Windows Server 2008组策略详解

组策略详解

更新时间: 2009年1月 应用到: Windows Server 2008

可以使用 Windows Server 2008 组策略来管理计算机和用户组配置，包括以下各项所对应的选项：基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。Windows Server 2008 中新增的组策略首选项是二十多个组策略扩展，用于扩展组策略对象 (GPO) 中的可配置策略设置的范围。与组策略设置相比，首选项是非强制性的。用户可以在初始部署后更改首选项。有关组策略首选项的信息，请参阅组策略首选项概述（可能为英文网页）。

通过使用组策略，您可以大大降低组织的总拥有成本。各种各样的因素可能会使组策略设计变得非常复杂，例如，大量可用的策略设置、多个策略之间的交互以及继承选项。通过仔细规划、设计、测试并部署基于组织业务要求的解决方案，您可以提供组织所需的标准化功能、安全性以及管理控制。

组策略概述

组策略在运行 Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP 的计算机上启用基于 Active Directory 的用户和计算机设置更改和配置管理。除了使用组策略为用户和计算机组定义配置以外，还可以配置很多服务器特定的操作和安全设置，以便使用组策略帮助管理服务器计算机。

您创建的组策略设置包含在 GPO 中。若要创建和编辑 GPO，请使用组策略管理控制台 (GPMC)。通过使用 GPMC 将 GPO 链接到选定 Active Directory 站点、域和组织单位 (OU)，您可以将 GPO 中的策略设置应用于这些 Active Directory 对象中的用户和计算机。OU 是可以分配组策略设置的最低级别的 Active Directory 容器。

为指导您的组策略设计决策，您需要清楚地了解组织的业务需求、服务级别协议以及安全、网络和 IT 要求。通过分析当前的环境和用户要求，使用组策略定义要实现的业务目标，以及按照这些准则设计组策略基础结构，您可以确定最符合组织需要的方法。

用于实现组策略解决方案的过程

用于实现组策略解决方案的过程涉及规划、设计、部署和维护解决方案。

在规划组策略设计时，请确保设计 OU 结构以简化组策略管理并符合服务级别协议。应制订使用 GPO 的正确操作步骤。确保您了解组策略互操作性问题，并确定是否打算使用组策略进行软件部署。 在设计阶段：

?

定义组策略的应用范围。

? ? ?

确定适用于所有企业用户的策略设置。 基于角色和位置对用户和计算机进行分类。 基于用户和计算机要求规划桌面配置。

规划完善的设计有助于确保成功部署组策略。

部署阶段从测试环境中的暂存过程开始。该过程包括：

? ? ? ? ? ?

创建标准桌面配置。 筛选 GPO 的应用范围。

指定默认组策略继承的例外情况。 委派组策略管理。

使用组策略建模评估有效的策略设置。 使用组策略结果评估这些结果。

暂存过程至关重要。应在测试环境中全面测试组策略实现，然后再将其部署到生产环境中。完成暂存和测试后，请使用 GPMC 将 GPO 迁移到生产环境中。应考虑循环反复的组策略实现：并非部署 100 种新组策略设置，而是最初暂存并仅部署几种策略设置以验证组策略基础结构是否正常工作。 最后，制订使用组策略以及通过 GPMC 解决 GPO 问题的控制过程以准备维护组策略。 备注

Microsoft 高级组策略管理 (AGPM) 通过提供全面的更改控制和增强的 GPO 管理来扩展 GPMC 功能。有关 AGPM 的详细信息，请访问 Microsoft 桌面优化包 (MDOP) 网站 (http://go.microsoft.com/fwlink/?LinkId=100757)（可能为英文网页）。

在设计组策略解决方案之前需要执行的操作

在设计组策略实现之前，您需要了解当前的组织环境并需要在以下几个方面执行预备步骤：

?

Active Directory：确保林中所有域的 Active Directory OU 设计都支持应用组策略。有关详细信息，请参阅本指南后面部分中的设计支持组策略的 OU 结构。

网络：确保您的网络符合更改和配置管理技术的要求。例如，由于组策略使用完全限定的域名，因此，您必须在林中运行目录名称服务 (DNS) 才能正确处理组策略。

安全：获取域中当前使用的安全组的列表。在委派组织单位管理责任以及创建需要安全组筛选的设计时，应与安全管理员紧密合作。有关筛选 GPO 的详细信息，请参阅本指南后面部分中的定义组策略的应用范围中的“将 GPO 应用于选定的组（筛选）”。

?

?

?

IT 要求：获取域中的管理所有者以及企业的域和 OU 管理标准的列表。这样，您便可以制订正确的委派计划并确保正确继承组策略。

备注

组策略取决于网络、安全和 Active Directory；因此，了解这些技术是至关重要的。强烈建议先熟悉这些概念，然后再实现组策略。

组策略的管理要求

若要使用组策略，您的组织必须使用 Active Directory，并且目标桌面和服务器计算机必须运行 Windows Server 2008、Windows Vista、Windows Server 2003 或 Windows XP。

默认情况下，只有 Domain Admins 或 Enterprise Admins 组的成员能够创建和链接 GPO，但您可以将此任务委派给其他用户。有关组策略管理要求的详细信息，请参阅本指南后面部分中的委派组策略管理。

GPMC

GPMC 跨组织的多个林以统一的方式管理组策略的各个方面。可以使用 GPMC 管理网络中的所有 GPO、Windows Management Instrumentation (WMI) 筛选器以及与组策略有关的权限。可以将 GPMC 视为主要的组策略访问点，GPMC 界面中提供了所有组策略管理工具。

GPMC 包含一组用于管理组策略的可编脚本界面以及一个基于 MMC 的用户界面 (UI)。Windows Server 2008 附带提供了 32 位和 64 位版本的 GPMC。 GPMC 提供了以下功能：

? ? ? ? ? ?

导入和导出 GPO。 复制和粘贴 GPO。 备份和还原 GPO。 搜索现有的 GPO。 报告功能。

组策略建模。用于模拟策略的结果集 (RsoP) 数据以规划组策略部署，然后再在生产环境中实现组策略。

组策略结果。用于获取 RSoP 数据以查看 GPO 交互和解决组策略部署问题。

支持迁移表以便于跨域和林导入和复制 GPO。迁移表是一个文件，可以将对源 GPO 中的用户、组、计算机和通用命名约定 (UNC) 路径的引用映射到目标 GPO 中的新值。

? ?

? ?

在 HTML 报告中报告 GPO 设置和 RSoP 数据，您可以保存和打印这些报告。

可编脚本的界面，可以在其中执行 GPMC 中提供的所有操作。不过，无法使用脚本编辑 GPO 中的各个策略设置。

备注

Windows Server 2008 不包含 GPMC 早期版本提供的 GPMC 示例脚本。不过，您可以从组策略管理控制台示例脚本（可能为英文网页）中下载适用于 Windows Server 2008 的 GPMC 示例脚本。有关使用 GPMC 示例脚本的详细信息，请参阅本指南后面部分中的使用脚本管理组策略。 使用 GPMC 可大大提高组策略部署的可管理性；由于它提供了改进且简化的组策略管理界面，您可以充分利用组策略的强大功能。

设计支持组策略的 OU 结构

在 Active Directory 环境中，可通过将 GPO 链接到站点、域或 OU 来分配组策略设置。通常，大多数 GPO 是在 OU 级别分配的，因此，请确保 OU 结构支持基于组策略的客户端管理策略。您还可以在域级别应用某些组策略设置，尤其是密码策略等设置。只有很少的策略设置是在站点级别应用的。设计完善的 OU 结构可反映组织的管理结构并利用 GPO 继承，这种结构可以简化组策略的应用过程。例如，设计完善的 OU 结构可防止复制某些 GPO，以便将这些 GPO 应用于组织的不同部分。如果可能，请创建 OU 以委派管理权限和帮助实现组策略。

OU 设计要求综合考虑独立于组策略需求委派管理权限的要求以及组策略需应用范围需求。以下 OU 设计建议解决了委派和作用域问题：

?

委派管理权限：可以在域中创建 OU，并将对特定 OU 的管理控制委派给特定用户或组。OU 结构可能会受委派管理权限的要求的影响。

应用组策略：在设计 OU 结构时，应主要考虑要管理的对象。您可能需要创建一种结构，按靠近顶级的工作站、服务器和用户组织 OU。根据您的管理模型，您可以将基于地理位置的 OU 视为其他 OU 的子或父 OU，然后为每个位置复制这种结构以避免在不同的站点中进行复制。只有在以下情况下才能在下面添加 OU：这种做可使组策略应用更清晰，或者您需要在这些级别下面委派管理。

?

通过使用 OU 包含同类对象（如用户或计算机对象，但不能同时包含两者）的结构，您可以轻松禁用 GPO 中不应用于特定类型对象的部分。图 1 中说明的 OU 设计方法降低了复杂性，并提高了组策略的应用速度。请记住，链接到高层 OU 结构的 GPO 是默认继承的，因而不需要将 GPO 复制或链接到多个容器。

在设计 Active Directory 结构时，最重要的注意事项是简化管理和委派过程。

将组策略应用于新用户和计算机帐户

默认情况下，新用户和计算机帐户是在 CN=Users 和 CN=Computers 容器中创建的。无法将组策略直接应用于这些容器，但它们会继承链接到域的 GPO。若要将组策略应用于默认 Users 和 Computers 容器，您必须使用新的 Redirusr.exe 和 Redircomp.exe 工具。

Redirusr.exe（用于用户帐户）和 Redircomp.exe（用于计算机帐户）是 Windows Server 2008 附带提供的两个工具。可以使用这些工具更改新用户和计算机帐户的默认创建位置，以便更轻松地为新创建的用户和计算机对象直接指定 GPO 作用域。这些工具位于 %windir%\\system32 中包含 Active Directory 服务角色的服务器上。

通过为每个域运行一次 Redirusr.exe 和 Redircomp.exe，域管理员可以指定在创建所有新用户和计算机帐户时将其放置到的 OU。这样，管理员就可以使用组策略管理这些未分配的帐户，然后再将其分配给最终放置这些帐户的 OU。请考虑使用组策略提高新用户和计算机帐户的安全性，以限制用于这些帐户的 OU。

有关重定向用户和计算机帐户的详细信息，请参阅 Microsoft 知识库中的文章 324949“在 Windows Server 2003 域中重定向用户和计算机容

器”(http://go.microsoft.com/fwlink/?LinkId=100759)。

站点和复制注意事项

在确定适合的策略设置时，请注意 Active Directory 的物理特性，其中包括站点的地理位置、域控制器的物理位置以及复制速度。

GPO 存储在 Active Directory 和每个域控制器上的 Sysvol 文件夹中。这些位置具有不同的复制机制。如果怀疑可能未在域控制器中复制 GPO，请使用 Resource Kit 工具组策略对象 (Gpotool.exe) 帮助诊断问题。

有关 Gpotool.exe 的详细信息，请参阅“Microsoft 帮助和支

持”(http://go.microsoft.com/fwlink/?LinkId=109283)。若要下载 Windows Server 2008 Resource Kit 工具，请参阅 Microsoft 下载中心上的“Windows Server 2008 Resource Kit 工具”(http://go.microsoft.com/fwlink/?LinkId=4544)（可能为英文网页）。

如果出现慢速链接问题（通常是到远程站点的客户端的链接），问题可能出在域控制器位置上。如果客户端和验证域控制器之间的网络链接速度低于默认慢速链接阈值 500 千比特/秒，则仅默认应用管理模板（基于注册表）设置、新无线策略扩展和安全设置。不会默认应用所有其他组策略设置。不过，您可以使用组策略修改此行为。

可以使用组策略慢速链接检测策略，为 GPO 中的用户和计算机内容更改慢速链接阈值。如有必要，您还可以调整在慢速链接阈值以下处理的组策略扩展。甚至可以根据需要，将本地域控制器放在远程位置以满足您的管理需要。

符合服务级别协议

某些 IT 组使用服务级别协议来指定应运行的服务。例如，服务级别协议可能规定了计算机启动和登录所需的最长时间、在用户登录多长时间后才能使用计算机，等等。服务级别协议通常会设置服务响应标准。例如，服务级别协议可能定义了允许用户接收新软件应用程序或访问以前禁用的功能的时间长度。可能会影响服务响应的问题有：站点和复制拓扑、域控制器位置以及组策略管理员位置。

若要缩短处理 GPO 所需的时间，请考虑使用下面的某种策略：

?

如果 GPO 仅包含计算机配置或用户配置设置，请禁用不适用的策略设置部分。在执行此操作后，目标计算机不会扫描禁用的 GPO 部分，从而缩短了处理时间。有关禁用 GPO 的某些部分的信息，请参阅本指南后面的禁用 GPO 中的用户配置或计算机配置设置。

如果可能，请将一些较小的 GPO 合并为一个 GPO。这可减少应用于用户或计算机的 GPO 数量。通过将较少的 GPO 应用于用户或计算机，可以缩短启动或登录时间，并且可以更轻松地解决策略结构问题。

对 GPO 所做的更改将复制到域控制器中，并导致将新的内容下载到客户端或目标计算机上。如果需要经常更改很大或很复杂的 GPO，请考虑创建一个新 GPO，其中仅包含定期更新的部分。请测试这种方法以确定最大限度减少对网络的影响和缩短目标计算机的处理时间能带来多大好处，而使 GPO 结构变得更复杂而容易出现故障的可能性有多大，是否利大于弊。 您应该实现组策略更改控制过程，并记录对 GPO 所做的任何更改。这可能有助于解决和纠正出现的 GPO 问题。这种做还有助于满足要求保留日志的服务级别协议的要求。请考虑使用 AGPM 来实现 GPO 更改控制过程和管理 GPO。

?

?

?

定义组策略目标

在规划组策略部署时，请确定具体的业务要求以及组策略如何帮助实现这些要求。然后，您可以确定最适合的策略设置和配置选项以满足您的要求。

每个组策略实现的目标因用户位置、工作需要、计算机体验和企业安全要求而异。在某些情况下，您可能会从用户的计算机中删除一些功能以防止其修改系统配置文件（这可能会中断计算机运行），或者删除并非用户工作时必不可少的应用程序。在其他情况下，您可能会使用组策略配置操作系统选项、指定 Internet Explorer 设置或制订安全策略。

清楚地了解当前的组织环境和要求有助于设计出最符合组织需要的计划。应收集有关用户类型（操作工人和数据输入员）以及现有和计划的计算机配置的的信息，这一点至关重要。您可以根据这些信息来定义组策略目标。

评估现有的企业行为准则

为帮助您确定要使用的适合组策略设置，请先评估企业环境中的当前行为准则，其中包括如下因素：

? ? ? ? ? ? ? ?

各种类型的用户的用户要求。

当前 IT 角色，如划分到不同管理员组的各种管理任务。 现有的企业安全策略。

服务器和客户端计算机的其他安全要求。 软件分发模型。 网络配置。

数据存储位置和步骤。 当前的用户和计算机管理。

定义组策略目标

接下来，请确定以下内容（作为定义组策略目标的一部分）：

? ? ?

每个 GPO 的用途。

每个 GPO 的所有者 — 请求策略设置并负责进行维护的人。 要使用的 GPO 数量。

? ? ? ? ? ? ?

要链接每个 GPO 的相应容器（站点、域或 OU）。

每个 GPO 中包含的策略设置类型以及用户和计算机的相应策略设置。 何时设置组策略默认处理顺序的例外情况。 何时设置组策略的筛选选项。 要安装的软件应用程序及其位置。 用于重定向文件夹的网络共享。

要运行的登录、注销、启动和关机脚本的位置

规划持续的组策略管理

在设计和实现组策略解决方案时，规划持续的组策略管理也是非常重要的。通过确定管理步骤以跟踪和管理 GPO，可以确保按预定方式实现所有更改。 若要简化和控制持续的组策略管理，我们建议您：

?

始终使用以下预部署过程暂存组策略部署：

o o o

使用组策略建模了解新 GPO 如何与现有 GPO 进行交互。 在模拟生产环境的测试环境中部署新 GPO。

使用组策略结果了解在测试环境中实际应用的 GPO 设置。

? ? ?

使用 GPMC 定期备份 GPO。 使用 GPMC 在组织中管理组策略。

除非必要，否则不要修改默认域策略或默认域控制器策略。相反，应在域级别创建新的 GPO，并对其进行设置以覆盖默认策略设置。

为 GPO 定义有意义的命名约定，以清楚地说明每个 GPO 的用途。

仅为每个 GPO 委派一个管理员。这可防止一个管理员的工作被另一个管理员的工作所覆盖。

? ?

在 Windows Server 2008 和 GPMC 中，您可以将编辑和链接 GPO 的权限委派给不同的管理员组。

如果未确定适合的 GPO 控制步骤，委派的管理员可能具有重复的 GPO 设置，或者创建的 GPO 与另一个管理员设置的策略设置发生冲突或不符合企业标准。这些冲突可能会对用户的桌面环境产生不利影响，增加拨打的支持电话次数并且更难解决 GPO 问题。

确定互操作性问题

在混合环境中规划组策略实现时，您需要考虑可能出现的互操作性问题。Windows Server 2008 和 Windows Vista 包含很多新组策略设置，Windows Server 2003 或 Windows XP 中不使用这些设置。不过，即使组织中的客户端和服务器计算机主要运行的是 Windows Server 2003 或 Windows XP，您也应该使用 Windows Server 2008 中包含的 GPMC，因为它包含最新的策略设置。如果将包含较新策略设置的 GPO 应用于不支持该策略设置的以前操作系统，并不会出现问题。

运行 Windows Server 2003 或 Windows XP Professional 的目标计算机直接忽略仅在 Windows Server 2008 或 Windows Vista 中支持的策略设置。若要确定将哪些策略设置应用于哪些操作系统，请在策略设置说明中查看“支持的平台”信息，它说明了哪些操作系统可以读取该策略设置。

确定何时应用组策略更改

由于对 GPO 的更改必须先复制到相应的域控制器中，因此可能不会在用户桌面上立即应用对组策略设置的更改。此外，客户端使用 90 分钟刷新周期（随机偏差最多约为 30 分钟）来检索组策略。因此，很少会立即应用更改的组策略设置。GPO 组件存储在 Active Directory 和域控制器的 Sysvol 文件夹中。将 GPO 复制到其他域控制器是由两个独立机制完成的：

?

Active Directory 中的复制是由 Active Directory 的内置复制系统控制的。默认情况下，在同一站点的域控制器之间复制时，通常需要不到一分钟的时间。如果您的网络速度比 LAN 慢，此过程可能会较慢。

Sysvol 文件夹复制是由文件复制服务 (FRS) 或分布式文件系统复制 (DFSR) 控制的。在站点中，每 15 分钟进行一次 FRS 复制。如果域控制器位于不同的站点中，则会按设置的间隔根据站点拓扑和复制计划执行复制过程；最低间隔为 15 分钟。

?

备注

如果务必为特定站点中的特定用户或计算机组立即应用更改，您可以连接到与这些对象最接近的域控制器，然后在该域控制器上进行配置更改，以使这些用户最先获得更新的策略设置。

策略刷新间隔

刷新组策略的主要机制是启动和登录。还会定期按其他间隔刷新组策略。策略刷新间隔影响应用 GPO 更改的速度。默认情况下，运行 Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP 的客户端和服务器每 90 分钟检查一次 GPO 更改，随机偏差最多为 30 分钟。 运行 Windows Server 2008 或 Windows Server 2003 的域控制器将每 5 分钟检查一次计算机策略更改。可以使用以下某种策略设置更改该轮询频率：“计算机的组策略刷新间隔”、“域控制器组的组策略刷新间隔”或“用户的组策略刷新间隔”。不过，建议不要缩短刷新间隔时间，因为这可能会增加网络通信量并在域控制器上产生额外的负载。

触发组策略刷新

如有必要，您可以从本地计算机中手动触发组策略刷新，而无需等待执行自动后台刷新。为此，您可以在命令行中键入 gpupdate 以刷新用户或计算机策略设置。无法使用 GPMC 触发组策略刷新。gpupdate 将在运行该命令的本地计算机上触发后台策略刷新。

有关 gpupdate 命令的详细信息，请参阅本指南后面的更改组策略刷新间隔。 备注

某些策略设置（如文件夹重定向和软件应用程序分配）要求用户注销并重新登录，然后这些设置才会生效。只有在重新启动计算机后，才会安装分配给计算机的软件应用程序。

确定与软件安装有关的问题

虽然可以使用组策略安装软件应用程序（尤其是小型或中型组织），但您需要确定它是否为最符合组织需要的解决方案。在使用组策略安装软件应用程序时，只有在重新启动计算机或用户登录后，才会安装或更新分配的应用程序。

使用 System Center Configuration Manager 2007（以前称为 Systems Management Server (SMS)）部署软件可提供基于组策略的软件部署中没有的企业级功能，例如，基于清单确定目标、状态报告和计划。因此，您可以使用组策略配置桌面和设置系统安全和访问权限，但使用 Configuration Manager 传送软件应用程序。这种方法允许将应用程序安装安排在非核心工作时间进行，从而提供了带宽控制。

具体选择哪些工具取决于您的要求、您的环境以及是否需要使用 Configuration Manager 提供的附加功能和安全性。有关 Configuration Manager 的信息，请参阅 System Center Configuration Manager (http://go.microsoft.com/fwlink/?LinkId=109285)（可能为英文网页）。

设计组策略模型

您的主要目标是，根据业务要求设计 GPO 结构。应牢记组织中的计算机和用户，并确定必须在组织中强制实施的策略设置以及适用于所有用户或计算机的策略设置。还要根据类型、功能或工作角色确定用于配置计算机或用户的策略设置。然后，将这些不同类型的策略设置划分到 GPO 中，并将其链接到相应的 Active Directory 容器。

还要牢记组策略继承模型以及确定优先级的方式。默认情况下，较低级别的所有 OU 将继承链接到较高级别 Active Directory 站点、域和 OU 的 GPO 中设置的选项。不过，在较低级别链接的 GPO 可能会覆盖继承的策略。

例如，您可能会使用在较高级别链接的 GPO 来分配标准桌面墙纸，但希望使用某种 OU 获取不同的墙纸。为此，您可以将第二个 GPO 链接到该特定较低级别 OU。由于较低级别 GPO 是最后应用的，因此，第二个 GPO 将覆盖域级 GPO，并为该特定较低级别 OU 提供一组不同的组策略设置。不过，您可以使用“阻止继承”和“强制”修改这种默认继承行为。 以下准则可帮助定制组策略设计以满足组织的需要：

?

确定是否必须为特定的用户或计算机组强制实施任何策略设置。请创建包含这些策略设置的 GPO，将其链接到相应的站点、域或 OU，然后将这些链接指定为“强制”。通过设置该选项，您可以强制实施较高级别 GPO 的策略设置，以防止较低级别 Active Directory 容器中的 GPO 覆盖这些设置。例如，如果在域级别定义一个特定的 GPO 并指定强制实施该 GPO，该 GPO 包含的策略将应用于该域下面的所有 OU；链接到较低级别 OU 的 GPO 无法覆盖该域组策略。

备注

应慎用“强制”和“阻止策略继承”功能。如果经常使用这些功能，可能会导致很难解决策略问题，因为其他 GPO 的管理员不容易弄清楚为什么应用了或未应用某些策略设置。

?

确定哪些策略设置适用于整个组织，并考虑将这些设置链接到域上。还可以使用 GPMC 复制 GPO 或导入 GPO 策略设置，从而在不同的域中创建相同的 GPO。

将 GPO 链接到 OU 结构（或站点），然后使用安全组有选择地将这些 GPO 应用于特定用户或计算机。

对组织中的计算机类型和用户的角色或工作职能进行分类，将它们划分到 OU 中，创建 GPO 以便根据需要为每个 OU 配置环境，然后将 GPO 链接到这些 OU。

准备暂存环境以测试基于组策略的管理策略，然后再将 GPO 部署到生产环境中。应将此阶段视为暂存您的部署。这是一个关键步骤，有助于确保组策略部署满足您的管理目标的要求。本指南后面的暂存组策略部署中介绍了该过程。

?

?

?

定义组策略的应用范围

若要定义 GPO 的应用范围，请考虑以下问题：

? ?

要将 GPO 链接到什么地方？

将使用 GPO 上的哪种安全筛选？

通过使用安全筛选，您可以优化哪些用户和计算机将接收并应用 GPO 中的策略设置。安全组筛选可以确定是将 GPO 统一应用于组、应用于用户还是应用于计算机；无法有选择地对 GPO 中的不同策略设置使用安全组筛选。

将应用哪些 WMI 筛选器？

通过使用 WMI 筛选器，您可以根据目标计算机的属性动态确定 GPO 作用域。

?

还要记住将默认继承 GPO，GPO 是累积性的，它影响 Active Directory 容器及其子容器中的所有计算机和用户。其处理顺序如下所示：本地组策略、站点、域和 OU，最后处理的 GPO 将覆盖先前的 GPO。默认继承方法是，评估从离计算机或用户对象最远的 Active Directory 容器开始的组策略。离计算机或用户最近的 Active Directory 容器将覆盖较高级别 Active Directory 容器中设置的组策略，除非为该 GPO 链接设置了“强制（禁止替代）”选项，或者已将“阻止策略继承”

策略设置应用于域或 OU。将先处理 LGPO，因此，链接到 Active Directory 容器的 GPO 中的策略设置将覆盖本地策略设置。

另一个问题是，虽然可以将多个 GPO 链接到一个 Active Directory 容器上，但需要注意处理优先级。默认情况下，优先处理“组策略对象链接”列表（显示在 GPMC 的“链接的组策略对象”选项卡中）中链接顺序最低的 GPO 链接。不过，如果一个或多个 GPO 链接设置了“强制”选项，则设置为“强制”的最高 GPO 链接优先。

简单地说，“强制”是一个链接属性，“阻止策略继承”是一个容器属性。“强制”优先于“阻止策略继承”。此外，还可以使用四种其他方式禁用 GPO 本身的策略设置：可以禁用 GPO，GPO 可以禁用其计算机设置，禁用其用户设置或禁用其所有设置。

GPMC 大大简化了这些任务，您可以通过它查看组织中的 GPO 继承，并从某个 MMC 控制台中管理链接。图 2 说明了 GPMC 中显示的组策略继承。

备注

若要查看到域、站点或 OU 的 GPO 链接的继承和优先级的完整详细信息，您必须具有包含 GPO 链接的站点、域或 OU 以及 GPO 的读取权限。如果您具有站点、域或 OU 的读取访问权限，但没有

链接到此处的某个 GPO 的读取访问权限，该 GPO 将显示为“不可访问的 GPO”，您无法读取该 GPO 的名称或其他信息。

确定所需的 GPO 数量

所需的 GPO 数量取决于设计方法、环境复杂性、目标以及项目范围。如果某个林中包含多个域或者有多个林，您可能会发现每个域中所需的 GPO 数量是不同的。与较小且比较简单的域相比，支持非常复杂的业务环境的域（具有不同的用户数量）通常需要更多的 GPO。

随着支持组织所需的 GPO 数量的增加，组策略管理员的工作量也会有所增加。可以采取一些措施来简化组策略管理。通常，如果某些策略设置应用于一组给定的用户或计算机，并由一组常用的管理员进行管理，则应将其划分到单个 GPO 中。再者，如果不同的用户或计算机组具有相同要求，并且只有几个组需要进行增量更改，请考虑使用链接到 Active Directory 结构中的较高级别的单个 GPO，将这些相同要求应用于所有这些用户或计算机组中。然后，再添加几个额外的 GPO，以便仅在相关 OU 中应用增量更改。可能并非始终能够使用这种方法，这种方法也并非始终有效，因此，您可能需要指定该准则的例外情况。如果是这种情况，请确保对其进行跟踪。 备注

最多支持使用 999 个 GPO 来处理任一用户或计算机上的 GPO。如果超过最大数，将无法再处理 GPO。此限制仅影响相同应用的 GPO 数量；它不影响可以在域中创建和存储的 GPO 数量。 应考虑到应用于计算机的 GPO 数量会影响启动时间，应用于用户的 GPO 数量会影响登录到网络上所需的时间。链接到用户的 GPO 数量越大（尤其是这些 GPO 中的策略设置数量越大），用户登录时处理这些 GPO 所需的时间就越长。在登录过程中，只要为用户设置了“读取”和“应用组策略”权限，就会应用用户站点、域和 OU 层次结构中的每个 GPO。在 GPMC 中，“读取”和“应用组策略”权限是作为一个单位（称为安全筛选）进行管理的。

如果使用安全筛选并删除给定用户或组的“应用组策略”权限，则还会删除读取权限，除非由于某些原因要求该用户具有读取访问权限。（如果使用的是 GPMC，则不必担心这种情况，因为 GPMC 自动执行此操作。）如果未设置“应用组策略”权限，但设置了“读取”权限，GPO 链接到的 OU 层次结构中的任何用户或计算机仍会检查（但不应用）GPO。这种检查过程略微增加登录时间。 始终在测试环境中测试组策略解决方案，以确保所定义的策略设置不会过度延长显示登录屏幕所需的时间，并且这些设置符合桌面服务级别协议。在该暂存阶段，使用测试帐户登录以测定几个 GPO 对环境中的对象的实际影响。

链接 GPO

若要将 GPO 的策略设置应用于用户和计算机，您需要将 GPO 链接到站点、域或 OU。可以使用 GPMC 添加一个或多个到每个站点、域或 OU 的 GPO 链接。请记住，创建和链接 GPO 是一个敏感权限，只应将该权限委派给值得信任且了解组策略的管理员。

将 GPO 链接到站点

如果将一些策略设置（如某些网络或代理配置设置）应用于特定物理位置中的计算机，则可能只有这些策略设置适于添加到基于站点的策略设置中。由于站点和域是独立的，因此，站点中的计算机可能需要跨域将 GPO 链接到站点上。在这种情况下，请确保连接状况良好。

如果策略设置并不明确对应于单个站点中的计算机，则最好将 GPO 分配给域或 OU 结构，而不是分配给站点。

将 GPO 链接到域

如果要将 GPO 应用于域中的所有用户和计算机，请将 GPO 链接到该域上。例如，安全管理员通常实现基于域的 GPO 以强制实施企业标准。他们可能需要这些 GPO 并启用 GPMC“强制”选项，以确保其他管理员无法覆盖这些策略设置。 重要事项

如果需要修改默认域策略 GPO 中包含的策略设置，我们建议您创建新的 GPO 实现此目的，将其链接到域上，然后设置“强制”选项。通常，不要修改默认域策略 GPO 或默认域控制器策略 GPO。 顾名思义，默认域策略 GPO 也会链接到域上。默认域策略 GPO 是在安装域中的第一个域控制器以及管理员第一次登录时创建的。该 GPO 包含域范围的帐户策略设置、密码策略、帐户锁定策略以及 Kerberos 策略，它是由域中的域控制器强制实施的。所有域控制器从默认域策略 GPO 中检索这些帐户策略设置的值。要将帐户策略应用于域帐户，必须在链接到域的 GPO 中部署这些策略设置。如果在较低级别（如 OU）设置帐户策略设置，这些策略设置仅影响该 OU 和子 OU 中的计算机上的本地帐户（非域帐户）。

在对默认 GPO 进行任何更改之前，请确保使用 GPMC 备份 GPO。如果默认 GPO 更改出现问题，并且无法恢复到以前或初始状态，您可以使用下一节中介绍的 Dcgpofix.exe 工具重新创建初始状态的默认策略。或者，如果使用的是 AGPM，将保留所做的任何更改的记录，因此，您可以恢复到以前或初始状态。

还原默认域策略 GPO 和默认域控制器 GPO

Dcgpofix.exe 是一个命令行工具，在发生灾难而无法使用 GPMC 时，可以使用该工具将默认域策略 GPO 和默认域控制器 GPO 完全还原为原始状态。Dcgpofix.exe 是 Windows Server 2008 和 Windows Server 2003 附带提供的，它位于 C:\\Windows\\system32\\ 文件夹中。

Dcgpofix.exe 仅还原生成默认 GPO 时其中包含的策略设置。Dcgpofix.exe 不还原管理员创建的其他 GPO；它仅用于默认 GPO 灾难恢复。 备注

Dcgpofix.exe 不保存通过应用程序（如 Configuration Manager 或 Exchange）创建的任何信息。 Dcgpofix.exe 语法如下所示：

复制

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH] 表 1 说明了在使用 Dcgpofix.exe 工具时可以使用的命令行选项。

表 1 Dcgpofix.exe 命令行选项

选项

选项说明

默认情况下，Windows Server 2008 附带提供的 Dcgpofix 版本仅适用于

/ignoreschema Windows Server 2008 域。此选项将绕过架构检查，以允许其在非 Windows

Server 2008 域上工作。 /target:DOMAIN

指定应重新创建默认域策略。

或

/target:DC 或 指定应重新创建默认域控制器策略。 /target:BOTH

指定应重新创建默认域策略和默认域控制器策略。

有关 Dcgpofix.exe 的详细信息，请参阅 Dcgpofix.exe

(http://go.microsoft.com/fwlink/?LinkId=109291)（可能为英文网页）。

将 GPO 链接到 OU 结构

GPO 通常链接到 OU 结构，因为这可提供最大的灵活性和可管理性。例如：

? ? ? ?

您可以将用户和计算机移入或移出 OU。 如有必要，可以重新排列 OU。

您可以使用一些具有相同管理要求的较小用户组。 您可以根据管理用户和计算机的管理员对其进行组织。

通过将 GPO 划分为面向用户的 GPO 和面向计算机的 GPO，有助于使组策略环境更易于理解，并且可以简化故障排除过程。不过，要将用户和计算机组件拆分为单独的 GPO，您可能需要使用更多的 GPO。一种补救措施是，配置“GPO 状态”设置以禁用不应用的 GPO 用户或计算机配置部分，并缩短应用给定 GPO 所需的时间。

更改 GPO 链接顺序

在每个站点、域和 OU 中，链接顺序控制应用 GPO 的顺序。若要更改链接优先级，您可以更改链接顺序，即，将列表中的每个链接向上或向下移动到相应位置。对于给定站点、域或 OU，编号最小的链接具有最高的优先级。

例如，如果添加 6 个 GPO 链接，并随后决定要为添加的最后一个链接指定最高优先级，您可以调整 GPO 链接的链接顺序，以使该链接的链接顺序为 1。若要更改站点、域或 OU 的 GPO 链接的链接顺序，请使用 GPMC。

使用安全筛选将 GPO 应用于选定的组

默认情况下，GPO 影响链接的站点、域或 OU 中包含的所有用户和计算机。不过，您可以在 GPO 上使用安全筛选以修改其效果：通过修改 GPO 权限仅将其应用于特定用户、Active Directory 安全组成员或计算机。通过将安全筛选和 OU 中的相应位置相结合，您可以将任何一组给定的用户或计算机作为目标。

要将 GPO 应用于给定用户、安全组或计算机，该用户、组或计算机必须具有 GPO 的“读取”和“应用组策略”权限。默认情况下，“经过身份验证的用户”将“读取”和“应用组策略”权限设置为“允许”。这两个权限是作为一个单位使用 GPMC 中的安全筛选进行管理的。

若要设置给定 GPO 的权限，以便仅将 GPO 应用于特定用户、安全组或计算机（而不是应用于所有经过身份验证的用户），请在 GPMC 控制台树中包含该 GPO 的林和域中展开“组策略对象”。单击该 GPO，然后在细节窗格的“作用域”选项卡上的“安全筛选”下面，删除“经过身份验证的用户”，单击“添加”，然后添加新的用户、组或计算机。

例如，如果仅希望 OU 中的一部分用户接收 GPO，请从“安全筛选”中删除“经过身份验证的用户”。然后，添加一个具有安全筛选权限的新安全组，其中包含要接收 GPO 的那些用户。仅位于 GPO 链接到的站点、域或 OU 中的该组成员能够接收 GPO；位于其他站点、域或 OU 中的组成员不会接收 GPO。

您可能需要禁止将某些组策略设置应用于 Administrators 组成员。若要完成此操作，您可以执行以下操作之一：

?

为管理员创建一个单独的 OU，并将该 OU 放在应用了大多数管理设置的层次结构以外。这样，管理员就不会接收为管理的用户提供的大多数策略设置。如果该单独 OU 是域的直接子域，则管理员只能接收链接到域或站点的 GPO 中的策略设置。通常，仅在此处链接广泛适用的常规策略设置，因此，让管理员接收这些策略设置是可以接受的。如果不希望管理员接收这些设置，您可以在管理员的 OU 上设置“阻止继承”选项。

仅在执行管理任务时让管理员使用单独的管理帐户。在不执行管理任务时，仍会对管理员进行管理。

在 GPMC 中使用安全筛选，以便只有非管理员能够接收策略设置。

?

?

应用 WMI 筛选器

可以使用 WMI 筛选器来控制如何应用 GPO。每个 GPO 可以链接到一个 WMI 筛选器上；但同一 WMI 筛选器可以链接到多个 GPO 上。在将 WMI 筛选器链接到 GPO 之前，您必须先创建该筛选器。在处理组策略期间，将在目标计算机上评估 WMI 筛选器。只有在 WMI 筛选器评估结果为 true 时，才会应用 GPO。在基于 Windows 2000 的计算机上，将忽略 WMI 筛选器并始终应用 GPO。 备注

我们建议您将 WMI 筛选器主要用于例外情况管理。这些筛选器提供了一个强大的解决方案，以便将 GPO 应用于特定用户和计算机，但由于每次处理组策略时都会评估 WMI 筛选器，这会增加启动和登录时间。另外，WMI 筛选器没有超时。因此，只有在必要时才能使用这些筛选器。

通过使用 GPMC，您可以为 WMI 筛选器执行下列操作：创建和删除、链接和取消链接、复制和粘贴、导入和导出以及查看和编辑属性。

只有在域中至少有一个域控制器运行的是 Windows Server 2008 或 Windows Server 2003，或者在该域中使用 /Domainprep 选项运行了 ADPrep 时，才能使用 WMI 筛选器。否则，GPO 的“作用域”选项卡上的“WMI 筛选”部分以及该域下面的“WMI 筛选器”节点不存在。请参阅图 3 以帮助您确定本节中介绍的内容。

设置 WMI 筛选选项

WMI 将显示目标计算机中的管理数据。该数据可能包括硬件和软件清单、设置以及配置信息，其中包括注册表、驱动程序、文件系统、Active Directory、SNMP、Windows 安装程序以及网络中的数据。管理员可以创建 WMI 筛选器以控制是否应用 GPO，这些筛选器包含一个或多个基于此数据的查询。将在目标计算机上评估筛选器。如果 WMI 筛选器评估结果为 true，则会将 GPO 应用于该目标计算机；如果筛选器评估结果为 false，则不会应用 GPO。在基于 Windows 2000 的客户端或服务器目标上，将忽略 WMI 筛选器并始终应用 GPO。如果没有任何 WMI 筛选器，则始终应用 GPO。 可以使用 WMI 筛选器，根据各种对象和其他参数来确定组策略设置的目标。表 2 说明了可以为 WMI 筛选器指定的示例查询条件。

表 2 示例 WMI 筛选器

查询的 WMI 数据 服务 注册表

示例查询条件

运行 DHCP 服务的计算机 填充了指定注册表项的计算机

Windows 事件日志 最后五分钟报告审核事件的计算机 操作系统版本 运行 Windows Server 2003 和更高版本的计算机 硬件清单 硬件配置 服务关联

具有 Pentium III 处理器的计算机 在级别 3 启用网络适配器的计算机 具有任何依赖于 SQL 服务的服务的计算机

WMI 筛选器包含一个或多个 WMI 查询语言 (WQL) 查询。WMI 筛选器应用于 GPO 中的每个策略设置，因此，如果管理员要为不同策略设置指定不同的筛选要求，则必须创建单独的 GPO。在基于安全组成员身份确定并筛选可能的 GPO 列表后，将在目标计算机上评估 WMI 筛选器。

虽然可以将基于组策略的软件部署与 WMI 筛选器相结合来执行有限的基于清单的软件部署目标设置，但建议不要将其作为通常的作法，原因如下：

?

每个 GPO 只能有一个 WMI 筛选器。如果应用程序具有不同的清单要求，则您需要多个 WMI 筛选器，因而需要多个 GPO。增加 GPO 数量会影响启动和登录时间，并且还会增加管理开销。

WMI 筛选器评估可能需要很长时间才能完成，因此，它们可能会延长登录和启动时间。具体需要多少时间取决于查询结构。

?

示例 WMI 筛选器

如上所述，WMI 筛选器非常适于作为例外情况管理工具。通过按照特定条件进行筛选，您可以将特定 GPO 的目标指定为仅限特定的用户和计算机。下一节介绍了 WMI 筛选器以说明这一技术。

基于操作系统的目标设置

在本示例中，管理员要部署一个企业监视策略，但希望仅将基于 Windows Vista 的计算机作为目标。管理员可以创建如下 WMI 筛选器：

复制

Select * from Win32_OperatingSystem where Caption like \

大多数 WMI 筛选器使用 Root\\CimV2 命名空间；默认情况下，将在 GPMC 用户界面中填充此选项。 由于在基于 Windows 2000 的计算机上忽略 WMI 筛选器，因此，在这些计算机上始终应用筛选的 GPO。不过，您可以使用以下方法解决该问题：使用两个 GPO，并为具有 Windows 2000 设置的 GPO 指定较高的优先级（通过使用链接顺序）。然后，使用 WMI 筛选器筛选该 Windows 2000 GPO，并且仅在操作系统是 Windows 2000（而不是 Windows Vista 或 Windows XP）时才应用该筛选器。基于 Windows 2000 的计算机将接收 Windows 2000 GPO 并覆盖 Windows Vista 或 Windows XP GPO 中的策略设置。Windows Vista 或 Windows XP 客户端将接收 Windows Vista 或 Windows XP GPO 中的所有策略设置。 基于硬件清单的目标设置

在本示例中，管理员希望仅将新网络连接管理器工具分发到具有调制解调器的桌面。管理员可以使用以下 WMI 筛选器，将这些桌面指定为目标以部署该程序包： 复制

Select * from Win32_POTSModem Where Name = \

如果将组策略与 WMI 筛选器一起使用，请记住 WMI 筛选器应用于 GPO 中的所有策略设置。如果不同部署具有不同的要求，则需要使用不同的 GPO，每个 GPO 具有其自己的 WMI 筛选器。 基于配置的目标设置

在本示例中，管理员不希望在支持多播的计算机上应用 GPO。管理员可以使用以下筛选器确定支持多播的计算机：

复制

Select * from Win32_NetworkProtocol where SupportsMulticasting = true 基于磁盘空间数量和文件系统类型的目标设置

在本示例中，管理员希望将 C、D 或 E 分区上的可用空间超过 10 兆字节 (MB) 的计算机作为目标。这些分区必须位于一个或多个本地固定磁盘中，并且它们必须运行 NTFS 文件系统。管理员可以使用以下筛选器确定满足这些条件的计算机：

复制

SELECT * FROM Win32_LogicalDisk WHERE (Name = \AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = \

在上一示例中，DriveType = 3 表示本地磁盘，FreeSpace 单位为字节（10 MB = 10,485,760 字节）。

创建 WMI 筛选器的步骤

1. 在 GPMC 控制台树中，在要添加 WMI 筛选器的林和域中右键单击“WMI 筛选器”。 2. 单击“新建”。

3. 在“新建 WMI 筛选器”对话框中，在“名称”框中键入新 WMI 筛选器的名称，然后在“描

述”框中键入该筛选器的说明。 4. 单击“添加”。

5. 在“WMI 查询”对话框中，保留默认命名空间，或执行以下某种操作以指定其他命名空间：

o 在“命名空间”框中，键入要用于 WMI 查询的命名空间的名称。默认值为

root\\CimV2。大多数情况下，您不需要更改该值。

o

单击“浏览”，从列表中选择一个命名空间，然后单击“确定”。

6. 在“查询”框中键入 WMI 查询，然后单击“确定”。

7. 若要添加更多查询，请重复步骤 4 至 6 以添加各个查询。 8. 在添加所有查询后，单击“保存”。 现在，便可以链接 WMI 筛选器了。

使用组策略继承

它通常用于定义企业标准 GPO。就本文而言，“企业标准”是指应用于组织中范围很广的一组用户的策略设置。适合定义企业标准 GPO 的示例方案是一项业务要求，它规定了：“只有经过特别授权的用户能够访问命令提示符或注册表编辑器。”在为不同用户组自定义策略设置时，组策略继承可以帮助您应用这些企业标准。

要实现此目的，一种方法是在链接到 OU（如用户帐户 OU）的 GPO（如标准用户策略 GPO）中设置“阻止访问命令提示符”和“阻止访问注册表编辑工具”策略设置。这会将这些策略设置应用于该 OU 中的所有用户。然后创建一个 GPO（如管理员用户策略 GPO），以明确允许管理员访问命令提示符和注册表编辑工具。将该 GPO 链接到管理员 OU，以覆盖标准用户策略 GPO 中配置的策略设置。图 4 中说明了这种方法。

如果另一个用户组需要访问命令提示符，但不需要访问注册表，您可以创建另一个 GPO 以允许他们执行此操作。仍会拒绝访问注册表编辑工具，因为新 GPO 不会覆盖标准用户策略 GPO 中指定的注册表工具设置。通常，企业标准 GPO 包含的策略设置和配置选项比前面插图显示的内容多。例如，企业标准 GPO 通常用于完成以下操作：

? ?

删除所有可能对用户有害和无关紧要的功能。

为成员服务器和工作站定义访问权限、安全设置以及文件系统和注册表权限。

通常，GPO 将分配给 OU 结构，而不是域或站点。如果围绕用户、工作站和服务器构造 OU 模型，则可以更方便地确定和配置企业标准策略设置。还可以禁用 GPO 中不应用的用户或计算机部分，以使组策略更易于管理。

在为安全相关策略设置（如受限制的组成员身份、文件系统访问权限和注册表访问权限）设置默认值时，一定要了解这些策略设置适用于“以最后写入的内容为主”原则，并且不会合并这些策略设置。以下示例说明了这一原则。

示例：“以最后写入的内容为主”原则

管理员创建一个默认工作站 GPO，它将本地 Power Users 组成员定义为 Technical Support 和 Help Desk 组。Business Banking 组要将 Business Banking Support 组添加到此列表中，然后创建一个新的默认工作站 GPO 以实现此目的。除非新 GPO 指定所有三个组均为 Power User 成员，否则，仅 Business Banking Support 组具有受影响的工作站的高级用户权限。

部署组策略

在部署组策略之前，请确保您熟悉使用 GPO 的步骤，其中包括创建 GPO、导入策略设置、备份和还原 GPO、编辑和链接 GPO、设置 GPO 默认继承的例外情况、筛选 GPO 应用、委派管理、使用组策略建模进行规划以及使用组策略结果评估 GPO 应用。

在进行生产部署之前，应始终在安全环境中全面测试 GPO。在部署之前，GPO 规划、设计和测试工作越充分，越容易创建、实现和维护最佳的组策略部署。但不要过份夸大在此环境中进行测试和试部署的重要性。测试环境应与模拟的生产环境尽可能保持一致。

在测试并验证设计的所有重要变化方案和部署策略后，设计工作才算完成。在使用特定策略设置（如安全设置以及桌面和数据管理）配置 GPO 后，才能全面测试 GPO 实现策略。对于网络中的每个用户和计算机组，请分别执行此操作。应使用测试环境来开发、测试和验证特定的 GPO，并充分利用 GPMC 建模向导和结果向导。

另外，还要考虑迭代的组策略实现。即，并非部署 100 种新组策略设置，而是暂存并且最初仅部署几种策略设置以验证组策略基础结构是否正常工作。

有关暂存组策略的详细信息，请参阅本指南中的暂存组策略部署。

创建和使用 GPO

由于会立即应用对 GPO 的更改，因此，在测试环境中全面测试 GPO 之前，请将 GPO 与其生产位置（站点、域或 OU）取消链接。在开发 GPO 时，请将其与测试 OU 保持链接或取消链接。 本节介绍了创建和部署 GPO 的过程。有关在部署之前测试组策略配置的详细信息，请参阅本指南中的暂存组策略部署。

以下步骤介绍了如何使用 GPMC 创建和编辑 GPO。 创建未链接的 GPO

1. 在 GPMC 控制台树中，在要创建新的未链接 GPO 的林和域中右键单击“组策略对象”。 2. 单击“新建”。

3. 在“新建 GPO”对话框中，指定新 GPO 的名称，然后单击“确定”。 可以使用以下步骤编辑 GPO。 编辑 GPO

1. 在 GPMC 控制台树中，展开包含要编辑的 GPO 的林和域中的“组策略对象”。 2. 右键单击要编辑的 GPO，然后单击“编辑”。

3. 在控制台树中，根据需要展开项目，以查找包含要修改的策略设置的项目。单击某个项目，

以便在细节窗格中查看关联的策略设置。

4. 在细节窗格中，双击要编辑的策略设置名称。请注意，某些策略设置（如用于部署新软件安

装程序包的策略设置）使用特有的用户界面。

5. 在“属性”对话框中，根据需要修改策略设置，然后单击“确定”。

链接 GPO 的步骤

将 GPO 中的策略设置应用于用户和计算机的主要方法是，将 GPO 链接到 Active Directory 中的容器。GPO 可以链接到 Active Directory 中的三种类型的容器：站点、域和 OU。每个 GPO 可以链接到多个 Active Directory 容器。

GPO 是针对各个域分别存储的。例如，如果将 GPO 链接到某个 OU，该 GPO 实际并未位于该 OU 中。GPO 是针对每个域的对象，可以将其链接到林中的任意位置。GPMC 中的 UI 可帮助指明链接和实际 GPO 之间的差异。

在 GPMC 中，可使用以下任一方法将现有 GPO 链接到 Active Directory 容器：

?

右键单击某个站点、域或 OU 项目，然后单击“链接现有 GPO”。此步骤相当于在安装 GPMC 之前在“Active Directory 用户和计算机”管理单元中提供的“组策略”选项卡上选择“添加”。此步骤要求 GPO 在域中已存在。

从“组策略对象”项目下面，将一个 GPO 拖到要将该 GPO 链接到的 OU 中。此拖放功能仅在相同的域中有效。

?

也可以使用 GPMC 同时创建并链接新的 GPO，如下一节中所述。

创建并链接 GPO

若要创建 GPO 并将其链接到站点、域或 OU，您必须先在域中创建 GPO，然后再进行链接。 以下步骤相当于在安装 GPMC 之前在“Active Directory 用户和计算机”管理单元中提供的“组策略”选项卡上单击“新建”。虽然在 GPMC 中将此操作显示为一个操作，但会执行以下两个操作：在域中创建一个 GPO，然后将新 GPO 链接到站点、域或 OU。 创建 GPO 并将其链接到站点、域或 OU

1. 在 GPMC 控制台树中，展开包含要链接的 GPO 的林和域中的“组策略对象”。 2. 右键单击某个域或 OU 项目，然后单击“在这个域中创建 GPO 并在此处链接”。 3. 在“新建 GPO”对话框中，键入新 GPO 的名称，然后单击“确定”。 可以使用以下步骤取消 GPO 链接（即，从 GPO 中删除到站点、域或 OU 的链接）。 从站点、域或 OU 中删除到 GPO 的链接

1. 在 GPMC 控制台树中，展开包含要取消链接的 GPO 的林和域中的“组策略对象”。 2. 单击要取消链接的 GPO。

3. 在细节窗格中，单击“作用域”选项卡。

4. 如果显示以下消息，请单击“确定”以关闭该消息（还可以指定在创建并链接新 GPO 时不

再显示该消息）：

“您已经选择了到组策略对象 (GPO) 的链接。除了对链接属性的更改，您在此处的更改对于 GPO 是全局性的，并影响此 GPO 链接的所有其他位置。”

5. 在“链接”部分中，右键单击具有要删除的链接的 Active Directory 对象，然后单击“删

除链接”。 备注

删除到 GPO 的链接与删除 GPO 并不相同。如果仅删除到 GPO 的链接，则 GPO 仍然存在，其他域中到该 GPO 的所有其他现有链接也存在。不过，如果删除某个 GPO，则会提示您删除该 GPO 以及选定域中到该 GPO 的所有链接。执行此操作并不会从其他域中删除到该 GPO 的链接。请确保在其他域中删除到该 GPO 的链接，然后再从此域中删除该 GPO。

禁用 GPO 中的用户配置或计算机配置设置

如果创建 GPO 以便仅设置用户相关策略设置，您可以禁用 GPO 中的计算机配置设置。执行此操作会略微缩短计算机启动时间，因为不必评估 GPO 中的计算机配置设置以确定任何策略设置是否存在。如果仅配置计算机相关策略设置，请禁用 GPO 中的用户配置设置。 请查看图 5 以确定后续步骤中引用的 GPMC 项目。

禁用 GPO 中的用户配置或计算机配置设置

1. 在 GPMC 控制台树中，展开包含要禁用的策略设置的 GPO 所在的林和域中的“组策略对

象”。

2. 右键单击包含要禁用的策略设置的 GPO。

3. 在“GPO 状态”列表中，选择以下选项之一：

o 已禁用所有策略设置

o o o

已禁用计算机配置设置 已启用（默认设置） 已禁用用户配置设置

站点链接的 GPO 的特殊注意事项

链接到站点的 GPO 可能适合用来为代理设置、打印机和网络相关设置设置策略。链接到站点容器的任何 GPO 将应用于该站点中的所有计算机，而无论该计算机属于林中的哪个域。此行为具有以下含义：

? ?

确保计算机不要通过 WAN 链接访问站点 GPO，这会产生严重的性能问题。

默认情况下，要管理站点 GPO，您需要是 Enterprise Admins 组的成员或林根域中的 Domain Admins 组的成员。

与相同站点中的域控制器之间的 Active Directory 复制相比，不同站点中的域控制器之间的复制发生的频率较小，并且仅在预定时间进行。站点之间的 FRS 复制不是由站点链接复制计划决定的；这不是站点内的问题。

目录服务复制计划和频率是连接站点的站点链接的属性。默认站点间复制频率为三小时。若要更改此频率，请使用下列步骤。 更改站点间复制频率

1. 打开“Active Directory 站点和服务”。

2. 在控制台树中，依次展开“站点”、“站点间的传输”和“IP”，然后单击某个站点

间传输文件夹，其中包含要配置站点间复制的站点链接。

3. 在细节窗格中，右键单击要配置站点间复制频率的站点链接，然后单击“属性”。 4. 在“常规”选项卡的“复制频率”中，键入或选择复制间隔的分钟数。 5. 单击“确定”。

?

更改复制频率或计划可能会显著影响组策略。例如，假定将复制频率设置为三小时或更长的时间，创建一个 GPO 并将其链接到跨几个站点的域中的 OU。您可能需要等待几小时，该 OU 中的所有用户才能收到 GPO。

如果 OU 中的大多数用户位于远程位置，并且该站点中有一个域控制器，则可以在该站点的域控制器上执行所有组策略操作以解决站点间复制延迟问题。

使用环回处理来配置用户策略设置

“用户组策略环回处理模式”策略设置是一个高级选项，旨在使计算机配置对任何登录用户都保持不变。此策略设置适用于某些包含特殊用途计算机的严密管理的环境，如教室、公共信息亭和招待所。例如，您可能需要为特定服务器（如终端服务器）启用此策略设置。通过启用环回处理模式策略设置，可以指示系统为登录到计算机上的任何用户应用基于计算机的相同用户策略设置。 如果将 GPO 应用于用户，当这些用户登录到任何计算机时，通常会将一组相同的用户策略设置应用于这些用户。通过在 GPO 中启用环回处理策略设置，您可以配置基于用户登录到的计算机的用

户策略设置。无论哪个用户登录，都会应用这些策略设置。在启用环回处理模式策略设置时，您必须确保同时启用 GPO 中的计算机配置和用户配置设置。

可通过使用 GPMC 编辑 GPO 并在“计算机配置\\策略\\管理模板\\系统\\组策略”下面启用“用户组策略环回处理模式”策略设置来配置环回策略设置。可以使用以下两个选项：

?

合并模式：在该模式下，将在登录过程中收集用户的 GPO 列表，然后收集计算机的 GPO 列表。接下来，将计算机的 GPO 列表添加到用户的 GPO 末尾。因此，计算机的 GPO 优先级比用户的 GPO 高。如果策略设置发生冲突，将应用计算机 GPO 中的用户策略设置，而不是用户的正常策略设置。

替换模式：在该模式下，不收集用户的 GPO 列表。相反，仅使用基于计算机对象的 GPO 列表，并将该列表中的用户配置设置应用于用户。

?

委派组策略管理

您的组策略设计可能要求委派某些组策略管理任务。确定组策略管理控制的集中或分散程度是评估组织需求的最重要因素之一。在使用集中管理模型的组织中，IT 组为整个公司提供服务、做出决策和制订标准。在使用分散管理模型的组织中，每个业务部门管理其自己的 IT 组。 您可以委派以下组策略任务：

? ?

管理各个 GPO（例如，授予 GPO 的编辑或读取访问权限） 在站点、域和 OU 上执行以下组策略任务：

o o o

管理给定站点、域或 OU 的组策略链接

为该容器中的对象执行组策略建模分析（不适用于站点） 为该容器中的对象读取组策略结果数据（不适用于站点）

? ? ?

创建 GPO 创建 WMI 筛选器

管理和编辑各个 WMI 筛选器

根据组织的管理模型，您需要确定最适于在站点、域和 OU 级别处理的配置管理内容。您还需要确定如何在每个站点、域和 OU 级别的管理员或管理组之间进一步细分该级别的责任。 在确定是否在站点、域或 OU 级别委派权限时，请记住以下注意事项：

? ?

如果将权限设置为继承到所有子容器，在域级别委派的权限将影响域中的所有对象。 在 OU 级别委派的权限可能仅影响该 OU，也可能会影响该 OU 及其子 OU。

? ?

如果在可能的最高 OU 级别分配控制，则可以更轻松、更有效地管理权限。

在站点级别委派的权限可能会跨域，并且可能会影响 GPO 所在的域以外的域中的对象。

以下几节介绍了如何使用 GPMC 执行这些委派任务。

委派单个 GPO 的管理

通过使用 GPMC，您可以轻松将 GPO 权限授予其他用户。GPMC 在任务级别管理权限。GPO 有五个允许的权限级别：读取、编辑、编辑/删除/修改安全性、读取（从安全筛选）和自定义。这些权限级别对应于一组固定的低级别权限。表 3 说明了每个选项的相应低级别权限。

表 3 GPO 权限选项和低级别权限

GPO 权限选项 读取

允许读取访问 GPO。

低级别权限

读取（从安全筛无法直接设置该设置，但如果用户具有 GPO 的“读取”和“应用组策略”权限，选） 则会显示此设置；它是使用 GPO 的“作用域”选项卡上的安全筛选设置的。 编辑设置

允许读取、写入、创建以及删除子对象。

编辑设置，删除、允许读取、写入、创建以及删除子对象；删除、修改权限以及修改所有者。除了修改安全性 未设置“应用组策略”权限以外，这会授予对 GPO 的完全控制权。 自定义

任何其他权限组合（如拒绝权限）将显示为自定义权限。无法通过单击“添加”

来设置自定义权限。只能通过单击“高级”并直接修改权限来设置这些权限。

若要为用户或组授予 GPO 权限，请使用以下步骤。 为用户或组授予 GPO 权限

1. 在 GPMC 控制台树中，展开包含要编辑的 GPO 的林和域中的“组策略对象”。 2. 单击要授予权限的 GPO。

3. 在细节窗格中，单击“委派”选项卡。 4. 单击“添加”。

5. 在“选择用户、计算机或组”对话框中，指定要授予权限的用户或组，然后单击“确定”。 6. 在“添加组或用户”对话框的“权限”下面，单击要为用户或组授予的权限级别，然后单击

“确定”。 请注意，无法使用“委派”选项卡设置“应用组策略”权限（用于安全筛选）。由于“应用组策略”权限用于设置 GPO 的作用域，因此，该权限是在 GPMC 中的 GPO“作用域”选项卡上进行管理的。若要为用户或组授予 GPO 的“应用组策略”权限，请在相关 GPO 的“作用域”选项卡上单击“添加”，然后指定该用户或组。该用户或组的名称将显示在“安全筛选”列表中。在“作用域”选项卡上为用户授予“安全筛选”权限时，您实际设置了“读取”和“应用组策略”权限。

表 4 列出了 GPO 的默认安全权限设置。

表 4. GPO 的默认安全权限

安全组

Authenticated Users

ENTERPRISE DOMAIN CONTROLLERS 备注

由于管理员也属于 Authenticated Users 组，默认情况下，他们将“应用组策略”访问控制项 (ACE) 设置为“允许”。因此，如果他们位于链接了 GPO 的容器中，则也会为其应用策略设置。

读取

权限

读取（从安全筛选）

Domain Admins、Enterprise Admins、Creator Owner、SYSTEM 编辑设置，删除、修改安全性

在站点、域和 OU 上委派组策略任务

可以在 Active Directory 中针对每个容器委派以下三个组策略任务（权限）：

? ? ?

将 GPO 链接到 Active Directory 容器（站点、域或 OU） 为该容器（域和 OU）中的对象执行组策略建模分析 为该容器（域和 OU）中的对象读取组策略结果数据

若要委派管理任务，您必须使用 GPMC 授予与相应 Active Directory 容器上的任务对应的权限。 默认情况下，Domain Admins 组的成员具有域和 OU 的 GPO 链接权限，Enterprise Admins 和林根域中的 Domain Admins 组的成员可以管理到站点的链接。您可以使用 GPMC 将权限委派给其他组和用户。

默认情况下，仅限 Enterprise Admins 和 Domain Admins 组具有组策略建模的访问权限以及组策略结果数据的远程访问权限。可通过在 GPMC 中设置相应权限，将此数据的访问权限委派给较低级别的管理员。

以下步骤介绍了如何通过修改 Active Directory 容器的相应权限来委派组策略管理任务。 在站点、域或 OU 上委派组策略管理任务

1. 在 GPMC 中，单击要委派组策略管理任务的站点、域或 OU 的名称。 2. 在站点、域或 OU 的细节窗格中，单击“委派”选项卡。

3. 在“权限”列表中，单击以下选项之一：“链接 GPO”、“执行组策略建模分析”或“读取

组策略结果数据”。请注意，仅“链接 GPO”适用于站点。

4. 若要将任务委派给新用户或组，请单击“添加”，然后指定要添加的用户或组。

5. 若要修改现有权限的“应用于”设置（即，更改为特定用户或组授予的权限所适用的 Active

Directory 容器），请在“用户和组”列表中右键单击该用户或组，然后单击“仅该容器”或“该容器及子项”。

6. 若要从授予了指定权限的组或用户列表中删除现有组或用户，请在“组和用户”列表中单击

该用户或组，然后单击“删除”。请注意，您必须是 Domain Admins 组的成员才能执行此操作。

7. 添加或删除自定义权限：

1. 在“安全”选项卡上单击“高级”。

2. 在“组或用户名”下面，单击要更改权限的用户或组。 3. 在“权限”下面，根据需要修改权限，然后单击“确定”。

委派创建 GPO 的权限

在域中创建 GPO 的功能是一个在每个域上管理的权限。默认情况下，只有 Domain Admins、

Enterprise Admins、Group Policy Creator Owners 和 SYSTEM 组的成员能够创建新的 GPO。 只有 Domain Admins 组的成员可以将 GPO 创建权限委派给任何组或用户。可以使用两种方法为组或用户授予此权限，这两种方法授予完全相同的权限：

?

在 Group Policy Creator Owners 组中添加组或用户。这是在 GPMC 出现之前可以使用的唯一方法。

使用 GPMC 为组或用户明确授予创建 GPO 的权限。为此，请在 GPMC 控制台树中单击“组策略对象”，单击“委派”选项卡，然后根据修改权限。

?

当 Group Policy Creator Owners 组的非管理员成员创建 GPO 时，该用户将成为 GPO 的创建者所有者，并且可以编辑和修改 GPO 的权限。不过，Group Policy Creator Owners 组的成员无法将 GPO 链接到容器，除非为这些成员单独委派了在特定站点、域或 OU 上执行此操作的权限。如果非管理员成为 Group Policy Creator Owners 组的成员，则仅为该用户授予对其所创建的 GPO 的完全控制权。Group Policy Creator Owner 成员没有对不是他们创建的 GPO 的权限。 备注

当管理员创建 GPO 时，Domain Admins 组的成员将成为该 GPO 的创建者所有者。默认情况下，Domain Admins 组的成员可以编辑域中的所有 GPO。

链接 GPO 的权限与创建 GPO 和编辑 GPO 的权限是分开委派的。请务必为要创建和链接 GPO 的组委派这两个权限。默认情况下，非 Domain Admins 无法管理链接，这可防止他们使用 GPMC 创建和链接 GPO。不过，如果非 Domain Admins 是 Group Policy Creator Owners 组的成员，则可以创建未链接的 GPO。在非 Domain Admin 创建未链接的 GPO 后，Domain Admin 或已委派将 GPO 链接到容器的权限的其他用户可以根据需要链接该 GPO。

由于 Group Policy Creator Owners 组是一个域全局组，它不能包含域外部的成员。因此，如果要为域外部的用户委派创建 GPO 的权限，您必须改用 GPMC 为这些用户明确授予相应的权限。

为此，请在域中创建一个新的域本地组（例如，“GPCO—External”），为该组授予在域中创建 GPO 的权限，然后将外部域中的域全局组添加到该组中。对于该域中的用户和组，应继续使用 Group Policy Creator Owners 组授予创建 GPO 的权限。 委派创建 WMI 筛选器的权限

可以为用户或组委派以下两个权限级别之一以创建 WMI 筛选器：

?

创建者所有者：允许用户或组在域中创建新的 WMI 筛选器，但不授予管理其他用户所创建的 WMI 筛选器的权限。

完全控制：允许用户或组创建 WMI 筛选器，并授予对域中的所有 WMI 筛选器的完全控制权，其中包括在为用户授予此权限后创建的新筛选器。

?

可以使用 GPMC 来委派这些权限。在 GPMC 控制台树中，单击“WMI 筛选器”。在细节窗格中，单击“委派”选项卡，然后根据需要委派权限。 委派管理各个 WMI 筛选器的权限

可以为用户或组委派以下两个权限级别之一以管理单个 WMI 筛选器：

? ?

编辑：允许用户或组编辑选定的 WMI 筛选器。

完全控制：允许用户或组编辑、删除和修改选定 WMI 筛选器的安全性。

可以使用 GPMC 来委派这些权限。在 GPMC 控制台树中，单击要委派权限的 WMI 筛选器。在细节窗格中，单击“委派”选项卡，然后根据需要委派权限。

请注意，所有用户都具有所有 WMI 筛选器的“读取”访问权限。GPMC 不允许删除此权限。如果删除了“读取”权限，目标计算机上的组策略处理将会失败。

定义组策略操作步骤

为便于将来的组策略管理，应拟定操作步骤以确保按授权和可控制的方式对 GPO 进行更改。尤其是，确保在部署到生产环境之前，正确暂存所有新 GPO 以及现有 GPO 中的更改。还应该定期创建 GPO 备份。

在某些组织中，可能由不同团队负责管理组策略的不同内容。例如，软件部署团队通常关注“用户配置\\策略\\软件设置\\软件安装”和“计算机配置\\策略\\软件设置\\软件安装”下面的策略设置。该团队不太可能会对与项目有关的其余策略设置（如脚本和文件夹重定向）感兴趣。

为降低复杂性并最大限度降低出现错误的可能性，请考虑为不同管理员组创建单独的 GPO。或者，也可以将管理员的访问权限限制为他们有权更改的组策略部分。可以使用“受限的/许可的管理单元\\扩展管理单元”策略设置来限制管理员可以访问的管理单元。在“用户配置\\策略\\管理模板\\Windows 组件\\Microsoft 管理控制台”下面编辑 GPO 时，可以使用此策略设置。“受限的/许可

的管理单元\\扩展管理单元”策略设置与可使用 GPMC 附带的编辑器访问的 UI 有关。请注意，某些团队可能需要访问多种类型的扩展管理单元。 备注

MMC 策略设置仅影响可使用 MMC 访问的 UI；如果使用编程方法编辑组策略，则可以编辑任何 GPO 设置。

要了解这些设置和其他组策略设置的详细信息，请在编辑 GPO 时双击详细窗格中的策略设置，然后在策略的“属性”对话框中单击“说明”选项卡。请注意，如果启用了“扩展的视图”，在单击策略设置时，将始终显示此信息。默认情况下，将启用该视图。

指定域控制器以编辑组策略

在每个域中，GPMC 使用相同域控制器执行该域中的所有操作。这包括对位于该域中的 GPO 以及该域中的所有其他对象（如 OU 和安全组）的所有操作。

GPMC 还使用相同域控制器执行站点上的所有操作。该域控制器用于读取和写入任何给定站点上存在的 GPO 链接的相关信息，但 GPO 本身的相关信息是从 GPO 所在的域的域控制器中获取的。 默认情况下，在控制台中添加新域时，GPMC 使用在该域中具有主域控制器 (PDC) 模拟器操作主机角色的域控制器来执行该域中的操作。默认情况下，GPMC 使用用户域中的 PDC 模拟器来管理站点。 为避免发生复制冲突，选择域控制器是管理员的一个重要考虑事项。这是特别重要的，因为 GPO 数据位于 Active Directory 和 Sysvol 中，而它们依靠独立的复制机制将 GPO 数据复制到域中的不同域控制器。如果两个管理员在不同域控制器上同时编辑同一 GPO，一个管理员写入的更改可能会被另一个管理员覆盖，具体取决于复制延迟。

为避免出现此情况，GPMC 将每个域中的 PDC 模拟器作为默认域控制器。这有助于确保所有管理员使用相同的域控制器，并防止造成数据丢失。不过，您可能并非始终希望管理员使用 PDC 编辑 GPO。例如，如果管理员位于远程站点上，或者 GPO 针对的用户或计算机大多位于远程站点上，则管理员可以选择使用远程位置的域控制器。例如，如果您是在日本的管理员，而 PDC 模拟器在纽约，则依靠 WAN 链接访问纽约 PDC 模拟器可能是很不方便的。 重要事项

如果多个管理员管理一个公共 GPO，则在编辑特定 GPO 时，所有管理员应使用同一个域控制器以避免在 FRS 中发生冲突。

若要指定用于林中的给定域或所有站点的域控制器，请使用 GPMC 中的“更改域控制器”命令。在任一情况下，都可以使用以下四个选项：

? ?

具有 PDC 模拟器操作主机令牌的域控制器（默认选项） 任何可用的域控制器

? ?

任何可用的运行 Windows Server 2003 或更新版本的域控制器 此域控制器（在这种情况下，您必须选择域控制器。）

每次打开保存的控制台时，都会使用选定的选项，直到您更改了该选项。

此首选项保存在 .msc 文件中，在打开该 .msc 文件时将使用此首选项。通常，建议您不要使用“任何可用的域控制器”选项，除非执行的是只读操作。

组策略处理和慢速链接

有时，当连接速度低于指定的阈值时，不会应用组策略。因此，如果组策略解决方案要求通过慢速链接或使用远程访问应用策略，您需要考虑慢速链接检测的策略设置。

虽然慢速链接和远程访问有关，但两者的组策略处理方式并不相同。将计算机连接到 LAN 并不意味着一定就是快速链接；远程访问连接也不意味着就是慢速链接。默认情况下，如果任何速率低于 500 千比特/秒 (Kbps)，组策略就会将其视为慢速链接。可以使用组策略来更改该阈值。下一节介绍了组策略处理阶段以及 Windows Server 2008 中的组策略如何测量链接速度。

组策略处理阶段

组策略处理分为三个阶段。每个处理阶段包含一部分处理方案。在处理组策略时，组策略服务将依次访问每个方案以逐步过渡到下一个阶段。组策略处理阶段如下所示：

? ?

预处理阶段：指示初始组策略处理，并收集处理组策略所需的信息。

处理阶段：使用在预处理阶段收集的信息依次处理每个组策略扩展，这会将策略设置应用于用户或计算机。

后处理阶段：报告策略处理实例结束，并记录处理是成功结束、已处理但出现警告还是处理失败。

?

组策略服务依靠与域控制器成功进行通信，以检索计算机特定的信息和用户特定的信息。此外，该服务还使用域控制器查找计算机或用户范围内的 GPO。

组策略如何测量链接速度

对于 Windows Server 2008 中的组策略，已改进了慢速链接检测过程。对于 Windows Server 2003 中的组策略，客户端使用 Internet 控制消息协议 (ICMP) 搜索其域控制器，以确定域控制器是否可用以及客户端和域控制器之间的链接速度。在 Windows Server 2008 中，组策略服务使用网络位置感知 (NLA) 服务对客户端和域控制器之间的当前 TCP 通信进行采样以确定链接速度。这种采样是在预处理阶段进行的。

在组策略服务找到域控制器后，它会立即请求 NLA 服务开始对域控制器所在的网络接口上的 TCP 带宽进行采样。组策略服务将继续执行预处理阶段，即，与域控制器进行通信以查找当前计算机的角色（成员或域控制器）、登录的用户以及计算机或用户范围内的 GPO。然后，组策略服务请求 NLA 服务停止对 TCP 通信进行采样，并根据采样结果提供计算机和域控制器之间的估计带宽。如上所述，当 NLA 服务采样结果低于 500 Kbps 时，组策略默认将其视为慢速链接。 可以使用策略设置定义慢速链接以应用组策略，如以下几节中所述。

为慢速链接检测指定组策略设置

您可以部分控制通过慢速链接处理的组策略扩展。默认情况下，在通过慢速链接进行处理时，并不会处理组策略的所有组件。表 5 列出了通过慢速链接处理组策略的默认设置。

表 5 通过慢速链接处理组策略的默认设置

设置

安全性 IP 安全设置 EFS

软件限制策略 无线 管理模板 软件安装 脚本

文件夹重定向 QoS 数据包计划程序 磁盘配额 IE 维护 组策略首选项 Windows 搜索 部署的打印机连接 802.3 组策略

Microsoft 脱机文件

打开 打开 打开 打开

打开（无法禁用） 关闭 关闭 关闭 打开 关闭 打开 打开 打开 关闭 打开 打开

默认

打开（无法禁用）

Internet Explorer 区域映射 打开

可以使用组策略设置定义慢速链接以应用和更新组策略。默认情况下，将低于 500 Kbps 的速率定义为慢速链接。

若要为计算机指定组策略慢速链接检测设置，请在编辑 GPO 时使用位于“计算机配置\\策略\\管理模板\\系统\\组策略”中的“组策略慢速链接检测”策略设置。连接速度的测量单位为 Kbps。 若要为用户配置该策略设置，请使用“用户配置\\策略\\管理模板\\系统\\组策略”中的“组策略慢速链接检测”策略设置。

对于用户配置文件，“用户配置文件的慢速网络连接超时”策略设置位于“计算机配置\\策略\\管理模板\\系统\\用户配置文件”节点中。通过使用该策略设置，组策略可以检查用户配置文件所在的文件服务器的网络性能。此步骤是必需的，因为用户配置文件可以存储在任意位置，并且该服务器可能不支持 IP。在配置该策略设置时，您必须同时使用 Kbps 和毫秒来指定连接速度。 重要事项

如果启用了“不检测慢速网络连接”策略设置，则会忽略“用户配置文件的慢速网络连接超时”策略设置。

如果启用了“删除缓存的漫游配置文件副本”策略设置，则在系统检测到慢速连接时不会加载漫游配置文件的本地副本。

为通过慢速链接处理的客户端扩展设置计算机策略

组策略几乎完全是作为一系列客户端扩展实现的，如安全性、管理模板和文件夹重定向。可以在计算机策略中为每个客户端扩展配置慢速链接行为。在处理组策略时，可以使用这些策略设置指定客户端扩展的行为。每个策略设置最多有三个选项。“允许通过慢速网络连接进行处理”选项控制通过慢速链接的处理策略设置。其他两个选项可用于指定不应在后台处理策略设置；或者，即使未更改策略设置，也要更新并重新应用策略设置。有关客户端扩展的策略的详细信息，请参阅本指南中的为慢速链接检测指定组策略。

某些扩展会移动大量数据，因此，通过慢速链接进行处理可能会影响性能。默认情况下，仅通过慢速链接处理管理模板和安全相关策略设置。 您可以为以下策略设置配置组策略处理设置：

? ? ? ? ? ? ?

软件安装 IP 安全设置 EFS 恢复 磁盘配额

Internet Explorer 维护 脚本

文件夹重定向

? ? ? ? ?

注册表 安全性 有线 无线

组策略首选项

本指南后面的使用组策略控制客户端扩展介绍了如何配置这些策略设置。

组策略和远程访问连接

通过远程访问连接处理组策略与通过慢速链接进行处理不同。组策略是在远程访问连接期间应用的，如下所示：

?

在通过远程连接登录到目标计算机之前，如果用户单击选择一个远程连接选项，并且该计算机是远程访问服务器属于或信任的域的成员，则会应用用户和计算机组策略设置。但不会处理基于计算机的软件安装策略设置，也不会运行基于计算机的启动脚本，因为计算机策略通常是在登录屏幕出现之前处理的。不过，对于远程连接，将在登录过程中通过后台刷新完成计算机策略应用。

在处理完缓存的凭据并建立远程访问连接后，不会应用组策略（后台刷新期间除外）。

?

组策略不会应用于作为工作组成员的计算机，因为计算机策略从不应用于工作组中的计算机。

使用组策略控制客户端扩展

一些组策略组件包含客户端扩展（通常作为 .dll 文件实现），它们负责在目标计算机上处理和应用组策略设置。

对于每个客户端扩展，GPO 处理顺序是从 GPO 列表中获取的，该列表是组策略引擎在处理期间确定的。每个客户端扩展将处理生成的 GPO 列表。

计算机策略用于控制每个组策略客户端扩展的行为。每个策略最多包含三个选项，而某些策略包含更具体的配置选项。在编辑 GPO 时，可通过打开“计算机配置\\策略\\管理模板\\系统\\组策略”文件夹并双击相应扩展的策略，为客户端扩展配置计算机策略。 您可以设置以下计算机策略选项：

?

允许通过慢速网络连接进行处理。少数几个扩展会传输大量数据，因此，通过慢速链接进行处理可能会使性能下降。默认情况下，仅通过慢速链接处理管理模板和安全策略设置。您可以设置此策略，以批准通过慢速链接处理其他客户端扩展。若要控制将哪些链接视为慢速链

接，请使用组策略慢速链接检测策略设置。有关详细信息，请参阅本指南中的为慢速链接检测指定组策略。

?

周期性后台处理期间不要应用。Windows 将在启动时应用计算机策略，然后每 90 分钟重新应用一次。另外，它在用户登录到计算机时应用用户策略，然后大约每 90 分钟在后台重新应用一次。通过使用“周期性后台处理期间不要应用”选项，您可以覆盖这种行为并禁止在后台运行组策略。

备注

软件安装和文件夹重定向扩展仅在启动时和用户登录到网络时处理组策略，以避免在用户可能打开了应用程序和文件时在后台处理这些策略的风险。

?

即使尚未更改组策略对象也进行处理。如果服务器上的 GPO 未发生更改，通常不必将其频繁重新应用于目标计算机，除非要覆盖可能的本地更改。由于以本地管理员身份运行的用户可以修改存储组策略设置的注册表部分，因此，您可能希望根据需要在登录过程中或周期性后台处理期间重新应用这些策略设置，以便将计算机恢复为所需的状态。

例如，假定组策略为某个文件定义了一组特定的安全选项。然后，具有管理凭据的用户登录并更改了这些安全选项。您可能希望启用“即使尚未更改组策略对象也进行处理”选项，以便在下次刷新策略时重新应用组策略中指定的安全选项。相同注意事项也适用于应用程序：在启用该选项的情况下，如果组策略安装了一个应用程序，但用户删除了该应用程序或其图标，下次用户登录到计算机时将重新显示该应用程序。

默认情况下，每 16 小时（960 分钟）应用一次组策略提供的安全策略设置，即使 GPO 未发生更改。可以使用以下子项中的注册表项 MaxNoGPOListChangesInterval 更改此默认时间： 复制

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon \\GPExtensions\\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}. 此项的数据类型为 REG_DWORD，值为分钟数。 注意

不正确地编辑注册表可能会对系统造成严重损坏。在更改注册表之前，应备份计算机上任何有价值的数据。

组策略和 Sysvol

GPO 中的策略设置信息存储在以下两个位置：Active Directory 和域控制器的 Sysvol 文件夹。Active Directory 容器称为组策略容器；Sysvol 文件夹中包含组策略模板。组策略容器包含用于将 GPO 部署到域、OU 和站点的属性。组策略容器还包含组策略模板的路径，该模板存储了大多数组策略设置。

组策略模板中存储的信息包括安全设置、脚本文件以及用于部署应用程序、首选项和基于管理模板的组策略设置的信息。管理模板（.ADMX 文件）为“管理模板”下面显示的项目提供了组策略设置信息。在 Windows Server 2008 的组策略中，您可以在本地存储管理模板，也可以在 Sysvol 中集中存储管理模板。若要集中存储管理模板，您必须先在相应域控制器上的 Sysvol 共享中创建 PolicyDefinitions 文件夹，然后将要在域中应用的管理模板文件复制到该文件夹中。

对 Sysvol 的更新将复制到域中的所有域控制器，这会导致增加网络通信量和域控制器上的负载。因此，要最大限度降低该操作在域中造成的影响，我们建议您在非核心工作时间安排将管理模板复制到 Sysvol 的操作。

Windows Server 2008 和 Windows Vista 中的管理模板文件分为 .ADMX（与语言无关）和 .ADML（语言特定的）文件。这两种文件格式替代 Windows 早期版本中使用的 .ADM 文件格式，后者使用专用的标记语言。.ADML 文件是基于 XML 的 ADM 语言文件，这些文件存储在语言特定的文件夹中。例如，英语（美国）.ADML 文件存储在名为 “en-US”的文件夹中。默认情况下，本地计算机上的 %Systemroot%\\PolicyDefinitions 文件夹存储在该计算机上启用的所有语言的所有 .ADMX 文件和 .ADML 文件。

若要下载 Windows Server 2008 管理模板文件，请参阅“Windows Server 2008 的管理模板 (ADMX)”(http://go.microsoft.com/fwlink/?LinkId=116434)（可能为英文网页）。

在 Sysvol 文件夹中存储 ADMX 文件的优点

创建和使用管理模板中央存储有两个主要优点。第一个优点是复制的域管理模板中央存储位置。Windows Server 2008 附带的 GPMC 始终使用管理模板中央存储，而不是使用本地版本的管理模板。这样，您就可以为整个域提供一组认可的管理模板。

在 Sysvol 文件夹中存储管理模板的另一个优点是，可以提供各种不同语言的管理模板。对于跨不同国家/地区或使用不同语言的环境来说，这是非常有用的。例如，如果将管理模板存储在 Sysvol 文件夹中，一个域的管理员可以使用英语查看管理模板策略设置，而同一个域的另一个管理员可以使用法语查看相同的策略设置。

有关管理 ADMX 文件以及如何创建中央存储的详细信息，请参阅“管理组策略 ADMX 文件循序渐进指南”(http://go.microsoft.com/fwlink/?LinkId=75124)（可能为英文网页）。

在 Sysvol 文件夹中存储 ADMX 文件的缺点

创建和使用管理模板中央存储的优点是非常突出的；但也存在一些小缺点。在编辑、建模或报告 GPO 时，GPMC 将读取整个管理模板文件集。因此，GPMC 必须通过网络读取这些文件。如果决定创建管理模板中央存储，应始终将 GPMC 连接到最近的域控制器上。 备注

中央存储产生的额外网络通信仅限于 GPMC 用户。应用和处理组策略的客户端不会读取管理模板。

更新 Sysvol

在 Windows Vista 之前的 Microsoft Windows 版本的组策略中，如果在本地计算机上修改管理模板策略设置，则会使用新 ADM 文件自动更新域中的域控制器上的 Sysvol 共享。在 Windows Server 2008 和 Windows Vista 的组策略中，如果在本地计算机上修改管理模板策略设置，则不会使用新 ADMX 或 ADML 文件自动更新 Sysvol。实现的这种行为更改可降低网络负载和磁盘存储要求；在不同区域设置中编辑管理模板策略设置时，还可以防止 ADMX 文件和 ADML 文件之间发生冲突。若要确保任何本地更新在 Sysvol 中也反映出来，您必须手动将更新的 ADMX 或 ADML 文件从本地计算机上的 PolicyDefinitions 文件夹复制到相应域控制器上的 Sysvol\\PolicyDefinitions 文件夹中。

更改组策略刷新间隔

可以使用以下策略设置之一更改默认刷新策略间隔设置：“计算机的组策略刷新间隔”、“域控制器组的组策略刷新间隔”或“用户的组策略刷新间隔”。通过使用这些策略设置，您可以指定 0 到 64,800 分钟（45 天）的更新频率。 重要事项

如果将刷新间隔设置为 0 分钟，计算机将尝试每 7 秒更新一次组策略。由于此类更新可能会干扰用户的工作并增加网络通信量，因此，很短的更新间隔仅适用于测试环境。

若要防止在使用计算机时更新组策略，您可以启用“关闭组策略的后台刷新”策略设置。如果启用了该策略设置，系统将等到当前用户注销系统后再更新组策略设置。

计算机的组策略刷新间隔

此策略设置指定了 Windows 在后台更新计算机组策略的频率。它仅为计算机组策略设置指定了后台更新频率。默认情况下，Windows 在后台每 90 分钟更新一次计算机组策略，随机偏差为 0–30 分钟。除了后台更新以外，还始终在系统启动时更新计算机组策略。该策略设置位于“计算机配置\\策略\\管理模板\\系统\\组策略”下面。

域控制器的组策略刷新间隔

此策略设置指定了 Windows 在域控制器后台更新组策略的频率。默认情况下，Windows 在域控制器上每 5 分钟更新一次组策略。该策略设置位于“计算机配置\\策略\\管理模板\\系统\\组策略”下面。

用户的组策略刷新间隔

此策略设置仅为用户组策略设置指定 Windows 在后台更新组策略的频率。除了后台更新以外，还始终在用户登录时更新用户组策略。该策略位于“用户配置\\策略\\管理模板\\系统\\组策略”下面。

关闭组策略后台刷新

此策略设置禁止 Windows 在使用计算机时应用组策略设置。该策略设置适用于计算机、用户和域控制器的组策略。该策略设置位于“计算机配置\\策略\\管理模板\\系统\\组策略”项目下面。

运行命令行选项以刷新策略

从给定计算机中，您可以使用 Gpupdate.exe 工具刷新部署到该计算机上的策略设置。表 6 介绍了 Gpupdate.exe 参数。Gpupdate.exe 工具可以在 Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP 环境中使用。 Gpudate.exe 工具使用以下语法：

复制

gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot] [/sync]

表 6 Gpudate.exe 参数

参数

描述

根据指定的目标，Gpupdate.exe 将处理计算机策略设置和/或当前用户

/target:{computer|user}

策略设置。默认情况下，将处理计算机和用户策略设置。 /force /wait:value

重新应用所有策略设置并忽略处理优化。默认情况下，仅应用更改的策略设置。

指定策略处理等待完成的秒数。默认值是 600 秒。值为 0 表示不等待；-1 表示无限期等待。

在策略刷新完成后注销。对于不是在后台刷新周期处理而是在用户登录时处理的组策略客户端扩展（如用户软件安装和文件夹重定向），必须使用此选项。如果未调用要求用户注销的扩展，此选项将不起作用。 在策略刷新完成后重新启动计算机。对于不是在后台刷新周期处理而是在计算机启动时处理的组策略客户端扩展（如计算机软件安装），必须使用此选项。如果未调用要求重新启动计算机的扩展，此选项将不起作用。

强制使下一个前台策略应用保持同步。前台组策略处理是在计算机启动和用户登录时完成的。可以使用 /target 参数为用户和/或计算机指定前台策略应用。如果指定了此参数以及 /force 和 /wait 参数，则忽略 /force 和 /wait 参数。 在命令提示符下显示帮助。

/logoff

/boot

/sync

/?

使用组策略建模和组策略结果评估组策略设置

在生产环境中部署组策略之前，务必确定配置的各种策略设置的效果以及它们的总体效果。评估组策略部署的主要机制是创建暂存环境，然后使用测试帐户进行登录。这是了解所有应用的 GPO 设置的影响和交互的最好方法。要创建成功管理的环境，暂存组策略部署是至关重要的。有关详细信息，请参阅本指南中的暂存组策略部署。

对于至少包含一个 Windows Server 2008 域控制器的 Active Directory 网络，可以使用 GPMC 中的组策略建模模拟将 GPO 部署到任何目标计算机的情况。查看 GPO 实际应用情况的主要工具是使用 GPMC 中的组策略结果。

使用组策略建模模拟策略的结果集

GPMC 中的组策略建模向导可以计算模拟的 GPO 实际效果。组策略建模还可以模拟如下因素：安全组成员、WMI 筛选器评估以及将用户或计算机对象移到不同 Active Directory 容器中的效果。这种模拟是由在运行 Windows Server 2008 或 Windows Server 2003 的域控制器上运行的服务执行的。将 HTML 格式报告这些计算的策略设置，并在 GPMC 中的选定查询细节窗格的“设置”选项卡上显示这些设置。若要展开和隐藏每个项目下面的策略设置，请单击“隐藏”或“显示全部”，以便查看所有策略设置或只查看几种设置。若要执行组策略建模，您必须至少有一个运行 Windows Server 2008 或 Windows Server 2003 的域控制器，并且在包含要运行查询的对象的域或 OU 上必须具有“执行组策略建模分析”权限。

若要运行该向导，请在 GPMC 控制台树中右键单击“组策略建模”（或 Active Directory 容器），然后单击“组策略建模向导”。如果从 Active Directory 容器中运行该向导，该向导将使用该容器的轻型目录访问协议 (LDAP) 可分辨名称填充用户和计算机的“容器”字段。

在完成该向导后，显示的结果就像来自单个 GPO 一样。这些结果还会保存为查询，由 GPMC 的“组策略建模”中的新项目表示。在“入选的 GPO”标题下面，还会显示负责每种策略设置的 GPO。也可以右键单击查询项目，然后单击“高级查看”以查看更详细的优先级信息（例如，尝试设置策略设置但没有成功的 GPO）。在执行此操作时，将会打开“策略的结果集”管理单元。在策略的结果集中查看策略设置的属性时，请注意，每种策略设置都有一个“优先级”选项卡。

切记，组策略建模不包括评估任何本地 GPO 的操作。因此，在某些情况下，您可能会看到模拟结果和实际结果存在差异。可通过右键单击查询并单击“保存报告”来保存建模结果。 备注

Windows Server 2008 和 Windows Vista 中包含一种新策略设置，即，“关闭本地组策略对象处理”。可以使用该设置禁用本地组策略处理。该策略设置位于“计算机配置\\策略\\管理模板\\系统\\组策略”下面。

使用组策略结果确定策略的结果集

可以使用组策略结果向导从目标计算机中获取 RSoP 数据，以确定哪些组策略设置对用户或计算机有效。与组策略建模相比，组策略结果显示的是应用于目标计算机的实际组策略设置。目标计算机必须运行 Windows XP Professional 或更高版本。

将以 HTML 格式报告这些策略设置，并在 GPMC 浏览器窗口中的选定查询细节窗格的“摘要”和“设置”选项卡上显示这些设置。可以单击隐藏或显示全部以展开和折叠每个项目下面的策略设置，以便查看所有策略设置或只查看几种设置。若要远程访问用户或计算机的组策略结果数据，您必须在包含该用户或计算机的域或 OU 上具有“远程访问组策略结果数据”权限，或者您必须是相应计算机上的本地 Administrators 组的成员并具有到目标计算机的网络连接。 可通过右键单击“组策略结果”项目并单击“组策略结果向导”来运行该向导。

在完成该向导后，GPMC 将创建一个报告，以显示在向导中指定的用户和计算机的 RSoP 数据。在“入选的 GPO”标题下面，将显示负责“设置”选项卡上的每种策略设置的 GPO。 可通过右键单击查询并单击“保存报告”来保存这些结果。

使用 Gpresult.exe 评估策略设置

可以在本地计算机上运行 Gpresult.exe 以获取与 GPMC 中的组策略结果向导相同的数据。默认情况下，Gpresult.exe 返回运行该工具的计算机上的有效策略设置。

对于 Windows Server 2008 和 Windows Vista Service Pack 1，Gpresult.exe 使用以下语法： 复制

gpresult [/s [/u \\ /p ]] [/scope {user|computer}] [/user ] [/r | /v | /z] [/x | /h [/f]] 表 7 说明了 Gpresult.exe 参数。

表 7 Gpresult.exe 参数

参数

/s /u \\ /p /scope

{user | computer} /user

描述

指定远程计算机的名称或 IP 地址。（请勿使用反斜杠。）默认为本地计算机。

请使用由 或 指定的用户的帐户权限运行该命令。默认设置是使用当前登录到执行该命令的计算机上的用户的权限。 指定在 /u 参数中指定的用户帐户的密码。

显示用户或计算机结果。有效的 /scope 参数值是 user 或 computer。如果省略 /scope 参数，Gpresult 将显示用户和计算机策略设置。 指定要显示 RSoP 数据的用户的用户名。

/r /v /z

显示 RSoP 摘要数据。 指定输出显示详细策略信息。

指定输出显示组策略的所有可用信息。由于此参数生成的信息比 /v 参数多，因此，请在使用此参数时将输出重定向到一个文本文件（例如，gpresult /z >policy.txt）。

使用 参数指定的文件名，以 XML 格式将报告保存在某个位置中（在

Windows Server 2008 和 Windows Vista SP1 中有效）。

/x

/h /f /?

使用 参数指定的文件名，以 HTML 格式将报告保存在某个位置中（在

Windows Server 2008 和 Windows Vista SP1 中有效）。 强制要求 Gpresult 覆盖在 /x 或 /h 参数中指定的文件名。 在命令提示符下显示帮助。

在计算机上运行 Gpresult.exe

1. 打开权限提升的命令提示符。若要打开权限提升的命令提示符，请单击「开始」，右键单击

“命令提示符”，然后单击“以管理员身份运行”。

2. 在命令提示符下，键入 gpresult /h gpresult.html /f。 3. 在命令提示符下，键入 Start gpresult.html 以查看该文件。

备份、还原、迁移和复制 GPO

GPMC 提供了备份、还原、迁移和复制现有 GPO 的机制。这些功能对于在发生错误或灾难时保持组策略部署是至关重要的。通过使用这些功能，有助于避免手动重新创建丢失或损坏的 GPO 并重新执行规划、测试和部署阶段。当前的组策略操作计划应包括定期备份所有 GPO。请通知所有组策略管理员如何使用 GPMC 还原 GPO。

GPMC 还提供了在相同域中以及不同域之间复制和导入 GPO 的功能。例如，可以使用 GPMC 将现有 GPO 从现有域迁移到新部署的域中。您可以复制 GPOs，或者将一个 GPO 中的策略设置导入到另一个 GPO 中。这样做可以节省很多时间并避免不必要的麻烦，您只要重复使用现有 GPO 的内容即可。如果在环境间配置了正确的信任关系，则可以通过复制 GPO 直接从暂存阶段过渡到生产阶段。导入 GPO 可将策略设置从备份的 GPO 传输到现有 GPO 中，这对于源域和目标域之间没有信任关系的场合特别有用。如果要重复使用现有的 GPO，也可以通过复制方便地将 GPO 从一个生产环境移到另一个生产环境。

将 GPMC 与 GPO 一起使用

若要创建 GPO 备份，您必须至少具有 GPO 的读取访问权限，并具有存储备份的文件夹的写入访问权限。请参阅图 6 以帮助您确定下列步骤中引用的内容。

使用 GPMC 备份 GPO 和查看 GPO 备份

备份操作可将生产 GPO 备份到文件系统中。备份位置可以是您具有写入访问权限的任意文件夹。在备份 GPO 后，必须使用 GPMC 显示和处理备份文件夹的内容，您可以使用 GPMC UI 显示和处理这些内容，也可以使用脚本以编程方式进行显示和处理。不要直接通过文件系统处理存档的 GPO。在备份 GPO 后，请通过 GPMC 使用导入和还原操作来处理存档的 GPO。 备注

可以将相同 GPO 的多个实例备份到同一位置，因为 GPMC 可唯一地标识每个备份实例，并提供了选择要使用的存档 GPO 实例的机制。例如，在通过 GPMC 查看备份文件夹的内容时，您可以选择仅显示最新的备份。如果在更改 GPO 后对其进行备份，并且以后需要还原该 GPO 的以前版本，这可能是非常有用的。

备份域中的所有 GPO

1. 在 GPMC 控制台树中，展开包含要备份的 GPO 的林或域。 2. 右键单击“组策略对象”，然后单击“全部备份”。

3. 在“备份组策略对象”对话框中，输入要将 GPO 备份存储到的位置的路径。或者，也可以

单击“浏览”，找到要存储 GPO 备份的文件夹，然后单击“确定”。 4. 键入要备份的 GPO 的说明，然后单击“备份”。

5. 在完成备份操作后，将显示一个摘要，其中列出了成功备份的 GPO 数量以及未备份的任何

GPO。

6. 单击“确定”。 备份特定 GPO

1. 在 GPMC 控制台树中，展开包含要备份的 GPO 的林或域中的“组策略对象”。 2. 右键单击要备份的 GPO，然后单击“备份”。

3. 在“备份组策略对象”对话框中，输入要将 GPO 备份存储到的位置的路径。或者，也可以

单击“浏览”，找到要存储 GPO 备份的文件夹，然后单击“确定”。 4. 键入要备份的 GPO 的说明，然后单击“备份”。

5. 在完成备份操作后，将显示一个摘要，以指示备份是否成功完成。 6. 单击“确定”。 查看 GPO 备份列表

1. 在 GPMC 控制台树中，展开包含要备份的 GPO 的林或域。 2. 右键单击“组策略对象”，然后单击“管理备份”。 3. 在“管理备份”对话框中，输入要查看的 GPO 备份的存储位置路径。或者，也可以单击“浏

览”，找到包含 GPO 备份的文件夹，然后单击“确定”。

4. 若要指定仅在“已备份的 GPO”列表中显示最新版本的 GPO，请选中“只显示每一个 GPO

的最新版本”复选框。单击“关闭”。 重要事项

为了保护备份的 GPO，请确保只有经过授权的管理员有权访问将 GPO 保存到的文件夹。请使用备份 GPO 的文件系统上的安全权限。

使用 GPMC 还原 GPO

您也可以还原 GPO。此操作将备份的 GPO 还原到从中备份 GPO 的同一域中。无法将 GPO 从备份还原到与 GPO 原始域不同的域中。 还原现有 GPO 的以前版本

1. 在 GPMC 控制台树中，展开包含要还原的 GPO 的林或域中的“组策略对象”。 2. 右键单击要还原到以前版本的 GPO，然后单击“从备份还原”。

3. 在打开“还原组策略对象向导”时，请按照向导中的说明进行操作，然后单击“完成”。

4. 在完成还原操作后，将显示一个摘要，以指示还原是否成功完成。单击“确定”。 还原删除的 GPO

1. 在 GPMC 控制台树中，展开包含要还原的 GPO 的林或域。 2. 右键单击“组策略对象”，然后单击“管理备份”。

3. 在“管理备份”对话框中，单击“浏览”，然后找到包含备份的 GPO 的文件。 4. 在“已备份的 GPO”列表中，单击要还原的 GPO，然后单击“还原”。 5. 当系统提示您确认还原操作时，单击“确定”。

6. 在完成还原操作后，将显示一个摘要，以指示还原是否成功完成。单击“确定”。单击“关

闭”。

备份和还原 WMI 筛选器数据、IPsec 策略设置和到 OU 的链接

到 WMI 筛选器和 IPsec 策略的链接存储在 GPO 中，它们是作为 GPO 的一部分备份的。在还原 GPO 时，如果基本对象在 Active Directory 中仍存在，则会保留这些链接。不过，到 OU 的链接不是备份数据的一部分，在还原操作期间不会还原这些链接。

在这些过程中，不会备份或还原存储在 GPO 外部的策略设置，如 WMI 筛选器数据和 IPsec 策略设置。若要备份和还原少数几个 WMI 筛选器，您可以在 GPMC 中单击“WMI 筛选器”项目或该项目下面的特定 WMI 筛选器，然后根据需要使用“导入”或“导出”命令。有关如何导入或导出 WMI 筛选器的信息，请参阅 GPMC 帮助中的“导入 WMI 筛选器”和“导出 WMI 筛选器”。由于每次只能使用这些命令导入或导出一个 WMI 筛选器，因此，只有在需要备份或还原几个 WMI 筛选器时，才建议您使用这种方法。

若要备份和还原大量 WMI 筛选器，您可以使用 Ldifde 命令行工具，如“自定义检查 - 导入和导出 WMI 筛选器”中所述 (http://go.microsoft.com/fwlink/?linkid=109519)（可能为英文网页）。 备注

Ldifde 是内置到 Windows Server 2008 中的命令行工具。如果安装了 AD DS 或 Active Directory 轻型目录服务 (AD LDS) 服务器角色，则会提供该工具。若要使用 Ldifde，您必须从提升权限的命令提示符中运行 Ldifde 命令。有关详细信息，请参阅

“Ldifde”(http://go.microsoft.com/fwlink/?LinkId=110104)（可能为英文网页）。 如果将 IPsec 策略分配给 GPO，则会记录指向该 IPsec 策略的指针，它位于 GPO 属性

ipsecOwnersReference 内。GPO 本身只包含对 IPsec 策略的 LDAP 可分辨名称引用。组策略仅用于将策略分配传递给计算机的 IPsec 服务。然后，计算机的 IPsec 服务从 Active Directory 中检索 IPsec 策略，在本地维护当前的策略缓存，并使用 IPsec 策略本身中指定的轮询间隔将其保持最新状态。

若要备份和还原 IPsec 策略设置，您必须使用“IP 安全策略管理”管理单元中的“导出策略”和“导入策略”命令。通过使用“导出策略”命令，您可以导出所有本地 IPsec 策略，然后将其保存在具有 .ipsec 扩展名的文件中。

使用 GPMC 复制 GPO 和导入 GPO 设置

在 GPMC 中，您可以在相同域中以及不同域之间复制 GPO，以及将组策略设置从一个 GPO 导入到另一个 GPO 中。在生产环境中进行部署之前，请在暂存过程中执行这些操作。还可以使用这些操作，将 GPO 从一个生产环境迁移到另一个生产环境。

虽然包含 GPO 的策略设置集合在逻辑上是单一实体，但单个 GPO 的数据以多种不同的格式存储在多个位置中。一些数据包含在 Active Directory 中，另外一些数据存储在域控制器上的 Sysvol 文件夹中。这意味着，不能简单地通过将文件夹从一个计算机复制到另一个计算机来复制 GPO。不过，GPMC 提供了内置支持，您可以安全且相对简单地执行此操作。

复制操作可将当前的现有 GPO 复制到所需的目标域中。在该过程中，将始终创建一个新 GPO。目标域可以是您有权创建新 GPO 的任何受信任域。只需在 GPMC 中添加所需的林和域，然后使用 GPMC 从一个域中复制所需的 GPO 并将其粘贴（或拖放）到另一个域中。若要复制 GPO，您必须具有在目标域中创建 GPO 的权限。

在复制 GPO 时，除了复制 GPO 中的策略设置以外，您还可以复制 GPO 的随机访问控制列表 (DACL)。它用于确保复制操作期间创建的 GPO 与原始 GPO 具有相同的安全筛选和委派选项。 通过导入 GPO，您可以将策略设置从备份的 GPO 传输到现有 GPO。GPO 导入仅传输 GPO 设置；它不会修改目标 GPO 上的现有安全筛选或链接。GPO 导入对于在不受信任的环境之间迁移 GPO 非常有用，因为您只需要访问备份的 GPO，而无需访问生产 GPO。由于导入操作仅修改策略设置，因此，只要具有目标 GPO 的编辑权限就可以执行该操作。

在复制或导入 GPO 时，如果 GPO 包含的安全主体或 UNC 路径在复制到目标域时可能需要进行更新，您可以指定一个迁移表。可以使用迁移表编辑器 (MTE) 创建和编辑迁移表。下一节“使用迁移表”中介绍了迁移表。 复制 GPO

1. 在 GPMC 控制台树中，展开包含要复制的 GPO 的林和域中的“组策略对象”。 2. 右键单击要复制的 GPO，然后单击“复制”。 3. 请执行下列操作之一：

o 若要将 GPO 副本放在与源 GPO 相同的域中，请右键单击“组策略对象”，然后单击

“粘贴”。

o

若要将 GPO 副本放在不同的域中（在相同或不同的林中），请展开目标域，右键单击“组策略对象”，然后单击“粘贴”。

如果要在域中进行复制，请单击“新 GPO 使用默认权限”或“保留现有权限”，然后单击“确定”。

o

4. 如果要复制到另一个域或从另一个域中进行复制，请按照向导中的说明执行操作，然后单击

“完成”。

将策略设置从备份的 GPO 导入到某个 GPO

1. 在 GPMC 控制台树中，展开包含要将策略设置导入到的 GPO 的林和域中的“组策略对象”。 2. 右键单击要将策略设置导入到的 GPO，然后单击“导入设置”。

3. 在打开“导入设置向导”时，请按照打开的向导中的说明进行操作，然后单击“完成”。 4. 在完成导入操作后，将显示一个摘要，以指示导入是否成功完成。单击“确定”。

使用迁移表

由于 GPO 中的某些数据是域特定的数据，在直接复制到另一个域时可能会失效，因此，GPMC 提供了迁移表。迁移表是一个简单的表格，它指定了源值和目标值之间的映射。图 7 显示了 GPMC 的 MTE 中的迁移表。

在复制或导入操作期间，迁移表会将 GPO 中的引用转换为可在目标域中使用的新引用。通过使用迁移表，可以在导入或复制操作过程中将安全主体和 UNC 路径更改为新值。迁移表是使

用 .migtable 文件扩展名存储的，这些迁移表实际上是 XML 文件。您无需了解 XML 即可创建或编辑迁移表；GPMC 提供了用于处理迁移表的 MTE。

迁移表包含一个或多个映射项。每个映射项包含源类型、源引用和目标引用。如果在执行导入或复制操作时指定了迁移表，在将策略设置写入到目标 GPO 时，将使用目标项替换对源项的每个引用。在使用迁移表之前，请确保迁移表中指定的目标引用已经存在。 以下项目可能包含安全主体，可以使用迁移表对其进行修改：

?

以下类型的安全策略设置：

o o o o o

用户权限分配 受限制的组 系统服务 文件系统 注册表

?

高级文件夹重定向策略设置

? ?

复制操作期间保留的 GPO DACL

软件安装对象的 DACL，仅在指定了复制 GPO DACL 的选项时才保留

另外，以下项目可能包含 UNC 路径，可能需要在导入或复制操作过程中将这些路径更改为新值，因为可能无法从 GPO 迁移到的域中访问原始域中的服务器：

? ? ?

文件夹重定向组策略设置 软件安装组策略设置

对存储在源 GPO 外部的脚本的引用（例如，登录和启动脚本）。在 GPO 复制或导入操作过程中不会复制脚本本身，除非脚本存储在源 GPO 内部。

有关使用迁移表的详细信息，请参阅本指南中的暂存组策略部署。

维护组策略

在部署后，当组织及其需求发生变化时以及随着您的组策略经验不断丰富，您可能需要对组策略实现进行日常维护和修改。通过确定用于创建、链接、编辑、导入策略设置以及备份和还原 GPO 的控制步骤，您可以最大限度减少由于未正确规划组策略部署而拨打的技术支持电话。您还可以简化解决 GPO 问题的过程，并有助于降低网络中的计算机的总拥有成本。 通过确定 GPO 控制机制，您可以创建满足以下条件的 GPO：

? ?

符合企业标准。

确保策略设置不会与其他人员设置的策略设置发生冲突。

为了帮助解决 GPO 问题，您可以使用 GPMC 组策略结果向导查找可能的组策略部署错误。有关该工具的详细信息，请参阅本指南中的使用组策略建模和组策略结果评估组策略设置。在将新组策略设置部署到生产环境中之前，还可以使用 GPMC 组策略建模向导评估它产生的后果。

每次部署新的技术解决方案（如无线网络）时，您都需要重新检查组策略配置，以确保其与新技术保持兼容。为了帮助管理各种技术，组策略提供了一些策略设置，例如，用于无线网络 (IEEE 802.11) 策略的策略设置（位于“计算机配置\\策略\\Windows 设置\\安全设置”中）、用于终端服务的策略设置（位于“计算机配置\\策略\\管理模板\\Windows 组件”和“用户配置\\策略\\管理模板\\Windows 组件”中）以及用于很多其他技术的策略设置。

修改组策略设置可能会带来非常严重的后果。在执行组策略维护时，您需要在部署之前采取适当的预防措施，以便在暂存环境中测试建议的更改并评估其效果。

用于重命名域的组策略注意事项

域名是使组策略实现保持正常运行的重要部分。在 Windows Server 2008 家族中，可以使用 Windows Server 2008 附带的域重命名工具（Rendom.exe 和 GPfixup.exe）来重命名域。域重命名工具提供了一种安全且受支持的方法来重命名 Active Directory 林中的一个或多个域（以及应用程序目录分区）。 重要事项

在域重命名完成后，请确保使用 GPMC 备份所有 GPO。在重命名某个域后，您无法还原在域重命名之前进行的备份。

重命名一个或多个域是一个非常复杂的过程，您需要全面规划并充分了解域重命名步骤。还必须修改任何受影响的 GPO，以使其正常工作。若要修改 GPO，请使用 Windows Server 2008 附带的 Gpfixup.exe 工具。Gpfixup.exe 可以修复每个重命名的域中的 GPO 和 GPO 引用。在执行域重命名操作后，必须修复 GPO 和组策略链接以更新这些 GPO 及其链接中嵌入的旧域名。 重要事项

有关域重命名过程的详细信息，请参阅 Windows Server 2008 技术中心

(http://go.microsoft.com/fwlink/?LinkId=100876)（可能为英文网页）。

使用脚本管理组策略

您可以下载使用 GPMC 界面的示例脚本，以及为 GPMC 支持的很多操作编写脚本。GPMC 示例脚本是脚本工具包的基础，可以使用该工具包来解决特定的管理问题。例如，可以运行查询以查找域中所有具有重复名称的 GPO，或者生成域中禁用或部分禁用了策略设置的所有 GPO 的列表。这些脚本还说明了关键脚本对象和方法，以简要说明可以使用 GPMC 完成的很多管理任务。有关这些脚本的信息，请参阅“组策略控制台脚本示例”(http://go.microsoft.com/fwlink/?LinkId=109520)（可能为英文网页）。

默认情况下，在下载 GPMC 示例脚本时，这些脚本将安装在 Program Files\\Microsoft Group Policy\\GPMC Sample Scripts 文件夹中。这些示例脚本将输出回显到命令窗口，必须使用

Cscript.exe 运行这些脚本。如果 Cscript.exe 不是默认脚本主机，则需要在命令行中明确指定 Cscript.exe。例如，键入 d: \\Program Files\\Microsoft Group Policy\\GPMC Sample Scripts>cscript ListAllGPOs.wsf。若要将 Cscript.exe 作为默认脚本主机，请在命令行中键入 cscript //h:cscript。

很多示例脚本依靠 Lib_CommonGPMCFunctions.js 文件中包含的常见 helper 函数库。如果将这些脚本复制到其他位置，您还必须将此库文件复制到该位置，以使脚本示例能够正常工作。

暂存组策略部署

Windows Server 2008 组策略提供了非常强大的功能，以便在组织中部署配置更改。与组织中的任何其他更改一样，组策略部署和持续更新要求进行周密规划和测试，以确保实现具有高可用性且安

本文来源：https://www.bwwdw.com/article/78lp.html