1. 组策略概述
组策略(Group Policy)是 Windows 域环境中集中管理和配置操作系统、应用程序、用户设置的核心机制。
💡 组策略核心能力
- 安全加固 — 统一配置密码策略、账户锁定、用户权限
- 环境标准化 — 统一桌面壁纸、驱动器映射、IE/Edge 设置
- 软件分发 — 通过组策略自动安装/卸载软件
- 合规管控 — 审计策略、AppLocker 应用白名单
- 自动化运维 — 开关机脚本、文件夹重定向
1.1 组策略两大分类
| 类型 | 说明 | 应用对象 |
|---|---|---|
| 计算机配置 | 影响计算机的操作系统设置,开机时应用 | 计算机对象 |
| 用户配置 | 影响用户的工作环境,登录时应用 | 用户对象 |
1.2 策略 vs 首选项
| 对比项 | 策略(Policy) | 首选项(Preference) |
|---|---|---|
| 强制性 | 强制应用,用户无法修改 | 非强制,用户可修改 |
| 注册表位置 | Policies 注册表项 | 普通注册表项 |
| 刷新行为 | 每次刷新重新强制应用 | 仅应用一次(除非配置"每次应用") |
| 目标筛选 | 不支持 | 支持项目级目标筛选(ILT) |
| 适用场景 | 安全策略、合规要求 | 默认配置、可选设置 |
2. GPO 结构与处理顺序
2.1 GPO 处理顺序(LSDOU)
组策略按 LSDOU 顺序应用,后应用的覆盖先应用的:
- L — Local(本地组策略)
- S — Site(站点级别)
- D — Domain(域级别)
- O — OU(组织单位级别,从父 OU 到子 OU 逐层应用)
⚠️ 处理顺序要点
- 后应用的策略 覆盖 先应用的策略(Same Setting = Last Writer Wins)
- 子 OU 的策略 覆盖 父 OU 的策略
- "禁止替代"(Enforce) 可打破覆盖规则,强制该 GPO 生效
- "阻止继承"(Block Inheritance) 可阻止上级 GPO 向下传递
2.2 GPO 内部结构
一个 GPO 由两部分组成:
| 组件 | 存储位置 | 说明 |
|---|---|---|
| GPT(组策略模板) | SYSVOL\<GUID> | 策略的具体设置数据(文件形式) |
| GPC(组策略容器) | AD 中的对象 | GPO 的属性和版本信息(LDAP 属性) |
PowerShell - 查看 GPO 存储结构
# 查看所有 GPO
Get-GPO -All | Select-Object DisplayName, GpoStatus, CreationTime, ModificationTime
# 查看 GPO 的 GUID(对应 SYSVOL 中的目录名)
Get-GPO -Name "Default Domain Policy" | Select-Object DisplayName, Id
# 查看 SYSVOL 中的 GPO 目录
Get-ChildItem "\\iehang.cn\SYSVOL\iehang.cn\Policies" |
Where-Object { $_.Name -ne "PolicyDefinitions" }3. GPMC 管理工具
组策略管理控制台(GPMC)是管理 GPO 的核心工具,提供创建、编辑、链接、备份、导入/导出等完整功能。
3.1 打开 GPMC
1
在 DC01 上,打开 服务器管理器 → 工具 → 组策略管理
2
左侧树形结构:林 → 域 → iehang.cn → 组策略对象
PowerShell - 安装 GPMC
# 安装 GPMC(域控通常已自动安装)
Install-WindowsFeature -Name GPMC -IncludeManagementTools
# 导入组策略模块
Import-Module GroupPolicy
# 查看可用的组策略命令
Get-Command -Module GroupPolicy | Select-Object Name3.2 GPMC 核心功能一览
| 功能 | 说明 | PowerShell 命令 |
|---|---|---|
| 创建 GPO | 新建组策略对象 | New-GPO |
| 编辑 GPO | 修改策略设置 | Set-GPRegistryValue |
| 链接 GPO | 将 GPO 链接到站点/域/OU | New-GPLink |
| 备份 GPO | 导出 GPO 到文件 | Backup-GPO |
| 还原 GPO | 从备份恢复 GPO | Restore-GPO |
| 导入 GPO | 从备份导入设置到新 GPO | Import-GPO |
| 组策略结果 | 查看客户端实际应用的策略 | Get-GPResultantSetOfPolicy |
| 组策略建模 | 模拟策略应用结果 | GPMC 图形界面 |
4. 实验环境规划
本系列基于已有域环境 iehang.cn 进行组策略实验。
| 角色 | 主机名 | IP 地址 | 说明 |
|---|---|---|---|
| 域控制器 | DC01 | 192.168.10.254 | AD DS + DNS + DHCP,GPMC 管理端 |
| 额外域控 | DC02 | 192.168.10.253 | 验证 GPO 复制 |
| 成员服务器 | WDS01 | 192.168.10.252 | 测试计算机策略 |
| 客户端 | Client01 | DHCP 获取 | 测试用户策略 |
4.1 OU 结构规划
组策略的最佳实践是 按功能设计 OU,便于精确控制策略应用范围。
PowerShell - 创建实验 OU 结构
# 创建顶级 OU
New-ADOrganizationalUnit -Name "IT信息部" -Path "DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "研发部" -Path "DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "财务部" -Path "DC=iehang,DC=cn"
# 创建子 OU
New-ADOrganizationalUnit -Name "Users" -Path "OU=IT信息部,DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "Computers" -Path "OU=IT信息部,DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "Servers" -Path "OU=IT信息部,DC=iehang,DC=cn"
# 查看创建结果
Get-ADOrganizationalUnit -Filter * |
Select-Object Name, DistinguishedName |
Sort-Object DistinguishedName5. 常见问题
Q1:组策略多久刷新一次?
默认 每 90 分钟 刷新一次(随机偏移 0-30 分钟)。域控制器每 5 分钟刷新。开机和登录时会强制刷新。安全策略部分每 16 小时刷新一次。可用 gpupdate /force 手动强制刷新。
Q2:策略和首选项应该用哪个?
安全相关(密码策略、账户锁定、用户权限)必须用策略。配置偏好(驱动器映射、壁纸、默认设置)建议用首选项,因为它支持目标筛选且用户可临时修改。
Q3:域中默认的 GPO 可以修改吗?
Default Domain Policy 和 Default Domain Controllers Policy 是系统自带的 GPO,可以修改但 不建议大幅修改。最佳实践是创建新的 GPO 并链接到对应 OU,保留默认 GPO 仅做基本安全设置。