如何将禁用Windows Defender的AD组策略（GPO）分配给特定域内Windows Server并验证策略生效

阿华AIGC实验室

2026-4-22

我太懂你现在的感受了——刚上手AD GPO，折腾大半天开了一堆标签页，还是没把策略落到实处。别慌，我给你一步步捋清楚，从创建GPO到分配、验证，全是亲测有效的实操步骤，避开那些容易踩的坑。

一、先创建禁用Windows Defender的GPO

登录域控制器（DC），打开组策略管理控制台（GPMC）（可以通过开始菜单搜索，或者运行gpmc.msc打开）。
在左侧导航栏，展开你的域，右键点击“组策略对象”→“新建”，命名为Windows Defender AV - 禁用，点击确定（先单独创建GPO，暂时不勾选链接选项）。
右键点击刚创建的GPO，选择“编辑”，打开组策略编辑器：
- 依次展开：计算机配置 → 管理模板 → Windows组件 → Microsoft Defender防病毒
- 在右侧找到关闭Microsoft Defender防病毒，双击它，选择“已启用”，点击确定。
- （可选但建议）如果需要彻底禁用实时保护，再找到关闭实时保护，同样设置为“已启用”——避免Defender在后台偷偷启动。

这里要提一个新手必踩的坑：GPO不能直接链接到安全组，必须先链接到包含目标计算机的OU，再通过安全筛选控制哪些计算机应用。你之前只加了安全筛选没效果，大概率是没把GPO链接到正确的OU。

回到GPMC，找到目标计算机所在的OU（比如“服务器OU”），右键点击该OU→“链接现有GPO”，选择刚才创建的Windows Defender AV - 禁用，点击确定。
双击打开这个GPO的属性，切换到“范围”标签：
- 在“安全筛选”里，先删掉默认的Authenticated Users（如果保留，这个OU里的所有计算机都会应用策略，不符合你只给特定机器的需求）。
- 点击“添加”，输入你之前创建的计算机组Defender Disabled，点击“检查名称”确认后添加。
- （权限检查）切换到“委派”标签，确保Defender Disabled组有“读取”和“应用组策略”的权限——默认域内计算机组会有这些权限，但如果之前改过，手动勾选一下这两个权限。

如果只是先测试一台机器，步骤更简单：

默认域内计算机每90分钟才会自动刷新GPO，为了快速测试，在目标Windows Server上做这两步：

在目标服务器上，以管理员身份打开命令提示符，运行：

gpresult /r

在输出结果里找**“计算机设置”→“已应用的组策略对象”**，如果能看到Windows Defender AV - 禁用这个GPO，说明策略已经被成功读取并应用了。

或者更直观的方式：回到GPMC，右键点击“组策略结果”→“组策略结果向导”，选择目标计算机和本地管理员账户，生成报告后就能看到哪些GPO被应用了。

命令行验证：运行
```
sc query WinDefend
```
如果输出里的“STATE”是STOPPED，说明Defender服务已经停止；如果还是RUNNING，那可能是策略没生效，要回头检查GPO设置和链接。
图形界面验证：打开Windows Defender安全中心，顶部会显示“由你的组织管理”，而且所有防护选项都是灰色不可用状态。
注册表验证：打开注册表编辑器（运行regedit），导航到：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
查看是否有DisableAntiSpyware键，值为1——这是GPO生效后自动生成的键，要是有就说明策略确实生效了。