组策略处理行为要点

最新推荐文章于 2023-04-07 10:05:23 发布

allway2

最新推荐文章于 2023-04-07 10:05:23 发布

阅读量1.3k

点赞数

本文链接：https://blog.csdn.net/allway2/article/details/104071993

版权

在域中创建或修改GPO后，策略的“愿望”不会立即被丢弃到目标计算机上。实际上，它们根本没有被丢弃在目标计算机上。客户端计算机会在一整天的不同时间请求它们。根据各种条件，在特定时间处理GPO。您基本上可以说GPO是从管理计算机创建的，并放入域控制器中进行存储。然后，这些GPO仅由客户端“拉”。

您可能拥有各种各样的客户端系统，包括Windows 7，Windows 8.1，Windows 10（也许还剩下一些Windows XP）和各种Windows Server。因此，再次说到“客户端系统”时，我的意思是“接收组策略的客户端”，即使它是服务器操作系统。接收组策略指令的每个操作系统都在不同时间以不同方式处理组策略。由于不同的操作系统在不同的时间请求不同的内容，因此预期的行为可能会很快变得令人困惑。

此外，其他因素决定了何时以及如何应用GPO。当用户通过慢速链接拨入时，情况可能会有所不同，并且通常会有所不同。而且，您可以指示（在特定的计算机或所有计算机上的）组策略引擎放弃其开箱即用的处理行为，从而以自定义（且通常更安全）的方式进行处理。

通常，当组策略引擎似乎无法以预期的方式处理指定的GPO时，人们会举手示意。组策略不仅在需要时进行处理；而是遵循一套严格的处理规则。本章和下一章的目的是回答这个问题：组策略何时适用？

了解处理规则将有助于您更好地了解组策略以何种方式处理GPO。然后，在第7章“对组策略进行故障排除”中，您将了解为什么以及如何应用组策略。在这两章之间，您的目标是发现如何在不同情况下应用组策略，以及如何成为更好的组策略疑难解答程序。

组策略处理原则

为了让您最好地了解现代Windows如何处理GPO，我将首先介绍Windows 2000如何完成其工作。

“什么？疯了！”我听到你哭了。我想是“到了2015年”，或者以后，取决于您阅读本文的时间。“您，Moskowitz，有胆量向我解释一个拥有15年历史的操作系统是如何工作的？快点，穴居人先生。

我能听到你的声音。就像我在那儿一样。

无论如何，我知道这很奇怪。但是自从Windows 2000首次问世以来，它的行为就变得至关重要，尤其是因为（这是重点）（我想这是我的意思），我想您希望至少在您的XP（或更高版本）计算机上像Windows 2000时那样运行阅读完本节。

您已经读对了：我猜您将要使XP和更高版本的计算机（如Windows 10台式机）像具有15年历史的Windows 2000操作系统那样工作。

相信我。在尝试了解家族的其他成员之前，您将需要先学习Windows 2000的工作方式。

当然，像Windows Server 2008，Windows Server 2012和Windows Server 2016这样的Windows Server也会将GPO作为组策略客户端进行处理。如有必要，我会介绍这些信息。但是，随着您的阅读，请尝试着眼于典型的客户端计算机。

为了了解GPO处理的工作方式，我们将逐步介绍四个用户的情况：

■ ■ 沃利，谁只使用Windows 2000 Professional的机器。

■ ■ 泽维尔，谁只使用Windows XP机器。

■ ■ 斯文，谁只使用一个Windows 7机器。得到它？七点钟吗？我杀了我自己。但是无论如何：Sven也可以使用Windows 8计算机-Windows 7和Windows 8计算机之间的组策略处理没有区别。

■ ■ 奔，谁使用Windows 10的机器。请注意，Ben也可能使用Windows 8.1计算机。换句话说，组策略“引擎”已在Windows 8.1中更新，但是我们将在Windows 10上使用Ben。（“ Ben on Ten”，明白吗？）

通过使用Wally，Xavier，Sven和Ben作为我们的四个样本用户（在我们的四个样本计算机上），我们可以准确地看到何时基于组策略将组策略应用于他们。

在更进一步之前，让我揭穿有关组策略处理的一个流行神话：组策略从不从服务器推送到客户端。相反，该过程恰好相反。当Windows客户端上的组策略引擎请求组策略时，将发生组策略。这种情况在不同的时间发生，但是您绝对不能从高处神奇地宣布：“所有客户！快去接受我最新的GPO！”那样行不通。客户根据本章中列出的规则请求GPO。

但是，与往常一样，该规则也有例外，我们将在本章稍后的“手动强制执行后台策略处理（Remote GPUpdate）”部分中讨论该例外，我们在其中讨论组策略更新。即使这看起来像是允许管理员推出策略更新的功能，但从技术上讲，它仍只是触发从服务器拉出。

简而言之，组策略可能会触发四次应用（这是我们需要介绍的一种特殊情况）。这是那些时代的败笔。我将在下一节中详细讨论它们。

初始策略处理 初始策略处理是称呼组策略的“第一周期”的一种奇特方法。第一个周期发生在启动时的计算机和登录时的用户。

后台刷新策略处理（成员计算机） 成员计算机（即非域控制器）使用域控制器签入，以查看是否有任何新的或更改的组策略对象。这种情况发生在计算机启动后的某个时间，以及用户登录后的用户（通常以90分钟左右的间隔）。稍后，您将看到Windows XP及更高版本（如Windows 10）如何利用后台策略处理机制来发挥明显的优势。

后台刷新策略处理（域控制器） 域控制器也需要维护，为此，所有域控制器每五分钟（在复制发生之后）执行一次后台刷新。

安全策略处理 对于所有操作系统，无论是否更改，每16小时仅重新处理和应用所有GPO中的安全设置。此安全机制可防止不道德的本地工作站管理员造成太大的伤害。

您可以更改某些非安全性策略设置的默认行为，以便以与自动实施安全性设置类似的方式实施它们。但是您必须显式打开此功能，并且必须正确执行此操作。在本章后面的“非安全策略的强制重新应用”部分中，我描述了如何执行此操作，并提供了一些示例说明您为什么要这样做。

特殊情况：移动用户或计算机对象 尽管前面的所有项目都演示了何时应用组策略的触发条件，但其中一种情况并非特定于触发条件。但是，了解组策略处理行为的特殊情况很重要。您可能会认为，如果在Active Directory中移动用户或计算机（特别是从一个OU到另一个OU），则将组策略设置为重新应用-系统会“知道”它已在Active Directory中移动。但这不会发生。当您将用户或计算机从一个OU移动到另一个OU时，后台处理可能不会立即了解到已移动了某些内容。一段时间后，系统应检测到更改，并且后台处理应再次正常启动。

不要迷路

各种操作系统之间的处理机制肯定存在细微差别。好消息是，如果您的头部开始游动一下，您可以盯上该页面并突出显示此小区域以供快速参考。如果您还记得本章的内容，那应该是目标计算机属于以下四种行为类型：

行为类型1 Windows 2000 Professional工作站，Windows 2000成员服务器到Windows Server 2016成员服务器

各种行为类型2 域控制器：Windows 2000到Windows Server 2016

行为类型3 Windows XP和更高版本，例如Windows 7和8，但是Windows 8确实有一些窍门，如此处所述

行为类型4 Windows 8.1和更高版本，例如Windows 8.1和Windows 10

了解这四种行为类型之间的区别很重要。并且，一旦了解了它们之间的区别，就可以决定是否要使用行为类型3和4的计算机，并使它们像行为类型1的计算机一样工作。

现在，您可能已经从域中删除了Windows 2000系统。但是，我强烈建议您阅读所有系统的处理方式。

我建议这样做的原因有以下三个：

■ ■ 在下面的章节中所描述的行为都是基于原有的“基线” Windows 2000中的行为。

■ ■ 这是容易理解的现代的Windows的行为，如果你理解了原来的Windows 2000的行为。

■ ■ 在本章后面，我会鼓励你做一些你的Windows XP及以后的机器像Windows 2000中所以，如果你不理解Windows 2000的行为，你不会知道我是什么在谈论。

初步政策处理

回想一下，每个GPO有两部分：计算机一半和用户一半。当试图了解何时处理GPO时，记住这一点很重要。所有机器都执行所谓的初始策略处理。同样，这只是一种说法：“在重新启动计算机后检查第一次策略”和“在用户登录后检查第一次策略”。

但是Windows XP和更高版本的计算机无法完全执行与Windows 2000相同的步骤。让我们检查一下。

Windows 2000（和所有服务器类型）初始策略处理

我们的示例计算机用户Wally走进办公室，打开Windows 2000 Professional计算机。计算机的一半策略始终在启动时随着目标计算机的重启而在目标计算机上进行处理。当Windows 2000或任何Windows Server操作系统计算机启动时，它指出它是“正在处理安全策略”或“正在应用计算机设置”。这应该说是“正在处理组策略”（但不是）。

那时，工作站通过联系域控制器登录到网络。它通过查找说“嘿，这是域控制器的名称”的DNS记录来查找域控制器。然后，域控制器告诉工作站它属于哪个站点，它属于哪个域以及它在哪个OU中。然后，系统按照该顺序下载并处理计算机的一半组策略。处理完成后，将显示“按Ctrl + Alt + Delete开始”提示，Wally可以通过按Ctrl + Alt + Delete并提供用户名和密码来登录。

将Wally验证到Active Directory之后，将下载GPO的用户一半，然后以相同的精确顺序进行处理：站点，域，然后是每个嵌套的OU。

Wally的Windows 2000 Desktop受任何针对Wally用户或计算机帐户的GPO内的策略设置所操纵。仅当处理了所有用户端GPO时，才会显示Wally的桌面。

如果查看所有这些过程，就会发现它是一个锁定步骤机制。计算机将启动，然后以自然顺序处理GPO：本地，站点，域和每个嵌套的OU。然后，用户登录并再次以自然顺序处理组策略：本地，站点，域和每个嵌套的OU。这种GPO处理方式称为同步处理。也就是说，要继续执行启动或登录过程中的下一步，必须完成上一步。例如，用户的OU级别的GPO永远不会在站点级别的GPO之前下载和应用。同样，Windows 2000（以及Windows Server 2003和Windows Server 2008）的域级别的GPO永远不会在影响计算机的站点GPO之前下载。

因此，计算机启动和用户登录的Windows 2000（和所有服务器类型，直到Windows Server 2012服务器，包括所有服务器类型）的默认设置是同步处理每个GPO。每次都发生相同的过程。

同样，此同步处理样式仅适用于Windows 2000工作站和所有服务器类型（默认情况下）。

Windows XP和更高版本的初始策略处理

Xavier走进他的办公室，打开Windows XP计算机。暂时，让我们假设这是第一次自加入域以来，该Windows XP计算机已启动。在新推出Windows XP桌面之后，它可能刚刚降落在Xavier的桌上。在这种情况下，Windows XP计算机将像Windows 2000一样运行（如前所述）。它将查看该计算机帐户所在的站点，域和OU，然后同步应用GPO。同样，我们假设这是Xavier首次使用其用户帐户（位于Active Directory中）登录此Windows XP计算机。再一次，想象一下这台机器是在桌面部署之后才问世的。在这种情况下，Windows XP将再次像Windows 2000一样运行（并根据站点，域和OU Xavier从其登录来同步处理GPO）。

到目前为止，一切都很好。但是，Windows XP仅在此处描述的这种特殊情况下才执行此初始同步处理。也就是说，计算机以前从未在域中启动过，或者用户以前从未登录过该特定Windows XP计算机。

Sven在Windows 7上的经验将与Xavier相同。也就是说，如果Sven走进他的办公室并首次打开Windows 7计算机并首次登录该计算机，它将像Windows 2000一样，并为计算机（在启动过程中）和计算机同步处理GPO。用户（登录期间）。

在Windows 8上和在Windows 10上的Ben上发生相同的事情：在加入域或首次登录后首次打开计算机时，其行为类似于Windows 2000。

要了解Windows XP和更高版本的正常默认处理模式，请深呼吸并继续阅读。

后台刷新策略处理

Wally已登录Windows 2000（或任何服务器操作系统，如Windows Server 2008或Windows Server 2012），Xavier已登录Windows XP，Sven正在Windows 7上插入，而Windows 10上的Ben很高兴。事情对每个人都很棒。作为管理员，我们很高兴，因为Wally，Xavier，Sven和Ben都收到了我们的祝福。他们很高兴，因为，很高兴，仅此而已。但是，现在我们决定添加新的GPO或修改现有GPO内的策略设置。如果在组策略管理编辑器中修改了一些会影响用户或计算机的内容，该怎么办？Wally，Xavier，Sven和Ben是否已经登录-像蛤happy一样开心？好吧，新设置是针对已经登录的用户或计算机的，并且新的更改（只有新的更改）确实反映在应接收它们的用户或计算机上。但是这种交付不会立即发生。而是根据后台刷新间隔（有时称为后台处理间隔）。

后台刷新间隔决定了客户端计算机拉动Active Directory中更改的GPO的频率。如前所述，不同操作系统角色（即成员与域控制器）的背景间隔不同。

当后台刷新间隔过去时，将异步处理GPO 。也就是说，如果更改了影响用户OU（或其他Active Directory级别）的GPO，则当时钟触发处理时间时，所做的更改将被拉到本地计算机。更改是否发生在Active Directory中的任何级别都无关紧要：OU，域或站点。在用户或计算机已经登录后，如果对用户或计算机可用更改，则将异步处理更改。无论任何级别的GPO发生更改，这些更改都会反映在客户端上。

标准优先顺序仍然适用：站点，域，OU。换句话说，即使已准备好链接到站点的新GPO，也不一定要胜过链接到OU的GPO。

什么时候发生？根据操作系统的后台刷新间隔（接下来讨论）。

Windows成员服务器的后台刷新间隔 （任何操作系统）

可以断定，当我们更改现有GPO（或创建新GPO）时，我们希望用户和计算机获得最新，最丰富的指令和愿望。考虑到这一点，让我们继续我们的示例。请记住，Wally在他的Windows 2000计算机上，Xavier在他的Windows XP计算机上，而Sven在他的Windows 7计算机上。

Ben在他的Windows 10机器上。

默认情况下，Windows 2000工作站和所有Windows成员服务器的后台刷新间隔为90分钟，并在混合中添加了0-30分钟的正随机差异，以确保PC不会在任何时候刷新并阻塞您的网络要求从域控制器下载大量GPO。因此，对GPO进行更改后，已登录到网络上的每个用户或工作站最多可能需要90分钟或120分钟才能看到该更改。

Microsoft的较旧文档在此描述中不一致。某些较早的Microsoft文档将说偏移量是30分钟（可以解释为正或负30分钟）。确实，在本书的第一版中，我错误地报告了“事实”。但是，此后，我与Microsoft确认刷新间隔是（并且一直是）90分钟加上（而不是减去）0–30分钟。

同样，这被称为后台刷新间隔。此外，计算机一半的组策略和用户一半的组策略的后台刷新间隔是按照各自独立的时间表进行的。也就是说，计算机一半或用户一半可能在另一半之前被刷新；它们不一定在同一时刻刷新，因为它们在各自的时间表上。这是有道理的：计算机和用户最初并没有在正确的时间分别获得组策略，是吗？

您可以使用组策略更改计算机一半和/或用户一半的后台刷新间隔，如稍后在标题为“使用组策略影响组策略”的小节中所述。

组策略引擎如何知道新增或更改的内容？

组策略引擎通过称为版本号的控制机制来跟踪新变化。每个GPO每个GPO的一半都有一个版本号，该版本号存储在Active Directory中。如果Active Directory中的版本号未更改，则不会下载任何内容。由于没有任何变化，组策略引擎认为它具有所有最新和最出色的功能-那么为什么还要麻烦重新下载（这需要时间）并重新处理（需要更多时间）？

默认情况下，当后台刷新间隔到来时，采用了一种节省时间的机制“检查GPO版本号”，以最大程度地减少获取最新和最大的GPO所需的时间。您将在第7章中了解有关GPO版本号的更多信息。

重申一下，当后台刷新间隔到来时，仅下载和处理新的或更改的GPO。

您可以设置单个策略设置以防止组的特定区域

不会在后台刷新策略，例如Internet Explorer维护和管理模板。请参阅本章后面的“使用组策略影响组策略”一节。

Windows域控制器的后台刷新间隔

即使Wally，Xavier，Sven和Ben没有登录到域控制器，其他人也可能会登录。并且由于域控制器有些特殊，因此对域控制器的处理以特殊的方式进行。

因为组策略包含敏感的安全设置（例如，密码和帐户策略，Kerberos策略，审核策略），所以适用于域控制器的所有策略都会在5分钟内刷新。这为域控制器增加了更严格的安全级别。有关精确的默认GPO如何工作的更多信息，请参见第8章，“使用组策略实现安全性”。

您可以使用组策略来更改域控制器的后台间隔（如稍后在“使用组策略影响组策略”一节中所述）。但是，您不应该在这里混淆默认值，它们可以很好地工作。

后台刷新豁免和特殊情况

Wally已经在Windows 2000计算机上登录了四个小时。Xavier已登录到他的Windows XP计算机上，并且Sven（在Windows 7上）和Ben（在Windows 10上）都已登录了相同的时间。显然，背景刷新间隔已经过去和消失了-介于2到3倍之间。

如果在Wally，Xavier，Sven和Ben登录后创建了任何GPO或更改了任何现有GPO，则他们的用户帐户和计算机帐户都将采用最新的策略设置。但是，四个策略类别是例外，在用户登录时永远不会在后台对其进行处理：

文件夹重定向（在第10章中有详细介绍）文件夹重定向的目标是将特定目录（例如“我的文档”文件夹）锚定到某些网络共享文件夹。在后台刷新期间，永远不会刷新此策略。其背后的逻辑是，如果管理员在用户使用该位置时更改了该位置（系统做出了响应），则该用户的数据可能会遭到损坏。如果管理员通过组策略更改了文件夹重定向，则此更改仅影响下次登录时的用户。

软件安装（在第11章中有详细介绍）也不受后台刷新的影响。您可以使用组策略将大小不同的软件包部署到用户或计算机。您还可以使用组策略来撤销已经分发的软件包。当后台间隔过去时，既不会安装软件，也不会撤销该软件给用户或计算机。您不希望用户在使用过程中就丢失应用程序，从而丢失或破坏数据。这些功能仅在计算机启动时或用户登录时才发生。

磁盘配额（在本书的先前版本中进行了介绍） 当后台处理间隔到来时，磁盘配额将在Windows 8.1和更高版本上运行。对于以前的操作系统，例如Windows 7，它们只能在计算机启动时运行（实际上是更改）。

登录，注销，启动和关闭脚本（在第十二章中有详细介绍） 从技术上讲，该条目不应在此处。原因如下：是的，的确，这些脚本仅在指定的时间（登录，注销，启动或关闭时）运行。并且，正如预期的那样，当后台处理间隔到来时，这些脚本不会一次又一次地运行。但是，从技术上讲，实现脚本的客户端扩展（CSE）确实在后台运行。如果它在后台运行，它在做什么？组策略CSE将更新“值”，例如位置和路径更改。即使用户已经登录，也可能发生这种情况。当然，只有到了指定的时间，它们才会再次运行。因此，重要的一点（常常被误解）是组策略本身不运行脚本。这由登录过程处理。

组策略首选项的驱动器映射（在第5章中进行了探讨）组策略首选项的超级功能之一是能够使用组策略而不是通过登录脚本来映射驱动器。

在Windows 8和更早版本上，当刷新组策略时，如果用户已经登录，则组策略首选项将不会触摸现有的映射驱动器。用户必须注销然后重新登录。有时需要注销两次然后才能看到更改的驱动器映射！

在Windows 8.1和更高版本上，当刷新组策略时，如果用户已经登录，则组策略首选项将执行更新。

Windows后台处理

正如我在本节简介中所述，Windows XP和更高版本不会以与Windows 2000和所有版本的Windows Server相同的方式处理新的组策略更新。让我们掌握Windows XP及更高版本的工作方式。

现在Xavier第一次登录到他的Windows XP计算机，Sven第一次登录到他的Windows 7计算机，Ben第一次登录到Windows 10，他们的会话将继续在后台处理GPO。正如我刚才所描述的：每90分钟左右出现一次新的GPO或任何现有的GPO发生更改。Xavier现在回家过夜。他注销了域并关闭了计算机。第二天早上他来时，他将不会像Wally在Windows 2000计算机上那样处理GPO。

当Xavier（或Sven或Ben）在 Windows XP或更高版本的计算机上第二次（以及所有后续时间）登录时，将不再按照本章前面的“初始策略处理”部分中所述执行初始策略处理。从现在开始，在启动或登录时，Windows XP和更高版本将不会像Windows 2000一样同步处理GPO。而是仅在后台处理GPO。

如果您现在就Windows 2000为什么不同于Windows XP及更高版本的问题scratch之以鼻，这是一个简短的答案：在Windows XP开发过程中，所有的努力都被拉开，以尽可能快地实现“ XPerience” 。引导时间和登录时间确实比以往更快，但是要付出一定的代价。

默认情况下，Windows XP和更高版本将不等待网络连接以便检查任何更新的GPO。如果网络不可用或速度较慢，即使Windows XP或Windows 10计算机已关闭，Active Directory中的GPO发生了变化，Windows XP和更高版本也将仅使用最新下载的GPO作为基准。换句话说，如果Windows XP和更高版本的计算机无法（快速）下载任何新内容，则它们将仅保留它们所拥有的内容，而没有任何保留。

当网卡仍在预热并找到网络和第一个

域控制器中，最后使用的计算机GPO已经“存在”。然后，向用户显示“按Ctrl + Alt + Delete开始”提示。当出现此提示时，并且一旦网络就绪，Windows XP和更高版本便会下载并应用任何新的计算机GPO。

假设用户现在已登录，将出现“桌面和开始”菜单。同样，系统不会在显示桌面之前同步下载最新的站点，域和OU组策略对象并应用它们。相反，其他活动正在发生

正在下载最新最好的组策略，因此用户可能不会立即看到效果。

启动计算机并登录用户后，计算机上已经存在“上次”中的组策略设置。然后，在后台异步处理新下载的GPO（及其内部的策略设置）。这个最终结果有些妥协。用户觉得启动时间（当GPO包含计算机策略设置时）和登录时间更快（当GPO包含用户策略设置时）更快。最重要的策略设置，例如更新的“安全性”设置和“管理模板”（注册表更新），将在登录后立即应用-没有人是更明智的选择。Microsoft将这种组策略处理行为称为“ 快速启动”（有时称为“ 登录优化”）。是的，它确实可以加快速度，但是要付出一定的代价。

为简单起见，我们仅介绍了Xavier在他的Windows XP计算机上的情况。但是，Sven在他的Windows 7计算机上也会发生完全相同的行为。在这方面，Windows 10，Windows 8，Windows 8.1，Windows 7，Windows XP和Windows Vista之间没有区别。

Windows XP及更高版本的快速启动结果

快速启动影响两个主要组件：组策略处理和用户帐户属性处理。用户先前登录时会出现（有时很奇怪）结果。唯一可以避免这种奇怪行为的是Windows 2000计算机上的Wally，因为Windows 2000不会执行这种现代的“快速启动”行为。

WINDOWS XP和以后的快速启动组策略处理细节

Windows XP和更高版本（包括Windows 10）快速启动方法的直接缺点是，潜在地，用户可能会完全登录，但不能完全处理所有GPO。然后，一旦他们工作了一会儿-流行！设置会突然生效。这是因为在向用户显示“桌面”和“开始”菜单之前，并未处理所有GPO。要使这种情况发生，您的网络必须非常慢，但是肯定是可能的。如果未在网络交换机上将生成树PortFast设置为启用，则这是最常见的情况。如果没有它，激活网络端口可能会看到30到50秒的延迟。并且考虑到Windows 8和Windows 10的启动速度比Windows 7快得多，因此您在环境中可能经常会看到这种现象。如果您使用的是Cisco设备，

http://tinyurl.com/cisco-spanning

下一个主要的缺点是需要花更多的精力。某些组策略（和配置文件）功能可能会占用Windows XP，之后再进行几次其他登录或重新启动，以实际获取您要在其上进行的更改。当我们退后一步，考虑在Windows 2000上如何处理某些策略类别时，这种奇怪的行为变得可以理解。具体地说，我们需要将注意力集中在软件分发和文件夹重定向策略上。我提到在Windows 2000上，必须在前台（或同步）处理这两种类型的策略类别（以及其他一些策略类别），以防止数据损坏。也就是说，如果要包含“软件分发”或“文件夹重定向”命令，则只能在启动或登录期间发生。

但是我们有一个悖论：如果Windows XP和更高版本仅异步处理GPO，那么如果必须同步处理它们，如何处理软件分发和文件夹重定向策略？

Windows XP及更高版本会伪造它并在针对用户或系统的软件包时标记机器。在接下来的时间上（或重新启动计算机进行电脑端策略）用户登录，组策略引擎看到的是，该机将标记为软件分发和交换机，只是这一次，回同步模式。最终结果：Windows XP和更高版本的计算机通常要求用户或计算机两次登录（或重新启动）才能获得软件分发包。

再次注意，Windows 2000 Professional计算机仅需要登录一次（用于用户设置）或一次重新启动（用于计算机设置）。

文件夹重定向是一个很棒的工具。它有两种模式：基本文件夹重定向（适用于OU中的每个人）和高级文件夹重定向（检查用户所在的安全组）。Windows XP和更高版本的计算机将无法获得两次登录的“基本文件夹重定向”的效果！Windows XP和更高版本的计算机将无法获得“高级文件夹重定向”的效果，而这将导致多达三次登录。第一次登录将系统标记为“文件夹重定向”更改，第二次登录确定用户的安全组成员身份，而第三次登录实际上执行新的“文件夹重定向”操作（仅针对一次登录）。

我们将在第10章“托管桌面，第1部分：重定向的文件夹，脱机文件和同步管理器”中介绍文件夹重定向。

使用特殊用户帐户属性自动杀死快速启动

组策略只是受Windows XP和更高版本的快速启动机制影响的两个领域之一。如果更改某些关键用户属性，则可能会发现直到两次登录（您猜对了），它们才会更新。这些关键属性如下：

■ ■ 漫游配置文件路径（在第9章中讨论）

■ ■ 主目录

■ ■ 旧风格的登录脚本

但是一旦设置（并检测到）它们，快速启动就会正式被系统自动终止。从那时起，由于快速启动已关闭，因此，如果再次更改这些值，则只需一次登录即可看到。

在此处阅读有关此主题的更多信息：http : //support.microsoft.com/kb/305293 。

手动关闭WINDOWS XP和更高版本的启动

在本书的先前版本中，我建议您仅针对所有操作系统关闭“快速启动”并完成此操作。我的想法的重点是，如果您保持快速启动，您的计算机将稍微快一些，但是所有计算机的一致性都会下降。

这也意味着，如果您关闭了快速启动（又回到Windows 2000的行为），您的速度会稍慢一些，但会获得更高的一致性。

我更新的建议如下：

■ ■ 继续（默认）快速启动为漫游机，旅游，笔记本-Y，或平板电脑-Y。（是的，我只是补了这两个词。）

■ ■ 关闭快速开机关机（后述）的是台式机，硬，或VDI机的任何机器。

快速启动：首次登录和副作用

同样，请记住，任何Windows XP都将在第一次自动禁用“快速启动”，之后，该计算机将作为域成员启动。首次有新用户登录Windows XP和更高版本的客户端时，也会禁用此功能。在这种情况下，Windows XP和更高版本（正确）假定没有GPO信息，因此必须转到Active Directory才能获取最新的GPO。最终结果是，如果已经存在“文件夹重定向”策略和“软件分发”策略中的一个（或两个）设置，则用户首次登录Windows XP以及以后登录计算机或计算机时将不需要其他登录或重新启动。在加入域后首次启动。

这种“快速启动”行为可能会带来另一个意外的副作用：在用户已经登录后，基于组策略的登录脚本可能会运行。如果该登录脚本在那里配置了重要的东西，那么用户的环境可能直到完成本篇文章之后才准备就绪！

为什么这是我的新建议？

如果您想了解为什么这是我的建议的长话，我想向您介绍我在TechEd 2014上发表的题为“组策略：现场技巧，窍门和注意事项”的演讲。最后，请检查回放可以在以下位置找到谈话内容：

https://channel9.msdn.com/Events/TechEd/NorthAmerica/2014/WIN-B328#fbid=

但是，建议的摘要可以分为两个简单的想法：

对于笔记本电脑和平板电脑， 可以通过慢速链接来放慢组策略。因此，如果您使用的是笔记本电脑或平板电脑，它们可能会使用慢速链接，并且您希望确保它们的体验尽可能快，即使这意味着他们没有获得最新的论坛重新连接期间立即进行策略设置。

对于有线机器（通常是台式机和VDI），它们不会使用慢速链接。因此，对于这些计算机，即使在登录过程中花费一两个额外的时间，也要在组策略的应用方式上保持一致。登录可能慢一些，但老实说，在大多数情况下，您和您的用户可能不会注意到它们之间的差异，因此，您将感谢其一致性。

根据我的建议，您可能需要将计算机拆分为不同的OU：一个OU用于运行中的计算机，另一个用于硬连线的计算机。

在包含旅行机的OU上，什么也不做。快速启动是默认设置，并且已经启用。

在包含硬连线计算机的OU上，您将需要创建一个包含策略设置的组策略对象，以将Windows XP和更高版本的计算机的行为还原为更旧，更一致的行为。启用名为“ 始终在计算机启动和登录时等待网络”的策略设置。可以在“计算机配置” ➢“策略” ➢“管理模板” ➢“系统” ➢“登录”中找到该策略。此策略设置的名称有些混乱。在我看来，最好将其命名为“ 使客户端计算机像Windows 2000一样处理GPO”。但是他们没有。

请记住，要强制Windows XP和更高版本的计算机接收此计算机策略（或任何计算机策略），计算机帐户必须位于设置策略的站点，域或OU中。

最后，不要给出策略设置的名称。即使这很令人困惑，也始终要在计算机启动时等待网络并进行过多的考虑。这并不意味着机器会在启动和登录期间看到网络之前只是“挂”在那里。它的工作只是使Windows XP和更高版本的计算机以旧的，更一致的样式处理策略。

手动启动后台策略处理（一次一个）

您会从处理公司防火墙和代理服务器的人员那里接到电话。他告诉您，他已经添加了一个额外的代理服务器，供您的用户在访问Internet时使用。令人兴奋的是，您添加了一个新的GPO，该GPO会影响Xavier，Sven和Ben的用户对象，以便他们可以使用新的代理服务器。但是你不耐烦。

您知道，进行此设置后，将需要90至120分钟才能启动。您不想告诉Sven（和您的其他用户）注销并重新登录以获取策略-他们不会那么喜欢。

在这种情况下，您可能希望绕开正常的等待时间，然后再执行后台策略处理。好消息是，您可以运行一个简单的命令，告诉客户端跳过正常的后台处理间隔并请求更新新的或现在已从服务器更改了GPO。同样，只有新的GPO或在服务器上进行了某种更改的GPO才会实际下降，并反映在客户端计算机上。

但是，由于您不耐烦，您希望看到他的Windows 7计算机上的Sven开始使用您立即插入该GPO的新代理服务器设置。因此，您实际上要跑到他的机器上，然后输入gpupdate 命令来手动刷新GPO。

请注意，gpupdate 命令可以刷新 GPO 的“用户”或“计算机”的一半，或两者都刷新。语法是gpupdate / Target：Computer ， / Target：User 或（再次）只是gpupdate 本身来触发两者。

在Sven和Ben登录后运行gpupdate ，可以为这些用户提供刚设置的GPO中的新设置。当然，前提是Sven和Ben使用的域控制器具有复制的GPO信息。

此外，gpupdate 可以确定新更改的项目是否需要注销或重新引导才能处于活动状态。例如，我们知道软件分发和文件夹重定向设置仅在以后的登录时间（而不是在后台）处理。因此，使用/ Logoff 开关指定gpupdate可以确定策略是否已更改，从而需要注销，然后自动注销。如果更新的GPO不需要注销，则将应用GPO设置，并且当前登录的用户将保持登录状态。

同样，在软件可用之前，“软件分发”设置也将需要重新启动。因此，使用/ boot 开关指定gpupdate可以确定策略是否需要重新启动并自动重新引导计算机。如果更新后的GPO不需要重新启动，则将应用GPO设置，并且用户保持登录状态。

该/注销和/启动开关是可选的。

一个开关周围有很多谜团：/ force 开关。在/强制开关基本上说，“重新下载全部由所有GPO的组策略设置，即使一切都没有改变。”记住，客户端上的组策略引擎已经知道哪些GPO它已经下载。有关此内容的更多信息，请参见前面的侧栏“组策略引擎如何知道新增或更改的内容？”以及第7章中的详细信息。

因此，在gpupdate中通常不需要/ force 开关，因为gpupdate 可以在没有开关的情况下运行，并且同样有效。

那么，为什么要使用gpupdate来运行/ force 开关呢？

例如，如果您需要本地管理员权限，则需要/ force 开关的一个关键情况就是不做任何事情，例如更改仅受保护的SYSTEM应该获得的值。例如，假设本地管理员删除了注册表项，从而限制了对控制面板的访问或更改了日志文件的大小。现在，请记住：常规的标准用户无法执行此操作。但是本地管理员可以。

在这些情况下，仅运行gpupdate 不能解决问题。即使版本号没有更改，只有gpupdate / force 会“重新降低”设置。

因此，很明显，在99％的情况下，您无需向gpupdate 添加/ force 。

话虽如此，我已经看到很多次gpupdate / force 就像组策略的“大脑重启”一样。/ force 具有某些神奇的品质，有时会使您摆脱困境，并且-嘿，事情似乎以您期望的方式工作。

手动强制后台策略处理

（远程GPUpdate）

有时，您进行更改，然后希望该更改立即生效！现在！现在！如果您哎呀，忘记执行某些重要更改，或者只是想看到一群计算机拥抱您的更改，就会发生这种情况。

当您从Windows 8或更高版本（最好是Windows 10）使用GPMC时，确实可以非常快速地执行此操作。

不过，在我向您确切演示如何做之前，让我们回顾一下即将发生的事情的理论。首先，您不能站立在桌子上并大喊大叫，以立即下载其设置！现在！现在！它不是那样工作的。相反，你指向了一堆电脑，并告诉他们下载他们现在的设置，以及谁是这些计算机上的用户也同时自动下载它们的设置。这是一个很好的区别，但很重要。因此，回顾一下，您只能选择一个包含计算机的位置（实际上是OU），并且计算机的设置以及用户的设置（对于那些计算机上的用户）也会被刷新。

但是这里还有另一个小的理论要点。刷新等效于 gpupdate / force 。这意味着所有策略设置都将完全“重新应用”。同样，请参见上一节以获取有关此主题的更多详细信息。

因此，事不宜迟，让我们确切地了解如何使我们的计算机立即接受我们的更改！现在！现在！好的，那是我最后一次这么说。我不是真的应该接受。

如我所述，诀窍是使用用户已经在使用的计算机查找位置。GPMC仅将此技巧限制为OU，并且不允许您在整个域或站点上执行远程组策略更新。

此外，此魔术仅适用于Windows 7及更高版本作为目标计算机。无法使用GPMC远程更新Windows XP计算机上的组策略。

为了进行测试，建议您以Frank Rizzo身份登录Win10计算机。在我们的故事的这一点上，Frank应该获得一个名为“隐藏鼠标指针选项/还原屏幕保护程序选项”的GPO。您应该看到已阻止操纵鼠标指针的选项。（在桌面上，右键单击个性化设置➢主题➢鼠标指针设置。）您应该看到鼠标属性小程序中的“指针”选项卡已被删除（尽管其他选项卡，如“指针选项”和“按钮”仍然保留）。

因此，让我们进行快速测试以强制将GPO更新到我们的目标计算机。

要在GPMC中进行快速测试，请右键单击“隐藏鼠标指针选项/还原屏幕保护程序选项”组策略对象，然后取消选中“链接已启用”。这将阻止组策略对象影响包含Frank的OU。

请勿执行此操作，但是在这一点上，如果Frank将注销并重新登录，则此更改将生效。但是，我们要运行“远程组策略更新”。为此，找到“ 人力资源计算机” OU，然后右键单击它，然后选择“组策略更新”，如图3.1所示。

当您执行此操作时，将出现一个如图3.2所示的对话框。

如果您犯了一个错误并且选择了一个仅包含用户对象的OU，则远程组策略更新将礼貌地解释该问题，如图3.3所示。

请注意，远程组策略更新将为您显示将要刷新的计算机数量。这很棒，因此在您打算刷新20台计算机时，您不会无意间刷新200,000台计算机。

接下来发生的事情非常令人失望。简而言之，如图3.4所示，默认情况下这将始终失败。

“为什么会失败？”我听到你哭了。因为默认情况下，因为在这些计算机上，Windows防火墙会阻止您进行远程访问，也就是说，除非您按照第2章“使用GPMC和通过PowerShell管理组策略”中的说明进行操作，否则特别要注意侧栏“了解Windows防火墙”在该边栏中，我向您展示了如何在Windows防火墙中戳出正确的漏洞以允许进行远程管理，就像我们在此所做的那样。

图3.1 您可以右键单击任何包含计算机的OU，然后选择“组策略更新”。

图3.2 远程组策略更新显示了将要影响的计算机数量。

图3.3 远程组策略更新不允许您更新用户，只能更新计算机。

图3.4 默认情况下，远程组策略更新将不起作用，因为每台计算机的防火墙都在阻止更新。

另外，您也可以使用上一章中讨论过的Starter GPO，特别是“您应该使用Microsoft的预先创建的Starter GPO吗？”部分，这两种方法表面上都是相同的，但是执行工作的方式却有所不同。

无论如何，一旦您刺破了防火墙的漏洞，就可以开始使用了。此时，重新运行远程组策略更新应该会成功，如图3.5所示。

可是等等！仅仅因为它成功并不意味着它会立即刷新。实际上，在您说“开始”到计算机说“完成”之间最多有10分钟的等待时间。

在图3.6中的10分钟内，您可以看到应用组策略时用户看到的内容。据我所知，没有办法使它“无声”。Windows 7及更高版本上的用户会弹出相同的对话框。而且，Windows XP用户什么也看不到，因为远程组策略更新同样不适用于Windows XP计算机。

图3.5 戳破防火墙漏洞后，远程组策略更新成功。

图3.6 远程组策略更新执行其工作时，它将向用户显示此简短弹出窗口。

延迟10分钟和出现对话框的原因是，远程组策略更新实际上并不自行执行更新。远程组策略更新做了一些偷偷摸摸的事情：它告诉目标计算机添加计划任务以运行自己的gpupdate / force 。有关幕后状况的更多信息，请查看侧栏“具有远程组策略处理的幕后知识”。

安全背景刷新处理

正如我已经说过的，当后台刷新间隔过去时，所有组策略客户端都将处理GPO，但是只有自客户端上次请求以来是新的或已更改的GPO。

具有远程组策略处理功能

正如您在“手动强制后台策略处理（远程GPUpdate）” 一节中所了解的那样，具有Windows 8和更高版本的GPMC具有新的超级功能。

而且，正如我所说的，远程组策略更新本身并没有完全按照它所说的去做。相反，它实际上是将排定的任务放在现代Windows计算机上。抱歉，Windows XP计算机不在这里。

在Windows 7和更高版本的计算机上，必须启用以下服务并可以使用：

■■ 远程计划任务管理（RPC）

■■ 远程计划任务管理（RPD-EPMAP）

■■ Windows管理规范（WMI输入）

默认情况下，这些服务在Windows 7及更高版本上运行。因此，当您使用计算机作为目标OU并触发时，“远程组策略更新服务”将与这些服务连接，进行一些魔术操作，然后将计划的任务放入目标计算机的任务计划程序中。您甚至可以看到当多个用户登录到特定目标计算机时会发生什么。

在这里，您可以看到配置了三个计划任务以在2:33 pm执行

当前登录的两个用户分别有一个任务，计算机有一个任务。对于用户，操作设置为“启动程序”，详细信息设置为运行“ gpupdate”。exe / target：user / force。”在计算机端，计划的任务设置为运行gpupdate / target：computer / force 。

请记住，为了使“远程组策略刷新”起作用，您需要能够与每个目标计算机进行远程联系。如果计算机满足以下条件之一，则计算机无法安排任务，也不会响应请求：

■■离线

■■是否打开了防火墙或没有打开远程管理端口（135和445）

■■是否为Windows XP或更早版本

Wally在一台Windows 2000机器上，已经登录了四个小时。同样，Xavier已在其Windows XP计算机上登录了四个小时，而Sven已在Windows 7计算机上登录了四个小时。Ben在Windows 10上也是四个小时。

想象一下，Active Directory中有一个名为“防止对控制面板的访问”的GPO，并且其中包含一个策略设置来执行此操作。客户端肯定会根据初始策略处理规则和/或后台刷新处理规则来这样做。

假设基础GPO没有修改任何策略设置或任何新的策略设置，或者GPO本身没有被删除，则客户端已经知道接受此命令。客户只是接受事情没有改变，因此继续努力。仅GPO内部的更改会触发客户端意识到新指令可用，并且客户端将在其后台策略处理期间执行该新命令。

现在，假设我们任命Wally，Xavier，Sven和Ben为Windows 2000，Windows XP，Windows 7和Windows 10计算机的本地管理员。由于Wally，Xavier，Sven和Ben现在是本地管理员，因此他们可以完全控制组策略引擎流程并进行自己的更改。这些更改可能会使您先前使用GPO设置的策略无效，并允许它们访问和更改系统上不应更改的功能。在这种情况下，肯定会出现域控制器上的GPO不变的情况，但是工作站的某些部分仍应保持锁定状态。

当然，正确的答案是只给您绝对信任的人访问本地管理员帐户的权限。如果可以帮助，则永远不要给普通用户管理员帐户。

但是，话虽如此，如果本地管理员确实选择这样做，让我们研究一下组策略引擎的两个潜在利用：

组策略利用示例1：处理管理模板考虑一下每次有人在人力资源中使用计算机时我们都必须运行的calc.exe 程序。我们创建了一个名为“ Auto-Launch calc.exe”的GPO，并启用了名为“在用户登录时运行这些程序 ”的策略设置。我们将GPO链接到“ 人力资源计算机” OU。我们的法令影响了我们计算机上的所有用户（包括管理员），因此calc.exe 为所有人运行（因为GPO已链接到包含该计算机的OU）。然后，想象一下，在工作站上具有本地管理特权的人（例如Wally）更改了受影响的注册表部分，如图3.7所示。

图3.7 简单删除注册表项将使我们的策略设置无效。

本地管理员更改设置后，calc.exe根本不会运行。（同样，只有本地管理员才能进行此更改。凡人无法访问注册表的此部分。）本地管理员做了繁琐的工作，现在此工作站上的所有用户都正式遵守我们的政策。大约90分钟后，达到了后台刷新间隔，并且客户端计算机从Active Directory中的GPO请求后台刷新。您可能认为这应该再次锁定“自动启动calc.exe”功能。但事实并非如此。此功能也不会在重新启动时重新锁定。为什么？因为Windows客户端认为一切都是现状。因为在Active Directory的基础GPO中没有任何变化，告诉客户端其指令集已更改。

在此示例中，客户端上的组策略处理引擎认为它已经请求（并收到）该策略的最新版本；组策略处理引擎不知道本地工作站管理员在背后进行的恶意注册表更改。Windows客户端不受这种攻击的保护

默认情况下。但是，可以增强保护。（请参阅本章后面的“非安全策略的强制性重新应用”一节。）好的，此示例利用是相当无害的，但它可能会或多或少地造成破坏，具体取决于我们对客户强制实施了哪些策略设置（如下一个示例）。

组策略利用示例2：解决安全策略设置想象一下，我们创建了一个GPO，其中的设置使用特定的文件ACL 锁定了\ MYSECUREDIR 目录。对于此示例，假设我们设置\ MYSECUREDIR 目录，以便只有域管理员可以访问。然后，在我们的支持下，现在是本地管理员的Sven更改了这些文件ACL，以使每个人都可以完全控制这些敏感文件。嗯，现在我们可能会遇到一个真正的问题。

Windows提供保护以处理针对这两种类型的漏洞的清理。请记住，尽管在这两种情况下，我们都假设这些用户以管理权限运行-真正的禁止。如果用户仅仅是标准用户，那么这个“问题”根本就不会成为问题。

让我们看看Windows如何尝试补偿这些情况。

在第一个示例中，我们通过强制修改注册表来解决“在用户登录时运行这些程序”策略设置。在特定计算机上为每个用户运行calc.exe 并不被视为安全设置。因此，默认情况下，对漏洞利用1没有任何保护（请注意对“默认情况”的强调）。但是在开始恐慌之前，让我们研究一下漏洞利用＃2，该漏洞试图绕过我们设置的安全策略。

后台安全刷新处理

组策略引擎尝试通过利用诸如安全策略设置之类的特殊背景刷新来清除诸如漏洞利用＃2之类的示例。这称为后台安全刷新， 并且对于每个Windows版本均有效。

组策略客户端每16小时向Active Directory询问所有包含“安全内容”（不仅仅是已更改内容）的GPO 。而且，将重新应用这些GPO中的所有安全性内容。这样可以确保如果客户端上的安全设置发生了更改（在组策略引擎的背后），它会在16小时内自动修复。

重申一下，后台安全性刷新仅在每一次设置与安全性相关的情况下，才有助于每16小时保护客户端上的内容。因此，在最多16小时内，\ windows \ repair 目录将重新获得预期的权限。好，太棒了。但是在漏洞利用1中，我们的恶意管理员绕过了“在用户登录时运行这些程序”策略设置。而且后台安全更新不会对系统强制执行我们的预期意愿。运行calc.exe 不被视为安全策略设置。“我们如何确保这些漏洞？”我听到你在哭。“请继续阅读。”我回答。（嘿，押韵）

更改安全刷新间隔

您可以通过两种方式手动更改此安全刷新间隔。首先，您可以在以下位置编辑本地工作站的注册表：

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \

Windows NT \ CurrentVersion \ Winlogon \ GPExtensions \

{827D319E-6EAC-11D2-A4EA-00C04F79F83A} \

MaxNoGPOListChangesInterval

并利用REG_DWORD 表示拉下整个安全策略的分钟数（默认情况下，每16小时，因此是960分钟）。您还可以使用本章后面的“使用组策略影响组策略”中介绍的安全策略处理策略。有关更多信息，请参见Microsoft知识库文章277543，网址为http://support.microsoft.com/kb/277543 。

非安全策略的强制性重新申请

您的网络嗡嗡作响。您已经在组织中建立了GPO，并且已经让它们保持几个月不变。沃利登录。沃利注销。Xavier也是如此。还有斯文还有本他们各自重新启动计算机。但是请想象一下，Active Directory中的GPO在几个月内没有变化。

当您的用户或计算机执行初始组策略处理或后台策略处理时，几乎没有任何反应。如果GPO在几个月内没有变化，则客户无可奈何。由于引擎已经处理了Active Directory中最新版本的引擎，因此它可能还需要什么呢？

的确，每隔16个小时就可以通过后台安全刷新来刷新与安全相关的策略设置。但是，如何利用沃利（被任命为本地工作站管理员的漏洞）利用hackit的本地注册表解决“在用户登录时运行这些程序”策略设置的漏洞利用＃1 呢？

好吧，运行calc.exe 不是安全策略。但这仍然可以认为是您需要填补的安全漏洞（如果您每次用户登录时都在运行一些非常重要的操作）。借助一点魔力，您可以强制组策略的非安全性部分自动关闭其自身的安全性漏洞。您可以使组策略的“非安全性”部分强制执行其设置，即使服务器上的GPO尚未更改也是如此。这将修复与安全性无关的漏洞。您将在本节稍后部分学习如何执行此操作

“影响组策略的计算机设置。”

一般的想法是，一旦告诉组策略的非安全性部分强制重新应用，则只要发生初始策略处理或后台刷新处理，它们就会这样做。

您可以选择（可选）强制重新应用组策略的以下区域，以及初始处理和后台刷新：

■ ■ 注册（管理模板）

■ ■ Internet Explorer维护

■■ IP安全

■ ■ EFS恢复策略

■■ 无线政策

■■ 磁盘配额

■ ■ 脚本（通过脚本我的意思是修改脚本的通知，指定时间之后的脚本不实际重新运行）

■■ 安全

■■ 文件夹重定向

■ ■ 软件安装

■■ 有线政策

正如您将在“影响组策略的计算机设置”部分中所看到的那样，您可以使用GUI选择组策略的其他区域以与后台刷新一起执行。

概括地说，如果Active Directory中的GPO 确实发生了变化，则不必担心是否会自动应用它。而是，强制性重新申请是一种额外的安全措施，您可以选择将其放置在客户端系统上，这样，不仅在现有GPO发生更改或新GPO出现时，您的遗嘱也始终得到下载和重新体现。您可以指定要执行的组策略部分。

正如您将在第7章中看到的那样，客户端和服务器之间还有更多事情要做。客户端在引擎盖下跟踪GPO 版本号。如果Active Directory中的版本号发生更改，则GPO被标记为需要下载；然后重新下载并应用它。如果版本号在Active Directory中保持不变，则不会重新下载或应用组策略。请继续关注第7章中有关GPO版本号的更多信息。

特殊情况：移动用户或计算机对象

当您在Active Directory中移动用户或计算机时，组策略可能不会立即应用，正如您认为的那样。例如，如果将一台计算机从“ 人力资源计算机” OU移到另一个OU，则该计算机可能仍会在一段时间内将GPO从“ 人力资源计算机” OU中拉出。这是因为计算机可能对应该使用的帐户当前位于何处感到困惑。

该USERENV 与Active Directory，每隔一段时间进程同步，以确定用户或计算机已被移动。

这种情况最多大约每30分钟发生一次。

重新同步后，后台处理将照常继续进行-仅这次用户和计算机GPO被从新目的地中拉出。如果您移动用户或计算机，请记住组策略处理将继续从旧位置拉出，直到实现切换为止。

并且不要忘记，复制在您的站点内以及在 Active Directory站点之间可能要花费一些时间。

总的来说，从新位置拉出GPO的最长等待时间如下：

■ ■ 30分钟（最大Active Directory同步时间）和

■ ■ 90分钟（最大的组策略的默认后台刷新速度）和

■ ■ 30分钟（最大组策略默认后台刷新速率偏移）

因此，总共最多不能超过150分钟。它可能并且通常确实比这更快地发生，但是不再需要任何时间。如果您将整个OU（也许有很多计算机）移到另一个OU下，此行为很重要。

Windows 7和更高版本具有特殊的技巧。如果您知道计算机或用户帐户已移动（因此将获得不同的组策略设置），则可以运行gpupdate / force ，它会再次检查用户帐户和计算机帐户在Active Directory中的位置。找到位置后，它将专门针对该新位置应用GPO。

在我使用Windows 7及更高版本进行的测试中，这似乎确实“相当不错”。但是，我的建议是，如果要移动用户（要确保100％肯定），则应注销并重新登录。如果四处移动计算机，则应重新启动计算机。只有这样，您才能真正确定获得最新设置。

Windows 8、8.1和10组策略：细微差别

好的，到目前为止，我一直在讨论（实际上是重新讨论）关于Windows 8及更高版本的组策略处理引擎与Windows 2000的组策略处理引擎之间的差异非常小，甚至可能无关紧要的秘密。 Windows过去。更改发生在Windows 8上，再次发生在Windows 8.1上，并继续到Windows10。换句话说，Windows 8进行了一些更改。然后Windows 8.1进行了一些更改，这些更改一直持续到Windows10。但是Windows 10本身确实没有任何其他更改。

秘密1：Windows组策略服务打开和关闭（Windows 8和更高版本）

为了节省电池寿命，大多数Windows 8和更高版本的服务将在不需要时自动关闭。当涉及到组策略时，以下是具体的工作原理。

当计算机打开并请求组策略时，组策略服务启动，获取组策略，然后…等待。等待10分钟，以等待其他任何有关组策略的请求。现在，通常在这10分钟内，用户登录。因此，服务保持打开状态，处理组策略的用户端，然后再等待10分钟。如果10分钟内没有任何反应，该服务将进入睡眠状态。如果您手动运行gpupdate 或执行远程组策略刷新，则该服务将花费一秒钟（或三秒钟）来启动，执行请求，然后等待10分钟。并且循环继续。因此，如果您在10分钟内一遍又一遍地运行gpupdate ，则每次组策略引擎必须执行某项操作时，都会使服务进入睡眠状态的“倒计时”重新开始。

但是，最终，组策略服务将一直休眠直到下一次需要它为止。

Microsoft将此行为称为“始终在线，始终连接”（AOAC）。我不知道为什么-这个“不需要时睡眠”过程的描述性不是很好。

默认情况下，在所有Windows 8和更高版本的客户端（包括Windows）上都设置了此行为

RT。这确实意味着，如果服务处于睡眠状态，则该服务将需要一些时间才能启动，然后执行组策略更新请求。您可以通过使用组策略设置“关闭组策略客户端服务AOAC优化 ”将行为恢复为“非睡眠状态”，稍后在“使用组策略影响组策略”一节中进行了探讨。

在Windows服务器上，默认情况下，此行为是关闭的。这意味着该服务永远不会在Windows Server 2012和更高版本上休眠，并且始终处于打开状态。

秘密2：Windows RT无法获取基于Active Directory的组策略（Windows 8和更高版本）

我们在第一章中谈到了这一点，所以我想这不是秘密。但这仍不清楚，需要重复。

简而言之，Windows RT计算机无法加入域，因此无法获得基于Active Directory的组策略。

但是，您可以在Windows RT计算机上运行GPEDIT.MSC ，并手动翻转各个项目的开关。

似乎没有任何方法可以使用某种中央管理来更新Windows RT计算机的组策略。如果发生这种情况，请随时关注GPanswers.com，以获取更多信息。

秘诀3：如果您使用Windows Hiberboot，则会（基本上）在启动时（Windows 8和更高版本）失去计算机处理能力

Windows 8和更高版本具有称为Hiberboot的功能。Hiberboot可以实现低功耗和快速重启系统。用户在GUI中将命令视为“ Shut down”（关闭），除非该命令实际上并未完全关闭。它更像是“超级暂停”。

然后，当系统重新开机并“重新引导”时，它的外观和感觉都非常快。但这并不是真正的完全关闭电源并完全重启重启。您可以在此处阅读有关Hiberboot的更多信息并观看视频：http : //blogs.msdn.com/b/b8/archive/2011/09/08/delivering-fast-boot-timesin- windows-8.aspx

因此，关于组策略，这是交易。从Hiberboot启动计算机时，组策略不会处理计算机端。这是因为从技术上讲，计算机已经处于低功耗状态。在计算机遥远的过去某个时刻，它已完全关闭电源。而且只有在最初完全断电的那一刻，它才能在启动时获得计算机端GPO。

然后，当用户登录时，用户端策略将在登录后正常处理。所有正常的用户端处理均如前所述。而且，如果您已将组策略处理更改为同步模式，则组策略引擎也将以同步模式愉快地执行。

然后，在计算机启动后最多90分钟，Windows计算机端将启动后台刷新间隔，并在计算机端处理所有更改的项目。

但是，这里有一个很大的陷阱：请记住，某些指令在计算机已经启动时无法处理，尤其是基于计算机的组策略软件部署。因此，如果您希望在下次“重新启动”时看到您的软件，则不会看到它，因为您根本没有完全重新启动。取而代之的是，需要关闭计算机电源，然后通过“重新启动”而不是“关机”（实际上，这根本不是关机）来重新启动计算机。

如果要始终保持完全关闭状态，这将在每次启动计算机时启用计算机处理功能，则需要禁用休眠模式，这又可以防止发生Hiberboots。

秘密4：组策略首选项驱动器映射和磁盘配额在后台运行（Windows 8.1和更高版本）

Windows 8.1和更高版本消除了注销（对于组策略首选项驱动器映射）或重新引导（对于磁盘配额）的需求。

如果您对组策略首选项驱动器映射进行了更改或对磁盘配额进行了更改，则将在后台或运行gpupdate 时看到这些更改生效。这里也有附带好处。在Windows 8.1之前，如果您使用组策略首选项驱动器映射，则将为前景更新触发所有其他登录，而为背景更新则触发所有其他登录。

我将其称为“组策略首选项驱动器映射”的“滴答/滴答”问题。我在2014年TechEd演讲中演示了这一点，该演讲再次在以下网站找到：

https://channel9.msdn.com/Events/TechEd/NorthAmerica/2014/WIN-B328#fbid=

您可以跳至35分钟和46分钟的分钟标记以观看演示。

因此，当使用组策略首选项驱动器映射时，登录名不再是快速登录，登录是慢速登录，而是变得更加一致。

那是一个很大的胜利。

秘密5：从Windows 8.1和更高版本进行更好的日志记录

Windows 8.1和更高版本增加了更好的日志记录。我将在第7章中进一步讨论组策略事件日志记录。但是，从Windows 8.1开始，组策略有了一些新的事件ID，可以帮助您了解问题并排除故障。

在第7章中，我提供了组策略引擎的事件ID列表（如果需要）。

秘密6：组策略缓存（Windows 8.1和更高版本）

Windows 8.1引入了一个非常不寻常的功能，称为组策略缓存。组策略缓存的目标是一个崇高的目标，但似乎没有兑现其目标。

目标是在满足以下两个条件时最大程度地减少网络上的聊天：

■ ■ 当链路是缓慢的。

■ ■ 当组策略被告知要执行前台策略的过程。

在Windows 8.1和更高版本中，很少发生这些情况，因为

Microsoft将需要前台处理的组策略项减少为仅文件夹重定向和组策略软件安装。即使这样，也需要在组策略对象中对这些项目进行新建或更改，以触发前台进程。

因此，很少实际使用组策略缓存。

实际上，组策略缓存有副作用。如果您在某人的客户机上运行gpupdate ，则由于组策略缓存正尝试存储这些GPO供以后使用，由于要执行额外的网络流量和磁盘写入操作，因此实际完成手动gpupdate 会花费更长的时间。工作。但是，同样，只有手动运行gpupdate 时，您才会看到此延迟，它不会影响登录时间。

我的朋友Darren Mar-Elia在“组策略缓存”中有两个博客条目，如果只是为了了解他如何分解该功能，并且像我一样，决定该功能未实现其功能，则值得阅读。这是需要额外阅读的两个URL：http : //sdmsoftware.com/group-policy-blog/group-policy/understanding-grouppolicy -caching-in-windows-8-1 / http://sdmsoftware.com/group -policy-blog / windows-8-1 / clarifying-grouppolicy -caching-in-windows-8-1 /

因此，在最终分析中，我认为除非更新组策略缓存以支持其他一些用例，否则它就没有什么价值。而且，如果您的计算机始终处于连接和硬连线状态，那么根本没有理由保持高速缓存正常运行。在这些情况下，可以使用“ 配置组策略缓存”策略设置关闭组策略缓存，并将其设置为“禁用”，如图3.8所示。它位于“计算机配置” ➢“管理模板” ➢“系统” ➢“组策略”部分。

请注意，还有一个名为“ 为服务器启用组策略缓存”的策略设置，我不建议您启用。

秘密7：涉及许多GPO时，使用Windows 8.1和更高版本可能“更快”

从Windows 8.1和更高版本开始，当请求多个GPO时，Microsoft优化了客户端。如果有很多GPO，那么“颤动”的数量就会减少。

此外，如果涉及的链接较慢（请参阅下一节），则GPO的下载比Windows 7的下载速度更快，更优化。

因此，如果您有很多GPO并排放置Windows 7和Windows 10计算机，则Windows 10计算机可能会击败Windows 7计算机。

这里没有任何配置。从Windows 8.1开始一直是内部的所有内容。

图3.8 如果要关闭组策略缓存，请将此设置配置为“已禁用”，如图所示。

秘密8：登录脚本的处理延迟5分钟（Windows 8.1和更高版本）

从Windows 8.1开始并继续，Microsoft决定在使用组策略进行部署时延迟对登录脚本的处理。

如果您考虑一下，这是一个好主意。

当用户登录时，所有这些事情都试图立即发生：

■ ■ 谈到在网络上。

■ ■ 建立或下载一个配置文件。

■ ■ Explorer正在试图运行。

■ ■ 在运行和RunOnce项试图火了。

■ ■ 其他可能的登陆行动试图断火为好。

不管怎样，所有这些活动肯定都会发生，您是否真的希望与其他内容在相同的确切时间同时实现额外的网络抖动和硬盘利用率？

换句话说，计算机中最慢的是硬盘驱动器。如果所有这些项目同时启动（包括登录脚本，如果有的话），那将是磁盘争夺战。

因此，Microsoft决定将登录脚本置于所有必须发生的事情和登录脚本之间的混战中。

现在，默认情况下，登录脚本会延迟5分钟，但是此延迟可以配置为您喜欢的任何数字。这可以在“ 配置登录脚本延迟”策略设置中进行配置。您可以将其设置为禁用或启用，0（零），这将使行为恢复为旧样式。

对于我来说，我认为您应该完全可以摆脱登录脚本的肮脏事务。而且，如果您不能这样做，我认为对此有所延迟是合理的。

话虽如此，如果您已经将固态磁盘（SSD）部署到计算机上，或者发现登录脚本没有增加延迟，那么可以通过设置计算机配置➢管理模板➢系统来关闭此功能。➢组策略➢将登录脚本延迟策略设置配置为零，如图3.9所示。

图3.9 登录脚本的新默认延迟是用户登录后的5分钟。如此处所示，将此策略设置设置为零，以恢复到旧的行为。

通过远程访问，慢速链接以及休眠后的策略应用

您肯定会遇到这样的情况：用户在旅途中带着他们的Windows机器并通过拨号或VPN远程访问您的Active Directory和服务器。

我们将在后面讨论Windows Vista。如果要了解Windows XP如何处理缓慢的网络连接，则必须转到该书的上一版本。

Windows何时以及如何检查慢速链接？

Windows Vista和更高版本可以使用称为网络位置感知（NLA）的Windows组件来检测链接速度。

NLA非常简单，无需配置。适用于Windows Vista和更高版本（例如Windows 10）的NLA有两个任务：

1. NLA检查链接是否慢速。此测试不使用ICMP，因此，如果路由器管理员已关闭ICMP，则计算仍将起作用。（有关为什么您应该关心通过慢速网络连接处理的内容的信息，请参见下一节“通过慢速网络连接处理什么？”。）

2. NLA经常向Universe发出请求，并询问：“现在是否有可用的域控制器？”。如果答案为“否！”，则无法更新组策略。很简单但是，如果答案是“是！”，理论上可以处理更新的组策略，对吗？

当用户在海滩上工作，断开连接几天然后最终拨号或进入办公室时，这可能会很有用。但是，在执行任何操作之前，组策略引擎会启动并询问另一个问题：“我是否错过了上次后台刷新间隔？”（例如，计算机是否处于休眠状态，因此关闭了三天）。

如果答案是“是”，则自用户和计算机上次联系以来，组策略引擎立即执行（相当于）gpupdate （否/ force ）以刷新组策略。

为什么组策略引擎在确定是否错过了上一个后台刷新间隔时如此特别？组策略引擎之所以问这个问题，是因为NLA可能已经确定该计算机曾经短暂地不在网络中，然后又重新启动。如果真是这样，那么您就不会错过任何内容，因此不会更新任何内容。您不希望它在每次断开并重新进入网络时都触发。那将是组策略更新的名副其实！换句话说，组策略引擎可确保Windows在请求刷新之前已长时间退出网络。

同样，Windows Vista和更高版本的行为均相同，包括Windows Server 2008 R2和更高版本。但是您不太可能将Windows Server 2016安装在笔记本电脑上，并且将VPN从海滩插入。

通过远程访问，慢速链接以及休眠后的策略应用

通过慢速网络连接处理什么？

因此，如果认为连接足够快，则将应用部分组策略。

令人惊讶的是，即使连接被认为“不够快”，组策略的某些部分仍然适用。无论速度如何，都可以确保在登录过程中通过慢速连接下载安全设置和管理模板。而且您无能为力，无法改变它（不是您应该想要的）。此外，安全设置中还包括软件限制策略，EFS（加密文件系统）恢复策略和IPsec（IP安全）策略。它们也总是通过慢速链接下载。

组策略界面建议可以通过慢速链接打开或关闭EFS恢复策略和IPsec策略的下载。这不是真的。（请参阅本章后面的“使用组策略影响组策略”一节中的注释。）

在慢速连接期间，组策略的其他部分的处理如下：

文件夹重定向设置 默认情况下，这些文件不会通过慢速链接下载。（同样，您可以使用“使用组策略影响组策略”中的信息来更改此条件。）

脚本（登录，注销，启动和关闭） 默认情况下，脚本更新不会通过慢速链接下载。（您可以使用“使用组策略影响组策略”中的信息来更改此条件。）如果客户端可以通过网络访问并执行运行，则脚本本身仍应运行。

磁盘配额设置默认情况下，不会通过慢速链接下载这些设置。（您可以使用“使用组策略影响组策略”中的信息来更改此条件。）仍强制执行当前缓存的磁盘配额设置。

软件安装和维护 默认情况下，这些文件不会通过慢速链接下载。更具体地说，新的可用软件的报价没有显示给用户。用户确实可以随意选择是否下载最新版本的应用程序。您可以通过更改要约的处理方式并允许显示新软件的图标来折磨拨入用户。完成此操作后，他们会恨您，但这是您和他们共同努力的结果。请参阅本章后面的“使用组策略影响组策略”中描述的相应设置。有关组策略软件安装的更多信息，请参见第11章“托管桌面，第2部分：通过组策略进行软件部署”。

软件限制策略 这些保证可以通过慢速链接下载。您无法关闭此功能。有关软件限制策略的更多信息，请参见第8章。

802.11无线策略 默认情况下，这些文件不会通过慢速链接下载。（您可以使用“使用组策略影响组策略”中的信息来更改此条件。）仍然强制执行当前缓存的802.11策略设置。

802.3有线策略（Windows Vista和更高版本）默认情况下，不会通过慢速链接下载这些策略。（您可以使用“使用组策略影响组策略”中的信息来更改此条件。）

管理模板保证可以通过慢速链接下载这些模板。您无法关闭此功能。

EFS恢复策略 保证可以通过慢速链接下载这些文件。您无法关闭此功能。界面上有一个选项，使其看起来好像可以关闭此功能，但不能关闭。

IPsec策略保证可以通过慢速链接下载这些文件。您无法关闭此功能。同样，该界面还有一个选项，使它看起来像您可以关闭此功能，但您不能关闭。

组策略首选项扩展 我们将在第5章“组策略首选项”中探讨“组策略首选项扩展”，默认情况下将通过慢速链接进行所有下载和处理。通常，人们担心通过慢速链接获取组策略首选项驱动器映射。从Windows 8.1开始并继续，组策略首选项驱动器映射（新映射和更改）应通过慢速链接下载并处理。在Windows 8.1之前，组策略首选项驱动器映射不会通过慢速链接进行处理（因为组策略首选项驱动器映射不会在后台处理）。您可以将所有这些策略类别的足够快的速度从500Kbps更改为所需的速度（计算机一半和用户一半）。在“使用组策略影响组策略”部分中对此进行了详细说明。

始终获取组策略（即使在旅途中，通过Internet）

因此，即使计算机当前不在您的办公室中，或者它们依赖使用VPN的用户，您也希望将组策略应用于您的计算机。你该怎么做？

有两种方法：一种是来自Microsoft。另一个是（同样，我提到我会这样做），是使用PolicyPak Cloud从PolicyPak获得的。

让我们探索两种方式。

使用统一远程访问（以前称为DirectAccess）通过Internet进行组策略

微软拥有两项用于“无缝网络访问”的技术：DirectAccess（具有

Windows Server 2008 R2和Windows Server 2012）现在已转变为Unified

Windows Server 2012 R2和Windows Server 2016的远程访问以及统一访问网关（UAG）。UAG将于2015年停止提供主流支持，但统一远程访问（aka DirectAccess）仍然存在。

这是两者的思想（它们是基于相同的技术构建的）。

简而言之，这两种技术都为笔记本电脑提供了一种“始终在网络上”的方式，只要它们确实在总部或咖啡店里。现在，如果这听起来有些令人恐惧，那么在使这些解决方案不断发展的过程中，应该涉及很多安全性。

通过远程访问，慢速链接以及休眠后的策略应用

但是，统一远程访问的前景非常有趣。可以保证的是，一旦您的笔记本电脑设置为使用统一远程访问，那么您的笔记本电脑就“永远在网络上”。而且，如果它们始终在网络上，那么它们自然总是会获得组策略。我还没有亲自设置并进行端到端的测试。我通常听到人们说“好事”，就像宣传的那样。获得所有硬件和软件以及许可证和类似的工作是一场艰苦的战斗。但是，当Unified Remote Access正常工作时，我听说它会很好地工作，例如当您的用户在星巴克喝咖啡时，组策略将神奇地适用。

统一远程访问存在三个主要问题：

■ ■ 首先，它不工作与Windows 7，8的所有味道，和10只与Windows的企业版的作品，这意味着如果你有专业版（或专业版）的Windows版本中，你从字面上无法使用这些系统，并使用统一远程访问进行神奇的连接。

■ ■ 其次，所有机器必须与域统一工作之前加入远程访问。

■ ■ 最后，基于什么人都告诉我，我的理解是，这是一个相当熊建立和保持可靠的工作。

也就是说，如果您决定尝试使用统一远程访问（aka DirectAccess）路由，则可以使用以下链接为您提供帮助：

对于2012 R2上的DirectAccess，我将从以下内容开始：

http://technet.microsoft.com/zh-CN/library/dn636118.aspx

和：

http://technet.microsoft.com/zh-CN/library/dn614138.aspx

在DirectAccess 2012上有多篇文章，其中包含测试实验室的精确方法：http：//tinyurl.com/directaccess-2012 。第一部分的St art，并继续。如果要查找该系列中的所有文章，请尝试：

http://blogs.technet.com/b/meamcs/archive/tags/direct+access/

这里还有一本关于它的更现代的书：www.packtpub.com/networking-and-servers/windows-server-2012-unified-remoteaccess -planning-and-deployment

互联网上的组策略（使用PolicyPak Cloud）

如果您希望您的计算机在用户旅途中或在远程办公室时获得组策略，而不必购买或构建服务器或根本不更改任何体系结构，则请查看PolicyPak Cloud。

PolicyPak Cloud是一项服务，您可以在其中执行以下操作：

■ ■ 创建基于真实的GPO内容的XML“指令”。

■ ■ 上传那些XML指令。

■ ■ 拥有电脑加入您的PolicyPak云。

■ ■ 拥有电脑下载和处理您PolicyPak指令。

在图3.10中，可以看到四个XML指令链接到 PolicyPak Cloud中的“ All”组。

实际上，您几乎可以采用任何GPO的一部分，然后将其上传到PolicyPak云。

客户端计算机就像真正的GPO一样简单地下载和处理这些指令并对其进行处理。这是有关PolicyPak Cloud的最佳部分：

■ ■ 没有服务器购买，建造，或者安装。

■ ■ XML的指令是从真正的GPO的内容创建。组策略对象中的几乎所有设置都可以通过PolicyPak Cloud交付。

■ ■ 客户机可以在Windows（专业版，专业版或企业）的任何味道。

■ ■ 客户机可以加入域，甚至未加入域。（这是很大的事情。）

■ ■ 客户端可以通过加密的HTTP或使用PolicyPak云HTTPS隐藏的代理服务器和其他怪异的网络设置。

图3.10 PolicyPak Cloud通过一些预配置开始

XML指令

通过这种方式，PolicyPak Cloud非常适合需要管理非域加入的计算机以及不经常回到办公室或使用VPN的计算机的IT专业人员。对于希望“一站式”上传指令并确保它们一次影响多个客户（基于客户分组）的托管服务提供商（MSP）而言，这也非常有用。

您可以在以下位置的PolicyPak网页上查看PolicyPak Cloud的快速入门和演示，然后查看是否对您感兴趣：

www.policypak.com/support-sharing/policypak-cloud-getting-started.html 另外，有关PolicyPak Cloud演练，请参阅附录D。

使用组策略影响组策略

有时，您可能想更改组策略的行为。令人惊讶的是，您实际上使用组策略设置来更改组策略的行为！在“用户”和“计算机”节点下都出现了几个“组策略”设置；但是，必须在每个部分中分别设置策略设置。

影响组策略的用户设置

影响用户节点的组策略设置显示在用户配置➢ 策略➢管理模板➢ 系统➢组策略下。请记住，用户帐户必须受这些GPO链接的站点，域或OU的约束才能受到影响。这些策略设置中的大多数对任何Windows机器都有效，尽管其中一些是明确设计的，并且仅在Windows XP，Windows Vista，Windows 7等上运行。

以下各节列出了影响组策略用户端的策略设置。

为用户设置组策略刷新间隔

此设置将使用0-30分钟正随机数的默认User节点背景刷新率90分钟更改为您选择的几乎任何数量的刷新和随机数分钟。为后台刷新选择一个较小的数字，以加快计算机上的组策略，或者选择一个较大的数字，以抑制组策略刷新在您的网络中所占用的流量。对于计算机，刷新间隔类似，它具有自己的设置在备用时钟上。设置为0等于七秒。仅在测试实验室中设置为0。

配置组策略慢速链接检测

您可以将用户快速连接的默认定义从500Kbps更改为所需的任何速度。回想一下，组策略的某些方面不适用于确定通过慢速链接进入的计算机。此设置指定什么构成用户节点的慢速链接。在“计算机”节点下有一个同名的策略设置（本章稍后将进行探讨），还需要设置该策略设置来定义“计算机”节点的运行缓慢。最好将它们设置为相同的数字。请注意，您可以将“ 组策略慢速链接检测”策略设置设置为零以将其禁用。

配置组策略域控制器选择

默认情况下，GPO被写入PDC仿真器。当用户（通常是域管理员或OU管理员）受此设置影响时，将允许他们在除PDC模拟器之外的域控制器上创建新的GPO。有关此设置以及使用方式和使用原因的更多信息，请参见第7章。

创建默认情况下禁用的新组策略对象链接

当用户（通常是域管理员或OU管理员）受到此设置的影响时，默认情况下将禁用他们创建的GPO。这样可以确保用户和计算机不会达到刷新间隔，也不会下载正在创建过程中的GPO半成品。完成后启用GPO，它们将在下一个后台刷新周期中下载。

设置组策略对象的默认名称

如果已为用户分配了通过组中成员身份创建GPO的权限

Policy Creator Owners组，还被分配了将GPO链接到

Active Directory中的OU，为GPO创建的默认名称是“新组策略”

您可能希望在域级别创建的所有GPO都使用一个名称，也许是“ AppliesToDomain-GPO”，而在人力资源 OU级别（以及所有子级别）上创建的所有GPO 都使用另一个名称，例如“ AppliestoHR-同样，为了使该策略生效，具有创建GPO权限的用户帐户必须受到该策略的影响。

仅执行表演政策

当用户（通常是域管理员或OU管理员）受此设置影响时，将强制启用“仅显示可以完全管理的策略设置”设置（在第6章“使用组策略管理应用程序和设置”中进行了探讨）。这样可以防止导入“不良”管理模板（ADM文件），该模板会给注册表加上纹身，直到它们被明确删除为止，这是不幸的副作用。（有关使用所有类型的ADM模板的更多信息，请参见第6章。）但是，请注意，更新的GPMC将始终显示“错误的” ADM模板，因此，在使用更新的GPMC时不需要使用此模板。 RSAT）。

关闭自动更新ADM文件

您将在第6章中了解有关ADM文件的所有信息（以及此特定的策略设置）。但是，实质上，ADM模板文件是组策略领域（当您使用Vista之前的管理计算机时）可能的潜在“定义”。）。当您使用Vista（及更高版本）管理机（例如Windows 10）时，将使用一种称为ADMX文件的新机制来定义策略设置。这是10秒钟的“第六章之前”的速成过程。ADM模板可以在运行旧版GPMC的本地计算机上开始使用。然后，将它们“推送”到GPO中，以备将来参考。

对于ADM模板行为，默认行为是检查本地计算机的默认位置（即\ windows \ inf 文件夹），以查看ADM模板（本地）是否比GPO内部存储的模板新。如果是较新的版本-Bing，则GPO中的一个将被覆盖。

默认情况下，每当您双击任何GPO的“管理模板”部分时，都会进行此检查更新，就好像您要对其进行修改一样。但是，如果启用此设置，则是要忽略正常的更新过程，而只是继续使用最初使用的ADM模板。换句话说，您是在告诉系统您希望保留初始ADM模板，而不管是否有更新的模板可用。（有关此主题的更多信息，请参见第6章。）

确定交互式用户是否可以生成策略 数据的结果集

受此设置影响的用户无法使用gpresult.exe ，GPMC中的组策略建模，组策略结果任务或陈旧的RSOP.MSC （无论如何都不应使用）。

启用此设置将锁定可能的系统入口点。也就是说，它可以防止未经授权的用户确定设备箱上的当前安全设置并制定攻击策略。

此策略设置仅在应用于Windows XP工作站和

Windows 2003 Server（即使策略指定“至少XP和Server 2003”）。

在我的测试中，此设置未影响Windows Vista和更高版本的计算机。

影响组策略的计算机设置

影响“计算机”节点的组策略设置显示在“计算机配置” ➢“策略” ➢“管理模板” ➢“系统” ➢“组策略”下。一旦计算机受这些策略设置影响，它们将更改组策略的处理行为。请记住，计算机帐户必须受这些GPO链接到的站点，域或OU的约束才能受到影响。

请注意，“组策略”下面还有另一个子类，称为“日志记录和跟踪”。在讨论组策略首选项时，我们将在第5章中讨论这些策略设置。接下来，我们将探索许多设置。如果未在计算机上看到所有设置，则可能是因为您使用的是Windows 10、8或7管理计算机，而不是Windows Server 2012或Windows Server 2016管理计算机。

如果缺少某些设置，请确保稍后再阅读“丢失的组策略首选项的策略设置”部分，以了解原因。

偏好扩展策略处理

实际上，这不是任何特定策略设置的名称。实际上，您将找到21个策略设置来管理每个“组策略首选项”项。您正在寻找“ Drive Maps首选项扩展策略处理”或“打印机首选项扩展策略处理”之类的名称。如果单击它们，它们的外观和感觉都相同，类似于图3.11中所示。

请注意，当策略设置为“未配置”时，将设置默认值。

启用后，每个策略设置都有四个潜在选项：

允许通过慢速网络连接进行处理 选中此复选框以允许通过慢速链接登录时下载此特定的组策略首选项类别。默认情况下已启用。如果要登录到，则可能要取消选中此复选框

通过VPN更快，因此“组策略首选项”类别不会尝试通过VPN重新安装。组策略首选项打印机是一个不错的选择，因为通过VPN安装打印机可能真的很慢。

在定期后台处理期间不应用 如果选择此选项，则在后台刷新期间将不会下载或应用特定的“组策略首选项”类别。默认情况下未选中此选项，这意味着大多数组策略首选项将在用户登录时重新应用。

即使组策略对象没有更改也要处理如果选择此选项，即使基础GPO 尚未更改 ，它也会更新并重新应用此类别中的策略设置。回想一下，这种类型的处理旨在清理掉用户或管理员背叛我们并修改本地设置的情况。

背景优先级 我不确定作为管理员进行调整的选项为何可供我们使用，因为我从未见过使用此选项的理由。简而言之，这将设置此特定CSE将使用多少加工汁。为了安全起见，我将其保留为“空闲”。

图3.11 您可以使用单独的策略设置来管理21个组策略首选项CSE中的任何一个。

关闭组策略的后台刷新

启用此设置后，受影响的计算机会根据后台刷新间隔为用户和计算机下载最新的GPO，但不会应用它们。当用户注销但下一个用户登录之前，将应用GPO。这在您要保证整个会话中用户体验保持不变的情况下很有用。

设置计算机的组策略刷新间隔

此设置使用30分钟的随机化程序将默认的90分钟计算机节点后台刷新速率更改为您选择的几乎任何刷新和随机化分钟数。为后台刷新指定一个较小的数字，以加快计算机上的组策略，或者选择一个较大的数字，以阻止组策略刷新在网络上引起的流量。用户节点的相似刷新间隔位于完全独立且不相关的定时速率和随机数上。设置为0等于七秒。仅在测试实验室中设置为0。

设置域控制器的组策略刷新间隔

回想一下，域控制器在五分钟之内就组策略更改进行了更新。您可以根据需要缩小或扩大该间隙。距离越近，网络越颤抖。加大间隔，直到达到间隔，安全设置才会不一致。设置为0等于七秒。仅在测试实验室中设置为0。

配置用户组策略环回处理模式

我们将在下一章中详细探讨此设置。

允许跨林用户策略和漫游用户配置文件

此策略仅在跨林信任方案中有效。我将在本节的第4章“高级组策略处理”中描述这些方法的工作方式以及该策略的工作方式。

“跨林信任的组策略。”

仅当应用于Windows XP / SP2系统及更高版本时，此策略设置才有效。

配置组策略慢速链接检测

您可以将快速连接的默认定义从500Kbps更改为所需的任何速度。回想一下，组策略的某些方面不适用于那些被认为通过慢速链接进入的计算机。独立地，还需要设置存在于“用户”节点下的同名策略设置（先前已探讨），以定义对“用户”节点而言较慢的速度。最好将它们设置为相同的数字。

关闭策略日志记录的结果集

正如您将在第7章中看到的那样，Windows XP上的用户可以启动策略的结果集

（RSoP）管理单元，方法是在命令提示符下键入RSOP.MSC。启用此策略设置不会阻止其启动，但是出于所有意图和目的，会禁用其使用。此策略设置禁止当前登录的用户（称为交互式用户）以及使用RSoP管理单元的远程功能尝试获取结果的任何人使用。

此策略设置仅在应用于Windows XP工作站和Windows 2003 Server时才有效（即使策略指定“至少XP和Server 2003”）。

在我的测试中，此设置未影响Windows Vista和更高版本的计算机。你的旅费可能会改变。

在Windows Vista和更高版本上，默认情况下，普通用户只能看到RSoP的“用户”一半。必须在要为其收集信息的计算机上将它们委派给“读取组策略结果数据”。我们在第2章“特殊组策略操作委托”一节中讨论了这一点。

删除用户调用计算机策略刷新的能力

默认情况下，凡人用户可以使用gpupdate 进行自己的手动后台刷新。但是，您可能不希望用户执行自己的gpupdate 。我只能想到禁用此设置的一个原因：防止用户通过持续运行gpupdate 来占用域控制器的带宽。除此之外，我无法想象您为什么要阻止他们，如果他们愿意的话，就无法获得最新的GPO设置。也许一个用户通过不断请求组策略对您的域控制器执行拒绝服务（DoS）攻击-但这只是一个难题。

即使启用了此策略，本地管理员仍然可以强制执行gpupdate 。但是，同样，gpupdate 仅在需要更新的计算机上本地运行时有效。

此策略设置仅在应用于Windows XP和更高版本时才有效，并且需要重新启动才能启动。

确定交互式用户是否可以生成结果

政策数据集

该策略类似于“关闭策略的结果集”日志记录设置，但仅影响控制台上的用户。如果您不希望交互式用户具有生成RSoP数据的能力，但仍希望允许管理员远程获取RSoP，则启用此设置可能很有用。

此策略设置仅影响Windows XP（和Windows Server 2003）。

配置注册表策略处理

此设置影响“管理模板”子树中的策略设置的响应方式（以及通常会影响注册表的其他任何策略）。启用此策略设置后，您还有两个选择：

在定期后台处理期间不应用 通常，管理模板设置每90分钟左右刷新一次。但是，如果启用此设置，则告诉客户端在登录后不要刷新GPO中的管理模板。您可能选择阻止后台刷新管理模板，原因有两个：

■ ■ 在Windows XP中，当后台刷新时，屏幕可能会闪烁第二个作为系统重新应用改变的GPO（与他们的策略设置），并指示Explorer.exe的刷新桌面。每隔90分钟左右，这可能会使用户略有分心。

■ ■ 您可以选择禁用后台处理，使用户与桌面和应用经验，留他们登录的全长保持一致。用户登录时设置突然更改可能会造成混淆。自Windows Vista发行以来，此问题已得到解决。我的建议是不要设置此设置，除非您受到影响用户体验的后台处理的严重影响。

即使组策略对象没有更改也要处理如果选择了此设置，则即使在后台刷新间隔发生时基础GPO 尚未更改 ，系统也会更新并重新应用此类别中的策略设置。回想一下，这种类型的处理是为了清理，如果管理员恶意地抛弃了我们并修改了本地设置。

您不能通过慢速链接关闭注册表策略处理。它们总是被下载和应用。

配置Internet Explorer维护策略处理

启用后，此策略设置具有三个潜在选项：

允许通过慢速网络连接进行处理 选中此复选框以允许通过慢速链接登录时下载Internet Explorer维护设置。启用此功能可能会使您的用户经历更长的登录时间，但是他们将遵循您最新的Internet Explorer的愿望。

在定期后台处理过程中不应用 如果选择此选项，则在后台刷新期间不会下载或应用Active Directory GPO中的最新Internet Explorer设置。

配置软件安装策略处理

启用后，此策略设置有两个潜在选项：

允许通过慢速网络连接进行处理 如我所述，默认情况下，软件部署提议不会显示给通过慢速链接进行连接的用户。这是一件好事。允许用户单击新提供的图标以通过56K拨号线路开始下载和安装新软件可能很麻烦。使用此设置可以更改此行为。

如果您已经通过组策略分发了软件，并且报价已被客户端计算机接受（但可能不是所有应用程序都已加载），则设置此选项可能无济于事，并且您的用户可能会经历很长的延迟通过慢速链接运行其应用程序。有关如何最好地向使用慢速链接的客户端分发软件的更多信息，请参见第11章。

即使组策略对象未 针对软件安装进行处理，但无论是否选择此选项，我都找不到任何区别，尽管Microsoft暗示它可能在软件损坏时纠正某些操作。由于软件部署提议仅在登录或重新引导时显示（也称为前台策略处理），因此在我的测试中，此设置似乎没有任何效果。

用户仍然会陷入有关组策略软件安装和慢速链接的陷阱。也就是说，如果他们在通过快速链接进行连接时接受“部分报价”，然后尝试请求更多同一应用程序，则计算机将尝试通过慢速链接下载该部分。无论如何设置“允许通过慢速网络连接进行处理”策略设置，都不会发生这种情况。有关更多信息，请参见第11章中描述的软件安装设置。

配置文件夹重定向策略处理

启用后，此策略设置有两个潜在选项：

允许通过慢速网络连接进行处理 回忆起文件夹重定向策略仅在登录时才更改。您可能不希望拨入的用户体验该新更改。相反，您将要等到它们在您的LAN上。如果要折磨用户并允许他们仍然接受更改的策略，请使用此设置更改此行为。

即使组策略对象未更改， 我也无法进行处理，尽管Microsoft暗示它可能更正了一些文件夹重定向问题（如果重命名用户名），但无论是否选择此设置，我都找不到任何区别。

配置脚本策略处理

这是一个很奇怪的人，所以请和我在一起。如果您更改此设置，你不能说， “我想通过低速链路运行脚本。”

您的意思是，“当我通过慢速链接时，我想接受对

我知道脚本是从中运行的。”

这是一个区别。这是场景：

■ ■ 弗雷德有一个GPO，告诉他他有一个登录脚本，从运行\\ server15 \ share10 \ runme.bat 。

■ ■ 弗雷德高高兴兴地运行此脚本，一天又一天，即使在慢速链接。■ ■ 然后，您可以更改GPO和点Fred的脚本\\ server81 \ share101 \ runme2.bat 。

■ ■ Fred的计算机将不能对变化的知识更新。弗雷德将继续尝试从原始位置运行脚本。糟糕！

因此，我们的想法是，如果您想确保Fred会收到更新的位置（即使是通过慢速链接），则将使用此策略设置来更改脚本CSE的行为。

因此，启用后，此策略设置具有三个潜在选项：

允许通过慢速网络连接进行处理 回想一下，默认情况下，不会在慢速网络上下载脚本运行位置的更新。更改此选项以允许更新通过慢速链接下载。脚本的实际运行是一个不同的过程。此设置仅关心是否有对脚本的新引用或更新引用。

在定期后台处理期间不应用 此选项将不允许下载最新的脚本说明。

即使GPO尚未更改也进行处理即使GPO尚未更改， 此选项也允许下载最新的脚本指令。

配置安全策略处理

启用后，此策略设置有两个潜在选项：

请勿在定期后台处理期间应用。 回想一下，无论机器是否需要，安全性设置每16个小时都会在计算机上刷新一次。选中此选项将关闭该刷新。我建议您保持原样。但是，您可能需要考虑为具有大量事务的服务器启用此设置，这些服务器需要所有可以聚集的处理能力。

即使GPO尚未更改也要进行处理 记得16小时后，此策略类别始终会刷新。启用此选项后，将在每个刷新周期重新处理安全策略。

配置IP安全策略处理

启用后，此策略设置具有三个潜在选项：

允许通过慢速网络连接进行处理 选中此设置后，该设置（如图3.12所示）将无效。无论计算机是否通过慢速网络连接，都始终下载IP安全设置。因此，您可能会问自己，选择此复选框会发生什么？答案：什么都没有-这是界面中的错误。要重复：不管链接速度如何，始终处理IP安全性。

IPsec策略的行为与其他策略设置类别略有不同。IPsec策略设置不是附加的。对于IP安全性，以最后应用的策略为准。

图3.12 “允许通过慢速网络连接进行处理”设置未用于IP安全性或EFS设置（所有Windows版本）。

在定期后台处理期间不应用 如果选择此选项，则在后台刷新期间将不会下载或应用Active Directory GPO中的最新IP安全设置。

配置EFS恢复策略处理

启用后，此策略设置具有三个潜在选项：

允许通过慢速网络连接进行处理 选择此选项后，将不执行任何操作。

与IP安全一样，即使在速度较慢的网络上，也始终会下载EFS恢复设置。这与图3.12中先前显示的错误相同。重复一遍，无论链接速度如何，始终会处理EFS恢复策略。

EFS恢复策略的行为与其他策略设置类别略有不同。EFS恢复策略不是累加的；最后应用的政策胜出。

在定期后台处理期间不应用 如果选择此选项，则在后台刷新期间不会下载或应用Active Directory GPO中的最新EFS恢复设置。

配置无线策略处理

如果启用此策略设置，则它具有三个潜在选项：

允许通过慢速网络连接处理 当用户通过慢速链接登录时，选中此选项可下载最新的无线策略设置。启用此功能可能会使您的用户经历更长的登录时间。

在定期后台处理过程中不应用 如果选择此选项，则在后台刷新期间不会下载或应用最新的无线策略设置。

配置有线策略处理

仅当应用于Windows Vista及更高版本时，此策略设置才有效。如果启用此策略设置，则它具有三个潜在选项：

允许通过慢速网络连接处理 当用户通过慢速链接登录时，选中此选项以允许下载最新的有线策略设置。启用此功能可能会使您的用户经历更长的登录时间。

在定期后台处理过程中不应用 如果选择此选项，则在后台刷新期间不会下载或应用最新的有线策略设置。

配置磁盘配额策略处理

如果启用此策略设置，则它具有三个潜在选项：

允许通过慢速网络连接进行处理 选中此选项以允许最新的磁盘配额策略设置在用户通过慢速链接登录时下载并应用。启用此功能可能会使您的用户经历更长的登录时间。

在定期后台处理期间不应用 如果选择此选项，则在后台刷新期间不会下载或应用最新的磁盘配额策略设置。

即使组策略对象未更改也进行处理如果选中，即使基础GPO 尚未更改 ，此选项也会更新并重新应用此类别中的策略设置。回想一下，这种类型的处理旨在清理掉用户或管理员背叛我们并修改本地设置的情况。

始终对组策略对象编辑器使用本地ADM文件

ADM文件是在Windows Vista之前的版本中创建策略设置的基础语言。在第6章中，我将详细介绍ADM文件以及如何最好地使用它们。但是，作为参考，如果计算机受此策略设置的影响，组策略对象编辑器将尝试从本地显示ADM文件中的文本。％windir％\ inf 目录（通常为C：\ windows \ inf ）。如果GPO内部的ADM文件与本地C：\ windows \ inf 目录中的ADM文件不同，则最终可能会看到与GPO内部不同的设置和解释文本。

此策略仅在应用于Windows Server 2003时才有效，但不适用于Windows XP Management Station（奇怪地）。

确实，如果启用了此策略，您现在可能会看到与最初放置在GPO中不同的策略设置。但是，如果您知道将始终使用一个特定的Management Station，则可能要启用此策略设置。请继续关注第6章，以了解如何使用此功能。

关闭本地组策略对象处理

如果Windows Vista或更高版本的计算机受此策略设置的影响，则将忽略本地GPO中设置的任何内容。

如果计算机最初在工作组（非域加入的环境）中使用，然后又加入域，则这很有用。在这种情况下，您可能要确保没有用户拥有任何会特别影响他们的挥之不去的策略设置。因此，您希望控制Active Directory中的所有内容，而不控制本地级别中的任何内容。

当然，此策略设置仅在从Active Directory传递时才起作用（而不是在本地设置时）。

此策略设置仅影响Windows Vista和更高版本的计算机（包括Windows Server 2008和更高版本的计算机）。

指定启动策略处理等待时间

此策略设置有助于处理组策略时的超时。该策略设置仅适用于Windows Vista及更高版本。但是，其他操作系统（例如带有注册表hack的Windows XP / SP2）中存在控制这些超时的功能。

如果您想为Windows XP / SP2和更早版本的计算机实现此设置，请查看知识库文章840669（位于此处：http : //tinyurl.com/88tbo ）。

指定用于策略处理的Workplace Connectivity等待时间

如果您使用的是工作场所连接（也称为DirectAccess），则使用此值。

如果是这样，您的计算机可以在默认的异步处理模式下运行，也可以切换回Windows 2000同步处理模式的行为（我的建议）。

如果异步运行，则计算机将继续确定是否可以通过Internet看到您的公司。不利的一面是，您可能会错过仅在前台处理的信号（例如组策略首选项驱动器映射）。

如果以同步处理模式运行，则计算机将等待（默认情况下）60秒，以便通过Internet查看您的公司。之后，它“放弃”并让用户登录。

如果要强制等待更长的时间（在同步处理的情况下，甚至在异步处理的情况下），请设置此值。在继续之前，计算机将等待这几秒钟。

将直接访问连接配置为快速网络连接

如果您使用的是DirectAccess，请参阅“始终获取组策略（即使在旅途中，通过Internet）”一节。您可能希望将所有DirectAccess连接视为快速连接，即使不是那样也是如此。

对我来说，这似乎是个好主意，因为这样一来，您的用户将在办公室内和办公室外获得完全相同的组策略体验（即使花费更长的时间）。

此设置仅影响Windows 8和更高版本以及Windows Server 2012和更高版本。如果要影响Windows RT计算机，则需要在本地手动指定此设置，因为Windows RT计算机无法接收基于Active Directory的组策略。

通过远程桌面服务登录时允许异步用户组策略处理

切记：组策略将对所有类型的服务器同步处理，对客户端（Windows XP和更高版本）异步处理。通过异步运行组策略，可以确保登录运行的速度稍快一些，但是牺牲了在登录时并不总是具有最新的组策略设置。

如果设置此策略，则将使Windows 2008（及更高版本）远程桌面服务（终端服务器）的工作方式与客户端系统默认情况下一样。

我个人不会设置此设置，因为我很喜欢同步运行，而不是异步运行（即使这意味着登录时速度较慢）。但那只是我的个人意见。

将组策略处理更改为 在检测到慢速网络连接时异步运行

此设置告诉速度较慢的计算机避免处理任何需要同步处理的CSE。

我不建议启用此设置。原因如下：

■ ■ 如果您的用户尚未登陆，并使用VPN连接，那么你会特别避免的项目，过程同步像组策略首选项驱动器映射（如果你使用的是Windows 7客户端）。

■ ■ 如果您已经登录，则该用户使得他们的VPN连接，然后井，都不会有问题。这是因为，如果您已经登录，则可能会错过处理组策略首选项驱动器映射（在Windows 7上）等项目的机会，因为它只能在登录时进行处理。

简而言之，不要理会此设置。仅考虑什么将要处理，就使我的头部受伤。哎呀

关闭组策略客户端服务AOAC优化

在前面的“ Windows 8、8.1和10组策略：细微差别”一节中，我描述了Windows 8及更高版本上的组策略服务如何在闲置10分钟后自动关闭。

如果要还原为Windows 7样式（使服务始终处于启用状态），则可以将此设置配置为“启用”。

您可能要在Windows 8和更高版本的台式机上执行此操作，因为它的缺点很小。并且您可能希望保持这种行为（即，将此设置保留为Not

Windows 8及更高版本笔记本电脑的配置），以从中节省额外的电池寿命。

在策略刷新期间启用AD / DFS域控制器同步

帮助文本说明已说明了一切。

“启用此设置将导致组策略客户端连接到与用于Active Directory的DFS共享相同的域控制器。”

因此，启用它后，您将确保组策略客户端不会为了建立组策略（也使用DFS）而与其他DC建立另一个连接。

配置组策略缓存并 为服务器启用组策略缓存

在秘密6的较早部分“ Windows 8、8.1和10组策略：细微差别”中，我解释了组策略缓存并讨论了这两个设置。

配置登录脚本延迟

在Secret 8的较早部分“ Windows 8、8.1和10组策略：细微差别”中，我讨论了Windows如何延迟登录脚本处理，并向您显示了此策略设置，以便根据需要进行调整和配置。

丢失的组策略首选项策略设置

如前所述，您可以将Windows 10或Windows Server 2016计算机用作管理计算机，并获得相同的组策略功能。除了一个大案例外，大多数情况都是这样。

说真的，这很奇怪，所以坚持下去。在图3.13中，您可以看到两个屏幕截图。左侧显示Windows 10管理计算机视图的计算机配置➢策略➢管理模板➢系统➢组策略节点。右侧显示的是同一件事，但从Windows Server 2016管理机看到的除外。

实际上，该列表在右边持续了很长时间，以至于我节省了空间并切断了它。

那么，这些“缺失”的定义是什么？这些是用于控制，管理和监视组策略首选项的设置（基本上，是第5章的全部内容。）

您将看到用于管理和“组策略首选项”项的特定策略定义，例如“ 打印机策略处理”，“ 快捷方式策略处理”，“ 开始菜单策略处理 ”以及所有其他特定于“组策略首选项”的设置。

仔细观察，您还将在组策略节点中看到另一个称为“日志记录和跟踪”的整个节点，该节点仅在Windows Server 2016的定义中可用。

好吧，那能给什么呢？

我们将在“故障排除”的第5章中使用和了解这些设置：

报告，日志记录和跟踪”部分，并在第6章中详细了解定义的来源。

图3.13 对于Windows 10（左），与Windows Server 2016（右）相比，组策略节点中的策略设置更少。

但由于您等不了那么久，所以这里是缩写版本。简而言之，组策略域中可能的“定义”存储在ADMX文件中（同样，在第6章中，将提供更多详细信息-更多细节）。但事实证明，Windows客户端和Windows Server并未附带完全相同的定义。

鬼鬼 “缺少”组策略设置仅在Windows Server上存在的设置中可用。

在第6章中，我们将重新讨论策略定义的来源。我将向您展示如何确保您始终拥有“最新设置”的策略设置，因此它们并不是什么难事，您将始终拥有最新的设置。

该博客条目将其全部拼写出来（在“缺少和记录RSAT中的日志和跟踪”部分中）：http : //tinyurl.com/kowj66 。

最后的想法

组策略不仅要选择何时要应用。相反，在处理时要遵循一组特定的规则。了解这些规则对于帮助您防止潜在的组策略问题至关重要。

以下是一些需要记住的小技巧：

记住后台刷新策略处理（成员计算机）。 对于所有计算机类型，普通成员计算机在用户登录后会刷新一些时间（通常为90分钟左右）。

记住何时适用GPO，哪些不适用。 默认情况下，工作站（如Windows 10）将仅在后台（异步）处理GPO 。某些功能（例如软件分发和文件夹重定向）可能需要两次重新启动或登录才能生效。在您看到效果之前，“高级文件夹重定向”可能需要进行三个登录。这是因为这些特殊功能只能在前台处理。

确定何时打开或关闭快速启动。您可以关闭快速启动以使组策略过程更加切实可行。

您可以保留快速启动功能，以使用户登录时组策略的处理速度更快。

同样，我修改后的建议是关闭连接良好（硬连线）的计算机的“快速启动”，并为可能漫游的任何类型的计算机保留“快速启动”功能。

记住后台刷新策略处理（域控制器）。 所有域控制器每五分钟（在复制发生之后）都会收到一次后台刷新。

安全策略处理每16小时进行一次。对于所有操作系统，每隔16小时仅重新处理和应用所有GPO中的安全设置，而不管安全设置是否已更改。如果有人手动解决了系统上的安全性，这可以确保重新处理所有GPO中的所有安全性功能。

系统上的安全性。

allway2

关注

0
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
组策略处理行为要点

在域中创建或修改GPO后，策略的“愿望”不会立即被丢弃到目标计算机上。实际上，它们根本没有被丢弃在目标计算机上。客户端计算机会在一整天的不同时间请求它们。根据各种条件，在特定时间处理GPO。您基本上可以说GPO是从管理计算机创建的，并放入域控制器中进行存储。然后，这些GPO仅由客户端“拉”。您可能拥有各种各样的客户端系统，包括Windows 7，Windows 8.1，Windows 10（也...
复制链接

扫一扫