当前位置:网站首页 > 技术博客 > 正文

组策略教程



组策略管理控制台 (GPMC) 可统一管理组织中多个林中的组策略的各个方面。 通过 GPMC 可在网络中管理所有组策略对象 (GPO)、Windows Management Instrumentation (WMI) 筛选器和组策略相关权限。 将 GPMC 视为组策略的主要访问点,所有组策略管理工具都可从 GPMC 界面获得。

GPMC 由一组用于管理组策略的可编写脚本的接口和基于 MMC 的用户界面 (UI) 组成。 GPMC 包含在 Windows Server 和远程服务器管理工具中。

GPMC 提供以下功能:

  • 导入和导出 GPO。
  • 复制并粘贴 GPO。
  • 备份和还原 GPO。
  • 搜索现有 GPO。
  • 报告功能。
  • 组策略建模。 允许在生产环境中实施策略部署之前模拟策略结果集(RsoP)数据,以便规划组策略部署。
  • 组策略结果。 可用于查看 GPO 交互并排查组策略部署问题。
  • 支持迁移表,以便跨域和跨林导入和复制 GPO。 迁移表是一个文件,它将源 GPO 中对用户、组、计算机和通用命名约定 (UNC) 路径的引用映射到目标 GPO 中的新值。
  • 在 HTML 报告中报告 GPO 设置和 RSoP 数据,可以保存和打印这些数据。
  • 可脚本化的接口,可用于执行 GPMC 中可用的所有操作。 不能使用脚本编辑 GPO 中的单个策略设置。

若要使用 GPMC,必须满足以下先决条件。

  • 在运行 Windows Server 或 Windows 客户端操作系统的计算机上安装组策略管理功能。
  • 对 GPO 具有编辑设置删除修改安全权限。
  • 若要链接 GPO,需要对该站点、域或 OU 具有修改权限。 默认情况下,只有域管理员和企业管理员具有此权限。
    • 具有将 GPO 链接到特定站点、域或 OU 的权限的用户和组可以链接 GPO、更改链接顺序,并在该站点、域或者 OU 上设置阻止继承。

若要创建未链接的 GPO,请执行以下步骤:

  1. 若要打开 GPMC,请选择开始,在搜索框中输入组策略管理,然后选择组策略管理
  2. 在 GPMC 控制台树中,右键单击要创建新的未链接 GPO 的林和域中的组策略对象
  3. 选择“新建”。
  4. 在 “新建 GPO”对话框中,指定新 GPO 的名称,然后选择确定

若要更改现有 GPO 中的策略设置,请执行以下步骤:

  1. 在 GPMC 控制台树中,展开包含要编辑的 GPO 的林和域中的组策略对象。
  2. 右键单击要编辑的 GPO,然后选择编辑
  3. 在组策略管理编辑器的控制台树中,根据需要展开项,找到包含要修改的策略设置的策略项。 选择一个项目,以在详细信息窗格中查看关联的策略设置。
  4. 在详细信息窗格中,双击要编辑的策略设置的名称。
  5. 在“属性”对话框中,根据需要修改策略设置,然后选择确定
  6. 完成必要的修改后,关闭组策略管理编辑器。

将 GPO 中的策略设置应用于用户和计算机的主要方法是将 GPO 链接到 Active Directory 中的容器。 GPO 可以链接到 Active Directory 中的三种类型的容器:站点、域和组织单位 (OU)。 一个 GPO 可以链接到多个 Active Directory 容器。

GPO 按域存储。 例如,如果将 GPO 链接到 OU,则 GPO 不会存储在该 OU 中。 GPO 是可以链接到林中任何位置的每个域对象。 GPMC 中的 UI 有助于阐明链接与实际 GPO 之间的区别。

在 GPMC 中,可以使用以下任一方法将现有 GPO 链接到 Active Directory 容器:

  • 右键单击站点、域或 OU 项,然后选择链接现有 GPO。 此过程要求域中已存在 GPO。
  • 将 GPO 从“组策略对象”项下拖动到要将 GPO 链接到的 OU。 此拖放功能仅适用于同一域中。

在每个站点、域和 OU 中,链接顺序控制应用 GPO 的顺序。 若要更改链接的优先级,可以更改链接顺序,将列表中的每个链接向上或向下移动到相应的位置。 对于给定的站点、域或 OU,具有最小数字的链接具有更高的优先级。

例如,希望添加的最后一个 GPO 具有最高优先级。 可以将 GPO 的链接顺序调整为 1 的链接顺序,使其成为最高级别。 若要更改站点、域或 OU 的 GPO 链接的链接顺序,请使用 GPMC。

取消链接 GPO 意味着链接的 GPO 不再应用于最初链接的位置。 若要取消链接 GPO,请执行以下操作:

  1. 在 GPMC 控制台树中,展开包含要取消链接的 GPO 的林和域中的组策略对象。
  2. 选择要取消链接的 GPO。
  3. 在详细信息窗格中,选择范围选项卡。
  4. 在“链接”部分中,右键单击包含要删除的链接的 Active Directory 对象,然后选择删除链接

删除指向 GPO 的链接与删除 GPO 不同。 如果有 GPO 链接,则 GPO 仍可用。 从其他域到该 GPO 的其他链接也仍然存在。 删除 GPO 时,系统会提示删除所选域中的 GPO 及其所有链接。 执行 GPO 和所有链接不会删除其他域中指向 GPO 的链接。 在从此域中删除此 GPO 之前,请务必删除指向其他域中的 GPO 的链接。

若要创建 GPO 以仅设置与用户相关的策略设置,请禁用 GPO 中的“计算机配置”设置。 禁用计算机配置会略微缩短计算机启动时间,因为不必评估 GPO 中的计算机配置设置。 如果仅配置与计算机相关的策略设置,请禁用 GPO 中的“用户配置”设置。 若要禁用用户配置或计算机配置,请执行以下操作:

  1. 在 GPMC 控制台树中,展开林和域中包含要禁用的策略设置的 GPO 的组策略对象。
  2. 右键单击包含要禁用的策略设置的 GPO。
  3. 在“GPO 状态”列表中,选择以下选项之一:
    • 已禁用所有策略设置
    • 已禁用计算机配置设置
    • 已启用(默认值)
    • 用户配置设置已禁用
  • 组策略处理
  • 备份、还原、迁移和复制组策略对象 (GPO)
  • 组策略建模和组策略结果

版权声明


相关文章:

  • 小程序添加测试人员2024-11-10 13:00:59
  • 空白符号大全2024-11-10 13:00:59
  • js特效怎么使用方法2024-11-10 13:00:59
  • xml文件中注释怎么写2024-11-10 13:00:59
  • virtuozoedu安装教程2024-11-10 13:00:59
  • 动态内存申请的三个函数2024-11-10 13:00:59
  • sql orm框架2024-11-10 13:00:59
  • dds协议编程2024-11-10 13:00:59
  • c语言fwrite的用法2024-11-10 13:00:59
  • 代码对比工具compare2024-11-10 13:00:59