Windows-AD上的GPO(群組原則)

群組原則是什？

GP(Group Policy,群組原則/組策略) 是 Windows NT 作業系統核心家族(Windows 10/11 & Windows Server) 所提供方便集中控制主機上使用者帳戶&該主機上所有的組態環境配置。

其中控制對象從不只單一台主機（LGPO），而是到整個 Active Directory 網域上的多台主機&使用者進行集中化管理！

管理使用者和電腦的一般性功能與安全性管理
- 配置各階層組織單位，給予不同原則限制
- 確保集中管理的主機 & 使用者
  - 有相同的操作介面&系統環境設定
  - 強制實施必要的安全性設定
軟體&批次檔腳本部署派送
- 應用程式(僅限MSI封裝的安裝程式)
- 系統更新
- 批次檔腳本 (ex: 登入後自動掛戴網路磁碟)

套用順序: L(ocal) → S(ite) → D(omain) → OU
1. 本機 (Local)：首先套用儲存在個別電腦上的本機 GPO
2. 站台 (Site)：接著套用連結至 Active Directory 站台的 GPO
3. 網域 (Domain)：隨後套用連結至網域的 GPO
4. 組織單位 (OU)：最後套用與 OU 相關聯的 GPO
覆寫原則與優先權
- 後者為準：由於每個後續套用的原則都可以覆寫先前原則的設定，因此處理順序非常重要
- 最接近者優先：根據預設處理順序，最接近電腦或使用者的 AD 容器（例如子 OU）所設定的原則，會覆寫較高層級容器（如網域或站台）中的設定
例外狀況
- 強制執行 (Enforced)：若 GPO 設定為強制執行，其設定將無法被較低層級的 GPO 覆寫
- 封鎖繼承 (Block Inheritance)：此功能會停止上層（站台、網域、父 OU）的原則套用至該容器，但**「強制執行」的優先權高於「封鎖繼承」**

不同的對象，所套用的初始化時間點(前景政策應用)
- 衝突優先順序: 電腦主機優先
  針對對象套用時間點
  電腦主機系統下一回啟動時
  使用者帳戶使用者下一回登入時
前置處理可以是同步或異步
- 在同步模式中
  - 在成功套用計算機原則之前，計算機不會完成系統啟動。
  - 使用者登入過程在用戶原則順利完成套用之前不會完成。
- 在異步模式中
  - 如果沒有需要同步處理的原則變更，電腦可以在電腦原則的應用程式完成之前完成開始順序。
  - 使用者政策的應用完成之前，使用者即可使用桌面。然後，系統會在背景中定期套用（重新整理）組策略。
時間點
- 系統會在背景中定期(預設:每隔 90 分鐘/1回) 進行套用/重新整理GPO
  - 在重新整理期間，原則設定會以異步方式套用
- 且非所有組策略延伸模組或個別腳本都會在背景重新整理期間處理
  組策略處理時機
  資料夾重新導向僅在使用者登入時處理
  軟體安裝原則僅在開機或登入時處理
  指令碼雖會背景處理，但通常只在登入/登出或開/關機時執行

針對對象	套用時間點
電腦主機	系統下一回啟動時
使用者帳戶	使用者下一回登入時

電腦：自動重新整理時間 (Client Refresh Interval)
- 預設背景更新頻率：在電腦啟動或使用者登入（前景處理）之後，系統會在背景定期套用原則
  - 對於一般的電腦與使用者，預設重新整理間隔為 90 分鐘
- 隨機位移時間 (Random Offset)：為了避免大量電腦同時向網域控制站 (DC) 請求更新導致網路擁塞，系統會隨機加入 0 ～ 30 分鐘的位移時間
  - 因此，實際重新整理時間通常落在 90 至 120 分鐘之間
伺服器：複寫時間 (Replication Latency)
- GPO 的變更必須先複寫到各個網域控制站，客戶端才能取得最新設定
- 複寫機制
  - Active Directory 複寫：控制原則狀態的同步
    - 在同一個站台 (Site) 內通常在 1 分鐘內完成
  - SYSVOL 資料夾複寫 (DFSR)：控制原則檔案（如指令碼）的同步
    - 在站台內每 15 分鐘複寫一次
  - 跨站台複寫：若 DC 位在不同站台，則取決於站台連結的排程
    - 其最低間隔通常也是 15 分鐘

不要亂改預設的群組原則
- “Default Domain Policy”: 套用網域內的所有”電腦主機”
- “Default Domain Control Policy”: 套用網域內的所有”網域控制站”
優先使用 Security Filtering
修改前確認影響範圍(繼承、覆蓋與衝突) & OU
- 套錯 OU 會完全無效
- 電腦設定！= 使用者設定
建議保留變更紀錄，且變更前先想最壞影響
禁止
- 『順手幫忙改一下』
- 上班尖峰時間改 GPO