如果您需要在Windows域环境中统一管理计算机和用户设置,则必须通过组策略对象(GPO)进行配置。以下是创建和链接组策略对象以控制域内计算机与用户的详细步骤:
一、创建新的组策略对象
创建GPO是实施集中化管理的第一步,新GPO默认不关联任何容器,需后续手动链接到站点、域或组织单位(OU)。该操作需在域控制器或已安装远程服务器管理工具(RSAT)的管理机上执行。
1、打开“组策略管理”控制台(可通过运行gpme.msc启动)。
2、在左侧控制台树中,展开域节点,右键单击“组策略对象”,选择“新建”。
3、在弹出对话框中输入GPO名称,例如“限制USB存储设备使用”,点击“确定”。
4、新GPO将在“组策略对象”列表中显示,其状态初始为“未链接”。
二、编辑组策略设置
编辑GPO可定义具体策略规则,包括计算机配置和用户配置两大分支,二者互不影响,适用于不同场景。策略生效前必须在此处完成配置。
1、在“组策略对象”列表中右键目标GPO,选择“编辑”。
2、在组策略管理编辑器中,展开“计算机配置”或“用户配置”,进入“策略”→“Windows设置”或“管理模板”。
3、导航至所需策略路径,例如“用户配置”→“管理模板”→“控制面板”→“个性化”,双击“阻止更改桌面背景”。
4、在策略属性窗口中选择“已启用”,点击“确定”保存设置。
三、将GPO链接到组织单位(OU)
链接是使GPO对特定范围生效的关键操作,只有链接后GPO才参与策略处理。一个OU可链接多个GPO,处理顺序按链接顺序自上而下执行。
1、在“组策略管理”控制台中,展开域结构,定位到目标OU(如“财务部”)。
2、右键该OU,选择“链接现有GPO”。若GPO位于其他域,需先使用“查找”功能定位。
3、在弹出窗口中勾选待链接的GPO,点击“确定”。
4、刷新OU节点,确认GPO已出现在“链接的GPO”列表中,且“链接”列显示为已启用状态。
四、强制应用组策略更新
默认情况下,计算机策略每5分钟刷新一次,用户策略每90分钟刷新一次(含随机偏移)。手动刷新可立即验证配置效果,避免等待默认周期。
1、在目标计算机上以管理员身份运行命令提示符或PowerShell。
2、执行命令:gpupdate /force。
3、观察输出信息,确认“正在更新策略……计算机策略部分已完成”及“用户策略部分已完成”均显示成功。
4、如需仅刷新计算机策略,使用gpupdate /target:computer /force;仅刷新用户策略则用gpupdate /target:user /force。
五、验证GPO是否生效
验证环节确保策略已正确部署并实际影响目标对象,避免因链接错误、筛选器或权限问题导致失效。
1、在目标计算机上运行gpresult /h report.html生成HTML格式的组策略结果报告。
2、双击生成的report.html文件,在“已应用的组策略对象”部分检查目标GPO是否列出。
3、查看“委派”选项卡,确认GPO的“应用组策略”权限已授予目标安全组(如“Domain Computers”或特定用户组)。
4、若GPO未出现,检查OU层级中是否存在“阻止继承”设置,或目标对象是否被“无覆盖”策略排除。
评论(0)