管理组策略对象

此处提供的步骤将帮助您执行各种与组策略对象管理相关的任务，例如创建、编辑和删除组策略对象，以及管理组策略对象的范围和委托。

• 查看组策略对象
• 创建 GPO
• 编辑 GPO
• 启用/禁用组策略对象
• 删除组策略对象
• 组策略对象范围
• GPO 委派

查看组策略对象

ADManager Plus提供多种查看GPO的方式，管理员可根据需求选择查看方式。通过"管理GPO"选项，用户可

• 查看域中所有可用的组策略对象
• 查看与组策略对象关联的所有域、站点和组织单位。

查看域内所有可用组策略对象

管理员可通过此选项查看域中所有可用组策略对象的列表。

查看域内所有可用GPO的步骤

1. 登录ADManager Plus
2. 单击“管理”选项卡。
3. 在左侧窗格中，导航至GPO 管理并点击管理 GPO。
4. 从"选择域"下拉菜单中选择域。
5. 在用户配置设置和计算机配置设置下切换按钮开关，以启用或禁用组策略对象的用户和计算机配置。
6. 若需清除现有ADManager Plus管理模板设置并同步最新配置，请点击"同步ADMX设置"。

查看与组策略对象关联的所有域、站点和组织单位

在"管理GPO"窗口中，对应GPO的"范围与委派"选项可查看其关联的域、站点及OU。

查看与组策略对象关联的所有域、站点和组织单位的步骤

1. 登录ADManager Plus
2. 转至管理 > GPO管理 > 管理GPO
3. 通过“选择域”下拉菜单选择域。
4. 点击对应于要查看关联域、站点和OU的GPO的“范围与委派”。
5. 在“范围”选项卡下，将显示与其关联的域、站点和OU列表

创建新组策略对象

创建新GPO请按以下步骤操作。

1. 点击创建新GPO按钮



2. 为GPO命名并选择关联时机。若选择"立即关联"，需指定GPO需关联的OU和站点。完成后点击"创建"，新GPO将生成并列出。

编辑组策略对象

通过ADManager Plus可编辑用户配置和计算机配置中的管理模板设置，包括账户策略、本地策略、事件日志、受限组、系统服务、注册表及计算机配置文件系统等关键安全设置。同时可管理GPO首选项项（如环境变量、文件、文件夹和Ini文件）及其在用户配置和计算机配置中的目标筛选器。

编辑GPO设置的步骤

1. 登录ADManager Plus
2. 导航至管理 > GPO管理 > 管理GPO。
3. 可通过以下两种方式编辑GPO设置：
   • 在“管理GPO”窗口中，点击每个GPO旁“操作”列 的“编辑GPO设置”选项。
   • 点击某个GPO对应的"范围与委派"链接后，在弹出窗口左上角点击"编辑GPO"选项。





4. 打开"编辑GPO设置"窗口后，在左侧窗格中点击需修改的"用户 配置"或"计算机配置"。
5. 现在，在“管理模板”策略设置（配置 > 策略 > 管理模板）或“安全设置”页面（计算机配置 > 策略 > Windows 设置 > 安全设置）中，选择需要修改的设置并执行相应操作

注意：您也可通过搜索功能定位所需策略设置。



6. 完成修改后，点击“确定”保存并关闭弹出窗口，或点击“应用”进行进一步修改，或点击“下一个设置”进入下个设置项。



7. 要编辑首选项：
   • 展开目标配置项，点击“首选项”，选择需管理的偏好设置项。Windows设置下的可用偏好项包括：
   • 环境
   • 文件
   • 文件夹
   • Ini文件
   • 您可在选定项中创建新偏好设置，或通过点击操作列中的相应选项来编辑、重新排序、删除、启用或禁用现有设置。
   • 点击项目旁边的编辑选项，通过常规选项卡或通用选项卡更改其设置。

   

   • 要修改首选项设置的项目级定位过滤器，请导航至“通用”选项卡并点击“定位编辑器”按钮。您可以添加、移除或编辑定位过滤器。

   

   • 点击"确定"可保存并关闭弹出窗口，或点击"应用"保存后继续修改。

已知限制：配置MSI查询目标筛选器时，若选择"补丁"或"组件"作为目标类型，需手动输入产品代码

启用或禁用GPO

通过ADManager Plus的GPO管理功能，管理员可在指定域中批量启用/禁用多个GPO。根据需求，可选择完全启用/禁用GPO，或仅启用/禁用部分配置（用户配置或计算机配置设置）。管理员还可单独启用/禁用单个GPO，或批量处理多个GPO。

1. 登录ADManager Plus
2. 导航至管理 > GPO管理 > 管理GPO
3. 通过“选择域”下拉菜单选定包含GPO的域。
4. 勾选需要操作的 GPO。若需修改域内所有 GPO，可勾选搜索按钮下方的复选框。



5. 组策略对象(GPO)可通过以下方式完全或部分启用/禁用：
   • 完全启用或禁用组策略对象：从组策略对象列表上方的“管理”选项中选择“启用”以完全启用组策略对象，或通过各组策略对象旁的切换按钮同时启用 “用户配置 设置”和“计算机配置设置”。禁用组策略对象时，可直接从“管理”下拉菜单选择“禁用”，或关闭“用户配置 ”和“计算机配置设置”按钮。
   • 仅启用/禁用用户配置：从GPO列表上方“管理”下拉菜单中选择“仅启用用户配置”选项；或通过各GPO旁的切换按钮启用用户配置设置并禁用计算机配置设置。同理，仅关闭用户配置设置按钮即可禁用用户配置。
   • 仅启用计算机配置：从GPO列表上方的"管理"选项中选择"启用计算机配置"，或通过各GPO旁的切换按钮启用计算机配置设置并禁用用户配置设置。禁用计算机配置设置时同样可使用切换按钮操作。

删除GPO

管理员可通过ADManager Plus提供的删除选项，清除不再需要的GPO。

删除GPO的步骤

1. 登录ADManager Plus
2. 导航至管理 > GPO管理 > 管理GPO。
3. 选择包含待删除GPO的域。
4. 勾选待删除的GPO，从"管理"下拉菜单中点击"删除"选项

GPO作用域

通过将GPO关联至站点、域或组织单位（OU）来定义其作用域。默认情况下，GPO将应用于整个关联对象，除非通过筛选器（如安全筛选器或WMI筛选器）缩小作用域范围。

配置GPO作用域步骤

1. 登录ADManager Plus。
2. 导航至管理选项卡 > GPO管理 > 管理GPO。
3. 选择GPO所属的域。
4. 点击目标GPO对应的"范围与委派"链接，导航至"关联对象"表格底部的"高级设置"



5. 在安全筛选部分下
   • 允许对象：添加或移除需应用此GPO的对象（用户、组或计算机）。
   • 拒绝对象：添加或移除将被拒绝应用此GPO的对象（用户、组或计算机）。
   • 示例：若组1列在允许对象中，且需拒绝将GPO应用于组1内的特定安全主体（如用户1），则必须将用户1添加到拒绝对象中。
   注意：
   • 安全主体只能添加到允许对象或拒绝对象中，不能同时存在于两者。
   • 若从允许对象中移除“已验证用户”组，仅会撤销“应用组策略”权限。
6. 在WMI筛选部分，可从下拉菜单中选择所需的WMI筛选器。
注意：
• 您可通过点击“关联对象”表格上方的“关联对象”按钮，将任意域、组织单位或站点的全新对象关联至本GPO
• 通过管理下拉菜单可启用GPO链接、禁用GPO链接或取消GPO链接强制执行
7. 最后点击更新以保存更改。

GPO委派

可通过以下步骤查看或配置目标安全主体的GPO权限：

配置GPO委派权限的步骤

1. 登录ADManager Plus。
2. 导航至管理选项卡 > GPO管理 > 管理GPO。
3. 从“选择域”下拉框中选择GPO所属的域。
4. 在所选域的 GPO 列表中，单击要修改的 GPO 旁边的“范围和委派”链接。
5. 点击“委派”选项卡。
6. 在“选择权限”区域中，选中目标账户并从下拉菜单中选择相应权限，
   • 编辑设置 - 允许编辑GPO设置
   • 修改安全 - 允许修改GPO的安全权限
   • 读取 - 允许查看组策略对象
   • 删除 - 允许您删除组策略对象



7. 点击更新以保存更改。