域中找到 組策略物件,然後以滑鼠右鍵按下,以建立新的未連結 GPO。
  3. 選擇 新建
  4. 在 [新增 GPO] 對話框中,指定新 GPO 的名稱,然後選取 [ 確定]。

編輯現有的 GPO

若要變更現有 GPO 內的原則設定,請執行下列步驟:

  1. 在 GPMC 控制台樹狀目錄中,展開樹系和網域中的組策略物件,其中包含您要編輯的 GPO。
  2. 以滑鼠右鍵按下您要編輯的 GPO,然後選取 [ 編輯]。
  3. 在群組策略管理編輯器的主控台樹狀結構中,視需要展開其中的項目,以找出包含您要修改的策略設定的原則項目。 選取專案以在詳細數據窗格中檢視相關聯的原則設定。
  4. 在詳細數據窗格中,按兩下您要編輯的原則設定名稱。
  5. 在 [屬性] 對話框中,視需要修改原則設定,然後選取 [ 確定]。
  6. 完成必要的修改之後,請關閉組策略管理編輯器。

將 GPO 中原則設定套用至使用者和電腦的主要方法是將 GPO 連結到 Active Directory 中的容器。 GPO 可以連結到 Active Directory 中的三種容器類型:網站、網域和組織單位(OU)。 GPO 可以連結至多個 Active Directory 容器。

GPO 會以每個網域為基礎儲存。 例如,如果您將 GPO 連結到 OU,GPO 就不會儲存在該 OU 中。 GPO 是可連結樹系中任何位置的個別網域物件。 GPMC 中的 UI 有助於釐清連結與實際 GPO 之間的差異。

在 GPMC 中,您可以使用下列其中一種方法,將現有的 GPO 連結到 Active Directory 容器:

  • 以滑鼠右鍵按兩下網站、網域或 OU 專案,然後選取 [ 鏈接現有的 GPO]。 此程式需要 GPO 已存在於網域中。
  • 將 GPO 從 [群組原則物件] 項目下拖曳至您要連結 GPO 的 OU。 此拖放功能只能在相同的網域內運作。

在每個網站、網域和 OU 內,鏈接順序會控制套用 GPO 的順序。 若要變更連結的優先順序,您可以變更連結順序,將清單中的每個連結向上或向下移動至適當的位置。 具有最低數字的連結在指定的網站、網域或組織單位(OU)中具有較高的優先權。

例如,您希望您新增的最後一個 GPO 具有最高的優先順序。 您可以將 GPO 的連結順序調整為 1 的連結順序,使其成為最高的連結順序。 若要變更網站、網域或 OU 之 GPO 連結的連結順序,請使用 GPMC。

取消連結 GPO 表示連結的 GPO 不再套用至原本連結的位置。 要解除 GPO 連結:

  1. 在 GPMC 控制台樹狀目錄中,展開包含您要取消連結的 GPO 的樹系和網域中的群組原則物件。
  2. 選取您要取消連結的 GPO。
  3. 在詳細窗格中,選取 [範圍] 索引標籤。
  4. 在 [鏈接] 區段中,以滑鼠右鍵按兩下要刪除的連結 Active Directory 物件,然後選取 [刪除連結]。

刪除 GPO 的連結與刪除 GPO 不同。 只要 GPO 已連結,GPO 就會持續可用。 其他網域到該 GPO 的其他連結也會維持存在。 當您刪除 GPO 時,系統會提示您刪除 GPO,並在選取的網域中刪除該 GPO 的所有連結。 處理 GPO 及其所有連結並不會刪除其他網域中指向該 GPO 的連結。 請務必先移除其他網域中 GPO 的連結,再從此網域中刪除此 GPO。

停用 GPO 中的使用者設定或計算機組態設定

若要建立 GPO 以僅設定使用者相關原則設定,請停用 GPO 中的 [計算機設定] 設定。 停用電腦組態可以稍微縮短電腦啟動時間,因為在 GPO 中的電腦組態設定不需要被評估。 如果您只設定計算機相關原則設定,請停用 GPO 中的 [用戶組態] 設定。 若要停用使用者設定或電腦設定:

  1. 在 GPMC 控制台的樹狀目錄中,展開森林和網域中的群組原則物件 (GPO),以尋找包含您想停用之原則設定的 GPO。
  2. 按一下滑鼠右鍵以選取包含您要停用的原則設定的 GPO。
  3. 在 GPO 狀態清單中,選取下列其中一個選項:
    • 已停用所有原則設定
    • 計算機組態設定已停用
    • 啟用 (預設)
    • 已停用使用者組態設定

相關內容