必须通过组策略对象(GPO)统一配置管理用户与计算机设置,具体包括:一、启动GPMC;二、创建GPO;三、编辑GPO设置;四、链接GPO到OU;五、强制更新并验证策略应用效果。
如果您需要在Windows Server环境中统一配置和管理用户与计算机设置,则必须通过组策略对象(GPO)实现。以下是配置和管理GPO的具体操作步骤:
一、启动组策略管理控制台(GPMC)
组策略管理控制台是集中创建、编辑、链接和委派GPO的核心工具,需在已安装“组策略管理”功能的域控制器或管理工作站上运行。
1、以域管理员身份登录Windows Server。
2、打开“服务器管理器”,点击“工具”菜单,选择组策略管理。
3、若未安装该功能,运行PowerShell命令:Install-WindowsFeature GPMC,然后重启管理控制台。
二、创建新的组策略对象(GPO)
新建GPO用于封装特定策略配置,避免修改默认域策略,确保策略可追溯、可复用、可测试。
1、在GPMC中展开“林”→“域”→目标域名,右键单击“组策略对象”,选择新建。
2、输入有意义的名称,例如IT-Workstation-Security-Baseline,不填写描述亦可继续。
3、新建完成后,该GPO默认处于未启用状态,不会对任何对象生效,需后续链接到OU或站点。
三、编辑GPO设置
编辑操作在组策略管理编辑器中进行,分为“计算机配置”和“用户配置”两大分支,分别影响启动时和登录时应用的策略。
1、在GPMC中右键目标GPO,选择编辑。
2、展开“计算机配置”→“策略”→“Windows设置”→“安全设置”,可配置密码策略、账户锁定策略等。
3、展开“用户配置”→“首选项”→“Windows设置”→“文件”,可部署快捷方式、映射网络驱动器或复制配置文件。
4、所有更改实时保存,无需手动点击“应用”或“确定”按钮。
四、将GPO链接到组织单位(OU)
链接是使GPO生效的前提,只有链接到站点、域或OU后,策略才能作用于其范围内的用户和计算机对象。
1、在GPMC中定位目标OU(如“Sales-Computers”),右键单击并选择链接现有GPO。
2、在弹出窗口中勾选待链接的GPO,点击“确定”。
3、链接后,该OU下所有启用账户的计算机和用户将在下次组策略刷新周期(默认90分钟+随机偏移)内接收策略。
五、强制更新组策略并验证应用效果
策略链接后并非立即生效,需手动触发刷新或等待自动轮询;验证环节可确认策略是否按预期部署。
1、在目标客户端(域成员)上以管理员身份运行命令提示符。
2、执行命令:gpupdate /force,强制刷新计算机和用户策略。
3、执行命令:gpresult /h report.html,生成HTML格式的组策略结果报告。
4、用浏览器打开report.html,检查“已应用的GPO”列表及“安全设置”等具体条目是否显示为已应用。
