如何使用Windows本地组策略编辑器

教程

本指南旨在帮助您了解如何导航和使用 Windows 本地组策略编辑器 (LGPE),以增强您的 Windows 桌面环境的安全性、性能和可用性。

什么是本地组策略编辑器?

Windows 本地组策略编辑器是一个 Microsoft 管理控制台 (MMC) 插件,允许您管理和更改 组策略 对象 (GPO) 在本地计算机上。策略更改反映了 Windows 注册表中特定键的变化。

广告

在中型至大型企业中,组策略设置通过 活动目录域控制器 进行管理,并推送到终端。LGPE 为高级用户和 IT 专业人员提供了一个故障排除选项,以确定特定设置未按预期工作的原因。此外,对于未由 活动目录 (AD) 中心管理的计算机,LGPE 允许 IT 专业人员对 Windows PC 进行配置更改。

如何访问本地组策略编辑器

有几种方法可以打开 LGPE。唯一的前提条件是它未在 Windows 10/11 家庭版上安装或支持。

以下是启动该工具的最常见方法。

  • 在您的键盘上,点击 开始 按钮和 ‘R‘ 键以打开 ‘运行’ 对话框。输入 ‘gpedit.msc‘ 并按 回车
    • 您还可以打开搜索框并输入 ‘gpedit.msc‘。
Running ‘gpedit.msc’ from the Start Run dialog opens the Windows Local Group Policy Editor – (Image Credit: Michael Reinders/Petri.com)
  • 点击 Windows 中的 开始菜单 按钮,输入 ‘本地组‘,然后在开始菜单中选择 ‘编辑组策略—控制面板‘。
Open LGPE from the Windows Start menu (Image Credit: Michael Reinders/Petri.com)
    • PowerShell – 在 Windows 终端中运行此命令以启动 – ‘Start-Process gpedit.msc‘。
      • 您还可以打开命令提示符并运行 gpedit.msc

    广告

    • 管理工具 – 点击 开始按钮,在右上角点击 ‘所有 >‘,向下滚动到 Windows 工具,打开它,然后双击 ‘组策略管理’。
      • 特别说明 – 如果您登录的是安装了 Active Directory 远程服务器管理工具 (RSAT) 的计算机,这将打开中央的 ‘组策略管理‘ 工具,用于管理您企业中的 GPO,而不是本地策略。
    Searching for the Group Policy Editor in the Start Menu – (Image Credit: Michael Reinders/Petri.com)

    LGPE分为两个窗格:

    1. 左侧是两个主要配置树(计算机配置和用户配置)。
    2. 在右侧,显示所有策略。当您深入查看其中一个树时,您将发现可以修改的各种策略。
    The Local Group Policy Editor – (Image Credit: Michael Reinders/Petri.com)

    计算机配置

    计算机配置包含影响计算机对象的所有策略设置,无论用户是否登录。更改这些设置将默认影响每个登录到这台计算机的用户。通常,当计算机启动并引导到Windows时,这些策略将被应用。

    用户配置

    在用户配置部分,您将找到影响用户的特定设置。这些设置通常在用户登录到计算机时运行。如果您希望在用户登录时运行登录脚本,这就是您配置策略更改的地方。

    Viewing a specific policy in the LGPO – (Image Credit: Michael Reinders/Petri.com)

    浏览和修改策略设置

    当您深入研究各种政策部分时,最终会看到设置。这些是您可以查看和编辑的单个政策。

    广告

    当您单击其中一个设置,并且视图模式设置为窗口底部的“扩展”时,您将在左侧看到设置的要求和描述。

    Seeing the Requirements and Description of a selected policy – (Image Credit: Michael Reinders/Petri.com)

    上面我点击了“从回收站上下文菜单中删除属性”。要求显示此设置仅会影响Windows Server 2003和Windows XP或更新版本。因此,适用于今天的任何受支持的Windows客户端和服务器。 🙂 描述显示设置将影响的基本内容。

    如何使用本地组策略编辑器编辑策略

    要更改设置,您可以单击我刚提到的扩展窗格中的“编辑策略设置”链接。但是,最简单的方法可能只是双击设置名称。

    Enabling the ‘Remove Properties from the Recycle Bin context menu’ setting – (Image Credit: Michael Reinders/Petri.com)

    您需要了解的所有信息都在这里。对于大多数设置,您可以选择“未配置”、“已启用”或“已禁用”。在这个例子中,如果我单击已启用并单击确定,更改将立即生效。让我展示给您看。

    广告

    After setting this policy, I clicked Properties on the Recycle Bin – that’s an error -Image Credit: Michael Reinders/Petri.com

    因为我没有注销并重新登录,属性链接仍然可见,但正如您所见,它是不可用的。

    理解本地与域组策略

    我在上面提到过,使用本地组策略编辑器修改本地计算机配置与使用组策略管理来管理企业组策略对象(GPO)之间是有区别的。

    您将使用相同类型的工具,但策略的显示方式是不同的。组策略管理工具将显示您的AD林和域,并列出整个域的组织单位(OU)结构——这就是它们如何被应用的。

    The Group Policy Management (console) is NOT the same tool – (Image Credit: Michael Reinders/Petri.com)

    组策略管理模板

    管理模板文件(ADML和ADMX文件)决定了显示的设置和策略。当新功能发布和新的Windows版本(功能更新)正式可用时,Microsoft会定期发布和更新管理模板。

    广告

    Viewing the location of the ADMX (and ADML) files on the local filesystem – (Image Credit: Michael Reinders/Petri.com)

    ADMX文件存储设置定义,而ADML文件的‘en-US’(或其他语言)包含特定语言的策略描述。管理模板可以从Microsoft的多个位置下载

    常见安全策略

    可以使用此工具快速设置一些有用的常规安全设置。以下是一些示例:

    • 密码策略– 浏览到计算机配置 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 密码策略。
      • 您会找到最长密码使用期限、最小密码长度和密码必须符合复杂性要求等设置。
    • 帐户锁定策略– 浏览到相同位置 – 您会在密码策略文件夹的下方找到‘帐户锁定策略’。
      • 在这里您会找到帐户锁定持续时间、帐户锁定阈值以及重置帐户锁定计数器后的持续时间。
    • 本地策略– 就在上一个文件夹的下方,您会找到本地策略。在这之下,您可以点击用户权限分配。
      • 在这里找到许多安全设置 – 允许本地登录、拒绝作为服务登录以及添加计算机到域。

    导出和导入 LGPO 设置

    在 Microsoft 安全合规工具包 1.0 中,LGPO 实用程序允许您导出本地组策略编辑器设置,并在另一台计算机上导入这些设置。

    • 下载LGPO 实用工具,然后在 Windows 终端的管理员窗口中运行此命令以导出您的本地配置。
    LGPO.exe /b c:\Path\To\Backup\To

    您可以在新设备上运行此命令以导入之前的配置。

    广告

    LGPO.exe /g c:\Your\New\Path

    感谢阅读我关于使用本地组策略编辑器的帖子。请在下方留言或提问。

    Source:
    https://petri.com/windows-local-group-policy-editor/