1. 跨域 GPO 概述
跨域 GPO 管理允许在一个域中创建的策略应用到多个域的计算机或用户。
| GPO 类型 | 作用域 | 适用场景 |
|---|---|---|
| 域级 GPO | 单个域 | 单域策略 |
| 链接型 GPO | 链接到其他域 | 跨域统一策略 |
| Starter GPO | 模板,快速应用 | 基线配置 |
2. 链接跨域 GPO
PowerShell - 链接跨域 GPO
# 在根域创建集团统一策略
New-GPO -Name "集团-安全基线" -Domain "iehang.cn"
# 配置策略设置(示例:密码策略)
Set-GPRegistryValue -Name "集团-安全基线" `
-Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" `
-ValueName "EnableLUA" -Value 1 -Type DWord
# 链接到子域
New-GPLink -Name "集团-安全基线" `
-Target "OU=深圳子公司,DC=iehang,DC=cn" -LinkEnabled "Yes"
# 链接到多个子域
New-GPLink -Name "集团-安全基线" `
-Target "OU=青岛子公司,DC=iehang,DC=cn" -LinkEnabled "Yes"3. Starter GPO 应用
PowerShell - Starter GPO
# 查看 Starter GPO
Get-StarterGPO | Select-Object DisplayName, Description
# 创建基于 Starter GPO 的新 GPO
New-GPO -Name "集团-桌面基线" -StarterGPO "Desktop - Security Configuration"
# 复制 GPO 设置
Copy-GPO -SourceGPO "集团-安全基线" `
-TargetGPO "集团-桌面基线" -CopyACL $true4. 环回处理模式
环回处理确保用户策略在共享计算机上正确应用。
PowerShell - 配置环回处理
# 启用环回替换模式
Set-GPRegistryValue -Name "集团-终端策略" `
-Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\AppManagment" `
-ValueName "ARPOllback" -Value 1 -Type DWord
# 查看 GPO 环回设置
Get-GPRegistryValue -Name "集团-终端策略" `
-Key "HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\AppManagment"5. 常见问题
Q1:跨域 GPO 的优先级
链接的 GPO 优先级低于本地域创建的 GPO。本域 GPO 可以覆盖跨域 GPO 设置。
Q2:跨域策略不生效如何排查
① 检查 GPO 链接状态 ② 使用 gpresult /r 查看应用结果 ③ 使用 gpupdate /force 强制刷新 ④ 查看安全日志