規劃GPO 部署- Windows security - Microsoft Docs

GPO 可以依據裝置在Active Directory 中的位置，將設定適用于裝置。

如果裝置從一個OU 移到另一個OU，當群組原則在輪詢期間偵測到變更時，連結至第二個 ... 跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge 其他資訊 目錄 結束焦點模式 閱讀英文 儲存 目錄 閱讀英文 儲存 意見反應 編輯 Twitter LinkedIn Facebook 電子郵件 WeChat 目錄 規劃GPO部署 發行項 11/03/2021 1位參與者 此頁面有所助益嗎？ Yes No 還有其他意見反應嗎？ 系統會將意見反應傳送給Microsoft：按下[提交]按鈕，您的意見反應將用來改善Microsoft產品和服務。

隱私權原則。

送出 謝謝。

本文內容 適用對象 Windows10 Windows11 WindowsServer2016及更新版本 您可以結合三種方式，控制將哪些GPO適用于ActiveDirectory中的裝置： ActiveDirectory組織單位階層。

這涉及將GPO連結至ActiveDirectoryOU階層中的特定OU。

OU及其從屬容器內的所有裝置都接收並適用GPO。

透過連結至OUs來控制GPO應用程式，通常是用來根據網域隔離區域需求來組織OU階層。

GPO可以依據裝置在ActiveDirectory中的位置，將設定適用于裝置。

如果裝置從一個OU移到另一個OU，當群組原則在輪詢期間偵測到變更時，連結至第二個OU的策略最終會生效。

安全性群組篩選。

這涉及將GPO連結至網域層級(或OU階層中其他父OU)，然後使用只允許正確的群組成員來適用GPO的許可權來選取哪些裝置接收GPO。

安全性組篩選會附加到GPO本身。

群組會新增到ActiveDirectory中GPO的安全性組篩選，然後指派讀取及適用群組原則許可權。

其他群組可以明確拒絕讀取及適用群組原則許可權。

只有那些擁有群組成員資格的裝置，在沒有明確拒絕許可權的情況下，可以申請GPO的讀取和適用群組原則許可權。

WMI篩選。

WMI篩選是評估GPO時動態執行的查詢。

如果當WMI篩選查詢執行時，裝置是結果集的成員，GPO會套用至裝置。

WMI篩選包含一或多個根據本地裝置評估的條件。

您可以檢查裝置、其作業系統及其已安裝程式的任何特性。

如果裝置的所有指定條件都為True，則GPO會適用;否則GPO會被忽略。

本指南使用安全性群組篩選和WMI篩選的組合，提供最彈性的選項。

如果您遵循此指南，即使因為作業系統版本差異而連結至特定群組的5個不同的GPO，只會使用正確的GPO。

一般考慮 在您新增任何裝置帳戶至接收GPO的群組之前，先部署您的GPO。

如此一來，您就可以以控制的方式將裝置新增到群組中。

一開始請務必只新增幾個測試裝置。

新增許多群組成員之前，請檢查測試裝置上的結果，並確認所配置的防火牆和連接安全性規則具有您想要的效果。

請參閱下列各節，以在繼續之前，先瞭解測試內容的建議。

測試您部署的群組和GPO 部署GPO並新增一些測試裝置至群組後，請確認下列事項，然後再繼續使用更多群組成員： 檢查同時指派給裝置和從裝置篩選的GPO。

在命令提示符上執行gpresult工具。

檢查部署至裝置的規則。

開啟WindowsDefenderMMC管理單元，展開監控節點，****然後展開防火牆和連線安全性節點。

確認通訊已經過驗證。

開啟[WindowsDefenderMMC管理單元、展開監控節點、****展開安全性關聯節點，然後按一下[主模式>。

確認通訊在裝置需要時已加密。

開啟WindowsDefenderMMC管理單元、展開監控節點、展開****安全性關聯節點，然後選取快速模式。

加密的關聯在ESP機密性欄中顯示非None的值。

確認程式不受影響。

執行它們並確認它們仍如預期一樣工作。

確認已正確應用GPO，且裝置現在以要求模式使用IPsec網路流量來通訊之後，就可以開始一次以可管理的數位將更多裝置新增到群群組帳戶。

繼續監控並確認GPO在裝置上的正確應用程式。

在部署完成之前，請勿啟用需要模式 如果您在部署其他裝置部署GPO之前，先將需要驗證的GPO部署到裝置，則可能無法在裝置之間通訊。

請稍候，直到您以要求模式部署所有區域及其GPO，並確認(如上一節所述)裝置已使用IPsec成功通訊。

如果GPO部署發生問題，或一或多個IPsecGPO的組組錯誤，裝置可以繼續運作，因為要求模式可讓任何裝置回到清除通訊。

只有在您將所有裝置新增到其區域，而且您確認通訊如預期運作之後，您才能開始變更要求模式規則，以在區域中需要的模式規則。

我們建議您在區域中一次啟用要求模式，暫停以確認它們運作正常，然後再繼續。

先開啟伺服器隔離區所需的模式設定，然後開啟加密區域，然後開啟隔離網域。

請勿變更邊界區域GPO，因為進入和外發連接都必須維持在要求模式。

如果您建立的其他區域需要進入或外發需要模式，請以將設定從較小的裝置群組分期適用于較大的群組的方式變更設定。

範例WoodgroveBank部署計畫 WoodgroveBank會連結其所有GPO至ActiveDirectoryOU階層中的網域層級容器。

然後，它會使用下列WMI篩選和安全性組篩選來控制GPO對正確裝置子集的適用。

所有GPO都停用了使用者組組區段，以改善績效。

GPO_DOMISO_Firewall WMI篩選。

WMI篩選允許此GPO只適用于符合下列WMI查詢的裝置： select*fromWin32_OperatingSystemwhereVersionlike"6.%"andProductType<>"2" 注意：這會排除網域(，而網域控制站會報告2)。

如果有執行版本早于WindowsVista和WindowsServer2008Windows網域的網域控制站。

安全性篩選。

此GPO只會將讀取和群組原則許可權授予群組CG_DOMISO_IsolatedDomain。

GPO也會明確拒絕對CG_DOMISO_NO_IPSEC的成員讀取及應用程式群組原則許可權。

GPO_DOMISO_IsolatedDomain_Clients WMI篩選。

WMI篩選允許此GPO只適用于符合下列WMI查詢的裝置： select*fromWin32_OperatingSystemwhereVersionlike"6.%"andProductType="1" 安全性篩選。

此GPO只會將讀取和群組原則許可權授予群組CG_DOMISO_IsolatedDomain。

GPO也會明確拒絕群組CG_DOMISO_NO_IPSEC的讀取和群組原則許可權。

GPO_DOMISO_IsolatedDomain_Servers WMI篩選。

WMI篩選允許此GPO只適用于符合下列WMI查詢的裝置： select*fromWin32_OperatingSystemwhereVersionlike"6.%"andProductType="3" 注意：這會排除網域(，而網域控制站會報告2)。

如果有執行版本早于WindowsVista和WindowsServer2008Windows的裝置，請勿在隔離網域Windows網域控制站。

安全性篩選。

此GPO只會將讀取和群組原則許可權授予群組CG_DOMISO_IsolatedDomain。

GPO也會明確拒絕群組CG_DOMISO_NO_IPSEC的讀取和群組原則許可權。

GPO_DOMISO_Boundary WMI篩選。

WMI篩選允許此GPO只適用于符合下列WMI查詢的裝置： select*fromWin32_OperatingSystemwhereVersionlike"6.%"andProductType="3" 注意：這會排除網域(，而網域控制站會報告2)。

如果有執行版本早于WindowsVista和WindowsServer2008Windows的裝置，請勿在隔離網域Windows網域控制站。

安全性篩選。

此GPO只會將讀取和群組原則許可權授予群組CG_DOMISO_Boundary。

GPO也會明確拒絕群組CG_DOMISO_NO_IPSEC的讀取和群組原則許可權。

GPO_DOMISO_Encryption WMI篩選。

WMI篩選允許此GPO只適用于符合下列WMI查詢的裝置： select*fromWin32_OperatingSystemwhereVersionlike"6.%"andProductType="3" 注意：這會排除網域(，而網域控制站會報告2)。

如果有執行版本早于WindowsVista和WindowsServer2008Windows的裝置，請勿在隔離網域Windows網域控制站。

安全性篩選。

此GPO只會將群組原則中的讀取和適用許可權授予群組CG_DOMISO_Encryption。

GPO也會明確拒絕群組原則中的讀取及應用程式許可權給群組CG_DOMISO_NO_IPSEC。

意見反應 提交並檢視相關的意見反應 本產品 本頁 檢視所有頁面意見反應 本文內容