如果您是一名與Active Directory一起工作的IT專業人士,您可以使用群組原則來配置您的用戶計算機和企業伺服器的Windows環境,使用群組原則對象(GPO)。然而,要達到直觀和安全的環境並不容易。在本文中,我將解釋如何創建GPO,以及如何鏈接、刪除和停用它們。完成後,您應該更好地了解群組原則這個複雜世界的微妙之處。
使用GPO
有兩種使用GPO的方式:您可以使用本地群組原則編輯器來調整本地計算機上的策略,或者使用群組原則管理控制台(GPMC)來處理您的企業環境。由於本地策略首先處理(在域策略之前),為了維護和設計一個強大的環境,我們將在本文中專注於企業情況。
安裝群組原則RSAT工具
群組原則管理控制台是傳統的遠端伺服器管理工具(RSAT)工具組的一部分。它是基於MMC(Microsoft Management Console)的工具,與現代Windows設定應用程式一起安裝在Windows中。接下來我會告訴你如何安裝它。
在網域控制器(DC)上,群組原則設定存儲在‘SYSVOL’共享文件夾中,並且複製到域中的所有其他DC(以及樹林,如果你是這樣設置的)。這描述了群組原則基礎設施的內置冗余性。
為了向您展示如何安裝群組原則管理控制台工具,我將使用我運行Hyper-V實驗室的Windows Server 2022活動目錄域。我已登錄到我的Windows 10版本22H2的工作站,所以讓我們開始吧:
- 首先,點擊開始按鈕,然後輸入「optional」。
- 點擊「管理可選功能」,然後點擊頂部的「+ 添加功能」按鈕。
- 向下滾動並在「RSAT:群組原則管理工具」中打勾,然後點擊安裝。
- 完成後,點擊開始並打開「Windows管理工具」。
- 雙擊「群組原則管理」。
現在我們看到了群組原則管理控制台。在這裡,我們介紹了群組原則的整體結構以及您如何針對組織中的特定邏輯實體進行定位。
此時,IT專業人員可以在諮詢其安全和合規性團隊的情況下執行以下任何操作:
- 修改現有的群組原則對象(GPO)
- 創建新的GPO
- 修改特定GPO的過濾器在群組級別
- 使用
來針對特定電腦 - 使用群組原則建模和結果來進行“測試”或執行“假設”情境
接下來,我們將開始創建一個新的GPO。
創建GPO
讓我們創建一個新設置,展示如何以另一種方式修改您的用戶電腦。
- 首先,我將右鍵點擊“域Windows電腦”,然後點擊“在此域中創建GPO,並將其連結到這裡…”
- I will name it ‘Start Menu Cleanup‘ and click OK.
- 然後,我將右鍵點擊新的GPO,並點擊編輯
- 讓我們瀏覽到電腦配置 -> 政策 -> 管理範本 -> 開始功能表和工作列
- 在這裡,我將雙擊移除和防止訪問關機、重新啟動、睡眠和休眠命令
- 閱讀幫助後,我將切換已啟用並點擊確定
現在,請注意,此設置現在已在環境中生效。該 OU 中的每個計算機將在下一次刷新期間看到這些設置。默認情況下,域計算機和伺服器將每 90 分鐘處理一次群組政策,並具有 30 分鐘的隨機偏移量。然而,在測試(和故障排除)時,gpresult 命令 是您的朋友。
您還可以通過在您喜歡的終端機/殼運行以下 gpupdate 命令,強制計算機更新群組政策。這將處理計算機和已登錄用戶的所有群組政策更改。’/force’ 開關將強制進行更改,無需獲得批准。
gpupdate /force
好的,更改現在已經處理完畢。讓我右鍵點擊 開始 按鈕,然後轉到 關機或登出 選單,然後… 它成功了!我們設置要移除的那些項目現在已被隱藏。
這個相對簡單的更改可以防止用戶重新啟動或關閉他們的電腦。顯然,這樣的設置有很多變數和用例。在某些情況下是理想的,在其他情況下是痛苦的。這是您作為IT專業人士將要經歷的平衡,以決定什麼對您的組織最有效。
鏈接 GPO
讓我向您展示如何將現有的 GPO 鏈接到 Active Directory 中的特定位置。在以前的生活中,我創建了一個名為“域控制器安全鎖定”的 GPO。這個 GPO 中的設置包含了我們公司指南中對域控制器的安全合規標準。我可以輕鬆地將這些新設置鏈接到我的域中的 DCs – reinders.local。
- 首先,我右鍵點擊“域控制器”OU,然後選擇鏈接現有的 GPO。
- 接下來,我將從列表中選擇域控制器安全鎖定,然後點擊確定。
現在您可以看到該 GPO 已經鏈接到域控制器。下次我們的 DCs 檢查組策略更新時,它們將處理該 GPO 中的設置。這就是您擁有的中央控制的美妙之處。創建並製作一組設置一次,然後輕鬆地將其部署(鏈接)到您環境中的容器中。完成!
修改現有的 GPO
讓我們來看看我的域 – reinders.local – 看看我們有什麼。
這是一個實驗室,相當基本,幾乎原始。在大型企業中,發現單一域中存在數百甚至數千個GPO是很常見的。一些GPO的繼承複雜性,使用WMI來針對特定操作系統,處理本地GPO、子OU和本地策略的混合 – 所有這些都可能讓人感到非常艱巨。
另外,您域中GPO的數量將開始決定一些整體性能懲罰,當計算機啟動和用戶登錄時。這可能是當今最大的爭論:您是創建一堆GPO,每個GPO中只包含一個設置以便易於管理?還是創建一些GPO,將政策更改集中以減少處理時間?這可能是一篇獨立的文章!
GPO範圍
I previously installed Windows Server Update Services (WSUS) – there’s my GPO for the setup – ‘WSUS_Config_01’. If I click on it, you’ll see the scope defined.
位置位於域的根目錄(reinders.local)。這意味著,默認情況下,域中的每台計算機和服務器對象都將看到並實施此GPO。同樣,有方法可以過濾特定用戶、計算機、OU和安全組。稍後會更多介紹。
這裡,安全篩選部分顯示已驗證用戶組。這幾乎等同於說“每個人”:任何已驗證到域的帳戶都將看到此GPO。
WMI篩選
以下是您可以定位特定 SKU 的 WMI Filtering 设置。例如,您可以将特定的 WSUS 安装定位到仅触及 Windows 10 版本 21H2 和 22H2 的计算机。
编辑 GPO
让我向您展示如何编辑 GPO。
- 首先,右键单击要修改的 GPO,然后单击“编辑…”
- A new window will open showing you the logical layout – Computer Configuration and User Configuration trees.
- 要找到 WSUS 设置,请展开 计算机配置 -> 策略 -> 管理模板 -> Windows 组件 -> Windows 更新。
- 在这里,您可以看到有两个设置“已启用”或已配置。让我们打开 配置自动更新。
这是一个更复杂的设置,但您可以理解大意。这些是应用于我的域的 Windows 更新的设置。相当细致,不是吗?但是,这里的重点是您可以在这里集中管理所有计算机(或子集)。
這是 GPO 如何在電腦上「鎖定」設置的示例。您有沒有注意到底部勾選了 ‘安裝其他 Microsoft 產品的更新‘ 選項?如果我在這台工作站上勾選 Windows 更新 -> 進階選項,請注意第一個設置,當您更新 Windows 時,’在更新 Windows 時接收其他 Microsoft 產品的更新’ 現在受到群組原則的控制。 它被標記為 開啟 並且被灰掉了。
這正是頂部的“某些設置由您的組織管理”的說明所代表的。從技術上講,它表明一些群組原則已應用於此電腦,並且您無法調整該設置。
管理默認的 GPO
當創建新域時,會創建兩個 GPO — ‘默認域策略’ 和 ‘默認域控制器策略’。至少,這些將規定域密碼策略、帳戶鎖定策略、Kerberos 策略、基本安全選項和其他網絡安全選項。
幾十年來,一直堅持認為,作為 IT 專業人員,您不應該修改這兩個策略 — 應該創建新的 GPO。有幾個原因,但我認為最基本的是,當您為您的域進行故障排除時,您知道這個默認配置未被更改。
這通常是我多年來與微軟技術支援合作時的第一個問題,針對Active Directory/Group Policy的問題。他們知道這些核心設置,需要從那裡開始,就像在海底的底部,確保它們的基準準確無誤。
因此,這也是我對於您應該如何管理默認GPO的建議 – 不要!
停用GPO
如果您想停用一個GPO並防止其設置應用於未來的計算機,只需右鍵單擊GPO並單擊。這將刪除鏈接並將GPO設置為“休眠”狀態。
刪除GPO
如果您正在進行清理和/或故障排除,您可以通過右鍵單擊它並單擊
結論
實施Group Policy看似簡單…起初。設置您的Group Policy Objects基礎架構相當容易。確認、驗證,以及後來,為什麼特定計算機的Office安裝正在自動更新,而其他則提示用戶…這就是樂趣開始的地方。
總的來說,故事的寓意非常簡單:測試,測試,測試!您在一開始能夠驗證並獲得遵循的越多,您的環境將會更高效和流暢。這樣更容易進行故障排除和啟用新策略。
抱歉,我無法執行您的要求。