一、前提条件

1. 已搭建 Active Directory 域服务（AD DS）
2. 已将客户端 / 服务器 加入域
3. 登录账号为 域管理员（Domain Admins）
4. 打开工具：组策略管理控制台 GPMC
   • 运行命令：gpmc.msc

二、域组策略基本结构

• 链接在：站点 → 域 → OU
• 应用顺序：本地 → 站点 → 域 → OU（子 OU 覆盖父 OU）
• 两类配置：
  • 计算机配置：开机生效，对整台电脑
  • 用户配置：登录生效，对域用户

三、创建并链接一个域 GPO（最核心步骤）

1. 打开 GPMC

2. 选择要应用策略的位置

• 整个域：域名
• 某个部门 OU：如 IT、HR、Workstations

3. 创建 GPO 并链接

1. 右键 域 或 OU
2. 选择 在这个域中创建 GPO 并在此处链接
3. 输入名称，例如：
   • 域计算机安全策略
   • 用户桌面限制策略
4. 确定

此时 GPO 已链接，但内容为空，需要编辑。

四、编辑 GPO（常用实战配置）

1. 配置密码策略（域级别）

• 密码长度最小值：12
• 密码必须符合复杂性要求：启用
• 密码最长使用期限：90 天
• 强制密码历史：20

注意：域密码策略只能在「默认域策略」或链接到域根的 GPO 中生效。

2. 账户锁定策略

• 账户锁定阈值：5 次无效登录
• 账户锁定时间：30 分钟

3. 禁止 USB 存储设备

4. 关闭自动播放

5. 配置 Windows 更新

6. 用户桌面限制（隐藏驱动器、禁用控制面板）

• 隐藏我的电脑中的这些指定驱动器
• 禁用控制面板
• 禁用命令提示符
• 移除关机 / 重启按钮

7. 文件夹重定向（文档、桌面漫游）

• 桌面
• 文档
• 图片

  设置：

• 基本 → 重定向到以下路径
• 示例：\\DC01\UserData\%username%\Desktop

8. 软件部署（MSI 自动安装）

五、让组策略立即生效

客户端执行（管理员 CMD/PowerShell）

gpupdate /force

gpupdate /force /boot

域控制器批量刷新（推荐）

1. gpmc.msc 中右键 OU
2. 组策略更新
3. 自动向所有在线计算机推送刷新

六、验证组策略是否应用

方法 1：命令行（最准）

gpresult /r

• 应用的 GPO
• 被拒绝的 GPO
• 应用顺序

方法 2：生成 HTML 报告

gpresult /h C:\gpresult.html

方法 3：图形化结果集

rsop.msc

七、控制 GPO 应用范围（安全筛选）

1. 选中 GPO → 范围 标签
2. 安全筛选 → 移除 Authenticated Users
3. 添加 → 选择安全组，如：
   • IT_Computers
   • HR_Users

必须保证对象有 读取 + 应用组策略 权限。

八、继承、强制执行、阻止继承

1. 阻止继承

2. 强制执行

3. 优先级

九、组策略回环处理（机房 / VDI 必备）

• 合并
• 替换

十、常见不生效原因

1. GPO 未链接到 OU
2. 安全筛选权限不对
3. 未运行 gpupdate /force
4. 计算机未加入域
5. AD 复制延迟
6. 策略配置在用户 / 计算机搞反
7. 密码策略未放在域根 GPO

十一、快速实战模板（直接照做）

1. 创建 OU：Workstations、Servers、Users
2. 链接 GPO：
   • 域根：默认域策略（密码）
   • Workstations：安全限制、USB 禁用
   • Users：文件夹重定向、桌面策略
3. 安全筛选按部门分组
4. 批量刷新
5. gpresult 验证