本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

使用组策略对象使用 GPMC

 

本主题介绍用于配置、 筛选、 备份、 还原和导入使用组策略管理控制台 (GPMC) 的组策略对象的过程。

本地组策略对象 (本地 GPO) 存储中隐藏每个单个计算机Windows\System32\GroupPolicy目录。 通常情况下,每台运行 Windows 的计算机具有恰好一个本地 GPO,而不管计算机是 Active Directory 环境的一部分。 本地 Gpo 始终进行处理,但不在 Active Directory 环境中,至少影响力的 Gpo,因为基于 Active Directory 的 Gpo 具有优先级。

在域级别中,一个 GPO 是存储为虚拟对象组策略容器和组策略模板组成的组策略设置的集合。 组策略容器,其中包含有关 GPO 的属性的信息,存储在 Active Directory 域中的每个域控制器上。 组策略模板包含在 GPO 中的数据并存储在 SYSVOL /Policies 子目录中。 Gpo 影响用户和站点、 域和 Ou 中包含的计算机。

由于 Gpo 包含策略设置,可以配置这些 Gpo,备份、 还原、 复制、 和作用域使用 GPMC。

可以包含为每个组策略对象的注释。 可以使用此空间来记录的组策略对象和为什么其实现是对环境的重要性。 Gpo 添加注释允许您以后使用关键字筛选器帮助您快速查找具有匹配关键字的 Gpo。

向组策略对象添加注释

  1. 打开组策略管理控制台。 展开组策略对象节点。

  2. 右键单击您想要添加注释,然后单击的组策略对象编辑

  3. 在控制台树中,右键单击组策略对象的名称,然后再单击属性

  4. 单击注释选项卡。

  5. 键入你的注释中注释框。

  6. 单击“确定” 

若要备份组策略对象

  1. 在组策略管理控制台 (GPMC) 控制台树中,打开组策略对象的林和域包含的组策略对象 (GPO) 来备份中。

  2. 若要备份单个 GPO,请右键单击 GPO,然后依次备份 若要备份域中的所有 Gpo,请右键单击组策略对象单击全部都备份

  3. 备份组策略对象对话框中,在位置框中,输入要存储 GPO 备份,或单击的位置的路径浏览,找到您想要存储 GPO 备份,然后依次在其中的文件夹确定

  4. 说明框中,以备份,然后单击所需的 gpo 键入描述备份 如果您要备份多个 Gpo,说明将应用于您备份的所有 Gpo。

  5. 在操作完成后,请单击确定

    System_CAPS_important重要事项

    若要保护备份的 Gpo,请确保只有经过授权的管理员有权访问将 Gpo 导出到其中的文件夹。

  • 您必须具有读取权限才能执行此过程包含 GPO 备份的文件夹的 GPO 和写入权限。

  • 备份功能还可以作为导出功能的 Gpo。

您可以阻止对域或组织单位的继承。 阻止继承会阻止子层自动继承链接到更高层站点、 域或组织单位的组策略对象 (Gpo)。

若要阻止继承

  1. 在组策略管理控制台 (GPMC) 控制台树中,双击包含域或组织单位 (OU) 您要阻止继承 GPO 链接的林,然后执行下列值之一:

    • 若要阻止继承整个域的 GPO 链接,请双击,然后右键单击域。

    • 若要阻止对某个组织单位的继承,请双击,双击包含该组织单位的域,然后右键单击该 OU。

  2. 单击阻止继承

  • 若要完成此过程,必须有链接 Gpo 的域或 OU 的权限。

  • 如果域或组织单位被设置为阻止继承,它将显示与在控制台树中的蓝色感叹号。

  • 强制实施的 GPO 链接不能阻止在父容器中。

您可以通过使用拖放方法复制组策略对象 (GPO) 或右键单击方法。 本主题中介绍了这两种方法。

若要将复制组策略对象 (拖放方法)

  1. 在组策略管理控制台 (GPMC) 控制台树中,单击要从中复制的组策略对象 (GPO)。

  2. 执行下列操作之一:

    • 若要在与源 GPO 相同的域上创建 GPO 的副本,拖放您想要将复制到的 GPO组策略对象,选择下的权限选项指定新 gpo 的权限,然后单击确定

    • 若要在不同的域中创建 GPO 的副本,请双击目标域中,然后拖放您想要将复制到的 GPO组策略对象 回答出现,然后依次的跨域复制向导中的所有问题完成

若要将复制组策略对象 (右键单击方法)

  1. 在 GPMC 控制台树中,右键单击您想要复制,,然后单击该 GPO复制

  2. 执行下列操作之一:

    • 若要在与源 GPO 相同的域中创建 GPO 的副本,请右键单击组策略对象,单击粘贴,指定在新的 GPO 的权限复制 GPO框,然后再单击确定

    • 若要在不同的域中创建 GPO 的副本,请双击目标域,右键单击组策略对象,然后单击粘贴 回答出现,然后依次的跨域复制向导中的所有问题完成

  • 您必须在要完成此过程的目标域中创建 Gpo 的权限。

  • 对于复制到另一个域的操作,您可能需要指定一个迁移表。

System_CAPS_note注意

此外可以从 Starter GPO 创建 GPO。 有关详细信息,请参阅从 Starter GPO 创建新的 GPO

若要创建组策略对象

  1. 在 GPMC 控制台树中,右键单击组策略对象的林和您要在其中创建 GPO 的域中。

  2. 单击

  3. 新的 GPO对话框中,指定新的 GPO 的名称,然后单击确定

若要编辑组策略对象

  1. 在 GPMC 控制台树中,双击组策略对象的林和域包含你想要编辑的 GPO 中。

  2. 右键单击 GPO,然后依次编辑

  3. 在控制台树中,编辑适当的设置。

    System_CAPS_important重要事项

    默认域策略 GPO 和默认域控制器策略 GPO 是到任何域的运行状况至关重要的。 作为最佳做法是,您不应该编辑默认域控制器策略 GPO 或默认域策略 GPO 中,除在以下情况下除外:

    • 帐户策略设置都需要在默认域 GPO 中配置。

    • 如果您需要修改审核策略设置或用户权限的域控制器上安装应用程序,则必须修改默认域控制器策略 GPO 中的策略设置。

  • 在创建 GPO 时,它将不起作用直到将其链接到站点、 域或组织单位 (OU)。

  • 默认情况下只有域管理员、 企业管理员和组策略创建者所有者组的成员可以创建和编辑 Gpo。

  • 若要编辑从 GPO 中的 IPSec 策略设置,必须是域管理员组的成员。

  • 您还可以通过右键单击该 GPO 在其中它链接,任何容器的名称,然后单击编辑 GPO编辑

当复制或将组策略对象 (GPO) 从一个域或林导入到另一个可以使用迁移表。 将组策略对象 (Gpo) 从一个域或林迁移到另一个时最大的挑战是 GPO 中的某些信息实际上特定于域或其中定义该 GPO 的林。 将 GPO 传输到新域或林时, 它可能始终不可取的或者甚至是无法) 使用相同的设置。 可以使用迁移表来引用用户、 组、 计算机和 UNC 路径为目标 GPO 中的新值将源 GPO 中。

您可以创建迁移表使用迁移表编辑器。

可以使用迁移表编辑器扫描一个或多个组策略对象 (Gpo) 或备份 Gpo,提取对安全主体和 UNC 路径的所有引用和自动作为源名项输入到迁移表中这些项。

若要创建迁移表

  1. 在组策略管理控制台 (GPMC) 控制台树中,双击您想要创建迁移表的林。

  2. 执行以下任一操作:

    • 右键单击然后单击打开迁移表编辑器

    • 右键单击组策略对象,然后单击打开迁移表编辑器

  3. 指定您想要通过执行以下操作在迁移表中包含的源:

    1. 在下源名称、 键入源名称或用鼠标右键单击该单元格和单击浏览来找到并指定对象类型、 位置和名称。

      如果您手动输入源名称,必须键入确切的用户、 计算机、 组或 UNC 路径与源 GPO (如 TestDomain\PolicyAdmins or \\server1\publicshare) 中引用名称。 源名称的类型必须匹配在迁移表中指定的源类型。

      可以使用任何以下格式指定安全主体:

      UPN:例如,someone@contoso.com

      SAM:例如,contoso\someone

      DNS:例如,contoso.com \someone

      任意文本:例如,有人 您必须指定该类型作为任意文本或 SID。

      SID:例如,S-1-11-111111111-111111111-1111111111-1112。 您必须指定该类型作为任意文本或 SID。

    2. 在下源类型,通过使用下拉列表并选择适当的类型与源名称单元格相邻的单元格中指定源的类型。 如果您使用浏览若要查找源名称,源类型输入默认情况下。

    3. 在下目标名称、 键入目标名称或右键单击源名称的相邻的单元格和源类型单元格,以及然后执行下列操作之一:

      单击浏览若要查找用户、 计算机或组。

      指向设置目标,然后单击适当的选择。 您不能使用无目标UNC 路径的选项。

  4. 对于您想要在迁移表中包含每个源重复步骤 3。

  5. 单击文件,然后单击保存

  6. 指定想要保存迁移表中,并单击的位置保存

可以使用迁移表编辑器来检查目标项能否被解析。 如果在迁移表中不能解析目标项,则复制或导入操作可能会失败。 若要验证您迁移表,请从工具菜单上,单击验证

若要自动填充迁移表从一个 GPO

  1. 打开迁移表编辑器。

  2. 工具菜单上,单击从 GPO 填充

  3. 查找此域下拉列表中,选择包含该 GPO 的域。

  4. 组策略对象列表中,单击 GPO 或 Gpo 您想要填充迁移表中,选择包括来自 GPO 上 DACL 的安全主体并在扫描期间如果适用),然后单击确定

若要自动填充迁移表从已备份的 GPO

  1. 打开迁移表编辑器。

  2. 工具菜单上,单击从备份填充

  3. 备份位置下拉框中键入包含备份的 GPO,该文件夹的路径或单击浏览以找到该文件夹。

  4. 备份 Gpo列表中,选择一个或多个备份的 Gpo,选中显示仅最新版本的每个 GPO包括来自 GPO 上 DACL 的安全主体如果适当,然后依次确定

  • 若要完成这些过程之一迁移表,您需要调整只有目标值。 默认情况下,每个条目的目标名称将设置为与源相同你使用任一Populate选项。

在此处插入分区正文。

若要删除 GPO

  1. 在组策略管理控制台 (GPMC) 控制台树中,双击组策略对象的林和域包含您想要删除的组策略对象 (GPO) 中。

  2. 右键单击 GPO,然后依次删除

  3. 当系统提示您确认删除操作,请单击确定

  • 若要删除 GPO 时,必须使用 GPO 的编辑设置、 删除和修改安全权限。

  • 在删除 GPO 时,GPMC 将尝试删除指向该 GPO 的域中的 GPO 的所有链接。 如果您没有权限来删除的链接,将删除 GPO,但却保留了链接。 不会删除来自其他域或站点的链接。 在作为的 GPMC 中显示指向已删除的 GPO 的链接找不到 若要删除找不到的链接,您必须在站点、 域或包含该链接的组织单位上具有权限。

  • 不能删除默认域控制器策略 GPO 或默认域策略 GPO。

若要禁用组策略对象链接

  • 在组策略管理控制台 (GPMC) 控制台树中,双击以展开包含域、 站点或组织单位 (OU) 包含你想要禁用,的链接的林,然后执行下列值之一:

    右键单击该 GPO 链接。 旁边的复选标记已启用链接指示已启用的链接。

    单击已启用链接以禁用该链接。 如果禁用该链接将显示没有复选标记。

  • 必须有链接 Gpo 的域、 站点或 OU 的权限才能完成此过程。

  • 此外可以单击该 GPO 链接,并查找中的信息在链接部分作用域选项卡以确定是否启用 GPO 链接。

若要禁用组策略对象中的用户或计算机设置

  1. 在组策略管理控制台 (GPMC) 控制台树中,双击包含的域或组织单位 (OU) 包含组策略对象 (GPO) 的林。

  2. 双击域或 OU。

  3. 右键单击包含您想要禁用,依次指向的用户或计算机设置的 GPOGPO 状态,然后执行以下项之一:

    • 单击已禁用的用户设置若要禁用 GPO 的用户设置。

    • 单击已禁用计算机设置若要禁用 GPO 的计算机设置。

  4. 旁边的复选标记已禁用的用户设置已禁用计算机设置指示用户或计算机设置处于禁用状态。

  • 您必须具有编辑对 gpo 的权限才能完成此过程。

  • 您还可以修改GPO 状态详细信息GPO 的选项卡。

若要强制组策略对象链接

  1. 在组策略管理控制台 (GPMC) 控制台树中,双击包含域、 站点或组织单位 (OU) 包含您要强制实施,的链接的林,然后执行下列值之一:

    • 若要强制在域级别 GPO 链接,请双击,然后双击包含该 GPO 链接的域。

    • 若要强制 GPO 链接在 OU 级别,请双击双击包含该组织单位的域,然后双击包含该 GPO 链接的 OU。

    • 若要强制 GPO 链接在站点级别,请双击站点,然后双击包含该 GPO 链接的站点。

  2. 右键单击该 GPO 链接,然后依次已强制执行若要启用或禁用强制链接。 旁边的复选标记已强制执行指示已强制链接。

  • 必须有链接 Gpo 的域、 站点或包含该 GPO 链接的组织单位的权限才能完成此过程。

  • 若要确定是否已强制 GPO 链接,可以还单击该 GPO 链接并观察中的信息链接部分作用域选项卡。

Windows Management Instrumentation (WMI) 筛选器允许您可以动态确定组策略对象 (Gpo) 的基于目标计算机的属性的范围。

如果在目标计算机上应用了链接到 WMI 筛选器的 GPO,则会在该目标计算机上评估该筛选器。 如果 WMI 筛选器的计算结果为 false,则在检查 (除非客户端计算机正在运行 Windows 2000,单位为这种情况下忽略筛选器和始终应用 GPO) 不应用该 GPO。 如果 WMI 筛选器的计算结果为 true,则应用该 GPO。

若要创建 WMI 筛选器

  1. 在组策略管理控制台 (GPMC) 控制台树中,右键单击WMI 筛选器的林和您要在其中创建 WMI 筛选器的域中。

  2. 单击

  3. 新建 WMI 筛选器对话框中,键入的名称中的新 WMI 筛选器名称框,然后键入中的筛选器的说明说明框。

  4. 单击“添加”

  5. WMI 查询对话框中,可以保留默认命名空间 (root\CIMv2),或通过执行下列任一操作输入另一个命名空间:

    • 命名空间框中,键入您想要用于 WMI 查询的命名空间的名称。

    • 单击浏览,从列表中,选择一个命名空间,然后单击确定

  6. 键入的 WMI 查询查询框,然后再单击确定

  7. 若要添加更多的查询,重复步骤 4 至 6 可添加每个查询上。

  8. 添加的所有查询之后, 单击保存

    其他注意事项

    • 必须有权在您要在其中创建筛选器的域中创建 WMI 筛选器。 默认情况下,域管理员、 企业管理员和组策略创建者所有者组具有此权限。

    • WMI 筛选器只有在域中的至少一个域控制器运行 Microsoft Windows Server ™ 2003年才可用。 同样适用于WMI 筛选作用域选项卡上的组策略对象

    • 要删除 WMI 筛选器,在控制台树中,右键单击该 WMI 筛选器,然后单击删除 当系统询问是否确认要删除的 WMI 筛选器,请单击

    • Microsoft Windows ® 2000年上不评估 WMI 筛选器。 针对 Windows 2000 计算机的 GPO 将始终应用而不管查询与 WMI 筛选器 (该筛选器将被忽略) 相关联的 GPO

导入 WMI 筛选器

  1. 在组策略管理控制台 (GPMC) 控制台树中,右键单击WMI 筛选器您要向其中导入 WMI 筛选器的林和域中。

  2. 单击导入

  3. 导入 WMI 筛选器对话框框中,输入包含要导入,然后单击该 WMI 筛选器的.mof 文件打开

  4. 导入 WMI 筛选器对话框框中,指定在相应的信息名称说明框,,然后执行以下项之一:

    • 若要导入而不更改它的 WMI 筛选器,请单击导入

    • 若要更改的 WMI 筛选器并将其导入,请单击编辑,对命名空间或查询进行适当的更改,单击确定,然后单击导入

    其他注意事项

    • 必须有权在您想要创建筛选器才能完成此过程的域中创建 WMI 筛选器。 默认情况下,域管理员、 企业管理员和 Group Policy Creator Owners 组具有此权限。

    • WMI 筛选器只有在域中的至少一个域控制器运行 Microsoft Windows Server 2003 才可用。 同样适用于基于 WMI 筛选作用域选项卡上的组策略对象

    • 导入 WMI 筛选器创建新的筛选器而不是修改现有的筛选器。

导出 WMI 筛选器

  1. 在组策略管理控制台 (GPMC) 控制台树中,右键单击您要导出,然后单击该 WMI 筛选器导出

  2. 导出 WMI 筛选器对话框框中,选择从某个安全的文件系统位置将保存在下拉列表框中,键入一个名称以导出,然后单击所需的筛选器保存

    其他注意事项

    • 您还可以通过单击导出 WMI 筛选器WMI 筛选器和在结果窗格中,单击内容选项卡、 筛选器名称中,右键单击和然后单击导出

    • GPMC 只能导入只包含单个 WMI 筛选器的.mof 文件。

若要复制 WMI 筛选器

  1. 在组策略管理控制台 (GPMC) 控制台树中,单击 WMI 筛选器中的林和域包含您要复制的 WMI 筛选器。

  2. 右键单击您想要复制,,然后单击该 WMI 筛选器复制

  3. 在目标域中,右键单击WMI 筛选器,然后单击粘贴

    其他注意事项

    • 若要完成此过程,必须有权在您要在其中创建筛选器的域中创建 WMI 筛选器。 默认情况下,域管理员、 企业管理员和组策略创建者所有者组具有此权限。

若要将 WMI 筛选器链接到组策略对象

  1. 在组策略管理控制台 (GPMC) 控制台树中,双击组策略对象的林和域包含您要将 WMI 筛选器链接的组策略对象 (GPO) 中。

  2. 单击该 GPO。

  3. 在结果窗格中,在作用域选项卡上,在WMI 筛选,从下拉列表中选择 WMI 筛选器。

  4. 当系统提示确认所选内容,请单击

    其他注意事项

    • 若要链接到 GPO WMI 筛选器,必须对 gpo 具有编辑权限。

    • 只有一个 WMI 筛选器可以链接到 GPO,并仅可以将 WMI 筛选器链接到同一个域中的 GPO。

    • WMI 筛选器WMI 筛选作用域选项卡上的 Gpo 是在域中的至少一个域控制器运行 Microsoft Windows Server 2003 时才可用。

若要使用安全组进行筛选

  1. 在组策略管理控制台 (GPMC) 控制台树中,展开组策略对象并单击您要应用安全筛选的组策略对象 (GPO)。

  2. 在结果窗格中,在作用域选项卡上,单击添加

  3. 输入要选择的对象名称框中,键入组、 用户或想要添加到安全筛选器的计算机的名称。 单击“确定”。

  • 为了确保只有组或在步骤 3 中添加的组的成员可以接收此 GPO 中的设置,您将需要删除Authenticated Users如果此组显示在作用域选项卡。 单击作用域选项卡上,选择此组中,然后单击删除

  • 您必须具有编辑设置、 删除和修改的 gpo 的安全权限才能执行这些过程。

  • GPO 中的设置将仅适用于用户和域、 组织单位或向其 GPO 链接,并且在中指定或安全筛选中指定的组的成员的组织单位中包含的计算机。

若要从组策略对象导入设置

  1. 在组策略管理控制台 (GPMC) 控制台树中,展开组策略对象中的林和域包含的组策略对象 (GPO) 来导入设置的节点。

  2. 右键单击该 GPO,然后单击导入设置

  3. 按照中的说明导入设置向导

  • 若要完成此过程,必须对您要向其中导入设置的 gpo 具有编辑权限。

  • 对于导入到另一个域或林的操作,您可能需要指定一个迁移表。

链接 gpo 的步骤

  1. 在组策略管理控制台 (GPMC) 控制台树中,找到您要将组策略对象 (GPO) 链接的站点、 域或组织单位 (OU)

  2. 执行下列操作之一:

    • 要链接现有 GPO,请在域中,右键单击域或 OU,然后单击链接现有 GPO选择 GPO对话框框中,单击你想要链接,然后单击该 GPO确定

    • 要将一个新的 GPO 链接,在一个域中,右键单击域或 OU,然后单击在这个域中创建 GPO 并在此处链接名称框中,为新的 GPO 中,键入一个名称,然后单击确定

  • 若要将现有的 GPO 链接到站点、 域或 OU 中,必须在该站点、 域或 OU 上有链接 Gpo 的权限。 默认情况下,只有域管理员和企业管理员具有此权限的域和组织单位。 企业管理员和林根域的域管理员具有此权限的站点。

  • 若要创建并链接 GPO,必须有链接 Gpo 的权限在所需的域或组织单位上并且您必须在该域中创建 Gpo 的权限。 默认情况下,只有域管理员、 企业管理员和组策略创建者所有者有创建 Gpo 的权限。

  • 在这个域中创建 GPO 并在此处链接选项将不可用的站点。 管理员可以在林中的任何域中创建一个 GPO,然后使用链接现有 GPO选项以将其链接到站点。

若要还原现有组策略对象的版本已删除或以前的版本

  1. 在组策略管理控制台 (GPMC) 控制台树中的林和域包含你想要还原,组策略对象 (GPO) 中找到组策略对象

  2. 右键单击组策略对象然后单击管理备份

  3. 管理备份对话框中,在备份位置框中,键入备份文件夹的路径。 你还可以使用“浏览”来查找备份文件夹。

  4. 在“已备份的 GPO”框中,从显示的 GPO 备份列表中选择要还原的 GPO,然后单击“还原”。

  5. 系统提示确认还原操作时,单击“确定”。

  6. 在操作完成后,请单击确定然后单击关闭

  • 必须有权在域和备份的 GPO 的文件系统位置的读取权限,以还原已删除的 GPO 创建 Gpo。

  • 您还可以还原现有或删除 GPO 使用管理备份函数通过右键单击

若要为组策略对象搜索

  1. 在组策略管理控制台 (GPMC) 控制台树中,双击包含想要搜索组策略对象 (GPO) 的域的林。 双击,用鼠标右键单击域,然后单击搜索

  2. 搜索组策略对象对话框中,在搜索此域中的 Gpo框中,选择域或选择显示在此林中的所有域

  3. 搜索项框中,选择要搜索所基于的对象的类型。

    如果您选择安全组选择用户、 计算机或组对话框随即出现。 指定适当的对象类型的对象和对象名称的位置,然后单击确定

    您可以选择GPO 链接搜索项跨域链接的下拉列表菜单以查找未链接的 Gpo 和 Gpo。

  4. 条件框中,选择您想要在搜索中使用的条件。

  5. 框中,选择或指定您想要用于筛选搜索,然后单击值添加

  6. 请重复步骤 4 和 5,直到完成所有的定义搜索条件,然后单击搜索

  7. 当返回搜索结果时,请执行下列任一操作:

    • 若要保存搜索结果,请单击将结果保存,然后在保存 GPO 搜索结果对话框中,指定保存的结果的文件名称,然后单击保存

    • 若要导航到在搜索中找到的某个 GPO,双击在搜索结果列表中的 GPO。

    • 若要清除搜索结果,请单击清除

  • 此外可以通过右键单击林,然后单击打开搜索对话框中搜索 在这种情况下,此域框中的 Gpo 搜索默认为显示在此林中的所有域

  • 如果启用了策略设置,然后删除该扩展插件的所有策略设置存在对于某些类型的设置可能存在误检搜索结果。 发生这种情况是因为 GPO 具有作为活动状态列出的扩展插件。 具有此行为的扩展是安全设置、 软件安装、 文件夹重定向、 Internet Explorer 维护和加密文件系统 (EFS)。

显示: