1. 新建 GPO
打开 GPMC → 展开域 iehang.cn → 右键 组策略对象 → 新建
输入名称:GPO-IT-Desktop-Settings → 选择 Starter GPO(可选)→ 确定
右键新建的 GPO → 编辑 → 在组策略管理编辑器中配置具体设置
# 创建新的 GPO
New-GPO -Name "GPO-IT-Desktop-Settings" -Comment "IT部门桌面环境配置"
# 创建并立即链接到 OU
New-GPO -Name "GPO-Finance-Lockdown" -Comment "财务部安全锁定策略" |
New-GPLink -Target "OU=财务部,DC=iehang,DC=cn"
# 从现有 GPO 创建副本
Copy-GPO -SourceName "GPO-IT-Desktop-Settings" `
-TargetName "GPO-RD-Desktop-Settings"2. GPO 链接与作用域
GPO 创建后必须 链接 到站点、域或 OU 才会生效。
2.1 链接 GPO
在 GPMC 中,右键目标 OU(如 IT信息部)→ 链接现有 GPO
选择 GPO-IT-Desktop-Settings → 确定
在 OU 下的 链接的组策略对象 选项卡中可调整链接顺序和状态
# 将 GPO 链接到 OU
New-GPLink -Name "GPO-IT-Desktop-Settings" `
-Target "OU=IT信息部,DC=iehang,DC=cn" `
-LinkEnabled $true
# 设置链接顺序(1 = 最高优先级)
Set-GPLink -Name "GPO-IT-Desktop-Settings" `
-Target "OU=IT信息部,DC=iehang,DC=cn" `
-Order 1
# 禁用链接(不删除)
Set-GPLink -Name "GPO-IT-Desktop-Settings" `
-Target "OU=IT信息部,DC=iehang,DC=cn" `
-LinkEnabled $false
# 删除链接
Remove-GPLink -Name "GPO-IT-Desktop-Settings" `
-Target "OU=IT信息部,DC=iehang,DC=cn"2.2 禁止替代与阻止继承
# 设置"禁止替代"(Enforce)
Set-GPLink -Name "GPO-Company-Security" `
-Target "DC=iehang,DC=cn" `
-Enforced $true
# 阻止继承(在 OU 上设置)
Set-GPInheritance -Target "OU=研发部,DC=iehang,DC=cn" `
-IsBlocked $true3. 安全筛选
默认情况下 GPO 链接到 OU 后,Authenticated Users 组有"应用组策略"权限。通过安全筛选可以精确控制 GPO 应用到哪些对象。
在 GPMC 中,选择 GPO → 作用域 选项卡 → 安全筛选 区域
移除默认的 Authenticated Users
添加目标安全组,如 GG-IT-Users
# 创建安全组
New-ADGroup -Name "GG-IT-Users" -GroupScope Global `
-Path "OU=Users,OU=IT信息部,DC=iehang,DC=cn"
# 设置安全筛选:仅 IT 用户组应用此 GPO
Set-GPPermissions -Name "GPO-IT-Desktop-Settings" `
-PermissionLevel GpoApply `
-TargetName "GG-IT-Users" -TargetType Group
# 移除 Authenticated Users 的应用权限
Set-GPPermissions -Name "GPO-IT-Desktop-Settings" `
-PermissionLevel None `
-TargetName "Authenticated Users" -TargetType Group4. WMI 筛选器
WMI 筛选器根据 WMI 查询条件动态决定 GPO 是否应用。例如:仅对 Windows 11 应用策略。
# 创建 WMI 筛选器:仅 Windows 11
$filter = New-GPOWmiFilter -Name "WMI-Win11-Only" `
-Expression "SELECT * FROM Win32_OperatingSystem WHERE Caption LIKE '%Windows 11%'" `
-Description "仅 Windows 11 客户端"
# 将 WMI 筛选器绑定到 GPO
Set-GPWmiFilter -Name "GPO-Win11-Settings" `
-WmiFilter $filter
# 常用 WMI 查询示例
# 仅 Windows 10/11 客户端
# SELECT * FROM Win32_OperatingSystem WHERE ProductType = '1'
# 仅服务器
# SELECT * FROM Win32_OperatingSystem WHERE ProductType != '1'
# 仅 64 位系统
# SELECT * FROM Win32_OperatingSystem WHERE OSArchitecture = '64-bit'5. GPO 备份与还原
# 备份单个 GPO
Backup-GPO -Name "GPO-IT-Desktop-Settings" `
-Path "E:\GPO-Backup"
# 备份所有 GPO
Backup-GPO -All -Path "E:\GPO-Backup"
# 还原 GPO(还原到备份时的状态)
Restore-GPO -Name "GPO-IT-Desktop-Settings" `
-Path "E:\GPO-Backup"
# 从备份导入到新 GPO(跨域迁移)
Import-GPO -BackupGpoName "GPO-IT-Desktop-Settings" `
-TargetName "GPO-IT-Desktop-Settings-New" `
-Path "E:\GPO-Backup"
# 查看备份记录
Get-GPOBackup -All -Path "E:\GPO-Backup"6. GPO 委派管理
将 GPO 的编辑权限委派给特定用户或组,实现分级管理。
# 委派 GPO 编辑权限
Set-GPPermissions -Name "GPO-IT-Desktop-Settings" `
-PermissionLevel GpoEdit `
-TargetName "GG-IT-Admins" -TargetType Group
# 委派 GPO 只读权限
Set-GPPermissions -Name "GPO-IT-Desktop-Settings" `
-PermissionLevel GpoRead `
-TargetName "GG-IT-Auditors" -TargetType Group7. 常见问题
① 在客户端运行 gpupdate /force 强制刷新 ② 检查安全筛选是否包含目标用户/计算机 ③ 检查 GPO 链接是否启用 ④ 用 gpresult /r 查看实际应用的 GPO 列表 ⑤ 检查 WMI 筛选器条件是否匹配
禁止替代(Enforce):在 GPO 链接上设置,确保该 GPO 的设置不被下级覆盖。阻止继承(Block Inheritance):在 OU 上设置,阻止所有上级 GPO 传递到该 OU。禁止替代优先级高于阻止继承。
① GPO 自身记录修改时间:Get-GPO -Name "xxx" | Select ModificationTime ② 定期备份 GPO 可对比变更 ③ 启用 AD 审计策略记录 GPO 修改事件 ④ 使用 ChangeTracker 等第三方工具