通过

组策略处理

默认情况下,组策略是继承和累积的,它会影响 Active Directory (AD) 容器及其子级中的所有计算机和用户。 计算机相关的策略设置会替代用户相关的策略设置。

组策略对象(GPO)按以下顺序进行处理:

  1. 应用本地 GPO。
  2. 应用链接到站点的 GPO。
  3. 应用链接到域的 GPO。
  4. 应用链接到组织单位 (OU) 的 GPO。 在嵌套 OU 结构中,首先应用链接到父 OU 的 GPO,然后应用链接到子 OU 的 GPO。

小窍门

GPO 处理顺序至关重要,因为每个后续策略应用程序都可以替代早期策略应用的设置。

默认继承方法是评估从最高父 AD 容器开始的组策略。 离计算机或用户最近的 AD 容器会替代在更高级别 AD 容器中设置的组策略。 设置该 GPO 链接的强制选项或应用阻止继承设置时,继承将被忽略。 本地组策略在基于域的策略之前进行处理。 链接到 AD 容器的 GPO 的策略设置将替代本地策略设置。

可以将多个 GPO 链接到 AD 容器。 默认情况下,组策略对象链接列表中具有最低链接顺序的 GPO 链接具有优先级。

组策略处理的工作原理

当计算机启动时,会应用计算机配置的组策略。 组策略在用户登录时应用。 此策略的初始处理也称为前台策略应用程序。

组策略的前台处理可以是同步的,也可以是异步的。 在同步模式下,计算机在成功应用计算机策略之前不会完成系统启动。 在成功应用用户策略之前,用户登录过程不会完成。 在异步模式下,如果没有需要同步处理的策略更改,计算机可以在计算机策略应用程序完成之前完成启动顺序。 在异步模式下,用户也可以在用户策略应用完成之前访问桌面。 然后,系统会在后台定期应用(刷新)组策略。 刷新期间,策略设置将异步应用。

所有策略处理必须在 60 分钟内完成。 没有修改此超时期限的方法。

在最初处理组策略(也称为前台策略应用程序)后,系统会定期在后台应用(刷新)组策略。 刷新期间,策略设置将异步应用。

默认情况下,每隔 90 分钟刷新一次。 系统可能会向刷新间隔添加最多 30 分钟的随机时间。 可以通过使用组策略中的管理模板扩展设置来更改这些默认值。 将值设置为零分钟会导致刷新率设置为 7 秒。 并非所有组策略扩展都是在后台刷新期间处理的。 例如,仅当用户登录时,才会进行文件夹重定向处理。 此外,仅当计算机启动和用户登录时,才会处理软件安装策略。

尽管系统在后台刷新期间处理组策略的脚本扩展,但仅当计算机启动和关闭以及用户登录和注销时,各个脚本才会运行。

在策略刷新期间,客户端扩展默认仅当检测到对其中一个 GPO 或 GPO 列表的更改时,客户端扩展才会重新应用策略设置。 此行为出于性能原因。

强制执行的 GPO

确定是否必须始终对特定用户组或计算机强制实施任何策略设置。 创建包含这些策略设置的 GPO,将其链接到相应的站点、域或 OU,并将这些链接指定为强制实施。 通过设置此选项,可以通过阻止较低级别的 AD 容器中的 GPO 替代它们来强制执行更高级别 GPO 的策略设置。 例如,如果在域级别定义特定的 GPO 并设置强制选项,则 GPO 包含的策略将应用于该域下的所有 OU。 链接到较低级别的 OU 的 GPO 无法替代强制执行的域组策略。 如果多个 GPO 在同一站点、域或 OU 上链接,并且已设置强制选项,则强制实施的最高 GPO 链接优先。

阻止继承

在组策略管理控制台(GPMC)中,“阻止策略继承”或“阻止继承”是指影响组策略处理顺序的一项特性。 AD 中的每个域和 OU 都有一个 GPOptions 属性,该属性可配置为阻止继承。 这可以阻止应用在本地、站点、域和上级 OU 级别的策略设置对 OU 中的计算机或用户产生影响。 但是,虽然阻止继承会阻止大多数设置应用于 OU,但它不会影响通过强制选项的 GPO 应用的设置。 强制实施是一个链接属性,优先于块策略继承(容器属性)。

链接到域的策略设置通常适用于该域中的所有计算机和用户,无论它们属于哪个父 OU。 使用 GPMC,可以阻止域或 OU 上的继承,以阻止正常的组策略设置应用。 在域级别阻止继承会阻止链接到 AD 站点的 GPO 的设置应用于域,而在 OU 级别阻止继承会防止链接到站点和域的 GPO 的设置影响这些 OU。

除了阻止继承之外:

  • GPO 本身可以完全禁用
  • GPO 可以禁用其计算机设置
  • GPO 可以禁用其用户设置
  • GPO 可以禁用其所有设置

组策略首选项客户端扩展

组策略首选项客户端扩展具有其自己的唯一处理方法。 在单个 GPO 中,可以为要处理的特定组策略首选项扩展配置一个或多个首选项项。 例如,单个 GPO 可以包含多个 驱动器映射首选项 项。

在组策略处理期间,基础结构会循环执行一系列扩展。 对于每个扩展,它提供关键的详细信息,包括更改后的 GPO 列表以及不再适用于用户或计算机的 GPO。 基础结构还共享特定于上下文的详细信息,例如网络连接是否被视为缓慢。 组策略首选项扩展使用有关已更改和超出范围的 GPO 的信息来处理其设置。

客户端扩展按顺序处理首选项项,从顶部到列表底部。 处理每个首选项项的结果取决于其配置的操作,项级目标筛选可能会阻止项目的应用。 扩展将处理每个项,直到它完成列表或停止,因为配置设置(如 停止处理此扩展中的项目)(如果此项目发生错误应用一次且不重新应用)。 处理所有首选项项后,控件将返回到组策略服务。

组策略筛选

可以使用安全筛选或 Windows Management Instrumentation(WMI)筛选器来筛选 GPO 是否适用。

安全策略筛选使您能够精确确定哪些用户和计算机将接收并应用 GPO 中的策略设置。 安全组筛选确定 GPO 是否适用于组、用户或计算机。 不能选择性地对 GPO 中的不同策略设置使用安全组筛选。

WMI 允许使用 WMI 查询来筛选组策略的应用程序。 使用 WMI 过滤时,GPO 适用于满足 WMI 查询条件的安全主体。 每个 GPO 都可以链接到一个 WMI 筛选器;但是,同一 WMI 筛选器可以链接到多个 GPO。 必须先创建筛选器,然后才能将 WMI 筛选器链接到 GPO。 WMI 过滤器在处理组策略期间在目标计算机上进行评估。 仅当 WMI 筛选器的计算结果为 true 时,GPO 才适用。

环回处理模式

环回处理模式将分配给计算机的组策略对象的用户配置设置应用于计算机,而不管谁登录。 环回处理将合并或替换分配给用户的 GPO 中的用户设置。 此策略设置适用于具有特殊用途计算机(如教室、公共展台和接待区域)的某些严格管理的环境。

例如,可以在特定服务器上启用此策略设置,以根据所使用的计算机调整用户设置。 启用环回处理模式策略设置时,系统会根据计算机的配置应用用户策略设置,而不考虑谁登录。 这可确保计算机上所有用户的一致用户策略设置(由计算机的 GPO 定义)。

通过在 GPO 中启用环回处理策略设置,可以根据用户登录的计算机配置用户策略设置。 如果没有环回处理,应用计算机对象的 GPO 将仅处理计算机配置设置。 应用于用户的 GPO 将仅处理用户配置设置。 启用环回处理模式策略设置时,必须确保启用 GPO 中的计算机配置和用户配置设置。 无论哪些用户登录,都会应用这些策略设置。

可以使用 GPMC 编辑 GPO 并启用计算机配置\策略\管理模板\系统\组策略下的“配置用户组策略环回处理模式”策略设置来配置环回策略设置。 有两个 选项可供选择:

  • 合并模式:在此模式下,在登录过程中收集用户的 GPO 列表。 然后,收集计算机的 GPO 列表。 接下来,将计算机的 GPO 列表附加到用户的 GPO 列表末尾。 因此,计算机的 GPO 的优先级高于用户的 GPO。 如果策略设置冲突,则应用计算机的 GPO 中的用户策略设置,而不是用户的正常策略设置。

  • 替换模式:在此模式下,不会收集用户的 GPO 列表。 而是仅使用基于计算机对象的 GPO 列表。 此列表中的用户配置设置将应用于用户。

组策略刷新

刷新组策略的主要机制是在启动时和登录时。 组策略也会以其他间隔定期刷新。 策略刷新间隔会影响对 GPO 的更改的应用速度。 默认情况下,客户端和服务器每隔 90 分钟检查一次 GPO 的更改,其随机偏移量最多为 30 分钟。 对组策略设置的更改可能无法立即在用户的桌面上使用,因为对 GPO 的更改必须首先复制到相应的域控制器。

域控制器每五分钟检查一次计算机策略更改。 可以使用以下策略设置之一、计算机的组策略刷新间隔、域控制器的组策略刷新间隔或用户的组策略刷新间隔来更改此轮询频率。 不建议缩短刷新频率,因为网络流量的潜在增加和域控制器上放置的负载增加。

GPO 的组件存储在 AD 和域控制器的 SYSVOL 文件夹中。 GPO 复制到其他域控制器由两种独立机制执行:

  • 内置复制系统控制 Active Directory 的复制。 默认情况下,同一站点中的域控制器之间的复制通常不到一分钟。 如果网络速度低于 LAN,则此过程可能会变慢。

  • 分布式文件系统复制(DFSR)控制 SYSVOL 文件夹的复制。 在站点内,复制每 15 分钟进行一次。 如果域控制器位于不同的站点中,则复制过程会根据站点拓扑和计划按设置间隔进行,最低间隔为 15 分钟。

触发器组策略更新

如有必要,可以通过以下方式手动触发组策略刷新:

  • 从本地计算机的命令行输入 gpupdate.exe。 运行 gpupdate.exe 会触发运行命令的计算机的策略刷新。

  • 使用 Invoke-GPUpdate PowerShell cmdlet。 可以使用此 cmdlet 触发本地计算机的刷新或触发远程计算机的刷新。

  • 使用 GPMC 通过右键单击 OU 并选择 组策略更新,在 OU 级别触发组策略刷新。

优化 GPO 处理

若要减少处理 GPO 所需的时间,请考虑使用以下内容。

  • 当 GPO 仅包含计算机配置或用户配置设置时,请禁用不适用的策略设置部分。 通过此优化,目标计算机不会扫描禁用的 GPO 部分,从而减少处理时间。

  • 合并较小的 GPO 以形成合并的 GPO。 此优化可减少应用于用户或计算机的 GPO 数量。 将更少的 GPO 应用于用户或计算机可以减少启动或登录时间,并更轻松地排查策略结构问题。