WindowsServer2023年组策略详解.docx

组策略详解

更时间:2023年1月

应用到:WindowsServer2023

可以使用WindowsServer2023组策略来治理计算机和用户组配置，包括以下各项所对应的选项：基于注册表的策略设置、安全设置、软件部署、脚本、文件夹重定向以及首选项。Windows

Server2023中增的组策略首选项是二十多个组策略扩展，用于扩展组策略对象(GPO)中的可配置策略设置的范围。与组策略设置相比，首选项是非强制性的。用户可以在初始部署后更改首选项。有关组策略首选项的信息，请参阅组策略首选项概述〔可能为英文网页〕。

通过使用组策略，您可以大大降低组织的总拥有本钱。各种各样的因素可能会使组策略设计变得格外简单，例如，大量可用的策略设置、多个策略之间的交互以及继承选项。通过认真规划、设计、测试并部署基于组织业务要求的解决方案，您可以供给组织所需的标准化功能、安全性以及治理掌握。

组策略概述

组策略在运行WindowsServer2023、WindowsVista、WindowsServer2023和WindowsXP的计算机上启用基于ActiveDirectory的用户和计算机设置更改和配置治理。除了使用组策略为用户和计算机组定义配置以外，还可以配置很多效劳器特定的操作和安全设置，以便使用组策略帮助治理效劳器计算机。

您创立的组策略设置包含在GPO中。假设要创立和编辑GPO，请使用组策略治理掌握台(GPMC)。通过使用GPMC将GPO链接到选定ActiveDirectory站点、域和组织单位(OU)，您可以将GPO中的策略设置应用于这些ActiveDirectory对象中的用户和计算机。OU是可以安排组策略设置的最低级别的ActiveDirectory容器。

为指导您的组策略设计决策，您需要清楚地了解组织的业务需求、效劳级别协议以及安全、网络和IT要求。通过分析当前的环境和用户要求，使用组策略定义要实现的业务目标，以及依据这些准则设计组策略根底构造，您可以确定最符合组织需要的方法。

用于实现组策略解决方案的过程

用于实现组策略解决方案的过程涉及规划、设计、部署和维护解决方案。

在规划组策略设计时，请确保设计OU构造以简化组策略治理并符合效劳级别协议。应制订使用GPO的正确操作步骤。确保您了解组策略互操作性问题，并确定是否打算使用组策略进展软件部署。

在设计阶段：

定义组策略的应用范围。

确定适用于全部企业用户的策略设置。

基于角色和位置对用户和计算机进展分类。

基于用户和计算机要求规划桌面配置。

规划完善的设计有助于确保成功部署组策略。

部署阶段从测试环境中的暂存过程开头。该过程包括：

创立标准桌面配置。

筛选GPO的应用范围。

指定默认组策略继承的例外状况。

委派组策略治理。

使用组策略建模评估有效的策略设置。

使用组策略结果评估这些结果。

暂存过程至关重要。应在测试环境中全面测试组策略实现，然后再将其部署到生产环境中。完成暂存和测试后，请使用GPMC将GPO迁移到生产环境中。应考虑循环反复的组策略实现：并非部署

100种组策略设置，而是最初暂存并仅部署几种策略设置以验证组策略根底构造是否正常工作。最终，制订使用组策略以及通过GPMC解决GPO问题的掌握过程以预备维护组策略。

备注

Microsoft高级组策略治理(AGPM)通过供给全面的更改掌握和增加的GPO治理来扩展GPMC功能。有关AGPM的具体信息，请访问Microsoft桌面优化包(MDOP)网站(“://go.microsoft/fwlink/?LinkId=100757)“://go.microsoft/fwlink/?LinkId=100757)〔可能为英文网页〕。

在设计组策略解决方案之前需要执行的操作

在设计组策略实现之前，您需要了解当前的组织环境并需要在以下几个方面执行预备步骤：

ActiveDirectory：确保林中全部域的ActiveDirectoryOU设计都支持应用组策略。有关具体信息，请参阅本指南后面局部中的设计支持组策略的OU构造。

网络：确保您的网络符合更改和配置治理技术的要求。例如，由于组策略使用完全限定的域名，因此，您必需在林中运行名目名称效劳(DNS)才能正确处理组策略。

安全：猎取域中当前使用的安全组的列表。在委派组织单位治理责任以及创立需要安全组筛选的设计时，应与安全治理员严密合作。有关筛选GPO的具体信息，请参阅本指南后面局部中的定义组策略的应用范围中的“将GPO应用于选定的组〔筛选〕”。

IT要求：猎取域中的治