群組原則- 維基百科，自由的百科全書 - Wikipedia

群組原則（英語：Group Policy）是微軟Windows NT家族作業系統的一個特性，它 ... 群組原則提供了作業系統、應用程式和Active Directory中使用者設定的集中化管理和組 ... 群組原則 維基百科，自由的百科全書 跳至導覽 跳至搜尋 群組原則（英語：GroupPolicy）是微軟WindowsNT家族作業系統的一個特性，它可以控制使用者帳戶和電腦帳戶的工作環境。

群組原則提供了作業系統、應用程式和ActiveDirectory中使用者設定的集中化管理和組態。

群組原則的其中一個版本名為本機群組原則（縮寫「LGPO」或「LocalGPO」），這可以在獨立且非域[需要消歧義]的電腦上管理群組原則物件。

[1][2] 目次 1操作 1.1施行 1.2繼承 1.3過濾 2本地組策略 3組策略偏好 4組策略管理控制台 5高級組策略管理 6安全 7Windows8增強 8參考資料 9拓展閱讀 10外部連結 操作[編輯] 群組原則在部份意義上是控制使用者可以或不能在電腦上做什麼，例如：施行密碼複雜性策略避免使用者選擇過於簡單的密碼，允許或阻止身分不明的使用者從遠端電腦連接到網路共享，阻止存取Windows工作管理員或限制存取特定資料夾。

這樣一套組態被稱為群組原則物件（GroupPolicyObject，GPO）。

作為微軟IntelliMirror技術的一部份，群組原則旨在減少使用者支援成本。

IntelliMirror技術涉及已斷開機器或漫遊使用者的管理，並包括漫遊使用者設定檔、資料夾重新導向和離線檔案。

施行[編輯] 要完成一組電腦的中央管理目標，電腦應該接收和執行群組原則物件。

駐留在單台電腦上的群組原則物件僅適用該台電腦。

要套用一個群組原則物件到一個電腦組，群組原則依賴於ActiveDirectory（或第三方產品，例如ZENworksDesktopManagement）進行分發。

ActiveDirectory可以分發群組原則物件到一個Windows域中的電腦。

預設情況下，系統每90分鐘重新整理一次群組原則，隨機偏移30分鐘。

在域控制器上，系統則每隔5分鐘重新整理一次。

在重新整理時，系統會發現、取得和套用所有適用這台電腦和已登入使用者的群組原則物件。

某些設定，例如自動化軟體安裝、驅動器對映、啟動指令碼或登入指令碼，只在啟動或使用者登入時套用。

從WindowsXP開始，使用者可以從命令列提示符使用gpupdate命令手動啟動群組原則重新整理。

[3] 群組原則物件會按照以下順序（從上向下）處理：[4] 本機-任何在本機電腦的設定。

在WindowsVista之前，每台電腦只能有一份本機群組原則。

在WindowsVista和之後的Windows版本中，允許每個使用者帳戶分別擁有群組原則。

[5] 站點-任何與電腦所在的ActiveDirectory站點關聯的群組原則。

（ActiveDirectory站點是旨在管理促進物理上接近的電腦的一種邏輯分組）。

如果多個策略已連結到一個站點，將按照管理員設定的順序處理。

域-任何與電腦所在Windows域關聯的群組原則。

如果多個策略已連結到一個域，將按照管理員設定的順序處理。

組織單元-任何與電腦或使用者所在的ActiveDirectory組織單元（OU）關聯的群組原則。

（OU是說明組織和管理一組使用者、電腦或其他ActiveDirectory物件的邏輯單元）。

如果多個策略已連結到一個OU，將按照管理員設定的順序處理。

套用到指定電腦或使用者的群組原則設定結果被稱為策略結果集（RSoP）。

可以使用gpresult命令顯示電腦和使用者的RSoP資訊。

[6] 繼承[編輯] 群組原則設定內部是一個分層結構，父傳子、子傳孫，以此類推，這被稱為「繼承」。

它可以控制阻止或施行策略套用到每個層級。

如果進階別的管理員建立了一個具有繼承性的策略，而低層級的管理員策略與此相悖，此策略仍將生效。

在群組原則偏好設定已組態並且同等的群組原則設定已組態時，群組原則設定將會優先。

過濾[編輯] WMI過濾是群組原則通過Windows管理規範（WMI）過濾器來選擇套用範圍的一個流程。

過濾器允許管理員只套用群組原則到特定情況，例如特定型號、記憶體、已安裝軟體或任何WMI可查詢條件的特定情況的電腦。

本機群組原則[編輯] 本機群組原則（LocalGroupPolicy，縮寫LGP或LocalGPO）是群組原則的基礎版本，它面向獨立且非域的電腦。

在WindowsVista以前，LGP可以強制施行群組原則物件到單台本機電腦，但不能將策略套用到使用者或組。

從WindowsVista開始，LGP允許本機群組原則管理單個使用者和組，[1]並允許使用「GPOPacks」在獨立電腦之間備份、匯入和匯出群組原則——群組原則容器包含匯入策略到目標電腦的所需檔案。

[2] 群組原則偏好[編輯] 曾經有一批群組原則設定擴充，它被稱為PolicyMaker。

微軟收購了PolicyMaker並將其整合到WindowsServer2008。

微軟之後發布了遷移工具，允許使用者遷移PolicyMaker設定項到群組原則偏好。

[7] 群組原則偏好添加了許多新的組態項。

這些偏好中有大量的目標選項，可以用來精確控制要設定的應用程式。

群組原則偏好相容x86和x64版本的WindowsXP、WindowsServer2003和WindowsVista加ClientSideExtensions（也稱CSE）。

[8][9][10][11][12][13] ClientSideExtensions現已整合到WindowsServer2008、Windows7和WindowsServer2008R2。

群組原則管理控制台[編輯] 在最初，群組原則是使用「群組原則編輯」工具進行修改，它與ActiveDirectory使用者和電腦的微軟管理控制台（MMC）外掛程式整合，但後來它被分割成一個獨立的MMC外掛程式，被稱為群組原則管理控制台。

群組原則管理控制台現在是WindowsServer2008和WindowsServer2008R2中的一個使用者群組件，並在WindowsVista和Windows7中作為一個「遠端伺服器管理工具」可下載組件。

[14][15][16][17] 進階群組原則管理[編輯] 微軟發布過一個稱之為「進階群組原則管理」（AdvancedGroupPolicyManagement）的工具來更改群組原則[18]。

此工具可供任何微軟桌面最佳化包授權的組織使用。

此進階工具允許管理員檢查/簽出群組原則物件的更改，跟蹤群組原則物件的變更，以及對群組原則物件的更改實施稽核工作流。

AGPM工具由兩個部份組成——伺服器和客戶端。

伺服器是一個Windows服務，它在同一台電腦或網路共享上的存檔位置儲存其群組原則物件。

客戶端是群組原則管理控制台的一個外掛程式，並連接到AGPM伺服器。

客戶端可通過群組原則組態。

安全[編輯] 群組原則設定是由目標應用程式自願實施的。

在許多情況下，這只是禁止存取特定功能的使用者介面。

[19] 另外，惡意使用者可以修改或干擾應用程式，使其不能成功讀取群組原則設定，從而實行更低或者預設的安全設定。

[20] Windows8增強[編輯] Windows8引入了一個名為「群組原則更新」的新功能。

此功能允許管理員強制在特定組織單位的所有電腦帳戶上更新一個群組原則。

這會在電腦上建立一個工作排程器，在10分鐘內執行GPUPDATE命令，具體開始時間隨機調整，以免域控制器過載。

「群組原則基礎設施狀態」已被引入，並可報告任何「群組原則物件」是否沒有正確複製域控制器。

[21] 「群組原則結果報告」也是一個新功能，它會在執行「群組原則更新」時執行。

[22] 參考資料[編輯] ^1.01.1Step-by-StepGuidetoManagingMultipleLocalGroupPolicyObjects ^2.02.1http://blogs.technet.com/b/secguide/archive/2011/07/05/scm-v2-beta-localgpo-rocks.aspx ^Gpupdate ^GroupPolicyprocessingandprecedence.MicrosoftCorporation.22April2012.  ^GroupPolicy-ApplytoaSpecificUserorGroup-Windows7Forums ^MicrosoftTechNet:Gpresult ^GroupPolicyPreferenceMigrationTool(GPPMIG)網際網路檔案館的存檔，存檔日期2009-12-24. ^GroupPolicyPreferenceClientSideExtensionsforWindowsXP(KB943729) ^GroupPolicyPreferenceClientSideExtensionsforWindowsXPx64Edition(KB943729) ^GroupPolicyPreferenceClientSideExtensionsforWindowsVista(KB943729) ^GroupPolicyPreferenceClientSideExtensionsforWindowsVistax64Edition(KB943729) ^GroupPolicyPreferenceClientSideExtensionsforWindowsServer2003(KB943729) ^GroupPolicyPreferenceClientSideExtensionsforWindowsServer2003x64Edition(KB943729) ^MicrosoftGroupPolicyTeam.HowtoInstallGPMConServer2008,2008R2,andWindows7(viaRSAT).2009-12-23[2016-06-12].（原始內容存檔於2009-12-26）.  ^MicrosoftRemoteServerAdministrationToolsforWindowsVista ^MicrosoftRemoteServerAdministrationToolsforWindowsVistaforx64-basedSystems ^RemoteServerAdministrationToolsforWindows7 ^MicrosoftWindowsEnterprise|EnhancingGroupPolicy ^RaymondChen,"Shellpolicyisnotthesameassecurity" ^MarkRussinovich,"CircumventingGroupPolicyasaLimitedUser ^Updated:What’snewwithGroupPolicyinWindows8 ^Windows8GroupPolicyPerformanceTroubleshootingFeature 拓展閱讀[編輯] GroupPolicyforBeginners.Windows7TechnicalLibrary.Microsoft.27April2011[22April2012].  GroupPolicyManagementConsole.DevCenter-Desktop.Microsoft.3February2012[22April2012].  Step-by-StepGuidetoManagingMultipleLocalGroupPolicyObjects.WindowsVistaTechnicalLibrary.Microsoft.[22April2012].  GroupPolicyprocessingandprecedence.WindowsServer2003ProductHelp.Microsoft.21January2005[22April2012].  外部連結[編輯] 官方網站（英文） 群組原則團隊部落格（英文） Windows和WindowsServer的群組原則設定參考資料（英文） 閱論編MicrosoftWindows組件管理工具 命令提示字元 控制台 元件列表 裝置管理員 磁碟清理 磁碟重組工具 驅動程式檢查器 事件檢視器 IExpress 管理控制台 Netsh 修復主控台 資源監視器 效能監視器 設定 Sysprep 系統設定 系統檔案檢查器 系統策略編輯器 系統還原 工作管理員 Windows輕鬆傳輸 Windows錯誤報告 WindowsInstaller WindowsPowerShell WindowsUpdate WinPE WinRE WMI 應用程式 3D檢視器（英語：Microsoft3DViewer） 時鐘（英語：WindowsAlarms&Clock） 小算盤 字元對應表 Cortana DVD播放器 Edge 傳真和掃描 意見反應中樞（英語：FeedbackHub） 取得協助（英語：GetHelp） Groove InternetExplorer 日誌 放大鏡 郵件 地圖（英語：WindowsMaps） MediaPlayer MSN應用（新聞，天氣，體育，財經） MovieMaker 電影與電視 行動中心 朗讀程式 記事本 行事曆 OneDrive OneNote 小畫家3D 連絡人 相片 遠端協助（英語：QuickAssist） 剪取工具 語音辨識 自黏便箋（英語：StickyNotes） 市集 提示（英語：MicrosoftTips） 錄音機 WindowsInk WordPad Xbox XPS檢視器 您的手機 Shell 重要訊息中心 Aero 自動播放 自動執行 ClearType 檔案總管 搜尋 索引服務 IFilter 儲存的搜尋 命名空間 特殊資料夾 開始功能表 工作列 工作檢視 WindowsXP主題 服務 服務控制管理器 後台智慧型傳輸服務 通用紀錄檔檔案系統 多媒體類別排程器（英語：MultimediaClassSchedulerService） 磁碟區陰影複製服務 工作排程器 錯誤報告 無線零組態 推播通知服務 檔案系統 CDFS DFS exFAT 可安裝檔案系統 FAT NTFS 硬連結 連接點 掛載點 重解析點 符號連結 TxF（英語：TransactionalNTFS） EFS ReFS UDF WinFS 伺服器 網域（英語：Windowsdomain） ActiveDirectory DNS（英語：MicrosoftDNS） 群組原則 漫遊使用者設定檔（英語：Roaminguserprofiles） 資料夾重新導向（英語：Folderredirection） 分散式交易協調器 MSMQ（英語：MicrosoftMessageQueuing） WindowsMedia服務 ActiveDirectory權限管理服務（英語：ActiveDirectoryRightsManagementServices） IIS 遠端桌面服務 WSUS SharePoint 網路存取保護 PWS 檔案複寫服務（英語：FileReplicationService） 遠端差異壓縮（英語：RemoteDifferentialCompression） 適用於UNIX的列印服務（英語：PrintServicesforUNIX） Windows部署服務（英語：WindowsDeploymentServices） 系統資源管理員（英語：WindowsSystemResourceManager） Hyper-V 伺服器核心 架構 WindowsNT的架構 啟動處理程序（英語：Windowsstartupprocess） csrss.exe 桌面視窗管理員 可攜式格式 EXE DLL 增強寫入篩選器（英語：EnhancedWriteFilter） 圖形裝置介面 hal.dll I/O請求封包 程式庫檔 核心交易管理員 函式庫 邏輯磁碟管理 lsass MinWin（英語：MinWin） NTLDR Windows啟動管理程式 ntoskrnl.exe 物件管理 OpenXML紙張規範 登錄檔 Windows資源保護 安全性帳戶管理員（英語：SecurityAccountManager） 伺服器訊息區 磁碟區陰影複製服務 SMSS 系統閒置處理程序（英語：SystemIdleProcess） 使用者（英語：WindowsUSER） WHEA（英語：WindowsHardwareErrorArchitecture） Win32主控台 Winlogon 華生醫生（英語：Dr.Watson(debugger)） 安全性 安全性與維護 BitLocker 資料執行防止 家長監護服務 核心修補程式保護 認證相符控制 受保護媒體路徑 使用者帳戶控制 控制台元件列表 WindowsDefender Windows防火牆 相容性 COMMAND.COM DOS虛擬機器（英語：VirtualDOSmachine） WindowsonWindows WoW64 適用於Linux的Windows子系統 API 動態指令碼處理（英語：ActiveScripting） WSH VBScript JScript COM ActiveX ActiveX文件（英語：ActiveXDocument） COM結構化儲存 DCOM OLE OLE自動化（英語：OLEAutomation） TransactionServer（英語：MicrosoftTransactionServer） DirectX .NETFramework WindowsHolographic WindowsRuntime 通用Windows平台（UWP） 已經終止遊戲 3DPinball ChessTitans 新接龍 傷心小棧 中文輸入法練習 戰鷹!（英語：Hover!） 筆跡球 Hold'Em MahjongTitans 踩地雷 PurblePlace 黑白棋 接龍 連環新接龍 Tinker 應用程式 ActiveMovie（英語：ActiveMovie） AnytimeUpgrade 通訊錄（英語：WindowsAddressBook） 備份與還原中心 Cardfile（英語：Cardfile） CardSpace 連絡人 桌面小工具 診斷（英語：MicrosoftDiagnostics） DriveSpace DVD製作程式 傳真（英語：MicrosoftFax） 檔案管理員 檔案保護 美食 健康 HyperTerminal（英語：HyperTerminal） OutlookExpress WindowsMail 媒體中心 會議空間 訊息中心（英語：WindowsMessaging） Messenger Mobile裝置中心 NetMeeting 下一代安全計算基礎 NTBackup 旅遊 相片圖庫 程式管理器（英語：ProgramManager） WinHelp WinSAT 小作家 小畫家 WindowsToGo 其他 WindowsServicesforUNIX POSIX子系統 Interix（英語：Interix） ScanDisk Windows視訊 Windows相片檢視器 WindowsSideShow（英語：WindowsSideShow） 媒體控制介面 取自「https://zh.wikipedia.org/w/index.php?title=组策略&oldid=70642036」 分類：​活動目錄Windows管理Windows組件隱藏分類：​Webarchive模板wayback連結含有英語的條目需要消歧義的條目連結維基百科和維基數據上的官方網站不同 導覽選單 個人工具 沒有登入討論貢獻建立帳號登入 命名空間 條目討論 臺灣正體 不转换简体繁體大陆简体香港繁體澳門繁體大马简体新加坡简体臺灣正體 查看 閱讀編輯檢視歷史 更多 搜尋 導航 首頁分類索引特色內容新聞動態近期變更隨機條目資助維基百科 說明 說明維基社群方針與指引互助客棧知識問答字詞轉換IRC即時聊天聯絡我們關於維基百科 工具 連結至此的頁面相關變更上傳檔案特殊頁面靜態連結頁面資訊引用此頁面維基數據項目 列印/匯出 下載為PDF可列印版 其他語言 العربيةČeštinaDeutschEnglishEspañolFrançaisעבריתMagyarBahasaIndonesiaItaliano日本語한국어NederlandsPortuguêsРусскийУкраїнська 編輯連結