群組原則(Group Policy)

群組原則(Group Policy, 簡稱GPO)是 Windows Server提供的一種集中式管理機制, 讓系統管理員可以設定和控制作業系統、應用程式及使用者環境的各種行為與設定, 它是 Active Directory的一部分, 可以針對不同層級的目標套用原則, 例如:

。網域(Domain)w-studio.idv.tw

。組織單位(OU)

。特定使用者或電腦群組

群組原則可以用來自動化和強制實施大量的系統設定, 以下是一些常見的用途:

1. 安全性設定

。強制密碼複雜度、長度與有效期限

。控制帳號鎖定策略(防止暴力破解)

。設定防火牆或 Windows Defender

2. 桌面環境管理

。隱藏桌面上的我的電腦、資源回收桶

。鎖定控制台功能(例如關閉控制台或工作管理員)

。自動設定桌布、螢幕保護程式

3. 應用程式控制

。禁止執行特定的程式(例如: 遊戲)

。限制 Internet Explorer 的選項或首頁

。部署軟體(透過 MSI安裝檔自動安裝)

4. 網路與系統設定

。自動掛載網路磁碟機

。自動設定 Proxy或網路列印機

。控制 Windows更新行為

當建立或修改一個 GPO並將它套用到一個 OU或網域時, Windows會根據這些設定定期更新(預設每 90分鐘, 或開機/登入時), 目標電腦或使用者收到這些設定後, 會根據定義好的原則進行自動調整, 由管理者一次設定統一管理