组策略规划和部署指南

1、组策略规划和部署指南2010-12-27 15:22 微软 微软TechNet中文站 我要评论(0) 字号：T | T可以使用 Windows Server2008 组策略来管理计算机和用户组配置，包括以下各项所对应的选项：基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。Windows Server2008 中新增的组策略首选项是二十多个组策略扩展，用于扩展组策略对象 (GPO) 中的可配置策略设置的范围。AD： 可以使用 Windows Server2008 组策略来管理计算机和用户组配置，包括以下各项所对应的选项：基于注册表的策略设置、安全设置、软件部署、脚本、文件

2、夹重定向以及首选项。Windows Server2008 中新增的组策略首选项是二十多个组策略扩展，用于扩展组策略对象 (GPO) 中的可配置策略设置的范围。与组策略设置相比，首选项是非强制性的。用户可以在初始部署后更改首选项。有关组策略首选项的信息，请参阅组策略首选项概述（可能为英文网页）。通过使用组策略，您可以大大降低组织的总拥有成本。各种各样的因素可能会使组策略设计变得非常复杂，例如，大量可用的策略设置、多个策略之间的交互以及继承选项。通过仔细规划、设计、测试并部署基于组织业务要求的解决方案，您可以提供组织所需的标准化功能、安全性以及管理控制。组策略概述组策略在运行 Windows Se

3、rver2008、Windows Vista、Windows Server2003 和 WindowsXP 的计算机上启用基于 Active Directory 的用户和计算机设置更改和配置管理。除了使用组策略为用户和计算机组定义配置以外，还可以配置很多服务器特定的操作和安全设置，以便使用组策略帮助管理服务器计算机。您创建的组策略设置包含在 GPO 中。若要创建和编辑 GPO，请使用组策略管理控制台 (GPMC)。通过使用 GPMC 将 GPO 链接到选定 Active Directory 站点、域和组织单位 (OU)，您可以将 GPO 中的策略设置应用于这些 Active Directory

4、 对象中的用户和计算机。OU 是可以分配组策略设置的最低级别的 Active Directory 容器。为指导您的组策略设计决策，您需要清楚地了解组织的业务需求、服务级别协议以及安全、网络和 IT 要求。通过分析当前的环境和用户要求，使用组策略定义要实现的业务目标，以及按照这些准则设计组策略基础结构，您可以确定最符合组织需要的方法。用于实现组策略解决方案的过程用于实现组策略解决方案的过程涉及规划、设计、部署和维护解决方案。在规划组策略设计时，请确保设计 OU 结构以简化组策略管理并符合服务级别协议。应制订使用 GPO 的正确操作步骤。确保您了解组策略互操作性问题，并确定是否打算使用组策略进行软

5、件部署。在设计阶段： 定义组策略的应用范围。 确定适用于所有企业用户的策略设置。 基于角色和位置对用户和计算机进行分类。 基于用户和计算机要求规划桌面配置。 规划完善的设计有助于确保成功部署组策略。部署阶段从测试环境中的暂存过程开始。该过程包括： 创建标准桌面配置。 筛选 GPO 的应用范围。 指定默认组策略继承的例外情况。 委派组策略管理。 使用组策略建模评估有效的策略设置。 使用组策略结果评估这些结果。 暂存过程至关重要。应在测试环境中全面测试组策略实现，然后再将其部署到生产环境中。完成暂存和测试后，请使用 GPMC 将 GPO 迁移到生产环境中。应考虑循环反复的组策略实现：并非部署 10

6、0 种新组策略设置，而是最初暂存并仅部署几种策略设置以验证组策略基础结构是否正常工作。最后，制订使用组策略以及通过 GPMC 解决 GPO 问题的控制过程以准备维护组策略。备注Microsoft 高级组策略管理 (AGPM) 通过提供全面的更改控制和增强的 GPO 管理来扩展 GPMC 功能。有关 AGPM 的详细信息，请访问 Microsoft 桌面优化包 (MDOP) 网站 (/fwlink/?LinkId=)（可能为英文网页）。 在设计组策略解决方案之前需要执行的操作在设计组策略实现之前，您需要了解当前的组织环境并需要在以下几个方面执行预备步骤

7、： Active Directory：确保林中所有域的 Active Directory OU 设计都支持应用组策略。有关详细信息，请参阅本指南后面部分中的设计支持组策略的 OU 结构。 网络：确保您的网络符合更改和配置管理技术的要求。例如，由于组策略使用完全限定的域名，因此，您必须在林中运行目录名称服务 (DNS) 才能正确处理组策略。 安全：获取域中当前使用的安全组的列表。在委派组织单位管理责任以及创建需要安全组筛选的设计时，应与安全管理员紧密合作。有关筛选 GPO 的详细信息，请参阅本指南后面部分中的定义组策略的应用范围中的“将 GPO 应用于选定的组（筛选）”。 IT 要求：获取域中的

8、管理所有者以及企业的域和 OU 管理标准的列表。这样，您便可以制订正确的委派计划并确保正确继承组策略。 备注组策略取决于网络、安全和 Active Directory；因此，了解这些技术是至关重要的。强烈建议先熟悉这些概念，然后再实现组策略。 组策略的管理要求若要使用组策略，您的组织必须使用 Active Directory，并且目标桌面和服务器计算机必须运行 Windows Server2008、Windows Vista、Windows Server2003 或 WindowsXP。默认情况下，只有 Domain Admins 或 Enterprise Admins 组的成员能够创建和链接

9、 GPO，但您可以将此任务委派给其他用户。有关组策略管理要求的详细信息，请参阅本指南后面部分中的委派组策略管理。GPMCGPMC 跨组织的多个林以统一的方式管理组策略的各个方面。可以使用 GPMC 管理网络中的所有 GPO、Windows Management Instrumentation (WMI) 筛选器以及与组策略有关的权限。可以将 GPMC 视为主要的组策略访问点，GPMC 界面中提供了所有组策略管理工具。GPMC 包含一组用于管理组策略的可编脚本界面以及一个基于 MMC 的用户界面 (UI)。Windows Server2008 附带提供了 32 位和 64 位版本的 GPMC。G

10、PMC 提供了以下功能： 导入和导出 GPO。 复制和粘贴 GPO。 备份和还原 GPO。 搜索现有的 GPO。 报告功能。 组策略建模。用于模拟策略的结果集 (RsoP) 数据以规划组策略部署，然后再在生产环境中实现组策略。 组策略结果。用于获取 RSoP 数据以查看 GPO 交互和解决组策略部署问题。 支持迁移表以便于跨域和林导入和复制 GPO。迁移表是一个文件，可以将对源 GPO 中的用户、组、计算机和通用命名约定 (UNC) 路径的引用映射到目标 GPO 中的新值。 在 HTML 报告中报告 GPO 设置和 RSoP 数据，您可以保存和打印这些报告。 可编脚本的界面，可以在其中执行 G

11、PMC 中提供的所有操作。不过，无法使用脚本编辑 GPO 中的各个策略设置。 备注Windows Server2008 不包含 GPMC 早期版本提供的 GPMC 示例脚本。不过，您可以从组策略管理控制台示例脚本（可能为英文网页）中下载适用于 Windows Server2008 的 GPMC 示例脚本。有关使用 GPMC 示例脚本的详细信息，请参阅本指南后面部分中的使用脚本管理组策略。 使用 GPMC 可大大提高组策略部署的可管理性；由于它提供了改进且简化的组策略管理界面，您可以充分利用组策略的强大功能。设计支持组策略的 OU 结构在 Active Directory 环境中，可通过将 GP

12、O 链接到站点、域或 OU 来分配组策略设置。通常，大多数 GPO 是在 OU 级别分配的，因此，请确保 OU 结构支持基于组策略的客户端管理策略。您还可以在域级别应用某些组策略设置，尤其是密码策略等设置。只有很少的策略设置是在站点级别应用的。设计完善的 OU 结构可反映组织的管理结构并利用 GPO 继承，这种结构可以简化组策略的应用过程。例如，设计完善的 OU 结构可防止复制某些 GPO，以便将这些 GPO 应用于组织的不同部分。如果可能，请创建 OU 以委派管理权限和帮助实现组策略。OU 设计要求综合考虑独立于组策略需求委派管理权限的要求以及组策略需应用范围需求。以下 OU 设计建议解决了

13、委派和作用域问题： 委派管理权限：可以在域中创建 OU，并将对特定 OU 的管理控制委派给特定用户或组。OU 结构可能会受委派管理权限的要求的影响。 应用组策略：在设计 OU 结构时，应主要考虑要管理的对象。您可能需要创建一种结构，按靠近顶级的工作站、服务器和用户组织 OU。根据您的管理模型，您可以将基于地理位置的 OU 视为其他 OU 的子或父 OU，然后为每个位置复制这种结构以避免在不同的站点中进行复制。只有在以下情况下才能在下面添加 OU：这种做可使组策略应用更清晰，或者您需要在这些级别下面委派管理。 通过使用 OU 包含同类对象（如用户或计算机对象，但不能同时包含两者）的结构，您可以轻

14、松禁用 GPO 中不应用于特定类型对象的部分。图 1 中说明的 OU 设计方法降低了复杂性，并提高了组策略的应用速度。请记住，链接到高层 OU 结构的 GPO 是默认继承的，因而不需要将 GPO 复制或链接到多个容器。在设计 Active Directory 结构时，最重要的注意事项是简化管理和委派过程。将组策略应用于新用户和计算机帐户默认情况下，新用户和计算机帐户是在 CN=Users 和 CN=Computers 容器中创建的。无法将组策略直接应用于这些容器，但它们会继承链接到域的 GPO。若要将组策略应用于默认 Users 和 Computers 容器，您必须使用新的 Redirusr.

15、exe 和 Redircomp.exe 工具。Redirusr.exe（用于用户帐户）和 Redircomp.exe（用于计算机帐户）是 Windows Server2008 附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置，以便更轻松地为新创建的用户和计算机对象直接指定 GPO 作用域。这些工具位于 %windir%system32 中包含 Active Directory 服务角色的服务器上。通过为每个域运行一次 Redirusr.exe 和 Redircomp.exe，域管理员可以指定在创建所有新用户和计算机帐户时将其放置到的 OU。这样，管理员就可以使用组策略管

16、理这些未分配的帐户，然后再将其分配给最终放置这些帐户的 OU。请考虑使用组策略提高新用户和计算机帐户的安全性，以限制用于这些帐户的 OU。有关重定向用户和计算机帐户的详细信息，请参阅 Microsoft 知识库中的文章 “在 Windows Server2003 域中重定向用户和计算机容器”(/fwlink/?LinkId=)。站点和复制注意事项在确定适合的策略设置时，请注意 Active Directory 的物理特性，其中包括站点的地理位置、域控制器的物理位置以及复制速度。GPO 存储在 Active Directory 和每个域控制器上的 Sy

17、svol 文件夹中。这些位置具有不同的复制机制。如果怀疑可能未在域控制器中复制 GPO，请使用 Resource Kit 工具组策略对象 (Gpotool.exe) 帮助诊断问题。有关 Gpotool.exe 的详细信息，请参阅“Microsoft 帮助和支持”(/fwlink/?LinkId=)。若要下载 Windows Server2008 Resource Kit 工具，请参阅 Microsoft 下载中心上的“Windows Server2008 Resource Kit 工具”(/fwlink/?

18、LinkId=4544)（可能为英文网页）。如果出现慢速链接问题（通常是到远程站点的客户端的链接），问题可能出在域控制器位置上。如果客户端和验证域控制器之间的网络链接速度低于默认慢速链接阈值 500 千比特/秒，则仅默认应用管理模板（基于注册表）设置、新无线策略扩展和安全设置。不会默认应用所有其他组策略设置。不过，您可以使用组策略修改此行为。可以使用组策略慢速链接检测策略，为 GPO 中的用户和计算机内容更改慢速链接阈值。如有必要，您还可以调整在慢速链接阈值以下处理的组策略扩展。甚至可以根据需要，将本地域控制器放在远程位置以满足您的管理需要。符合服务级别协议某些 IT 组使用服务级别协议来指定

19、应运行的服务。例如，服务级别协议可能规定了计算机启动和登录所需的最长时间、在用户登录多长时间后才能使用计算机，等等。服务级别协议通常会设置服务响应标准。例如，服务级别协议可能定义了允许用户接收新软件应用程序或访问以前禁用的功能的时间长度。可能会影响服务响应的问题有：站点和复制拓扑、域控制器位置以及组策略管理员位置。若要缩短处理 GPO 所需的时间，请考虑使用下面的某种策略： 如果 GPO 仅包含计算机配置或用户配置设置，请禁用不适用的策略设置部分。在执行此操作后，目标计算机不会扫描禁用的 GPO 部分，从而缩短了处理时间。有关禁用 GPO 的某些部分的信息，请参阅本指南后面的禁用 GPO 中的

20、用户配置或计算机配置设置。 如果可能，请将一些较小的 GPO 合并为一个 GPO。这可减少应用于用户或计算机的 GPO 数量。通过将较少的 GPO 应用于用户或计算机，可以缩短启动或登录时间，并且可以更轻松地解决策略结构问题。 对 GPO 所做的更改将复制到域控制器中，并导致将新的内容下载到客户端或目标计算机上。如果需要经常更改很大或很复杂的 GPO，请考虑创建一个新 GPO，其中仅包含定期更新的部分。请测试这种方法以确定最大限度减少对网络的影响和缩短目标计算机的处理时间能带来多大好处，而使 GPO 结构变得更复杂而容易出现故障的可能性有多大，是否利大于弊。 您应该实现组策略更改控制过程，并记

21、录对 GPO 所做的任何更改。这可能有助于解决和纠正出现的 GPO 问题。这种做还有助于满足要求保留日志的服务级别协议的要求。请考虑使用 AGPM 来实现 GPO 更改控制过程和管理 GPO。 定义组策略目标在规划组策略部署时，请确定具体的业务要求以及组策略如何帮助实现这些要求。然后，您可以确定最适合的策略设置和配置选项以满足您的要求。每个组策略实现的目标因用户位置、工作需要、计算机体验和企业安全要求而异。在某些情况下，您可能会从用户的计算机中删除一些功能以防止其修改系统配置文件（这可能会中断计算机运行），或者删除并非用户工作时必不可少的应用程序。在其他情况下，您可能会使用组策略配置操作系统选

22、项、指定 Internet Explorer 设置或制订安全策略。清楚地了解当前的组织环境和要求有助于设计出最符合组织需要的计划。应收集有关用户类型（操作工人和数据输入员）以及现有和计划的计算机配置的的信息，这一点至关重要。您可以根据这些信息来定义组策略目标。评估现有的企业行为准则为帮助您确定要使用的适合组策略设置，请先评估企业环境中的当前行为准则，其中包括如下因素： 各种类型的用户的用户要求。 当前 IT 角色，如划分到不同管理员组的各种管理任务。 现有的企业安全策略。 服务器和客户端计算机的其他安全要求。 软件分发模型。 网络配置。 数据存储位置和步骤。 当前的用户和计算机管理。 定义组策

23、略目标接下来，请确定以下内容（作为定义组策略目标的一部分）： 每个 GPO 的用途。 每个 GPO 的所有者 请求策略设置并负责进行维护的人。 要使用的 GPO 数量。 要链接每个 GPO 的相应容器（站点、域或 OU）。 每个 GPO 中包含的策略设置类型以及用户和计算机的相应策略设置。 何时设置组策略默认处理顺序的例外情况。 何时设置组策略的筛选选项。 要安装的软件应用程序及其位置。 用于重定向文件夹的网络共享。 要运行的登录、注销、启动和关机脚本的位置 规划持续的组策略管理在设计和实现组策略解决方案时，规划持续的组策略管理也是非常重要的。通过确定管理步骤以跟踪和管理 GPO，可以确保按预

24、定方式实现所有更改。若要简化和控制持续的组策略管理，我们建议您： 始终使用以下预部署过程暂存组策略部署： o 使用组策略建模了解新 GPO 如何与现有 GPO 进行交互。 o 在模拟生产环境的测试环境中部署新 GPO。 o 使用组策略结果了解在测试环境中实际应用的 GPO 设置。 使用 GPMC 定期备份 GPO。 使用 GPMC 在组织中管理组策略。 除非必要，否则不要修改默认域策略或默认域控制器策略。相反，应在域级别创建新的 GPO，并对其进行设置以覆盖默认策略设置。 为 GPO 定义有意义的命名约定，以清楚地说明每个 GPO 的用途。 仅为每个 GPO 委派一个管理员。这可防止一个管理员

25、的工作被另一个管理员的工作所覆盖。 在 Windows Server2008 和 GPMC 中，您可以将编辑和链接 GPO 的权限委派给不同的管理员组。如果未确定适合的 GPO 控制步骤，委派的管理员可能具有重复的 GPO 设置，或者创建的 GPO 与另一个管理员设置的策略设置发生冲突或不符合企业标准。这些冲突可能会对用户的桌面环境产生不利影响，增加拨打的支持电话次数并且更难解决 GPO 问题。确定互操作性问题在混合环境中规划组策略实现时，您需要考虑可能出现的互操作性问题。Windows Server2008 和 Windows Vista 包含很多新组策略设置，Windows Server2

26、003 或 WindowsXP 中不使用这些设置。不过，即使组织中的客户端和服务器计算机主要运行的是 Windows Server2003 或 WindowsXP，您也应该使用 Windows Server2008 中包含的 GPMC，因为它包含最新的策略设置。如果将包含较新策略设置的 GPO 应用于不支持该策略设置的以前操作系统，并不会出现问题。运行 Windows Server2003 或 WindowsXP Professional 的目标计算机直接忽略仅在 Windows Server2008 或 Windows Vista 中支持的策略设置。若要确定将哪些策略设置应用于哪些操作系统，

27、请在策略设置说明中查看“支持的平台”信息，它说明了哪些操作系统可以读取该策略设置。确定何时应用组策略更改由于对 GPO 的更改必须先复制到相应的域控制器中，因此可能不会在用户桌面上立即应用对组策略设置的更改。此外，客户端使用 90 分钟刷新周期（随机偏差最多约为 30 分钟）来检索组策略。因此，很少会立即应用更改的组策略设置。GPO 组件存储在 Active Directory 和域控制器的 Sysvol 文件夹中。将 GPO 复制到其他域控制器是由两个独立机制完成的： Active Directory 中的复制是由 Active Directory 的内置复制系统控制的。默认情况下，在同一站

28、点的域控制器之间复制时，通常需要不到一分钟的时间。如果您的网络速度比 LAN 慢，此过程可能会较慢。 Sysvol 文件夹复制是由文件复制服务 (FRS) 或分布式文件系统复制 (DFSR) 控制的。在站点中，每 15 分钟进行一次 FRS 复制。如果域控制器位于不同的站点中，则会按设置的间隔根据站点拓扑和复制计划执行复制过程；最低间隔为 15 分钟。 备注如果务必为特定站点中的特定用户或计算机组立即应用更改，您可以连接到与这些对象最接近的域控制器，然后在该域控制器上进行配置更改，以使这些用户最先获得更新的策略设置。 策略刷新间隔刷新组策略的主要机制是启动和登录。还会定期按其他间隔刷新组策略。

29、策略刷新间隔影响应用 GPO 更改的速度。默认情况下，运行 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 的客户端和服务器每 90 分钟检查一次 GPO 更改，随机偏差最多为 30 分钟。运行 Windows Server2008 或 Windows Server2003 的域控制器将每 5 分钟检查一次计算机策略更改。可以使用以下某种策略设置更改该轮询频率：“计算机的组策略刷新间隔”、“域控制器组的组策略刷新间隔”或“用户的组策略刷新间隔”。不过，建议不要缩短刷新间隔时间，因为这可能会增加网络通信量并在域控制器

30、上产生额外的负载。触发组策略刷新如有必要，您可以从本地计算机中手动触发组策略刷新，而无需等待执行自动后台刷新。为此，您可以在命令行中键入 gpupdate 以刷新用户或计算机策略设置。无法使用 GPMC 触发组策略刷新。gpupdate 将在运行该命令的本地计算机上触发后台策略刷新。有关 gpupdate 命令的详细信息，请参阅本指南后面的更改组策略刷新间隔。备注某些策略设置（如文件夹重定向和软件应用程序分配）要求用户注销并重新登录，然后这些设置才会生效。只有在重新启动计算机后，才会安装分配给计算机的软件应用程序。 确定与软件安装有关的问题虽然可以使用组策略安装软件应用程序（尤其是小型或中型组

31、织），但您需要确定它是否为最符合组织需要的解决方案。在使用组策略安装软件应用程序时，只有在重新启动计算机或用户登录后，才会安装或更新分配的应用程序。使用 System Center Configuration Manager 2007（以前称为 Systems Management Server (SMS)）部署软件可提供基于组策略的软件部署中没有的企业级功能，例如，基于清单确定目标、状态报告和计划。因此，您可以使用组策略配置桌面和设置系统安全和访问权限，但使用 Configuration Manager 传送软件应用程序。这种方法允许将应用程序安装安排在非核心工作时间进行，从而提供了带宽控制

32、。具体选择哪些工具取决于您的要求、您的环境以及是否需要使用 Configuration Manager 提供的附加功能和安全性。有关 Configuration Manager 的信息，请参阅 System Center Configuration Manager (/fwlink/?LinkId=)（可能为英文网页）。设计组策略模型您的主要目标是，根据业务要求设计 GPO 结构。应牢记组织中的计算机和用户，并确定必须在组织中强制实施的策略设置以及适用于所有用户或计算机的策略设置。还要根据类型、功能或工作角色确定用于配置计算机或用户的策略设置。然后，

33、将这些不同类型的策略设置划分到 GPO 中，并将其链接到相应的 Active Directory 容器。还要牢记组策略继承模型以及确定优先级的方式。默认情况下，较低级别的所有 OU 将继承链接到较高级别 Active Directory 站点、域和 OU 的 GPO 中设置的选项。不过，在较低级别链接的 GPO 可能会覆盖继承的策略。例如，您可能会使用在较高级别链接的 GPO 来分配标准桌面墙纸，但希望使用某种 OU 获取不同的墙纸。为此，您可以将第二个 GPO 链接到该特定较低级别 OU。由于较低级别 GPO 是最后应用的，因此，第二个 GPO 将覆盖域级 GPO，并为该特定较低级别 OU

34、提供一组不同的组策略设置。不过，您可以使用“阻止继承”和“强制”修改这种默认继承行为。以下准则可帮助定制组策略设计以满足组织的需要： 确定是否必须为特定的用户或计算机组强制实施任何策略设置。请创建包含这些策略设置的 GPO，将其链接到相应的站点、域或 OU，然后将这些链接指定为“强制”。通过设置该选项，您可以强制实施较高级别 GPO 的策略设置，以防止较低级别 Active Directory 容器中的 GPO 覆盖这些设置。例如，如果在域级别定义一个特定的 GPO 并指定强制实施该 GPO，该 GPO 包含的策略将应用于该域下面的所有 OU；链接到较低级别 OU 的 GPO 无法覆盖该域组策

35、略。 备注应慎用“强制”和“阻止策略继承”功能。如果经常使用这些功能，可能会导致很难解决策略问题，因为其他 GPO 的管理员不容易弄清楚为什么应用了或未应用某些策略设置。 确定哪些策略设置适用于整个组织，并考虑将这些设置链接到域上。还可以使用 GPMC 复制 GPO 或导入 GPO 策略设置，从而在不同的域中创建相同的 GPO。 将 GPO 链接到 OU 结构（或站点），然后使用安全组有选择地将这些 GPO 应用于特定用户或计算机。 对组织中的计算机类型和用户的角色或工作职能进行分类，将它们划分到 OU 中，创建 GPO 以便根据需要为每个 OU 配置环境，然后将 GPO 链接到这些 OU。

36、准备暂存环境以测试基于组策略的管理策略，然后再将 GPO 部署到生产环境中。应将此阶段视为暂存您的部署。这是一个关键步骤，有助于确保组策略部署满足您的管理目标的要求。本指南后面的暂存组策略部署中介绍了该过程。 定义组策略的应用范围若要定义 GPO 的应用范围，请考虑以下问题： 要将 GPO 链接到什么地方？ 将使用 GPO 上的哪种安全筛选？ 通过使用安全筛选，您可以优化哪些用户和计算机将接收并应用 GPO 中的策略设置。安全组筛选可以确定是将 GPO 统一应用于组、应用于用户还是应用于计算机；无法有选择地对 GPO 中的不同策略设置使用安全组筛选。 将应用哪些 WMI 筛选器？ 通过使用 W

37、MI 筛选器，您可以根据目标计算机的属性动态确定 GPO 作用域。 还要记住将默认继承 GPO，GPO 是累积性的，它影响 Active Directory 容器及其子容器中的所有计算机和用户。其处理顺序如下所示：本地组策略、站点、域和 OU，最后处理的 GPO 将覆盖先前的 GPO。默认继承方法是，评估从离计算机或用户对象最远的 Active Directory 容器开始的组策略。离计算机或用户最近的 Active Directory 容器将覆盖较高级别 Active Directory 容器中设置的组策略，除非为该 GPO 链接设置了“强制（禁止替代）”选项，或者已将“阻止策略继承”策略设

38、置应用于域或 OU。将先处理 LGPO，因此，链接到 Active Directory 容器的 GPO 中的策略设置将覆盖本地策略设置。另一个问题是，虽然可以将多个 GPO 链接到一个 Active Directory 容器上，但需要注意处理优先级。默认情况下，优先处理“组策略对象链接”列表（显示在 GPMC 的“链接的组策略对象”选项卡中）中链接顺序最低的 GPO 链接。不过，如果一个或多个 GPO 链接设置了“强制”选项，则设置为“强制”的最高 GPO 链接优先。简单地说，“强制”是一个链接属性，“阻止策略继承”是一个容器属性。“强制”优先于“阻止策略继承”。此外，还可以使用四种其他方式禁

39、用 GPO 本身的策略设置：可以禁用 GPO，GPO 可以禁用其计算机设置，禁用其用户设置或禁用其所有设置。GPMC 大大简化了这些任务，您可以通过它查看组织中的 GPO 继承，并从某个 MMC 控制台中管理链接。图 2 说明了 GPMC 中显示的组策略继承。备注若要查看到域、站点或 OU 的 GPO 链接的继承和优先级的完整详细信息，您必须具有包含 GPO 链接的站点、域或 OU 以及 GPO 的读取权限。如果您具有站点、域或 OU 的读取访问权限，但没有链接到此处的某个 GPO 的读取访问权限，该 GPO 将显示为“不可访问的 GPO”，您无法读取该 GPO 的名称或其他信息。 确定所需的

40、 GPO 数量所需的 GPO 数量取决于设计方法、环境复杂性、目标以及项目范围。如果某个林中包含多个域或者有多个林，您可能会发现每个域中所需的 GPO 数量是不同的。与较小且比较简单的域相比，支持非常复杂的业务环境的域（具有不同的用户数量）通常需要更多的 GPO。随着支持组织所需的 GPO 数量的增加，组策略管理员的工作量也会有所增加。可以采取一些措施来简化组策略管理。通常，如果某些策略设置应用于一组给定的用户或计算机，并由一组常用的管理员进行管理，则应将其划分到单个 GPO 中。再者，如果不同的用户或计算机组具有相同要求，并且只有几个组需要进行增量更改，请考虑使用链接到 Active Dir

41、ectory 结构中的较高级别的单个 GPO，将这些相同要求应用于所有这些用户或计算机组中。然后，再添加几个额外的 GPO，以便仅在相关 OU 中应用增量更改。可能并非始终能够使用这种方法，这种方法也并非始终有效，因此，您可能需要指定该准则的例外情况。如果是这种情况，请确保对其进行跟踪。备注最多支持使用 999 个 GPO 来处理任一用户或计算机上的 GPO。如果超过最大数，将无法再处理 GPO。此限制仅影响相同应用的 GPO 数量；它不影响可以在域中创建和存储的 GPO 数量。 应考虑到应用于计算机的 GPO 数量会影响启动时间，应用于用户的 GPO 数量会影响登录到网络上所需的时间。链接到

42、用户的 GPO 数量越大（尤其是这些 GPO 中的策略设置数量越大），用户登录时处理这些 GPO 所需的时间就越长。在登录过程中，只要为用户设置了“读取”和“应用组策略”权限，就会应用用户站点、域和 OU 层次结构中的每个 GPO。在 GPMC 中，“读取”和“应用组策略”权限是作为一个单位（称为安全筛选）进行管理的。如果使用安全筛选并删除给定用户或组的“应用组策略”权限，则还会删除读取权限，除非由于某些原因要求该用户具有读取访问权限。（如果使用的是 GPMC，则不必担心这种情况，因为 GPMC 自动执行此操作。）如果未设置“应用组策略”权限，但设置了“读取”权限，GPO 链接到的 OU 层次

43、结构中的任何用户或计算机仍会检查（但不应用）GPO。这种检查过程略微增加登录时间。始终在测试环境中测试组策略解决方案，以确保所定义的策略设置不会过度延长显示登录屏幕所需的时间，并且这些设置符合桌面服务级别协议。在该暂存阶段，使用测试帐户登录以测定几个 GPO 对环境中的对象的实际影响。链接 GPO若要将 GPO 的策略设置应用于用户和计算机，您需要将 GPO 链接到站点、域或 OU。可以使用 GPMC 添加一个或多个到每个站点、域或 OU 的 GPO 链接。请记住，创建和链接 GPO 是一个敏感权限，只应将该权限委派给值得信任且了解组策略的管理员。将 GPO 链接到站点如果将一些策略设置（如某

44、些网络或代理配置设置）应用于特定物理位置中的计算机，则可能只有这些策略设置适于添加到基于站点的策略设置中。由于站点和域是独立的，因此，站点中的计算机可能需要跨域将 GPO 链接到站点上。在这种情况下，请确保连接状况良好。如果策略设置并不明确对应于单个站点中的计算机，则最好将 GPO 分配给域或 OU 结构，而不是分配给站点。将 GPO 链接到域如果要将 GPO 应用于域中的所有用户和计算机，请将 GPO 链接到该域上。例如，安全管理员通常实现基于域的 GPO 以强制实施企业标准。他们可能需要这些 GPO 并启用 GPMC“强制”选项，以确保其他管理员无法覆盖这些策略设置。重要事项如果需要修改默

45、认域策略 GPO 中包含的策略设置，我们建议您创建新的 GPO 实现此目的，将其链接到域上，然后设置“强制”选项。通常，不要修改默认域策略 GPO 或默认域控制器策略 GPO。 顾名思义，默认域策略 GPO 也会链接到域上。默认域策略 GPO 是在安装域中的第一个域控制器以及管理员第一次登录时创建的。该 GPO 包含域范围的帐户策略设置、密码策略、帐户锁定策略以及 Kerberos 策略，它是由域中的域控制器强制实施的。所有域控制器从默认域策略 GPO 中检索这些帐户策略设置的值。要将帐户策略应用于域帐户，必须在链接到域的 GPO 中部署这些策略设置。如果在较低级别（如 OU）设置帐户策略设置

46、，这些策略设置仅影响该 OU 和子 OU 中的计算机上的本地帐户（非域帐户）。在对默认 GPO 进行任何更改之前，请确保使用 GPMC 备份 GPO。如果默认 GPO 更改出现问题，并且无法恢复到以前或初始状态，您可以使用下一节中介绍的 Dcgpofix.exe 工具重新创建初始状态的默认策略。或者，如果使用的是 AGPM，将保留所做的任何更改的记录，因此，您可以恢复到以前或初始状态。还原默认域策略 GPO 和默认域控制器 GPODcgpofix.exe 是一个命令行工具，在发生灾难而无法使用 GPMC 时，可以使用该工具将默认域策略 GPO 和默认域控制器 GPO 完全还原为原始状态。Dcg

47、pofix.exe 是 Windows Server2008 和 Windows Server2003 附带提供的，它位于 C:Windowssystem32 文件夹中。Dcgpofix.exe 仅还原生成默认 GPO 时其中包含的策略设置。Dcgpofix.exe 不还原管理员创建的其他 GPO；它仅用于默认 GPO 灾难恢复。备注Dcgpofix.exe 不保存通过应用程序（如 Configuration Manager 或 Exchange）创建的任何信息。 Dcgpofix.exe 语法如下所示： DcGPOFix /ignoreschema /Target: Domain | DC

48、| BOTH表 1 说明了在使用 Dcgpofix.exe 工具时可以使用的命令行选项。表 1 Dcgpofix.exe 命令行选项选项选项说明/ignoreschema默认情况下，Windows Server2008 附带提供的 Dcgpofix 版本仅适用于 Windows Server2008 域。此选项将绕过架构检查，以允许其在非 Windows Server2008 域上工作。/target:DOMAIN 或指定应重新创建默认域策略。/target:DC 或指定应重新创建默认域控制器策略。/target:BOTH指定应重新创建默认域策略和默认域控制器策略。有关 Dcgpofix.ex

49、e 的详细信息，请参阅 Dcgpofix.exe (/fwlink/?LinkId=)（可能为英文网页）。将 GPO 链接到 OU 结构GPO 通常链接到 OU 结构，因为这可提供最大的灵活性和可管理性。例如： 您可以将用户和计算机移入或移出 OU。 如有必要，可以重新排列 OU。 您可以使用一些具有相同管理要求的较小用户组。 您可以根据管理用户和计算机的管理员对其进行组织。 通过将 GPO 划分为面向用户的 GPO 和面向计算机的 GPO，有助于使组策略环境更易于理解，并且可以简化故障排除过程。不过，要将用户和计算机组件拆分为单独的 GPO，您可能

50、需要使用更多的 GPO。一种补救措施是，配置“GPO 状态”设置以禁用不应用的 GPO 用户或计算机配置部分，并缩短应用给定 GPO 所需的时间。更改 GPO 链接顺序在每个站点、域和 OU 中，链接顺序控制应用 GPO 的顺序。若要更改链接优先级，您可以更改链接顺序，即，将列表中的每个链接向上或向下移动到相应位置。对于给定站点、域或 OU，编号最小的链接具有最高的优先级。例如，如果添加 6 个 GPO 链接，并随后决定要为添加的最后一个链接指定最高优先级，您可以调整 GPO 链接的链接顺序，以使该链接的链接顺序为 1。若要更改站点、域或 OU 的 GPO 链接的链接顺序，请使用 GPMC。使

51、用安全筛选将 GPO 应用于选定的组默认情况下，GPO 影响链接的站点、域或 OU 中包含的所有用户和计算机。不过，您可以在 GPO 上使用安全筛选以修改其效果：通过修改 GPO 权限仅将其应用于特定用户、Active Directory 安全组成员或计算机。通过将安全筛选和 OU 中的相应位置相结合，您可以将任何一组给定的用户或计算机作为目标。要将 GPO 应用于给定用户、安全组或计算机，该用户、组或计算机必须具有 GPO 的“读取”和“应用组策略”权限。默认情况下，“经过身份验证的用户”将“读取”和“应用组策略”权限设置为“允许”。这两个权限是作为一个单位使用 GPMC 中的安全筛选进行管

52、理的。若要设置给定 GPO 的权限，以便仅将 GPO 应用于特定用户、安全组或计算机（而不是应用于所有经过身份验证的用户），请在 GPMC 控制台树中包含该 GPO 的林和域中展开“组策略对象”。单击该 GPO，然后在细节窗格的“作用域”选项卡上的“安全筛选”下面，删除“经过身份验证的用户”，单击“添加”，然后添加新的用户、组或计算机。例如，如果仅希望 OU 中的一部分用户接收 GPO，请从“安全筛选”中删除“经过身份验证的用户”。然后，添加一个具有安全筛选权限的新安全组，其中包含要接收 GPO 的那些用户。仅位于 GPO 链接到的站点、域或 OU 中的该组成员能够接收 GPO；位于其他站点、

53、域或 OU 中的组成员不会接收 GPO。您可能需要禁止将某些组策略设置应用于 Administrators 组成员。若要完成此操作，您可以执行以下操作之一： 为管理员创建一个单独的 OU，并将该 OU 放在应用了大多数管理设置的层次结构以外。这样，管理员就不会接收为管理的用户提供的大多数策略设置。如果该单独 OU 是域的直接子域，则管理员只能接收链接到域或站点的 GPO 中的策略设置。通常，仅在此处链接广泛适用的常规策略设置，因此，让管理员接收这些策略设置是可以接受的。如果不希望管理员接收这些设置，您可以在管理员的 OU 上设置“阻止继承”选项。 仅在执行管理任务时让管理员使用单独的管理帐户。

54、在不执行管理任务时，仍会对管理员进行管理。 在 GPMC 中使用安全筛选，以便只有非管理员能够接收策略设置。 应用 WMI 筛选器可以使用 WMI 筛选器来控制如何应用 GPO。每个 GPO 可以链接到一个 WMI 筛选器上；但同一 WMI 筛选器可以链接到多个 GPO 上。在将 WMI 筛选器链接到 GPO 之前，您必须先创建该筛选器。在处理组策略期间，将在目标计算机上评估 WMI 筛选器。只有在 WMI 筛选器评估结果为 true 时，才会应用 GPO。在基于 Windows2000 的计算机上，将忽略 WMI 筛选器并始终应用 GPO。备注我们建议您将 WMI 筛选器主要用于例外情况管理

55、。这些筛选器提供了一个强大的解决方案，以便将 GPO 应用于特定用户和计算机，但由于每次处理组策略时都会评估 WMI 筛选器，这会增加启动和登录时间。另外，WMI 筛选器没有超时。因此，只有在必要时才能使用这些筛选器。 通过使用 GPMC，您可以为 WMI 筛选器执行下列操作：创建和删除、链接和取消链接、复制和粘贴、导入和导出以及查看和编辑属性。只有在域中至少有一个域控制器运行的是 Windows Server2008 或 Windows Server2003，或者在该域中使用 /Domainprep 选项运行了 ADPrep 时，才能使用 WMI 筛选器。否则，GPO 的“作用域”选项卡上的

56、“WMI 筛选”部分以及该域下面的“WMI 筛选器”节点不存在。请参阅图 3 以帮助您确定本节中介绍的内容。设置 WMI 筛选选项WMI 将显示目标计算机中的管理数据。该数据可能包括硬件和软件清单、设置以及配置信息，其中包括注册表、驱动程序、文件系统、Active Directory、SNMP、Windows 安装程序以及网络中的数据。管理员可以创建 WMI 筛选器以控制是否应用 GPO，这些筛选器包含一个或多个基于此数据的查询。将在目标计算机上评估筛选器。如果 WMI 筛选器评估结果为 true，则会将 GPO 应用于该目标计算机；如果筛选器评估结果为 false，则不会应用 GPO。在基于

57、 Windows2000 的客户端或服务器目标上，将忽略 WMI 筛选器并始终应用 GPO。如果没有任何 WMI 筛选器，则始终应用 GPO。可以使用 WMI 筛选器，根据各种对象和其他参数来确定组策略设置的目标。表 2 说明了可以为 WMI 筛选器指定的示例查询条件。表 2 示例 WMI 筛选器查询的 WMI 数据示例查询条件服务运行 DHCP 服务的计算机注册表填充了指定注册表项的计算机Windows 事件日志最后五分钟报告审核事件的计算机操作系统版本运行 Windows Server2003 和更高版本的计算机硬件清单具有 Pentium III 处理器的计算机硬件配置在级别 3 启用网络适配器的计算机服务关联具有任何依赖于 SQL 服务的服务的计算机WMI 筛选器包含一个或多个 WMI 查询语言 (WQL) 查询。WMI 筛选器应用于 GPO 中的每个策略设置，因此，如果管理员要为不同策略设置指定不同的筛选要求，则必须创