如何使用 Windows 本地群組原則編輯器

教學

本指南旨在幫助您了解如何導航和使用 Windows 本地群組原則編輯器 (LGPE),以增強您的 Windows 桌面環境的安全性、性能和可用性。

什麼是本地群組原則編輯器?

Windows 本地群組原則編輯器是一個微軟管理控制台 (MMC) 插件,允許您管理和更改 群組原則 物件 (GPO) 在本地計算機上。政策更改會反映在 Windows 註冊表中的特定鍵的變化。

廣告

在中型到大型企業中,群組原則設置通過 活動目錄域控制器 進行管理,並推送到終端設備。LGPE 為高級用戶和 IT 專業人員提供了一個故障排除選項,以確定為什麼特定設置未按預期工作。此外,對於未由 活動目錄 (AD) 中心管理的計算機,LGPE 允許 IT 專業人員對 Windows PC 進行配置更改。

如何訪問本地群組原則編輯器

有幾種方法可以打開 LGPE。唯一的前提是它不支持或安裝在 Windows 10/11 家庭版上。

以下是啟動此工具的最常見方法。

  • 在您的鍵盤上,點擊 開始 按鈕和 ‘R‘ 鍵以打開 ‘執行’ 對話框。輸入 ‘gpedit.msc‘ 並按 Enter
    • 您也可以打開搜尋框並輸入 ‘gpedit.msc‘。
Running ‘gpedit.msc’ from the Start Run dialog opens the Windows Local Group Policy Editor – (Image Credit: Michael Reinders/Petri.com)
  • 點擊 Windows 中的 開始菜單 按鈕,輸入 ‘本地群組‘,並在開始菜單中選擇 ‘編輯群組策略—控制面板‘。
Open LGPE from the Windows Start menu (Image Credit: Michael Reinders/Petri.com)
    • PowerShell – 在 Windows 終端中運行此命令以啟動 – ‘Start-Process gpedit.msc‘。
      • 您也可以打開命令提示符並運行 gpedit.msc

    廣告

    • 管理工具 – 點擊 開始按鈕,在右上角點擊 ‘全部 >‘,向下滾動到 Windows 工具,打開它,然後雙擊 ‘群組政策管理。’
      • 特別注意 – 如果您登錄到一台已安裝 Active Directory 遠端伺服器管理工具 (RSAT) 的電腦,這將打開管理您企業中 GPO 的中央 ‘群組政策管理‘ 工具,而不是本地政策。
    Searching for the Group Policy Editor in the Start Menu – (Image Credit: Michael Reinders/Petri.com)

    LGPE分為兩個窗格:

    1. 左側是兩個主要配置樹(電腦配置和使用者配置)。
    2. 右側顯示所有原則。當您深入檢視其中一個樹時,您將發現可以修改的各種原則。
    The Local Group Policy Editor – (Image Credit: Michael Reinders/Petri.com)

    電腦配置

    電腦配置包含影響電腦對象的所有策略設置,無論用戶是否已登錄。更改這些設置將默認影響每個登錄到該電腦的用戶。通常,當電腦啟動並啟動到Windows時,這些策略將應用。

    使用者配置

    在使用者配置部分,您將找到影響使用者的特定設置。這些設置通常在用戶登錄到電腦時運行。如果您希望在用戶登錄時運行登錄腳本,則需要在此處配置策略更改。

    Viewing a specific policy in the LGPO – (Image Credit: Michael Reinders/Petri.com)

    瀏覽和修改策略設置

    當你深入了解各種政策的不同部分時,最終會看到 設定。這些是你可以查看和編輯的個別政策。

    廣告

    當你點擊其中一個設定,並且視圖模式設置為‘擴展‘在視窗底部時,你會在左側看到該設定的需求和描述。

    Seeing the Requirements and Description of a selected policy – (Image Credit: Michael Reinders/Petri.com)

    在上面,我點擊了‘從回收站上下文菜單中移除屬性’。需求顯示這個設定僅會影響 Windows Server 2003 和 Windows XP 或更新版本。因此,任何今天支持的 Windows 客戶端和伺服器版本。🙂 描述顯示了該設定會影響的基本內容。

    如何使用本地群組政策編輯器編輯政策

    要對設定進行更改,你可以在我剛提到的擴展窗格中點擊‘編輯政策設定‘連結。然而,最簡單的方法是直接雙擊設定名稱。

    Enabling the ‘Remove Properties from the Recycle Bin context menu’ setting – (Image Credit: Michael Reinders/Petri.com)

    所有你需要知道的信息都在這裡,以便做出明智的更改。對於大多數設定,你可以選擇‘未配置‘、‘已啟用‘或‘已禁用’。在這個例子中,如果我點擊 已啟用 並點擊 確定,那個更改將立即生效。讓我給你示範。

    廣告

    After setting this policy, I clicked Properties on the Recycle Bin – that’s an error -Image Credit: Michael Reinders/Petri.com

    因為我沒有登出再登錄,屬性連結仍然可見,但如你所見,它是不可用的。

    理解本地與域群組政策

    我之前提到使用本地群組原則編輯器修改本地電腦配置和使用群組原則管理來管理企業群組原則對象(GPO)之間存在差異。

    您將為兩者使用相同類型的工具,但原則顯示方式不同。群組原則管理工具將顯示您的AD林和域,並列出整個域組織單元(OU)結構-這就是它們應用的方式。

    The Group Policy Management (console) is NOT the same tool – (Image Credit: Michael Reinders/Petri.com)

    群組原則管理模板

    管理模板文件(ADML和ADMX文件)確定顯示的設置和原則。管理模板會定期由微軟釋出和更新,當推出新功能和新的Windows版本(功能更新)時會普遍提供。

    廣告

    Viewing the location of the ADMX (and ADML) files on the local filesystem – (Image Credit: Michael Reinders/Petri.com)

    ADMX文件存儲設定定義,而ADML文件‘en-US’(或其他語言)包含具體語言的原則描述。管理模板可以從微軟的各個地方下載。

    常見安全原則

    一些有用和常規的安全設置可以快速使用此工具設置。以下是一些示例:

    • 密碼政策– 瀏覽至計算機配置 -> Windows 設定 -> 安全設定 -> 帳戶政策 -> 密碼政策。
      • 您會找到設定,例如最大密碼有效期、最小密碼長度,以及密碼必須符合複雜性要求。
    • 帳戶鎖定政策– 瀏覽至相同位置 – 您會在密碼政策資料夾下方找到「帳戶鎖定政策」。
      • 這裡是您可以找到帳戶鎖定持續時間、帳戶鎖定閾值,以及在多久之後重置帳戶鎖定計數器。
    • 本地政策– 在最後一個資料夾下方,您會找到本地政策。在這裡,您可以點擊用戶權限分配。
      • 許多安全設定在這裡找得到 – 允許本地登錄、拒絕作為服務登錄,以及將工作站添加到域。

    導出和導入 LGPO 設定

    在 Microsoft 安全合規工具包 1.0 中稍微隱藏的 LGPO 工具允許您導出本地組策略編輯器設定,並在另一台機器上導入它們。

    • 下載 LGPO Utility,並在 Windows Terminal 的管理員窗口中運行此命令以導出您的本地配置。
    LGPO.exe /b c:\Path\To\Backup\To

    然後,您可以在新機器上運行此命令以導入先前的配置。

    廣告

    LGPO.exe /g c:\Your\New\Path

    感謝您閱讀我關於使用本地群組政策編輯器的文章。請在下方留下評論或問題。

    Source:
    https://petri.com/windows-local-group-policy-editor/