組策略規划和部署指南

可以使用 Windows Server2008 組策略來管理計算機和用戶組配置，包括以下各項所對應的選項：基於注冊表的策略設置、安全設置、軟件部署、腳本、文件夾重定向以及首選項。Windows Server2008 中新增的組策略首選項是二十多個組策略擴展，用於擴展組策略對象 (GPO) 中的可配置策略設置的范圍。與組策略設置相比，首選項是非強制性的。用戶可以在初始部署后更改首選項。有關組策略首選項的信息，請參閱組策略首選項概述（可能為英文網頁）。

通過使用組策略，您可以大大降低組織的總擁有成本。各種各樣的因素可能會使組策略設計變得非常復雜，例如，大量可用的策略設置、多個策略之間的交互以及繼承選項。通過仔細規划、設計、測試並部署基於組織業務要求的解決方案，您可以提供組織所需的標准化功能、安全性以及管理控制。

組策略概述

組策略在運行 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 的計算機上啟用基於 Active Directory 的用戶和計算機設置更改和配置管理。除了使用組策略為用戶和計算機組定義配置以外，還可以配置很多服務器特定的操作和安全設置，以便使用組策略幫助管理服務器計算機。

您創建的組策略設置包含在 GPO 中。若要創建和編輯 GPO，請使用組策略管理控制台 (GPMC)。通過使用 GPMC 將 GPO 鏈接到選定 Active Directory 站點、域和組織單位 (OU)，您可以將 GPO 中的策略設置應用於這些 Active Directory 對象中的用戶和計算機。OU 是可以分配組策略設置的最低級別的 Active Directory 容器。

為指導您的組策略設計決策，您需要清楚地了解組織的業務需求、服務級別協議以及安全、網絡和 IT 要求。通過分析當前的環境和用戶要求，使用組策略定義要實現的業務目標，以及按照這些准則設計組策略基礎結構，您可以確定最符合組織需要的方法。

用於實現組策略解決方案的過程

用於實現組策略解決方案的過程涉及規划、設計、部署和維護解決方案。

在規划組策略設計時，請確保設計 OU 結構以簡化組策略管理並符合服務級別協議。應制訂使用 GPO 的正確操作步驟。確保您了解組策略互操作性問題，並確定是否打算使用組策略進行軟件部署。

在設計階段：

定義組策略的應用范圍。
確定適用於所有企業用戶的策略設置。
基於角色和位置對用戶和計算機進行分類。
基於用戶和計算機要求規划桌面配置。

規划完善的設計有助於確保成功部署組策略。

部署階段從測試環境中的暫存過程開始。該過程包括：

創建標准桌面配置。
篩選 GPO 的應用范圍。
指定默認組策略繼承的例外情況。
委派組策略管理。
使用組策略建模評估有效的策略設置。
使用組策略結果評估這些結果。

暫存過程至關重要。應在測試環境中全面測試組策略實現，然后再將其部署到生產環境中。完成暫存和測試后，請使用 GPMC 將 GPO 遷移到生產環境中。應考慮循環反復的組策略實現：並非部署 100 種新組策略設置，而是最初暫存並僅部署幾種策略設置以驗證組策略基礎結構是否正常工作。

最后，制訂使用組策略以及通過 GPMC 解決 GPO 問題的控制過程以准備維護組策略。

備注
Microsoft 高級組策略管理 (AGPM) 通過提供全面的更改控制和增強的 GPO 管理來擴展 GPMC 功能。有關 AGPM 的詳細信息，請訪問 Microsoft 桌面優化包 (MDOP) 網站 (http://go.microsoft.com/fwlink/?LinkId=100757)（可能為英文網頁）。

在設計組策略解決方案之前需要執行的操作

在設計組策略實現之前，您需要了解當前的組織環境並需要在以下幾個方面執行預備步驟：

Active Directory：確保林中所有域的 Active Directory OU 設計都支持應用組策略。有關詳細信息，請參閱本指南后面部分中的設計支持組策略的 OU 結構。
網絡：確保您的網絡符合更改和配置管理技術的要求。例如，由於組策略使用完全限定的域名，因此，您必須在林中運行目錄名稱服務 (DNS) 才能正確處理組策略。
安全：獲取域中當前使用的安全組的列表。在委派組織單位管理責任以及創建需要安全組篩選的設計時，應與安全管理員緊密合作。有關篩選 GPO 的詳細信息，請參閱本指南后面部分中的定義組策略的應用范圍中的“將 GPO 應用於選定的組（篩選）”。
IT 要求：獲取域中的管理所有者以及企業的域和 OU 管理標准的列表。這樣，您便可以制訂正確的委派計划並確保正確繼承組策略。

備注
組策略取決於網絡、安全和 Active Directory；因此，了解這些技術是至關重要的。強烈建議先熟悉這些概念，然后再實現組策略。

組策略的管理要求

若要使用組策略，您的組織必須使用 Active Directory，並且目標桌面和服務器計算機必須運行 Windows Server2008、Windows Vista、Windows Server2003 或 WindowsXP。

默認情況下，只有 Domain Admins 或 Enterprise Admins 組的成員能夠創建和鏈接 GPO，但您可以將此任務委派給其他用戶。有關組策略管理要求的詳細信息，請參閱本指南后面部分中的委派組策略管理。

GPMC

GPMC 跨組織的多個林以統一的方式管理組策略的各個方面。可以使用 GPMC 管理網絡中的所有 GPO、Windows Management Instrumentation (WMI) 篩選器以及與組策略有關的權限。可以將 GPMC 視為主要的組策略訪問點，GPMC 界面中提供了所有組策略管理工具。

GPMC 包含一組用於管理組策略的可編腳本界面以及一個基於 MMC 的用戶界面 (UI)。Windows Server2008 附帶提供了 32 位和 64 位版本的 GPMC。

GPMC 提供了以下功能：

導入和導出 GPO。
復制和粘貼 GPO。
備份和還原 GPO。
搜索現有的 GPO。
報告功能。
組策略建模。用於模擬策略的結果集 (RsoP) 數據以規划組策略部署，然后再在生產環境中實現組策略。
組策略結果。用於獲取 RSoP 數據以查看 GPO 交互和解決組策略部署問題。
支持遷移表以便於跨域和林導入和復制 GPO。遷移表是一個文件，可以將對源 GPO 中的用戶、組、計算機和通用命名約定 (UNC) 路徑的引用映射到目標 GPO 中的新值。
在 HTML 報告中報告 GPO 設置和 RSoP 數據，您可以保存和打印這些報告。
可編腳本的界面，可以在其中執行 GPMC 中提供的所有操作。不過，無法使用腳本編輯 GPO 中的各個策略設置。

備注
Windows Server2008 不包含 GPMC 早期版本提供的 GPMC 示例腳本。不過，您可以從組策略管理控制台示例腳本（可能為英文網頁）中下載適用於 Windows Server2008 的 GPMC 示例腳本。有關使用 GPMC 示例腳本的詳細信息，請參閱本指南后面部分中的使用腳本管理組策略。

使用 GPMC 可大大提高組策略部署的可管理性；由於它提供了改進且簡化的組策略管理界面，您可以充分利用組策略的強大功能。

設計支持組策略的 OU 結構

在 Active Directory 環境中，可通過將 GPO 鏈接到站點、域或 OU 來分配組策略設置。通常，大多數 GPO 是在 OU 級別分配的，因此，請確保 OU 結構支持基於組策略的客戶端管理策略。您還可以在域級別應用某些組策略設置，尤其是密碼策略等設置。只有很少的策略設置是在站點級別應用的。設計完善的 OU 結構可反映組織的管理結構並利用 GPO 繼承，這種結構可以簡化組策略的應用過程。例如，設計完善的 OU 結構可防止復制某些 GPO，以便將這些 GPO 應用於組織的不同部分。如果可能，請創建 OU 以委派管理權限和幫助實現組策略。

OU 設計要求綜合考慮獨立於組策略需求委派管理權限的要求以及組策略需應用范圍需求。以下 OU 設計建議解決了委派和作用域問題：

委派管理權限：可以在域中創建 OU，並將對特定 OU 的管理控制委派給特定用戶或組。OU 結構可能會受委派管理權限的要求的影響。
應用組策略：在設計 OU 結構時，應主要考慮要管理的對象。您可能需要創建一種結構，按靠近頂級的工作站、服務器和用戶組織 OU。根據您的管理模型，您可以將基於地理位置的 OU 視為其他 OU 的子或父 OU，然后為每個位置復制這種結構以避免在不同的站點中進行復制。只有在以下情況下才能在下面添加 OU：這種做可使組策略應用更清晰，或者您需要在這些級別下面委派管理。

通過使用 OU 包含同類對象（如用戶或計算機對象，但不能同時包含兩者）的結構，您可以輕松禁用 GPO 中不應用於特定類型對象的部分。圖 1 中說明的 OU 設計方法降低了復雜性，並提高了組策略的應用速度。請記住，鏈接到高層 OU 結構的 GPO 是默認繼承的，因而不需要將 GPO 復制或鏈接到多個容器。

在設計 Active Directory 結構時，最重要的注意事項是簡化管理和委派過程。

451a6097-641f-4263-b7ae-063c952da0bb

將組策略應用於新用戶和計算機帳戶

默認情況下，新用戶和計算機帳戶是在 CN=Users 和 CN=Computers 容器中創建的。無法將組策略直接應用於這些容器，但它們會繼承鏈接到域的 GPO。若要將組策略應用於默認 Users 和 Computers 容器，您必須使用新的 Redirusr.exe 和 Redircomp.exe 工具。

Redirusr.exe（用於用戶帳戶）和 Redircomp.exe（用於計算機帳戶）是 Windows Server2008 附帶提供的兩個工具。可以使用這些工具更改新用戶和計算機帳戶的默認創建位置，以便更輕松地為新創建的用戶和計算機對象直接指定 GPO 作用域。這些工具位於 %windir%\system32 中包含 Active Directory 服務角色的服務器上。

通過為每個域運行一次 Redirusr.exe 和 Redircomp.exe，域管理員可以指定在創建所有新用戶和計算機帳戶時將其放置到的 OU。這樣，管理員就可以使用組策略管理這些未分配的帳戶，然后再將其分配給最終放置這些帳戶的 OU。請考慮使用組策略提高新用戶和計算機帳戶的安全性，以限制用於這些帳戶的 OU。

有關重定向用戶和計算機帳戶的詳細信息，請參閱 Microsoft 知識庫中的文章 324949“在 Windows Server2003 域中重定向用戶和計算機容器”(http://go.microsoft.com/fwlink/?LinkId=100759)。

站點和復制注意事項

在確定適合的策略設置時，請注意 Active Directory 的物理特性，其中包括站點的地理位置、域控制器的物理位置以及復制速度。

GPO 存儲在 Active Directory 和每個域控制器上的 Sysvol 文件夾中。這些位置具有不同的復制機制。如果懷疑可能未在域控制器中復制 GPO，請使用 Resource Kit 工具組策略對象 (Gpotool.exe) 幫助診斷問題。

有關 Gpotool.exe 的詳細信息，請參閱“Microsoft 幫助和支持”(http://go.microsoft.com/fwlink/?LinkId=109283)。若要下載 Windows Server2008 Resource Kit 工具，請參閱 Microsoft 下載中心上的“Windows Server2008 Resource Kit 工具”(http://go.microsoft.com/fwlink/?LinkId=4544)（可能為英文網頁）。

如果出現慢速鏈接問題（通常是到遠程站點的客戶端的鏈接），問題可能出在域控制器位置上。如果客戶端和驗證域控制器之間的網絡鏈接速度低於默認慢速鏈接閾值 500 千比特/秒，則僅默認應用管理模板（基於注冊表）設置、新無線策略擴展和安全設置。不會默認應用所有其他組策略設置。不過，您可以使用組策略修改此行為。

可以使用組策略慢速鏈接檢測策略，為 GPO 中的用戶和計算機內容更改慢速鏈接閾值。如有必要，您還可以調整在慢速鏈接閾值以下處理的組策略擴展。甚至可以根據需要，將本地域控制器放在遠程位置以滿足您的管理需要。

符合服務級別協議

某些 IT 組使用服務級別協議來指定應運行的服務。例如，服務級別協議可能規定了計算機啟動和登錄所需的最長時間、在用戶登錄多長時間后才能使用計算機，等等。服務級別協議通常會設置服務響應標准。例如，服務級別協議可能定義了允許用戶接收新軟件應用程序或訪問以前禁用的功能的時間長度。可能會影響服務響應的問題有：站點和復制拓撲、域控制器位置以及組策略管理員位置。

若要縮短處理 GPO 所需的時間，請考慮使用下面的某種策略：

如果 GPO 僅包含計算機配置或用戶配置設置，請禁用不適用的策略設置部分。在執行此操作后，目標計算機不會掃描禁用的 GPO 部分，從而縮短了處理時間。有關禁用 GPO 的某些部分的信息，請參閱本指南后面的禁用 GPO 中的用戶配置或計算機配置設置。
如果可能，請將一些較小的 GPO 合並為一個 GPO。這可減少應用於用戶或計算機的 GPO 數量。通過將較少的 GPO 應用於用戶或計算機，可以縮短啟動或登錄時間，並且可以更輕松地解決策略結構問題。
對 GPO 所做的更改將復制到域控制器中，並導致將新的內容下載到客戶端或目標計算機上。如果需要經常更改很大或很復雜的 GPO，請考慮創建一個新 GPO，其中僅包含定期更新的部分。請測試這種方法以確定最大限度減少對網絡的影響和縮短目標計算機的處理時間能帶來多大好處，而使 GPO 結構變得更復雜而容易出現故障的可能性有多大，是否利大於弊。
您應該實現組策略更改控制過程，並記錄對 GPO 所做的任何更改。這可能有助於解決和糾正出現的 GPO 問題。這種做還有助於滿足要求保留日志的服務級別協議的要求。請考慮使用 AGPM 來實現 GPO 更改控制過程和管理 GPO。

定義組策略目標

在規划組策略部署時，請確定具體的業務要求以及組策略如何幫助實現這些要求。然后，您可以確定最適合的策略設置和配置選項以滿足您的要求。

每個組策略實現的目標因用戶位置、工作需要、計算機體驗和企業安全要求而異。在某些情況下，您可能會從用戶的計算機中刪除一些功能以防止其修改系統配置文件（這可能會中斷計算機運行），或者刪除並非用戶工作時必不可少的應用程序。在其他情況下，您可能會使用組策略配置操作系統選項、指定 Internet Explorer 設置或制訂安全策略。

清楚地了解當前的組織環境和要求有助於設計出最符合組織需要的計划。應收集有關用戶類型（操作工人和數據輸入員）以及現有和計划的計算機配置的的信息，這一點至關重要。您可以根據這些信息來定義組策略目標。

評估現有的企業行為准則

為幫助您確定要使用的適合組策略設置，請先評估企業環境中的當前行為准則，其中包括如下因素：

各種類型的用戶的用戶要求。
當前 IT 角色，如划分到不同管理員組的各種管理任務。
現有的企業安全策略。
服務器和客戶端計算機的其他安全要求。
軟件分發模型。
網絡配置。
數據存儲位置和步驟。
當前的用戶和計算機管理。

定義組策略目標

接下來，請確定以下內容（作為定義組策略目標的一部分）：

每個 GPO 的用途。
每個 GPO 的所有者 — 請求策略設置並負責進行維護的人。
要使用的 GPO 數量。
要鏈接每個 GPO 的相應容器（站點、域或 OU）。
每個 GPO 中包含的策略設置類型以及用戶和計算機的相應策略設置。
何時設置組策略默認處理順序的例外情況。
何時設置組策略的篩選選項。
要安裝的軟件應用程序及其位置。
用於重定向文件夾的網絡共享。
要運行的登錄、注銷、啟動和關機腳本的位置

規划持續的組策略管理

在設計和實現組策略解決方案時，規划持續的組策略管理也是非常重要的。通過確定管理步驟以跟蹤和管理 GPO，可以確保按預定方式實現所有更改。

若要簡化和控制持續的組策略管理，我們建議您：

始終使用以下預部署過程暫存組策略部署：
- 使用組策略建模了解新 GPO 如何與現有 GPO 進行交互。
- 在模擬生產環境的測試環境中部署新 GPO。
- 使用組策略結果了解在測試環境中實際應用的 GPO 設置。
使用 GPMC 定期備份 GPO。
使用 GPMC 在組織中管理組策略。
除非必要，否則不要修改默認域策略或默認域控制器策略。相反，應在域級別創建新的 GPO，並對其進行設置以覆蓋默認策略設置。
為 GPO 定義有意義的命名約定，以清楚地說明每個 GPO 的用途。
僅為每個 GPO 委派一個管理員。這可防止一個管理員的工作被另一個管理員的工作所覆蓋。

在 Windows Server2008 和 GPMC 中，您可以將編輯和鏈接 GPO 的權限委派給不同的管理員組。如果未確定適合的 GPO 控制步驟，委派的管理員可能具有重復的 GPO 設置，或者創建的 GPO 與另一個管理員設置的策略設置發生沖突或不符合企業標准。這些沖突可能會對用戶的桌面環境產生不利影響，增加撥打的支持電話次數並且更難解決 GPO 問題。

確定互操作性問題

在混合環境中規划組策略實現時，您需要考慮可能出現的互操作性問題。Windows Server2008 和 Windows Vista 包含很多新組策略設置，Windows Server2003 或 WindowsXP 中不使用這些設置。不過，即使組織中的客戶端和服務器計算機主要運行的是 Windows Server2003 或 WindowsXP，您也應該使用 Windows Server2008 中包含的 GPMC，因為它包含最新的策略設置。如果將包含較新策略設置的 GPO 應用於不支持該策略設置的以前操作系統，並不會出現問題。

運行 Windows Server2003 或 WindowsXP Professional 的目標計算機直接忽略僅在 Windows Server2008 或 Windows Vista 中支持的策略設置。若要確定將哪些策略設置應用於哪些操作系統，請在策略設置說明中查看“支持的平台”信息，它說明了哪些操作系統可以讀取該策略設置。

確定何時應用組策略更改

由於對 GPO 的更改必須先復制到相應的域控制器中，因此可能不會在用戶桌面上立即應用對組策略設置的更改。此外，客戶端使用 90 分鍾刷新周期（隨機偏差最多約為 30 分鍾）來檢索組策略。因此，很少會立即應用更改的組策略設置。GPO 組件存儲在 Active Directory 和域控制器的 Sysvol 文件夾中。將 GPO 復制到其他域控制器是由兩個獨立機制完成的：

Active Directory 中的復制是由 Active Directory 的內置復制系統控制的。默認情況下，在同一站點的域控制器之間復制時，通常需要不到一分鍾的時間。如果您的網絡速度比 LAN 慢，此過程可能會較慢。
Sysvol 文件夾復制是由文件復制服務 (FRS) 或分布式文件系統復制 (DFSR) 控制的。在站點中，每 15 分鍾進行一次 FRS 復制。如果域控制器位於不同的站點中，則會按設置的間隔根據站點拓撲和復制計划執行復制過程；最低間隔為 15 分鍾。

備注
如果務必為特定站點中的特定用戶或計算機組立即應用更改，您可以連接到與這些對象最接近的域控制器，然后在該域控制器上進行配置更改，以使這些用戶最先獲得更新的策略設置。

策略刷新間隔

刷新組策略的主要機制是啟動和登錄。還會定期按其他間隔刷新組策略。策略刷新間隔影響應用 GPO 更改的速度。默認情況下，運行 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 的客戶端和服務器每 90 分鍾檢查一次 GPO 更改，隨機偏差最多為 30 分鍾。

運行 Windows Server2008 或 Windows Server2003 的域控制器將每 5 分鍾檢查一次計算機策略更改。可以使用以下某種策略設置更改該輪詢頻率：“計算機的組策略刷新間隔”、“域控制器組的組策略刷新間隔”或“用戶的組策略刷新間隔”。不過，建議不要縮短刷新間隔時間，因為這可能會增加網絡通信量並在域控制器上產生額外的負載。

觸發組策略刷新

如有必要，您可以從本地計算機中手動觸發組策略刷新，而無需等待執行自動后台刷新。為此，您可以在命令行中鍵入 gpupdate 以刷新用戶或計算機策略設置。無法使用 GPMC 觸發組策略刷新。gpupdate 將在運行該命令的本地計算機上觸發后台策略刷新。

有關 gpupdate 命令的詳細信息，請參閱本指南后面的更改組策略刷新間隔。

備注
某些策略設置（如文件夾重定向和軟件應用程序分配）要求用戶注銷並重新登錄，然后這些設置才會生效。只有在重新啟動計算機后，才會安裝分配給計算機的軟件應用程序。

確定與軟件安裝有關的問題

雖然可以使用組策略安裝軟件應用程序（尤其是小型或中型組織），但您需要確定它是否為最符合組織需要的解決方案。在使用組策略安裝軟件應用程序時，只有在重新啟動計算機或用戶登錄后，才會安裝或更新分配的應用程序。

使用 System Center Configuration Manager 2007（以前稱為 Systems Management Server (SMS)）部署軟件可提供基於組策略的軟件部署中沒有的企業級功能，例如，基於清單確定目標、狀態報告和計划。因此，您可以使用組策略配置桌面和設置系統安全和訪問權限，但使用 Configuration Manager 傳送軟件應用程序。這種方法允許將應用程序安裝安排在非核心工作時間進行，從而提供了帶寬控制。

具體選擇哪些工具取決於您的要求、您的環境以及是否需要使用 Configuration Manager 提供的附加功能和安全性。有關 Configuration Manager 的信息，請參閱 System Center Configuration Manager (http://go.microsoft.com/fwlink/?LinkId=109285)（可能為英文網頁）。

設計組策略模型

您的主要目標是，根據業務要求設計 GPO 結構。應牢記組織中的計算機和用戶，並確定必須在組織中強制實施的策略設置以及適用於所有用戶或計算機的策略設置。還要根據類型、功能或工作角色確定用於配置計算機或用戶的策略設置。然后，將這些不同類型的策略設置划分到 GPO 中，並將其鏈接到相應的 Active Directory 容器。

還要牢記組策略繼承模型以及確定優先級的方式。默認情況下，較低級別的所有 OU 將繼承鏈接到較高級別 Active Directory 站點、域和 OU 的 GPO 中設置的選項。不過，在較低級別鏈接的 GPO 可能會覆蓋繼承的策略。

例如，您可能會使用在較高級別鏈接的 GPO 來分配標准桌面牆紙，但希望使用某種 OU 獲取不同的牆紙。為此，您可以將第二個 GPO 鏈接到該特定較低級別 OU。由於較低級別 GPO 是最后應用的，因此，第二個 GPO 將覆蓋域級 GPO，並為該特定較低級別 OU 提供一組不同的組策略設置。不過，您可以使用“阻止繼承”和“強制”修改這種默認繼承行為。

以下准則可幫助定制組策略設計以滿足組織的需要：

確定是否必須為特定的用戶或計算機組強制實施任何策略設置。請創建包含這些策略設置的 GPO，將其鏈接到相應的站點、域或 OU，然后將這些鏈接指定為“強制”。通過設置該選項，您可以強制實施較高級別 GPO 的策略設置，以防止較低級別 Active Directory 容器中的 GPO 覆蓋這些設置。例如，如果在域級別定義一個特定的 GPO 並指定強制實施該 GPO，該 GPO 包含的策略將應用於該域下面的所有 OU；鏈接到較低級別 OU 的 GPO 無法覆蓋該域組策略。

備注
應慎用“強制”和“阻止策略繼承”功能。如果經常使用這些功能，可能會導致很難解決策略問題，因為其他 GPO 的管理員不容易弄清楚為什么應用了或未應用某些策略設置。

確定哪些策略設置適用於整個組織，並考慮將這些設置鏈接到域上。還可以使用 GPMC 復制 GPO 或導入 GPO 策略設置，從而在不同的域中創建相同的 GPO。
將 GPO 鏈接到 OU 結構（或站點），然后使用安全組有選擇地將這些 GPO 應用於特定用戶或計算機。
對組織中的計算機類型和用戶的角色或工作職能進行分類，將它們划分到 OU 中，創建 GPO 以便根據需要為每個 OU 配置環境，然后將 GPO 鏈接到這些 OU。
准備暫存環境以測試基於組策略的管理策略，然后再將 GPO 部署到生產環境中。應將此階段視為暫存您的部署。這是一個關鍵步驟，有助於確保組策略部署滿足您的管理目標的要求。本指南后面的暫存組策略部署中介紹了該過程。

定義組策略的應用范圍

若要定義 GPO 的應用范圍，請考慮以下問題：

要將 GPO 鏈接到什么地方？
將使用 GPO 上的哪種安全篩選？通過使用安全篩選，您可以優化哪些用戶和計算機將接收並應用 GPO 中的策略設置。安全組篩選可以確定是將 GPO 統一應用於組、應用於用戶還是應用於計算機；無法有選擇地對 GPO 中的不同策略設置使用安全組篩選。
將應用哪些 WMI 篩選器？通過使用 WMI 篩選器，您可以根據目標計算機的屬性動態確定 GPO 作用域。

還要記住將默認繼承 GPO，GPO 是累積性的，它影響 Active Directory 容器及其子容器中的所有計算機和用戶。其處理順序如下所示：本地組策略、站點、域和 OU，最后處理的 GPO 將覆蓋先前的 GPO。默認繼承方法是，評估從離計算機或用戶對象最遠的 Active Directory 容器開始的組策略。離計算機或用戶最近的 Active Directory 容器將覆蓋較高級別 Active Directory 容器中設置的組策略，除非為該 GPO 鏈接設置了“強制（禁止替代）”選項，或者已將“阻止策略繼承”策略設置應用於域或 OU。將先處理 LGPO，因此，鏈接到 Active Directory 容器的 GPO 中的策略設置將覆蓋本地策略設置。

另一個問題是，雖然可以將多個 GPO 鏈接到一個 Active Directory 容器上，但需要注意處理優先級。默認情況下，優先處理“組策略對象鏈接”列表（顯示在 GPMC 的“鏈接的組策略對象”選項卡中）中鏈接順序最低的 GPO 鏈接。不過，如果一個或多個 GPO 鏈接設置了“強制”選項，則設置為“強制”的最高 GPO 鏈接優先。

簡單地說，“強制”是一個鏈接屬性，“阻止策略繼承”是一個容器屬性。“強制”優先於“阻止策略繼承”。此外，還可以使用四種其他方式禁用 GPO 本身的策略設置：可以禁用 GPO，GPO 可以禁用其計算機設置，禁用其用戶設置或禁用其所有設置。

GPMC 大大簡化了這些任務，您可以通過它查看組織中的 GPO 繼承，並從某個 MMC 控制台中管理鏈接。圖 2 說明了 GPMC 中顯示的組策略繼承。

e3115f72-6178-43c4-a324-6fad9692b942

備注
若要查看到域、站點或 OU 的 GPO 鏈接的繼承和優先級的完整詳細信息，您必須具有包含 GPO 鏈接的站點、域或 OU 以及 GPO 的讀取權限。如果您具有站點、域或 OU 的讀取訪問權限，但沒有鏈接到此處的某個 GPO 的讀取訪問權限，該 GPO 將顯示為“不可訪問的 GPO”，您無法讀取該 GPO 的名稱或其他信息。

確定所需的 GPO 數量

所需的 GPO 數量取決於設計方法、環境復雜性、目標以及項目范圍。如果某個林中包含多個域或者有多個林，您可能會發現每個域中所需的 GPO 數量是不同的。與較小且比較簡單的域相比，支持非常復雜的業務環境的域（具有不同的用戶數量）通常需要更多的 GPO。

隨着支持組織所需的 GPO 數量的增加，組策略管理員的工作量也會有所增加。可以采取一些措施來簡化組策略管理。通常，如果某些策略設置應用於一組給定的用戶或計算機，並由一組常用的管理員進行管理，則應將其划分到單個 GPO 中。再者，如果不同的用戶或計算機組具有相同要求，並且只有幾個組需要進行增量更改，請考慮使用鏈接到 Active Directory 結構中的較高級別的單個 GPO，將這些相同要求應用於所有這些用戶或計算機組中。然后，再添加幾個額外的 GPO，以便僅在相關 OU 中應用增量更改。可能並非始終能夠使用這種方法，這種方法也並非始終有效，因此，您可能需要指定該准則的例外情況。如果是這種情況，請確保對其進行跟蹤。

備注
最多支持使用 999 個 GPO 來處理任一用戶或計算機上的 GPO。如果超過最大數，將無法再處理 GPO。此限制僅影響相同應用的 GPO 數量；它不影響可以在域中創建和存儲的 GPO 數量。

應考慮到應用於計算機的 GPO 數量會影響啟動時間，應用於用戶的 GPO 數量會影響登錄到網絡上所需的時間。鏈接到用戶的 GPO 數量越大（尤其是這些 GPO 中的策略設置數量越大），用戶登錄時處理這些 GPO 所需的時間就越長。在登錄過程中，只要為用戶設置了“讀取”和“應用組策略”權限，就會應用用戶站點、域和 OU 層次結構中的每個 GPO。在 GPMC 中，“讀取”和“應用組策略”權限是作為一個單位（稱為安全篩選）進行管理的。

如果使用安全篩選並刪除給定用戶或組的“應用組策略”權限，則還會刪除讀取權限，除非由於某些原因要求該用戶具有讀取訪問權限。（如果使用的是 GPMC，則不必擔心這種情況，因為 GPMC 自動執行此操作。）如果未設置“應用組策略”權限，但設置了“讀取”權限，GPO 鏈接到的 OU 層次結構中的任何用戶或計算機仍會檢查（但不應用）GPO。這種檢查過程略微增加登錄時間。

始終在測試環境中測試組策略解決方案，以確保所定義的策略設置不會過度延長顯示登錄屏幕所需的時間，並且這些設置符合桌面服務級別協議。在該暫存階段，使用測試帳戶登錄以測定幾個 GPO 對環境中的對象的實際影響。

鏈接 GPO

若要將 GPO 的策略設置應用於用戶和計算機，您需要將 GPO 鏈接到站點、域或 OU。可以使用 GPMC 添加一個或多個到每個站點、域或 OU 的 GPO 鏈接。請記住，創建和鏈接 GPO 是一個敏感權限，只應將該權限委派給值得信任且了解組策略的管理員。

將 GPO 鏈接到站點

如果將一些策略設置（如某些網絡或代理配置設置）應用於特定物理位置中的計算機，則可能只有這些策略設置適於添加到基於站點的策略設置中。由於站點和域是獨立的，因此，站點中的計算機可能需要跨域將 GPO 鏈接到站點上。在這種情況下，請確保連接狀況良好。

如果策略設置並不明確對應於單個站點中的計算機，則最好將 GPO 分配給域或 OU 結構，而不是分配給站點。

將 GPO 鏈接到域

如果要將 GPO 應用於域中的所有用戶和計算機，請將 GPO 鏈接到該域上。例如，安全管理員通常實現基於域的 GPO 以強制實施企業標准。他們可能需要這些 GPO 並啟用 GPMC“強制”選項，以確保其他管理員無法覆蓋這些策略設置。

重要事項
如果需要修改默認域策略 GPO 中包含的策略設置，我們建議您創建新的 GPO 實現此目的，將其鏈接到域上，然后設置“強制”選項。通常，不要修改默認域策略 GPO 或默認域控制器策略 GPO。

顧名思義，默認域策略 GPO 也會鏈接到域上。默認域策略 GPO 是在安裝域中的第一個域控制器以及管理員第一次登錄時創建的。該 GPO 包含域范圍的帳戶策略設置、密碼策略、帳戶鎖定策略以及 Kerberos 策略，它是由域中的域控制器強制實施的。所有域控制器從默認域策略 GPO 中檢索這些帳戶策略設置的值。要將帳戶策略應用於域帳戶，必須在鏈接到域的 GPO 中部署這些策略設置。如果在較低級別（如 OU）設置帳戶策略設置，這些策略設置僅影響該 OU 和子 OU 中的計算機上的本地帳戶（非域帳戶）。

在對默認 GPO 進行任何更改之前，請確保使用 GPMC 備份 GPO。如果默認 GPO 更改出現問題，並且無法恢復到以前或初始狀態，您可以使用下一節中介紹的 Dcgpofix.exe 工具重新創建初始狀態的默認策略。或者，如果使用的是 AGPM，將保留所做的任何更改的記錄，因此，您可以恢復到以前或初始狀態。

還原默認域策略 GPO 和默認域控制器 GPO

Dcgpofix.exe 是一個命令行工具，在發生災難而無法使用 GPMC 時，可以使用該工具將默認域策略 GPO 和默認域控制器 GPO 完全還原為原始狀態。Dcgpofix.exe 是 Windows Server2008 和 Windows Server2003 附帶提供的，它位於 C:\Windows\system32\ 文件夾中。

Dcgpofix.exe 僅還原生成默認 GPO 時其中包含的策略設置。Dcgpofix.exe 不還原管理員創建的其他 GPO；它僅用於默認 GPO 災難恢復。

備注
Dcgpofix.exe 不保存通過應用程序（如 Configuration Manager 或 Exchange）創建的任何信息。

Dcgpofix.exe 語法如下所示：

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

表 1 說明了在使用 Dcgpofix.exe 工具時可以使用的命令行選項。

表 1 Dcgpofix.exe 命令行選項

選項	選項說明
/ignoreschema	默認情況下，Windows Server2008 附帶提供的 Dcgpofix 版本僅適用於 Windows Server2008 域。此選項將繞過架構檢查，以允許其在非 Windows Server2008 域上工作。
/target:DOMAIN 或	指定應重新創建默認域策略。
/target:DC 或	指定應重新創建默認域控制器策略。
/target:BOTH	指定應重新創建默認域策略和默認域控制器策略。

有關 Dcgpofix.exe 的詳細信息，請參閱 Dcgpofix.exe (http://go.microsoft.com/fwlink/?LinkId=109291)（可能為英文網頁）。

將 GPO 鏈接到 OU 結構

GPO 通常鏈接到 OU 結構，因為這可提供最大的靈活性和可管理性。例如：

您可以將用戶和計算機移入或移出 OU。
如有必要，可以重新排列 OU。
您可以使用一些具有相同管理要求的較小用戶組。
您可以根據管理用戶和計算機的管理員對其進行組織。

通過將 GPO 划分為面向用戶的 GPO 和面向計算機的 GPO，有助於使組策略環境更易於理解，並且可以簡化故障排除過程。不過，要將用戶和計算機組件拆分為單獨的 GPO，您可能需要使用更多的 GPO。一種補救措施是，配置“GPO 狀態”設置以禁用不應用的 GPO 用戶或計算機配置部分，並縮短應用給定 GPO 所需的時間。

更改 GPO 鏈接順序

在每個站點、域和 OU 中，鏈接順序控制應用 GPO 的順序。若要更改鏈接優先級，您可以更改鏈接順序，即，將列表中的每個鏈接向上或向下移動到相應位置。對於給定站點、域或 OU，編號最小的鏈接具有最高的優先級。

例如，如果添加 6 個 GPO 鏈接，並隨后決定要為添加的最后一個鏈接指定最高優先級，您可以調整 GPO 鏈接的鏈接順序，以使該鏈接的鏈接順序為 1。若要更改站點、域或 OU 的 GPO 鏈接的鏈接順序，請使用 GPMC。

使用安全篩選將 GPO 應用於選定的組

默認情況下，GPO 影響鏈接的站點、域或 OU 中包含的所有用戶和計算機。不過，您可以在 GPO 上使用安全篩選以修改其效果：通過修改 GPO 權限僅將其應用於特定用戶、Active Directory 安全組成員或計算機。通過將安全篩選和 OU 中的相應位置相結合，您可以將任何一組給定的用戶或計算機作為目標。

要將 GPO 應用於給定用戶、安全組或計算機，該用戶、組或計算機必須具有 GPO 的“讀取”和“應用組策略”權限。默認情況下，“經過身份驗證的用戶”將“讀取”和“應用組策略”權限設置為“允許”。這兩個權限是作為一個單位使用 GPMC 中的安全篩選進行管理的。

若要設置給定 GPO 的權限，以便僅將 GPO 應用於特定用戶、安全組或計算機（而不是應用於所有經過身份驗證的用戶），請在 GPMC 控制台樹中包含該 GPO 的林和域中展開“組策略對象”。單擊該 GPO，然后在細節窗格的“作用域”選項卡上的“安全篩選”下面，刪除“經過身份驗證的用戶”，單擊“添加”，然后添加新的用戶、組或計算機。

例如，如果僅希望 OU 中的一部分用戶接收 GPO，請從“安全篩選”中刪除“經過身份驗證的用戶”。然后，添加一個具有安全篩選權限的新安全組，其中包含要接收 GPO 的那些用戶。僅位於 GPO 鏈接到的站點、域或 OU 中的該組成員能夠接收 GPO；位於其他站點、域或 OU 中的組成員不會接收 GPO。

您可能需要禁止將某些組策略設置應用於 Administrators 組成員。若要完成此操作，您可以執行以下操作之一：

為管理員創建一個單獨的 OU，並將該 OU 放在應用了大多數管理設置的層次結構以外。這樣，管理員就不會接收為管理的用戶提供的大多數策略設置。如果該單獨 OU 是域的直接子域，則管理員只能接收鏈接到域或站點的 GPO 中的策略設置。通常，僅在此處鏈接廣泛適用的常規策略設置，因此，讓管理員接收這些策略設置是可以接受的。如果不希望管理員接收這些設置，您可以在管理員的 OU 上設置“阻止繼承”選項。
僅在執行管理任務時讓管理員使用單獨的管理帳戶。在不執行管理任務時，仍會對管理員進行管理。
在 GPMC 中使用安全篩選，以便只有非管理員能夠接收策略設置。

應用 WMI 篩選器

可以使用 WMI 篩選器來控制如何應用 GPO。每個 GPO 可以鏈接到一個 WMI 篩選器上；但同一 WMI 篩選器可以鏈接到多個 GPO 上。在將 WMI 篩選器鏈接到 GPO 之前，您必須先創建該篩選器。在處理組策略期間，將在目標計算機上評估 WMI 篩選器。只有在 WMI 篩選器評估結果為 true 時，才會應用 GPO。在基於 Windows2000 的計算機上，將忽略 WMI 篩選器並始終應用 GPO。

備注
我們建議您將 WMI 篩選器主要用於例外情況管理。這些篩選器提供了一個強大的解決方案，以便將 GPO 應用於特定用戶和計算機，但由於每次處理組策略時都會評估 WMI 篩選器，這會增加啟動和登錄時間。另外，WMI 篩選器沒有超時。因此，只有在必要時才能使用這些篩選器。

通過使用 GPMC，您可以為 WMI 篩選器執行下列操作：創建和刪除、鏈接和取消鏈接、復制和粘貼、導入和導出以及查看和編輯屬性。

只有在域中至少有一個域控制器運行的是 Windows Server2008 或 Windows Server2003，或者在該域中使用 /Domainprep 選項運行了 ADPrep 時，才能使用 WMI 篩選器。否則，GPO 的“作用域”選項卡上的“WMI 篩選”部分以及該域下面的“WMI 篩選器”節點不存在。請參閱圖 3 以幫助您確定本節中介紹的內容。

a69987c9-84ec-4473-9f2c-efe0022d5331

設置 WMI 篩選選項

WMI 將顯示目標計算機中的管理數據。該數據可能包括硬件和軟件清單、設置以及配置信息，其中包括注冊表、驅動程序、文件系統、Active Directory、SNMP、Windows 安裝程序以及網絡中的數據。管理員可以創建 WMI 篩選器以控制是否應用 GPO，這些篩選器包含一個或多個基於此數據的查詢。將在目標計算機上評估篩選器。如果 WMI 篩選器評估結果為 true，則會將 GPO 應用於該目標計算機；如果篩選器評估結果為 false，則不會應用 GPO。在基於 Windows2000 的客戶端或服務器目標上，將忽略 WMI 篩選器並始終應用 GPO。如果沒有任何 WMI 篩選器，則始終應用 GPO。

可以使用 WMI 篩選器，根據各種對象和其他參數來確定組策略設置的目標。表 2 說明了可以為 WMI 篩選器指定的示例查詢條件。

表 2 示例 WMI 篩選器

查詢的 WMI 數據	示例查詢條件
服務	運行 DHCP 服務的計算機
注冊表	填充了指定注冊表項的計算機
Windows 事件日志	最后五分鍾報告審核事件的計算機
操作系統版本	運行 Windows Server2003 和更高版本的計算機
硬件清單	具有 Pentium III 處理器的計算機
硬件配置	在級別 3 啟用網絡適配器的計算機
服務關聯	具有任何依賴於 SQL 服務的服務的計算機

WMI 篩選器包含一個或多個 WMI 查詢語言 (WQL) 查詢。WMI 篩選器應用於 GPO 中的每個策略設置，因此，如果管理員要為不同策略設置指定不同的篩選要求，則必須創建單獨的 GPO。在基於安全組成員身份確定並篩選可能的 GPO 列表后，將在目標計算機上評估 WMI 篩選器。

雖然可以將基於組策略的軟件部署與 WMI 篩選器相結合來執行有限的基於清單的軟件部署目標設置，但建議不要將其作為通常的作法，原因如下：

每個 GPO 只能有一個 WMI 篩選器。如果應用程序具有不同的清單要求，則您需要多個 WMI 篩選器，因而需要多個 GPO。增加 GPO 數量會影響啟動和登錄時間，並且還會增加管理開銷。
WMI 篩選器評估可能需要很長時間才能完成，因此，它們可能會延長登錄和啟動時間。具體需要多少時間取決於查詢結構。

示例 WMI 篩選器

如上所述，WMI 篩選器非常適於作為例外情況管理工具。通過按照特定條件進行篩選，您可以將特定 GPO 的目標指定為僅限特定的用戶和計算機。下一節介紹了 WMI 篩選器以說明這一技術。

基於操作系統的目標設置

在本示例中，管理員要部署一個企業監視策略，但希望僅將基於 Windows Vista 的計算機作為目標。管理員可以創建如下 WMI 篩選器：

Select * from Win32_OperatingSystem where Caption like "%Vista%"

大多數 WMI 篩選器使用 Root\CimV2 命名空間；默認情況下，將在 GPMC 用戶界面中填充此選項。

由於在基於 Windows2000 的計算機上忽略 WMI 篩選器，因此，在這些計算機上始終應用篩選的 GPO。不過，您可以使用以下方法解決該問題：使用兩個 GPO，並為具有 Windows2000 設置的 GPO 指定較高的優先級（通過使用鏈接順序）。然后，使用 WMI 篩選器篩選該 Windows2000 GPO，並且僅在操作系統是 Windows2000（而不是 Windows Vista 或 WindowsXP）時才應用該篩選器。基於 Windows2000 的計算機將接收 Windows2000 GPO 並覆蓋 Windows Vista 或 WindowsXP GPO 中的策略設置。Windows Vista 或 WindowsXP 客戶端將接收 Windows Vista 或 WindowsXP GPO 中的所有策略設置。

基於硬件清單的目標設置

在本示例中，管理員希望僅將新網絡連接管理器工具分發到具有調制解調器的桌面。管理員可以使用以下 WMI 篩選器，將這些桌面指定為目標以部署該程序包：

Select * from Win32_POTSModem Where Name = " MyModem"

如果將組策略與 WMI 篩選器一起使用，請記住 WMI 篩選器應用於 GPO 中的所有策略設置。如果不同部署具有不同的要求，則需要使用不同的 GPO，每個 GPO 具有其自己的 WMI 篩選器。

基於配置的目標設置

在本示例中，管理員不希望在支持多播的計算機上應用 GPO。管理員可以使用以下篩選器確定支持多播的計算機：

Select * from Win32_NetworkProtocol where SupportsMulticasting = true

基於磁盤空間數量和文件系統類型的目標設置

在本示例中，管理員希望將 C、D 或 E 分區上的可用空間超過 10 兆字節 (MB) 的計算機作為目標。這些分區必須位於一個或多個本地固定磁盤中，並且它們必須運行 NTFS 文件系統。管理員可以使用以下篩選器確定滿足這些條件的計算機：

SELECT * FROM Win32_LogicalDisk WHERE (Name = " C:"  OR Name = " D:"  OR Name = " E:" ) AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = " NTFS"

在上一示例中，DriveType = 3 表示本地磁盤，FreeSpace 單位為字節（10 MB = 10,485,760 字節）。

創建 WMI 篩選器的步驟

在 GPMC 控制台樹中，在要添加 WMI 篩選器的林和域中右鍵單擊“WMI 篩選器”。
單擊“新建”。
在“新建 WMI 篩選器”對話框中，在“名稱”框中鍵入新 WMI 篩選器的名稱，然后在“描述”框中鍵入該篩選器的說明。
單擊“添加”。
在“WMI 查詢”對話框中，保留默認命名空間，或執行以下某種操作以指定其他命名空間：
- 在“命名空間”框中，鍵入要用於 WMI 查詢的命名空間的名稱。默認值為 root\CimV2。大多數情況下，您不需要更改該值。
- 單擊“瀏覽”，從列表中選擇一個命名空間，然后單擊“確定”。
在“查詢”框中鍵入 WMI 查詢，然后單擊“確定”。
若要添加更多查詢，請重復步驟 4 至 6 以添加各個查詢。
在添加所有查詢后，單擊“保存”。

現在，便可以鏈接 WMI 篩選器了。

使用組策略繼承

它通常用於定義企業標准 GPO。就本文而言，“企業標准”是指應用於組織中范圍很廣的一組用戶的策略設置。適合定義企業標准 GPO 的示例方案是一項業務要求，它規定了：“只有經過特別授權的用戶能夠訪問命令提示符或注冊表編輯器。”在為不同用戶組自定義策略設置時，組策略繼承可以幫助您應用這些企業標准。

要實現此目的，一種方法是在鏈接到 OU（如用戶帳戶 OU）的 GPO（如標准用戶策略 GPO）中設置“阻止訪問命令提示符”和“阻止訪問注冊表編輯工具”策略設置。這會將這些策略設置應用於該 OU 中的所有用戶。然后創建一個 GPO（如管理員用戶策略 GPO），以明確允許管理員訪問命令提示符和注冊表編輯工具。將該 GPO 鏈接到管理員 OU，以覆蓋標准用戶策略 GPO 中配置的策略設置。圖 4 中說明了這種方法。

48d12c74-030c-4728-a511-782c9d7ab5dc

如果另一個用戶組需要訪問命令提示符，但不需要訪問注冊表，您可以創建另一個 GPO 以允許他們執行此操作。仍會拒絕訪問注冊表編輯工具，因為新 GPO 不會覆蓋標准用戶策略 GPO 中指定的注冊表工具設置。通常，企業標准 GPO 包含的策略設置和配置選項比前面插圖顯示的內容多。例如，企業標准 GPO 通常用於完成以下操作：

刪除所有可能對用戶有害和無關緊要的功能。
為成員服務器和工作站定義訪問權限、安全設置以及文件系統和注冊表權限。

通常，GPO 將分配給 OU 結構，而不是域或站點。如果圍繞用戶、工作站和服務器構造 OU 模型，則可以更方便地確定和配置企業標准策略設置。還可以禁用 GPO 中不應用的用戶或計算機部分，以使組策略更易於管理。

在為安全相關策略設置（如受限制的組成員身份、文件系統訪問權限和注冊表訪問權限）設置默認值時，一定要了解這些策略設置適用於“以最后寫入的內容為主”原則，並且不會合並這些策略設置。以下示例說明了這一原則。

示例：“以最后寫入的內容為主”原則

管理員創建一個默認工作站 GPO，它將本地 Power Users 組成員定義為 Technical Support 和 Help Desk 組。Business Banking 組要將 Business Banking Support 組添加到此列表中，然后創建一個新的默認工作站 GPO 以實現此目的。除非新 GPO 指定所有三個組均為 Power User 成員，否則，僅 Business Banking Support 組具有受影響的工作站的高級用戶權限。

部署組策略

在部署組策略之前，請確保您熟悉使用 GPO 的步驟，其中包括創建 GPO、導入策略設置、備份和還原 GPO、編輯和鏈接 GPO、設置 GPO 默認繼承的例外情況、篩選 GPO 應用、委派管理、使用組策略建模進行規划以及使用組策略結果評估 GPO 應用。

在進行生產部署之前，應始終在安全環境中全面測試 GPO。在部署之前，GPO 規划、設計和測試工作越充分，越容易創建、實現和維護最佳的組策略部署。但不要過份誇大在此環境中進行測試和試部署的重要性。測試環境應與模擬的生產環境盡可能保持一致。

在測試並驗證設計的所有重要變化方案和部署策略后，設計工作才算完成。在使用特定策略設置（如安全設置以及桌面和數據管理）配置 GPO 后，才能全面測試 GPO 實現策略。對於網絡中的每個用戶和計算機組，請分別執行此操作。應使用測試環境來開發、測試和驗證特定的 GPO，並充分利用 GPMC 建模向導和結果向導。

另外，還要考慮迭代的組策略實現。即，並非部署 100 種新組策略設置，而是暫存並且最初僅部署幾種策略設置以驗證組策略基礎結構是否正常工作。

有關暫存組策略的詳細信息，請參閱本指南中的暫存組策略部署。

創建和使用 GPO

由於會立即應用對 GPO 的更改，因此，在測試環境中全面測試 GPO 之前，請將 GPO 與其生產位置（站點、域或 OU）取消鏈接。在開發 GPO 時，請將其與測試 OU 保持鏈接或取消鏈接。

本節介紹了創建和部署 GPO 的過程。有關在部署之前測試組策略配置的詳細信息，請參閱本指南中的暫存組策略部署。

以下步驟介紹了如何使用 GPMC 創建和編輯 GPO。

創建未鏈接的 GPO

在 GPMC 控制台樹中，在要創建新的未鏈接 GPO 的林和域中右鍵單擊“組策略對象”。
單擊“新建”。
在“新建 GPO”對話框中，指定新 GPO 的名稱，然后單擊“確定”。

可以使用以下步驟編輯 GPO。

編輯 GPO

在 GPMC 控制台樹中，展開包含要編輯的 GPO 的林和域中的“組策略對象”。
右鍵單擊要編輯的 GPO，然后單擊“編輯”。
在控制台樹中，根據需要展開項目，以查找包含要修改的策略設置的項目。單擊某個項目，以便在細節窗格中查看關聯的策略設置。
在細節窗格中，雙擊要編輯的策略設置名稱。請注意，某些策略設置（如用於部署新軟件安裝程序包的策略設置）使用特有的用戶界面。
在“屬性”對話框中，根據需要修改策略設置，然后單擊“確定”。

鏈接 GPO 的步驟

將 GPO 中的策略設置應用於用戶和計算機的主要方法是，將 GPO 鏈接到 Active Directory 中的容器。GPO 可以鏈接到 Active Directory 中的三種類型的容器：站點、域和 OU。每個 GPO 可以鏈接到多個 Active Directory 容器。

GPO 是針對各個域分別存儲的。例如，如果將 GPO 鏈接到某個 OU，該 GPO 實際並未位於該 OU 中。GPO 是針對每個域的對象，可以將其鏈接到林中的任意位置。GPMC 中的 UI 可幫助指明鏈接和實際 GPO 之間的差異。

在 GPMC 中，可使用以下任一方法將現有 GPO 鏈接到 Active Directory 容器：

右鍵單擊某個站點、域或 OU 項目，然后單擊“鏈接現有 GPO”。此步驟相當於在安裝 GPMC 之前在“Active Directory 用戶和計算機”管理單元中提供的“組策略”選項卡上選擇“添加”。此步驟要求 GPO 在域中已存在。
從“組策略對象”項目下面，將一個 GPO 拖到要將該 GPO 鏈接到的 OU 中。此拖放功能僅在相同的域中有效。

也可以使用 GPMC 同時創建並鏈接新的 GPO，如下一節中所述。

創建並鏈接 GPO

若要創建 GPO 並將其鏈接到站點、域或 OU，您必須先在域中創建 GPO，然后再進行鏈接。

以下步驟相當於在安裝 GPMC 之前在“Active Directory 用戶和計算機”管理單元中提供的“組策略”選項卡上單擊“新建”。雖然在 GPMC 中將此操作顯示為一個操作，但會執行以下兩個操作：在域中創建一個 GPO，然后將新 GPO 鏈接到站點、域或 OU。

創建 GPO 並將其鏈接到站點、域或 OU

在 GPMC 控制台樹中，展開包含要鏈接的 GPO 的林和域中的“組策略對象”。
右鍵單擊某個域或 OU 項目，然后單擊“在這個域中創建 GPO 並在此處鏈接”。
在“新建 GPO”對話框中，鍵入新 GPO 的名稱，然后單擊“確定”。

可以使用以下步驟取消 GPO 鏈接（即，從 GPO 中刪除到站點、域或 OU 的鏈接）。

從站點、域或 OU 中刪除到 GPO 的鏈接

在 GPMC 控制台樹中，展開包含要取消鏈接的 GPO 的林和域中的“組策略對象”。
單擊要取消鏈接的 GPO。
在細節窗格中，單擊“作用域”選項卡。
如果顯示以下消息，請單擊“確定”以關閉該消息（還可以指定在創建並鏈接新 GPO 時不再顯示該消息）：

“您已經選擇了到組策略對象 (GPO) 的鏈接。除了對鏈接屬性的更改，您在此處的更改對於 GPO 是全局性的，並影響此 GPO 鏈接的所有其他位置。”
在“鏈接”部分中，右鍵單擊具有要刪除的鏈接的 Active Directory 對象，然后單擊“刪除鏈接”。

備注
刪除到 GPO 的鏈接與刪除 GPO 並不相同。如果僅刪除到 GPO 的鏈接，則 GPO 仍然存在，其他域中到該 GPO 的所有其他現有鏈接也存在。不過，如果刪除某個 GPO，則會提示您刪除該 GPO 以及選定域中到該 GPO 的所有鏈接。執行此操作並不會從其他域中刪除到該 GPO 的鏈接。請確保在其他域中刪除到該 GPO 的鏈接，然后再從此域中刪除該 GPO。

備注

刪除到 GPO 的鏈接與刪除 GPO 並不相同。如果僅刪除到 GPO 的鏈接，則 GPO 仍然存在，其他域中到該 GPO 的所有其他現有鏈接也存在。不過，如果刪除某個 GPO，則會提示您刪除該 GPO 以及選定域中到該 GPO 的所有鏈接。執行此操作並不會從其他域中刪除到該 GPO 的鏈接。請確保在其他域中刪除到該 GPO 的鏈接，然后再從此域中刪除該 GPO。

禁用 GPO 中的用戶配置或計算機配置設置

如果創建 GPO 以便僅設置用戶相關策略設置，您可以禁用 GPO 中的計算機配置設置。執行此操作會略微縮短計算機啟動時間，因為不必評估 GPO 中的計算機配置設置以確定任何策略設置是否存在。如果僅配置計算機相關策略設置，請禁用 GPO 中的用戶配置設置。

請查看圖 5 以確定后續步驟中引用的 GPMC 項目。

3a7b8d0f-aa56-41e4-8294-7d48816627c0

禁用 GPO 中的用戶配置或計算機配置設置

在 GPMC 控制台樹中，展開包含要禁用的策略設置的 GPO 所在的林和域中的“組策略對象”。
右鍵單擊包含要禁用的策略設置的 GPO。
在“GPO 狀態”列表中，選擇以下選項之一：
- 已禁用所有策略設置
- 已禁用計算機配置設置
- 已啟用（默認設置）
- 已禁用用戶配置設置

站點鏈接的 GPO 的特殊注意事項

鏈接到站點的 GPO 可能適合用來為代理設置、打印機和網絡相關設置設置策略。鏈接到站點容器的任何 GPO 將應用於該站點中的所有計算機，而無論該計算機屬於林中的哪個域。此行為具有以下含義：

確保計算機不要通過 WAN 鏈接訪問站點 GPO，這會產生嚴重的性能問題。
默認情況下，要管理站點 GPO，您需要是 Enterprise Admins 組的成員或林根域中的 Domain Admins 組的成員。
與相同站點中的域控制器之間的 Active Directory 復制相比，不同站點中的域控制器之間的復制發生的頻率較小，並且僅在預定時間進行。站點之間的 FRS 復制不是由站點鏈接復制計划決定的；這不是站點內的問題。目錄服務復制計划和頻率是連接站點的站點鏈接的屬性。默認站點間復制頻率為三小時。若要更改此頻率，請使用下列步驟。
更改站點間復制頻率
1. 打開“Active Directory 站點和服務”。
2. 在控制台樹中，依次展開“站點”、“站點間的傳輸”和“IP”，然后單擊某個站點間傳輸文件夾，其中包含要配置站點間復制的站點鏈接。
3. 在細節窗格中，右鍵單擊要配置站點間復制頻率的站點鏈接，然后單擊“屬性”。
4. 在“常規”選項卡的“復制頻率”中，鍵入或選擇復制間隔的分鍾數。
5. 單擊“確定”。

更改復制頻率或計划可能會顯著影響組策略。例如，假定將復制頻率設置為三小時或更長的時間，創建一個 GPO 並將其鏈接到跨幾個站點的域中的 OU。您可能需要等待幾小時，該 OU 中的所有用戶才能收到 GPO。

如果 OU 中的大多數用戶位於遠程位置，並且該站點中有一個域控制器，則可以在該站點的域控制器上執行所有組策略操作以解決站點間復制延遲問題。

使用環回處理來配置用戶策略設置

“用戶組策略環回處理模式”策略設置是一個高級選項，旨在使計算機配置對任何登錄用戶都保持不變。此策略設置適用於某些包含特殊用途計算機的嚴密管理的環境，如教室、公共信息亭和招待所。例如，您可能需要為特定服務器（如終端服務器）啟用此策略設置。通過啟用環回處理模式策略設置，可以指示系統為登錄到計算機上的任何用戶應用基於計算機的相同用戶策略設置。

如果將 GPO 應用於用戶，當這些用戶登錄到任何計算機時，通常會將一組相同的用戶策略設置應用於這些用戶。通過在 GPO 中啟用環回處理策略設置，您可以配置基於用戶登錄到的計算機的用戶策略設置。無論哪個用戶登錄，都會應用這些策略設置。在啟用環回處理模式策略設置時，您必須確保同時啟用 GPO 中的計算機配置和用戶配置設置。

可通過使用 GPMC 編輯 GPO 並在“計算機配置\策略\管理模板\系統\組策略”下面啟用“用戶組策略環回處理模式”策略設置來配置環回策略設置。可以使用以下兩個選項：

合並模式：在該模式下，將在登錄過程中收集用戶的 GPO 列表，然后收集計算機的 GPO 列表。接下來，將計算機的 GPO 列表添加到用戶的 GPO 末尾。因此，計算機的 GPO 優先級比用戶的 GPO 高。如果策略設置發生沖突，將應用計算機 GPO 中的用戶策略設置，而不是用戶的正常策略設置。
替換模式：在該模式下，不收集用戶的 GPO 列表。相反，僅使用基於計算機對象的 GPO 列表，並將該列表中的用戶配置設置應用於用戶。

委派組策略管理

您的組策略設計可能要求委派某些組策略管理任務。確定組策略管理控制的集中或分散程度是評估組織需求的最重要因素之一。在使用集中管理模型的組織中，IT 組為整個公司提供服務、做出決策和制訂標准。在使用分散管理模型的組織中，每個業務部門管理其自己的 IT 組。

您可以委派以下組策略任務：

管理各個 GPO（例如，授予 GPO 的編輯或讀取訪問權限）
在站點、域和 OU 上執行以下組策略任務：
- 管理給定站點、域或 OU 的組策略鏈接
- 為該容器中的對象執行組策略建模分析（不適用於站點）
- 為該容器中的對象讀取組策略結果數據（不適用於站點）
創建 GPO
創建 WMI 篩選器
管理和編輯各個 WMI 篩選器

根據組織的管理模型，您需要確定最適於在站點、域和 OU 級別處理的配置管理內容。您還需要確定如何在每個站點、域和 OU 級別的管理員或管理組之間進一步細分該級別的責任。

在確定是否在站點、域或 OU 級別委派權限時，請記住以下注意事項：

如果將權限設置為繼承到所有子容器，在域級別委派的權限將影響域中的所有對象。
在 OU 級別委派的權限可能僅影響該 OU，也可能會影響該 OU 及其子 OU。
如果在可能的最高 OU 級別分配控制，則可以更輕松、更有效地管理權限。
在站點級別委派的權限可能會跨域，並且可能會影響 GPO 所在的域以外的域中的對象。

以下幾節介紹了如何使用 GPMC 執行這些委派任務。

委派單個 GPO 的管理

通過使用 GPMC，您可以輕松將 GPO 權限授予其他用戶。GPMC 在任務級別管理權限。GPO 有五個允許的權限級別：讀取、編輯、編輯/刪除/修改安全性、讀取（從安全篩選）和自定義。這些權限級別對應於一組固定的低級別權限。表 3 說明了每個選項的相應低級別權限。

表 3 GPO 權限選項和低級別權限

GPO 權限選項	低級別權限
讀取	允許讀取訪問 GPO。
讀取（從安全篩選）	無法直接設置該設置，但如果用戶具有 GPO 的“讀取”和“應用組策略”權限，則會顯示此設置；它是使用 GPO 的“作用域”選項卡上的安全篩選設置的。
編輯設置	允許讀取、寫入、創建以及刪除子對象。
編輯設置，刪除、修改安全性	允許讀取、寫入、創建以及刪除子對象；刪除、修改權限以及修改所有者。除了未設置“應用組策略”權限以外，這會授予對 GPO 的完全控制權。
自定義	任何其他權限組合（如拒絕權限）將顯示為自定義權限。無法通過單擊“添加”來設置自定義權限。只能通過單擊“高級”並直接修改權限來設置這些權限。

若要為用戶或組授予 GPO 權限，請使用以下步驟。

為用戶或組授予 GPO 權限

在 GPMC 控制台樹中，展開包含要編輯的 GPO 的林和域中的“組策略對象”。
單擊要授予權限的 GPO。
在細節窗格中，單擊“委派”選項卡。
單擊“添加”。
在“選擇用戶、計算機或組”對話框中，指定要授予權限的用戶或組，然后單擊“確定”。
在“添加組或用戶”對話框的“權限”下面，單擊要為用戶或組授予的權限級別，然后單擊“確定”。

請注意，無法使用“委派”選項卡設置“應用組策略”權限（用於安全篩選）。由於“應用組策略”權限用於設置 GPO 的作用域，因此，該權限是在 GPMC 中的 GPO“作用域”選項卡上進行管理的。若要為用戶或組授予 GPO 的“應用組策略”權限，請在相關 GPO 的“作用域”選項卡上單擊“添加”，然后指定該用戶或組。該用戶或組的名稱將顯示在“安全篩選”列表中。在“作用域”選項卡上為用戶授予“安全篩選”權限時，您實際設置了“讀取”和“應用組策略”權限。

表 4 列出了 GPO 的默認安全權限設置。

表 4. GPO 的默認安全權限

安全組	權限
Authenticated Users	讀取（從安全篩選）
ENTERPRISE DOMAIN CONTROLLERS	讀取
Domain Admins、Enterprise Admins、Creator Owner、SYSTEM	編輯設置，刪除、修改安全性

備注
由於管理員也屬於 Authenticated Users 組，默認情況下，他們將“應用組策略”訪問控制項 (ACE) 設置為“允許”。因此，如果他們位於鏈接了 GPO 的容器中，則也會為其應用策略設置。

在站點、域和 OU 上委派組策略任務

可以在 Active Directory 中針對每個容器委派以下三個組策略任務（權限）：

將 GPO 鏈接到 Active Directory 容器（站點、域或 OU）
為該容器（域和 OU）中的對象執行組策略建模分析
為該容器（域和 OU）中的對象讀取組策略結果數據

若要委派管理任務，您必須使用 GPMC 授予與相應 Active Directory 容器上的任務對應的權限。

默認情況下，Domain Admins 組的成員具有域和 OU 的 GPO 鏈接權限，Enterprise Admins 和林根域中的 Domain Admins 組的成員可以管理到站點的鏈接。您可以使用 GPMC 將權限委派給其他組和用戶。

默認情況下，僅限 Enterprise Admins 和 Domain Admins 組具有組策略建模的訪問權限以及組策略結果數據的遠程訪問權限。可通過在 GPMC 中設置相應權限，將此數據的訪問權限委派給較低級別的管理員。

以下步驟介紹了如何通過修改 Active Directory 容器的相應權限來委派組策略管理任務。

在站點、域或 OU 上委派組策略管理任務

在 GPMC 中，單擊要委派組策略管理任務的站點、域或 OU 的名稱。
在站點、域或 OU 的細節窗格中，單擊“委派”選項卡。
在“權限”列表中，單擊以下選項之一：“鏈接 GPO”、“執行組策略建模分析”或“讀取組策略結果數據”。請注意，僅“鏈接 GPO”適用於站點。
若要將任務委派給新用戶或組，請單擊“添加”，然后指定要添加的用戶或組。
若要修改現有權限的“應用於”設置（即，更改為特定用戶或組授予的權限所適用的 Active Directory 容器），請在“用戶和組”列表中右鍵單擊該用戶或組，然后單擊“僅該容器”或“該容器及子項”。
若要從授予了指定權限的組或用戶列表中刪除現有組或用戶，請在“組和用戶”列表中單擊該用戶或組，然后單擊“刪除”。請注意，您必須是 Domain Admins 組的成員才能執行此操作。
添加或刪除自定義權限：
1. 在“安全”選項卡上單擊“高級”。
2. 在“組或用戶名”下面，單擊要更改權限的用戶或組。
3. 在“權限”下面，根據需要修改權限，然后單擊“確定”。

委派創建 GPO 的權限

在域中創建 GPO 的功能是一個在每個域上管理的權限。默認情況下，只有 Domain Admins、Enterprise Admins、Group Policy Creator Owners 和 SYSTEM 組的成員能夠創建新的 GPO。

只有 Domain Admins 組的成員可以將 GPO 創建權限委派給任何組或用戶。可以使用兩種方法為組或用戶授予此權限，這兩種方法授予完全相同的權限：

在 Group Policy Creator Owners 組中添加組或用戶。這是在 GPMC 出現之前可以使用的唯一方法。
使用 GPMC 為組或用戶明確授予創建 GPO 的權限。為此，請在 GPMC 控制台樹中單擊“組策略對象”，單擊“委派”選項卡，然后根據修改權限。

當 Group Policy Creator Owners 組的非管理員成員創建 GPO 時，該用戶將成為 GPO 的創建者所有者，並且可以編輯和修改 GPO 的權限。不過，Group Policy Creator Owners 組的成員無法將 GPO 鏈接到容器，除非為這些成員單獨委派了在特定站點、域或 OU 上執行此操作的權限。如果非管理員成為 Group Policy Creator Owners 組的成員，則僅為該用戶授予對其所創建的 GPO 的完全控制權。Group Policy Creator Owner 成員沒有對不是他們創建的 GPO 的權限。

備注
當管理員創建 GPO 時，Domain Admins 組的成員將成為該 GPO 的創建者所有者。默認情況下，Domain Admins 組的成員可以編輯域中的所有 GPO。

鏈接 GPO 的權限與創建 GPO 和編輯 GPO 的權限是分開委派的。請務必為要創建和鏈接 GPO 的組委派這兩個權限。默認情況下，非 Domain Admins 無法管理鏈接，這可防止他們使用 GPMC 創建和鏈接 GPO。不過，如果非 Domain Admins 是 Group Policy Creator Owners 組的成員，則可以創建未鏈接的 GPO。在非 Domain Admin 創建未鏈接的 GPO 后，Domain Admin 或已委派將 GPO 鏈接到容器的權限的其他用戶可以根據需要鏈接該 GPO。

由於 Group Policy Creator Owners 組是一個域全局組，它不能包含域外部的成員。因此，如果要為域外部的用戶委派創建 GPO 的權限，您必須改用 GPMC 為這些用戶明確授予相應的權限。

為此，請在域中創建一個新的域本地組（例如，“GPCO—External”），為該組授予在域中創建 GPO 的權限，然后將外部域中的域全局組添加到該組中。對於該域中的用戶和組，應繼續使用 Group Policy Creator Owners 組授予創建 GPO 的權限。

委派創建 WMI 篩選器的權限

可以為用戶或組委派以下兩個權限級別之一以創建 WMI 篩選器：

創建者所有者：允許用戶或組在域中創建新的 WMI 篩選器，但不授予管理其他用戶所創建的 WMI 篩選器的權限。
完全控制：允許用戶或組創建 WMI 篩選器，並授予對域中的所有 WMI 篩選器的完全控制權，其中包括在為用戶授予此權限后創建的新篩選器。

可以使用 GPMC 來委派這些權限。在 GPMC 控制台樹中，單擊“WMI 篩選器”。在細節窗格中，單擊“委派”選項卡，然后根據需要委派權限。

委派管理各個 WMI 篩選器的權限

可以為用戶或組委派以下兩個權限級別之一以管理單個 WMI 篩選器：

編輯：允許用戶或組編輯選定的 WMI 篩選器。
完全控制：允許用戶或組編輯、刪除和修改選定 WMI 篩選器的安全性。

可以使用 GPMC 來委派這些權限。在 GPMC 控制台樹中，單擊要委派權限的 WMI 篩選器。在細節窗格中，單擊“委派”選項卡，然后根據需要委派權限。

請注意，所有用戶都具有所有 WMI 篩選器的“讀取”訪問權限。GPMC 不允許刪除此權限。如果刪除了“讀取”權限，目標計算機上的組策略處理將會失敗。

定義組策略操作步驟

為便於將來的組策略管理，應擬定操作步驟以確保按授權和可控制的方式對 GPO 進行更改。尤其是，確保在部署到生產環境之前，正確暫存所有新 GPO 以及現有 GPO 中的更改。還應該定期創建 GPO 備份。

在某些組織中，可能由不同團隊負責管理組策略的不同內容。例如，軟件部署團隊通常關注“用戶配置\策略\軟件設置\軟件安裝”和“計算機配置\策略\軟件設置\軟件安裝”下面的策略設置。該團隊不太可能會對與項目有關的其余策略設置（如腳本和文件夾重定向）感興趣。

為降低復雜性並最大限度降低出現錯誤的可能性，請考慮為不同管理員組創建單獨的 GPO。或者，也可以將管理員的訪問權限限制為他們有權更改的組策略部分。可以使用“受限的/許可的管理單元\擴展管理單元”策略設置來限制管理員可以訪問的管理單元。在“用戶配置\策略\管理模板\Windows 組件\Microsoft 管理控制台”下面編輯 GPO 時，可以使用此策略設置。“受限的/許可的管理單元\擴展管理單元”策略設置與可使用 GPMC 附帶的編輯器訪問的 UI 有關。請注意，某些團隊可能需要訪問多種類型的擴展管理單元。

備注
MMC 策略設置僅影響可使用 MMC 訪問的 UI；如果使用編程方法編輯組策略，則可以編輯任何 GPO 設置。

要了解這些設置和其他組策略設置的詳細信息，請在編輯 GPO 時雙擊詳細窗格中的策略設置，然后在策略的“屬性”對話框中單擊“說明”選項卡。請注意，如果啟用了“擴展的視圖”，在單擊策略設置時，將始終顯示此信息。默認情況下，將啟用該視圖。

指定域控制器以編輯組策略

在每個域中，GPMC 使用相同域控制器執行該域中的所有操作。這包括對位於該域中的 GPO 以及該域中的所有其他對象（如 OU 和安全組）的所有操作。

GPMC 還使用相同域控制器執行站點上的所有操作。該域控制器用於讀取和寫入任何給定站點上存在的 GPO 鏈接的相關信息，但 GPO 本身的相關信息是從 GPO 所在的域的域控制器中獲取的。

默認情況下，在控制台中添加新域時，GPMC 使用在該域中具有主域控制器 (PDC) 模擬器操作主機角色的域控制器來執行該域中的操作。默認情況下，GPMC 使用用戶域中的 PDC 模擬器來管理站點。

為避免發生復制沖突，選擇域控制器是管理員的一個重要考慮事項。這是特別重要的，因為 GPO 數據位於 Active Directory 和 Sysvol 中，而它們依靠獨立的復制機制將 GPO 數據復制到域中的不同域控制器。如果兩個管理員在不同域控制器上同時編輯同一 GPO，一個管理員寫入的更改可能會被另一個管理員覆蓋，具體取決於復制延遲。

為避免出現此情況，GPMC 將每個域中的 PDC 模擬器作為默認域控制器。這有助於確保所有管理員使用相同的域控制器，並防止造成數據丟失。不過，您可能並非始終希望管理員使用 PDC 編輯 GPO。例如，如果管理員位於遠程站點上，或者 GPO 針對的用戶或計算機大多位於遠程站點上，則管理員可以選擇使用遠程位置的域控制器。例如，如果您是在日本的管理員，而 PDC 模擬器在紐約，則依靠 WAN 鏈接訪問紐約 PDC 模擬器可能是很不方便的。

重要事項
如果多個管理員管理一個公共 GPO，則在編輯特定 GPO 時，所有管理員應使用同一個域控制器以避免在 FRS 中發生沖突。

若要指定用於林中的給定域或所有站點的域控制器，請使用 GPMC 中的“更改域控制器”命令。在任一情況下，都可以使用以下四個選項：

具有 PDC 模擬器操作主機令牌的域控制器（默認選項）
任何可用的域控制器
任何可用的運行 Windows Server2003 或更新版本的域控制器
此域控制器（在這種情況下，您必須選擇域控制器。）

每次打開保存的控制台時，都會使用選定的選項，直到您更改了該選項。

此首選項保存在 .msc 文件中，在打開該 .msc 文件時將使用此首選項。通常，建議您不要使用“任何可用的域控制器”選項，除非執行的是只讀操作。

組策略處理和慢速鏈接

有時，當連接速度低於指定的閾值時，不會應用組策略。因此，如果組策略解決方案要求通過慢速鏈接或使用遠程訪問應用策略，您需要考慮慢速鏈接檢測的策略設置。

雖然慢速鏈接和遠程訪問有關，但兩者的組策略處理方式並不相同。將計算機連接到 LAN 並不意味着一定就是快速鏈接；遠程訪問連接也不意味着就是慢速鏈接。默認情況下，如果任何速率低於 500 千比特/秒 (Kbps)，組策略就會將其視為慢速鏈接。可以使用組策略來更改該閾值。下一節介紹了組策略處理階段以及 Windows Server2008 中的組策略如何測量鏈接速度。

組策略處理階段

組策略處理分為三個階段。每個處理階段包含一部分處理方案。在處理組策略時，組策略服務將依次訪問每個方案以逐步過渡到下一個階段。組策略處理階段如下所示：

預處理階段：指示初始組策略處理，並收集處理組策略所需的信息。
處理階段：使用在預處理階段收集的信息依次處理每個組策略擴展，這會將策略設置應用於用戶或計算機。
后處理階段：報告策略處理實例結束，並記錄處理是成功結束、已處理但出現警告還是處理失敗。

組策略服務依靠與域控制器成功進行通信，以檢索計算機特定的信息和用戶特定的信息。此外，該服務還使用域控制器查找計算機或用戶范圍內的 GPO。

組策略如何測量鏈接速度

對於 Windows Server2008 中的組策略，已改進了慢速鏈接檢測過程。對於 Windows Server2003 中的組策略，客戶端使用 Internet 控制消息協議 (ICMP) 搜索其域控制器，以確定域控制器是否可用以及客戶端和域控制器之間的鏈接速度。在 Windows Server2008 中，組策略服務使用網絡位置感知 (NLA) 服務對客戶端和域控制器之間的當前 TCP 通信進行采樣以確定鏈接速度。這種采樣是在預處理階段進行的。

在組策略服務找到域控制器后，它會立即請求 NLA 服務開始對域控制器所在的網絡接口上的 TCP 帶寬進行采樣。組策略服務將繼續執行預處理階段，即，與域控制器進行通信以查找當前計算機的角色（成員或域控制器）、登錄的用戶以及計算機或用戶范圍內的 GPO。然后，組策略服務請求 NLA 服務停止對 TCP 通信進行采樣，並根據采樣結果提供計算機和域控制器之間的估計帶寬。如上所述，當 NLA 服務采樣結果低於 500 Kbps 時，組策略默認將其視為慢速鏈接。

可以使用策略設置定義慢速鏈接以應用組策略，如以下幾節中所述。

為慢速鏈接檢測指定組策略設置

您可以部分控制通過慢速鏈接處理的組策略擴展。默認情況下，在通過慢速鏈接進行處理時，並不會處理組策略的所有組件。表 5 列出了通過慢速鏈接處理組策略的默認設置。

表 5 通過慢速鏈接處理組策略的默認設置

設置	默認
安全性	打開（無法禁用）
IP 安全設置	打開
EFS	打開
軟件限制策略	打開
無線	打開
管理模板	打開（無法禁用）
軟件安裝	關閉
腳本	關閉
文件夾重定向	關閉
QoS 數據包計划程序	打開
磁盤配額	關閉
Internet Explorer 區域映射	打開
IE 維護	打開
組策略首選項	打開
Windows 搜索	打開
部署的打印機連接	關閉
802.3 組策略	打開
Microsoft 脫機文件	打開

可以使用組策略設置定義慢速鏈接以應用和更新組策略。默認情況下，將低於 500 Kbps 的速率定義為慢速鏈接。

若要為計算機指定組策略慢速鏈接檢測設置，請在編輯 GPO 時使用位於“計算機配置\策略\管理模板\系統\組策略”中的“組策略慢速鏈接檢測”策略設置。連接速度的測量單位為 Kbps。

若要為用戶配置該策略設置，請使用“用戶配置\策略\管理模板\系統\組策略”中的“組策略慢速鏈接檢測”策略設置。

對於用戶配置文件，“用戶配置文件的慢速網絡連接超時”策略設置位於“計算機配置\策略\管理模板\系統\用戶配置文件”節點中。通過使用該策略設置，組策略可以檢查用戶配置文件所在的文件服務器的網絡性能。此步驟是必需的，因為用戶配置文件可以存儲在任意位置，並且該服務器可能不支持 IP。在配置該策略設置時，您必須同時使用 Kbps 和毫秒來指定連接速度。

重要事項
如果啟用了“不檢測慢速網絡連接”策略設置，則會忽略“用戶配置文件的慢速網絡連接超時”策略設置。如果啟用了“刪除緩存的漫游配置文件副本”策略設置，則在系統檢測到慢速連接時不會加載漫游配置文件的本地副本。

重要事項

如果啟用了“不檢測慢速網絡連接”策略設置，則會忽略“用戶配置文件的慢速網絡連接超時”策略設置。

如果啟用了“刪除緩存的漫游配置文件副本”策略設置，則在系統檢測到慢速連接時不會加載漫游配置文件的本地副本。

為通過慢速鏈接處理的客戶端擴展設置計算機策略

組策略幾乎完全是作為一系列客戶端擴展實現的，如安全性、管理模板和文件夾重定向。可以在計算機策略中為每個客戶端擴展配置慢速鏈接行為。在處理組策略時，可以使用這些策略設置指定客戶端擴展的行為。每個策略設置最多有三個選項。“允許通過慢速網絡連接進行處理”選項控制通過慢速鏈接的處理策略設置。其他兩個選項可用於指定不應在后台處理策略設置；或者，即使未更改策略設置，也要更新並重新應用策略設置。有關客戶端擴展的策略的詳細信息，請參閱本指南中的為慢速鏈接檢測指定組策略。

某些擴展會移動大量數據，因此，通過慢速鏈接進行處理可能會影響性能。默認情況下，僅通過慢速鏈接處理管理模板和安全相關策略設置。

您可以為以下策略設置配置組策略處理設置：

軟件安裝
IP 安全設置
EFS 恢復
磁盤配額
Internet Explorer 維護
腳本
文件夾重定向
注冊表
安全性
有線
無線
組策略首選項

本指南后面的使用組策略控制客戶端擴展介紹了如何配置這些策略設置。

組策略和遠程訪問連接

通過遠程訪問連接處理組策略與通過慢速鏈接進行處理不同。組策略是在遠程訪問連接期間應用的，如下所示：

在通過遠程連接登錄到目標計算機之前，如果用戶單擊選擇一個遠程連接選項，並且該計算機是遠程訪問服務器屬於或信任的域的成員，則會應用用戶和計算機組策略設置。但不會處理基於計算機的軟件安裝策略設置，也不會運行基於計算機的啟動腳本，因為計算機策略通常是在登錄屏幕出現之前處理的。不過，對於遠程連接，將在登錄過程中通過后台刷新完成計算機策略應用。
在處理完緩存的憑據並建立遠程訪問連接后，不會應用組策略（后台刷新期間除外）。

組策略不會應用於作為工作組成員的計算機，因為計算機策略從不應用於工作組中的計算機。

使用組策略控制客戶端擴展

一些組策略組件包含客戶端擴展（通常作為 .dll 文件實現），它們負責在目標計算機上處理和應用組策略設置。

對於每個客戶端擴展，GPO 處理順序是從 GPO 列表中獲取的，該列表是組策略引擎在處理期間確定的。每個客戶端擴展將處理生成的 GPO 列表。

計算機策略用於控制每個組策略客戶端擴展的行為。每個策略最多包含三個選項，而某些策略包含更具體的配置選項。在編輯 GPO 時，可通過打開“計算機配置\策略\管理模板\系統\組策略”文件夾並雙擊相應擴展的策略，為客戶端擴展配置計算機策略。

您可以設置以下計算機策略選項：

允許通過慢速網絡連接進行處理。少數幾個擴展會傳輸大量數據，因此，通過慢速鏈接進行處理可能會使性能下降。默認情況下，僅通過慢速鏈接處理管理模板和安全策略設置。您可以設置此策略，以批准通過慢速鏈接處理其他客戶端擴展。若要控制將哪些鏈接視為慢速鏈接，請使用組策略慢速鏈接檢測策略設置。有關詳細信息，請參閱本指南中的為慢速鏈接檢測指定組策略。
周期性后台處理期間不要應用。Windows 將在啟動時應用計算機策略，然后每 90 分鍾重新應用一次。另外，它在用戶登錄到計算機時應用用戶策略，然后大約每 90 分鍾在后台重新應用一次。通過使用“周期性后台處理期間不要應用”選項，您可以覆蓋這種行為並禁止在后台運行組策略。

備注
軟件安裝和文件夾重定向擴展僅在啟動時和用戶登錄到網絡時處理組策略，以避免在用戶可能打開了應用程序和文件時在后台處理這些策略的風險。

即使尚未更改組策略對象也進行處理。如果服務器上的 GPO 未發生更改，通常不必將其頻繁重新應用於目標計算機，除非要覆蓋可能的本地更改。由於以本地管理員身份運行的用戶可以修改存儲組策略設置的注冊表部分，因此，您可能希望根據需要在登錄過程中或周期性后台處理期間重新應用這些策略設置，以便將計算機恢復為所需的狀態。

例如，假定組策略為某個文件定義了一組特定的安全選項。然后，具有管理憑據的用戶登錄並更改了這些安全選項。您可能希望啟用“即使尚未更改組策略對象也進行處理”選項，以便在下次刷新策略時重新應用組策略中指定的安全選項。相同注意事項也適用於應用程序：在啟用該選項的情況下，如果組策略安裝了一個應用程序，但用戶刪除了該應用程序或其圖標，下次用戶登錄到計算機時將重新顯示該應用程序。

默認情況下，每 16 小時（960 分鍾）應用一次組策略提供的安全策略設置，即使 GPO 未發生更改。可以使用以下子項中的注冊表項 MaxNoGPOListChangesInterval 更改此默認時間：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}.

此項的數據類型為 REG_DWORD，值為分鍾數。

注意
不正確地編輯注冊表可能會對系統造成嚴重損壞。在更改注冊表之前，應備份計算機上任何有價值的數據。

組策略和 Sysvol

GPO 中的策略設置信息存儲在以下兩個位置：Active Directory 和域控制器的 Sysvol 文件夾。Active Directory 容器稱為組策略容器；Sysvol 文件夾中包含組策略模板。組策略容器包含用於將 GPO 部署到域、OU 和站點的屬性。組策略容器還包含組策略模板的路徑，該模板存儲了大多數組策略設置。

組策略模板中存儲的信息包括安全設置、腳本文件以及用於部署應用程序、首選項和基於管理模板的組策略設置的信息。管理模板（.ADMX 文件）為“管理模板”下面顯示的項目提供了組策略設置信息。在 Windows Server2008 的組策略中，您可以在本地存儲管理模板，也可以在 Sysvol 中集中存儲管理模板。若要集中存儲管理模板，您必須先在相應域控制器上的 Sysvol 共享中創建 PolicyDefinitions 文件夾，然后將要在域中應用的管理模板文件復制到該文件夾中。


對 Sysvol 的更新將復制到域中的所有域控制器，這會導致增加網絡通信量和域控制器上的負載。因此，要最大限度降低該操作在域中造成的影響，我們建議您在非核心工作時間安排將管理模板復制到 Sysvol 的操作。

Windows Server 2008 和 Windows Vista 中的管理模板文件分為 .ADMX（與語言無關）和 .ADML（語言特定的）文件。這兩種文件格式替代 Windows 早期版本中使用的 .ADM 文件格式，后者使用專用的標記語言。.ADML 文件是基於 XML 的 ADM 語言文件，這些文件存儲在語言特定的文件夾中。例如，英語（美國）.ADML 文件存儲在名為 “en-US”的文件夾中。默認情況下，本地計算機上的 %Systemroot%\PolicyDefinitions 文件夾存儲在該計算機上啟用的所有語言的所有 .ADMX 文件和 .ADML 文件。

若要下載 Windows Server 2008 管理模板文件，請參閱“Windows Server 2008 的管理模板 (ADMX)”(http://go.microsoft.com/fwlink/?LinkId=116434)（可能為英文網頁）。

在 Sysvol 文件夾中存儲 ADMX 文件的優點

創建和使用管理模板中央存儲有兩個主要優點。第一個優點是復制的域管理模板中央存儲位置。Windows Server2008 附帶的 GPMC 始終使用管理模板中央存儲，而不是使用本地版本的管理模板。這樣，您就可以為整個域提供一組認可的管理模板。

在 Sysvol 文件夾中存儲管理模板的另一個優點是，可以提供各種不同語言的管理模板。對於跨不同國家/地區或使用不同語言的環境來說，這是非常有用的。例如，如果將管理模板存儲在 Sysvol 文件夾中，一個域的管理員可以使用英語查看管理模板策略設置，而同一個域的另一個管理員可以使用法語查看相同的策略設置。

有關管理 ADMX 文件以及如何創建中央存儲的詳細信息，請參閱“管理組策略 ADMX 文件循序漸進指南”(http://go.microsoft.com/fwlink/?LinkId=75124)（可能為英文網頁）。

在 Sysvol 文件夾中存儲 ADMX 文件的缺點

創建和使用管理模板中央存儲的優點是非常突出的；但也存在一些小缺點。在編輯、建模或報告 GPO 時，GPMC 將讀取整個管理模板文件集。因此，GPMC 必須通過網絡讀取這些文件。如果決定創建管理模板中央存儲，應始終將 GPMC 連接到最近的域控制器上。

備注
中央存儲產生的額外網絡通信僅限於 GPMC 用戶。應用和處理組策略的客戶端不會讀取管理模板。

更新 Sysvol

在 Windows Vista 之前的 Microsoft Windows 版本的組策略中，如果在本地計算機上修改管理模板策略設置，則會使用新 ADM 文件自動更新域中的域控制器上的 Sysvol 共享。在 Windows Server 2008 和 Windows Vista 的組策略中，如果在本地計算機上修改管理模板策略設置，則不會使用新 ADMX 或 ADML 文件自動更新 Sysvol。實現的這種行為更改可降低網絡負載和磁盤存儲要求；在不同區域設置中編輯管理模板策略設置時，還可以防止 ADMX 文件和 ADML 文件之間發生沖突。若要確保任何本地更新在 Sysvol 中也反映出來，您必須手動將更新的 ADMX 或 ADML 文件從本地計算機上的 PolicyDefinitions 文件夾復制到相應域控制器上的 Sysvol\PolicyDefinitions 文件夾中。

更改組策略刷新間隔

可以使用以下策略設置之一更改默認刷新策略間隔設置：“計算機的組策略刷新間隔”、“域控制器組的組策略刷新間隔”或“用戶的組策略刷新間隔”。通過使用這些策略設置，您可以指定 0 到 64,800 分鍾（45 天）的更新頻率。

重要事項
如果將刷新間隔設置為 0 分鍾，計算機將嘗試每 7 秒更新一次組策略。由於此類更新可能會干擾用戶的工作並增加網絡通信量，因此，很短的更新間隔僅適用於測試環境。

若要防止在使用計算機時更新組策略，您可以啟用“關閉組策略的后台刷新”策略設置。如果啟用了該策略設置，系統將等到當前用戶注銷系統后再更新組策略設置。

計算機的組策略刷新間隔

此策略設置指定了 Windows 在后台更新計算機組策略的頻率。它僅為計算機組策略設置指定了后台更新頻率。默認情況下，Windows 在后台每 90 分鍾更新一次計算機組策略，隨機偏差為 0–30 分鍾。除了后台更新以外，還始終在系統啟動時更新計算機組策略。該策略設置位於“計算機配置\策略\管理模板\系統\組策略”下面。

域控制器的組策略刷新間隔

此策略設置指定了 Windows 在域控制器后台更新組策略的頻率。默認情況下，Windows 在域控制器上每 5 分鍾更新一次組策略。該策略設置位於“計算機配置\策略\管理模板\系統\組策略”下面。

用戶的組策略刷新間隔

此策略設置僅為用戶組策略設置指定 Windows 在后台更新組策略的頻率。除了后台更新以外，還始終在用戶登錄時更新用戶組策略。該策略位於“用戶配置\策略\管理模板\系統\組策略”下面。

關閉組策略后台刷新

此策略設置禁止 Windows 在使用計算機時應用組策略設置。該策略設置適用於計算機、用戶和域控制器的組策略。該策略設置位於“計算機配置\策略\管理模板\系統\組策略”項目下面。

運行命令行選項以刷新策略

從給定計算機中，您可以使用 Gpupdate.exe 工具刷新部署到該計算機上的策略設置。表 6 介紹了 Gpupdate.exe 參數。Gpupdate.exe 工具可以在 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 環境中使用。

Gpudate.exe 工具使用以下語法：

gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot] [/sync]

表 6 Gpudate.exe 參數

參數	描述
/target:{computer\|user}	根據指定的目標，Gpupdate.exe 將處理計算機策略設置和/或當前用戶策略設置。默認情況下，將處理計算機和用戶策略設置。
/force	重新應用所有策略設置並忽略處理優化。默認情況下，僅應用更改的策略設置。
/wait:value	指定策略處理等待完成的秒數。默認值是 600 秒。值為 0 表示不等待；-1 表示無限期等待。
/logoff	在策略刷新完成后注銷。對於不是在后台刷新周期處理而是在用戶登錄時處理的組策略客戶端擴展（如用戶軟件安裝和文件夾重定向），必須使用此選項。如果未調用要求用戶注銷的擴展，此選項將不起作用。
/boot	在策略刷新完成后重新啟動計算機。對於不是在后台刷新周期處理而是在計算機啟動時處理的組策略客戶端擴展（如計算機軟件安裝），必須使用此選項。如果未調用要求重新啟動計算機的擴展，此選項將不起作用。
/sync	強制使下一個前台策略應用保持同步。前台組策略處理是在計算機啟動和用戶登錄時完成的。可以使用 /target 參數為用戶和/或計算機指定前台策略應用。如果指定了此參數以及 /force 和 /wait 參數，則忽略 /force 和 /wait 參數。
/?	在命令提示符下顯示幫助。

使用組策略建模和組策略結果評估組策略設置

在生產環境中部署組策略之前，務必確定配置的各種策略設置的效果以及它們的總體效果。評估組策略部署的主要機制是創建暫存環境，然后使用測試帳戶進行登錄。這是了解所有應用的 GPO 設置的影響和交互的最好方法。要創建成功管理的環境，暫存組策略部署是至關重要的。有關詳細信息，請參閱本指南中的暫存組策略部署。

對於至少包含一個 Windows Server2008 域控制器的 Active Directory 網絡，可以使用 GPMC 中的組策略建模模擬將 GPO 部署到任何目標計算機的情況。查看 GPO 實際應用情況的主要工具是使用 GPMC 中的組策略結果。

使用組策略建模模擬策略的結果集

GPMC 中的組策略建模向導可以計算模擬的 GPO 實際效果。組策略建模還可以模擬如下因素：安全組成員、WMI 篩選器評估以及將用戶或計算機對象移到不同 Active Directory 容器中的效果。這種模擬是由在運行 Windows Server2008 或 Windows Server2003 的域控制器上運行的服務執行的。將 HTML 格式報告這些計算的策略設置，並在 GPMC 中的選定查詢細節窗格的“設置”選項卡上顯示這些設置。若要展開和隱藏每個項目下面的策略設置，請單擊“隱藏”或“顯示全部”，以便查看所有策略設置或只查看幾種設置。若要執行組策略建模，您必須至少有一個運行 Windows Server2008 或 Windows Server2003 的域控制器，並且在包含要運行查詢的對象的域或 OU 上必須具有“執行組策略建模分析”權限。

若要運行該向導，請在 GPMC 控制台樹中右鍵單擊“組策略建模”（或 Active Directory 容器），然后單擊“組策略建模向導”。如果從 Active Directory 容器中運行該向導，該向導將使用該容器的輕型目錄訪問協議 (LDAP) 可分辨名稱填充用戶和計算機的“容器”字段。

在完成該向導后，顯示的結果就像來自單個 GPO 一樣。這些結果還會保存為查詢，由 GPMC 的“組策略建模”中的新項目表示。在“入選的 GPO”標題下面，還會顯示負責每種策略設置的 GPO。也可以右鍵單擊查詢項目，然后單擊“高級查看”以查看更詳細的優先級信息（例如，嘗試設置策略設置但沒有成功的 GPO）。在執行此操作時，將會打開“策略的結果集”管理單元。在策略的結果集中查看策略設置的屬性時，請注意，每種策略設置都有一個“優先級”選項卡。

切記，組策略建模不包括評估任何本地 GPO 的操作。因此，在某些情況下，您可能會看到模擬結果和實際結果存在差異。可通過右鍵單擊查詢並單擊“保存報告”來保存建模結果。

備注
Windows Server2008 和 WindowsVista 中包含一種新策略設置，即，“關閉本地組策略對象處理”。可以使用該設置禁用本地組策略處理。該策略設置位於“計算機配置\策略\管理模板\系統\組策略”下面。

使用組策略結果確定策略的結果集

可以使用組策略結果向導從目標計算機中獲取 RSoP 數據，以確定哪些組策略設置對用戶或計算機有效。與組策略建模相比，組策略結果顯示的是應用於目標計算機的實際組策略設置。目標計算機必須運行 WindowsXP Professional 或更高版本。

將以 HTML 格式報告這些策略設置，並在 GPMC 瀏覽器窗口中的選定查詢細節窗格的“摘要”和“設置”選項卡上顯示這些設置。可以單擊隱藏或顯示全部以展開和折疊每個項目下面的策略設置，以便查看所有策略設置或只查看幾種設置。若要遠程訪問用戶或計算機的組策略結果數據，您必須在包含該用戶或計算機的域或 OU 上具有“遠程訪問組策略結果數據”權限，或者您必須是相應計算機上的本地 Administrators 組的成員並具有到目標計算機的網絡連接。

可通過右鍵單擊“組策略結果”項目並單擊“組策略結果向導”來運行該向導。

在完成該向導后，GPMC 將創建一個報告，以顯示在向導中指定的用戶和計算機的 RSoP 數據。在“入選的 GPO”標題下面，將顯示負責“設置”選項卡上的每種策略設置的 GPO。

可通過右鍵單擊查詢並單擊“保存報告”來保存這些結果。

使用 Gpresult.exe 評估策略設置

可以在本地計算機上運行 Gpresult.exe 以獲取與 GPMC 中的組策略結果向導相同的數據。默認情況下，Gpresult.exe 返回運行該工具的計算機上的有效策略設置。

對於 Windows Server2008 和 Windows Vista Service Pack 1，Gpresult.exe 使用以下語法：

gpresult [/s<computer> [/u<domain>\<user> /p<password>]] [/scope {user|computer}] [/user<TargetUserName>] [/r|/v|/z] [/x|/h<filename>[/f]]

表 7 說明了 Gpresult.exe 參數。

表 7 Gpresult.exe 參數

參數	描述
/s <computer>	指定遠程計算機的名稱或 IP 地址。（請勿使用反斜杠。）默認為本地計算機。
/u <domain>\<user>	請使用由 <User> 或 <Domain\User> 指定的用戶的帳戶權限運行該命令。默認設置是使用當前登錄到執行該命令的計算機上的用戶的權限。
/p <password>	指定在 /u 參數中指定的用戶帳戶的密碼。
/scope {user\|computer}	顯示用戶或計算機結果。有效的 /scope 參數值是 user 或 computer。如果省略 /scope 參數，Gpresult 將顯示用戶和計算機策略設置。
/user <TargetUserName>	指定要顯示 RSoP 數據的用戶的用戶名。
/r	顯示 RSoP 摘要數據。
/v	指定輸出顯示詳細策略信息。
/z	指定輸出顯示組策略的所有可用信息。由於此參數生成的信息比 /v 參數多，因此，請在使用此參數時將輸出重定向到一個文本文件（例如，gpresult /z >policy.txt）。
/x <filename>	使用 <filename> 參數指定的文件名，以 XML 格式將報告保存在某個位置中（在 Windows Server2008 和 Windows Vista SP1 中有效）。
/h <filename>	使用 <filename> 參數指定的文件名，以 HTML 格式將報告保存在某個位置中（在 Windows Server2008 和 Windows Vista SP1 中有效）。
/f	強制要求 Gpresult 覆蓋在 /x 或 /h 參數中指定的文件名。
/?	在命令提示符下顯示幫助。

在計算機上運行 Gpresult.exe

打開權限提升的命令提示符。若要打開權限提升的命令提示符，請單擊「開始」，右鍵單擊“命令提示符”，然后單擊“以管理員身份運行”。
在命令提示符下，鍵入 gpresult /h gpresult.html /f。
在命令提示符下，鍵入 Start gpresult.html 以查看該文件。

備份、還原、遷移和復制 GPO

GPMC 提供了備份、還原、遷移和復制現有 GPO 的機制。這些功能對於在發生錯誤或災難時保持組策略部署是至關重要的。通過使用這些功能，有助於避免手動重新創建丟失或損壞的 GPO 並重新執行規划、測試和部署階段。當前的組策略操作計划應包括定期備份所有 GPO。請通知所有組策略管理員如何使用 GPMC 還原 GPO。

GPMC 還提供了在相同域中以及不同域之間復制和導入 GPO 的功能。例如，可以使用 GPMC 將現有 GPO 從現有域遷移到新部署的域中。您可以復制 GPOs，或者將一個 GPO 中的策略設置導入到另一個 GPO 中。這樣做可以節省很多時間並避免不必要的麻煩，您只要重復使用現有 GPO 的內容即可。如果在環境間配置了正確的信任關系，則可以通過復制 GPO 直接從暫存階段過渡到生產階段。導入 GPO 可將策略設置從備份的 GPO 傳輸到現有 GPO 中，這對於源域和目標域之間沒有信任關系的場合特別有用。如果要重復使用現有的 GPO，也可以通過復制方便地將 GPO 從一個生產環境移到另一個生產環境。

將 GPMC 與 GPO 一起使用

若要創建 GPO 備份，您必須至少具有 GPO 的讀取訪問權限，並具有存儲備份的文件夾的寫入訪問權限。請參閱圖 6 以幫助您確定下列步驟中引用的內容。

d70b2aa1-5fd2-410f-afaa-670c89b85c24

使用 GPMC 備份 GPO 和查看 GPO 備份

備份操作可將生產 GPO 備份到文件系統中。備份位置可以是您具有寫入訪問權限的任意文件夾。在備份 GPO 后，必須使用 GPMC 顯示和處理備份文件夾的內容，您可以使用 GPMC UI 顯示和處理這些內容，也可以使用腳本以編程方式進行顯示和處理。不要直接通過文件系統處理存檔的 GPO。在備份 GPO 后，請通過 GPMC 使用導入和還原操作來處理存檔的 GPO。

備注
可以將相同 GPO 的多個實例備份到同一位置，因為 GPMC 可唯一地標識每個備份實例，並提供了選擇要使用的存檔 GPO 實例的機制。例如，在通過 GPMC 查看備份文件夾的內容時，您可以選擇僅顯示最新的備份。如果在更改 GPO 后對其進行備份，並且以后需要還原該 GPO 的以前版本，這可能是非常有用的。

備份域中的所有 GPO

在 GPMC 控制台樹中，展開包含要備份的 GPO 的林或域。
右鍵單擊“組策略對象”，然后單擊“全部備份”。
在“備份組策略對象”對話框中，輸入要將 GPO 備份存儲到的位置的路徑。或者，也可以單擊“瀏覽”，找到要存儲 GPO 備份的文件夾，然后單擊“確定”。
鍵入要備份的 GPO 的說明，然后單擊“備份”。
在完成備份操作后，將顯示一個摘要，其中列出了成功備份的 GPO 數量以及未備份的任何 GPO。
單擊“確定”。

備份特定 GPO

在 GPMC 控制台樹中，展開包含要備份的 GPO 的林或域中的“組策略對象”。
右鍵單擊要備份的 GPO，然后單擊“備份”。
在“備份組策略對象”對話框中，輸入要將 GPO 備份存儲到的位置的路徑。或者，也可以單擊“瀏覽”，找到要存儲 GPO 備份的文件夾，然后單擊“確定”。
鍵入要備份的 GPO 的說明，然后單擊“備份”。
在完成備份操作后，將顯示一個摘要，以指示備份是否成功完成。
單擊“確定”。

查看 GPO 備份列表

在 GPMC 控制台樹中，展開包含要備份的 GPO 的林或域。
右鍵單擊“組策略對象”，然后單擊“管理備份”。
在“管理備份”對話框中，輸入要查看的 GPO 備份的存儲位置路徑。或者，也可以單擊“瀏覽”，找到包含 GPO 備份的文件夾，然后單擊“確定”。
若要指定僅在“已備份的 GPO”列表中顯示最新版本的 GPO，請選中“只顯示每一個 GPO 的最新版本”復選框。單擊“關閉”。

重要事項
為了保護備份的 GPO，請確保只有經過授權的管理員有權訪問將 GPO 保存到的文件夾。請使用備份 GPO 的文件系統上的安全權限。

使用 GPMC 還原 GPO

您也可以還原 GPO。此操作將備份的 GPO 還原到從中備份 GPO 的同一域中。無法將 GPO 從備份還原到與 GPO 原始域不同的域中。

還原現有 GPO 的以前版本

在 GPMC 控制台樹中，展開包含要還原的 GPO 的林或域中的“組策略對象”。
右鍵單擊要還原到以前版本的 GPO，然后單擊“從備份還原”。
在打開“還原組策略對象向導”時，請按照向導中的說明進行操作，然后單擊“完成”。
在完成還原操作后，將顯示一個摘要，以指示還原是否成功完成。單擊“確定”。

還原刪除的 GPO

在 GPMC 控制台樹中，展開包含要還原的 GPO 的林或域。
右鍵單擊“組策略對象”，然后單擊“管理備份”。
在“管理備份”對話框中，單擊“瀏覽”，然后找到包含備份的 GPO 的文件。
在“已備份的 GPO”列表中，單擊要還原的 GPO，然后單擊“還原”。
當系統提示您確認還原操作時，單擊“確定”。
在完成還原操作后，將顯示一個摘要，以指示還原是否成功完成。單擊“確定”。單擊“關閉”。

備份和還原 WMI 篩選器數據、IPsec 策略設置和到 OU 的鏈接

到 WMI 篩選器和 IPsec 策略的鏈接存儲在 GPO 中，它們是作為 GPO 的一部分備份的。在還原 GPO 時，如果基本對象在 Active Directory 中仍存在，則會保留這些鏈接。不過，到 OU 的鏈接不是備份數據的一部分，在還原操作期間不會還原這些鏈接。

在這些過程中，不會備份或還原存儲在 GPO 外部的策略設置，如 WMI 篩選器數據和 IPsec 策略設置。若要備份和還原少數幾個 WMI 篩選器，您可以在 GPMC 中單擊“WMI 篩選器”項目或該項目下面的特定 WMI 篩選器，然后根據需要使用“導入”或“導出”命令。有關如何導入或導出 WMI 篩選器的信息，請參閱 GPMC 幫助中的“導入 WMI 篩選器”和“導出 WMI 篩選器”。由於每次只能使用這些命令導入或導出一個 WMI 篩選器，因此，只有在需要備份或還原幾個 WMI 篩選器時，才建議您使用這種方法。

若要備份和還原大量 WMI 篩選器，您可以使用 Ldifde 命令行工具，如“自定義檢查 - 導入和導出 WMI 篩選器”中所述 (http://go.microsoft.com/fwlink/?linkid=109519)（可能為英文網頁）。

備注
Ldifde 是內置到 Windows Server2008 中的命令行工具。如果安裝了 AD DS 或 Active Directory 輕型目錄服務 (AD LDS) 服務器角色，則會提供該工具。若要使用 Ldifde，您必須從提升權限的命令提示符中運行 Ldifde 命令。有關詳細信息，請參閱“Ldifde”(http://go.microsoft.com/fwlink/?LinkId=110104)（可能為英文網頁）。

如果將 IPsec 策略分配給 GPO，則會記錄指向該 IPsec 策略的指針，它位於 GPO 屬性 ipsecOwnersReference 內。GPO 本身只包含對 IPsec 策略的 LDAP 可分辨名稱引用。組策略僅用於將策略分配傳遞給計算機的 IPsec 服務。然后，計算機的 IPsec 服務從 Active Directory 中檢索 IPsec 策略，在本地維護當前的策略緩存，並使用 IPsec 策略本身中指定的輪詢間隔將其保持最新狀態。

若要備份和還原 IPsec 策略設置，您必須使用“IP 安全策略管理”管理單元中的“導出策略”和“導入策略”命令。通過使用“導出策略”命令，您可以導出所有本地 IPsec 策略，然后將其保存在具有 .ipsec 擴展名的文件中。

使用 GPMC 復制 GPO 和導入 GPO 設置

在 GPMC 中，您可以在相同域中以及不同域之間復制 GPO，以及將組策略設置從一個 GPO 導入到另一個 GPO 中。在生產環境中進行部署之前，請在暫存過程中執行這些操作。還可以使用這些操作，將 GPO 從一個生產環境遷移到另一個生產環境。

雖然包含 GPO 的策略設置集合在邏輯上是單一實體，但單個 GPO 的數據以多種不同的格式存儲在多個位置中。一些數據包含在 Active Directory 中，另外一些數據存儲在域控制器上的 Sysvol 文件夾中。這意味着，不能簡單地通過將文件夾從一個計算機復制到另一個計算機來復制 GPO。不過，GPMC 提供了內置支持，您可以安全且相對簡單地執行此操作。

復制操作可將當前的現有 GPO 復制到所需的目標域中。在該過程中，將始終創建一個新 GPO。目標域可以是您有權創建新 GPO 的任何受信任域。只需在 GPMC 中添加所需的林和域，然后使用 GPMC 從一個域中復制所需的 GPO 並將其粘貼（或拖放）到另一個域中。若要復制 GPO，您必須具有在目標域中創建 GPO 的權限。

在復制 GPO 時，除了復制 GPO 中的策略設置以外，您還可以復制 GPO 的隨機訪問控制列表 (DACL)。它用於確保復制操作期間創建的 GPO 與原始 GPO 具有相同的安全篩選和委派選項。

通過導入 GPO，您可以將策略設置從備份的 GPO 傳輸到現有 GPO。GPO 導入僅傳輸 GPO 設置；它不會修改目標 GPO 上的現有安全篩選或鏈接。GPO 導入對於在不受信任的環境之間遷移 GPO 非常有用，因為您只需要訪問備份的 GPO，而無需訪問生產 GPO。由於導入操作僅修改策略設置，因此，只要具有目標 GPO 的編輯權限就可以執行該操作。

在復制或導入 GPO 時，如果 GPO 包含的安全主體或 UNC 路徑在復制到目標域時可能需要進行更新，您可以指定一個遷移表。可以使用遷移表編輯器 (MTE) 創建和編輯遷移表。下一節“使用遷移表”中介紹了遷移表。

復制 GPO

在 GPMC 控制台樹中，展開包含要復制的 GPO 的林和域中的“組策略對象”。
右鍵單擊要復制的 GPO，然后單擊“復制”。
請執行下列操作之一：
- 若要將 GPO 副本放在與源 GPO 相同的域中，請右鍵單擊“組策略對象”，然后單擊“粘貼”。
- 若要將 GPO 副本放在不同的域中（在相同或不同的林中），請展開目標域，右鍵單擊“組策略對象”，然后單擊“粘貼”。
- 如果要在域中進行復制，請單擊“新 GPO 使用默認權限”或“保留現有權限”，然后單擊“確定”。
如果要復制到另一個域或從另一個域中進行復制，請按照向導中的說明執行操作，然后單擊“完成”。

將策略設置從備份的 GPO 導入到某個 GPO

在 GPMC 控制台樹中，展開包含要將策略設置導入到的 GPO 的林和域中的“組策略對象”。
右鍵單擊要將策略設置導入到的 GPO，然后單擊“導入設置”。
在打開“導入設置向導”時，請按照打開的向導中的說明進行操作，然后單擊“完成”。
在完成導入操作后，將顯示一個摘要，以指示導入是否成功完成。單擊“確定”。

使用遷移表

由於 GPO 中的某些數據是域特定的數據，在直接復制到另一個域時可能會失效，因此，GPMC 提供了遷移表。遷移表是一個簡單的表格，它指定了源值和目標值之間的映射。圖 7 顯示了 GPMC 的 MTE 中的遷移表。

1fb8e2c2-970c-4686-9a0a-1d853732dd9c

在復制或導入操作期間，遷移表會將 GPO 中的引用轉換為可在目標域中使用的新引用。通過使用遷移表，可以在導入或復制操作過程中將安全主體和 UNC 路徑更改為新值。遷移表是使用 .migtable 文件擴展名存儲的，這些遷移表實際上是 XML 文件。您無需了解 XML 即可創建或編輯遷移表；GPMC 提供了用於處理遷移表的 MTE。

遷移表包含一個或多個映射項。每個映射項包含源類型、源引用和目標引用。如果在執行導入或復制操作時指定了遷移表，在將策略設置寫入到目標 GPO 時，將使用目標項替換對源項的每個引用。在使用遷移表之前，請確保遷移表中指定的目標引用已經存在。

以下項目可能包含安全主體，可以使用遷移表對其進行修改：

以下類型的安全策略設置：
- 用戶權限分配
- 受限制的組
- 系統服務
- 文件系統
- 注冊表
高級文件夾重定向策略設置
復制操作期間保留的 GPO DACL
軟件安裝對象的 DACL，僅在指定了復制 GPO DACL 的選項時才保留

另外，以下項目可能包含 UNC 路徑，可能需要在導入或復制操作過程中將這些路徑更改為新值，因為可能無法從 GPO 遷移到的域中訪問原始域中的服務器：

文件夾重定向組策略設置
軟件安裝組策略設置
對存儲在源 GPO 外部的腳本的引用（例如，登錄和啟動腳本）。在 GPO 復制或導入操作過程中不會復制腳本本身，除非腳本存儲在源 GPO 內部。

有關使用遷移表的詳細信息，請參閱本指南中的暫存組策略部署。

維護組策略

在部署后，當組織及其需求發生變化時以及隨着您的組策略經驗不斷豐富，您可能需要對組策略實現進行日常維護和修改。通過確定用於創建、鏈接、編輯、導入策略設置以及備份和還原 GPO 的控制步驟，您可以最大限度減少由於未正確規划組策略部署而撥打的技術支持電話。您還可以簡化解決 GPO 問題的過程，並有助於降低網絡中的計算機的總擁有成本。

通過確定 GPO 控制機制，您可以創建滿足以下條件的 GPO：

符合企業標准。
確保策略設置不會與其他人員設置的策略設置發生沖突。

為了幫助解決 GPO 問題，您可以使用 GPMC 組策略結果向導查找可能的組策略部署錯誤。有關該工具的詳細信息，請參閱本指南中的使用組策略建模和組策略結果評估組策略設置。在將新組策略設置部署到生產環境中之前，還可以使用 GPMC 組策略建模向導評估它產生的后果。

每次部署新的技術解決方案（如無線網絡）時，您都需要重新檢查組策略配置，以確保其與新技術保持兼容。為了幫助管理各種技術，組策略提供了一些策略設置，例如，用於無線網絡 (IEEE 802.11) 策略的策略設置（位於“計算機配置\策略\Windows 設置\安全設置”中）、用於終端服務的策略設置（位於“計算機配置\策略\管理模板\Windows 組件”和“用戶配置\策略\管理模板\Windows 組件”中）以及用於很多其他技術的策略設置。

修改組策略設置可能會帶來非常嚴重的后果。在執行組策略維護時，您需要在部署之前采取適當的預防措施，以便在暫存環境中測試建議的更改並評估其效果。

用於重命名域的組策略注意事項

域名是使組策略實現保持正常運行的重要部分。在 Windows Server2008 家族中，可以使用 Windows Server2008 附帶的域重命名工具（Rendom.exe 和 GPfixup.exe）來重命名域。域重命名工具提供了一種安全且受支持的方法來重命名 Active Directory 林中的一個或多個域（以及應用程序目錄分區）。

重要事項
在域重命名完成后，請確保使用 GPMC 備份所有 GPO。在重命名某個域后，您無法還原在域重命名之前進行的備份。

重命名一個或多個域是一個非常復雜的過程，您需要全面規划並充分了解域重命名步驟。還必須修改任何受影響的 GPO，以使其正常工作。若要修改 GPO，請使用 Windows Server2008 附帶的 Gpfixup.exe 工具。Gpfixup.exe 可以修復每個重命名的域中的 GPO 和 GPO 引用。在執行域重命名操作后，必須修復 GPO 和組策略鏈接以更新這些 GPO 及其鏈接中嵌入的舊域名。

重要事項
有關域重命名過程的詳細信息，請參閱 Windows Server2008 技術中心 (http://go.microsoft.com/fwlink/?LinkId=100876)（可能為英文網頁）。

使用腳本管理組策略

您可以下載使用 GPMC 界面的示例腳本，以及為 GPMC 支持的很多操作編寫腳本。GPMC 示例腳本是腳本工具包的基礎，可以使用該工具包來解決特定的管理問題。例如，可以運行查詢以查找域中所有具有重復名稱的 GPO，或者生成域中禁用或部分禁用了策略設置的所有 GPO 的列表。這些腳本還說明了關鍵腳本對象和方法，以簡要說明可以使用 GPMC 完成的很多管理任務。有關這些腳本的信息，請參閱“組策略控制台腳本示例”(http://go.microsoft.com/fwlink/?LinkId=109520)（可能為英文網頁）。

默認情況下，在下載 GPMC 示例腳本時，這些腳本將安裝在 Program Files\Microsoft Group Policy\GPMC Sample Scripts 文件夾中。這些示例腳本將輸出回顯到命令窗口，必須使用 Cscript.exe 運行這些腳本。如果 Cscript.exe 不是默認腳本主機，則需要在命令行中明確指定 Cscript.exe。例如，鍵入 d: \Program Files\Microsoft Group Policy\GPMC Sample Scripts>cscript ListAllGPOs.wsf。若要將 Cscript.exe 作為默認腳本主機，請在命令行中鍵入 cscript //h:cscript。

很多示例腳本依靠 Lib_CommonGPMCFunctions.js 文件中包含的常見 helper 函數庫。如果將這些腳本復制到其他位置，您還必須將此庫文件復制到該位置，以使腳本示例能夠正常工作。

暫存組策略部署

Windows Server2008 組策略提供了非常強大的功能，以便在組織中部署配置更改。與組織中的任何其他更改一樣，組策略部署和持續更新要求進行周密規划和測試，以確保實現具有高可用性且安全可靠的基礎結構。通過使用 GPMC 中包含的功能，您可以創建測試/暫存/生產部署過程，以確保在組策略部署期間實現可預測性和一致性。

組策略暫存概述

組策略是一個功能強大的工具，可用於在組織中配置 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP 操作系統。要影響數百台甚至上千台計算機中的配置，您必須制訂完善的更改管理措施，以確保對 GPO 的更改在目標（用戶和計算機）上產生預期的結果。

大多數組織都制訂了更改管理過程，以確保在非生產環境中對新配置或部署進行嚴格測試，然后再將其部署到生產環境中。

在很多更改管理過程中，組織將區分測試環境和暫存環境；前者用於測試更改，后者是一個用於模擬生產環境的全新環境，它是在將更改部署到生產環境之前經過的最后一站。在本節中，“測試”和“暫存”術語可以互換，均將其作為物理環境進而不進行區分。不過，如果您的更改管理過程需要單獨的測試和暫存環境，您可以使用本節中介紹的方法創建這些環境。

對於確保成功部署組策略更改來說，有效的更改管理過程同樣是非常重要的，因為組策略能夠影響包括計算機上部署的軟件的注冊表設置和安全設置在內的所有內容。除了組策略實現的很多配置設置以外，還可以將 GPO 鏈接到一組不同的作用域，並且可以按用戶、計算機或安全組篩選其效果。要確保基於 Windows 的基礎結構安全可靠地運行，在測試環境中暫存 GPO 並在生產環境中部署這些 GPO 之前測試各種效果是至關重要的。要在基於 Active Directory 的基礎結構中成功部署組策略，創建暫存環境是至關重要的。您可以選擇幾個選項來創建此類環境。這些選項是使用 GPMC 中的功能啟用的。

可以將基於 GPMC 控制台的功能與腳本結合使用，以創建模擬生產環境的暫存環境。然后，可以使用暫存環境來測試新 GPO 或更改的 GPO。在驗證這些 GPO 后，您可以使用 GPMC 將其遷移到生產域中。

組策略暫存過程

暫存組策略的過程包括創建模擬生產環境的暫存環境，在暫存環境中測試新的組策略設置，然后在生產環境中部署這些策略設置。所使用的具體部署方法取決於暫存環境配置。

在搭建組策略的暫存環境時，最初只需要確定可用於建類似於生產環境的基礎結構的硬件，然后設置相應的邏輯結構。接下來，您可以使用 GPMC 中的工具將生產組策略設置導入到暫存環境中。在創建該環境后，組策略測試涉及在模擬生產用戶和計算機的測試用戶和計算機上實現更改並測試其效果。在驗證更改后，您可以再次使用 GPMC 中的工具，將更改的組策略設置或新組策略設置遷移到生產環境中。

您需要持續維護組策略並繼續評估更改。因此，您需要始終將暫存環境與生產環境保持同步。可以隨時使用 GPMC 工具（如示例腳本以及備份、復制和導入功能）來維護暫存環境。

備注
可以使用基於 Windows Server2008 虛擬機監控程序的虛擬化來幫助創建和測試各種不同的組策略方案。通過使用虛擬機，您可以創建一個安全的獨立環境，以便准確地模擬物理服務器和客戶端的運行情況。有關 Windows Server2008 虛擬化的信息，請參閱“虛擬化和合並”(http://go.microsoft.com/fwlink/?LinkId=109521)（可能為英文網頁）。

備注

可以使用基於 Windows Server2008 虛擬機監控程序的虛擬化來幫助創建和測試各種不同的組策略方案。通過使用虛擬機，您可以創建一個安全的獨立環境，以便准確地模擬物理服務器和客戶端的運行情況。有關 Windows Server2008 虛擬化的信息，請參閱“虛擬化和合並”(http://go.microsoft.com/fwlink/?LinkId=109521)（可能為英文網頁）。

GPMC 部署暫存和維護功能

GPMC 包含幾種用於暫存和維護組策略的功能：

用於規划組策略部署的組策略建模向導。
用於查看 GPO 交互和排除故障的組策略結果向導。
使用單個 Microsoft 管理控制台 (MMC) 界面 (GPMC) 在組織中管理組策略的功能。管理操作包括導入和導出、復制、備份和還原 GPO。

要對組策略暫存，最重要的 GPMC 功能是備份、導入、復制和遷移表。通過使用這些功能，您可以在林和域之間暫存和遷移 GPO。

備份和導入

GPMC 提供了備份一個或多個 GPO 的功能。可隨后使用這些備份將各個 GPO 還原為以前的狀態（使用還原操作），也可以將策略設置導入到現有 GPO 中以覆蓋任何以前的策略設置。還原操作僅用於將 GPO 還原到從中備份該 GPO 的同一域中。

相比之下，導入操作用於以下場合：備份是使用同一域、不同域甚至不同的不受信任林（如獨立於生產林的測試林）中的任何 GPO 創建的。請注意，雖然還原和導入功能均適用於以前備份的 GPO，但還原還提供了其他功能。您將使用備份、導入和復制操作暫存 GPO，並將其遷移到生產環境中。

圖 8 顯示了導入操作。在這種情況下，測試林中的 GPO X 包含一些分配了“本地登錄”用戶權限的安全主體。將備份該 GPO，然后將其導入到生產林中。在導入操作期間，將原始安全主體映射到生產域中存在的新安全主體。

3232f3ca-42bf-4dfb-8fee-b2f4de7ed53e

復制

通過使用 GPMC 中的復制功能，您可以右鍵單擊某個 GPO，從一個域中復制該 GPO，然后將其粘貼到新域中。在復制操作中，在將 GPO 復制到新域時，將會創建一個新 GPO。它不同於導入操作，后者將清除並覆蓋現有的 GPO。不過，僅將源 GPO 中的策略設置復制到新 GPO 中。不會將源 GPO 的作用域管理 (SOM) 鏈接、ACL 和 WMI 篩選器鏈接復制到新 GPO 中。復制操作要求源域信任目標域。若要執行復制操作，您必須是本地 Administrators 組成員或具有以下權限的委派用戶：

源 GPO 和源域的讀取權限。
在目標域（要將新 GPO 復制到的域）中創建 GPO 的權限。

通過使用導入和復制操作，GPMC 支持在源和目標 GPO 中對安全主體和 UNC 引用之間執行這些對象映射的功能。

圖 9 顯示了復制操作。在這種情況下，將一個 GPO 從域 B 遷移到域 C，並將它的幾個關聯安全主體映射到域 C 中的新主體。

6ec4947c-8963-4733-a35b-95b941edf305

遷移表

GPO 可以在策略設置中包含對安全主體和 UNC 路徑的引用。例如，在安全策略設置中，您可以控制哪些用戶和組可以啟用和停止特定 Windows 服務。圖 10 顯示了可應用於信使服務的安全設置。在這種情況下，可以使用遷移表將這些安全設置從暫存環境中的安全主體映射到生產環境中的安全主體。

28811d69-b5a2-490a-a2cd-3ee25bce2929

此外，GPO 還具有一個安全描述符，其中包含的 DACL 可用於控制處理 GPO 的計算機、用戶或組以及可創建、修改和編輯 GPO 的用戶。在將 GPO 從一個域部署到另一個域時，也可以將 GPO 的 DACL 中包含的安全主體考慮在內。

遷移表還支持 UNC 路徑映射，這些路徑可能位於軟件安裝、文件夾重定向或腳本策略中。若要解決測試和生產環境之間存在的這些路徑的差異，您可以在遷移組策略設置時使用遷移表替換服務器和共享名稱。

如果將在另一個域或林中創建的 GPO 遷移到生產環境中，您需要修改關聯的安全主體引用以反映在生產域中找到的引用。GPMC 提供了一個 MTE，可用於為安全主體和 UNC 路徑創建映射文件。MTE 創建一個具有 .migtable 擴展名的 XML 格式的文件；該文件為 GPO 遷移指定了源和目標安全主體或 UNC 路徑。有關 MTE 的詳細信息，請參閱本指南后面的創建遷移表。

創建暫存環境

暫存並部署組策略的第一步是創建暫存環境。此步驟包括構建一個模擬生產環境的測試基礎結構，可以使用該結構測試新組策略設置或更改的組策略設置，而不會影響生產用戶和計算機。

此時，您需要確定暫存環境位置及其與生產環境之間的信任關系。您可以選擇：

在生產林中創建暫存域。
創建與生產林沒有信任關系的暫存林。
創建與生產林有信任關系的暫存林。

每個選項都具有優缺點，如表 8 中所述。

表 8 選擇暫存方法

方法	優點	缺點
生產林中的暫存域	可以使用 GPMC 復制操作在暫存和生產環境之間移動 GPO。可以利用現有的生產基礎結構服務（例如，DNS、DHCP）。與需要支持基礎結構的完全獨立的環境相比，實現所需的硬件可能會減少。更易於與生產環境保持同步，因為所有策略設置和服務均位於同一林中。如果在生產林中的域之間進行遷移，需要使用遷移表的次數可能會減少（例如，可以反復使用某些安全主體，而無論域如何）。	可能沒有完全獨立於生產環境，而無法確保測試不會影響該環境（例如，由於站點跨林中的域，而無法方便測試站點鏈接的 GPO。可以反復使用安全主體，而無論域如何）。如果需要測試對環境的更改，可能證明存在很多限制。
與生產林沒有信任關系的暫存林	完全獨立於生產環境；提供最大限度的保護以測試 GPO 影響生產計算機和用戶。暫存和生產不會發生安全重疊；暫存和生產林中的管理員不需要同時具有這兩個林的訪問權限。提高了靈活性；管理員可以靈活地實驗各種策略設置和配置，而不會影響生產環境。	很難與生產林保持同步。由於沒有信任關系，在林之間移動數據和策略設置是非常麻煩的。需要使用遷移表將包含安全主體或 UNC 路徑的 GPO 從暫存環境移到生產環境中。無法使用 GPMC 復制操作遷移 GPO；必須使用 GPMC 導入操作。
與生產林有信任關系的暫存林	可以使用 GPMC 復制操作在暫存和生產環境之間移動 GPO。與生產環境具有一定的獨立性。提高了靈活性；管理員可以靈活地實驗各種策略設置和配置，而不會影響生產環境。可能不需要使用遷移表來映射 UNC 路徑，因為可以通過當前信任關系獲取所有路徑。	很難與生產林保持同步。由於暫存和生產環境之間具有信任關系，一個環境中的用戶可以訪問另一個環境中的資源。需要使用遷移表將包含安全主體的 GPO 從暫存環境移到生產環境中。

在選擇暫存方法時，請考慮表 8 中介紹的優缺點。在選擇暫存方法后，您便可以確定暫存環境的硬件要求了。

硬件要求

無論選擇了哪種暫存方法，都必須配備一些額外的專用硬件來搭建暫存環境。所需的硬件數量取決於需要執行的測試類型以及具體的組策略測試要求。例如，包含使用慢速網絡鏈接的計算機的生產環境可能會影響 Windows 應用組策略的方式，因為不會通過慢速鏈接應用某些組策略設置。測試環境應反映這種情況，以使您准確了解組策略更改如何影響生產環境，這一點是非常重要的。在這種情況下，GPMC 可以為您提供幫助，它提供了相應功能以模擬通過慢速鏈接的組策略處理的影響。不過，您可能無法完全模擬生產環境，除非在暫存環境中配備足夠多的專用系統和網絡硬件。您的目標是搭建一個測試和暫存環境，該環境反映了在組策略應用新 GPO 或更改的 GPO 時生產環境中的計算機和用戶的性能和行為。

准備暫存環境

在選擇暫存方法並設置硬件后，請在暫存服務器上安裝 Windows Server2008 和 Active Directory 以准備同步生產和暫存環境的配置。大多數情況下，應確保暫存和生產環境中的計算機運行相同的操作系統、Service Pack 和修補程序。這對於確保獲得一致的測試結果至關重要。此外，還要確保配置與生產環境相同的支持基礎結構，例如，DNS、分布式文件系統 (DFS) 和相關服務。尤其是，DNS 對正確處理 GPO 至關重要。如果決定使用的暫存方法將暫存域或 OU 結構放在生產林中，則可以使用現有生產 DNS 基礎結構中的名稱服務。

重要事項
可以使用 Windows Server2008 GPMC 來管理 Windows Server2008、Windows Server2003 和 Windows2000 域中的 GPO。

如果構建一個單獨的暫存林，您需要解決名稱服務集成問題。名稱服務可能包括 DNS 或 Windows Internet 名稱服務 (WINS)，具體取決於所創建的信任類型。您可能需要為暫存環境創建一個單獨的 DNS 基礎結構。這尤其適用於以下情況：您使用生產林中的安全 Active Directory 集成的 DNS，因為安全 Active Directory 集成的區域無法支持動態注冊來自外部林的客戶端。如果計划在暫存和生產林之間建立信任關系，每個林中的名稱服務基礎結構必須能夠識別另一個林中的名稱服務基礎結構。在為暫存環境完全配置部署組策略所需的基本元素后，下一步是同步暫存和生產環境。

同步暫存和生產環境

在創建反映生產環境的基本暫存基礎結構后，您需要確保兩個環境中的所有安全設置和 GPO 設置完全相同。同步還要求確保兩個環境中的 OU、用戶、計算機和組具有充分的代表性，因為您需要能夠測試生產環境中存在的 GPO 鏈接和安全組篩選效果。

任何測試環境的目標都是確保盡可能與生產環境接近。您可以下載和運行兩個 GPMC 示例腳本（即 CreateXMLFromEnvironment.wsf 和 CreateEnvironmentFromXML.wsf），以幫助進行初始同步以及將測試環境與生產環境始終保持同步。如前面所述，GPMC 示例腳本默認安裝在 Program Files\Microsoft Group Policy\GPMC Sample Scripts 文件夾中。

CreateXMLFromEnvironment.wsf 腳本針對生產域運行，將與策略有關的所有信息存儲在 XML 格式的文件中，然后創建在生產域中找到的 GPO 的備份。請注意，每次只能針對一個域運行此腳本，而不能針對整個林運行。CreateEnvironmentFromXML.wsf 腳本使用 CreateXMLFromEnvironment.wsf 創建的 XML 格式的文件以及任何備份 GPO，在暫存域中重新創建生產域中的 GPO 和其他對象。表 9 介紹了 CreateXMLFromEnvironment.wsf 捕獲的對象和策略設置，並說明了可在運行該腳本時使用命令行選項捕獲的其他對象。

表 9 CreateXMLFromEnvironment.wsf 捕獲的對象

對象類型	由腳本捕獲	其他命令行選項
域或 OU 的所有 GPO 和 GPO 設置	是	若要捕獲 GPO 設置，您必須使用 /TemplatePath 選項提供模板路徑，以指定存儲備份 GPO 的文件系統位置。如果未指定模板路徑，則不會備份 GPO。可以使用 /ExcludePermissions 選項排除 GPO 權限。
組織單位	是	可以將 /StartingOU 選項與 OU 的 DN 樣式路徑一起使用，以便僅捕獲 OU 樹的一部分。
GPO 鏈接和鏈接屬性（例如，已禁用、阻止繼承）	是，但不會捕獲站點對象上的鏈接	無
與策略有關的權限	是	可以使用 /ExcludePermissions 選項排除權限。
WMI 篩選器	是	無
用戶	可選	不會捕獲用戶帳戶，除非使用了 /IncludeUsers 選項。
安全組	是	默認情況下，此腳本僅捕獲 OU 中定義的安全組。可以使用 /IncludeAllGroups 選項，將其擴展到包含用戶容器以及域根中的所有組。
計算機	否	無
站點	否	無

在使用 CreateXMLFromEnvironment.wsf 腳本時，請記住以下幾點：首先，如果使用 /IncludeUsers 選項捕獲用戶對象，在暫存域中重新創建這些對象時，您需要為捕獲的每個用戶提供一個密碼。為此，請手動編輯生成的 XML 文件，然后為每個用戶添加一個密碼。

此外，如果任何用戶未在 XML 文件中指定密碼，CreateEnvironmentfromXML.wsf 腳本將提示您提供密碼。對於未在 XML 文件中指定密碼的任何用戶，將為其提供該密碼。還要注意，該腳本不捕獲計算機。這是因為 Active Directory 中的計算機對象與物理硬件資源相對應，生產和暫存環境中的這些資源可能並不相同。最后，該腳本既不捕獲站點，也不捕獲站點上的 GPO 鏈接。由於站點可以跨多個域，並且可能會影響 Active Directory 復制，因此，最好在暫存環境中手動重新創建這些對象（以及這些對象上的 GPO 鏈接）。

示例：從生產環境中創建 XML 格式的文件

假定生產域的名稱為 Contoso.com。您要導出組策略設置和相關信息，以便創建新的暫存域以進行 GPO 測試。在本示例中，假定您要捕獲整個域中的 GPO 並包括用戶帳戶和組。若要導出所需的信息，請完成以下任務：

從生產環境中創建 XML 文件

確保您具有生產域的足夠權限以提取所需的數據。您必須具有讀取要捕獲的所有對象的權限，其中包括 GPO、OU、用戶和組（及其成員）。
創建一個文件夾以存儲 XML 格式的文件，它描述了該腳本收集的信息。
創建一個文件夾以存儲該腳本提取的 GPO 的備份。
從安裝文件夾中運行 CreateXMLFromEnvironment.wsf 腳本。如果 cscript.exe 不是默認 Windows Script Host (WSH) 引擎，則必須在腳本名稱前面添加 cscript 命令。對於本示例，請在命令行中鍵入以下命令：
```
Cscript "%programfiles%\Microsoft Group Policy\GPMC Sample Scripts\CreateXmlFromEnvironment.wsf".\production.xml /Domain:contoso.com /DC:contoso-dc1 /TemplatePath:.\GPObackups /IncludeUsers
```

該命令在運行該腳本的文件夾中創建一個 XML 格式的文件，即 production.xml。備份的 GPO 是在當前文件夾（名為 GPObackups）的子文件夾中創建的。如果在 production.xml 和 GPObackups 路徑前面添加反斜杠 (\)，則會導致該腳本使用相對路徑，並在運行該腳本的當前目錄中創建該 XML 文件和備份 GPO 文件夾。使用相對路徑可簡化將 XML 和備份復制到不同位置（以便從中進行還原）的過程。

該腳本在域級別 Contoso.com 開始捕獲。您也可以在 OU 級別運行該腳本；在這種情況下，除了 /Domain 選項以外，您還應使用 /StartingOU 選項。如果排除 /Domain 選項，則假定是當前域。/DC 選項通知腳本使用 contoso-dc1 域控制器，而 /TemplatePath 選項指定將捕獲的所有 GPO 的備份存儲在 GPOBackup 文件夾中。最后，/IncludeUsers 選項確保該腳本還會捕獲用戶帳戶。

注意
可以在文本編輯器或任何 XML 編輯器中打開和編輯 CreateXMLFromEnvironment.wsf 腳本生成的 XML 格式的文件。但要注意，XML 格式的文件必須遵循特定的語法。如果更改了該語法，可能會影響 CreateEnvironmentFromXML.wsf 腳本讀取輸入文件的功能。

在通過運行 CreateXMLFromEnvironment.wsf 腳本捕獲生產環境后，您需要運行 CreateEnvironmentFromXML.wsf 腳本，並將 CreateXMLFromEnvironment.wsf 輸出的 .XML 格式的文件作為輸入。您必須從暫存域中運行 CreateEnvironmentFromXML.wsf 腳本；如果已配置了與暫存域的信任關系，則可以從不在暫存域上的計算機中運行該腳本。

將生產 GPO 導入到暫存域中

CreateEnvironmentFromXML.wsf 腳本提供了幾個不同的選項，用於限定在暫存環境中創建的 GPO。最簡單的選項包括將從生產域中創建的 XML 格式的文件提供給該腳本，以及有選擇性地將該腳本的操作定向到暫存域中的域控制器。該腳本將在暫存域中創建 GPOs 和相關對象，它們與從生產域中捕獲的數據相對應。如果需要修改該過程，可使用該腳本提供的以下命令行選項：

Undo。該選項從暫存環境中刪除 XML 格式的文件所指定的所有對象（GPO、GPO 權限、OU、WMI 篩選器、用戶和組）。如果需要恢復對暫存域所做的更改，此選項是非常有用的。
ExcludePolicy Settings。此選項在目標域中創建 GPO，但不導入策略設置。如果不想導入任何 GPO 中的策略設置，而只想創建可能已捕獲的任何 OU、用戶以及用戶，請使用此選項。
ExcludePermissions。此選項導致該腳本忽略 XML 格式的文件中包含的任何組策略相關權限。相反，在暫存環境中創建新的 GPO 和其他對象時，將為其指定默認權限。
MigrationTable。此選項允許指定使用 MTE 創建的 .migtable 文件，以便指定生產環境 GPO 設置中的安全主體和 UNC 路徑到暫存環境中的相應安全主體和 UNC 路徑的映射。
ImportDefaultGPOs。此選項將策略設置導入到默認域策略和默認域控制器策略中，但前提是在 XML 文件中指定了這些 GPO 的策略設置。如果未指定此選項，則不會修改這些 GPO。
CreateUsersEnabled。此選項創建啟用的用戶帳戶，而不是禁用的用戶帳戶。
PasswordForUsers。此選項允許為未在 XML 文件中指定密碼的任何用戶指定使用的密碼。未在 XML 文件中指定密碼的所有用戶將使用相同密碼。
Q。此選項在安靜模式下運行腳本，但前提是在命令行中提供了所有必需的參數。如果未使用此選項，將提醒您此腳本只應用於創建暫存環境；如有必要，還會提示您為未在 XML 文件中定義密碼的任何用戶提供密碼。

示例：通過 XML 格式的文件填充暫存域

假定暫存環境是 test.contoso.com 域，並且該域與本章前面捕獲的生產域在同一個林中。即使暫存域與生產域不在同一林中，填充暫存域的步驟也是相同的，但可能需要不同的安全主體映射（通過遷移表實現）。

通過 XML 文件填充暫存環境

確保在暫存域中使用足夠的權限來運行 CreateEnvironmentFromXML.wsf 腳本。運行腳本的用戶應為 Domain Admins 成員，或者在該域中具有等效的訪問權限。
確保您具有在生產域中運行 CreateXMLFromEnvironment.wsf 創建的 XML 格式的文件和備份 GPO 的訪問權限。

在運行 CreateEnvironmentFromXML.wsf 時，您僅在命令行選項中引用 XML 格式的文件（而不是備份 GPO 位置）。該文件包含備份 GPO 文件的路徑。因此，在為 CreateEnvironmentFromXML.wsf 指定該 XML 文件時，該腳本使用在運行 CreateXMLFromEnvironment.wsf 腳本時指定的文件夾中的任何備份 GPO 文件。如果使用示例：從生產環境中創建 XML 格式的文件中所示的命令運行 CreateXMLFromEnvironment.wsf，該 XML 文件將指示備份位於當前文件夾的子文件夾中。如果在運行 CreateXMLFromEnvironment.wsf 時沒有使用相對路徑，可以使用三種方法確保 CreateEnvironmentFromXML.wsf 能夠找到所需的文件：
- 將指定文件夾結構從創建位置復制到運行 CreateEnvironmentFromXML.wsf 的本地計算機上的相同路徑中。
- 在最初創建 XML 格式的文件時指定一個網絡共享，而不是本地驅動器（還必須能夠從運行 CreateEnvironmentFromXML.wsf 的位置訪問該共享）。
- 編輯 XML 格式的文件，將備份 GPO 文件的路徑條目改為指向不同位置。
從 GPMC 安裝文件夾的腳本文件夾中運行 CreateEnvironmentFromXML.wsf。如果 cscript.exe 不是默認 WSH 引擎，則必須在腳本名稱前面添加 cscript 命令。對於本示例，請在命令行中鍵入以下命令：
```
Cscript CreateEnvironmentFromXml.wsf /xml:c:\staging\production.xml /Domain:test.contoso.com /DC:test-dc1
```

該腳本生成一條警告，指出該腳本僅用於創建暫存環境，然后提示您輸入用戶對象的密碼。在運行該腳本時，如果使用 /Q 選項並使用 PasswordForUsers 選項提供密碼，則不會顯示這些消息。如果確認要繼續，該腳本將在處理 XML 文件和 GPO 時提供狀態。然后，您可以使用 Active Directory 用戶和計算機以及 GPMC 驗證是否成功創建了用戶、組以及 GPO，以確認是否正確完成了所有步驟。

將暫存和生產環境保持同步

可以使用 CreateXMLFromEnvironment.wsf 和 CreateEnvironmentFromXML.wsf 腳本通過生產環境創建初始暫存環境。但組策略維護（包括測試新 GPO 和更改的 GPO）是一項需要保持連續性的的工作。如何持續將暫存環境與生產環境保持同步呢？這兩個腳本提供了一種非全有即全無的方法來填充 GPO；但它們還不夠具體，無法僅捕獲和導入特定的 GPO。

通過使用 GPMC 中的備份和導入功能，您可以有選擇性地在生產環境和暫存環境之間同步特定的 GPO。可以使用備份功能創建生產 GPO 的策略設置和安全設置的備份。然后，可以導入備份以覆蓋暫存域中的現有 GPO，從而與生產 GPO 保持同步。有關備份和導入 GPO 的詳細信息，請參閱部署示例。

在暫存環境中測試組策略

在創建暫存環境並與生產環境同步組策略后，您可以開始測試計划的組策略更改。測試組策略的最好機制是組合使用 GPMC 提供的組策略結果和組策略建模工具，並使用測試環境中的實際用戶帳戶和計算機處理實際 GPO。

在將新 GPO 設置應用於計算機和用戶時，如果需要驗證是否實際應用了所有預期策略設置，組策略結果功能是非常有用的。可以使用組策略建模來確定在 Active Directory 命名空間中更改用戶或計算機位置的效果，確定更改用戶或計算機的組成員身份的效果，或觀察慢速鏈接或環回策略的效果。可以使用組策略建模功能來測試更改的效果（但未實際進行更改）；而組策略結果功能顯示實際發生的情況。組策略結果在目標計算機上運行，因此，您必須具有該計算機的訪問權限。組策略建模在域控制器上運行，因此，必須有一個域控制器才能運行建模進程。請注意，通過使用組策略建模，您可以模擬運行 Windows Server2008、Windows Vista、Windows Server2003 和 WindowsXP Professional 的計算機上的策略設置。切記，組策略建模模擬策略處理情況，而組策略結果顯示實際處理的策略的效果。

以測試用戶身份登錄以進行測試

測試組策略的首選方法也是最佳方法是，對暫存域 GPO 進行實際更改，然后使用測試用戶帳戶登錄到工作站上，觀察更改效果以測試結果。這樣，您就可以觀察更改是如何影響用戶的。

使用組策略結果進行測試

如果測試計算機上安裝了 GPMC，則可以使用 GPMC 中的組策略結果向導來獲取已應用於用戶和計算機的 GPO 的詳細報告。否則，您可以使用命令行版本的組策略結果來創建已應用於用戶或計算機的 GPO 的報告。然后，您可以相應地在測試 GPO 中進行任何所需的更改。在為給定用戶和計算機處理所有組策略后，可以使用組策略結果通知您應用的策略設置。這些結果是通過在處理組策略的 Windows Server2008、Windows Vista、Windows Server2003 或 WindowsXP 計算機上查詢 RSoP 收集的。因此，該向導將返回實際應用的策略設置，而不是預期的策略設置。這與使用帶 /h 參數的 Gpresult.exe 時生成的輸出相同。

有關組策略結果向導的詳細信息，請參閱本指南中的使用組策略建模和組策略結果評估組策略設置。

使用組策略建模進行測試

測試組策略的第二種方法是，在對環境進行實際更改之前，使用 GPMC 中的組策略建模向導模擬對環境的更改。在進行生產部署之前，可以使用組策略建模對用戶和計算機對象執行虛構測試，觀察在進行如下更改時如何應用組策略設置：將用戶或計算機對象移到不同的 OU 中、更改其安全組成員身份或更改有效的 WMI 篩選器。但要注意，使用組策略建模獲取的結果是模擬的策略設置，而不是實際策略設置。因此，在模擬符合需要的方案后，最好始終使用組策略結果向導驗證預期的策略設置。

由於無法使用組策略建模指定對 GPO 中的策略設置的建議更改，因此，您需要對暫存 GPO 進行建議的更改，然后對給定 OU、用戶或計算機運行組策略建模向導以確定策略的結果集。

通過使用組策略建模，您還可以模擬計算機通過慢速網絡鏈接處理策略時的組策略行為，這可以確定處理哪些組策略擴展。如果計算機通過慢速網絡鏈接連接到域控制器上，則不會處理軟件安裝和文件夾重定向等組策略擴展。

組策略建模可以模擬慢速鏈接速度，可以使用此結果來確定所模擬的用戶和計算機的有效策略設置。此外，組策略建模還支持測試組策略環回處理的效果。在啟用環回處理的情況下，將在計算機中應用相同策略設置，而無論哪個用戶登錄到該計算機上。請注意，您必須在組策略建模向導中指定要模擬環回處理；默認情況下，不會模擬環回處理。

在使用組策略建模向導時，您可以指定慢速鏈接檢測和/或環回處理。對於環回處理，您可以選擇是替換還是合並用戶特定的策略。替換模式將用戶的所有正常策略設置替換為應用於計算機對象的 GPO 用戶配置中定義的那些設置（環回策略設置）。合並模式將用戶的正常策略設置與環回策略設置合並在一起。當用戶的正常策略設置中的策略項目與環回策略設置發生沖突時，將應用環回設置。

備注
組策略建模進程在域控制器上運行。相比之下，Gpresult 或組策略結果向導在處理組策略的 Windows Server2008、WindowsVista、Windows Server2003 或 WindowsXP 計算機運行。組策略結果使用 RSoP WMI 提供程序生成有關組策略處理的信息。組策略建模依靠 Windows Server2008 或 Windows Server2003 域控制器上的策略的結果集提供程序服務來執行分析。

備注

組策略建模進程在域控制器上運行。相比之下，Gpresult 或組策略結果向導在處理組策略的 Windows Server2008、WindowsVista、Windows Server2003 或 WindowsXP 計算機運行。組策略結果使用 RSoP WMI 提供程序生成有關組策略處理的信息。組策略建模依靠 Windows Server2008 或 Windows Server2003 域控制器上的策略的結果集提供程序服務來執行分析。

有關組策略建模向導的詳細信息，請參閱本指南中的使用組策略建模和組策略結果評估組策略設置。

准備進行生產部署

在暫存環境中全面測試對組策略的更改后，您幾乎就可以在生產環境中部署新 GPO 或更改的 GPO 了。不過，在執行此操作之前，您需要評估是否要在遷移過程中將 GPO 中包含的安全主體或 UNC 路徑映射到不同的值。

確定遷移映射要求

暫存環境可能是生產環境中的測試域、受信任的單獨測試林或不受信任的單獨測試林。對於每種情形，在生產環境中部署新 GPO 或更改的 GPO 時，您可能需要創建並使用遷移表。遷移表可滿足以下三種不同類型的映射要求：

在將一個或多個 GPO 遷移到生產環境時，您需要將這些 GPO 的每個訪問控制項 (ACE) 映射到不同的安全主體。GPO 的 ACE 描述了哪些用戶、計算機和計算機組將處理該 GPO，以及哪些用戶或用戶組可以查看、編輯或刪除 GPO 中的策略設置。
您需要在一個或多個 GPO 中定義的安全或文件夾重定向策略設置中映射安全主體。具體來說，通過使用用戶權限分配、受限制的組、文件系統、注冊表或系統服務等策略，您可以指定可訪問或配置這些資源的特定用戶或組。該用戶或組的安全標識符 (SID) 存儲在 GPO 中，在遷移 GPO 時必須修改安全標識符以反映生產域用戶或組。
在定義引用 UNC 路徑的軟件安裝、文件夾重定向或腳本策略設置時，您需要映射 UNC 路徑。例如，您使用的 GPO 可能引用在遠程服務器的外部路徑（如 Netlogon 共享）中存儲的腳本。在遷移 GPO 時，可能需要將該路徑映射到不同的路徑。UNC 路徑通常特定於給定環境，在將 GPO 遷移到生產環境時可能需要更改這些路徑。

如果滿足上述三種條件，您需要創建一個遷移表，用於在遷移測試 GPO 時將這些 GPO 中的值映射到生產域中的正確值。

創建遷移表

可以使用 GPMC 附帶的 MTE 創建和編輯遷移表。可通過以下任一方式訪問該表：

在 GPMC 復制或導入操作期間，您可以啟動 MTE 並創建或編輯遷移表。在這種情況下，MTE 將在單獨窗口中啟動，您可以在其中創建新的遷移表或編輯現有的遷移表。
在將 GPO 遷移到生產環境之前，您可以在獨立模式下啟動 MTE（與導入或復制操作無關）並創建或編輯遷移表。

您還可以使用示例腳本創建遷移表，如本節后面所述。

提前創建遷移表的一個優點是，您可以在開始部署之前確保所定義的遷移設置恰好是所需的設置。因此，在准備將測試 GPO 移到生產環境時，您應該先為需要遷移的 GPO 創建一個或多個遷移表。請注意，一個遷移表可用於多個 GPO。對於給定的暫存域-生產域遷移，您可以使用一個包含所有可能的安全主體和 UNC 路徑組合的遷移表。在這種情況下，您只需將相同遷移表應用於從暫存域部署到生產域的每個 GPO 即可，將會正確映射匹配的那些主體和路徑。

使用獨立的 MTE

若要在獨立模式下啟動 MTE，請從 GPMC 安裝文件夾中運行 Mtedit.exe。MTE 啟動時將打開一個空遷移表，您可以在網格中鍵入項以手動進行填充，也可以使用某種自動填充方法自動填充該表。

自動填充遷移表

開始創建遷移表的最簡便方法是，使用可從 MTE 的“工具”菜單中訪問的自動填充功能之一。您可以通過備份 GPO 和實時 GPO 自動填充遷移表。若要自動填充遷移表，請使用以下步驟。

自動填充遷移表

選擇通過實時 GPO 還是備份 GPO 自動填充遷移表。在准備好將暫存環境中的 GPO 遷移到生產環境時，您可以對暫存環境中的實時 GPO 執行“從 GPO 寫入”以啟動遷移表。通過備份 GPO 自動填充遷移表的過程是相同的，但必須提供備份 GPO 的路徑。在這種情況下，如果有多個備份的 GPO，則會顯示一個列表，您可以從中進行選擇。請注意，在自動填充單個遷移表時，您可以選擇多個 GPO 或備份 GPO。這樣，便可使用一個遷移表遷移域中的所有 GPO。

選擇是否包括 GPO 的 DACL 中的安全主體。在自動填充遷移表時，您可以選擇包含 GPO 的 DACL 中的安全主體的選項。如果選擇該選項，則會在具有 GPO 設置中引用的安全主體的表中包含 GPO 的 DACL 中的安全主體。不會在遷移表中重復列出相同的源安全主體。MTE 支持多種可映射的不同對象類型，如表 10 中所述。

表 10 遷移表中支持的對象類型

對象類型	用於映射
用戶	單個用戶帳戶。
域全局組	域全局組。
域本地組	域本地組。
通用組	通用組。
計算機	計算機名稱。例如，可以為單個計算機授予 GPO 的 “讀取”和“應用組策略” 權限。
UNC 路徑	用於軟件安裝策略的 UNC 路徑。
任意文本或 SID	未確定的安全主體。例如，您可以按名稱引用 GPO 中的安全主體，而不是按 SID 引用（鍵入為“administrators”而不是“DomainX\Administrators”）；或者無法解析安全主體以確定類型。如果設置了受限制的組安全策略並輸入組名而不是解析實時域的名稱，則可能會出現這種類型的映射。在這種情況下，組名將以指定的名稱（而不是相應的 SID）存儲在 GPO 中。MTE 將此類安全主體視為“任意文本或 SID”。此外，您還可以在 MTE 中輸入原始 SID。在這種情況下，由於 MTE 無法識別該對象類型，因此，必須將其指定為“任意文本或 SID”。

修改每個安全主體和 UNC 路徑的“目標名稱”。在填充遷移表后，您可以選擇修改每個記錄的“目標名稱”字段。默認“目標名稱”值為“與源相同”，這表示目標 GPO 中使用的安全主體或 UNC 路徑與源 GPO 相同。在這種情況下，直接復制該值而不進行修改，並且映射不會完成任何更改。通常，在將 GPO 從測試環境遷移到生產環境時，您需要為一個或多個源項更改此字段。若要更改目標字段，您可以鍵入一個項，或者右鍵單擊該字段，然后單擊相應的菜單項。
可以使用兩個菜單項：“瀏覽”和“設置目標”。如果選擇“瀏覽”，則可以在任何受信任的域中選擇安全主體。如果選擇“設置目標”，則可以選擇以下三個選項之一：
- 無目標。如果指定“無目標”，則在遷移時不會在目標 GPO 中包含該安全主體。該選項不適用於 UNC 路徑項。
- 按相對名稱映射。如果指定“按相對名稱映射”，則假定該安全主體名稱已在目標域中存在，並且將使用該目標名稱進行映射。例如，如果源名稱為 test.contoso.com 域的 Domain Admins，並且要將 GPO 遷移到 contoso.com 域，則會將 Domain Admins@test.contoso.com 名稱映射到 Domain Admins@contoso.com。要成功完成導入或復制操作，該組必須在目標域中已存在。該選項不適用於 UNC 路徑項。
- 與源相同。如果指定“與源相同”，將在源和目標 GPO 中使用相同的安全主體。實際上，安全項保持不變。請注意，只有在從與生產域相同的林的測試域中遷移時，或者從信任生產林的不同林中的測試域中遷移時，此選項才適用。成功映射源名稱的要求是，生產林中的用戶和計算機可以解析該名稱。
目標名稱可以使用的選項存在幾個限制。UNC 路徑僅支持“與源相同”選項，或者您可以手動輸入不同的 UNC 路徑。指定為“任意文本或 SID”的安全主體不支持“按相對名稱映射”。

此外，一定要注意，如果從一種組類型映射到另一種組類型，則會出現一條警告。例如，如果源主體是“域全局組”並選擇“域本地組”作為目標，則會提醒您目標名稱的類型與源名稱類型。如果隨后嘗試驗證該文件，驗證過程將會失敗，但仍可以使用遷移表來執行遷移。請注意，遷移表不支持映射到內置安全組，如 Administrators 組。

如果需要從 MTE 中刪除某一行，請選擇所需的行，右鍵單擊該行，然后單擊“刪除”。
驗證遷移表。在保存遷移表之前，最好先驗證該文件。為此，請在“工具”菜單中單擊“驗證”。驗證過程將確定生成的文件的 XML 格式是否有效，並從遷移的角度驗證目標名稱是否有效。例如，如果輸入目標的 UNC 路徑，但該路徑不存在，驗證過程將返回一條警告。具體而言，驗證過程執行以下操作：
- 驗證目標安全主體和 UNC 路徑是否存在。
- 檢查具有 UNC 路徑的源項的目標是否為“按相對名稱映射”或“無目標”（不支持這些目標）。
- 檢查表中的每個目標項的類型與 Active Directory 中的類型是否匹配。
如果手動輸入數據，驗證過程對確保輸入錯誤不會妨礙成功遷移特別重要。請注意，映射文件驗證可能會失敗，因為編輯該文件的用戶無法解析該文件中指定的安全主體或 UNC 路徑。不過，這並不意味着該文件在遷移過程中無法按預期方式工作，前提是執行遷移的用戶可以解析安全主體和 UNC 名稱。驗證消息將指示表中是否存在語法錯誤，或者驗證程序是否根本無法解析安全主體名稱或 UNC 路徑。如果名稱解析失敗，請確保在實際遷移過程中具有源和目標資源的足夠訪問權限。
在編輯完該表后，請單擊“文件”，然后單擊“保存”以保存生成的 .migtable 文件。

手動輸入遷移表項

如果選擇不使用自動填充功能，或者需要手動輸入數據，請務必采用正確的格式才能使遷移表有效。表 11 顯示了遷移表中支持的每種對象類型的正確格式。請注意，源和目標字段中都需要使用這些格式。

表 11 遷移對象所需的格式

對象類型	所需的格式
用戶	a. UPN — 用戶@UPN 后綴 b. SAM — NetBIOS 域名\用戶 c. DNS — DNS 域名\用戶例如，MonicaB@contoso.com、contoso\MonicaB 或 contoso.com\MonicaB。
域全局組	a. UPN — 組@UPN 后綴 b. SAM — NetBIOS 域名\組 c. DNS — DNS 域名\組例如，DomainAdmins@contoso.com、contoso\DomainAdmins 或 Contoso.com\DomainAdmins。
域本地組	a. UPN — 組@UPN 后綴 b. SAM — NetBIOS 域名\組 c. DNS — DNS 域名\組例如，Administrators@contoso.com、contoso\Administrators 或 Contoso.com\Administrators。
通用組	a. UPN — 組@UPN 后綴 b. SAM — NetBIOS 域名\組 c. DNS — DNS 域名\組例如，EnterpriseAdmins@contoso.com、contoso\EnterpriseAdmins 或 contoso.com\EnterpriseAdmins。
計算機	a. UPN — 計算機名$@UPN 后綴 b. SAM — NetBIOS 域名\計算機名$ c. DNS — DNS 域名\計算機名$ 例如，server1$@contoso.com、contoso\server1$ 或 contoso.com\server1$。$ 表示計算機的隱藏計算機帳戶。
UNC 路徑	\\服務器名\共享名\。例如，\\server1\packages。
任意文本或 SID	SID 的字符串或字符串表示形式。例如，“MonicaB”或“S-1-5-21-1473733259-1489586486-3363071491-1005”。不能在目標字段中指定 SID。

使用腳本創建遷移表

如果需要自動完成創建遷移表的過程，您可以使用 GPMC 示例腳本 CreateMigrationTable.wsf。還可以使用該腳本（而不是使用 MTE）生成初始遷移表，然后使用 MTE 修改該表。

CreateMigrationTable.wsf 腳本支持使用當前 GPO 或備份 GPO 位置自動填充遷移表。還可以讓腳本從域的所有 GPO 中讀取數據。在這種情況下，將在遷移表中插入在暫存域的 GPO 中找到的所有可能的安全主體，並且可以將該單個遷移表用於從該暫存域到生產域的任何 GPO 遷移。

請注意，該腳本始終包含屬於 GPO 的 DACL 一部分的安全主體；而 MTE 則不同，它提供了排除這些安全主體的選項。該腳本還包含將目標名稱設置為“按相對名稱映射”的選項，而不是將其設置為默認的“與源相同”。可以使用 /MapByName 選項來實現相對名稱。

以下命令說明了如何使用該腳本。在此命令中，名為 Finance OU Desktop Policy 的 GPO 位於名為 staging.contoso.com 的暫存域中。此命令通過當前 GPO 自動填充名為 FinanceStaging.migtable 的遷移表：

Cscript.exe CreateMigrationTable.wsf c:\migtables\FinanceStaging.migtable /GPO: "Finance OU Desktop Policy" /domain:staging.contoso.com

若要通過此 GPO 的備份（而不是實時副本）創建遷移表，只需將 /BackupLocation 選項添加到命令語法中，並提供一個包含該 GPO 備份副本的文件夾路徑。請注意，如果使用 /BackupLocation 選項，並且有多個備份 GPO 位於該文件夾路徑中，則會使用所有可用的備份 GPO 來填充遷移表。

最后的部署准備工作

作為生產部署之前的最后一步，您應該備份暫存 GPO。如果使用 GPO 導入執行從暫存到生產的遷移，則需要使用備份。如果暫存環境位於生產域不信任的單獨林中，或者需要更新已在生產環境中存在的現有 GPO，則必須使用這種方法。可以使用 GPMC 備份一個或多個 GPO，也可以使用 BackupGPO.wsf 示例腳本備份暫存域中的單個或所有 GPO。若要在 GPMC 控制台樹中使用 GPMC 備份 GPO，請右鍵單擊要備份的 GPO，然后單擊“備份”。

若要使用 BackupGPO.wsf 備份 GPO，請從 Program Files\Microsoft Group Policy\GPMC Sample Scripts 文件夾中運行該腳本。以下命令行語法會將域 staging.contoso.com 中的 GPO Finance OU Workstation Security Policy 備份到文件夾 c:\gpobacks：

Cscript.exe backupgpo.wsf "Finance OU Workstation Security Policy" c:\gpobacks /comment:"Backup prior to prod" /domain:staging.contoso.com

上述語法包含指示備份目的注釋。

將暫存的 GPO 部署到生產環境中

在建立暫存環境、將其與生產環境進行同步、測試新 GPO 和更改的 GPO 以及創建遷移表后，您就可以開始執行實際生產部署了。

部署預防措施

若要確保為用戶提供不間斷的服務，在將暫存的 GPO 遷移到生產環境時，最好采取一些預防措施。雖然遷移新 GPO 的過程通常速度很快，而不會對生產用戶或計算機產生不利影響，但仍要盡量避免此類更改，以最大限度減少受影響的用戶數。通常，可以在非工作時間執行此操作，即，網絡上的用戶未處於活動狀態時。

切記，在更新 GPO 時，應先在特定域的 GPMC 當前針對的域控制器上執行更新。如果使用 GPMC 執行遷移操作，您可以在控制台樹中單擊“域”項目，以檢查管理的每個域當前使用的域控制器。若要在遷移更改之前更改域控制器，請在 GPMC 控制台樹中右鍵單擊域名，單擊“更改域控制器”，然后指定新的域控制器。

GPO 復制

切記，GPO 更改將按照 Active Directory 和 Sysvol 復制拓撲進行傳播，因此，可能需要很長的時間才能復制到世界各地的 Active Directory 部署中的所有位置。還要記住，GPO 包含兩個部分：一部分作為 Active Directory 的一部分進行存儲並復制，另一部分作為 Sysvol 的一部分進行存儲和復制。由於這是兩個需要在網絡上復制的單獨對象，因此，需要在應用新 GPO 之前對它們進行同步。

可以使用 GPMC 查看在給定域控制器上的復制狀態。在 GPMC 控制台樹中，展開包含要應用的 GPO 的林或域中的“組策略對象”，單擊要檢查的 GPO，然后單擊細節窗格中的“詳細信息”選項卡。如果 GPO 是在域控制器上同步的，則用戶和計算機配置的 Active Directory 和 Sysvol 版本號完全相同。不過，用戶版本號不必與計算機版本號相匹配。

執行部署的要求

在准備將暫存的 GPO 遷移到生產環境中時，要注意的主要要求是您是否有目標 GPO 的足夠權限。通常，您只需要具有源域的讀取訪問權限即可完成部署。根據暫存環境的配置情況，您可能需要在遷移之前執行一些特定步驟。如果要執行復制操作，您需要具有足夠的權限才能在目標域中創建新的 GPO。如果要導入備份 GPO，您需要能夠讀取備份文件（而無論這些文件在什么位置），並且具有足夠權限修改作為導入操作目標的目標域中的現有 GPO。最后，對於每個需要遷移表的 GPO，應確保為其創建的遷移表存儲在您在執行遷移時可以訪問的位置。以下清單簡要說明了在運行遷移之前驗證的項目：

對於復制操作：確保源域信任目標域，並且您在目標域上具有 GPO 創建權限。可以使用 GPMC 確認您是否在域中具有 GPO 創建權限。在 GPMC 控制台樹中，展開目標域中的“組策略對象”，然后單擊“委派”選項卡以檢查哪些用戶或組可以在該域中創建新的 GPO。
對於導入操作：確保您具有備份 GPO 文件的訪問權限，並且具有目標 GPO 的 GPO 編輯設置權限。
如果使用的是遷移表 (.migtable)：確保您具有從 GPMC 中訪問文件的權限。

部署示例

以下兩個示例說明了如何將 GPO 從暫存環境部署到生產環境。在第一個示例中，暫存域與生產域位於同一林中。在第二個示例中，暫存域位於生產域不信任的單獨林中。如果使用生產域信任的單獨暫存林，這些步驟與第一個示例（暫存域是生產林的一部分）相同。

暫存到單個林中的生產域，或從受信任的暫存林中暫存

如果暫存域是生產林的一部分，或者是生產域信任的單獨暫存林，則部署方法取決於 GPO 是新 GPO 還是更改的 GPO。如果 GPO 是新 GPO 並且在生產域中不存在，請使用復制方法來部署新 GPO。如果部署對現有 GPO 的更新，則必須使用導入方法，使用備份暫存 GPO 中的設置更新生產 GPO 的設置。

在本示例中，將使用 GPMC 在生產域中部署暫存域中名為 Sales OU Workstation Security Policy 的新 GPO。圖 11 說明了暫存和生產域配置並顯示了附帶的遷移表。

1b96d2a0-3a40-43f2-a46a-5da3c361412a

在開始部署之前，請在 GPMC 中加載源和目標域。如果要從受信任的單獨林中進行復制，請在 GPMC 中打開這兩個林。

使用復制方法部署新的 GPO

在 GPMC 控制台樹中，展開暫存域中的“組策略對象”。
右鍵單擊計划復制的 GPO，然后單擊“復制”。
在 GPMC 控制台樹中，右鍵單擊生產域中的“組策略對象”，然后單擊“粘貼”。將打開復制向導。
在復制向導的歡迎頁上，單擊“下一步”。
選擇“從原始 GPO 保留或遷移權限”，然后單擊“下一步”。

通過使用此選項，您可以使用遷移表將暫存 GPO 的 DACL 映射到生產對等項。如果選擇第一個選項（“新 GPO 使用默認權限”），該 GPO 將接收應用於生產域中的任何新 GPO 的默認權限。
在向導掃描完源 GPO 以確定任何安全主體或 UNC 路徑映射要求后，單擊“下一步”。
在“正在遷移引用”頁上，選擇“使用此遷移表將項目映射到新 GPO 中的新值”。

通過使用此選項，您可以選擇部署過程中使用的遷移表。由於要將新 GPO 從暫存環境遷移到生產環境，因此，您必須選擇此選項。“從源完全復制”備用選項使新 GPO 中的所有安全主體和 UNC 路徑與源 GPO 完全相同。
如果在遷移表不包含源 GPO 中存在的安全主體或 UNC 路徑時希望整個遷移失敗，請在同一頁上選擇“獨占使用遷移表”。

如果選擇此選項，向導將嘗試使用指定的遷移表映射所有安全主體和 UNC 路徑。這對於確保遷移表涵蓋所有安全主體和 UNC 路徑非常有用。
單擊“下一步”。
在向導完成頁上，確認您指定了正確遷移選項，然后單擊“完成”。

在單擊“完成”后，將會開始遷移暫存 GPO。切記，新 GPO 是在生產域中創建的，但尚未鏈接到任何容器對象上。
在向導完成復制操作后，右鍵單擊要將復制的 GPO 鏈接到的 Active Directory 站點、域或 OU，然后選擇“鏈接現有 GPO”。
在“選擇 GPO”對話框中，選擇剛復制的 GPO。

在鏈接新 GPO 並完成復制后，GPO 將在生產域中處於活動狀態。

使用腳本執行復制部署

也可以使用 CopyGPO.wsf 腳本執行復制部署。該腳本使用單個命令將 GPO 從暫存域復制到生產域中。若要執行上述步驟中所述的相同復制操作，請使用以下命令：

Cscript CopyGPO.wsf "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /SourceDomain:staging.contoso.com /TargetDomain:contoso.com /SourceDC:staging-dc1 /TargetDC:prod-DC1 /migrationtable:c:\migtables\SalestoProd.migtable /CopyACL

該命令中的前兩個參數為源和目標 GPO 指定了相同名稱。后面四個參數指定了源和目標域名以及每個域中的域控制器。/migrationtable 參數指定了要使用的遷移表，/CopyACL 參數用於保留源 GPO 中的 DACL 並使用指定的遷移表將源 DACL 映射到生產域對等項。

從不受信任的暫存林部署到生產域

如果要部署生產林不信任的暫存林中的 GPO，唯一的部署選項是導入操作。也可以使用導入將對現有 GPO 的更新部署到生產域中，即使暫存域和生產域之間存在信任關系。

導入操作前提條件

在本示例中執行部署之前，請確保執行以下操作：

如果使用 GPMC 部署新的 GPO，您需要在可作為導入操作目標的生產域中創建一個新的空 GPO。切記，GPMC 導入操作的工作方式是，將策略設置從備份 GPO 導入到現有目標 GPO 中。不過，您也可以在導入過程中使用 ImportGPO.wsf 腳本自動創建新的 GPO。
在開始導入之前，請確保備份暫存域中計划部署到生產域的 GPO。此步驟是必需的，因為導入操作使用備份 GPO，而不是實時 GPO。
如果使用 GPMC 而不是腳本執行導入，您可以在完成導入之前備份當前的生產 GPO。應始終在部署新版本之前備份現有的生產 GPO，以防出現部署問題。這樣，您就可以從 GPMC 中執行還原操作以還原以前的 GPO 版本。

在執行這些任務后，請使用以下步驟通過導入操作將新 GPO 部署到生產環境中。

使用導入操作將新 GPO 部署到生產域中

在 GPMC 控制台樹中，展開生產域中的“組策略對象”。
右鍵單擊要更新的 GPO，然后單擊“導入設置”。將打開導入設置向導。
在歡迎頁上，單擊“下一步”。
在“備份 GPO”頁上，單擊“備份”，以便在執行導入之前備份現有的生產 GPO。
在“備份組策略對象”對話框中，指定 GPO 備份的存儲位置，鍵入備份說明，然后單擊“備份”。
在 GPO 備份完成后，將顯示一條消息，以指示備份成功完成。單擊“確定”。
在“備份 GPO”頁上，單擊“下一步”。
在“備份位置”頁上，指定包含要導入的暫存 GPO 備份的文件夾。

您必須具有暫存 GPO 備份文件夾的訪問權限。如果備份是在暫存林中的服務器上完成的，您可能需要使用暫存林中的憑據，將某個驅動器映射到運行導入操作的計算機中的該文件夾。
單擊“下一步”。
在“源 GPO”頁上，單擊要導入的暫存 GPO，然后單擊“下一步”。
在“正在掃描備份”頁上，向導將掃描備份中的策略設置以確定對需要傳輸的安全主體或 UNC 路徑的引用，然后顯示掃描結果。
單擊“下一步”。
在“正在遷移引用”頁上，選擇“使用此遷移表將項目映射到新 GPO 中的新值”，然后指定為此遷移創建的遷移表的路徑。

通過使用此選項，您可以選擇部署過程中使用的遷移表。由於要從與生產域沒有信任關系的暫存域中部署 GPO，您必須使用遷移表遷移安全主體和 UNC 路徑信息。否則，生產域無法解析在不受信任的林中引用的安全主體和 UNC 路徑。
如果在遷移表不包含源 GPO 中存在的安全主體或 UNC 路徑時希望整個遷移失敗，請在同一頁上選擇“獨占使用遷移表”。

如果遷移表涵蓋了在備份版本中找到的所有安全主體，請使用此選項僅導入 GPO。
單擊“下一步”。
在向導完成頁上，確認您指定了正確遷移選項，然后單擊“完成”。在單擊“完成”后，將會開始遷移暫存 GPO。在向導完成導入操作后，將顯示一條消息，以指示成功完成導入。
單擊“確定”。

如果創建了新生產 GPO 以執行此導入，您必須將新 GPO 鏈接到相應的容器對象。若要將 GPO 鏈接到相應的容器對象，請在 GPMC 控制台樹的生產域中右鍵單擊要將導入的 GPO 鏈接到的 Active Directory 站點、域或 OU，單擊“鏈接現有 GPO”，指定要鏈接的 GPO，然后單擊“確定”。在鏈接新 GPO 並完成復制后，GPO 將在生產域中處於活動狀態。

使用腳本執行導入部署

也可以使用 ImportGPO.wsf 腳本執行導入部署。通過使用該腳本，您可以將備份 GPO 導入到生產域中。如果目標 GPO 尚未存在，該腳本還會在此過程中創建新的 GPO 以接收導入。若要執行上述步驟中所述的相同導入操作，請鍵入以下命令：

Cscript ImportGPO.wsf c:\gpobacks "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /CreateIfNeeded /MigrationTable:c:\migtables\salesprod.migtable /Domain:contoso.com

此命令中的第一個參數指定備份 GPO 文件的位置。第二個參數指定作為導入來源的備份 GPO 的名稱（您也可以提供備份 ID，這是備份實用程序生成的 128 位 GUID 值，用於唯一地標識備份）。第三個參數指定要導入到的目標 GPO 的名稱。/CreateIfNeeded 參數指示目標 GPO 是否尚未存在，應在執行導入之前創建目標 GPO。/MigrationTable 參數指定遷移表文件的路徑和名稱。/Domain 參數提供目標域的 DNS 名稱。

回滾

如果在從暫存環境部署到生產環境后 GPO 出現問題，回滾部署的最佳方法是使用創建的備份 GPO 還原原始 GPO。也可以使用 RestoreGPO.wsf 腳本執行還原過程。在部署過程中，最好創建一組腳本，以便通過 RestoreGPO.wsf 自動回滾所有更改。如果需要執行回滾，您可以隨時使用該腳本，並且可最大限度減少用戶中斷。

組策略的其他資源

組策略技術中心 (http://go.microsoft.com/fwlink/?LinkId=109523)（可能為英文網頁）。
Windows Server2008 的幫助和支持中心中的“組策略”(http://go.microsoft.com/fwlink/?LinkId=109524)（可能為英文網頁）。
有關使用 GPMC 幫助部署組策略的詳細信息，請參閱 GPMC 中的幫助。
在 GPMC 中進行編輯時默認擴展視圖中的特定組策略設置的幫助（選擇某個組策略設置以查看該策略設置的詳細信息）。
Windows Server2008 命令行參考 A-Z 列表中的命令行工具（如 Dcgpofix.exe、Gpupdate.exe 和 Gpresult.exe）詳細信息 (http://go.microsoft.com/fwlink/?LinkId=109525)（可能為英文網頁）。