Windows组策略对象(GPO)详解:定义、创建与Starter GPO
Windows组策略对象(GPO)详解:定义、创建与Starter GPO
组策略对象(GPO)是Windows操作系统中用于集中管理和部署配置设置的重要工具。从Windows Server的早期版本开始,组策略就提供了强大的框架,使管理员能够轻松地定义、强制实施和更新组织内的计算机配置。本文将详细介绍GPO的基本概念、创建方法以及Starter GPO的作用,帮助IT管理人员更好地理解和使用这一功能。
从Windows Server的早期版本开始,Windows操作系统的组策略功能就提供了一个基础结构,管理员可使用该基础结构来集中定义设置,然后将其部署到组织内的计算机。因此,Contoso的IT员工可以使用GPO设置来定义、强制实施和更新其整个配置。通过使用GPO设置,他们可以影响整个站点或组织内的域,也可以将重点缩小到单个OU。
什么是组策略?
组策略是Windows操作系统中的一个框架,其组件驻留在AD DS、域控制器以及每个Windows Server和客户端上。通过使用这些组件,可以管理AD DS域中的配置。在GPO中定义组策略设置。GPO是一个包含一个或多个策略设置的对象,这些设置应用于用户或计算机的一个或多个配置设置。
组策略是一种功能强大的管理工具。你可以使用GPO向大量用户和计算机推送各种设置。由于可以将它们应用于从本地计算机到域等不同级别,因此还可以精确地聚焦这些设置。主要使用组策略来配置不希望用户配置的设置。此外,还可以使用组策略在组织单位(OU)或整个组织中的所有计算机上标准化桌面环境。还可以使用组策略来提供额外的安全性,配置某些高级系统设置,以及用于后续演示单元中讨论的其他目的。
什么是GPO?
组策略的最细化组件是单个策略设置。单个策略设置定义了特定配置,例如防止用户访问注册表编辑工具的策略设置。如果定义该策略设置,然后将其应用于用户,则该用户将无法运行Regedit.exe之类的工具。
某些设置会影响用户,这些设置称为用户配置设置或用户策略,而某些设置会影响计算机,这些设置称为计算机配置设置或计算机策略。
重要:设置不会直接影响组,只会应用于用户和计算机对象。
组策略可管理各种策略设置,并且组策略框架可扩展。使用组策略几乎可以管理所有可配置的设置。
定义策略设置:
- 在组策略管理编辑器中,找到策略设置,然后选择Enter。随即出现策略设置“属性”对话框。
- 将策略状态更改为“已启用”或“已禁用”。大多数策略设置可以有三种状态:“未配置”、“已启用”和“已禁用”。
- 如果需要,请配置其他值,完成后,选择“确定”。
GPO存储组策略设置。在新GPO中,每个策略设置默认为“未配置”。启用或禁用策略设置时,Windows Server将对应用了GPO的用户和计算机的配置进行更改。
注意:在将设置还原为“未配置”值时,就是将其还原为默认值。
在域中创建新的GPO:
- 在“组策略管理”中,右键单击或访问“组策略对象”容器的上下文菜单,然后选择“新建”。
- 若要修改GPO中的配置设置,请右键单击或访问该GPO的上下文菜单,然后选择“编辑”。这将打开组策略管理编辑器的管理单元。
组策略管理编辑器以有序的层次结构显示GPO中可用的所有策略设置,首先是区分计算机设置和用户设置:“计算机配置”节点和“用户配置”节点。GPO在名为组策略对象的容器中显示。该层次结构的下两级分别是名为“策略”和“首选项”的节点。在层次结构中,组策略管理编辑器显示名为节点或策略设置组的文件夹。策略设置位于这些文件夹内。
什么是Starter GPO?
Starter GPO可作为模板用于在组策略管理控制台中创建其他GPO。Starter GPO仅具有管理模板设置。你可以将Starter GPO作为起点,在域中创建新GPO。Starter GPO可能已有特定的设置,这些设置是适用于你的环境的最佳做法。你可以将Starter GPO导出到cabinet(.cab)文件,也可以从cabinet(.cab)文件将其导入,以简单高效地分发到其他环境。
注意:组策略管理控制台将Starter GPO存储在SYSVOL中一个名为StarterGPOs的文件夹中。
注意:SYSVOL是域控制器上的共享文件夹。
Microsoft包括预配置的适用于Windows客户端操作系统的Starter GPO。这些Starter GPO具有“管理模板”设置,这些设置提供了Microsoft建议用于配置客户端环境的最佳做法。