組策略的存在時間已經(jīng)超過了15年。每個Windows Server版本中都會引入新特性，但是組策略的基礎(chǔ)內(nèi)容自從Windows 2000引入以來基本上沒有發(fā)生變化。

通過使用組策略，Windows管理員可以為用戶和計算機實現(xiàn)特定的配置以及定義安全、用戶和網(wǎng)絡(luò)策略。這些設(shè)置集合在一起叫做組策略對象（Group Policy Object，GPO）。

Windows Server 2016的配置過程作了一些調(diào)整，但組策略的設(shè)置仍應(yīng)用在本地、站點、域和組織單元（OU）級別。GPO的級別是很重要的，因為新策略會覆蓋先前應(yīng)用的策略。以防萬一，管理員應(yīng)該在較高的級別進行設(shè)置，因為級別越高影響到的用戶就越多。相反，特定的設(shè)置應(yīng)該設(shè)置在較低的級別，這樣就不容易被遺漏。

管理員可以使用多種方法對組策略進行管理，包括本地組策略編輯器、組策略管理控制臺（GPMC）和PowerShell。本地組策略編輯器是微軟管理控制臺一個嵌入式的管理單元。PowerShell命令自Windows Server 2008版本開始引入 。

雖然有這么多工具和方法，但學(xué)習(xí)如何使用卻有些讓人望而生畏。但是Jeremy Moskowitz的書《Group Policy: Fundamentals, Security, and the Managed Desktop》（《組策略：基本原理、安全與托管桌面》）可以幫助管理員學(xué)習(xí)并駕馭組策略。

Moskowitz建議管理員設(shè)置一個測試實驗室，以及一個真正的機器或者虛擬硬件，按照書中的例子學(xué)習(xí)配置和安裝流程。下面是第一章摘錄，更多細節(jié)可以下載閱讀：

用戶和計算機節(jié)點下的第一級別包含軟件設(shè)置、Windows設(shè)置和管理模板。打開計算機的管理模板節(jié)點，我們會發(fā)現(xiàn)額外的級別，包括Windows組件、系統(tǒng)、忘了和打印機。同樣，用戶節(jié)點的管理模板下包含了相同的文件夾以及其他一些，包括共享文件夾、桌面、開始菜單和任務(wù)欄。

在用戶和計算機部分，你會發(fā)現(xiàn)策略設(shè)置是分等級的，就像一個目錄結(jié)構(gòu)。相似的組策略設(shè)置集合在一起方便查詢。不過這是理想的——不可否認，有時候想要找到某個具體的策略或配置事實上極具挑戰(zhàn)。