管理组策略对象：创建GPO、链接GPO和编辑GPO

教程

如果您是与Active Directory一起工作的IT专业人员，您可以使用组策略来配置用户计算机和企业服务器的Windows环境，使用组策略对象（GPO）。然而，要达到直观且安全的环境并不容易。在本文中，我将解释如何创建GPO，以及如何链接、删除和禁用它们。完成后，您将更好地理解组策略这个复杂世界的微妙之处。

使用GPO

有两种使用GPO的方式：您可以使用本地组策略编辑器来调整本地计算机上的策略，或者使用组策略管理控制台（GPMC）来处理您的企业环境。因为本地策略首先被处理（在域策略之前），为了维护并设计稳健的环境，本文将重点放在企业场景上。

安装组策略RSAT工具

组策略管理控制台是传统远程服务器管理工具（RSAT）工具集的一部分。它是基于MMC（Microsoft Management Console）的工具，与现代Windows设置应用程序一起安装在Windows中。接下来我会告诉你如何安装它。

在域控制器（DC）上，组策略设置存储在‘SYSVOL’共享文件夹中，并复制到域中的所有其他DC（以及森林，如果您设置了这样的方式）。这描述了组策略基础设施的内置冗余性。

为您展示如何安装Group Policy Management Console工具，我将使用我的Hyper-V实验室运行Windows Server 2022活动目录域。我已经登录到我的Windows 10版本22H2的工作站，让我们开始吧：

首先，点击开始按钮，然后输入“可选”。

Searching for ‘optional’ features in the Start Menu (Image credit: Michael Reinders)

点击“管理可选功能”，然后点击顶部的“+添加功能”按钮。
向下滚动，在“RSAT: Group Policy Management Tools”旁边打勾，然后点击安装。

Selecting the Group Policy Management RSAT toolset (Image credit: Michael Reinders)

完成后，点击开始，打开“Windows管理工具”。
双击“Group Policy Management”。

Locating Group Policy Management in Administrative Tools (Image credit: Michael Reinders)

现在我们看到了Group Policy Management控制台。在这里，我们介绍了Group Policy的整体结构以及如何定位组织中的特定逻辑实体。

The Group Policy Management Console (Image credit: Michael Reinders)

在这一点上，IT专业人员，在与他们的安全和合规团队的协商下，可以执行以下任何操作：

修改现有的Group Policy Objects (GPOs)
创建新的GPOs
修改特定GPO的筛选在组级别
使用WMI过滤来定位特定计算机
使用组策略建模和结果来进行“测试”或执行“假设”场景

接下来，我们将开始创建一个新的GPO。

创建GPO

让我们创建一个新设置，演示如何以另一种方式修改用户计算机。

首先，我会右键单击“域内Windows计算机”并点击“在此域中创建GPO，并链接到此处…”

Starting a new GPO in Domain Windows Computers (Image credit: Michael Reinders)

I will name it ‘Start Menu Cleanup‘ and click OK.

Naming our new GPO (Image credit: Michael Reinders)

然后，我会右键单击新的GPO，点击编辑。

Our new GPO – ready to configure settings! (Image credit: Michael Reinders)

让我们浏览至计算机配置 -> 策略 -> 管理模板 -> 开始菜单和任务栏。

We’ve found our settings category for our Domain Windows computers (Image credit: Michael Reinders)

在这里，我会双击删除和阻止关闭、重新启动、睡眠和休眠命令的访问。

Modifying a policy setting (Image credit: Michael Reinders)

阅读帮助后，我会切换已启用并点击确定。

Adjusting settings with our ‘Start Menu Cleanup’ GPO (Image credit: Michael Reinders)

现在，请注意，此设置已在环境中生效。组织单位中的每个计算机对象在下次刷新期间将看到这些设置。默认情况下，域计算机和服务器将每90分钟处理一次组策略，并且随机延迟30分钟。然而，在测试（和故障排除）时，gpresult 命令是你的朋友。

您还可以通过在您喜爱的终端/Shell中运行以下gpupdate命令来强制计算机更新组策略。这将处理计算机和已登录用户的所有组策略更改。’/force’ 开关会在没有批准请求的情况下强制更改。

gpupdate /force

Using *gpupdate /force* to process all related group policies right away (Image credit: Michael Reinders)

好的，更改已经生效。让我右键单击开始按钮，进入关闭或注销菜单，然后… 它生效了！我们设置要移除的那些项目现在被隐藏了。

The Shut Down, Restart, Sleep, and Hibernate commands are now hidden (Image credit: Michael Reinders)

这个相当简单的更改可以防止用户重新启动或关闭计算机。显然，这样的设置有很多变量和用例。在某些情况下很理想，在其他情况下则很痛苦。作为IT专业人员，你需要在组织中决定什么对你的组织最好，这是你需要权衡的。

链接GPO

让我告诉你如何将现有的GPO链接到活动目录中的特定位置。在以前的生活中，我创建了一个名为“域控制器安全锁定”的GPO。这个GPO中的设置包含了我们公司对域控制器的安全合规标准。我可以轻松地将这些新设置链接到我的域中的DCs – reinders.local。

首先，我右键单击域控制器OU，然后选择链接现有的GPO。

Linking an existing GPO to a container in AD (Image credit: Michael Reinders)

接下来，我会从列表中选择域控制器安全锁定，然后点击确定。

We linked an existing GPO to the Domain Controllers OU (Image credit: Michael Reinders)

现在你可以看到GPO已经链接到域控制器。下次我们的DC检查组策略更新时，他们将处理该GPO中的设置。这就是你所拥有的集中控制的美妙之处。创建和制定一组设置一次，然后轻松地部署（链接）到你的环境中的容器。你完成了！

修改现有的GPO

让我们来看看我的域 – reinders.local – 看看我们有什么。

由于这是一个实验室，它相当基础，几乎可以说是原始的。在更大的企业中，发现单个域中存在数百甚至数千个GPO是很常见的。一些GPO的继承复杂性，使用WMI来针对特定操作系统，处理本地GPO、子OU和本地策略的混合等等，所有这些都可能令人望而却步。

另外，你域中GPO的数量之多可能会开始影响整体性能，当计算机启动和用户登录时可能会有明显的性能损失。这可能是当今最大的争论：你是创建大量GPO，并且每个GPO中只包含一个设置以便更容易地进行管理？还是创建少量GPO，并将策略更改整合到其中以减少处理时间？这可能需要单独撰写一篇文章来讨论！

GPO范围

I previously installed Windows Server Update Services (WSUS) – there’s my GPO for the setup – ‘WSUS_Config_01’. If I click on it, you’ll see the scope defined.

The settings for our ‘WSUS_Config_01’ GPO (Image credit: Michael Reinders)

位置位于域的根目录（reinders.local）。这意味着，默认情况下，域中的每台计算机和服务器对象都会看到并实施该GPO。当然，还有方法可以筛选出特定用户、计算机、OU和安全组。稍后详细讨论。

在这里，安全筛选部分显示了已认证用户组。这几乎等同于“所有人”：任何已经在域上进行了认证的帐户都会看到这个GPO。

WMI筛选

以下是您可以定位特定SKU的WMI过滤设置。例如，您可以将特定的WSUS安装定位到仅接触Windows 10版本21H2和22H2的计算机。

Using the WMI Filtering capability is straightforward (Image credit: Michael Reinders)

编辑GPO

让我向您展示如何编辑GPO。

首先，右键单击要修改的GPO，然后点击“编辑…”

This is the initial screen after choosing to Edit a GPO (Image credit: Michael Reinders)

A new window will open showing you the logical layout – Computer Configuration and User Configuration trees.
要找到WSUS设置，请展开计算机配置 -> 策略 -> 管理模板 -> Windows 组件 -> Windows 更新。
在这里，您可以看到有两个设置“已启用”或已配置。让我们打开配置自动更新。

The settings for ‘Configure Automatic Updates’ (Image credit: Michael Reinders)

这是一个更复杂的设置，但您已经了解了要领。这些是适用于我的域的Windows更新应用设置。相当细致，不是吗？但是，这里的重点是您可以在这里集中管理所有计算机（或子集）。

这是 GPO 如何在计算机上“锁定”设置的示例。你是否注意到底部的“安装其他 Microsoft 产品的更新”选项被勾选了？如果我在这台工作站上勾选 Windows 更新 -> 高级选项，请注意第一个设置，“在更新 Windows 时接收其他 Microsoft 产品的更新”，现在受到组策略的控制。它被标记为开，并且灰显。

The 1st item is now controlled by Group Policy (Image credit: Michael Reinders)

这正是顶部的“一些设置由您的组织管理”说明的含义。从技术上讲，它表明一些组策略已应用于此计算机，您无法调整该设置。

管理默认的 GPO

在创建新域时会创建两个 GPO – “默认域策略”和“默认域控制器策略”。最低限度，这些策略将决定域密码策略、账户锁定策略、Kerberos 策略、基本安全选项和其他网络安全选项。

几十年来，人们一直坚信，作为 IT 专业人员，您不应修改这两个策略 – 您应该创建新的 GPO。这样做有几个原因，但我认为最根本的原因是，在排除域问题时，您知道默认配置没有被更改。

这通常是我多年来与微软技术支持合作解决活动目录/组策略问题时，他们问的第一个问题。他们了解这些核心设置，需要从那里开始，从海底开始，以确保它们固有的基线是准确的。

因此，这也是我对如何管理默认GPO的建议 – 不要！

禁用GPO

如果要禁用GPO并阻止其设置应用于将来的计算机，只需右键单击GPO，然后单击启用链接。这将删除链接并将GPO设置为“休眠”状态。

After clicking the ‘Link Enabled’ checkbox, the GPO is now disabled (Image credit: Michael Reinders)

删除GPO

如果正在进行清理和/或故障排除，可以右键单击它并单击删除来删除GPO。为了彻底和高效，我建议您转到树中的组策略对象视图并从那里删除它。

Deleting a Group Policy Object (Image credit: Michael Reinders)

结论

实施组策略起初看起来很简单…。很容易布置组策略对象基础设施。确认、验证，以及之后排查为什么特定计算机的Office安装正在自动更新，而其他计算机需要用户提示…这就是乐趣开始的地方。

总的来说，故事的寓意非常简单：测试，测试，测试！您能在开始阶段验证并获得合规性的越多，您的环境就会变得更加高效和流畅。这样更容易排查问题和启用新策略。

如果您有任何问题，请在下方留言！

Source:
https://petri.com/create-gpo-link-gpo-edit-gpo/