【组策略基本应用第1篇】组策略入门：第一次打开 gpmc.msc 看懂所有节点

系列：爱依航 · Windows Server 2022 组策略实战系列

本篇主题：组策略管理器结构与基本概念

环境：域名 iehang.cn / 域控制器 DC01

开篇：第一次打开组策略管理器

新入职的运维小李，领导让他"把全公司电脑的壁纸统一一下"。他打开 AD 域控制器，在开始菜单输入 gpmc.msc，回车。

弹出来的窗口左边是一棵树，右边是空白。他愣住了——这么多节点，该点哪个？

这篇文章带你第一次打开组策略管理器，看懂每一个节点的含义。

Part 1 · 组策略管理器的结构

打开方式

在域控制器上，按 Win+R，输入：

gpmc.msc

或者：服务器管理器 → 工具 → 组策略管理

左侧树状结构解读

展开"林：iehang.cn"，你会看到：

• 林：iehang.cn — 最顶层，代表整个 AD 林
• 域：iehang.cn — 当前域的所有策略
• 域控制器 — 只对 DC 生效的策略容器
• Group Policy Objects — 所有 GPO 的存放位置
• WMI 筛选器 — 高级筛选条件（后面讲）

展开"域：iehang.cn"，你会看到默认的 OU 结构：

• Domain Controllers — 域控制器专用 OU
• Users — 用户容器
• Computers — 计算机容器

Part 2 · GPO 是什么

GPO（Group Policy Object）是组策略对象，包含一组配置规则。

每个 GPO 有两个部分：

• 计算机配置 — 对计算机生效，开机时应用
• 用户配置 — 对用户生效，登录时应用

展开"Group Policy Objects"，你会看到两个默认 GPO：

• Default Domain Policy — 域级别默认策略，包含密码策略等
• Default Domain Controllers Policy — DC 专用策略

Part 3 · 链接的概念

GPO 要生效，必须"链接"到某个站点、域或 OU。

比如：

• 链接到域 → 域内所有用户和计算机都生效
• 链接到 OU → 只有该 OU 内的对象生效
• 链接到站点 → 该站点内的所有对象生效

右键某个 OU → 链接现有 GPO，就能把策略挂上去。

Part 4 · 实战：查看默认域策略

右键"Default Domain Policy" → 编辑，打开组策略编辑器。

展开：计算机配置 → 策略 → Windows 设置 → 安全设置 → 账户策略 → 密码策略

你会看到默认的密码设置：

• 密码必须符合复杂性要求：已启用
• 最小密码长度：7
• 密码最长期限：42 天

这就是为什么域用户每 42 天要改一次密码的原因。

小结

组策略管理器（gpmc.msc）是管理 GPO 的总入口。

记住三个概念：

• GPO — 策略对象，包含配置规则
• 链接 — 把 GPO 挂到域/OU/站点
• 继承 — 子 OU 继承父 OU 的策略

下一篇，我们开始实战：修改密码策略。