共用方式為

組策略處理

根據預設,組策略會繼承和累積,而且會影響 Active Directory (AD) 容器及其子系中的所有電腦和使用者。 計算機相關原則設定優先於使用者相關原則設定。

組策略物件 (GPO) 會依下列順序處理:

  1. 會套用本機 GPO。
  2. 連結至網站的 GPO 會套用。
  3. 將連結至網域的 GPO 套用。
  4. 與組織單位 (OU) 相關聯的 GPO 已被套用。 在巢狀 OU 結構中,會先套用連結至父 OU 的 GPO,然後套用連結至子 OU 的 GPO。

Tip

GPO 處理順序非常重要,因為每個後續的原則應用程式都可以覆寫先前原則所套用的設定。

默認繼承方法是從最高父 AD 容器開始評估組策略。 最接近電腦或使用者的AD容器會覆寫較高層級AD容器中設定的群組原則。 當您設定該 GPO 連結的強制選項,或套用區塊繼承設定時,會忽略繼承。 本地組原則會在網域型原則之前處理。 連結到 AD 容器的 GPO 原則設定會覆蓋本機原則設定。

您可以將多個 GPO 連結至 AD 容器。 組策略對象連結清單中連結順序最低的 GPO 連結預設具有優先順序。

組策略處理的運作方式

計算機啟動時,會套用計算機設定的組策略。 組策略會在使用者登入時套用。 此原則的初始處理也可以稱為前景政策應用。

組策略的前置處理可以是同步或非同步的。 在同步模式中,在成功套用計算機原則之前,計算機不會完成系統啟動。 使用者登入過程在用戶原則順利完成套用之前不會完成。 在異步模式中,如果沒有需要同步處理的原則變更,計算機可以在計算機原則的應用程式完成之前完成開始順序。 在異步模式下,使用者政策的應用完成之前,使用者即可使用桌面。 然後,系統會在背景中定期套用(重新整理)組策略。 在重新整理期間,原則設定會以異步方式套用。

所有原則處理都必須在 60 分鐘內完成。 沒有方法可以修改這個逾時期間。

在初始處理組策略(也稱為前景原則應用程式)之後,系統會在背景中定期套用(重新整理)組策略。 在重新整理期間,原則設定會以異步方式套用。

根據預設,每隔 90 分鐘就會重新整理一次。 系統可能會將最多 30 分鐘的隨機時間新增至重新整理間隔。 您可以使用 [系統管理範本] 擴充功能中的 [組策略] 設定來變更這些預設值。 將值設定為零分鐘會導致重新整理速率設定為七秒。 並非所有組策略延伸模組都會在背景重新整理期間處理。 例如,只有在使用者登入時,才會進行資料夾重新導向處理。 此外,只有在計算機啟動時和使用者登入時,才會處理軟體安裝原則。

即使系統會在背景重新整理期間處理組策略的指令碼延伸功能,然而,個別指令碼只會在電腦開機與關機時執行,以及當使用者登入與登出時執行。

在更新政策期間,用戶端延伸模組預設會只在偵測到其 GPO 或其關聯的 GPO 清單變更時,重新套用政策設定。 此行為基於效能考慮。

強制執行的 GPO

判斷是否有任何一律必須針對特定用戶或計算機群組強制執行的原則設定。 建立包含這些原則設定的 GPO、將它們連結至適當的網站、網域或 OU,並將這些連結指定為強制執行。 藉由設定此選項,您可以強制執行較高層級 GPO 的原則設定,並防止較低層級 AD 容器中的 GPO 覆寫這些設定。 例如,如果您在網域層級定義特定的 GPO 並設定強制選項,GPO 包含的原則會套用至該網域下的所有 OU。 連結至較低層級 OU 的 GPO 無法覆蓋已強制的網域群組原則。 如果在相同網站、網域或 OU 上連結多個 GPO,而且已設定強制選項,則設定為強制執行的最高 GPO 連結優先。

區塊繼承

在組策略管理主控台(GPMC)中,「封鎖原則繼承」或「封鎖繼承」是影響組策略處理順序的功能。 AD 中的每個網域和 OU 都有一個 GPOptions 屬性,可以設定為封鎖繼承。 這會停止本機、站點、網域及更高 OU 層級套用的原則設定,避免影響 OU 內的電腦或使用者。 不過,雖然封鎖繼承可防止大部分設定套用至 OU,但不會影響透過 GPO 以已強制套用的選項所設定的內容。 「強制執行」是連結屬性,並且它在區塊政策繼承(即容器屬性)中更具優先權。

連結至網域的原則設定通常會套用至網域內的所有計算機和使用者,而不論其父 OU 為何。 使用 GPMC,您可以封鎖網域或 OU 上的繼承,以阻止一般組策略設定套用。 封鎖網域層級的繼承會阻止連結至 AD 網站的 GPO 設定套用至網域,而 OU 層級的封鎖可防止連結至網站和網域的 GPO 設定影響這些 OU。

除了封鎖繼承之外:

  • GPO 本身可以被完全停用
  • GPO 可以停用其電腦設定
  • GPO 可以停用其用戶設定
  • GPO 可以停用其所有設定

群組原則偏好設定用戶端擴充功能

組策略喜好設定用戶端延伸模組有自己的唯一處理方法。 在單一 GPO 內,您可以設定一或多個喜好設定項目,供特定的組策略喜好設定延伸模組來處理。 例如,單一 GPO 可以包含多個 磁碟對應偏好項目

在群組策略處理期間,系統架構會逐一執行一系列擴展。 針對每個延伸模組,其會提供重要資訊,包括具有變更的 GPO 清單,以及不再適用於使用者或計算機的 GPO 清單。 基礎結構也會共用內容特定的詳細數據,例如網路連線是否被視為緩慢。 群組原則喜好設定延伸模組會使用已變更和不在範圍內的群組原則物件 (GPO) 的相關資訊來處理其設定。

用戶端延伸模組會循序處理偏好項目,由上至下進行處理。 處理每個選項的結果取決於其設定的動作,而項目層級的目標設定可能會防止選項套用。 擴充功能會處理每個項目,直到它完成清單或因組態設定而停止,例如 如果此項目發生錯誤則停止處理此擴充功能中的項目僅套用一次且不重新套用。 處理所有喜好設定項目之後,控件就會返回組策略服務。

群組原則篩選

您可以使用安全性篩選或 Windows Management Instrumentation(WMI)篩選來控制 GPO 的適用性。

安全性篩選可讓您精簡哪些用戶和計算機在 GPO 中接收和套用原則設定。 安全組篩選會決定 GPO 是否套用至群組、用戶或計算機。 安全組篩選無法在 GPO 內的不同原則設定上選擇性地使用。

WMI 可讓您使用 WMI 查詢來篩選組策略的應用程式。 當您使用 WMI 篩選時,GPO 會套用至符合 WMI 查詢條件的安全性主體。 每個 GPO 都可以連結至一個 WMI 篩選條件;不過,相同的 WMI 篩選條件可以連結至多個 GPO。 您必須先建立篩選,才能將WMI篩選連結至 GPO。 在處理組策略期間,會在目的地計算機上評估 WMI 篩選條件。 只有在 WMI 篩選條件評估為 true 時,才會套用 GPO。

回送處理模式

回送處理模式會套用指派給計算機的組策略對象的用戶組態設定,而不論誰登入。 回送處理會合併或取代指派給使用者的 GPO 中的策略設定。 此原則設定適用於具有特殊用途計算機的特定管理環境中,例如教室、公用 Kiosk 和接待區域。

例如,您可能會在特定伺服器上啟用此原則設定,以根據所使用的計算機來調整用戶設定。 當您啟用回送處理模式原則設定時,系統會根據計算機的組態套用用戶原則設定,而不論登入者為何。 這可確保計算機上所有使用者的一致用戶原則設定,如計算機的 GPO 所定義。

藉由在 GPO 中啟用回送處理原則設定,您可以根據登入的電腦來設定使用者原則設定。 如果沒有回送處理,套用計算機物件的 GPO 只會處理計算機組態設定。 套用至使用者的 GPO 只會處理使用者組態設定。 當您啟用回送處理模式原則設定時,您必須確定已啟用 GPO 中的 [計算機設定] 和 [使用者組態] 設定。 無論使用者登入為何,都會套用這些原則設定。

您可使用 GPMC 編輯 GPO,並在 電腦設定\原則\系統\組策略 中啟用 設定使用者組策略回送處理模式 原則設定,以配置回送原則設定。 兩個可供使用的選項:

  • 合併模式:在此模式中,會在登入過程中收集使用者的 GPO 清單。 然後,會收集計算機的 GPO 清單。 接下來,將電腦的 GPO 清單附加到使用者 GPO 清單的最後。 因此,計算機的 GPO 優先順序高於使用者的 GPO。 如果原則設定衝突,則會套用計算機 GPO 中的用戶原則設定,而不是使用者的一般原則設定。

  • 取代模式:在此模式中,不會收集使用者的 GPO 清單。 相反地,只會使用以計算機對象為基礎的 GPO 清單。 此清單中的 [使用者組態] 設定會套用至使用者。

群組原則更新

重新整理群組原則的主要機制是在啟動和登入時。 群組原則也會在其他規律的時間間隔定期重新整理。 更新間隔會影響 GPO 政策套用的速度。 根據預設,客戶端和伺服器會每隔 90 分鐘使用最多 30 分鐘的隨機誤差檢查 GPO 是否有變更。 組策略設定的變更可能不會立即顯示在使用者的桌面上,因為 GPO 的變更必須先複寫到適當的域控制器。

域控制器會每隔五分鐘檢查計算機原則變更一次。 您可以使用下列其中一個原則設定、計算機的組策略重新整理間隔、域控制器的組策略重新整理間隔,或使用者的組策略重新整理間隔,來變更此輪詢頻率。 不建議縮短重新整理的頻率,因為網路流量可能會增加,以及域控制器上放置更多負載。

GPO 的元件會同時儲存在 AD 和域控制器的 SYSVOL 資料夾中。 將 GPO 複寫至其他域控制器時,會發生兩個獨立機制:

  • 內建的複寫系統會控制Active Directory的複寫。 根據預設,網域控制器在同一站點內的復寫通常需要不到一分鐘的時間。 如果您的網路速度比 LAN 慢,此過程可能會較慢。

  • 分散式文件系統複寫 (DFSR) 會控制 SYSVOL 資料夾的複寫。 在站點內,每 15 分鐘就會進行複寫一次。 如果域控制器位於不同的月臺,則復寫程式會根據月臺拓撲和排程的設定間隔進行,最低間隔為15分鐘。

觸發組策略更新

如有必要,您可以透過下列方式手動觸發組策略重新整理:

  • 從本機電腦,從命令列輸入 gpupdate.exe 。 執行 gpupdate.exe 將自動觸發執行命令的電腦的政策重新整理。

  • 使用 Invoke-GPUpdate PowerShell Cmdlet。 您可以使用此 Cmdlet 來觸發本機電腦的重新整理,或觸發遠端電腦的重新整理。

  • 使用 GPMC 以滑鼠右鍵按兩下 OU 並選取 [ 組策略更新],以觸發 OU 層級的組策略重新整理。

優化 GPO 處理

若要減少處理 GPO 所需的時間,請考慮使用下列專案。

  • 當 GPO 只包含計算機組態或使用者組態設定時,請停用不適用的原則設定部分。 透過此優化,目的地計算機不會掃描您停用的 GPO 部分,這可減少處理時間。

  • 合併較小的 GPO 以形成合併的 GPO。 此優化可減少套用至使用者或計算機的 GPO 數目。 將較少的 GPO 套用至使用者或計算機可減少啟動或登入時間,並讓您更輕鬆地針對原則結構進行疑難解答。

  • Last updated on