如何从默认域 GPO 继承?

如何从默认域 GPO 继承?

我记得在某处读到过,建议不要直接更改默认域 GPO,而是创建一个从默认域 GPO 继承的新 GPO。

这听起来很有道理。我是一名开发人员,所以封装的概念对我很有吸引力。

但是,我不知道如何让我的新 GPO 继承 Default。我已在域中创建并链接了它,但 Default 中的更改并未反映在新 GPO 中。

答案1

您误解了组策略继承是什么以及它意味着什么。组策略对象不会相互继承设置。您对一个 GPO 所做的更改适用于该 GPO,其他 GPO 不会从另一个 GPO 继承设置。

我确信这里的其他人会发布一个关于组策略继承的冗长而有教育意义的答案,所以我自己就不做了。可以这么说,如果您想保持默认域 GPO 不变,但想要创建一个新的 GPO,其中包含默认域 GPO 的所有设置,然后您可以对其进行更改,那么您只需复制默认域 GPO,重命名它,然后将其链接到域。然后,您可以对这个新的 GPO 进行任何您想要的更改。

答案2

您说得对,通常建议不要改变默认域 GPO。

如果我正确理解了您的问题,您需要另一个链接到同一级别(即链接到顶层的域)的 GPO,但如果您的自定义 GPO 中有任何设置与默认域 GPO 中的内容冲突,则您的自定义 GPO 中的设置应优先。

在这种情况下,您要查看的是链接顺序的 GPO。

链接顺序最低的 GPO 最后处理,因此具有最高优先级。

您可以在组策略管理控制台中修改 GPO 的链接顺序。它们只是用于重新排序 GPO 的上下箭头。如果您的 GPO 的链接顺序为 1,则它将最后处理,这意味着它优先于同一上下文中的其他 GPO(链接在同一级别),或者仅在您的自定义 GPO 中配置的设置上覆盖默认域 GPO。对于您未在自定义 GPO 中配置的设置,默认域 GPO(已配置)中的设置仍将适用。

答案3

介绍

需要记住的一点是,除非您使用诸如阻止继承的容器或安全过滤的 GPO 之类的奢侈做法,否则在多个策略上配置相同的设置是多余的,尤其是当两个策略都链接到同一个容器时。因此,您通常希望创建一个新的 GPO,而不是复制现有的 GPO。

除非您想禁用并取消链接您的默认域策略,否则您不想复制它。让它保持原样,并让其配置大部分设置。创建一个新的 GPO,仅更改您想要更改的内容。理想情况下,您的默认域策略不应包含任何设置(或最多只包含标准帐户策略、本地安全策略和公钥策略)。请参阅我们的默认域策略设置以获取示例:

默认域策略示例

其余所有内容都应在您创建的基准策略中定义。不要费心在此基准策略中定义您的默认域策略已应用的任何设置。只需定义您决定在此处应用的任何新设置即可。有关原因的更多信息,请参见下文。

由于我正在吃午饭,所以这篇文章更偏向于“快速而粗略”而不是“冗长而有教育意义”,但为了使您的策略设置能够按预期工作,对继承有一个很好的理解仍然是必不可少的。在这种情况下,“快速而粗略”意味着“花更少的时间丢弃内容”。逐节进行。

重点关注“不要复制 GPO!”子标题。其他部分重点介绍继承的实际功能及其正确使用方法、为什么不应复制 GPO 的细微差别,以及证明该规则的极少数例外情况。

单个容器内的继承和链接顺序

请参阅图片以了解继承的工作原理。图片来自 Microsoft 组策略管理控制台,该控制台可视化了组策略设置。不要惊慌,我将在图片上进行详细说明:

组策略树视图/左侧面板

当您点击“Domain.Forest.com”(或任何容器,例如“域控制器”)时,下图将显示在右侧窗格中:

组策略链接顺序详细信息/右侧面板

您会注意到,我们配置了两个策略,其链接顺序高于默认域策略。这些策略将在处理默认域策略后应用其设置,并覆盖与其冲突的任何设置。但是,如果默认域策略定义了它们未定义的设置,则这些设置仍将应用,因为它们尚未被覆盖。

例如,假设默认域策略规定有线自动配置和 WLAN 自动配置服务均设置为“自动启动”(计算机配置\Windows 设置\安全设置\系统服务)。如果“域安全”策略规定 WLAN 自动配置设置为“已禁用”且所有登录事件均受审核(计算机配置\Windows 设置\安全设置\本地策略\审核策略),则结果策略集 (RSoP) 如下:

有线自动配置:自动启动

WLAN 自动配置:已禁用

审核登录:成功、失败

因此有线自动配置设置从默认域策略中保留,因为它没有被覆盖。但 WLAN 自动配置的新设置被覆盖,因为它 1) 已定义,并且 2) 来自优先级更高的策略。

如果我们在第二幅图中选择了“默认域策略”,并点击了该图左侧的单个向上箭头(更改链接顺序),则默认域策略现在的优先级将高于域安全策略。RSoP 现在是:

有线自动配置:自动启动

WLAN AutoConfig:自动启动

审核登录:成功、失败

不要复制 GPO!

定义策略设置时请记住这一点。在链接顺序 3 策略中定义设置(例如启用服务),然后在链接顺序 2 策略中重新定义它,这是一种浪费。链接顺序 2 策略是否禁用或启用服务(继续我们的示例)。为了便于管理,可以随意在策略之间拆分设置,并创建设置的逻辑分组,但切勿在层次结构的同一级别上跨多个策略多次定义相同的设置。

众所周知,处理组策略对象也会延长工作站的登录时间。要处理的策略越多,策略中的设置越多,登录速度就越慢。

在适当命名的策略中定义一次设置,并且不要在同一容器级别覆盖它。

这也是为什么您要创建新策略而不是复制它们的原因。否则,策略将被处理一次。然后优先级更高的策略将再次处理它们,唯一的收获就是您从原始策略中更改的一两个设置

相反,这些设置可以简单地放入一个新的、否则为空白的 GPO 中。然后,处理一两个额外的设置,而不是可能数百个。理想情况下,将这些设置从原始策略中移除,这样您就不必处理和重新处理设置。

唯一需要指定冲突设置的情况是,低级容器覆盖高级容器所应用的设置。

例如,您可能在域安全策略中打开 WLAN 自动配置服务,但在域控制器策略(在域控制器容器中)中将其设置为禁用。在这种情况下,较低级别的策略优先,并且您的域控制器不会尝试自动配置无线局域网。但是,您的工作站和笔记本电脑继承自域根目录,并且不在“域控制器”容器下,仍会收到打开 WLAN 自动配置的设置,并尝试使用策略定义的 WLAN 配置文件连接无线网络(如果可用)。

再次强调,这不是复制组策略对象的理由。只需在层次结构的适当级别创建一个新的 GPO,并仅定义要覆盖的设置即可。

跨多个容器的继承和链接顺序

回到管理继承的问题,“链接的组策略对象”是可编辑的,但仅显示链接到当前容器的组策略(为此,域根算作一个容器)。每个容器都有自己的链接顺序。“组策略继承”为您提供了完整的视图,对于域根来说,它看起来几乎相同(请注意,未链接的策略“密码策略”未显示):

组策略继承详细信息/右侧面板

但是如果你从树下方的容器(又称域层次结构)查看继承窗口:

组策略继承详细信息/右侧面板

请注意,较低级别容器的策略优先级较高。较低级别容器的策略将始终在较高级别容器的策略之后运行,并覆盖其设置。链接顺序仅与当前容器的上下文相关,无论链接顺序如何,较低级别容器始终优先于较高级别容器。与以前一样,如果较低级别策略未指定设置,则较高级别策略的设置不会被覆盖,并且仍然适用。

不要复制,将相同的 GPO 链接到多个位置

我们已经讨论过您不应该复制 GPO 的所有情况。假设您想要创建一个阻止继承的容器。在这种情况下,只有直接链接到此容器的策略才会应用于它。阻止继承的容器下的容器仍将从“阻止继承”容器(就像它是域根)继承策略,除非它们本身配置为阻止继承。

在这种情况下,如果您需要删除大量企业策略,但仍需要来自层次结构中某些特定 GPO 的大多数设置,只需将组策略链接添加到更高级别的 GPO。右键单击具有阻止继承的容器,然后选择“链接现有 GPO”。从列表中选择所需的 GPO。

好的,有时需要复制(并迁移)GPO

假设您有一个阻止继承的容器,并且您需要来自层次结构中较高 GPO 的几百个设置。您还需要更改同一策略中的几十个设置。在这种情况下,可以复制策略、重命名、进行更改,然后将其链接到阻止继承的容器中。

在这种情况下,由于继承的配置方式,客户端不会同时处理原始策略及其副本。它们只会处理其中一个,具体取决于它们在层次结构中的位置。如果您最终使用安全过滤组,则适用相同的规则。

如果您决定将安全过滤与环回处理混合使用,读这个。首先尝试不使用安全过滤或环回。如果失败,请尝试使用替换模式。如果使用合并模式,则需要使用高级安全设置授予计算机帐户读取权限,但不将权限应用于组策略。不要只是将它们添加到安全过滤中 - 这意味着应用和读取!

最后,如果您运行测试或预生产环境,您经常需要在域之间迁移 GPO。可以使用以下方法执行此操作GPO 迁移表。如果您的策略设置未引用任何域安全主体(不必担心 GPO 本身的安全设置),更简单的方法是使用电源外壳

在源域中的一台计算机上创建一个新的空文件夹。在同一台计算机上,运行以下命令:

import-module grouppolicy
backup-GPO -GUID "<aka Unique ID from GPMC including parenthesis - select the GPO in the left-hand pane and then select the Details tab>" -path "<Backup Path>"

将文件夹从源域复制到目标域上的计算机。记下上面备份路径的新子文件夹 - 它将有一个括号内的数字,看起来像 GUID。我将其称为“唯一 ID 文件夹”。确保“manifest.xml”也存在。

在目标域上创建一个新的空白 GPO,记下其唯一 ID 并运行以下命令:

import-module grouppolicy
import-gpo -targetGUID "<Unique ID from GPMC of new policy in target domain>" -backupID "<Unique ID folder name from your backup path>" -path "<The parent folder, under which your unique ID folder sits>"

源域中的 GPO 的所有设置现在都将包含在目标域中的 GPO 中。

相关内容