MCITP-2011/12/07

GPO = Group Policy Object  ( 群組原則物件) 

主要用途是讓管理者利用此工具，來針對"使用者"或者"電腦"進行管理。

以下為轉貼，較為詳細部分。
群組原則是一個可以讓系統管理員集中管控 Windows 用戶端的工具，只要透過遠端管理，即可控制整個企業內所有的 Windows 使用者與電腦環境。例如，限制使用者在電腦上所能執行的動作；指派使用者能使用何種軟體；指定電腦的安全設定等等。




群組原則的特色

•	提供更多的功能：群組原則一樣包含了電腦設定與使用者設定兩部份，但其中所能管理的設定項目遠超過系統原則。
•	與 AD 整合：群組原則可套用在 AD 的站台、網域或組織單位 (Organizational Units)，使用上比系統原則更具彈性。與 AD 整合，可說是群組原則的重要特性之一，我們稍後會再詳細說明群組原則如何套用至 AD 中的各種單位。
•	寫入登錄資料庫 (Registry) 的方式不同：系統原則會將設定寫入登錄資料庫，造成永久的變更。因此當原則移除後，原有的設定仍然留在登錄資料庫中，無法復原成原來的狀態，必須透過再一次的修改才能復原。群組原則會將設定寫入登錄資料庫的特定部份。因此當原則移除後，很容易便將該部份的設定清除。
•	套用時機較為靈活：系統原則只會在電腦開機時套用電腦設定，在使用者登入時套用使用者設定。群組原則除了在上述時間點套用外，可每隔一段時間即更新原則，毋須重新開機。 群組原則的功能 群組原則到底可管理哪些事情呢？ 群組原則可分為「電腦設定」與「使用者設定」兩部份，分別可管理電腦與使用者，更精確一點的說法是，可分別管理電腦帳戶與使用者帳戶。 我們可以將群組原則大致歸納出以下幾種功能： • 管理使用者的作業環境：群組原則可管理使用者的桌面、「開始」功能表等作業環境。例如，系統管理員可決定是否在使用者的桌面上顯示「網路上的芳鄰」圖示，或是指定使用者的「開始」功能表中是否會有「關機」、「執行」、「說明」、「尋找」、「設定」等項目。 • 集中管控 Internet Explorer 的選項：群組原則可以讓管理者集中管控IE的選項，尤其可以協助使用者設定（或強制設定）IE的安全性、隱私權等選項。 • 定義網域安全性設定：網域安全性設定包含網域中所有與安全相關的設定項目。例如，規定密碼最小長度、密碼有效期間的「密碼原則」；在輸入密碼錯誤時，設定保護性措施的「帳戶鎖定原則」；指定使用者票證或服務票證 (Ticket) 有效期間的「Kerberos 原則」；指定電腦之間是否以 IPSec 來傳輸資料的「IP 安全性原則」；設定稽核事件記錄的「事件日誌」原則等等。 • 管理使用者的軟體環境：若要使用此功能，軟體方面必須有相對應的配合。群組原則預設可管理 Internet Explorer、NetMeeting 等軟體的環境。 • 指派、安裝軟體：群組原則可以讓管理者集中管理 Windows 用戶端的軟體安裝、更新、移除，管理者可以強制指定或讓使用者選擇要在哪一台電腦安裝什麼軟體，或是哪一個使用者可以使用何種軟體。例如，若指定某個使用者可使用 Word，則無論該名使用者從哪一台電腦登入，都能使用Word軟體。 • 限制軟體：群組原則新增了軟體限制原則，可以讓系統管理者識別並控制網域裡所執行的軟體。這可以防止用戶端電腦執行非必要或惡意軟體。 • 設定指令檔：群組原則可設定電腦開機、關機時所須執行的指令檔，以及使用者登入、登出時所執行的指令檔；例如，管理員可在使用者登入時，利用指令檔開啟工時記錄表，提醒使用者填寫記錄。任何 Windows Script Host 所支援的指令語言皆可於此使用，包括 VBScript、JScript、PERL、DOS 批次檔（.bat 或 .cmd）等。 • 漫遊使用者設定檔及資料夾重導：系統管理員可利用群組原則，集中存放在伺服器的漫遊使用者設定檔，可以讓使用者在不同的電腦登入網路，就維持一致的電腦操作環境。群組原則也可以讓系統管理員將使用者的資料夾重新導向至其他位置。例如，將每個使用者的「我的文件」資料夾重新導向至伺服器的某一資料夾。如此也可方便管理者備份使用者的重要資料。 • 設定「離線檔案」、「磁碟配額」等新功能：「離線檔案」是指使用者會將伺服器上的檔案下傳至本機上，以便離線時仍可使用這些檔案。「磁碟配額」是指系統管理員可限制某個使用者在磁碟上所能利用的磁碟空間。系統管理員皆可透過群組原則來管理這些新功能。 • WMI filter：管理者現在可以利用 WMI filter 過濾出 GPO 內容，例如可以從所有的機器當中，列出硬碟剩餘空間超過 200 MB 的電腦。 GPO Permission    Enforcement > Block inheritance