群組原則可用於執行 Windows Server 和 Windows 用戶端作業系統的電腦上,以管理使用者和電腦設定的組態和設定。 除了使用組策略來定義使用者和用戶端計算機群組的設定之外,您也可以使用組策略來設定許多伺服器特定的作業和安全性設定,以協助管理伺服器計算機。
什麼是組策略
組策略可以在本機的文件系統或 Active Directory 網域服務 (AD DS) 中代表原則設定。 搭配 Active Directory (AD) 使用時,組策略設定會包含在組策略物件 (GPO) 中。 GPO 是原則設定、安全性許可權和管理範圍 (SOM) 的虛擬集合,您可以套用至 AD 中的使用者和計算機。 GPO 包含兩個主要元件:組策略容器和組策略範本。 組策略容器會儲存在Active Directory 的網域分割區中,而組策略範本位於每個域控制器 (DC) 的 SYSVOL 資料夾中。
這些元件會透過AD複寫和檔案複寫服務 (FRS) 或分散式檔案系統複寫 (DFSR) 在 DC 之間複寫。
GPO 包含電腦和用戶設定的組態。 計算機組態會套用全系統並管理設定,例如電源管理和防火牆規則。 僅目前使用者的設定會受到影響,這些設定包括例如 Internet Explorer 設定和資料夾重新導向等選項。 GPO 可以連結至 AD 階層內的各種層級,例如網站、網域和組織單位(OU),以定義其應用程式範圍。
原則設定會在電腦啟動和使用者登入時套用。 組策略服務會根據網站、網域和 OU 成員資格查詢 AD,以判斷適用的 GPO。 用戶端延伸模組 (CSE) 會套用 GPO 指定的特定設定,管理登錄更新和安全性設定等工作。 政策設定在電腦啟動時套用至電腦,並在使用者登入時套用至使用者。 當電腦啟動時,組策略服務會檢查 AD 以判斷哪些 GPO 已連結並適用於計算機物件,包括:
計算機所在的位置。
計算機所屬的網域。
計算機為直接成員的父組織單位,以及父 OU 上方的任何其他組織單位。
組策略喜好設定提供與標準組策略類似的管理功能,並以相同方式管理。 系統管理員可以使用本地群組原則編輯器(gpedit.msc)來建立和管理 GPO 設定本機策略,也可以在 AD 相關的 MMC 嵌入式管理單元中使用組原則物件編輯器來管理整個網域的政策設定。 每個 GPO 都有全域唯一標識碼 (GUID),並遵循 AD 的階層式結構來進行原則評估。 徹底瞭解如何在 AD 內建立、修改及連結 GPO 對於有效原則管理而言至關重要。 GPO 會同時儲存在每個 DC 上的 AD 和 SYSVOL 資料夾中,以利集中管理和原則強制執行。
用戶端延伸模組
組策略 CSE 是隔離的元件,負責處理組策略基礎結構所傳遞的特定原則設定。 每個 CSE 都會以自己的特定格式管理及儲存其原則數據,與組策略基礎結構無關,此基礎結構不會解譯或管理此數據的詳細數據。 組策略的主要功能是將設定傳遞至計算機,其中每個CSE都會從多個組策略物件套用其部分的原則設定。
假設群組原則基礎結構是圖書館系統。 圖書館系統會管理並分送書籍(或資料)到各分支單位(電腦)。 圖書館不需要瞭解每本書的內容:它只會確保正確的書籍會進入正確的分支。 在此類比中,組策略服務就像圖書館系統,提供書籍而不知道其內容。 各種原則設定就像不同的流派或書籍集合。 組策略 CSE 代表每個分支的圖書館員,他們知道如何處理其特定館藏。 就像每個圖書館員都能夠管理其集合一樣,每個 CSE 都會讀取其特定的原則設定資訊,並根據這些設定中找到的內容執行動作。
群組原則的運作方式
針對計算機,會在計算機啟動時套用組策略。 針對使用者,組策略會在登入時套用。 此原則的初始處理也可以稱為前景政策應用。
組策略的前台應用程式可以是同步運行或異步運行。 在同步模式中,在成功套用計算機原則之前,計算機不會完成系統啟動。 在成功套用用戶原則之前,使用者登入程式不會完成。 在異步模式中,如果沒有需要同步處理的原則變更,計算機可以在計算機原則的應用程式完成之前完成開始順序。 在用戶原則的應用程式完成之前,使用者可以使用殼層。 然後,系統會在背景中定期套用(重新整理)組策略。 在重新整理期間,原則設定會以異步方式套用。
若要深入瞭解組策略的運作方式,請參閱 組策略處理。
什麼是 OU
OU 是您可以指派組策略設定的最低層級 AD 容器。 一般而言,您會在 OU 層級指派大部分 GPO,因此請確定您的 OU 結構支援以組策略為基礎的用戶端管理原則。 您也可以在網域層級套用一些組策略設定,特別是密碼原則。 設點層級僅套用少數政策設定。 設計良好的 OU 結構,反映組織的系統管理結構,並利用 GPO 繼承來簡化組策略的應用程式。 例如,設計良好的 OU 結構可以防止複製特定 GPO,讓您可以將這些 GPO 套用至組織的不同部分。 如果可能的話,請建立組織單位來委派管理權限,並協助實作群組原則設定。
OU 設計需要在系統管理許可權的獨立委派需求與組策略應用範圍的需求之間取得平衡。 您可以在網域內建立 OU,並將特定 OU 的系統管理控制委派給特定使用者或群組。 藉由使用包含同質物件的 OU 結構,例如使用者或電腦物件,而非兩者兼有,您可以輕鬆地停用那些不適用於特定類型物件的 GPO 區段。 這個 OU 設計方法可降低複雜性,並改善套用組策略的速度。 連結至 OU 結構較高層次的 GPO 預設會被較低層次的 OU 所繼承,避免重複建立 GPO 或將 GPO 連結至多個容器的需求。