简介

Windows组策略（Group Policy）是微软Windows操作系统的一个重要特性，用于管理用户和计算机的工作环境。关键信息包括：

功能：提供了集中管理和配置操作系统、应用程序以及活动目录中用户设置的功能.
对象：核心对象是组策略对象（GPO），可控制组织单位的系统服务安全性.
适用性：主要面向网络管理员，但也可用于调整单台计算机的设置

组策略配置

cmd运行gpmc.msc即可打开域的组策略管理。

组策略的应用顺序优先级为：本地、站点、域、OU。

对于组策略的配置，也就是每一个GPO（Group Policy Object，组策略对象），我们一般主要关心2点：组策略作用范围和组策略的内容

组策略作用范围

作用范围不能设置到组，是因为组（Group）是一组用户或计算机的集合，用于方便地分配权限和管理对象，没有容器的特性，无法直接链接组策略。组通常用于控制访问权限或分配资源，而不是用于应用策略。

组策略内容

我设置的为登陆后会自动打开计算器

配置好后更新组策略

这样当在“IT部”的对象启动时就会自动执行对应的脚本内容。

组策略存储

组策略对象GPO的存储，分为2个部分：

GPC（Group Policy Containers，组策略容器）：存储在活动目录数据库中。它包含了 GPO 的属性和元数据信息，如 GPO 的唯一标识符（GUID）、版本信息等，用于在域中进行 GPO 的识别和管理

GPT（Group Policy Template，组策略模板）：用于存储组策略的配置信息和设置。它包含了管理模板、安全设置、脚本、软件安装等内容，并存储在域控制器的共享目录中，作为组策略的一部分

GPC

GPC存在AD中，对应的路径为CN={Unique ID},CN=Policies,CN=System,DC=org,DC=gm7

GPT

GPT是一个文件夹，GPC属性gPCFileSysPath的值就是GPT的路径。

WMI筛选

WMI（Windows Management Instrumentation）筛选器是用于在 Windows 环境中管理和监控系统资源的工具。通过 WMI 筛选器，用户可以定义特定的条件来选择性地监控或处理系统中的事件或对象。这些筛选器使用 SQL 查询语言构建条件，允许用户根据不同的属性、状态或其他参数来筛选所需的信息或操作。

在此处，如果我们要把策略作用于所有WIN10的电脑，那么可以配置如下：

Select BuildNumber from Win32_OperatingSystem WHERE BuildNumber >= 10240

一些常用的筛选语句：

语句	说明
SELECT * FROM Win32_ComputerSystem where name = "PCNAME"	筛选计算机名，name参数为计算机名
SELECT * FROM Win32_OperatingSystem where Verion like "6.0%"	筛选操作系统版本号，verion参数，windows server 2008 和 windows vista 实际版本为6.0开头，%为通配符
SELECT * FROM Win32_OperatingSystem where Caption = "Microsoft Windows XP Professional"	筛选操作系统，caption参数
SELECT * FROM Win32_Product where name = "仙剑奇侠传" OR name = "仙剑奇侠传II"	筛选安装有指定软件产品的计算机
SELECT * FROM Win32_LogicalDisk where FreeSpace > 629145600	筛选逻辑磁盘空间大于600M的计算机
select from Win32_OperatingSystem where OSArchitecture = "64-bit" select from Win32_OperatingSystem where OSArchitecture = "32-bit"	筛选x64 x86不同类型的操作系统