AdvancedGroupPolicyManagement4.0操作指南
MicrosoftCorporation发布日期:2009年9月
摘要
本指南提供使用Microsoft高级组策略管理(AGPM)4.0执行任务的逐步说明。
本指南包括AGPM帮助中的所有信息。
版权 本文档中的信息(包括引用的URL和其他网站)可能变动,恕不另行通知。
除非另行说明,否则此处示例中涉及的公司、组织、产品、域名、电子邮件地址、徽标、人员、地点和事件均属虚构。
与任何真实公司、组织、产品、域名、电子邮件地址、徽标、人员、地点或事件无关,也不应进行这方面的推断。
用户有责任遵守所有适用的版权法/著作权法。
在不限制版权所辖权利的前提下,未经MicrosoftCorporation的明确书面许可,无论出于何种目的,均不得以任何形式或通过任何方法(电子、机械、影印、录音或其他手段)复制或传播文档中的任何部分内容,或将其存储于或引入检索系统。
本文档可能涉及Microsoft的专利、专利申请、商标、版权或其他知识产权。
除非得到MicrosoftCorporation的明确书面许可,否则本文档不授予用户任何使用这些专利、商标、版权或其他知识产权的许可。
©2009MicrosoftCorporation。
保留所有权利。
Microsoft、Windows和WindowsServer是MicrosoftCorporation在美国和/或其他国家/地区的注册商标或商标。
所有其他商标的所有权属于其各自所有者。
目录 MicrosoftAdvancedGroupPolicyManagement4.0操作指南.............................5AdvancedGroupPolicyManagement概述.............................................5版本控制的最佳做法................................................................6清单:管理AGPM服务器和存档......................................................7清单:创建、编辑和部署GPO........................................................8搜索和筛选GPO列表...............................................................9执行AGPM管理员任务.............................................................10配置AdvancedGroupPolicyManagement..........................................11配置AGPM服务器连接.........................................................12配置电子邮件通知.............................................................13配置AGPM电子邮件安全性.....................................................14委派对生产环境的访问权限.....................................................15配置日志记录和跟踪...........................................................17管理存档.......................................................................17委派对存档的域级别访问权限...................................................18委派对存档中单个GPO的访问权限..............................................19限制存储的GPO版本..........................................................20从文件中导入GPO.............................................................20备份存档.....................................................................21从备份中还原存档.............................................................22管理AGPM服务.................................................................23启动和停止AGPM服务.........................................................23修改AGPM服务...............................................................23移动AGPM服务器和存档.........................................................25执行编辑任务.....................................................................26创建或控制GPO.................................................................27请求控制非受控GPO...........................................................27请求创建新的受控GPO.........................................................28从生产中导入GPO.............................................................28编辑GPO.......................................................................29脱机编辑GPO.................................................................29标记GPO的当前版本..........................................................31重命名GPO或模板............................................................31使用测试环境...................................................................32将GPO导出到文件............................................................32从文件中导入GPO.............................................................33在独立的组织单位中测试GPO...................................................33请求部署GPO...................................................................34创建模板和设置默认模板.........................................................34 创建模板.....................................................................35设置默认模板.................................................................36删除或还原GPO.................................................................36请求删除GPO.................................................................36请求还原已删除的GPO.........................................................37执行审批者任务...................................................................38批准或拒绝挂起的操作...........................................................39创建或控制GPO.................................................................39控制非受控GPO...............................................................40创建新的受控GPO.............................................................40委派管理受控GPO.............................................................41从生产中导入GPO.............................................................42签入GPO.......................................................................42部署GPO.......................................................................43回滚到早期版本的GPO...........................................................43删除、还原或破坏GPO...........................................................44删除受控GPO.................................................................44还原已删除的GPO.............................................................45破坏GPO.....................................................................45执行审阅者任务...................................................................46配置AGPM服务器连接...........................................................46检查GPO设置..................................................................47检查GPO链接..................................................................47识别GPO、GPO版本或模板之间的差异.............................................48AGPM疑难解答....................................................................50用户界面:AdvancedGroupPolicyManagement.......................................53内容选项卡.....................................................................53内容选项卡功能...............................................................54历史记录窗口.................................................................55受控GPO命令................................................................57非受控GPO命令..............................................................59挂起GPO命令................................................................60模板命令.....................................................................62回收站命令...................................................................63域委托选项卡...................................................................64AGPM服务器选项卡..............................................................65“生产委托”选项卡................................................................66管理模板文件夹.................................................................67日志记录和跟踪的设置.........................................................67AGPM服务器连接设置..........................................................67功能可见性设置...............................................................68 MicrosoftAdvancedGroupPolicyManagement4.0操作指南 您可以使用Microsoft高级组策略管理(AGPM)扩展组策略管理控制台(GPMC)的功能。
AGPM为组策略对象(GPO)提供了全面的更改控制和改进的管理方法。
使用AGPM可以执行以下任务:对GPO进行脱机编辑,以便可以创建GPO并在将其部署到生产环境之前对其进行测试。
在中央存档中维护GPO的多个版本,以便出现问题时可以回滚。
使用基于角色的委派在多人之间共享编辑、批准和审阅GPO的职责。
消除了多个组策略管理员使用GPO的签入和签出功能覆盖彼此所做工作的危险。
使用差异报告分析对GPO所做的更改,将该GPO与其他GPO或同一GPO的其他版本进行比 较。
使用GPO模板简化创建新GPO的过程,存储通用策略设置和首选项设置以用作新GPO的起 点。
委派对生产环境的访问权限。
搜索具有特定属性的GPO,并筛选所显示的GPO列表。
将GPO导出到文件,以便可将其从测试林中的域复制到生产林中的域。
AGPM在GPMC中显示的每个域下添加“更改控制”文件夹,还为在GPMC中显示的每个GPO和组策略链接添加“历史记录”选项卡。
AdvancedGroupPolicyManagement概述版本控制的最佳做法清单:管理AGPM服务器和存档清单:创建、编辑和部署GPO搜索和筛选GPO列表执行AGPM管理员任务执行编辑任务执行审批者任务执行审阅者任务AGPM疑难解答用户界面:AdvancedGroupPolicyManagement AdvancedGroupPolicyManagement概述 您可以使用高级组策略管理(AGPM)扩展组策略管理控制台(GPMC)的功能,从而为组策略对象(GPO)提供全面的更改控制和改进的管理方法。
5 组策略对象开发与更改控制 使用AGPM,可以将每个GPO的副本存储在中央存档中,以便组策略管理员可以脱机查看和更改GPO,而不会立即影响GPO的已部署版本。
此外,AGPM还会将每个受控GPO的每个版本的副本存储在存档中,以便您可以在需要时回滚到早期版本。
术语“签入”和“签出”与在库(或提供更改控制、版本控制或源控制进行编程开发的应用程序)中的使用方式相同。
要使用库中的书籍,请在库中将其签出。
签出后,其他人无法再使用该书籍。
使用完成后,应将该书籍签入库中,这样其他人才可以使用。
使用AGPM开发GPO时,请执行以下操作:
1.新建受控GPO或控制早先的非受控GPO。
2.签出GPO,以便只有您可以更改它。
3.编辑GPO。
4.签入已编辑的GPO,以便其他人可以更改它或者对其进行部署。
5.检查更改。
6.将GPO部署到生产环境中。
基于角色委派 AGPM提供了全面且易于使用的基于角色委派来管理对存档中GPO的访问权限。
域级别权限使AGPM管理员能够提供对单个域的访问权限而不提供对其他域的访问权限。
基于GPO委派使AGPM管理员能够提供对特定GPO的访问权限而不提供域范围的访问权限。
在AGPM中,有一些专门定义的角色:AGPM管理员(完全控制)、审批者、编辑和审阅者。
AGPM管理员角色包含所有其他角色的权限。
默认情况下,只有审批者有权将GPO部署到域的生产环境,从而保护该环境不会被经验不足的编辑误操作。
此外默认情况下,所有角色都包含审阅者角色,因此能够查看报告中的GPO设置。
但是,AGPM使AGPM管理员极具灵活性,可以通过自定义GPO访问权限来满足组织需求。
在多个组策略管理员环境中进行委派 在多人可以更改GPO的环境中,AGPM管理员会按组或个人委派编辑、审批者和审阅者的权限。
有关编辑和审批者的典型GPO开发过程,请参阅清单:创建、编辑和部署GPO。
其他参考MicrosoftAdvancedGroupPolicyManagement4.0操作指南 版本控制的最佳做法 Microsoft高级组策略管理(AGPM)提供了组策略对象(GPO)版本控制,与MicrosoftVisualSourceSafe®提供源代码版本控制的方式非常类似。
开发人员可以使用VisualSourceSafe管理每个源文件的多个版本。
组策略管理员可以使用AGPM对GPO执行相同操作。
使用AGPM时,组策略管理员应知道应用于任何版本控制系统的最佳做法:
6 日期和时间:AGPM为GPO的每个版本打上日期和时间戳。
若要确保历史记录准确无误,尤其是在多个计算机上编辑GPO时,请确保每个计算机的时钟都与一个权威时间源同步。
完成编辑后签入GPO:编辑通常会在签出GPO后忘记将它们签入回存档。
然而,这样会阻止其他组策略管理员更改该GPO。
请始终在完成编辑后立即将GPO签入回AGPM。
经常保存更改:编辑GPO时,请经常保存更改。
大多数编辑都是签出GPO,进行很多更改,然后将GPO签入存档。
应定期将GPO签入存档,然后再将其签出。
签入的详情可以像更改每个设置后签入GPO(不建议)或进行多组相关更改后签入GPO那样大。
这样,可以更好地存档每个GPO的历史记录,以帮助排查问题。
经常部署GPO:不要让尚未部署的新GPO和已编辑的GPO在存档中大量累积。
应尽快部署新的和已编辑的GPO,以便最大限度降低其对生产环境的影响。
同时部署多个新的和已编辑的GPO可能会危害生产环境。
签入GPO时记录更改目的:任何审阅者都可以比较GPO的版本以查看两个版本之间的特定更改。
记录这些特定更改不会添加任何值。
应记录更改的意图和目的,而不是记录审阅者通过查看差异报告所了解的内容。
版本注释应将值添加到比较报告中并可帮助审阅者理解编辑更改GPO的原因。
在测试环境中测试GPO:将GPO部署到生产环境而不进行测试会具有风险。
应在测试林的域中测试GPO,然后将GPO导出到文件,再将文件导入生产林中的域。
此外,还可以将GPO链接到包含测试计算机和用户的组织单位。
在测试环境中验证每个GPO的功能是否正常,然后将GPO部署到生产环境。
其他参考 MicrosoftAdvancedGroupPolicyManagement4.0操作指南 清单:管理AGPM服务器和存档 在高级组策略管理(AGPM)中,AGPM服务和存档都由AGPM管理员(完全控制)管理。
以下是AGPM管理员的典型任务。
常见任务 参考 委派对存档中的组策略对象(GPO)的访问权限委派对存档的域级别访问权限 。
委派对存档中单个GPO的访问权限 备份存档以启用灾难恢复。
备份存档 不常见任务 从备份还原存档以从灾难恢复。
将AGPM服务和/或存档移动到不同的服务器。
更改存档路径、AGPM服务帐户或AGPM服务侦 参考 从备份中还原存档移动AGPM服务器和存档修改AGPM服务
7 不常见任务 听的端口。
对AGPM服务器的常见问题进行疑难解答。
参考 AGPM疑难解答配置日志记录和跟踪 其他参考MicrosoftAdvancedGroupPolicyManagement4.0操作指南 清单:创建、编辑和部署GPO 在多人使用高级组策略管理(AGPM)更改组策略对象(GPO)的环境中,AGPM管理员(完全控制)会按组或个人委派编辑、审批者和审阅者的权限。
下面是编辑和审批者的典型GPO开发过程。
任务 参考 编辑请求创建新的GPO,或审批者创建新的GPO请求创建新的受控GPO 。
创建新的受控GPO 如果编辑请求创建GPO,由审批者批准这一请求批准或拒绝挂起的操作。
编辑从存档签出GPO的副本,以便其他任何人都不能修改GPO。
编辑对GPO进行更改,然后将修改的GPO签入存档。
脱机编辑GPO 如果在测试林中进行开发,编辑可将GPO导出到一个文件,再将该文件传送到生产林,然后导入该文件。
此外,编辑还可以将GPO链接到包含测试计算机和用户的组织单位。
使用测试环境 编辑请求将GPO部署到域的生产环境。
请求部署GPO 审阅者,如审批者或编辑,对GPO进行分析。
执行审阅者任务 审批者批准GPO并将其部署到域的生产环境或拒绝GPO。
批准或拒绝挂起的操作 其他参考MicrosoftAdvancedGroupPolicyManagement4.0操作指南
8 搜索和筛选GPO列表 在高级组策略管理(AGPM)中,可以搜索组策略对象(GPO)及其属性列表,以筛选所显示的GPO列表。
例如,可以搜索具有特定名称、状态或注释的GPO。
还可以搜索上次由特定组策略管理员更改或在特定日期更改的GPO。
执行复杂搜索 可以使用GPO属性1:搜索字符串1GPO属性2:搜索字符串2…所有列搜索字符串格式执行复杂搜索。
搜索不区分大小写。
GPO属性:AGPM的GPO列表中除“计算机版本”或“用户版本”以外的任何列标题。
GPO属性包括GPO名称、状态、最近更改GPO的用户、最近更改GPO的日期和时间、注释、GPO状态以及GPO所应用的WMI筛选器。
搜索字符串:要在指定列中搜索的文本。
如果字符串包含空格,必须用引号将字符串引起来。
所有列搜索字符串:要在AGPM的GPO列表中除“计算机版本”和“用户版本”以外的所有列中 搜索的文本。
可以包含多个以空格分隔的字符串。
如果字符串包含空格,必须用引号将字符串引起来。
使用逻辑AND操作可以将每个GPO属性和搜索字符串对以及每个所有列搜索字符串组合在一起。
搜索结果为符合以下条件的所有GPO的列表:每个指定的属性均包含指定的搜索字符串,并且至少有一列显示任何所有列搜索字符串。
搜索将返回字符串的任何部分匹配项,以便您只需输入部分GPO名称或用户名,即可查看其名称中包括该文本的所有GPO的列表。
以下是搜索示例: 搜索结果描述 搜索查询 名称包括文本安全和北美的所有GPO。
名称:安全名称:"北美" 所有签出的GPO。
状态:"已签出" 由名为管理员的用户最近在上月更改的所有GPO更改者:管理员更改日期:lastmonth。
最近注释中包括词语防火墙且任何列中显示有词注释:防火墙安全语安全的所有GPO。
状态为“已禁用所有设置”的所有GPO。
GPO状态:全部 应用了名为我的WMI筛选器的WMI筛选器且状WMI筛选器:"我的WMI筛选器"GPO状态:用 态为“已禁用用户配置设置”的所有GPO。
户
9 指定日期 可以使用在Windows中搜索时可用的相同特殊术语搜索在特定日期、特定时间或时间范围内更改的GPO。
如果输入特定日期或时间,必须使用“更改日期”列中使用的格式。
以下是搜索“更改日期”列的示例:更改日期:10/10/2009更改日期:10/10/20099:00:00AM更改日期:thisweek搜索“更改日期”列时,可以使用以下特殊术语(不区分大小写):TodayYesterdayThisWeekLastWeekThisMonthLastMonthTwoMonthsThreeMonthsThisYearLastYear 其他注意事项默认情况下,只有审阅者、编辑、审批者或者AGPM管理员(完全控制),才能执行此过程。
具体而言,您必须拥有域的“列出内容”权限。
有关GPO属性的详细信息,请参阅内容选项卡功能。
其他参考MicrosoftAdvancedGroupPolicyManagement4.0操作指南 执行AGPM管理员任务 高级组策略管理(AGPM)允许AGPM管理员(完全控制)配置域范围选项并委派审批者、编辑、审阅者和AGPM管理员的权限。
默认情况下,AGPM管理员是拥有完全控制权限(所有AGPM权限)的用户,因此也可以执行与任何角色相关的任务。
在多人开发组策略对象(GPO)的环境中,您可以选择让所有组策略管理员执行相同的任务并具有相同的访问级别。
或者,您可以选择让AGPM管理员为可以更改GPO的编辑以及将GPO部署到生产环境的审批者委派权限。
AGPM管理员可以配置权限以满足组织的需求。
配置AdvancedGroupPolicyManagement:配置AGPM服务器连接和电子邮件通知,委派对 生产环境中的GPO的访问权限,以及配置日志记录和跟踪以进行疑难解答。
管理存档:委派对存档中的GPO的访问权限,限制存储的每个GPO的版本数量,从其他域导 入GPO,以及备份和还原存档。
10 管理AGPM服务:停止并启动AGPM服务,或者更改存档路径、AGPM服务帐户或AGPM服务侦听的端口。
移动AGPM服务器和存档:将AGPM服务和/或存档移动到不同的服务器。
注意由于AGPM管理员角色包含所有其他角色的权限,因此AGPM管理员可以执行通常与任何其他角色相关的任务。
执行审批者任务,如创建、部署或删除GPO执行编辑任务,如编辑、重命名、导入GPO或为GPO加标签,创建模板,或者设置默认模板执行审阅者任务,如检查设置和比较GPO 其他注意事项默认情况下,AGPM管理员角色拥有完全控制权限-所有AGPM权限:列出内容读取设置编辑设置创建GPO部署GPO删除GPO导出GPO导入GPO创建模板修改选项修改安全性“修改选项”和“修改安全性”权限是AGPM管理员角色独有的权限。
配置AdvancedGroupPolicyManagement 在高级组策略管理(AGPM)中,作为AGPM管理员(完全控制),您可以为组策略管理员集中配置AGPM服务器连接,配置AGPM的电子邮件通知、配置AGPM的可选电子邮件安全性,在域的生产环境中委派对组策略对象(GPO)的访问权限,以及配置日志记录和跟踪进行疑难解答。
配置AGPM服务器连接配置电子邮件通知配置AGPM电子邮件安全性委派对生产环境的访问权限配置日志记录和跟踪其他参考有关委派对存档中GPO的访问权限的信息,请参阅管理存档。
11 有关如何限制存档中存储的每个GPO的版本数量的信息,请参阅限制存储的GPO版本。
执行AGPM管理员任务 配置AGPM服务器连接 每个受控组策略对象(GPO)的所有版本都存储在中央存档中,以便组策略管理员可以脱机查看并修改GPO,而不会直接对每个GPO的部署版本产生影响。
需要使用具有AGPM管理员(完全控制)角色的用户帐户、创建在这些过程中使用的GPO的审批者的用户帐户或者具有高级组策略管理(AGPM)中所需权限的用户帐户,才能完成这些为所有组策略管理员集中配置存档位置的过程。
请在此主题的“其他考虑事项”中查看详细信息。
配置AGPM服务器连接作为AGPM管理员,您可以通过集中配置关联设置,以确保所有组策略管理员都能连接到同一AGPM服务器。
如果您的环境中某些域或所有域需要单独的AGPM服务器,除默认服务器以外还需配置这些其他的AGPM服务器。
如果您没有集中配置AGPM服务器连接,那么每个组策略管理员必须手动配置每个域要显示的AGPM服务器。
为所有组策略管理员配置AGPM服务器连接为所有组策略管理员配置其他AGPM服务器连接为您的帐户手动配置AGPM服务器连接 对所有组策略管理员配置AGPM服务器连接
1.在“组策略管理控制台”树中,编辑要应用于所有组策略管理员的GPO。
(有关详细信息,请参阅编辑GPO。
)
2.在“组策略管理编辑器”窗口中,单击“用户配置”、“策略”、“管理模板”、“Windows组件”和“AGPM”。
3.在详细信息窗格中,双击“AGPM:指定默认AGPM服务器(所有域)”。
4.在“属性”窗口中,选择“已启用”复选框,然后键入完全限定的计算机名称和端口(例如, :4600)。
5.单击“确定”。
除非您要配置其他AGPM服务器连接,否则关闭“组策略管理编辑器”窗口, 然后部署GPO。
(有关详细信息,请参阅部署GPO。
)当更新组策略时,会为所有组策略管理员配置AGPM服务器连接。
为所有组策略管理员配置其他AGPM服务器连接
1.如果尚未配置任何AGPM服务器连接,则按照上述过程为配置所有域的默认AGPM服务器。
2.要为某些域或所有域配置单独的AGPM服务器(覆盖默认AGPM服务器),请在“组策略管理控制台”树中编辑要适用于所有组策略管理员的GPO。
(有关详细信息,请参阅编辑GPO。
)
3.在“组策略管理编辑器”窗口中,单击“用户配置”、“策略”、“管理模板”、“Windows组件”和“AGPM”。
12
4.在详细信息窗格中,双击“AGPM:指定AGPM服务器”。
5.在“属性”窗口中,选中“已启用”复选框,然后单击“显示”。
6.在“显示内容”窗口中: a.单击“添加”。
b.在“值名称”中,键入域名(例如,)。
c.在“值”中,键入用于此域的AGPM服务器名称和端口(例如, :4600),然后单击“确定”。
(默认情况下,AGPM服务侦听端口4600。
若要使用其他端口,请参阅修改AGPM服务。
)d.为不使用默认AGPM服务器的每个域重复以上步骤。
7.单击“确定”,关闭“显示内容”和“属性”窗口。
8.关闭“组策略管理编辑器”窗口。
(有关详细信息,请参阅部署GPO。
)当更新组策略时,会为所有组策略管理员配置新的AGPM服务器连接。
如果已集中配置AGPM服务器连接,则所有组策略管理员的手动配置选项将不可用。
为您的帐户手动配置要显示的AGPM服务器
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中,单击“AGPM服务器”选项卡。
3.为管理用于此域的存档的AGPM服务器输入完全限定的计算机名称(例如, )和AGPM服务监听的端口(默认为端口4600)。
4.单击“应用”,然后单击“是”进行确认。
其他注意事项您必须能够编辑并部署GPO,才能执行为所有组策略管理员集中配置AGPM服务器连接的过程。
有关其他详细信息,请参阅编辑GPO和部署GPO。
所选AGPM服务器确定在“内容”选项卡上显示的GPO,以及“域委托”选项卡设置应用的位置。
如果不通过管理模板进行集中管理,则每个组策略管理员必须配置此设置,才能指向域的AGPM服务器。
GroupPolicyCreatorOwners组中的成员身份应加以限制,确保不会危害能够访问GPO的AGPM管理。
(在“组策略管理控制台”中,单击您要在其中管理GPO的林和域的“组策略对象”,单击“委派”,然后配置设置以满足您的组织的需求。
)其他参考配置AdvancedGroupPolicyManagement 配置电子邮件通知 当编辑或审阅者尝试创建、部署或者删除组策略对象(GPO)时,关于此操作的请求会发送到指定的电子邮件地址,这样审批者可以评估请求,然后执行或拒绝请求。
您应确定要接收通知的电子邮件地址,以及用来发送通知的别名。
13 若要完成此过程,必须使用AGPM管理员(完全控制)角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
配置AGPM的电子邮件通知
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中,单击“域委托”选项卡。
3.在“发件人电子邮件地址”字段中,键入将用来发送通知的AGPM电子邮件别名。
4.在“收件人电子邮件地址”字段中,键入应接收要批准的请求的审批者的电子邮件地址逗号 分隔列表。
5.在“SMTP服务器”字段中,键入有效的SMTP邮件服务器。
6.在“用户名”和“密码”字段中,键入拥有SMTP服务访问权限的用户凭证。
7.单击“应用”。
其他注意事项默认情况下,您必须是AGPM管理员(完全控制)才能执行此过程。
具体而言,您必须拥有 域的“列出内容”和“修改选项”权限。
AGPM电子邮件通知是域级别设置。
您可以在每个域的“域委托”选项卡上提供不同审批者的电 子邮件地址或AGPM电子邮件别名,也可以在您的整个环境中使用相同的电子邮件地址。
默认情况下,电子邮件在发送时是作为高级组策略管理(AGPM)中的操作结果而未进行加密 的。
但是,您可以使用注册表设置配置AGPM电子邮件安全性,指定是否使用安全套接字层(SSL)加密和要使用的SMTP端口。
有关详细信息,请参阅配置AGPM电子邮件安全性。
其他参考配置AdvancedGroupPolicyManagement 配置AGPM电子邮件安全性 默认情况下,由于高级组策略管理(AGPM)中的操作而发送的电子邮件通知没有经过加密,而且是通过SMTP端口25发送的。
但是,您可以使用注册表设置配置AGPM电子邮件的安全性,指定是否使用安全套接字层(SSL)加密以及要使用的SMTP端口。
通过对AGPM电子邮件通知进行加密,可以更好地保护可能会显示有关组织安全性的敏感信息的电子邮件。
如果要通过远程邮件服务器中继电子邮件,建议对电子邮件通知进行加密,并且某些合规性可能要求对电子邮件通知进行加密。
注意不正确地编辑注册表可能会对系统造成严重损坏。
更改注册表之前,应对计算机上的所有重要数据进行备份。
要完成这些过程,需要使用具有AGPM管理员(完全控制)角色的用户帐户(即创建在这些过程中使用的组策略对象(GPO)的审批者的用户帐户),或者拥有AGPM中所需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
使用组策略首选项配置AGPM电子邮件安全性 14
1.在“组策略管理控制台”树中,编辑应用于要配置电子邮件安全性的所有AGPM服务器的GPO。
(有关详细信息,请参阅编辑GPO。
)
2.在“组策略管理编辑器”窗口中,展开“计算机配置”、“首选项”、“Windows设置”和“注册表”文件夹。
3.在控制台树中,右键单击“注册表”,指向“新建”,单击“集合项目”,然后键入“AGPM电子邮件安全性”。
4.创建启用加密的注册表首选项项目:a.在控制台树中,右键单击“AGPM电子邮件安全性”,指向“新建”,然后单击“注册表项”。
b.在“新注册表属性”对话框中,选择“更新”操作。
c.对于“配置单元”,选择“HKEY_LOCAL_MACHINE”。
d.对于“注册表项路径”,键入“SOFTWARE\Microsoft\AGPM”。
e.对于“值名称”,键入“EncryptSmtp”。
f.对于“值类型”,选择“REG_DWORD”。
g.对于“基数”,选择“小数”,对于“数值数据”,键入“1”以使用SSL加密,或者键入“0”允许不加密就发送电子邮件。
默认情况下,不加密就发送电子邮件。
单击“确定”。
5.创建指定SMTP端口的注册表首选项项目:a.在控制台树中,右键单击“AGPM电子邮件安全性”,指向“新建”,然后单击“注册表项”。
b.在“新注册表属性”对话框中,选择“更新”操作。
c.对于“配置单元”,选择“HKEY_LOCAL_MACHINE”。
d.对于“注册表项路径”对话框,键入“SOFTWARE\Microsoft\AGPM”。
e.对于“值名称”,键入“SmtpPort”。
f.对于“值类型”,选择“REG_DWORD”。
g.对于“基数”,选择“小数”,对于“数值数据”,键入SMTP端口的端口号。
默认情况下,未启用加密时SMTP端口是25,启用加密时是587。
单击“确定”。
6.关闭“组策略管理编辑器”窗口,然后签入并部署GPO。
有关详细信息,请参阅部署GPO。
其他注意事项必须能使用组策略首选项编辑和部署GPO以配置注册表设置。
有关其他详细信息,请参阅编 辑GPO和部署GPO。
其他参考配置AdvancedGroupPolicyManagement 委派对生产环境的访问权限 在高级组策略管理(AGPM)中,可以更改域的生产环境中的组策略对象(GPO)的访问权限,替换那些GPO上的任何现有权限。
可以在域级别将权限配置为,当用户不使用组策略管理控制台 15 (GPMC)中的“更改控制”文件夹时,允许或阻止用户编辑、删除或修改生产环境中的GPO的安全性。
注意更改生产环境的访问权限的委派方式不会影响用户链接GPO的能力。
当GPO为受控或已部署时,就会删除其他所有帐户的访问权限,但拥有“读取”和“应用”权限 的除外。
若要完成此过程,需要使用拥有AGPM管理员(完全控制)角色或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
在域的生产环境中更改对GPO的访问权限
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.单击“生产委托”选项卡。
3.要为没有生产环境访问权限的用户或组添加权限,或者替换拥有生产环境访问权限的用户 或组的权限,请按以下步骤操作:a.单击“添加”,选择用户或组,然后单击“确定”。
b.选择要在生产环境中为该用户或组委派的权限,然后单击“确定”。
4.若要删除用户或组在生产环境中的所有权限,请选择用户或组,单击“删除”,然后单击“确定”。
其他注意事项默认情况下,您必须是AGPM管理员(完全控制)才能执行此过程。
明确地说,您必须拥有 域的“修改安全性”权限。
不能在“生产委托”选项卡上更改AGPM服务帐户的权限。
默认情况下,下列帐户拥有生产环境中GPO的权限: 帐户经过身份验证的用户域管理员企业管理员企业域控制器系统
GPO的默认权限
编辑设置、删除和修改安全性读取、应用编辑设置、删除和修改安全性编辑设置、删除和修改安全性读取编辑设置、删除和修改安全性
GroupPolicyCreatorOwners组中的成员身份应加以限制,确保不会危害能够访问GPO的AGPM管理。
(在“组策略管理控制台”中,单击您要在其中管理GPO的林和域的“组策略对象”,单击“委派”,然后配置设置以满足您的组织的需求。
) 其他参考 16 配置AdvancedGroupPolicyManagement 配置日志记录和跟踪 可以使用管理模板有选择地集中配置日志记录和跟踪。
这对于诊断与高级组策略管理(AGPM)相关的任何问题可能很有帮助。
要完成这些过程,需要使用具有AGPM管理员(完全控制)角色的用户帐户(即创建在这些过程中使用的组策略对象(GPO)的审批者的用户帐户),或者拥有AGPM中所需权限的用户帐户。
此外,需要使用具有AGPM服务器访问权限的用户帐户,才能初始化AGPM服务器上的日志记录。
请在此主题的“其他考虑事项”中查看详细信息。
配置AGPM的日志记录和跟踪
1.在“组策略管理控制台”树中,编辑将应用于需要启用日志记录和跟踪的所有组策略管理员的GPO。
(有关详细信息,请参阅编辑GPO。
)
2.在“组策略管理编辑器”窗口中,单击“计算机配置”、“策略”、“管理模板”、“Windows组件”和“AGPM”。
3.在详细信息窗格中,双击“AGPM:配置日志记录”。
4.在“属性”窗口中,单击“已启用”,然后配置将在日志中记录的详细信息的级别。
5.单击“确定”。
6.关闭“组策略管理编辑器”窗口。
(有关详细信息,请参阅部署GPO。
)在更新组策略后, 只有重新启动AGPM服务,才能启动、修改或停止AGPM服务器上的日志记录。
组策略管理员只有关闭并重新启动GPMC,才能启动、修改或者停止其计算机上的日志记录。
跟踪文件位置:客户端:%LocalAppData%\Microsoft\AGPM\agpm.log服务器:%ProgramData%\Microsoft\AGPM\agpmserv.log 其他注意事项必须能够编辑和部署GPO,才能配置AGPM日志记录和跟踪。
有关其他详细信息,请参阅编辑 GPO和部署GPO。
其他参考配置AdvancedGroupPolicyManagement 管理存档 在高级组策略管理(AGPM)中,作为AGPM管理员(完全控制),您需管理存档的访问权限,并可以限制存档中存储的每个组策略对象(GPO)的版本数量。
您可以在域级别或GPO级别委派对存档中GPO的访问权限。
此外,还可以备份存档,以便在发生灾难时或许能够恢复存档。
作为AGPM管理员,可以将GPO导出到一个文件,再将该文件复制到其他林,然后将该GPO导入该林中的某个域。
与编辑不同,在创建新受控GPO时,您可以将策略设置直接从GPO备份导入该新受控GPO。
有关如何导出GPO的信息,请参阅将GPO导出到文件。
委派对存档的域级别访问权限 17 委派对存档中单个GPO的访问权限限制存储的GPO版本从文件中导入GPO备份存档从备份中还原存档其他参考有关如何对生产环境中的GPO委派访问权限的信息,请参阅委派对生产环境的访问权限。
有关如何移动存档的信息,请参阅移动AGPM服务器和存档。
执行AGPM管理员任务 委派对存档的域级别访问权限 设置对您的环境的委派,以便组策略管理员对存档中的组策略对象(GPO)具有适当的访问和控制权限。
您可以应用一些基本权限来使操作更有效。
可以采用任何满足组织的需要的方式来授予权限。
若要完成此过程,必须使用AGPM管理员(完全控制)角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
通过委派访问权限使用户和组对整个域中的所有GPO拥有适当的权限
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.单击“域委托”选项卡,配置对域中所有GPO的访问权限: a.若要为用户或组添加访问权限,请单击“添加”按钮,选择相应用户或组,然后单击“确定”。
在“添加组或用户”对话框中,选择角色并单击“确定”。
b.若要删除用户或组的访问权限,请选择相应用户或组,然后单击“删除”按钮。
c.要修改委派给用户或组的角色和权限,请选择单击“高级”按钮。
在“权限”对话框中, 选择用户或组,选中要分配给该用户或组的每个角色对应的复选框,然后单击“确定”。
备注编辑和审批者的权限包括审阅者的权限。
其他注意事项默认情况下,您必须是AGPM管理员(完全控制)才能执行此过程。
明确地说,您必须拥有 域的“修改安全性”权限。
若要将读取访问权限委托给使用AGPM的组策略管理员,则必须授予他们“列出内容”及“读取 设置”权限。
他们使用该权限可以查看AGPM的“内容”选项卡上的GPO。
其他权限必须明确委托。
编辑必须被授予GPO的已部署副本的“读取”权限,才能完整地使用组策略软件安装。
18 GroupPolicyCreatorOwners组中的成员身份应加以限制,确保不会危害能够访问GPO的AGPM管理。
(在“组策略管理控制台”中,单击您要在其中管理GPO的林和域的“组策略对象”,单击“委派”,然后配置设置以满足您的组织的需求。
) 其他参考管理存档 委派对存档中单个GPO的访问权限 作为AGPM管理员(完全控制),您可以委派管理存档中的受控组策略对象(GPO),以便选定的组和编辑可以进行编辑,审阅者可以进行审阅,审批者可以加以批准。
若要完成此过程,必须使用具有AGPM管理员(完全控制)角色的用户帐户、创建GPO的审批者的用户帐户,或者具有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
委托受控GPO的管理
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格的“内容”选项卡上,单击“受控”选项卡以显示受控GPO,然后单击GPO进 行委托:a.若要为用户或组添加访问权限,请单击“添加”按钮,选择相应用户或组,然后单击“确 定”。
在“添加组或用户”对话框中,选择角色并单击“确定”。
b.若要删除用户或组的访问权限,请选择相应用户或组,然后单击“删除”按钮。
备注如果用户或组继承域范围内的访问权限,则“删除”按钮不可用。
可以在“域委托”选项卡上修改域范围内的访问权限。
c.若要修改委托给用户或组的角色和权限,请单击“高级”按钮。
在“权限”对话框中,选择相应用户或组,选中每个要分配给该用户或组的角色旁的复选框,然后单击“确定”。
备注编辑和审批者的权限包括审阅者的权限。
其他注意事项默认情况下,您必须是创建或控制GPO的审批者或AGPM管理员(完全控制)才能执行此过 程。
具体而言,您必须拥有域的“列出内容”权限和GPO的“修改安全性”权限。
若要将读取访问权限委托给使用AGPM的组策略管理员,则必须授予他们“列出内容”及“读取 设置”权限。
他们使用该权限可以查看AGPM的“内容”选项卡上的GPO。
其他权限必须明确委托。
编辑必须拥有已部署GPO副本的“读取”权限,才能充分利用组策略软件安装。
GroupPolicyCreatorOwners组中的成员身份应加以限制,确保不会危害能够访问GPO的AGPM管理。
(在“组策略管理控制台”中,单击您要在其中管理GPO的林和域的“组策略对象”,单击“委派”,然后配置设置以满足您的组织的需求。
) 19 其他参考管理存档 限制存储的GPO版本 默认情况下,每个受控组策略对象(GPO)的所有版本都会保留在AGPM服务器上的存档中。
但是,您可以限制为每个GPO保留的版本数量,并在超出限制时删除较旧版本。
当删除GPO版本后,该版本的记录会保留在GPO的历史记录中,但GPO版本本身会从存档中删除。
若要完成此过程,必须使用AGPM管理员(完全控制)角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
限制GPO版本的存储数量
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中,单击“AGPM服务器”选项卡。
3.选中“从存档中删除每个GPO的旧版本”复选框,并键入要为每个GPO存储的最大GPO版 本数量,其中不包括当前版本。
若要仅保留当前版本,请输入
0。
最大数不能大于999。
重要事项此限制仅计算“历史记录”窗口的“唯一版本”选项卡上显示的GPO版本。
4.单击“应用”按钮。
其他注意事项默认情况下,您必须是AGPM管理员(完全控制)才能执行此过程。
具体而言,您必须拥有 域的“列出内容”和“修改选项”权限。
您可以在历史记录中将某个GPO版本标记为不可删除来防止该GPO版本被删除。
为此,请在 GPO历史记录中右键单击该版本并单击“不删除”。
其他参考管理存档 从文件中导入GPO 在高级组策略管理(AGPM)中,如果您是AGPM管理员(完全控制)并且已将组策略对象(GPO)导出到CAB文件,则可以将该GPO的策略设置导入其他林的域中的新GPO或现有GPO。
有关将GPO设置导出到CAB文件的信息,请参阅将GPO导出到文件。
若要将策略设置导入新的受控GPO,则需要使用具有AGPM管理员角色或具有AGPM中必需权限的用户帐户。
若要将策略设置导入现有GPO,则需要使用具有编辑或AGPM管理员角色,或者具有AGPM中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
从文件导入策略设置从文件导入策略设置时,可以将策略设置导入新GPO或现有GPO。
但是,如果将策略设置导入现有GPO,将替换该GPO中的所有策略设置。
将策略设置导入新的受控GPO 20 将策略设置导入现有GPO 将策略设置导入新的受控GPO
1.在“组策略管理控制台”树中,单击要将策略设置导入的域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.创建新的受控GPO。
在“新建受控GPO”对话框中,单击“导入”,然后单击“启动向导”。
有 关如何创建GPO的详细信息,请参阅创建新的受控GPO。
4.按照“导入设置向导”中的说明选择GPO备份,从其中为新GPO导入策略设置,然后输入 新GPO的审计跟踪的注释。
将策略设置导入现有GPO
1.在“组策略管理控制台”树中,单击要将策略设置导入的域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.签出要将策略设置导入的目标GPO。
4.右键单击目标GPO,指向“导入自”,然后单击“文件”。
5.按照“导入设置向导”中的说明选择GPO备份,导入其策略设置以替换目标GPO中的策略 设置,然后输入目标GPO的审计跟踪的注释。
默认情况下,向导完成后将签入目标GPO。
其他注意事项若要将策略设置导入新的受控GPO,您必须拥有域的“列出内容”、“导入GPO”和“创建GPO”权 限。
默认情况下,您必须是AGPM管理员才能执行此过程。
若要将策略设置导入现有GPO,您必须拥有域的“列出内容”、“编辑设置”和“导入GPO”权限, 且该GPO必须由您签出。
默认情况下,必须是编辑者或AGPM管理员(完全控制)才能执行此过程。
其他参考管理存档 备份存档 若要在出现灾难时帮助恢复高级组策略管理(AGPM)的存档,AGPM管理员(完全控制)应经常备份存档。
默认情况下,会在%ProgramData%\Microsoft\AGPM中创建存档。
但是,您可以在安装MicrosoftAdvancedGroupPolicyManagement-Server时指定其他路径。
要完成此过程,需要使用同时对AGPM服务器(安装AGPM服务的计算机)和包含存档的文件夹具有访问权限的用户帐户。
备份存档
1.停止AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
2.使用Windows资源管理器、Xcopy、WindowsServer®Backup或其他备份工具备份存档 文件夹。
确保备份隐藏文件、系统文件和只读文件。
21
3.将存档备份存储到安全位置。
4.重新启动AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
备注如果AGPM管理员未经常备份存档,存档备份中的组策略对象(GPO)将不是最新的。
若要更好地确保存档备份是最新的,请将备份存档作为组织日常备份策略的一部分。
其他参考从备份中还原存档移动AGPM服务器和存档管理存档 从备份中还原存档 如果发生灾难且高级组策略管理(AGPM)的存档受损或遭到破坏,AGPM管理员(完全控制)可以从预先准备的备份副本还原存档,然后从域的生产环境导入不在存档中或其生产中的版本比存档中的版本更新的任何组策略对象(GPO)。
有关如何将存档备份还原到其他服务器的信息,请参阅移动AGPM服务器和存档。
要完成此过程,需要使用同时对AGPM服务器(安装AGPM服务的计算机)和包含存档的文件夹具有访问权限的用户帐户。
从备份还原存档
1.停止AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
2.删除现有存档。
默认情况下,存档文件夹为%ProgramData%\Microsoft\AGPM,但是安装 MicrosoftAdvancedGroupPolicyManagement-Server的AGPM管理员可能会在安装期间输入其他位置。
3.通过配置存档路径、AGPM服务帐户、存档所有者和侦听端口重新创建存档文件夹。
不必使用原始安装期间使用的相同值。
有关详细信息,请参阅修改AGPM服务。
4.将存档备份的内容复制到存档文件夹,复制子文件夹和文件以确保每个子文件夹和文件都继承存档文件夹的权限。
请小心不要覆盖存档文件夹。
5.如果不确定存档备份中的GPO是否比生产中该GPO的副本新,请生成差异报告并比较其设置。
有关详细信息,请参阅识别GPO、GPO版本或模板之间的差异。
6.重新启动AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
其他参考备份存档移动AGPM服务器和存档管理存档 22 管理AGPM服务 AGPM服务是一项作为安全代理的Windows服务,用于管理客户端对存档和域的生产环境中的组策略对象(GPO)的访问权限。
它强制高级组策略管理(AGPM)进行委派并提供增强级别的安全性。
AGPM服务位于安装MicrosoftAdvancedGroupPolicyManagement-Server的服务器上。
注意不要通过操作系统中的“管理工具”和“服务”修改AGPMService的设置。
这样做会阻止AGPMService启动。
启动和停止AGPM服务修改AGPM服务其他参考移动AGPM服务器和存档执行AGPM管理员任务 启动和停止AGPM服务 AGPM服务是一项作为安全代理的Windows服务,用于管理客户端对存档和生产环境中的组策略对象(GPO)的访问。
重要事项停止或禁用AGPM服务将防止AGPM客户端通过服务器执行任何操作(如列出GPO或编辑GPO)。
若要完成此过程,必须使用拥有AGPM服务器(安装AGPM服务的计算机)的访问权限的用户帐户。
开始或停止AGPM服务
1.在安装MicrosoftAdvancedGroupPolicyManagement-Server(因而安装了AGPM服务)的计算机上,依次单击“开始”、“控制面板”、“管理工具”,然后单击“服务”。
2.在服务列表中,右键单击“AGPM服务”,依次选择“开始”、“重新启动”或“停止”。
注意不要通过操作系统中的“管理工具”和“服务”修改AGPMService的设置。
这样做会阻止AGPMService启动。
其他参考管理AGPM服务 修改AGPM服务 AGPM服务是一项作为安全代理的Windows服务,用于管理客户端对存档和域的生产环境中的组策略对象(GPO)的访问权限。
如果此服务已停止或禁用,AGPM客户端就不能通过服务器执行操作。
您可以修改存档路径、AGPM服务帐户和AGPM服务监听的端口。
23 注意不要通过操作系统中的“管理工具”和“服务”修改AGPMService的设置。
这样做会阻止AGPMService启动。
要完成此过程,所使用的用户帐户需为域管理组成员,并且具有AGPM服务器(安装了MicrosoftAdvancedGroupPolicyManagement-Server)的访问权限。
另外,必须提供AGPM服务帐户的凭证,才能完成此过程。
修改AGPM服务
1.在安装MicrosoftAdvancedGroupPolicyManagement-Server的计算机上,单击“开始”、“控制面板”、“程序”以及“程序和功能”。
2.右键单击“MicrosoftAdvancedGroupPolicyManagement-Server”,然后单击“更改”。
3.单击“下一步”,然后单击“修改”。
4.按照说明配置AGPM服务: a.在“存档路径”对话框中,输入AGPM服务器相关存档的新位置,或者确认当前存档路径,然后单击“下一步”。
重要事项存档路径可以指向AGPM服务器上的一个文件夹或其他位置,但是该位置应该有充足的空间,才能存储此AGPM服务器管理的所有GPO和历史记录数据。
b.在“AGPM服务帐户”对话框中,输入将运行AGPM服务的服务帐户的凭证,然后单击“下一步”。
重要事项修改安装时会清除AGPM服务帐户的凭证。
必须重新输入凭证,但是不要求凭证与原始安装期间使用的凭证相匹配。
AGPM服务帐户必须具有访问将管理的GPO的全部权限,并且将被授予“作为服务登录”权限。
如果要管理单一域上的GPO,则可以将主节点域控制器的本地系统帐户用作AGPM服务帐户。
如果要管理多个域上的GPO,或者成员服务器为AGPM服务器,则应配置另一帐户作为AGPM服务帐户,因为一个域控制器的本地系统帐户不能访问其他域上的GPO。
c.在“存档所有者”对话框中,输入AGPM管理员(完全控制)或AGPM管理员组的用户名,然后单击“下一步”。
备注修改安装时会清除存档所有者的凭证。
必须重新输入凭证,但是不要求凭证与原始安装期间使用的凭证相匹配。
d.在“端口配置”对话框中,键入AGPM服务应监听的新端口,或者确认当前选择的端口,然后单击“下一步”。
24 注意默认情况下,AGPM服务监听端口4600。
如果您手动配置端口例外或拥有规则配置端口例外,则可以清除“向防火墙添加端口例外”复选框。
5.单击“更改”,在安装完成后单击“完成”。
6.如果更改了AGPM服务监听的端口,请修改每个组策略管理员的AGPM服务器连接中的端口。
(有关详细信息,请参阅配置AGPM服务器连接。
)
7.为应当应用配置更改的各个AGPM服务器重复以上步骤。
其他参考管理AGPM服务 移动AGPM服务器和存档 如果您要替换AGPM服务器和托管存档的服务器,必须移动AGPM服务和存档。
如果您愿意,可以单独移动AGPM服务和存档。
注意AGPM服务器是托管AGPM服务且安装了MicrosoftAdvancedGroupPolicyManagement– Server的计算机。
默认情况下,将在AGPM服务器上托管存档,但您可以指定存档路径以在其他服务器上进行托 管。
要完成此过程,所使用的用户帐户需为域管理组成员,并且具有以前和新AGPM服务器的访问权限。
另外,必须提供要由新AGPM服务器使用的AGPM服务帐户的凭据,才能完成此过程。
将AGPM服务和存档移动到不同的服务器
1.备份存档。
有关详细信息,请参阅备份存档。
2.移动AGPM服务: a.停止AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
b.在将托管AGPM服务的新服务器上安装MicrosoftAdvancedGroupPolicy Management-Server。
在此过程中,需指定新的存档路径以及与AGPM服务器相关的存档的位置。
有关详细信息,请参阅MicrosoftAdvancedGroupPolicyManagement4.0逐步指南(/fwlink/?
LinkId=153505)和MicrosoftAdvancedGroupPolicyManagement计划指南(/fwlink/?
LinkId=156883)。
c.AGPM管理员(完全控制)必须为将使用新AGPM服务器的所有组策略管理员配置AGPM服务器连接,然后删除旧AGPM服务器的连接,或者组策略管理员必须手动配置新AGPM服务器连接,然后删除其计算机上的AGPM管理单元的旧AGPM服务器连接。
有关详细信息,请参阅配置AGPM服务器连接。
备注 25 作为最佳做法,应从以前的AGPM服务器上卸载MicrosoftAdvancedGroupPolicyManagement–Server。
这将确保AGPM服务不会在该服务器上意外重新启动,并且在保留了该服务的任何AGPM服务器连接时不会导致混淆。
3.将存档从备份复制到将托管该存档的新服务器。
有关详细信息,请参阅从备份中还原存档。
重要事项如果在移动存档时未移动AGPM服务: a.必须更改存档路径以指向与AGPM服务器相关的新存档位置。
有关详细信息,请参阅修改AGPM服务。
b.必须在“域委托”选项卡上重新输入密码并确认。
有关详细信息,请参阅配置电子邮件通知。
其他参考备份存档从备份中还原存档配置AGPM服务器连接修改AGPM服务MicrosoftAdvancedGroupPolicyManagement4.0逐步指南 (/fwlink/?
LinkId=153505)MicrosoftAdvancedGroupPolicyManagement计划指南 (/fwlink/?
LinkId=156883)执行AGPM管理员任务 执行编辑任务 在高级组策略管理(AGPM)中,编辑是经AGPM管理员(完全控制)授权更改组策略对象(GPO)和创建GPO模板的人员。
此外,编辑还可以请求创建、删除或还原GPO。
审批者必须批准请求才能使请求得以执行。
编辑可以将GPO导出到文件以便可将GPO复制到其他林中的域,并且可以导入从其他域复制的GPO。
重要事项确保您已连接到GPO的中央存档。
有关详细信息,请参阅配置AGPM服务器连接。
创建或控制GPO编辑GPO使用测试环境请求部署GPO创建模板和设置默认模板删除或还原GPO 26 备注因为编辑角色包括审阅者角色的权限,所以编辑还可以查看设置和比较GPO。
有关详细信息,请参阅执行审阅者任务。
其他注意事项默认情况下,为编辑角色提供下列权限:列出内容读取设置编辑设置导出GPO导入GPO创建模板 创建或控制GPO 要使用高级组策略管理(AGPM)提供组策略对象(GPO)更改控制,必须先使GPO受控于AGPM。
在“更改控制”文件夹中创建的新GPO将自动成为受控GPO。
作为编辑,您可能没有完成控制、创建或删除GPO操作的权限,但是具有开始该过程并向审批者提交请求所需的权限。
请求控制非受控GPO请求创建新的受控GPO从生产中导入GPO 请求控制非受控GPO 要提供现有组策略对象(GPO)的更改控制,该GPO必须是受控的。
如果您不是审批者或AGPM管理员(完全控制),则必须请求对GPO进行控制。
若要完成此过程,必须使用编辑或审阅者角色的或者拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
控制非受控GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格的“内容”选项卡上,单击“非受控”选项卡以显示非受控GPO。
3.右键单击要使用AGPM控制的GPO,然后单击“控制”。
4.如果您没有控制GPO的特殊权限,则必须提交一个控制请求。
若要接收请求的副本,请在 “抄送”字段中键入您的电子邮件地址。
键入将在GPO的“历史记录”中显示的注释,然后单击“提交”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO已从“非受控”选项卡上的列表中删除且添加到“挂起”选项卡上。
当审批者批准您的请求后,GPO将被移到“受控”选项卡。
其他注意事项 27 默认情况下,您必须是编辑或审阅者才能执行此过程。
明确地说,您必须具有域的“列出内容”和“读取设置”权限。
若要在请求被批准之前撤销请求,请单击“挂起”选项卡。
右键单击该GPO,然后单击“撤销”。
GPO将返回到“非受控”选项卡。
其他参考创建或控制GPO 请求创建新的受控GPO 除非您是审批者或AGPM管理员(完全控制),否则您必须请求创建新的组策略对象(GPO)。
若要完成此过程,必须使用编辑或审阅者角色的或者拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
使用通过AGPM管理的更改控制创建新GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.右键单击“更改控制”,然后单击“新建受控GPO”。
3.除非您有创建GPO的特殊权限,否则必须提交创建请求。
在“新建受控GPO”对话框中: a.若要接收请求的副本,请在“抄送”字段中输入您的电子邮件地址。
b.键入新GPO的名称。
c.可选:键入新GPO的注释。
d.若要在批准后立即将新GPO部署到域的生产环境,请单击“实时创建”。
若要脱机创建 新GPO而无须在审批后立即部署,请单击“脱机创建”。
e.选择用作新GPO起始点的GPO模板。
f.单击“提交”。
4.当“进度”窗口表明总体进度完成时,单击“关闭”。
新GPO即显示在“挂起”选项卡上的GPO列表中。
当审批者批准您的请求后,GPO将被移到“受控”选项卡。
其他注意事项默认情况下,您必须是编辑或审阅者才能执行此过程。
具体而言,您必须拥有域的“列出内容”权限。
若要在请求被批准之前撤销请求,请单击“挂起”选项卡。
右键单击该GPO,然后单击“撤销”。
该GPO将被破坏。
其他参考创建或控制GPO 从生产中导入GPO 如果对高级组策略管理(AGPM)之外的受控组策略对象(GPO)进行了更改,则可以从域的生产环境导入GPO的副本,然后将其保存在存档中,以使存档和生产环境的状态一致。
(要导入一个非受控GPO,请控制该GPO。
请参阅请求控制非受控GPO。
) 28 完成此过程需要一个具编辑者、审批者或AGPM管理员(完全控制)角色或AGPM中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
从域的生产环境导入GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击GPO,然后单击“从生产导入”。
4.键入GPO的审计跟踪注释,然后单击“确定”。
其他注意事项默认情况下,只有编辑、审批者或者AGPM管理员(完全控制),才能执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”、“部署GPO”或“删除GPO”权限。
其他参考创建或控制GPO 编辑GPO 组策略对象(GPO)必须为高级组策略管理(AGPM)所控制才能对其进行编辑。
有关控制GPO的详细信息,请参阅创建或控制GPO。
若要脱机对GPO进行更改而不立即影响生产环境中已部署的GPO副本,请从存档中签出GPO的副本。
更改完成后,将GPO签入回存档,对其进行测试,并请求将GPO部署到生产环境。
脱机编辑GPO标记GPO的当前版本重命名GPO或模板 脱机编辑GPO 要对受控组策略对象(GPO)进行更改,您必须首先从存档中签出GPO副本。
在将该GPO签入之前,其他人无法对其进行修改,从而避免多个组策略管理员的更改相互冲突。
修改GPO完成后,应将其签入存档,这样可以进行检查并将其部署在生产环境中。
需要使用具有编辑或AGPM管理员(完全控制)角色的用户帐户、创建GPO的审批者的用户帐户或者具有高级组策略管理(AGPM)中所需权限的用户帐户,才能完成此过程。
请在此主题的“其他考虑事项”中查看详细信息。
脱机编辑GPO要编辑GPO,您应从存档中签出GPO,脱机对GPO进行编辑,然后将GPO签入存档,以便对其进行检查和部署(或由其他编辑修改)。
从存档中签出GPO进行编辑脱机编辑GPO将GPO签入存档 29 从存档中签出GPO进行编辑
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击要编辑的GPO,然后单击“签出”。
4.键入签出GPO时,要在该GPO的历史记录中显示的注释,然后单击“确定”。
5.当“进度”窗口显示总体进度已完成时,单击“关闭”。
在“受控”选项卡上,GPO的状态现在 标识为“已签出”。
脱机编辑GPO
1.在“受控”选项卡上,右键单击要编辑的GPO,然后单击“编辑”。
2.在“组策略管理编辑器”窗口中,对GPO脱机副本进行更改。
备注要禁用所有计算机配置设置或所有用户配置设置,在“组策略管理编辑器”窗口中右键单击GPO,然后单击“属性”。
根据需要选择“禁用计算机配置设置”或“禁用用户配置设置”。
3.修改GPO完成后,关闭“组策略管理编辑器”窗口。
将GPO签入存档
1.在“受控”选项卡上:如果没有对GPO进行更改,则右键单击GPO并单击“撤消签出”,然后单击“是”进行确认。
如果对GPO进行了更改,则右键单击GPO并单击“签入”。
2.键入将在GPO审计跟踪中显示的注释,然后单击“确定”。
3.当“进度”窗口表明总体进度完成时,单击“关闭”。
在“受控”选项卡上,GPO状态标识为“已 签入”。
其他注意事项默认情况下,要签出和编辑GPO,您必须是创建或控制GPO的审批者,即编辑或AGPM管理 员(完全控制)。
具体而言,您必须拥有GPO的“列出内容”和“编辑设置”权限。
此外,要编辑GPO,您必须是签出GPO的个人。
默认情况下,要签入GPO,您必须是编辑、审批者或AGPM管理员(完全控制)。
尤其是,您必须拥有GPO的“列出内容”和“编辑设置”或“部署GPO”权限。
如果您不是审批者或AGPM管理员(或拥有“部署GPO”权限的其他组策略管理员),您必须是签出GPO的编辑。
编辑GPO时,在其他GPO中配置软件包的任何组策略软件安装升级时都会引用部署的GPO,而不是已签出副本。
其他参考编辑GPO 30 检查GPO检查GPO设置检查GPO链接识别GPO、GPO版本或模板之间的差异 部署GPO请求部署GPO部署GPO 标记GPO的当前版本 您可以为当前版本的组策略对象(GPO)添加标记,以便于在其历史记录中进行辨认。
可以使用标签对在发生问题时可以回滚的已知正确版本进行标识。
另外,如果需要以后进行回滚,那么可以一次使用同一标签对多个GPO进行标记,以便对应当回滚到同一点的相关GPO进行标记。
完成此过程需要一个具编辑者、审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
在其历史记录中标记当前版本的GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.单击要标记其当前版本的GPO。
要选择多个GPO,请按住Shift并单击相邻一组GPO中 的最后一个GPO,或者按住Ctrl并单击单个GPO。
右键单击所选GPO,然后单击“标签”。
4.键入将在每个所选GPO的历史记录中显示的标签和注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
其他注意事项默认情况下,您必须是编辑者、审批者或AGPM管理员(完全控制)才能执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”或“部署GPO”权限。
其他参考编辑GPO 重命名GPO或模板 您可以重命名受控组策略对象(GPO)或模板。
需要使用具有编辑或AGPM管理员(完全控制)角色的用户帐户、创建GPO的审批者的用户帐户或者具有高级组策略管理(AGPM)中所需权限的用户帐户,才能完成此过程。
请在此主题的“其他考虑事项”中查看详细信息。
重命名GPO或模板
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
31
2.在“内容”选项卡上,单击“受控”或“模板”选项卡,显示要重命名的项目。
3.右键单击要重命名的GPO或模板,然后单击“重命名”。
4.键入GPO或模板的新名称和注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
在“内容”选项卡上的新名称下会出现GPO 或模板。
其他注意事项默认情况下,您必须是创建或控制GPO的审批者、编辑或AGPM管理员(完全控制),才能 执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”权限。
当您重命名已部署的GPO时,存档中的名称会立即更改。
生产环境中的名称只有在重新部署 GPO时才会更改。
在重新部署GPO(或删除生产副本)之前,在生产环境中仍使用旧名称,因此该名称不能用于另一个GPO。
同样,在部署GPO(更改了生产副本的名称)或删除生产副本之前,不能将存档中的GPO重命名为其原始名称。
其他参考编辑GPO 使用测试环境 请求将组策略对象(GPO)部署到生产环境之前,应在实验室环境中对GPO进行测试。
如果在测试林的域中开发GPO,则可以将GPO导出到文件,再将文件导入生产林中的域。
然后可以通过将GPO链接到包含测试计算机和用户的组织单位(OU)来对GPO进行测试。
将GPO导出到文件从文件中导入GPO在独立的组织单位中测试GPO 备注还可以从域的生产环境导入GPO。
有关详细信息,请参阅从生产中导入GPO。
将GPO导出到文件 可以将受控组策略对象(GPO)导出到CAB文件,从而将其复制到其他林中的域,以便将GPO导入该域中的高级组策略管理(AGPM)。
有关如何将GPO设置导入新的或现有GPO的信息,请参阅从文件中导入GPO。
完成此过程需要一个具有编辑者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
将GPO导出到文件
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击GPO,然后单击“导出到”。
4.输入要将GPO导出到的文件的文件名,然后单击“导出”。
如果该文件不存在,则将进行创 32 建。
如果该文件已存在,则将进行替换。
其他注意事项默认情况下,必须是编辑者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必须 拥有GPO的“列出内容”、“读取设置”和“导出GPO”权限。
其他参考使用测试环境 从文件中导入GPO 在高级组策略管理(AGPM)中,如果已将组策略对象(GPO)导出到CAB文件,则可以将该GPO的策略设置导入其他林的域中的现有GPO。
将策略设置导入现有GPO将替换该GPO中的所有策略设置。
有关将GPO设置导出到CAB文件的信息,请参阅将GPO导出到文件。
完成此过程需要一个具有编辑者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
将策略设置导入现有GPO
1.在“组策略管理控制台”树中,单击要将策略设置导入的域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.签出要将策略设置导入的目标GPO。
4.右键单击目标GPO,指向“导入自”,然后单击“文件”。
5.按照“导入设置向导”中的说明选择GPO备份,导入其策略设置以替换目标GPO中的策略 设置,然后输入目标GPO的审计跟踪的注释。
默认情况下,向导完成后将签入目标GPO。
其他注意事项默认情况下,必须是编辑者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必须 拥有域的“列出内容”、“编辑设置”和“导入GPO”权限,且该GPO必须由您签出。
尽管编辑在创建新GPO时无法将策略设置导入该GPO中,但编辑可以请求创建新GPO,然后 在创建后将策略设置导入其中。
其他参考使用测试环境 在独立的组织单位中测试GPO 如果在生产环境中进行部署之前,在同一域中使用测试组织单位(OU)测试组策略对象(GPO),则必须拥有访问测试OU所需的权限。
使用测试OU是可选的。
使用测试OU
1.尽管您已签出GPO进行编辑,但可以在“组策略管理控制台”中,单击要在其中管理GPO的林和域中的“组策略对象”。
2.单击要测试的已签出GPO的副本。
名称之前会有“[AGPM]”字样。
(如果未列出,请单击“ 33 操作”,然后单击“刷新”。
按字母顺序对名称排序,“[AGPM]”GPO通常出现在列表顶部。
)
3.将GPO拖到测试OU。
4.在询问是否创建指向测试OU中GPO的链接的对话框中,单击“确定”。
其他注意事项测试完成时,签入GPO会自动删除指向已签出GPO副本的链接。
其他参考使用测试环境 请求部署GPO 在修改并签入组策略对象(GPO)后,部署GPO,以使其在生产环境中生效。
若要完成此过程,必须使用编辑角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
请求将GPO部署到域的生产环境
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击要部署的GPO,然后单击“部署”。
4.除非您是审批者或AGPM管理员,或者拥有部署GPO的特殊权限,否则必须提交部署请求 。
若要接收请求的副本,请在“抄送”字段中键入您的电子邮件地址。
键入要在GPO的“历史记录”中显示的注释,然后单击“提交”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即显示在“挂起”选项卡上的GPO列表中。
当审批者批准您的请求后,GPO将从“挂起”选项卡移到“受控”选项卡,并得以部署。
其他注意事项默认情况下,您必须是编辑才能执行此过程。
具体而言,您必须拥有GPO的“列出内容”和“编 辑设置”权限。
若要在请求被批准之前撤销请求,请单击“挂起”选项卡。
右键单击该GPO,然后单击“撤销”。
GPO将返回到“受控”选项卡。
其他参考执行编辑任务 创建模板和设置默认模板 创建模板允许您保存特定版本组策略对象(GPO)的所有设置,并将这些设置用作创建新GPO的起点。
作为编辑,您还可以指定哪个可用模板将是所有组策略管理员创建新GPO时使用的默认模板。
模板的一些可能使用方法包括: 34 创建组织可以跨域重新使用的安全基准。
创建一个模板,用于管理文件夹重定向以及组织可以为每个部门自定义的脱机文件。
创建无线网络模板,组织可以用来为不同地理区域配置无线网络连接。
为本地网络管理员创建法规遵从模板。
创建现有GPO的只读快照。
备注模板是GPO的静态版本,无法进行编辑,但可用作创建新的可编辑GPO的起点。
重命名或删除模板不会影响创建自该模板的GPO。
创建模板设置默认模板 创建模板 创建模板使您能够保存特定版本组策略对象(GPO)的所有设置,并将这些设置用作创建新GPO的起点。
备注模板是GPO的静态、不可编辑版本,可用作创建新的可编辑GPO的起始点。
完成此过程需要一个具有编辑者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
基于现有GPO创建模板
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击“受控”或“非受控”选项卡,以显示可用GPO。
3.右键单击要从中创建模板的GPO,然后单击“另存为模板”。
4.键入模板名称和注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
新模板会出现在“模板”选项卡上。
其他注意事项默认情况下,您必须是编辑或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必须拥有域的“列出内容”和“创建模板”权限。
重命名或删除模板不会影响基于该模板创建的GPO。
因为模板无法改变,所以模板没有历史记录。
其他参考创建模板和设置默认模板请求创建新的受控GPO 35 设置默认模板 作为编辑,您可以指定将哪些可用模板作为建议所有组策略管理员在创建新组策略对象(GPO)时使用的默认模板。
备注模板是GPO的静态、不可编辑版本,可用作创建新的可编辑GPO的起始点。
完成此过程需要一个具有编辑者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
设置创建新GPO时使用的默认模板
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格的“内容”选项卡上,单击“模板”选项卡以显示可用的模板。
3.右键单击要设置为默认模板的模板,然后单击“设为默认值”。
4.单击“是”确认。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
默认模板有蓝色图标,并且其在“模板”选 项卡上的状态标识为“模板(默认)”。
其他注意事项默认情况下,您必须是编辑或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有域的“列出内容”和“创建模板”权限。
在将某个模板设置为默认模板后,该模板将是组策略管理员在创建新GPO时最初在“新建受控 GPO”对话框中选定的模板。
但是,这些管理员可以选择任何其他GPO模板,包括其中不包含任何设置的“<空GPO>”。
重命名或删除模板不会影响基于该模板创建的GPO。
因为模板无法改变,所以模板没有历史记录。
其他参考创建模板和设置默认模板请求创建新的受控GPO 删除或还原GPO 要使用高级组策略管理(AGPM)从存档中删除组策略对象(GPO)或从回收站还原删除的GPO,GPO必须受控于AGPM。
作为编辑,您可能没有完成删除或还原GPO操作的权限,但是您具有开始该过程并向审批者提交请求所需的权限。
请求删除GPO请求还原已删除的GPO 请求删除GPO 除非您是审批者或AGPM管理员(完全控制),否则必须请求删除组策略对象(GPO)。
36 若要完成此过程,必须使用编辑角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
请求删除受控GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击要删除的GPO,然后单击“删除”。
要从存档中删除GPO,而不改变生产环境中的GPO部署版本,请单击“仅从存档中删除GPO”。
要同时从存档和域的生产环境中删除GPO,请单击“从存档和生产中删除GPO”。
4.除非您拥有删除GPO的特殊权限,否则必须提交删除部署GPO的请求。
若要接收请求的 副本,请在“抄送”字段中键入您的电子邮件地址。
键入在GPO审计跟踪中要显示的注释,然后单击“提交”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即显示在“挂起”选项卡上的GPO列表中。
审批者批准您的请求后,GPO会从“挂起”选项卡移到“回收站”选项卡,在此处可以还原或毁坏它。
其他注意事项默认情况下,您必须是编辑才能执行此过程。
具体而言,您必须拥有GPO的“列出内容”和“编 辑设置”权限。
若要在请求被批准之前撤销请求,请单击“挂起”选项卡。
右键单击该GPO,然后单击“撤销”。
GPO将返回到“受控”选项卡。
要从生产环境中删除非受控GPO而不是先控制它,请在“组策略管理控制台”中,单击“林”, 单击“域”,单击,然后单击“组策略对象”。
右键单击非受控GPO,然后单击“删除”。
其他参考删除或还原GPO 请求还原已删除的GPO 除非您是审批者或AGPM管理员(完全控制),否则您必须请求从回收站还原删除的组策略对象(GPO),才能将其返回到存档中。
若要完成此过程,必须使用编辑角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
请求还原删除的GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“回收站”选项卡以显示已删除的GPO。
3.右键单击要还原的GPO,然后单击“还原”。
4.除非您拥有还原GPO的特殊权限,否则必须提交请求来还原删除的GPO。
若要接收请求的 37 副本,请在“抄送”字段中键入您的电子邮件地址。
键入在GPO审计跟踪中要显示的注释,然后单击“提交”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即从“回收站”选项卡中删除,并显示在“受控”选项卡上。
备注如果已从生产环境中删除某个GPO,则将该GPO还原到存档不会自动将其重新部署到生产环境。
若要将GPO返回到生产环境,请部署GPO。
有关信息,请参阅请求部署GPO。
其他注意事项默认情况下,您必须是编辑才能执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”权限。
若要在请求被批准之前撤销请求,请单击“挂起”选项卡。
右键单击该GPO,然后单击“撤销”。
GPO将返回到“回收站”选项卡。
其他参考删除或还原GPO 执行审批者任务 审批者是由AGPM管理员(完全控制)授权创建、部署和删除组策略对象(GPO)以及批准或拒绝(通常来自编辑的)创建、部署或删除GPO请求的人员。
重要事项确保您已连接到GPO的中央存档。
有关详细信息,请参阅配置AGPM服务器连接。
批准或拒绝挂起的操作创建或控制GPO签入GPO部署GPO回滚到早期版本的GPO删除、还原或破坏GPO 备注批准GPO之前,审批者应检查其中包含的策略设置。
审批者角色包括审阅者角色的权限,因此审批者可以查看策略设置和比较GPO。
有关详细信息,请参阅执行审阅者任务。
其他注意事项默认情况下,为审批者角色提供了下列权限:列出内容读取设置 38 创建GPO部署GPO删除GPO此外,审批者对自己创建或控制的GPO有完全控制权限。
批准或拒绝挂起的操作 审批者的核心职责是评估后批准或拒绝编辑或审阅者创建、部署和删除组策略对象(GPO)的请求,后二者不具备完成这些操作的权限。
报告可以帮助审批者评估GPO的新版本。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
批准或拒绝挂起的请求
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“挂起”选项卡以显示挂起的GPO。
3.右键单击挂起的GPO,然后单击“批准”或“拒绝”。
4.如果批准部署,请单击“批准挂起操作”对话框上的“高级”以查看指向GPO的链接。
将鼠标 指针暂停在树中的项目上会显示详细信息。
默认情况下,将还原所有指向GPO的链接。
若要防止还原链接,请清除该链接的复选框。
若要防止还原所有链接,请清除“部署GPO”对话框中的“还原链接”复选框。
5.单击“是”或“确定”确认批准或拒绝挂起的操作。
如果您已批准请求,GPO即会移到与所执行的操作对应的选项卡。
备注如果审批者的电子邮件地址包含在“域委托”选项卡上的“收件人电子邮件地址”字段中,则当编辑或审阅者提交请求时,审批者将收到一封从AGPM别名发来的电子邮件。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有执行审批请求所需的权限。
其他参考执行审批者任务 创建或控制GPO 要使用高级组策略管理(AGPM)提供组策略对象(GPO)更改控制,您必须首先使用AGPM控制GPO。
在“更改控制”文件夹中创建的新GPO将自动成为受控GPO。
控制非受控GPO 39 创建新的受控GPO委派管理受控GPO从生产中导入GPO 控制非受控GPO 若要提供对组策略对象(GPO)的更改控制,必须先控制GPO。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
控制非受控GPO1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格的“内容”选项卡上,单击“非受控”选项卡以显示非受控GPO。
3.右键单击要使用AGPM控制的GPO,然后单击“控制”。
4.键入要在GPO的历史记录中显示的注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即从“非受控”选项卡的列表中删除并 被添加到“受控”选项卡上。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有域的“列出内容”和“创建GPO”权限。
其他参考创建或控制GPO 创建新的受控GPO 在“更改控制”文件夹中创建的新组策略对象(GPO)将自动成为受控gpo,因而可以进行管理。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
使用通过AGPM管理的更改控制创建新GPO1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.右键单击“更改控制”,然后单击“新建受控GPO”。
3.在“新建受控GPO”对话框中: a.键入新GPO的名称。
b.可选:键入将在新GPO的“历史记录”中显示的新GPO的注释。
c.要立即将新GPO部署到域的生产环境,请单击“实时创建”。
要脱机创建新GPO而不 立即部署它,请单击“脱机创建”。
d.选择要用作新GPO的起点的GPO模板,然后单击“确定”。
40
4.当“进度”窗口表明总体进度完成时,单击“关闭”。
新GPO会显示在“受控”选项卡的GPO列表中。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有域的“列出内容”和“创建GPO”权限。
其他参考创建或控制GPO 委派管理受控GPO 审批者可以委派管理由其创建的受控组策略对象(GPO)。
像AGPM管理员(完全控制)一样,审批者可以委派对这种GPO的访问权限,以便所选编辑可以编辑它,审阅者可以检查它,其他审批者可以批准它。
默认情况下,审批者不能委派由另一组策略管理员创建的GPO的访问权限。
若要完成此过程,必须使用具有AGPM管理员(完全控制)角色的用户帐户、创建GPO的审批者的用户帐户,或者具有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
委托受控GPO的管理
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格的“内容”选项卡上,单击“受控”选项卡以显示受控GPO,然后单击GPO进 行委托:a.若要为用户或组添加访问权限,请单击“添加”按钮,选择相应用户或组,然后单击“确 定”。
在“添加组或用户”对话框中,选择角色并单击“确定”。
b.要删除用户或组的访问权限,请选择该用户或组,然后单击“删除”按钮。
备注如果用户或组继承域范围内的访问权限,则“删除”按钮不可用。
可以在“域委托”选项卡上修改域范围内的访问权限。
c.若要修改委托给用户或组的角色和权限,请单击“高级”按钮。
在“权限”对话框中,选择用户或组,选中要分配给该用户或组的每个角色对应的复选框,然后单击“确定”。
备注编辑和审批者的权限包括审阅者的权限。
其他注意事项默认情况下,您必须是创建或控制GPO的审批者或AGPM管理员(完全控制)才能执行此过 程。
具体而言,您必须拥有域的“列出内容”权限和GPO的“修改安全性”权限。
若要将读取访问权限委托给使用AGPM的组策略管理员,则必须授予他们“列出内容”及“读取 设置”权限。
他们使用该权限可以查看AGPM的“内容”选项卡上的GPO。
其他权限必须明确委托。
编辑必须拥有已部署GPO副本的“读取”权限,才能充分利用组策略软件安装。
41 其他参考创建或控制GPO 从生产中导入GPO 如果对高级组策略管理(AGPM)之外的受控组策略对象(GPO)进行了更改,则可以从域的生产环境导入GPO的副本,然后将其保存在存档中,以使存档和生产环境的状态一致。
(要导入一个非受控GPO,请控制该GPO。
请参阅控制非受控GPO。
)完成此过程需要一个具编辑者、审批者或AGPM管理员(完全控制)角色或AGPM中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
从域的生产环境导入GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击GPO,然后单击“从生产导入”。
4.键入GPO的审计跟踪注释,然后单击“确定”。
其他注意事项默认情况下,只有编辑、审批者或者AGPM管理员(完全控制),才能执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”、“部署GPO”或“删除GPO”权限。
其他参考创建或控制GPO 签入GPO 通常,编辑应当在其修改完成时签入他们编辑的组策略对象(GPO)。
(有关详细信息,请参阅脱机编辑GPO。
)但是,当编辑没有空时,审批者也可以签入GPO。
完成此过程需要一个具编辑者、审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
签入编辑签出的GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
要放弃编辑所做的更改,请右键单击GPO,单击“撤消签出”,然后单击“是”进行确认。
要保留编辑所做的更改,请右键单击GPO,然后单击“签入”。
3.键入将在GPO审计跟踪中显示的注释,然后单击“确定”。
4.当“进度”窗口表明总体进度完成时,单击“关闭”。
在“受控”选项卡上,GPO状态标识为“已 签入”。
其他注意事项42 默认情况下,您必须是编辑者、审批者或AGPM管理员(完全控制)才能执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”或“部署GPO”权限。
如果您不是审批者或AGPM管理员(或具有“部署GPO”权限的其他组策略管理员),则必须是签出GPO的编辑。
其他参考执行审批者任务脱机编辑GPO 部署GPO 审批者可以将新的或已编辑的组策略对象(GPO)部署到生产环境中。
有关重新部署早期版本的GPO的信息,请参阅回滚到早期版本的GPO。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
在生产环境中部署GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击要部署的GPO,然后单击“部署”。
4.要检查GPO的链接,请单击“高级”。
将鼠标指针暂停在树中的项目上会显示详细信息。
默认情况下,将还原所有指向GPO的链接。
若要防止还原链接,请清除该链接的复选框。
若要防止还原所有链接,请清除“部署GPO”对话框中的“还原链接”复选框。
5.单击“是”。
当“进度”窗口表明总体进度完成时,单击“关闭”。
备注要验证是否已部署最新版本GPO,请在“受控”选项卡上双击要显示其“历史记录”的GPO。
GPO的“历史记录”中的“状态”列指示是否已部署GPO。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有GPO的“列出内容”和“部署GPO”权限。
其他参考执行审批者任务 回滚到早期版本的GPO 审批者可以通过重新部署GPO历史记录中GPO的早期版本将更改更回滚到组策略对象(GPO)。
部署GPO的早期版本将覆盖当前生产中的GPO版本。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
43 将GPO的早期版本部署到域的生产环境
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.双击要部署的GPO以显示其“历史记录”。
4.右键单击要部署的版本,单击“部署”,然后单击“是”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
在“历史记录”窗口中,单击“关闭”。
备注若要验证已重新部署的版本是否与所需的版本匹配,请检查这两个版本的差异报告。
在GPO的“历史记录”窗口中,突出显示这两个版本,单击右键并选择“差异”,然后再选择“HTML报告”或“XML报告”。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有GPO的“列出内容”和“部署GPO”权限。
其他参考执行审批者任务 删除、还原或破坏GPO 作为一个审批者,您可以删除组策略对象(GPO)(将它移到回收站),从回收站还原GPO(使它返回存档),也可以破坏GPO(永久删除它,这样不可以再还原它)。
删除受控GPO还原已删除的GPO破坏GPO 删除受控GPO 审批者可以删除受控组策略对象(GPO),将它移到回收站。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
删除受控GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击要删除的GPO,然后单击“删除”。
要从存档中删除GPO,而不改变生产环境中的GPO部署版本,请单击“仅从存档中删除GPO”。
要同时从存档和域的生产环境中删除GPO,请单击“从存档和生产中删除GPO”。
44
4.键入将在GPO审核跟踪中显示的注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO已从“受控”选项卡上删除,而且显示 在“回收站”选项卡上,在此处可以还原或破坏GPO。
如果仅从存档中删除GPO,它还会显示在“非受控”选项卡上。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有GPO的“列出内容”和“删除GPO”权限。
要从生产环境中删除非受控GPO而不是先控制它,请在“组策略管理控制台”中,单击“林”, 单击“域”,单击,然后单击“组策略对象”。
右键单击非受控GPO,然后单击“删除”。
其他参考删除、还原或破坏GPO 还原已删除的GPO 审批者可以从回收站中还原已删除的组策略对象(GPO),将其返回到存档。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
还原已删除的GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“回收站”选项卡以显示已删除的GPO。
3.右键单击要还原的GPO,然后单击“还原”。
4.键入要在GPO的历史记录中显示的注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即从“回收站”选项卡中删除,并显示 在“受控”选项卡上。
备注如果已从生产环境中删除某个GPO,则将该GPO还原到存档不会自动将其重新部署到生产环境。
若要将GPO返回到生产环境,请部署GPO。
有关信息,请参阅部署GPO。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有GPO的“列出内容”及“部署GPO”或“删除GPO”权限。
其他参考删除、还原或破坏GPO 破坏GPO 审批者可以破坏组策略对象(GPO),即从回收站中将其删除,从而将其永久删除,以使其永远不可再还原。
45 完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
永久删除GPO,以使其永远不可再还原
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“回收站”选项卡以显示已删除的GPO。
3.右键单击要破坏的GPO,然后单击“破坏”。
4.单击“是”确认您要从存档中永久删除选定的GPO和所有备份。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即从“回收站”选项卡中删除,从而永 久删除。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有GPO的“列出内容”和“删除GPO”权限。
其他参考删除、还原或破坏GPO 执行审阅者任务 审阅者是AGPM管理员(完全控制)授权审阅或审核组策略对象(GPO)的人员。
仅具有审阅者角色的个人无法修改GPO,但是,所有其他角色都包括审阅者角色。
配置AGPM服务器连接检查GPO设置检查GPO链接识别GPO、GPO版本或模板之间的差异 其他注意事项默认情况下,为审阅者角色提供下列权限:列出内容读取设置 配置AGPM服务器连接 要确保您已连接到正确的中央存档,请检查AGPM服务器连接的配置。
如果AGPM管理员(完全控制)没有为您配置AGPM服务器连接,您必须手动配置它。
选择AGPM服务器
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中,单击“AGPM服务器”选项卡: 46 如果“AGPM服务器”选项卡上的选项不可用,那么这些选项已由AGPM管理员进行了集中配置。
如果“AGPM服务器”选项卡上的选项可用,请键入AGPM服务器的完全限定计算机名称(例如,)和AGPM服务监听的端口(默认情况下,为端口4600)。
单击“应用”,然后单击“是”进行确认。
其他注意事项所选AGPM服务器确定在“内容”选项卡显示的GPO,以及“域委托”选项卡设置应用的位置。
如 果不通过管理模板进行集中管理,则每个组策略管理员必须配置此设置,才能指向域的AGPM服务器。
其他参考执行审阅者任务 检查GPO设置 您可以生成基于HTML或基于XML的报告,以检查任何组策略对象(GPO)版本中的设置。
完成此过程需要一个具有审阅者、编辑者、审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
检查任何GPO版本中的设置
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击一个选项卡以显示GPO。
3.双击GPO显示其历史记录。
4.右键单击要检查其设置的GPO版本,单击“设置”,然后单击“HTML报告”或“XML报告”, 以显示GPO设置的摘要。
其他注意事项默认情况下,您必须是审阅者、编辑者、审批者或AGPM管理员(完全控制)才能执行此过程 。
特别是,您必须对GPO具有“列出内容”和“读取设置”权限。
此外,要显示GPO列表,您必须对域具有“列出内容”权限。
其他参考执行审阅者任务 检查GPO链接 您可以显示一个图表,显示选择链接到组织单位的一个或多个组策略对象(GPO)。
每次控制、导入或签入GPO时都会更新GPO链接图表。
完成此过程需要一个具有审阅者、编辑者、审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
47 检查GPO链接 对于一个或多个GPO对于一个或多个版本的GPO 显示一个或多个GPO的GPO链接
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击“受控”、“挂起”或“回收站”选项卡,以显示 GPO。
3.选择一个或多个要显示其链接的GPO,右键单击所选GPO,单击“设置”,然后单击“GPO链 接”,以显示包含所选GPO链接的域和组织单位的图表。
显示一个或多个版本的GPO的GPO链接
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击“受控”或“回收站”选项卡,以显示GPO。
3.双击GPO显示其历史记录。
4.右键单击要检查其设置的GPO版本,单击“设置”,然后单击“HTML报告”或“XML报告”, 以显示GPO设置的摘要。
其他注意事项默认情况下,您必须是审阅者、编辑者、审批者或AGPM管理员(完全控制)才能执行此过程 。
特别是,您必须对GPO具有“列出内容”和“读取设置”权限。
此外,要显示GPO列表,您必须对域具有“列出内容”权限。
其他参考执行审阅者任务 识别GPO、GPO版本或模板之间的差异 您可以通过生成基于HTML或基于XML的差异报告,分析组策略对象(GPO)、模板或不同版本GPO之间的差异。
完成此过程需要一个具有审阅者、编辑者、审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
识别GPO、GPO版本或模板之间的差异 两个GPO或两个模板之间的差异GPO与模板之间的差异同一GPO的两个版本之间的差异GPO版本与模板之间的差异 48 识别两个GPO或两个模板之间的差异
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击一个选项卡以显示GPO(或模板,如果比较两 个模板的话)。
3.选择两个GPO或两个模板。
4.右键单击其中一个GPO或模板,单击“差异”,然后单击“HTML报告”或“XML报告”,以显 示包含GPO或模板的设置摘要的差异报告。
识别GPO与模板之间的差异
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击一个选项卡以显示GPO(或模板,如果比较两 个模板的话)。
3.右键单击GPO,单击“差异”,然后单击“模板”。
4.选择模板和报告类型,然后单击“确定”,以显示包含GPO和模板的设置摘要的差异报告。
识别同一GPO的两个版本之间的差异
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击一个选项卡以显示GPO(或模板,如果比较两 个模板的话)。
3.双击GPO显示其历史记录,然后突出显示要比较的版本。
4.右键单击其中一个版本,单击“差异”,然后单击“HTML报告”或“XML报告”,以显示包含 GPO的设置摘要的差异报告。
识别GPO版本与模板之间的差异
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击一个选项卡以显示GPO(或模板,如果比较两 个模板的话)。
3.双击GPO显示其历史记录。
4.右键单击感兴趣的GPO版本,单击“差异”,然后单击“模板”。
5.选择模板和报告类型,然后单击“确定”,以显示包含GPO版本和模板的设置摘要的差异报 告。
差异报告中的关键字 符号 意义 颜色 无 同时存在于两个GPO中,具有随级别变化 49 符号 意义 颜色 相同设置的项目 [#] 同时存在于两个GPO中,但具蓝色 有不同的设置的项目 [-] 仅存在于第一个GPO中的项目红色 [+] 仅存在于第二个GPO中的项目绿色 对于具有不同设置的项目来说,当展开项目时会标识出不同设置。
在每个GPO中显示属性值的顺序与在报告中显示GPO的顺序相同。
当对设置进行某些更改后,可能会导致将一个项目报告为两个不同项目(一个仅存在于第一个GPO中,另一个仅存在于第二个GPO中),而不是报告为一个已更改项目。
其他注意事项 默认情况下,您必须是审阅者、编辑者、审批者或AGPM管理员(完全控制)才能执行此过程。
特别是,您必须对GPO具有“列出内容”和“读取设置”权限。
此外,要显示GPO列表,您必须对域具有“列出内容”权限。
其他参考 执行审阅者任务 AGPM疑难解答 本部分列出了在使用高级组策略管理(AGPM)管理组策略对象(GPO)时遇到的一些常见问题。
若要诊断此处未列出的问题,使用日志记录和跟踪对于AGPM管理员(完全控制)可能很有帮助。
有关详细信息,请参阅配置日志记录和跟踪。
注意有关在出现问题时回滚到早期版本的GPO的信息,请参阅回滚到早期版本的GPO。
有关如何通过从备份还原完整存档来从灾难中恢复的信息,请参阅从备份中还原存档。
您遇到了什么问题? 我无法访问存档GPO状态因组策略管理员不同而有所不同我无法修改AGPM服务器连接我无法更改默认模板或无法查看、创建、编辑、重命名、部署或删除GPO我无法使用特定GPO名称我未收到AGPM电子邮件通知AGPM服务无法使用端口4600AGPM服务将不启动 50 组策略软件安装无法安装软件将存档还原到新AGPM服务器时发生错误我无法访问存档原因:您没有为存档选择正确的服务器和端口。
解决方案: 如果您是AGPM管理员:请参阅配置AGPM服务器连接。
如果您不是AGPM管理员:从AGPM管理员请求AGPM服务器的连接详细信息。
请参阅配 置AGPM服务器连接。
原因:AGPM服务未运行。
解决方案: 如果您是AGPM管理员:启动AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
如果您不是AGPM管理员:联系AGPM管理员以获取帮助。
GPO状态因组策略管理员不同而有所不同 原因:不同的组策略管理员为同一存档选择了不同的AGPM服务器。
解决方案: 如果您是AGPM管理员:请参阅配置AGPM服务器连接。
如果您不是AGPM管理员:从AGPM管理员请求AGPM服务器的连接详细信息。
请参阅配 置AGPM服务器连接。
我无法修改AGPM服务器连接原因:如果“AGPM服务器”选项卡上的设置不可用,则已使用管理模板在中央配置了AGPM服 务器。
解决方案: 如果您是AGPM管理员:如果“AGPM服务器”选项卡上的设置不可用,请参阅配置AGPM服务器连接。
如果您不是AGPM管理员:如果“AGPM服务器”选项卡上的设置不可用,您不需要修改AGPM服务器。
我无法更改默认模板或无法查看、创建、编辑、重命名、部署或删除GPO原因:您未被分配执行一个或多个任务所需权限的角色。
解决方案: 如果您是AGPM管理员:请参阅委派对存档的域级别访问权限和委派对存档中单个GPO的访问权限。
AGPM权限将通过级联方式从域传递到当前存档中存在的所有GPO。
有关可执行任务的角色及执行任务所需权限的详细信息,请参阅该任务的帮助。
如果您不是AGPM管理员,则需要其他的角色或权限:联系AGPM管理员以获取帮助。
请注意,如果您是编辑,则可以开始在域的生产环境中执行创建GPO、部署GPO或删除GPO的过程,但是审批者或AGPM管理员必须批准了您的请求。
我无法使用特定GPO名称 51 原因:GPO名称已在使用中或者您没有列出GPO的权限。
解决方案: 如果GPO名称出现在“受控”、“非受控”或者“挂起”选项卡上,请选择其他名称。
如果部署的GPO已被重命名但尚未重新部署,该GPO将以其旧名称显示在域的生产环境中。
因此,仍使用旧名称。
重新部署GPO以在生产环境中更新其名称,然后释放该名称,以便其他GPO使用该名称。
如果GPO名称没有出现在“受控”、“非受控”或“挂起”选项卡上,则表示您可能没有列出GPO的权限。
要请求权限,请联系AGPM管理员。
我未收到AGPM电子邮件通知原因:尚未提供有效SMTP电子邮件服务器和电子邮件地址,或者没有进行生成电子邮件通知 的任何操作。
解决方案: 如果您是AGPM管理员:对于由AGPM发送的关于挂起操作的电子邮件通知,AGPM管理员必须在“域委托”选项卡上为审批者提供有效的SMTP电子邮件服务器和电子邮件地址。
有关详细信息,请参阅配置电子邮件通知。
只有当编辑、审阅者或者其他组策略管理员(他们不具有创建、部署或者删除GPO所需的权限)提交一个请求而发生任何一种操作时,才会生成电子邮件通知。
没有批准或拒绝请求的自动通知。
AGPM服务无法使用端口4600原因:默认情况下,AGPM服务监听的端口是4600。
解决方案:如果端口4600不可用于AGPM服务,请修改AGPM服务器的端口配置以使用其他 端口,然后更新AGPM客户端AGPM服务器连接中的端口。
有关详细信息,请参阅修改AGPM服务。
AGPM服务将不启动原因:您已在操作系统中修改了“管理工具”和“服务”下的AGPM服务设置。
解决方案:在“控制面板”中修改“程序和功能”下的“MicrosoftAdvancedGroupPolicy Management-Server”的设置。
有关详细信息,请参阅修改AGPM服务。
组策略软件安装无法安装软件原因:AGPM保留了组策略安装软件包的完整性。
尽管对GPO进行了脱机编辑,但除缓存的客 户端信息外的数据包之间的链接将保留。
这是由设计原因引起的。
解决方案:使用AGPM脱机编辑GPO时,配置其他GPO中数据包的任何组策略软件安装升级 以引用已部署GPO而不是签出的副本。
编辑必须对已部署GPO拥有“读取”权限。
将存档还原到新AGPM服务器时发生错误原因:由于安全原因,如果存档已移到另一台计算机,则为保护在“域委托”选项卡上输入的密 码而进行的加密会导致密码失败。
解决方案:在“域委托”选项卡上重新输入密码并确认。
有关详细信息,请参阅配置电子邮件通 知。
52 用户界面:AdvancedGroupPolicyManagement 使用高级组策略管理(AGPM)可以将“更改控制”文件夹添加到在“组策略管理控制台”(GPMC)显示的每个域中。
在使用GPMC管理多个域的环境中,每个域都在控制台树的“域”文件夹下列出。
每个域下都有一个“更改控制”文件夹,每个域还有组策略对象(GPO)的一个存档。
在详细信息窗格中,有四个主要选项卡,提供对AGPM的GPO级别设置和域级别设置及命令的访问权限。
此外,还有特定于AGPM的管理模板设置。
内容选项卡:GPO设置和命令及GPO级别委派域委托选项卡:AGPM电子邮件通知设置和域级别委派AGPM服务器选项卡:域级别存档连接设置“生产委托”选项卡:生产环境委派管理模板文件夹:日志记录和跟踪的中央配置、存档位置和功能可见性 内容选项卡 “更改控制”窗格上的“内容”选项卡提供对组策略对象(GPO)的访问和用于管理GPO的快捷菜单。
右键单击项目时所显示的选项取决于您在被管理的GPO中的角色、权限和所有权。
此外,这些快捷菜单因被管理的GPO的状态而异。
下列次级选项卡会筛选显示的GPO列表:受控:受高级组策略管理(AGPM)管理的GPO非受控:不受AGPM管理的GPO挂起:等待审批者批准的GPO更改模板:用于创建新GPO和与现有GPO比较的GPO模板回收站:已删除的GPO“内容”选项卡及其次级选项卡提供有关每个GPO的详细信息以及对每个GPO历史记录的访问:内容选项卡功能历史记录窗口右键单击任何次级选项卡上的GPO,会显示该选项卡特有的快捷菜单,其中含有用于管理GPO的命令:受控GPO命令非受控GPO命令挂起GPO命令模板命令回收站命令其他参考用户界面:AdvancedGroupPolicyManagement 53 内容选项卡功能 “内容”选项卡中的每个次级选项卡都包含两部分-“组策略对象”和“组和用户”。
组策略对象部分“组策略对象”部分显示组策略对象(GPO)的筛选列表,还标识各个GPO的下列属性。
可以使用“搜索”框搜索具有特定属性的GPO。
有关详细信息,请参阅搜索和筛选GPO列表。
GPO属性 名称状态更改者更改日期 注释 计算机版本用户版本GPO状态WMI筛选器 描述 GPO的名称。
所选GPO的状态 签入所选GPO的编辑或部署所选GPO的审批者。
对于受控GPO,更改日期是进行修改后签入或签出后进行修改的最新日期。
对于非受控GPO,更改日期是上次进行修改的日期。
由签入或部署GPO的人员在进行修改时输入的注释。
当需要回滚到早期版本时,注释可用于识别特定版本。
自动生成的GPO计算机配置部分的版本。
自动生成的GPO用户配置部分的版本。
可以分别管理计算机配置和用户配置。
GPO状态可指示GPO的哪些部分已启用。
显示应用于此GPO的所有WMI筛选器。
可以在GPMC控制台树中域的“WMI筛选器”文件夹下管理WMI筛选器。
组和用户部分 选择一个GPO后,在“组和用户”部分中会显示拥有该GPO访问权限的组和用户的列表。
显示每个组或用户的允许权限和继承。
AGPM管理员可以使用标准AGPM角色(编辑、审批者、审阅者和AGPM管理员)来配置权限或自定义组合的权限。
按钮 添加 删除 效果 添加安全性描述符的新条目。
可以添加ActiveDirectory中的任何用户或组。
从“访问控制列表”中删除所选条目。
54 按钮 属性 高级 效果 显示所选对象的属性。
该属性页与“ActiveDirectory用户和计算机”中对象的属性页相同。
打开“访问控制列表编辑器”。
其他注意事项有关与特定任务相关的角色和权限的信息,请参阅执行AGPM管理员任务、执行编辑任务、执 行审批者任务和执行审阅者任务下的任务。
其他参考内容选项卡 历史记录窗口 通过双击GPO或右键单击GPO后单击“历史记录”,可以显示组策略对象(GPO)的历史记录。
它还作为每个GPO的一个选项卡显示在组策略管理控制台(GPMC)中。
历史记录提供了所选GPO生存期中的事件记录。
从“历史记录”窗口中,您可以获取某个GPO版本中的设置报告,对多个版本的GPO进行比较,或者可以回滚到早期版本的GPO。
在历史记录窗口中筛选事件使用“历史记录”窗口中的选项卡,可以筛选GPO历史记录中的状态。
选项卡 所有状态特有版本 筛选 显示GPO历史记录中的所有状态。
只显示GPO已签入存档的特有版本。
此列表中省略了生产环境中部署的版本、到特有版本的快捷方式及信息状态。
事件信息提供GPO历史记录中每种状态的信息。
GPO属性 更改日期状态更改者注释 描述 执行“状态”列中的操作时的时间标记。
GPO历史记录中的状态。
签入或部署GPO的人员。
签入或部署GPO的人员在更改此版本时输入的注释,当需要回滚到早期版本时,注释可用于识 55 GPO属性 可删除 计算机版本用户版本GPO状态源GPO信息 描述 别特定版本。
如果在存档中保留的每个GPO特有版本的数目是有限的,此版本的GPO是否可删除。
备注通过右键单击GPO,然后单击“不允许删除”或“允许删除”,可以更改是否可删除某个版本的GPO。
自动生成的GPO计算机配置部分的版本。
自动生成的GPO用户配置部分的版本。
可以单独管理计算机的配置和用户配置。
此状态显示已启用的GPO部分。
对于已从其他林中导入的GPO,原始GPO名称、域、用户和日期与上次更改相关。
报告 “设置”和“差异”按钮显示关于所选GPO版本GPO设置的报告。
此外,右键单击GPO版本还会提供用于显示基于XML报告的选项。
按钮 设置 差异 效果 生成基于HTML的报告,显示所选GPO版本中的设置。
生成基于HTML的报告,对多个所选GPO版本中的设置进行比较。
差异报告中的关键字 符号 意义 颜色 无 同时存在于两个GPO中,具有随级别变化 相同设置的项目 [#] 同时存在于两个GPO中,但具蓝色 有不同的设置的项目 [-] 仅存在于第一个GPO中的项目红色 [+] 仅存在于第二个GPO中的项目绿色 56 对于具有不同设置的项目来说,当展开项目时会标识出不同设置。
在每个GPO中显示属性值的顺序与在报告中显示GPO的顺序相同。
对设置进行某些更改后,可能导致将一个项目报告为两个项目(一个仅存在于第一个GPO中,另一个仅存在于第二个GPO中),而不是报告为一个已更改的项目。
其他参考内容选项卡 受控GPO命令 “受控”选项卡:显示受高级组策略管理(AGPM)管理的组策略对象(GPO)的列表。
提供包含管理GPO和显示GPO历史记录与报告的命令的快捷方式菜单。
显示有权访问选定GPO的组和用户的列表。
右键单击此选项卡上的“组策略对象”列表会显示一个快捷菜单。
该菜单中包含下列适用的选项。
控制和历史记录 命令 新建受控GPO 历史记录 效果 使用通过AGPM管理的更改控制创建新GPO,并将该GPO部署到域的生产环境。
如果您没有创建GPO的权限,系统会提示您提交请求。
(如果右键单击“组策略对象”列表时没有选择GPO,则会显示此选项。
) 打开列出存档中保存的所选GPO的所有版本的窗口。
从历史记录中,您可以获取某个GPO中的设置报告,比较两个版本的GPO,将GPO与模板进行比较,或者可以回滚到早期版本的GPO。
报告 命令 设置 差异 效果 生成显示所选GPO中的设置的基于HTML或基于XML的报告,或者显示自最近控制、导入或签入GPO起从组织单位到所选GPO的链接。
生成基于HTML或基于XML的报告,该报告比较两个选定的GPO内或选定的GPO和模板内的设置。
57 编辑 命令 编辑签出 签入 撤消签出 版本管理 命令 从生产导入从文件导入删除 部署 导出到标签 效果 打开“组策略管理编辑器”窗口,更改所选GPO。
从存档中获取所选GPO的副本以进行脱机编辑,并在将该副本签入回存档之前,阻止其他任何人编辑该GPO。
签出可以由AGPM管理员(完全控制)覆盖。
将所选GPO的已编辑版本签入存档,以便其他授权编辑可以进行更改,或者审批者可以将该GPO部署到域的生产环境。
在未进行任何更改情况下将签出的GPO返回存档。
效果 对于所选GPO,将域的生产环境中的版本复制到存档。
使用GPO备份文件的策略设置替换所选的已签出GPO的策略设置。
将所选GPO移动到“回收站”,并指示是在生产中保留已部署版本(如果存在),还是删除存档中的版本以外的已部署版本。
如果您没有删除GPO的权限,系统会提示您提交一个请求。
将所选的已签入到存档的GPO移动到域的生产环境。
此操作会在网络上激活它,还会覆盖GPO的先前激活版本(如果存在)。
如果您没有部署GPO的权限,系统会提示您提交一个请求。
将所选GPO保存到备份文件,以便您可以将其复制到其他域。
用说明性标签(如“已知正确”)和记录保存注释为所选GPO做标记。
标签显示在“状态”列中,注释显示在“历史记录”窗口的“注释”列中。
标签和注释可帮助您识别早期版本的GPO,以便您可以在出现问题时进行回滚。
58 命令 重命名 另存为模板 效果 更改所选GPO的名称。
如果已部署GPO,则重新部署该GPO时,将在域的生产环境中更新其名称。
根据所选GPO的设置创建新模板。
杂项 命令 刷新 帮助 效果 更新组策略管理控制台(GPMC)的显示内容以包含所有更改。
某些更改只有在刷新显示内容后才可见。
显示AGPM帮助。
其他参考内容选项卡执行编辑任务执行审批者任务执行审阅者任务 非受控GPO命令 “非受控”选项卡:显示未受高级组策略管理(AGPM)管理的组策略对象(GPO)的列表。
提供包含将非受控GPO引入AGPM的管理之下和显示GPO历史记录与报告的命令的快捷方式 菜单。
显示有权访问选定GPO的组和用户的列表。
右键单击此选项卡上的“组策略对象”列表会显示一个快捷菜单,其中包括下列适用的选项。
控制和历史记录 命令 历史记录 效果 打开列出存档中保存的所选GPO的所有版本的窗口。
从历史记录中,您可以获取某个GPO中的设置报告,比较两个版本的GPO,将GPO与模板进行比较,或者可以回滚到早期版本的GPO。
59 命令 控制 另存为模板 效果 将所选非受控GPO引入AGPM的更改控制管理之下。
如果您没有控制GPO的权限,系统会提示您提交一个请求。
根据所选GPO的设置创建新模板。
报告 命令 设置 差异 效果 生成显示选定GPO内设置的基于HTML或基于XML的报告。
生成基于HTML或基于XML的报告,该报告比较两个选定的GPO内或选定的GPO和模板内的设置。
杂项 命令 刷新 帮助 效果 更新组策略管理控制台(GPMC)的显示内容以包含所有更改。
某些更改只有在刷新显示内容后才可见。
显示AGPM帮助。
其他参考内容选项卡执行编辑任务执行审批者任务执行审阅者任务 挂起GPO命令 “挂起”选项卡:显示具有挂起GPO管理操作(如创建、控制、部署或删除)请求的组策略对象(GPO)列表 。
提供具有响应挂起请求和显示GPO历史记录和报告的命令快捷方式菜单。
显示有权访问选定GPO的组和用户的列表。
60 右键单击此选项卡上的“组策略对象”列表会显示一个快捷菜单,其中包括下列适用的选项。
控制和历史记录 命令 历史记录 撤消批准拒绝 效果 打开列出存档中保存的所选GPO的所有版本的窗口。
从历史记录中,您可以获取某个GPO中的设置报告,比较两个版本的GPO,将GPO与模板进行比较,或者可以回滚到早期版本的GPO。
在批准请求之前,撤消挂起的创建、控制或删除所选GPO的请求。
完成编辑创建、控制或删除所选GPO的挂起请求。
拒绝编辑创建、控制或删除所选GPO的挂起请求。
报告 命令 设置 差异 效果 生成显示所选GPO中设置的基于HTML或基于XML的报告,或者显示指向选定的最近控制、导入或签入GPO时组织单位的GPO链接。
生成基于HTML或基于XML的报告,该报告比较两个选定的GPO内或选定的GPO和模板内的设置。
杂项 命令 刷新 帮助其他参考内容选项卡 效果 更新组策略管理控制台(GPMC)的显示内容以包含所有更改。
某些更改只有在刷新显示内容后才可见。
显示AGPM帮助。
61 执行审批者任务执行审阅者任务 模板命令 “模板”选项卡:显示可用于创建新组策略对象(GPO)的可用模板的列表。
提供其中包含命令的快捷菜单,这些命令用于基于选定模板创建GPO、管理模板并显示模板的 报告。
显示有权访问选定模板的组和用户的列表。
因为模板不能改变,所以模板没有历史记录。
但是,像任何GPO版本一样,模板的设置可以使用设置报告加以显示,或使用差异报告与另一个GPO进行比较。
备注模板是GPO的静态、不可编辑版本,可用作创建新的可编辑GPO的起始点。
右键单击此选项卡上的“组策略对象”列表会显示一个快捷菜单,其中包括下列适用的选项。
控制 命令 新建受控GPO 效果 基于选定的模板创建新GPO。
提供有将新GPO部署到域的生产环境的选项。
如果您没有创建GPO的权限,则系统会提示您提交请求。
(如果右键单击“组策略对象”列表时没有选择GPO,则会显示此选项。
) 报告 命令 设置 差异 效果 生成显示选定GPO内设置的基于HTML或基于XML的报告。
生成一个比较两个选定GPO模板内设置的基于HTML或基于XML的报告。
模板管理 命令 设为默认值 效果 将选定的模板设置为在创建新GPO时自动使用 62 命令 删除重命名 效果 的默认模板。
将选定的模板移到“回收站”。
如果您没有删除GPO的权限,则系统会提示您提交请求。
更改选定模板的名称。
杂项 命令 刷新 帮助 效果 更新组策略管理控制台的显示内容以包含所有更改。
某些更改只有在刷新显示内容后才可见。
显示高级组策略管理(AGPM)帮助。
其他参考内容选项卡执行编辑任务执行审阅者任务 回收站命令 “回收站”选项卡:显示已从存档中删除的组策略对象(GPO)的列表。
提供一个快捷菜单,其中包含的命令可用于管理GPO和显示GPO的报告。
显示有权访问选定GPO的组和用户的列表。
右键单击此选项卡上的“组策略对象”列表会显示一个快捷菜单,其中包含下列适用的选项: 报告 命令 设置 差异 效果 生成显示选定GPO内设置的基于HTML或基于XML的报告,或者显示自最近控制、导入或签入GPO后,指向组织单位中选定GPO的链接。
生成基于HTML或基于XML的报告,该报告比较两个选定的GPO内或选定的GPO和模板内的设置。
63 版本管理 命令 破坏 还原 效果 从“回收站”删除选定的GPO,则该GPO将无法再还原。
将选定的GPO从“回收站”移到“受控”选项卡。
此操作不会将GPO还原到生产环境。
杂项 命令 刷新 帮助 效果 更新组策略管理控制台(GPMC)的显示内容以包含所有更改。
某些更改只有在刷新显示内容后才可见。
显示高级组策略管理(AGPM)帮助。
其他参考内容选项卡执行审批者任务执行审阅者任务 域委托选项卡 在“更改控制”窗格中的“域委托”选项卡上,提供了对存档拥有域级别访问权的组策略管理员列表,并指出了每个组策略管理员的角色。
此外,此选项卡使AGPM管理员(完全控制)能够配置编辑、审批者、审阅者和其他AGPM管理员的域级别权限。
“域委托”选项卡上有两个部分,用于在域级别配置电子邮件通知,以及基于角色进行高级组策略管理(AGPM)委派。
配置电子邮件通知 此选项卡上的电子邮件通知部分确定当AGPM中的操作挂起时将收到通知的审批者。
设置 发件人电子邮件地址 收件人电子邮件地址 描述 将通知发送到审批者的AGPM别名。
在多域环境中,整个环境中的别名可以相同,也可以在每个域使用不同的别名。
将通知发送到的以逗号分隔的审批者电子邮件地址列表 64 设置 SMTP服务器用户名密码确认密码 描述 电子邮件服务器的名称,如对SMTP服务器具有访问权限的用户SMTP服务器进行身份验证的用户密码确认用户密码 域级别基于角色的委派 此选项卡上基于角色的委派部分显示并启用AGPM管理员,以便为该域中拥有存档访问权限的每个组和用户委派允许、拒绝和继承的权限。
AGPM管理员可以使用标准AGPM角色(编辑、审批者、审阅者和AGPM管理员)或每个组策略管理员的定制组合权限配置全域性权限。
按钮 添加 删除属性高级 效果 添加安全性描述符的新条目。
可以将ActiveDirectory中的任何用户或组作为组策略管理员添加。
从访问控制列表中删除所选组策略管理员。
显示所选组策略管理员的属性。
打开“访问控制列表编辑器”。
其他注意事项有关与特定任务相关的角色和权限的信息,请参阅执行AGPM管理员任务、执行编辑任务、执 行审批者任务和执行审阅者任务下的任务。
其他参考用户界面:AdvancedGroupPolicyManagement执行AGPM管理员任务 AGPM服务器选项卡 使用“更改控制”窗格上的“AGPM服务器”选项卡可以通过输入完全限定的计算机名称和端口来选择AGPM服务器,以及从存档中删除旧版组策略对象(GPO)以节省AGPM服务器上的磁盘空间。
指定AGPM服务器 选定的AGPM服务器确定在“内容”选项卡上所显示的存档,以及确定将“域委托”设置应用到的位置。
高级组策略管理(AGPM)的默认端口是端口4600。
65 如果AGPM服务器连接是使用管理模板设置集中配置的,则此选项卡上用于配置连接的选项不可用。
有关详细信息,请参阅配置AGPM服务器连接。
删除旧GPO版本 默认情况下,每个受控GPO的所有版本都会保留在存档中。
但是,您可以配置AGPM服务以限制为每个GPO保留的版本数量,并在超出该限制时自动删除最旧的版本。
此限制仅计算“历史记录”窗口的“唯一版本”选项卡上显示的GPO版本。
注意为每个GPO存储的唯一版本的最大数量不包括当前版本,因此,输入0将仅保留当前版本。
该限制不能大于999个版本。
当删除某个GPO版本后,该版本的记录会保留在GPO的历史记录中,但GPO版本本身会从存档中删除。
您可以在历史记录中将某个GPO版本标记为不可删除来防止该GPO版本被删除。
其他参考用户界面:AdvancedGroupPolicyManagement执行AGPM管理员任务执行审阅者任务 “生产委托”选项卡 在“更改控制”窗格中的“生产委托”选项卡上,提供了对生产环境中的受控组策略对象(GPO)具有域级别访问权限的用户和组的列表,还指出了每个用户或组的允许权限。
此选项卡允许AGPM管理员(完全控制)修改域的生产环境中GPO的默认委派访问权限,从而可以添加或删除用户和组,可以修改每个用户和组的允许权限。
按钮 添加删除属性 效果 添加安全性描述符的新条目。
从“访问控制列表”中删除所选用户或组。
显示所选用户或组的属性。
该属性页与“ActiveDirectory用户和计算机”中对象的属性页相同。
其他参考用户界面:AdvancedGroupPolicyManagement执行AGPM管理员任务 66 管理模板文件夹 使用高级组策略管理(AGPM)的管理模板设置,可以为要应用带这些设置的组策略对象(GPO)的AGPM客户端和AGPM服务器集中配置日志记录和跟踪选项。
同样,使用这些设置可以为要应用带这些设置的GPO的组策略管理员集中配置存档位置和“更改控制”文件与“历史记录”选项卡的可见性。
日志记录和跟踪的设置AGPM服务器连接设置功能可见性设置其他参考用户界面:AdvancedGroupPolicyManagement执行AGPM管理员任务 日志记录和跟踪的设置 对于将管理模板设置应用于组策略对象(GPO)的AGPM服务器和客户端,可以通过高级组策略管理(AGPM)的这些设置集中配置日志记录和跟踪的选项。
当编辑GPO时,ComputerConfiguration\Policies\AdministrativeTemplates\WindowsComponents\AGPM下的以下设置可用。
跟踪文件位置:客户端:%LocalAppData%\Microsoft\AGPM\agpm.log服务器:%ProgramData%\Microsoft\AGPM\agpmserv.log 设置 AGPM:配置日志记录 效果 此策略设置允许打开和配置AGPM的日志记录。
此设置影响AGPM的客户端和服务器组件。
其他参考管理模板文件夹 AGPM服务器连接设置 您可以使用高级组策略管理(AGPM)的管理模板设置,为应用带有这些设置的组策略对象(GPO)的组策略管理员集中配置AGPM服务器连接。
编辑GPO时,可以使用UserConfiguration\Policies\AdministrativeTemplates\WindowsComponents\AGPM下的以下设置。
设置 AGPM:指定默认AGPM服务器(所有域) 效果 使用此策略设置可以指定所有域的默认AGPM服务器。
这个设置仅由AGPM客户端使用,而且会 67 设置 AGPM:指定AGPM服务器 效果 限制组策略管理员连接到另一个存档。
可以使用“AGPM:指定AGPM服务器”设置覆盖单个域的这一默认设置。
使用此策略设置可以指定单个域的AGPM服务器。
这个设置仅由AGPM客户端使用,而且会限制组策略管理员连接到指定域的其他存档。
要指定默认AGPM服务器,请使用“AGPM:指定默认AGPM服务器(所有域)”设置,然后使用此策略设置覆盖每个域的默认设置。
其他参考管理模板文件夹执行AGPM管理员任务 功能可见性设置 对于将管理模板设置应用于组策略对象(GPO)的组策略管理员,他们可以通过高级组策略管理(AGPM)的这些设置集中配置“更改控制”文件夹和“历史记录”选项卡的可见性。
当编辑GPO时,UserConfiguration\Policies\AdministrativeTemplates\WindowsComponents\MicrosoftManagementConsole\Restricted/PermittedSnap-ins\ExtensionSnapins下的以下设置可用。
设置 AGPM:显示“更改控制”选项卡AGPM:显示所链接GPO的“历史记录”选项卡 AGPM:显示GPO的“历史记录”选项卡 效果 此策略设置允许您控制组策略管理控制台(GPMC)中“更改控制”文件夹的可见性。
此策略设置允许您在查看GPMC中链接的GPO时,控制由AGPM提供的“历史记录”选项卡的可见性。
此策略设置允许您在查看GPMC中GPO时,控制由AGPM提供的“历史记录”选项卡的可见性。
其他参考管理模板文件夹 68
本指南包括AGPM帮助中的所有信息。
版权 本文档中的信息(包括引用的URL和其他网站)可能变动,恕不另行通知。
除非另行说明,否则此处示例中涉及的公司、组织、产品、域名、电子邮件地址、徽标、人员、地点和事件均属虚构。
与任何真实公司、组织、产品、域名、电子邮件地址、徽标、人员、地点或事件无关,也不应进行这方面的推断。
用户有责任遵守所有适用的版权法/著作权法。
在不限制版权所辖权利的前提下,未经MicrosoftCorporation的明确书面许可,无论出于何种目的,均不得以任何形式或通过任何方法(电子、机械、影印、录音或其他手段)复制或传播文档中的任何部分内容,或将其存储于或引入检索系统。
本文档可能涉及Microsoft的专利、专利申请、商标、版权或其他知识产权。
除非得到MicrosoftCorporation的明确书面许可,否则本文档不授予用户任何使用这些专利、商标、版权或其他知识产权的许可。
©2009MicrosoftCorporation。
保留所有权利。
Microsoft、Windows和WindowsServer是MicrosoftCorporation在美国和/或其他国家/地区的注册商标或商标。
所有其他商标的所有权属于其各自所有者。
目录 MicrosoftAdvancedGroupPolicyManagement4.0操作指南.............................5AdvancedGroupPolicyManagement概述.............................................5版本控制的最佳做法................................................................6清单:管理AGPM服务器和存档......................................................7清单:创建、编辑和部署GPO........................................................8搜索和筛选GPO列表...............................................................9执行AGPM管理员任务.............................................................10配置AdvancedGroupPolicyManagement..........................................11配置AGPM服务器连接.........................................................12配置电子邮件通知.............................................................13配置AGPM电子邮件安全性.....................................................14委派对生产环境的访问权限.....................................................15配置日志记录和跟踪...........................................................17管理存档.......................................................................17委派对存档的域级别访问权限...................................................18委派对存档中单个GPO的访问权限..............................................19限制存储的GPO版本..........................................................20从文件中导入GPO.............................................................20备份存档.....................................................................21从备份中还原存档.............................................................22管理AGPM服务.................................................................23启动和停止AGPM服务.........................................................23修改AGPM服务...............................................................23移动AGPM服务器和存档.........................................................25执行编辑任务.....................................................................26创建或控制GPO.................................................................27请求控制非受控GPO...........................................................27请求创建新的受控GPO.........................................................28从生产中导入GPO.............................................................28编辑GPO.......................................................................29脱机编辑GPO.................................................................29标记GPO的当前版本..........................................................31重命名GPO或模板............................................................31使用测试环境...................................................................32将GPO导出到文件............................................................32从文件中导入GPO.............................................................33在独立的组织单位中测试GPO...................................................33请求部署GPO...................................................................34创建模板和设置默认模板.........................................................34 创建模板.....................................................................35设置默认模板.................................................................36删除或还原GPO.................................................................36请求删除GPO.................................................................36请求还原已删除的GPO.........................................................37执行审批者任务...................................................................38批准或拒绝挂起的操作...........................................................39创建或控制GPO.................................................................39控制非受控GPO...............................................................40创建新的受控GPO.............................................................40委派管理受控GPO.............................................................41从生产中导入GPO.............................................................42签入GPO.......................................................................42部署GPO.......................................................................43回滚到早期版本的GPO...........................................................43删除、还原或破坏GPO...........................................................44删除受控GPO.................................................................44还原已删除的GPO.............................................................45破坏GPO.....................................................................45执行审阅者任务...................................................................46配置AGPM服务器连接...........................................................46检查GPO设置..................................................................47检查GPO链接..................................................................47识别GPO、GPO版本或模板之间的差异.............................................48AGPM疑难解答....................................................................50用户界面:AdvancedGroupPolicyManagement.......................................53内容选项卡.....................................................................53内容选项卡功能...............................................................54历史记录窗口.................................................................55受控GPO命令................................................................57非受控GPO命令..............................................................59挂起GPO命令................................................................60模板命令.....................................................................62回收站命令...................................................................63域委托选项卡...................................................................64AGPM服务器选项卡..............................................................65“生产委托”选项卡................................................................66管理模板文件夹.................................................................67日志记录和跟踪的设置.........................................................67AGPM服务器连接设置..........................................................67功能可见性设置...............................................................68 MicrosoftAdvancedGroupPolicyManagement4.0操作指南 您可以使用Microsoft高级组策略管理(AGPM)扩展组策略管理控制台(GPMC)的功能。
AGPM为组策略对象(GPO)提供了全面的更改控制和改进的管理方法。
使用AGPM可以执行以下任务:对GPO进行脱机编辑,以便可以创建GPO并在将其部署到生产环境之前对其进行测试。
在中央存档中维护GPO的多个版本,以便出现问题时可以回滚。
使用基于角色的委派在多人之间共享编辑、批准和审阅GPO的职责。
消除了多个组策略管理员使用GPO的签入和签出功能覆盖彼此所做工作的危险。
使用差异报告分析对GPO所做的更改,将该GPO与其他GPO或同一GPO的其他版本进行比 较。
使用GPO模板简化创建新GPO的过程,存储通用策略设置和首选项设置以用作新GPO的起 点。
委派对生产环境的访问权限。
搜索具有特定属性的GPO,并筛选所显示的GPO列表。
将GPO导出到文件,以便可将其从测试林中的域复制到生产林中的域。
AGPM在GPMC中显示的每个域下添加“更改控制”文件夹,还为在GPMC中显示的每个GPO和组策略链接添加“历史记录”选项卡。
AdvancedGroupPolicyManagement概述版本控制的最佳做法清单:管理AGPM服务器和存档清单:创建、编辑和部署GPO搜索和筛选GPO列表执行AGPM管理员任务执行编辑任务执行审批者任务执行审阅者任务AGPM疑难解答用户界面:AdvancedGroupPolicyManagement AdvancedGroupPolicyManagement概述 您可以使用高级组策略管理(AGPM)扩展组策略管理控制台(GPMC)的功能,从而为组策略对象(GPO)提供全面的更改控制和改进的管理方法。
5 组策略对象开发与更改控制 使用AGPM,可以将每个GPO的副本存储在中央存档中,以便组策略管理员可以脱机查看和更改GPO,而不会立即影响GPO的已部署版本。
此外,AGPM还会将每个受控GPO的每个版本的副本存储在存档中,以便您可以在需要时回滚到早期版本。
术语“签入”和“签出”与在库(或提供更改控制、版本控制或源控制进行编程开发的应用程序)中的使用方式相同。
要使用库中的书籍,请在库中将其签出。
签出后,其他人无法再使用该书籍。
使用完成后,应将该书籍签入库中,这样其他人才可以使用。
使用AGPM开发GPO时,请执行以下操作:
1.新建受控GPO或控制早先的非受控GPO。
2.签出GPO,以便只有您可以更改它。
3.编辑GPO。
4.签入已编辑的GPO,以便其他人可以更改它或者对其进行部署。
5.检查更改。
6.将GPO部署到生产环境中。
基于角色委派 AGPM提供了全面且易于使用的基于角色委派来管理对存档中GPO的访问权限。
域级别权限使AGPM管理员能够提供对单个域的访问权限而不提供对其他域的访问权限。
基于GPO委派使AGPM管理员能够提供对特定GPO的访问权限而不提供域范围的访问权限。
在AGPM中,有一些专门定义的角色:AGPM管理员(完全控制)、审批者、编辑和审阅者。
AGPM管理员角色包含所有其他角色的权限。
默认情况下,只有审批者有权将GPO部署到域的生产环境,从而保护该环境不会被经验不足的编辑误操作。
此外默认情况下,所有角色都包含审阅者角色,因此能够查看报告中的GPO设置。
但是,AGPM使AGPM管理员极具灵活性,可以通过自定义GPO访问权限来满足组织需求。
在多个组策略管理员环境中进行委派 在多人可以更改GPO的环境中,AGPM管理员会按组或个人委派编辑、审批者和审阅者的权限。
有关编辑和审批者的典型GPO开发过程,请参阅清单:创建、编辑和部署GPO。
其他参考MicrosoftAdvancedGroupPolicyManagement4.0操作指南 版本控制的最佳做法 Microsoft高级组策略管理(AGPM)提供了组策略对象(GPO)版本控制,与MicrosoftVisualSourceSafe®提供源代码版本控制的方式非常类似。
开发人员可以使用VisualSourceSafe管理每个源文件的多个版本。
组策略管理员可以使用AGPM对GPO执行相同操作。
使用AGPM时,组策略管理员应知道应用于任何版本控制系统的最佳做法:
6 日期和时间:AGPM为GPO的每个版本打上日期和时间戳。
若要确保历史记录准确无误,尤其是在多个计算机上编辑GPO时,请确保每个计算机的时钟都与一个权威时间源同步。
完成编辑后签入GPO:编辑通常会在签出GPO后忘记将它们签入回存档。
然而,这样会阻止其他组策略管理员更改该GPO。
请始终在完成编辑后立即将GPO签入回AGPM。
经常保存更改:编辑GPO时,请经常保存更改。
大多数编辑都是签出GPO,进行很多更改,然后将GPO签入存档。
应定期将GPO签入存档,然后再将其签出。
签入的详情可以像更改每个设置后签入GPO(不建议)或进行多组相关更改后签入GPO那样大。
这样,可以更好地存档每个GPO的历史记录,以帮助排查问题。
经常部署GPO:不要让尚未部署的新GPO和已编辑的GPO在存档中大量累积。
应尽快部署新的和已编辑的GPO,以便最大限度降低其对生产环境的影响。
同时部署多个新的和已编辑的GPO可能会危害生产环境。
签入GPO时记录更改目的:任何审阅者都可以比较GPO的版本以查看两个版本之间的特定更改。
记录这些特定更改不会添加任何值。
应记录更改的意图和目的,而不是记录审阅者通过查看差异报告所了解的内容。
版本注释应将值添加到比较报告中并可帮助审阅者理解编辑更改GPO的原因。
在测试环境中测试GPO:将GPO部署到生产环境而不进行测试会具有风险。
应在测试林的域中测试GPO,然后将GPO导出到文件,再将文件导入生产林中的域。
此外,还可以将GPO链接到包含测试计算机和用户的组织单位。
在测试环境中验证每个GPO的功能是否正常,然后将GPO部署到生产环境。
其他参考 MicrosoftAdvancedGroupPolicyManagement4.0操作指南 清单:管理AGPM服务器和存档 在高级组策略管理(AGPM)中,AGPM服务和存档都由AGPM管理员(完全控制)管理。
以下是AGPM管理员的典型任务。
常见任务 参考 委派对存档中的组策略对象(GPO)的访问权限委派对存档的域级别访问权限 。
委派对存档中单个GPO的访问权限 备份存档以启用灾难恢复。
备份存档 不常见任务 从备份还原存档以从灾难恢复。
将AGPM服务和/或存档移动到不同的服务器。
更改存档路径、AGPM服务帐户或AGPM服务侦 参考 从备份中还原存档移动AGPM服务器和存档修改AGPM服务
7 不常见任务 听的端口。
对AGPM服务器的常见问题进行疑难解答。
参考 AGPM疑难解答配置日志记录和跟踪 其他参考MicrosoftAdvancedGroupPolicyManagement4.0操作指南 清单:创建、编辑和部署GPO 在多人使用高级组策略管理(AGPM)更改组策略对象(GPO)的环境中,AGPM管理员(完全控制)会按组或个人委派编辑、审批者和审阅者的权限。
下面是编辑和审批者的典型GPO开发过程。
任务 参考 编辑请求创建新的GPO,或审批者创建新的GPO请求创建新的受控GPO 。
创建新的受控GPO 如果编辑请求创建GPO,由审批者批准这一请求批准或拒绝挂起的操作。
编辑从存档签出GPO的副本,以便其他任何人都不能修改GPO。
编辑对GPO进行更改,然后将修改的GPO签入存档。
脱机编辑GPO 如果在测试林中进行开发,编辑可将GPO导出到一个文件,再将该文件传送到生产林,然后导入该文件。
此外,编辑还可以将GPO链接到包含测试计算机和用户的组织单位。
使用测试环境 编辑请求将GPO部署到域的生产环境。
请求部署GPO 审阅者,如审批者或编辑,对GPO进行分析。
执行审阅者任务 审批者批准GPO并将其部署到域的生产环境或拒绝GPO。
批准或拒绝挂起的操作 其他参考MicrosoftAdvancedGroupPolicyManagement4.0操作指南
8 搜索和筛选GPO列表 在高级组策略管理(AGPM)中,可以搜索组策略对象(GPO)及其属性列表,以筛选所显示的GPO列表。
例如,可以搜索具有特定名称、状态或注释的GPO。
还可以搜索上次由特定组策略管理员更改或在特定日期更改的GPO。
执行复杂搜索 可以使用GPO属性1:搜索字符串1GPO属性2:搜索字符串2…所有列搜索字符串格式执行复杂搜索。
搜索不区分大小写。
GPO属性:AGPM的GPO列表中除“计算机版本”或“用户版本”以外的任何列标题。
GPO属性包括GPO名称、状态、最近更改GPO的用户、最近更改GPO的日期和时间、注释、GPO状态以及GPO所应用的WMI筛选器。
搜索字符串:要在指定列中搜索的文本。
如果字符串包含空格,必须用引号将字符串引起来。
所有列搜索字符串:要在AGPM的GPO列表中除“计算机版本”和“用户版本”以外的所有列中 搜索的文本。
可以包含多个以空格分隔的字符串。
如果字符串包含空格,必须用引号将字符串引起来。
使用逻辑AND操作可以将每个GPO属性和搜索字符串对以及每个所有列搜索字符串组合在一起。
搜索结果为符合以下条件的所有GPO的列表:每个指定的属性均包含指定的搜索字符串,并且至少有一列显示任何所有列搜索字符串。
搜索将返回字符串的任何部分匹配项,以便您只需输入部分GPO名称或用户名,即可查看其名称中包括该文本的所有GPO的列表。
以下是搜索示例: 搜索结果描述 搜索查询 名称包括文本安全和北美的所有GPO。
名称:安全名称:"北美" 所有签出的GPO。
状态:"已签出" 由名为管理员的用户最近在上月更改的所有GPO更改者:管理员更改日期:lastmonth。
最近注释中包括词语防火墙且任何列中显示有词注释:防火墙安全语安全的所有GPO。
状态为“已禁用所有设置”的所有GPO。
GPO状态:全部 应用了名为我的WMI筛选器的WMI筛选器且状WMI筛选器:"我的WMI筛选器"GPO状态:用 态为“已禁用用户配置设置”的所有GPO。
户
9 指定日期 可以使用在Windows中搜索时可用的相同特殊术语搜索在特定日期、特定时间或时间范围内更改的GPO。
如果输入特定日期或时间,必须使用“更改日期”列中使用的格式。
以下是搜索“更改日期”列的示例:更改日期:10/10/2009更改日期:10/10/20099:00:00AM更改日期:thisweek搜索“更改日期”列时,可以使用以下特殊术语(不区分大小写):TodayYesterdayThisWeekLastWeekThisMonthLastMonthTwoMonthsThreeMonthsThisYearLastYear 其他注意事项默认情况下,只有审阅者、编辑、审批者或者AGPM管理员(完全控制),才能执行此过程。
具体而言,您必须拥有域的“列出内容”权限。
有关GPO属性的详细信息,请参阅内容选项卡功能。
其他参考MicrosoftAdvancedGroupPolicyManagement4.0操作指南 执行AGPM管理员任务 高级组策略管理(AGPM)允许AGPM管理员(完全控制)配置域范围选项并委派审批者、编辑、审阅者和AGPM管理员的权限。
默认情况下,AGPM管理员是拥有完全控制权限(所有AGPM权限)的用户,因此也可以执行与任何角色相关的任务。
在多人开发组策略对象(GPO)的环境中,您可以选择让所有组策略管理员执行相同的任务并具有相同的访问级别。
或者,您可以选择让AGPM管理员为可以更改GPO的编辑以及将GPO部署到生产环境的审批者委派权限。
AGPM管理员可以配置权限以满足组织的需求。
配置AdvancedGroupPolicyManagement:配置AGPM服务器连接和电子邮件通知,委派对 生产环境中的GPO的访问权限,以及配置日志记录和跟踪以进行疑难解答。
管理存档:委派对存档中的GPO的访问权限,限制存储的每个GPO的版本数量,从其他域导 入GPO,以及备份和还原存档。
10 管理AGPM服务:停止并启动AGPM服务,或者更改存档路径、AGPM服务帐户或AGPM服务侦听的端口。
移动AGPM服务器和存档:将AGPM服务和/或存档移动到不同的服务器。
注意由于AGPM管理员角色包含所有其他角色的权限,因此AGPM管理员可以执行通常与任何其他角色相关的任务。
执行审批者任务,如创建、部署或删除GPO执行编辑任务,如编辑、重命名、导入GPO或为GPO加标签,创建模板,或者设置默认模板执行审阅者任务,如检查设置和比较GPO 其他注意事项默认情况下,AGPM管理员角色拥有完全控制权限-所有AGPM权限:列出内容读取设置编辑设置创建GPO部署GPO删除GPO导出GPO导入GPO创建模板修改选项修改安全性“修改选项”和“修改安全性”权限是AGPM管理员角色独有的权限。
配置AdvancedGroupPolicyManagement 在高级组策略管理(AGPM)中,作为AGPM管理员(完全控制),您可以为组策略管理员集中配置AGPM服务器连接,配置AGPM的电子邮件通知、配置AGPM的可选电子邮件安全性,在域的生产环境中委派对组策略对象(GPO)的访问权限,以及配置日志记录和跟踪进行疑难解答。
配置AGPM服务器连接配置电子邮件通知配置AGPM电子邮件安全性委派对生产环境的访问权限配置日志记录和跟踪其他参考有关委派对存档中GPO的访问权限的信息,请参阅管理存档。
11 有关如何限制存档中存储的每个GPO的版本数量的信息,请参阅限制存储的GPO版本。
执行AGPM管理员任务 配置AGPM服务器连接 每个受控组策略对象(GPO)的所有版本都存储在中央存档中,以便组策略管理员可以脱机查看并修改GPO,而不会直接对每个GPO的部署版本产生影响。
需要使用具有AGPM管理员(完全控制)角色的用户帐户、创建在这些过程中使用的GPO的审批者的用户帐户或者具有高级组策略管理(AGPM)中所需权限的用户帐户,才能完成这些为所有组策略管理员集中配置存档位置的过程。
请在此主题的“其他考虑事项”中查看详细信息。
配置AGPM服务器连接作为AGPM管理员,您可以通过集中配置关联设置,以确保所有组策略管理员都能连接到同一AGPM服务器。
如果您的环境中某些域或所有域需要单独的AGPM服务器,除默认服务器以外还需配置这些其他的AGPM服务器。
如果您没有集中配置AGPM服务器连接,那么每个组策略管理员必须手动配置每个域要显示的AGPM服务器。
为所有组策略管理员配置AGPM服务器连接为所有组策略管理员配置其他AGPM服务器连接为您的帐户手动配置AGPM服务器连接 对所有组策略管理员配置AGPM服务器连接
1.在“组策略管理控制台”树中,编辑要应用于所有组策略管理员的GPO。
(有关详细信息,请参阅编辑GPO。
)
2.在“组策略管理编辑器”窗口中,单击“用户配置”、“策略”、“管理模板”、“Windows组件”和“AGPM”。
3.在详细信息窗格中,双击“AGPM:指定默认AGPM服务器(所有域)”。
4.在“属性”窗口中,选择“已启用”复选框,然后键入完全限定的计算机名称和端口(例如, :4600)。
5.单击“确定”。
除非您要配置其他AGPM服务器连接,否则关闭“组策略管理编辑器”窗口, 然后部署GPO。
(有关详细信息,请参阅部署GPO。
)当更新组策略时,会为所有组策略管理员配置AGPM服务器连接。
为所有组策略管理员配置其他AGPM服务器连接
1.如果尚未配置任何AGPM服务器连接,则按照上述过程为配置所有域的默认AGPM服务器。
2.要为某些域或所有域配置单独的AGPM服务器(覆盖默认AGPM服务器),请在“组策略管理控制台”树中编辑要适用于所有组策略管理员的GPO。
(有关详细信息,请参阅编辑GPO。
)
3.在“组策略管理编辑器”窗口中,单击“用户配置”、“策略”、“管理模板”、“Windows组件”和“AGPM”。
12
4.在详细信息窗格中,双击“AGPM:指定AGPM服务器”。
5.在“属性”窗口中,选中“已启用”复选框,然后单击“显示”。
6.在“显示内容”窗口中: a.单击“添加”。
b.在“值名称”中,键入域名(例如,)。
c.在“值”中,键入用于此域的AGPM服务器名称和端口(例如, :4600),然后单击“确定”。
(默认情况下,AGPM服务侦听端口4600。
若要使用其他端口,请参阅修改AGPM服务。
)d.为不使用默认AGPM服务器的每个域重复以上步骤。
7.单击“确定”,关闭“显示内容”和“属性”窗口。
8.关闭“组策略管理编辑器”窗口。
(有关详细信息,请参阅部署GPO。
)当更新组策略时,会为所有组策略管理员配置新的AGPM服务器连接。
如果已集中配置AGPM服务器连接,则所有组策略管理员的手动配置选项将不可用。
为您的帐户手动配置要显示的AGPM服务器
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中,单击“AGPM服务器”选项卡。
3.为管理用于此域的存档的AGPM服务器输入完全限定的计算机名称(例如, )和AGPM服务监听的端口(默认为端口4600)。
4.单击“应用”,然后单击“是”进行确认。
其他注意事项您必须能够编辑并部署GPO,才能执行为所有组策略管理员集中配置AGPM服务器连接的过程。
有关其他详细信息,请参阅编辑GPO和部署GPO。
所选AGPM服务器确定在“内容”选项卡上显示的GPO,以及“域委托”选项卡设置应用的位置。
如果不通过管理模板进行集中管理,则每个组策略管理员必须配置此设置,才能指向域的AGPM服务器。
GroupPolicyCreatorOwners组中的成员身份应加以限制,确保不会危害能够访问GPO的AGPM管理。
(在“组策略管理控制台”中,单击您要在其中管理GPO的林和域的“组策略对象”,单击“委派”,然后配置设置以满足您的组织的需求。
)其他参考配置AdvancedGroupPolicyManagement 配置电子邮件通知 当编辑或审阅者尝试创建、部署或者删除组策略对象(GPO)时,关于此操作的请求会发送到指定的电子邮件地址,这样审批者可以评估请求,然后执行或拒绝请求。
您应确定要接收通知的电子邮件地址,以及用来发送通知的别名。
13 若要完成此过程,必须使用AGPM管理员(完全控制)角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
配置AGPM的电子邮件通知
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中,单击“域委托”选项卡。
3.在“发件人电子邮件地址”字段中,键入将用来发送通知的AGPM电子邮件别名。
4.在“收件人电子邮件地址”字段中,键入应接收要批准的请求的审批者的电子邮件地址逗号 分隔列表。
5.在“SMTP服务器”字段中,键入有效的SMTP邮件服务器。
6.在“用户名”和“密码”字段中,键入拥有SMTP服务访问权限的用户凭证。
7.单击“应用”。
其他注意事项默认情况下,您必须是AGPM管理员(完全控制)才能执行此过程。
具体而言,您必须拥有 域的“列出内容”和“修改选项”权限。
AGPM电子邮件通知是域级别设置。
您可以在每个域的“域委托”选项卡上提供不同审批者的电 子邮件地址或AGPM电子邮件别名,也可以在您的整个环境中使用相同的电子邮件地址。
默认情况下,电子邮件在发送时是作为高级组策略管理(AGPM)中的操作结果而未进行加密 的。
但是,您可以使用注册表设置配置AGPM电子邮件安全性,指定是否使用安全套接字层(SSL)加密和要使用的SMTP端口。
有关详细信息,请参阅配置AGPM电子邮件安全性。
其他参考配置AdvancedGroupPolicyManagement 配置AGPM电子邮件安全性 默认情况下,由于高级组策略管理(AGPM)中的操作而发送的电子邮件通知没有经过加密,而且是通过SMTP端口25发送的。
但是,您可以使用注册表设置配置AGPM电子邮件的安全性,指定是否使用安全套接字层(SSL)加密以及要使用的SMTP端口。
通过对AGPM电子邮件通知进行加密,可以更好地保护可能会显示有关组织安全性的敏感信息的电子邮件。
如果要通过远程邮件服务器中继电子邮件,建议对电子邮件通知进行加密,并且某些合规性可能要求对电子邮件通知进行加密。
注意不正确地编辑注册表可能会对系统造成严重损坏。
更改注册表之前,应对计算机上的所有重要数据进行备份。
要完成这些过程,需要使用具有AGPM管理员(完全控制)角色的用户帐户(即创建在这些过程中使用的组策略对象(GPO)的审批者的用户帐户),或者拥有AGPM中所需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
使用组策略首选项配置AGPM电子邮件安全性 14
1.在“组策略管理控制台”树中,编辑应用于要配置电子邮件安全性的所有AGPM服务器的GPO。
(有关详细信息,请参阅编辑GPO。
)
2.在“组策略管理编辑器”窗口中,展开“计算机配置”、“首选项”、“Windows设置”和“注册表”文件夹。
3.在控制台树中,右键单击“注册表”,指向“新建”,单击“集合项目”,然后键入“AGPM电子邮件安全性”。
4.创建启用加密的注册表首选项项目:a.在控制台树中,右键单击“AGPM电子邮件安全性”,指向“新建”,然后单击“注册表项”。
b.在“新注册表属性”对话框中,选择“更新”操作。
c.对于“配置单元”,选择“HKEY_LOCAL_MACHINE”。
d.对于“注册表项路径”,键入“SOFTWARE\Microsoft\AGPM”。
e.对于“值名称”,键入“EncryptSmtp”。
f.对于“值类型”,选择“REG_DWORD”。
g.对于“基数”,选择“小数”,对于“数值数据”,键入“1”以使用SSL加密,或者键入“0”允许不加密就发送电子邮件。
默认情况下,不加密就发送电子邮件。
单击“确定”。
5.创建指定SMTP端口的注册表首选项项目:a.在控制台树中,右键单击“AGPM电子邮件安全性”,指向“新建”,然后单击“注册表项”。
b.在“新注册表属性”对话框中,选择“更新”操作。
c.对于“配置单元”,选择“HKEY_LOCAL_MACHINE”。
d.对于“注册表项路径”对话框,键入“SOFTWARE\Microsoft\AGPM”。
e.对于“值名称”,键入“SmtpPort”。
f.对于“值类型”,选择“REG_DWORD”。
g.对于“基数”,选择“小数”,对于“数值数据”,键入SMTP端口的端口号。
默认情况下,未启用加密时SMTP端口是25,启用加密时是587。
单击“确定”。
6.关闭“组策略管理编辑器”窗口,然后签入并部署GPO。
有关详细信息,请参阅部署GPO。
其他注意事项必须能使用组策略首选项编辑和部署GPO以配置注册表设置。
有关其他详细信息,请参阅编 辑GPO和部署GPO。
其他参考配置AdvancedGroupPolicyManagement 委派对生产环境的访问权限 在高级组策略管理(AGPM)中,可以更改域的生产环境中的组策略对象(GPO)的访问权限,替换那些GPO上的任何现有权限。
可以在域级别将权限配置为,当用户不使用组策略管理控制台 15 (GPMC)中的“更改控制”文件夹时,允许或阻止用户编辑、删除或修改生产环境中的GPO的安全性。
注意更改生产环境的访问权限的委派方式不会影响用户链接GPO的能力。
当GPO为受控或已部署时,就会删除其他所有帐户的访问权限,但拥有“读取”和“应用”权限 的除外。
若要完成此过程,需要使用拥有AGPM管理员(完全控制)角色或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
在域的生产环境中更改对GPO的访问权限
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.单击“生产委托”选项卡。
3.要为没有生产环境访问权限的用户或组添加权限,或者替换拥有生产环境访问权限的用户 或组的权限,请按以下步骤操作:a.单击“添加”,选择用户或组,然后单击“确定”。
b.选择要在生产环境中为该用户或组委派的权限,然后单击“确定”。
4.若要删除用户或组在生产环境中的所有权限,请选择用户或组,单击“删除”,然后单击“确定”。
其他注意事项默认情况下,您必须是AGPM管理员(完全控制)才能执行此过程。
明确地说,您必须拥有 域的“修改安全性”权限。
不能在“生产委托”选项卡上更改AGPM服务帐户的权限。
默认情况下,下列帐户拥有生产环境中GPO的权限: 帐户
(在“组策略管理控制台”中,单击您要在其中管理GPO的林和域的“组策略对象”,单击“委派”,然后配置设置以满足您的组织的需求。
) 其他参考 16 配置AdvancedGroupPolicyManagement 配置日志记录和跟踪 可以使用管理模板有选择地集中配置日志记录和跟踪。
这对于诊断与高级组策略管理(AGPM)相关的任何问题可能很有帮助。
要完成这些过程,需要使用具有AGPM管理员(完全控制)角色的用户帐户(即创建在这些过程中使用的组策略对象(GPO)的审批者的用户帐户),或者拥有AGPM中所需权限的用户帐户。
此外,需要使用具有AGPM服务器访问权限的用户帐户,才能初始化AGPM服务器上的日志记录。
请在此主题的“其他考虑事项”中查看详细信息。
配置AGPM的日志记录和跟踪
1.在“组策略管理控制台”树中,编辑将应用于需要启用日志记录和跟踪的所有组策略管理员的GPO。
(有关详细信息,请参阅编辑GPO。
)
2.在“组策略管理编辑器”窗口中,单击“计算机配置”、“策略”、“管理模板”、“Windows组件”和“AGPM”。
3.在详细信息窗格中,双击“AGPM:配置日志记录”。
4.在“属性”窗口中,单击“已启用”,然后配置将在日志中记录的详细信息的级别。
5.单击“确定”。
6.关闭“组策略管理编辑器”窗口。
(有关详细信息,请参阅部署GPO。
)在更新组策略后, 只有重新启动AGPM服务,才能启动、修改或停止AGPM服务器上的日志记录。
组策略管理员只有关闭并重新启动GPMC,才能启动、修改或者停止其计算机上的日志记录。
跟踪文件位置:客户端:%LocalAppData%\Microsoft\AGPM\agpm.log服务器:%ProgramData%\Microsoft\AGPM\agpmserv.log 其他注意事项必须能够编辑和部署GPO,才能配置AGPM日志记录和跟踪。
有关其他详细信息,请参阅编辑 GPO和部署GPO。
其他参考配置AdvancedGroupPolicyManagement 管理存档 在高级组策略管理(AGPM)中,作为AGPM管理员(完全控制),您需管理存档的访问权限,并可以限制存档中存储的每个组策略对象(GPO)的版本数量。
您可以在域级别或GPO级别委派对存档中GPO的访问权限。
此外,还可以备份存档,以便在发生灾难时或许能够恢复存档。
作为AGPM管理员,可以将GPO导出到一个文件,再将该文件复制到其他林,然后将该GPO导入该林中的某个域。
与编辑不同,在创建新受控GPO时,您可以将策略设置直接从GPO备份导入该新受控GPO。
有关如何导出GPO的信息,请参阅将GPO导出到文件。
委派对存档的域级别访问权限 17 委派对存档中单个GPO的访问权限限制存储的GPO版本从文件中导入GPO备份存档从备份中还原存档其他参考有关如何对生产环境中的GPO委派访问权限的信息,请参阅委派对生产环境的访问权限。
有关如何移动存档的信息,请参阅移动AGPM服务器和存档。
执行AGPM管理员任务 委派对存档的域级别访问权限 设置对您的环境的委派,以便组策略管理员对存档中的组策略对象(GPO)具有适当的访问和控制权限。
您可以应用一些基本权限来使操作更有效。
可以采用任何满足组织的需要的方式来授予权限。
若要完成此过程,必须使用AGPM管理员(完全控制)角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
通过委派访问权限使用户和组对整个域中的所有GPO拥有适当的权限
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.单击“域委托”选项卡,配置对域中所有GPO的访问权限: a.若要为用户或组添加访问权限,请单击“添加”按钮,选择相应用户或组,然后单击“确定”。
在“添加组或用户”对话框中,选择角色并单击“确定”。
b.若要删除用户或组的访问权限,请选择相应用户或组,然后单击“删除”按钮。
c.要修改委派给用户或组的角色和权限,请选择单击“高级”按钮。
在“权限”对话框中, 选择用户或组,选中要分配给该用户或组的每个角色对应的复选框,然后单击“确定”。
备注编辑和审批者的权限包括审阅者的权限。
其他注意事项默认情况下,您必须是AGPM管理员(完全控制)才能执行此过程。
明确地说,您必须拥有 域的“修改安全性”权限。
若要将读取访问权限委托给使用AGPM的组策略管理员,则必须授予他们“列出内容”及“读取 设置”权限。
他们使用该权限可以查看AGPM的“内容”选项卡上的GPO。
其他权限必须明确委托。
编辑必须被授予GPO的已部署副本的“读取”权限,才能完整地使用组策略软件安装。
18 GroupPolicyCreatorOwners组中的成员身份应加以限制,确保不会危害能够访问GPO的AGPM管理。
(在“组策略管理控制台”中,单击您要在其中管理GPO的林和域的“组策略对象”,单击“委派”,然后配置设置以满足您的组织的需求。
) 其他参考管理存档 委派对存档中单个GPO的访问权限 作为AGPM管理员(完全控制),您可以委派管理存档中的受控组策略对象(GPO),以便选定的组和编辑可以进行编辑,审阅者可以进行审阅,审批者可以加以批准。
若要完成此过程,必须使用具有AGPM管理员(完全控制)角色的用户帐户、创建GPO的审批者的用户帐户,或者具有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
委托受控GPO的管理
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格的“内容”选项卡上,单击“受控”选项卡以显示受控GPO,然后单击GPO进 行委托:a.若要为用户或组添加访问权限,请单击“添加”按钮,选择相应用户或组,然后单击“确 定”。
在“添加组或用户”对话框中,选择角色并单击“确定”。
b.若要删除用户或组的访问权限,请选择相应用户或组,然后单击“删除”按钮。
备注如果用户或组继承域范围内的访问权限,则“删除”按钮不可用。
可以在“域委托”选项卡上修改域范围内的访问权限。
c.若要修改委托给用户或组的角色和权限,请单击“高级”按钮。
在“权限”对话框中,选择相应用户或组,选中每个要分配给该用户或组的角色旁的复选框,然后单击“确定”。
备注编辑和审批者的权限包括审阅者的权限。
其他注意事项默认情况下,您必须是创建或控制GPO的审批者或AGPM管理员(完全控制)才能执行此过 程。
具体而言,您必须拥有域的“列出内容”权限和GPO的“修改安全性”权限。
若要将读取访问权限委托给使用AGPM的组策略管理员,则必须授予他们“列出内容”及“读取 设置”权限。
他们使用该权限可以查看AGPM的“内容”选项卡上的GPO。
其他权限必须明确委托。
编辑必须拥有已部署GPO副本的“读取”权限,才能充分利用组策略软件安装。
GroupPolicyCreatorOwners组中的成员身份应加以限制,确保不会危害能够访问GPO的AGPM管理。
(在“组策略管理控制台”中,单击您要在其中管理GPO的林和域的“组策略对象”,单击“委派”,然后配置设置以满足您的组织的需求。
) 19 其他参考管理存档 限制存储的GPO版本 默认情况下,每个受控组策略对象(GPO)的所有版本都会保留在AGPM服务器上的存档中。
但是,您可以限制为每个GPO保留的版本数量,并在超出限制时删除较旧版本。
当删除GPO版本后,该版本的记录会保留在GPO的历史记录中,但GPO版本本身会从存档中删除。
若要完成此过程,必须使用AGPM管理员(完全控制)角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
限制GPO版本的存储数量
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中,单击“AGPM服务器”选项卡。
3.选中“从存档中删除每个GPO的旧版本”复选框,并键入要为每个GPO存储的最大GPO版 本数量,其中不包括当前版本。
若要仅保留当前版本,请输入
0。
最大数不能大于999。
重要事项此限制仅计算“历史记录”窗口的“唯一版本”选项卡上显示的GPO版本。
4.单击“应用”按钮。
其他注意事项默认情况下,您必须是AGPM管理员(完全控制)才能执行此过程。
具体而言,您必须拥有 域的“列出内容”和“修改选项”权限。
您可以在历史记录中将某个GPO版本标记为不可删除来防止该GPO版本被删除。
为此,请在 GPO历史记录中右键单击该版本并单击“不删除”。
其他参考管理存档 从文件中导入GPO 在高级组策略管理(AGPM)中,如果您是AGPM管理员(完全控制)并且已将组策略对象(GPO)导出到CAB文件,则可以将该GPO的策略设置导入其他林的域中的新GPO或现有GPO。
有关将GPO设置导出到CAB文件的信息,请参阅将GPO导出到文件。
若要将策略设置导入新的受控GPO,则需要使用具有AGPM管理员角色或具有AGPM中必需权限的用户帐户。
若要将策略设置导入现有GPO,则需要使用具有编辑或AGPM管理员角色,或者具有AGPM中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
从文件导入策略设置从文件导入策略设置时,可以将策略设置导入新GPO或现有GPO。
但是,如果将策略设置导入现有GPO,将替换该GPO中的所有策略设置。
将策略设置导入新的受控GPO 20 将策略设置导入现有GPO 将策略设置导入新的受控GPO
1.在“组策略管理控制台”树中,单击要将策略设置导入的域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.创建新的受控GPO。
在“新建受控GPO”对话框中,单击“导入”,然后单击“启动向导”。
有 关如何创建GPO的详细信息,请参阅创建新的受控GPO。
4.按照“导入设置向导”中的说明选择GPO备份,从其中为新GPO导入策略设置,然后输入 新GPO的审计跟踪的注释。
将策略设置导入现有GPO
1.在“组策略管理控制台”树中,单击要将策略设置导入的域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.签出要将策略设置导入的目标GPO。
4.右键单击目标GPO,指向“导入自”,然后单击“文件”。
5.按照“导入设置向导”中的说明选择GPO备份,导入其策略设置以替换目标GPO中的策略 设置,然后输入目标GPO的审计跟踪的注释。
默认情况下,向导完成后将签入目标GPO。
其他注意事项若要将策略设置导入新的受控GPO,您必须拥有域的“列出内容”、“导入GPO”和“创建GPO”权 限。
默认情况下,您必须是AGPM管理员才能执行此过程。
若要将策略设置导入现有GPO,您必须拥有域的“列出内容”、“编辑设置”和“导入GPO”权限, 且该GPO必须由您签出。
默认情况下,必须是编辑者或AGPM管理员(完全控制)才能执行此过程。
其他参考管理存档 备份存档 若要在出现灾难时帮助恢复高级组策略管理(AGPM)的存档,AGPM管理员(完全控制)应经常备份存档。
默认情况下,会在%ProgramData%\Microsoft\AGPM中创建存档。
但是,您可以在安装MicrosoftAdvancedGroupPolicyManagement-Server时指定其他路径。
要完成此过程,需要使用同时对AGPM服务器(安装AGPM服务的计算机)和包含存档的文件夹具有访问权限的用户帐户。
备份存档
1.停止AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
2.使用Windows资源管理器、Xcopy、WindowsServer®Backup或其他备份工具备份存档 文件夹。
确保备份隐藏文件、系统文件和只读文件。
21
3.将存档备份存储到安全位置。
4.重新启动AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
备注如果AGPM管理员未经常备份存档,存档备份中的组策略对象(GPO)将不是最新的。
若要更好地确保存档备份是最新的,请将备份存档作为组织日常备份策略的一部分。
其他参考从备份中还原存档移动AGPM服务器和存档管理存档 从备份中还原存档 如果发生灾难且高级组策略管理(AGPM)的存档受损或遭到破坏,AGPM管理员(完全控制)可以从预先准备的备份副本还原存档,然后从域的生产环境导入不在存档中或其生产中的版本比存档中的版本更新的任何组策略对象(GPO)。
有关如何将存档备份还原到其他服务器的信息,请参阅移动AGPM服务器和存档。
要完成此过程,需要使用同时对AGPM服务器(安装AGPM服务的计算机)和包含存档的文件夹具有访问权限的用户帐户。
从备份还原存档
1.停止AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
2.删除现有存档。
默认情况下,存档文件夹为%ProgramData%\Microsoft\AGPM,但是安装 MicrosoftAdvancedGroupPolicyManagement-Server的AGPM管理员可能会在安装期间输入其他位置。
3.通过配置存档路径、AGPM服务帐户、存档所有者和侦听端口重新创建存档文件夹。
不必使用原始安装期间使用的相同值。
有关详细信息,请参阅修改AGPM服务。
4.将存档备份的内容复制到存档文件夹,复制子文件夹和文件以确保每个子文件夹和文件都继承存档文件夹的权限。
请小心不要覆盖存档文件夹。
5.如果不确定存档备份中的GPO是否比生产中该GPO的副本新,请生成差异报告并比较其设置。
有关详细信息,请参阅识别GPO、GPO版本或模板之间的差异。
6.重新启动AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
其他参考备份存档移动AGPM服务器和存档管理存档 22 管理AGPM服务 AGPM服务是一项作为安全代理的Windows服务,用于管理客户端对存档和域的生产环境中的组策略对象(GPO)的访问权限。
它强制高级组策略管理(AGPM)进行委派并提供增强级别的安全性。
AGPM服务位于安装MicrosoftAdvancedGroupPolicyManagement-Server的服务器上。
注意不要通过操作系统中的“管理工具”和“服务”修改AGPMService的设置。
这样做会阻止AGPMService启动。
启动和停止AGPM服务修改AGPM服务其他参考移动AGPM服务器和存档执行AGPM管理员任务 启动和停止AGPM服务 AGPM服务是一项作为安全代理的Windows服务,用于管理客户端对存档和生产环境中的组策略对象(GPO)的访问。
重要事项停止或禁用AGPM服务将防止AGPM客户端通过服务器执行任何操作(如列出GPO或编辑GPO)。
若要完成此过程,必须使用拥有AGPM服务器(安装AGPM服务的计算机)的访问权限的用户帐户。
开始或停止AGPM服务
1.在安装MicrosoftAdvancedGroupPolicyManagement-Server(因而安装了AGPM服务)的计算机上,依次单击“开始”、“控制面板”、“管理工具”,然后单击“服务”。
2.在服务列表中,右键单击“AGPM服务”,依次选择“开始”、“重新启动”或“停止”。
注意不要通过操作系统中的“管理工具”和“服务”修改AGPMService的设置。
这样做会阻止AGPMService启动。
其他参考管理AGPM服务 修改AGPM服务 AGPM服务是一项作为安全代理的Windows服务,用于管理客户端对存档和域的生产环境中的组策略对象(GPO)的访问权限。
如果此服务已停止或禁用,AGPM客户端就不能通过服务器执行操作。
您可以修改存档路径、AGPM服务帐户和AGPM服务监听的端口。
23 注意不要通过操作系统中的“管理工具”和“服务”修改AGPMService的设置。
这样做会阻止AGPMService启动。
要完成此过程,所使用的用户帐户需为域管理组成员,并且具有AGPM服务器(安装了MicrosoftAdvancedGroupPolicyManagement-Server)的访问权限。
另外,必须提供AGPM服务帐户的凭证,才能完成此过程。
修改AGPM服务
1.在安装MicrosoftAdvancedGroupPolicyManagement-Server的计算机上,单击“开始”、“控制面板”、“程序”以及“程序和功能”。
2.右键单击“MicrosoftAdvancedGroupPolicyManagement-Server”,然后单击“更改”。
3.单击“下一步”,然后单击“修改”。
4.按照说明配置AGPM服务: a.在“存档路径”对话框中,输入AGPM服务器相关存档的新位置,或者确认当前存档路径,然后单击“下一步”。
重要事项存档路径可以指向AGPM服务器上的一个文件夹或其他位置,但是该位置应该有充足的空间,才能存储此AGPM服务器管理的所有GPO和历史记录数据。
b.在“AGPM服务帐户”对话框中,输入将运行AGPM服务的服务帐户的凭证,然后单击“下一步”。
重要事项修改安装时会清除AGPM服务帐户的凭证。
必须重新输入凭证,但是不要求凭证与原始安装期间使用的凭证相匹配。
AGPM服务帐户必须具有访问将管理的GPO的全部权限,并且将被授予“作为服务登录”权限。
如果要管理单一域上的GPO,则可以将主节点域控制器的本地系统帐户用作AGPM服务帐户。
如果要管理多个域上的GPO,或者成员服务器为AGPM服务器,则应配置另一帐户作为AGPM服务帐户,因为一个域控制器的本地系统帐户不能访问其他域上的GPO。
c.在“存档所有者”对话框中,输入AGPM管理员(完全控制)或AGPM管理员组的用户名,然后单击“下一步”。
备注修改安装时会清除存档所有者的凭证。
必须重新输入凭证,但是不要求凭证与原始安装期间使用的凭证相匹配。
d.在“端口配置”对话框中,键入AGPM服务应监听的新端口,或者确认当前选择的端口,然后单击“下一步”。
24 注意默认情况下,AGPM服务监听端口4600。
如果您手动配置端口例外或拥有规则配置端口例外,则可以清除“向防火墙添加端口例外”复选框。
5.单击“更改”,在安装完成后单击“完成”。
6.如果更改了AGPM服务监听的端口,请修改每个组策略管理员的AGPM服务器连接中的端口。
(有关详细信息,请参阅配置AGPM服务器连接。
)
7.为应当应用配置更改的各个AGPM服务器重复以上步骤。
其他参考管理AGPM服务 移动AGPM服务器和存档 如果您要替换AGPM服务器和托管存档的服务器,必须移动AGPM服务和存档。
如果您愿意,可以单独移动AGPM服务和存档。
注意AGPM服务器是托管AGPM服务且安装了MicrosoftAdvancedGroupPolicyManagement– Server的计算机。
默认情况下,将在AGPM服务器上托管存档,但您可以指定存档路径以在其他服务器上进行托 管。
要完成此过程,所使用的用户帐户需为域管理组成员,并且具有以前和新AGPM服务器的访问权限。
另外,必须提供要由新AGPM服务器使用的AGPM服务帐户的凭据,才能完成此过程。
将AGPM服务和存档移动到不同的服务器
1.备份存档。
有关详细信息,请参阅备份存档。
2.移动AGPM服务: a.停止AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
b.在将托管AGPM服务的新服务器上安装MicrosoftAdvancedGroupPolicy Management-Server。
在此过程中,需指定新的存档路径以及与AGPM服务器相关的存档的位置。
有关详细信息,请参阅MicrosoftAdvancedGroupPolicyManagement4.0逐步指南(/fwlink/?
LinkId=153505)和MicrosoftAdvancedGroupPolicyManagement计划指南(/fwlink/?
LinkId=156883)。
c.AGPM管理员(完全控制)必须为将使用新AGPM服务器的所有组策略管理员配置AGPM服务器连接,然后删除旧AGPM服务器的连接,或者组策略管理员必须手动配置新AGPM服务器连接,然后删除其计算机上的AGPM管理单元的旧AGPM服务器连接。
有关详细信息,请参阅配置AGPM服务器连接。
备注 25 作为最佳做法,应从以前的AGPM服务器上卸载MicrosoftAdvancedGroupPolicyManagement–Server。
这将确保AGPM服务不会在该服务器上意外重新启动,并且在保留了该服务的任何AGPM服务器连接时不会导致混淆。
3.将存档从备份复制到将托管该存档的新服务器。
有关详细信息,请参阅从备份中还原存档。
重要事项如果在移动存档时未移动AGPM服务: a.必须更改存档路径以指向与AGPM服务器相关的新存档位置。
有关详细信息,请参阅修改AGPM服务。
b.必须在“域委托”选项卡上重新输入密码并确认。
有关详细信息,请参阅配置电子邮件通知。
其他参考备份存档从备份中还原存档配置AGPM服务器连接修改AGPM服务MicrosoftAdvancedGroupPolicyManagement4.0逐步指南 (/fwlink/?
LinkId=153505)MicrosoftAdvancedGroupPolicyManagement计划指南 (/fwlink/?
LinkId=156883)执行AGPM管理员任务 执行编辑任务 在高级组策略管理(AGPM)中,编辑是经AGPM管理员(完全控制)授权更改组策略对象(GPO)和创建GPO模板的人员。
此外,编辑还可以请求创建、删除或还原GPO。
审批者必须批准请求才能使请求得以执行。
编辑可以将GPO导出到文件以便可将GPO复制到其他林中的域,并且可以导入从其他域复制的GPO。
重要事项确保您已连接到GPO的中央存档。
有关详细信息,请参阅配置AGPM服务器连接。
创建或控制GPO编辑GPO使用测试环境请求部署GPO创建模板和设置默认模板删除或还原GPO 26 备注因为编辑角色包括审阅者角色的权限,所以编辑还可以查看设置和比较GPO。
有关详细信息,请参阅执行审阅者任务。
其他注意事项默认情况下,为编辑角色提供下列权限:列出内容读取设置编辑设置导出GPO导入GPO创建模板 创建或控制GPO 要使用高级组策略管理(AGPM)提供组策略对象(GPO)更改控制,必须先使GPO受控于AGPM。
在“更改控制”文件夹中创建的新GPO将自动成为受控GPO。
作为编辑,您可能没有完成控制、创建或删除GPO操作的权限,但是具有开始该过程并向审批者提交请求所需的权限。
请求控制非受控GPO请求创建新的受控GPO从生产中导入GPO 请求控制非受控GPO 要提供现有组策略对象(GPO)的更改控制,该GPO必须是受控的。
如果您不是审批者或AGPM管理员(完全控制),则必须请求对GPO进行控制。
若要完成此过程,必须使用编辑或审阅者角色的或者拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
控制非受控GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格的“内容”选项卡上,单击“非受控”选项卡以显示非受控GPO。
3.右键单击要使用AGPM控制的GPO,然后单击“控制”。
4.如果您没有控制GPO的特殊权限,则必须提交一个控制请求。
若要接收请求的副本,请在 “抄送”字段中键入您的电子邮件地址。
键入将在GPO的“历史记录”中显示的注释,然后单击“提交”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO已从“非受控”选项卡上的列表中删除且添加到“挂起”选项卡上。
当审批者批准您的请求后,GPO将被移到“受控”选项卡。
其他注意事项 27 默认情况下,您必须是编辑或审阅者才能执行此过程。
明确地说,您必须具有域的“列出内容”和“读取设置”权限。
若要在请求被批准之前撤销请求,请单击“挂起”选项卡。
右键单击该GPO,然后单击“撤销”。
GPO将返回到“非受控”选项卡。
其他参考创建或控制GPO 请求创建新的受控GPO 除非您是审批者或AGPM管理员(完全控制),否则您必须请求创建新的组策略对象(GPO)。
若要完成此过程,必须使用编辑或审阅者角色的或者拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
使用通过AGPM管理的更改控制创建新GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.右键单击“更改控制”,然后单击“新建受控GPO”。
3.除非您有创建GPO的特殊权限,否则必须提交创建请求。
在“新建受控GPO”对话框中: a.若要接收请求的副本,请在“抄送”字段中输入您的电子邮件地址。
b.键入新GPO的名称。
c.可选:键入新GPO的注释。
d.若要在批准后立即将新GPO部署到域的生产环境,请单击“实时创建”。
若要脱机创建 新GPO而无须在审批后立即部署,请单击“脱机创建”。
e.选择用作新GPO起始点的GPO模板。
f.单击“提交”。
4.当“进度”窗口表明总体进度完成时,单击“关闭”。
新GPO即显示在“挂起”选项卡上的GPO列表中。
当审批者批准您的请求后,GPO将被移到“受控”选项卡。
其他注意事项默认情况下,您必须是编辑或审阅者才能执行此过程。
具体而言,您必须拥有域的“列出内容”权限。
若要在请求被批准之前撤销请求,请单击“挂起”选项卡。
右键单击该GPO,然后单击“撤销”。
该GPO将被破坏。
其他参考创建或控制GPO 从生产中导入GPO 如果对高级组策略管理(AGPM)之外的受控组策略对象(GPO)进行了更改,则可以从域的生产环境导入GPO的副本,然后将其保存在存档中,以使存档和生产环境的状态一致。
(要导入一个非受控GPO,请控制该GPO。
请参阅请求控制非受控GPO。
) 28 完成此过程需要一个具编辑者、审批者或AGPM管理员(完全控制)角色或AGPM中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
从域的生产环境导入GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击GPO,然后单击“从生产导入”。
4.键入GPO的审计跟踪注释,然后单击“确定”。
其他注意事项默认情况下,只有编辑、审批者或者AGPM管理员(完全控制),才能执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”、“部署GPO”或“删除GPO”权限。
其他参考创建或控制GPO 编辑GPO 组策略对象(GPO)必须为高级组策略管理(AGPM)所控制才能对其进行编辑。
有关控制GPO的详细信息,请参阅创建或控制GPO。
若要脱机对GPO进行更改而不立即影响生产环境中已部署的GPO副本,请从存档中签出GPO的副本。
更改完成后,将GPO签入回存档,对其进行测试,并请求将GPO部署到生产环境。
脱机编辑GPO标记GPO的当前版本重命名GPO或模板 脱机编辑GPO 要对受控组策略对象(GPO)进行更改,您必须首先从存档中签出GPO副本。
在将该GPO签入之前,其他人无法对其进行修改,从而避免多个组策略管理员的更改相互冲突。
修改GPO完成后,应将其签入存档,这样可以进行检查并将其部署在生产环境中。
需要使用具有编辑或AGPM管理员(完全控制)角色的用户帐户、创建GPO的审批者的用户帐户或者具有高级组策略管理(AGPM)中所需权限的用户帐户,才能完成此过程。
请在此主题的“其他考虑事项”中查看详细信息。
脱机编辑GPO要编辑GPO,您应从存档中签出GPO,脱机对GPO进行编辑,然后将GPO签入存档,以便对其进行检查和部署(或由其他编辑修改)。
从存档中签出GPO进行编辑脱机编辑GPO将GPO签入存档 29 从存档中签出GPO进行编辑
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击要编辑的GPO,然后单击“签出”。
4.键入签出GPO时,要在该GPO的历史记录中显示的注释,然后单击“确定”。
5.当“进度”窗口显示总体进度已完成时,单击“关闭”。
在“受控”选项卡上,GPO的状态现在 标识为“已签出”。
脱机编辑GPO
1.在“受控”选项卡上,右键单击要编辑的GPO,然后单击“编辑”。
2.在“组策略管理编辑器”窗口中,对GPO脱机副本进行更改。
备注要禁用所有计算机配置设置或所有用户配置设置,在“组策略管理编辑器”窗口中右键单击GPO,然后单击“属性”。
根据需要选择“禁用计算机配置设置”或“禁用用户配置设置”。
3.修改GPO完成后,关闭“组策略管理编辑器”窗口。
将GPO签入存档
1.在“受控”选项卡上:如果没有对GPO进行更改,则右键单击GPO并单击“撤消签出”,然后单击“是”进行确认。
如果对GPO进行了更改,则右键单击GPO并单击“签入”。
2.键入将在GPO审计跟踪中显示的注释,然后单击“确定”。
3.当“进度”窗口表明总体进度完成时,单击“关闭”。
在“受控”选项卡上,GPO状态标识为“已 签入”。
其他注意事项默认情况下,要签出和编辑GPO,您必须是创建或控制GPO的审批者,即编辑或AGPM管理 员(完全控制)。
具体而言,您必须拥有GPO的“列出内容”和“编辑设置”权限。
此外,要编辑GPO,您必须是签出GPO的个人。
默认情况下,要签入GPO,您必须是编辑、审批者或AGPM管理员(完全控制)。
尤其是,您必须拥有GPO的“列出内容”和“编辑设置”或“部署GPO”权限。
如果您不是审批者或AGPM管理员(或拥有“部署GPO”权限的其他组策略管理员),您必须是签出GPO的编辑。
编辑GPO时,在其他GPO中配置软件包的任何组策略软件安装升级时都会引用部署的GPO,而不是已签出副本。
其他参考编辑GPO 30 检查GPO检查GPO设置检查GPO链接识别GPO、GPO版本或模板之间的差异 部署GPO请求部署GPO部署GPO 标记GPO的当前版本 您可以为当前版本的组策略对象(GPO)添加标记,以便于在其历史记录中进行辨认。
可以使用标签对在发生问题时可以回滚的已知正确版本进行标识。
另外,如果需要以后进行回滚,那么可以一次使用同一标签对多个GPO进行标记,以便对应当回滚到同一点的相关GPO进行标记。
完成此过程需要一个具编辑者、审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
在其历史记录中标记当前版本的GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.单击要标记其当前版本的GPO。
要选择多个GPO,请按住Shift并单击相邻一组GPO中 的最后一个GPO,或者按住Ctrl并单击单个GPO。
右键单击所选GPO,然后单击“标签”。
4.键入将在每个所选GPO的历史记录中显示的标签和注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
其他注意事项默认情况下,您必须是编辑者、审批者或AGPM管理员(完全控制)才能执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”或“部署GPO”权限。
其他参考编辑GPO 重命名GPO或模板 您可以重命名受控组策略对象(GPO)或模板。
需要使用具有编辑或AGPM管理员(完全控制)角色的用户帐户、创建GPO的审批者的用户帐户或者具有高级组策略管理(AGPM)中所需权限的用户帐户,才能完成此过程。
请在此主题的“其他考虑事项”中查看详细信息。
重命名GPO或模板
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
31
2.在“内容”选项卡上,单击“受控”或“模板”选项卡,显示要重命名的项目。
3.右键单击要重命名的GPO或模板,然后单击“重命名”。
4.键入GPO或模板的新名称和注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
在“内容”选项卡上的新名称下会出现GPO 或模板。
其他注意事项默认情况下,您必须是创建或控制GPO的审批者、编辑或AGPM管理员(完全控制),才能 执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”权限。
当您重命名已部署的GPO时,存档中的名称会立即更改。
生产环境中的名称只有在重新部署 GPO时才会更改。
在重新部署GPO(或删除生产副本)之前,在生产环境中仍使用旧名称,因此该名称不能用于另一个GPO。
同样,在部署GPO(更改了生产副本的名称)或删除生产副本之前,不能将存档中的GPO重命名为其原始名称。
其他参考编辑GPO 使用测试环境 请求将组策略对象(GPO)部署到生产环境之前,应在实验室环境中对GPO进行测试。
如果在测试林的域中开发GPO,则可以将GPO导出到文件,再将文件导入生产林中的域。
然后可以通过将GPO链接到包含测试计算机和用户的组织单位(OU)来对GPO进行测试。
将GPO导出到文件从文件中导入GPO在独立的组织单位中测试GPO 备注还可以从域的生产环境导入GPO。
有关详细信息,请参阅从生产中导入GPO。
将GPO导出到文件 可以将受控组策略对象(GPO)导出到CAB文件,从而将其复制到其他林中的域,以便将GPO导入该域中的高级组策略管理(AGPM)。
有关如何将GPO设置导入新的或现有GPO的信息,请参阅从文件中导入GPO。
完成此过程需要一个具有编辑者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
将GPO导出到文件
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击GPO,然后单击“导出到”。
4.输入要将GPO导出到的文件的文件名,然后单击“导出”。
如果该文件不存在,则将进行创 32 建。
如果该文件已存在,则将进行替换。
其他注意事项默认情况下,必须是编辑者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必须 拥有GPO的“列出内容”、“读取设置”和“导出GPO”权限。
其他参考使用测试环境 从文件中导入GPO 在高级组策略管理(AGPM)中,如果已将组策略对象(GPO)导出到CAB文件,则可以将该GPO的策略设置导入其他林的域中的现有GPO。
将策略设置导入现有GPO将替换该GPO中的所有策略设置。
有关将GPO设置导出到CAB文件的信息,请参阅将GPO导出到文件。
完成此过程需要一个具有编辑者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
将策略设置导入现有GPO
1.在“组策略管理控制台”树中,单击要将策略设置导入的域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.签出要将策略设置导入的目标GPO。
4.右键单击目标GPO,指向“导入自”,然后单击“文件”。
5.按照“导入设置向导”中的说明选择GPO备份,导入其策略设置以替换目标GPO中的策略 设置,然后输入目标GPO的审计跟踪的注释。
默认情况下,向导完成后将签入目标GPO。
其他注意事项默认情况下,必须是编辑者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必须 拥有域的“列出内容”、“编辑设置”和“导入GPO”权限,且该GPO必须由您签出。
尽管编辑在创建新GPO时无法将策略设置导入该GPO中,但编辑可以请求创建新GPO,然后 在创建后将策略设置导入其中。
其他参考使用测试环境 在独立的组织单位中测试GPO 如果在生产环境中进行部署之前,在同一域中使用测试组织单位(OU)测试组策略对象(GPO),则必须拥有访问测试OU所需的权限。
使用测试OU是可选的。
使用测试OU
1.尽管您已签出GPO进行编辑,但可以在“组策略管理控制台”中,单击要在其中管理GPO的林和域中的“组策略对象”。
2.单击要测试的已签出GPO的副本。
名称之前会有“[AGPM]”字样。
(如果未列出,请单击“ 33 操作”,然后单击“刷新”。
按字母顺序对名称排序,“[AGPM]”GPO通常出现在列表顶部。
)
3.将GPO拖到测试OU。
4.在询问是否创建指向测试OU中GPO的链接的对话框中,单击“确定”。
其他注意事项测试完成时,签入GPO会自动删除指向已签出GPO副本的链接。
其他参考使用测试环境 请求部署GPO 在修改并签入组策略对象(GPO)后,部署GPO,以使其在生产环境中生效。
若要完成此过程,必须使用编辑角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
请求将GPO部署到域的生产环境
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击要部署的GPO,然后单击“部署”。
4.除非您是审批者或AGPM管理员,或者拥有部署GPO的特殊权限,否则必须提交部署请求 。
若要接收请求的副本,请在“抄送”字段中键入您的电子邮件地址。
键入要在GPO的“历史记录”中显示的注释,然后单击“提交”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即显示在“挂起”选项卡上的GPO列表中。
当审批者批准您的请求后,GPO将从“挂起”选项卡移到“受控”选项卡,并得以部署。
其他注意事项默认情况下,您必须是编辑才能执行此过程。
具体而言,您必须拥有GPO的“列出内容”和“编 辑设置”权限。
若要在请求被批准之前撤销请求,请单击“挂起”选项卡。
右键单击该GPO,然后单击“撤销”。
GPO将返回到“受控”选项卡。
其他参考执行编辑任务 创建模板和设置默认模板 创建模板允许您保存特定版本组策略对象(GPO)的所有设置,并将这些设置用作创建新GPO的起点。
作为编辑,您还可以指定哪个可用模板将是所有组策略管理员创建新GPO时使用的默认模板。
模板的一些可能使用方法包括: 34 创建组织可以跨域重新使用的安全基准。
创建一个模板,用于管理文件夹重定向以及组织可以为每个部门自定义的脱机文件。
创建无线网络模板,组织可以用来为不同地理区域配置无线网络连接。
为本地网络管理员创建法规遵从模板。
创建现有GPO的只读快照。
备注模板是GPO的静态版本,无法进行编辑,但可用作创建新的可编辑GPO的起点。
重命名或删除模板不会影响创建自该模板的GPO。
创建模板设置默认模板 创建模板 创建模板使您能够保存特定版本组策略对象(GPO)的所有设置,并将这些设置用作创建新GPO的起点。
备注模板是GPO的静态、不可编辑版本,可用作创建新的可编辑GPO的起始点。
完成此过程需要一个具有编辑者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
基于现有GPO创建模板
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击“受控”或“非受控”选项卡,以显示可用GPO。
3.右键单击要从中创建模板的GPO,然后单击“另存为模板”。
4.键入模板名称和注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
新模板会出现在“模板”选项卡上。
其他注意事项默认情况下,您必须是编辑或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必须拥有域的“列出内容”和“创建模板”权限。
重命名或删除模板不会影响基于该模板创建的GPO。
因为模板无法改变,所以模板没有历史记录。
其他参考创建模板和设置默认模板请求创建新的受控GPO 35 设置默认模板 作为编辑,您可以指定将哪些可用模板作为建议所有组策略管理员在创建新组策略对象(GPO)时使用的默认模板。
备注模板是GPO的静态、不可编辑版本,可用作创建新的可编辑GPO的起始点。
完成此过程需要一个具有编辑者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
设置创建新GPO时使用的默认模板
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格的“内容”选项卡上,单击“模板”选项卡以显示可用的模板。
3.右键单击要设置为默认模板的模板,然后单击“设为默认值”。
4.单击“是”确认。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
默认模板有蓝色图标,并且其在“模板”选 项卡上的状态标识为“模板(默认)”。
其他注意事项默认情况下,您必须是编辑或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有域的“列出内容”和“创建模板”权限。
在将某个模板设置为默认模板后,该模板将是组策略管理员在创建新GPO时最初在“新建受控 GPO”对话框中选定的模板。
但是,这些管理员可以选择任何其他GPO模板,包括其中不包含任何设置的“<空GPO>”。
重命名或删除模板不会影响基于该模板创建的GPO。
因为模板无法改变,所以模板没有历史记录。
其他参考创建模板和设置默认模板请求创建新的受控GPO 删除或还原GPO 要使用高级组策略管理(AGPM)从存档中删除组策略对象(GPO)或从回收站还原删除的GPO,GPO必须受控于AGPM。
作为编辑,您可能没有完成删除或还原GPO操作的权限,但是您具有开始该过程并向审批者提交请求所需的权限。
请求删除GPO请求还原已删除的GPO 请求删除GPO 除非您是审批者或AGPM管理员(完全控制),否则必须请求删除组策略对象(GPO)。
36 若要完成此过程,必须使用编辑角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
请求删除受控GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击要删除的GPO,然后单击“删除”。
要从存档中删除GPO,而不改变生产环境中的GPO部署版本,请单击“仅从存档中删除GPO”。
要同时从存档和域的生产环境中删除GPO,请单击“从存档和生产中删除GPO”。
4.除非您拥有删除GPO的特殊权限,否则必须提交删除部署GPO的请求。
若要接收请求的 副本,请在“抄送”字段中键入您的电子邮件地址。
键入在GPO审计跟踪中要显示的注释,然后单击“提交”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即显示在“挂起”选项卡上的GPO列表中。
审批者批准您的请求后,GPO会从“挂起”选项卡移到“回收站”选项卡,在此处可以还原或毁坏它。
其他注意事项默认情况下,您必须是编辑才能执行此过程。
具体而言,您必须拥有GPO的“列出内容”和“编 辑设置”权限。
若要在请求被批准之前撤销请求,请单击“挂起”选项卡。
右键单击该GPO,然后单击“撤销”。
GPO将返回到“受控”选项卡。
要从生产环境中删除非受控GPO而不是先控制它,请在“组策略管理控制台”中,单击“林”, 单击“域”,单击
右键单击非受控GPO,然后单击“删除”。
其他参考删除或还原GPO 请求还原已删除的GPO 除非您是审批者或AGPM管理员(完全控制),否则您必须请求从回收站还原删除的组策略对象(GPO),才能将其返回到存档中。
若要完成此过程,必须使用编辑角色的或拥有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
请求还原删除的GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“回收站”选项卡以显示已删除的GPO。
3.右键单击要还原的GPO,然后单击“还原”。
4.除非您拥有还原GPO的特殊权限,否则必须提交请求来还原删除的GPO。
若要接收请求的 37 副本,请在“抄送”字段中键入您的电子邮件地址。
键入在GPO审计跟踪中要显示的注释,然后单击“提交”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即从“回收站”选项卡中删除,并显示在“受控”选项卡上。
备注如果已从生产环境中删除某个GPO,则将该GPO还原到存档不会自动将其重新部署到生产环境。
若要将GPO返回到生产环境,请部署GPO。
有关信息,请参阅请求部署GPO。
其他注意事项默认情况下,您必须是编辑才能执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”权限。
若要在请求被批准之前撤销请求,请单击“挂起”选项卡。
右键单击该GPO,然后单击“撤销”。
GPO将返回到“回收站”选项卡。
其他参考删除或还原GPO 执行审批者任务 审批者是由AGPM管理员(完全控制)授权创建、部署和删除组策略对象(GPO)以及批准或拒绝(通常来自编辑的)创建、部署或删除GPO请求的人员。
重要事项确保您已连接到GPO的中央存档。
有关详细信息,请参阅配置AGPM服务器连接。
批准或拒绝挂起的操作创建或控制GPO签入GPO部署GPO回滚到早期版本的GPO删除、还原或破坏GPO 备注批准GPO之前,审批者应检查其中包含的策略设置。
审批者角色包括审阅者角色的权限,因此审批者可以查看策略设置和比较GPO。
有关详细信息,请参阅执行审阅者任务。
其他注意事项默认情况下,为审批者角色提供了下列权限:列出内容读取设置 38 创建GPO部署GPO删除GPO此外,审批者对自己创建或控制的GPO有完全控制权限。
批准或拒绝挂起的操作 审批者的核心职责是评估后批准或拒绝编辑或审阅者创建、部署和删除组策略对象(GPO)的请求,后二者不具备完成这些操作的权限。
报告可以帮助审批者评估GPO的新版本。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
批准或拒绝挂起的请求
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“挂起”选项卡以显示挂起的GPO。
3.右键单击挂起的GPO,然后单击“批准”或“拒绝”。
4.如果批准部署,请单击“批准挂起操作”对话框上的“高级”以查看指向GPO的链接。
将鼠标 指针暂停在树中的项目上会显示详细信息。
默认情况下,将还原所有指向GPO的链接。
若要防止还原链接,请清除该链接的复选框。
若要防止还原所有链接,请清除“部署GPO”对话框中的“还原链接”复选框。
5.单击“是”或“确定”确认批准或拒绝挂起的操作。
如果您已批准请求,GPO即会移到与所执行的操作对应的选项卡。
备注如果审批者的电子邮件地址包含在“域委托”选项卡上的“收件人电子邮件地址”字段中,则当编辑或审阅者提交请求时,审批者将收到一封从AGPM别名发来的电子邮件。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有执行审批请求所需的权限。
其他参考执行审批者任务 创建或控制GPO 要使用高级组策略管理(AGPM)提供组策略对象(GPO)更改控制,您必须首先使用AGPM控制GPO。
在“更改控制”文件夹中创建的新GPO将自动成为受控GPO。
控制非受控GPO 39 创建新的受控GPO委派管理受控GPO从生产中导入GPO 控制非受控GPO 若要提供对组策略对象(GPO)的更改控制,必须先控制GPO。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
控制非受控GPO1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格的“内容”选项卡上,单击“非受控”选项卡以显示非受控GPO。
3.右键单击要使用AGPM控制的GPO,然后单击“控制”。
4.键入要在GPO的历史记录中显示的注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即从“非受控”选项卡的列表中删除并 被添加到“受控”选项卡上。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有域的“列出内容”和“创建GPO”权限。
其他参考创建或控制GPO 创建新的受控GPO 在“更改控制”文件夹中创建的新组策略对象(GPO)将自动成为受控gpo,因而可以进行管理。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
使用通过AGPM管理的更改控制创建新GPO1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.右键单击“更改控制”,然后单击“新建受控GPO”。
3.在“新建受控GPO”对话框中: a.键入新GPO的名称。
b.可选:键入将在新GPO的“历史记录”中显示的新GPO的注释。
c.要立即将新GPO部署到域的生产环境,请单击“实时创建”。
要脱机创建新GPO而不 立即部署它,请单击“脱机创建”。
d.选择要用作新GPO的起点的GPO模板,然后单击“确定”。
40
4.当“进度”窗口表明总体进度完成时,单击“关闭”。
新GPO会显示在“受控”选项卡的GPO列表中。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有域的“列出内容”和“创建GPO”权限。
其他参考创建或控制GPO 委派管理受控GPO 审批者可以委派管理由其创建的受控组策略对象(GPO)。
像AGPM管理员(完全控制)一样,审批者可以委派对这种GPO的访问权限,以便所选编辑可以编辑它,审阅者可以检查它,其他审批者可以批准它。
默认情况下,审批者不能委派由另一组策略管理员创建的GPO的访问权限。
若要完成此过程,必须使用具有AGPM管理员(完全控制)角色的用户帐户、创建GPO的审批者的用户帐户,或者具有高级组策略管理(AGPM)中必需权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
委托受控GPO的管理
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格的“内容”选项卡上,单击“受控”选项卡以显示受控GPO,然后单击GPO进 行委托:a.若要为用户或组添加访问权限,请单击“添加”按钮,选择相应用户或组,然后单击“确 定”。
在“添加组或用户”对话框中,选择角色并单击“确定”。
b.要删除用户或组的访问权限,请选择该用户或组,然后单击“删除”按钮。
备注如果用户或组继承域范围内的访问权限,则“删除”按钮不可用。
可以在“域委托”选项卡上修改域范围内的访问权限。
c.若要修改委托给用户或组的角色和权限,请单击“高级”按钮。
在“权限”对话框中,选择用户或组,选中要分配给该用户或组的每个角色对应的复选框,然后单击“确定”。
备注编辑和审批者的权限包括审阅者的权限。
其他注意事项默认情况下,您必须是创建或控制GPO的审批者或AGPM管理员(完全控制)才能执行此过 程。
具体而言,您必须拥有域的“列出内容”权限和GPO的“修改安全性”权限。
若要将读取访问权限委托给使用AGPM的组策略管理员,则必须授予他们“列出内容”及“读取 设置”权限。
他们使用该权限可以查看AGPM的“内容”选项卡上的GPO。
其他权限必须明确委托。
编辑必须拥有已部署GPO副本的“读取”权限,才能充分利用组策略软件安装。
41 其他参考创建或控制GPO 从生产中导入GPO 如果对高级组策略管理(AGPM)之外的受控组策略对象(GPO)进行了更改,则可以从域的生产环境导入GPO的副本,然后将其保存在存档中,以使存档和生产环境的状态一致。
(要导入一个非受控GPO,请控制该GPO。
请参阅控制非受控GPO。
)完成此过程需要一个具编辑者、审批者或AGPM管理员(完全控制)角色或AGPM中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
从域的生产环境导入GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击GPO,然后单击“从生产导入”。
4.键入GPO的审计跟踪注释,然后单击“确定”。
其他注意事项默认情况下,只有编辑、审批者或者AGPM管理员(完全控制),才能执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”、“部署GPO”或“删除GPO”权限。
其他参考创建或控制GPO 签入GPO 通常,编辑应当在其修改完成时签入他们编辑的组策略对象(GPO)。
(有关详细信息,请参阅脱机编辑GPO。
)但是,当编辑没有空时,审批者也可以签入GPO。
完成此过程需要一个具编辑者、审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
签入编辑签出的GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
要放弃编辑所做的更改,请右键单击GPO,单击“撤消签出”,然后单击“是”进行确认。
要保留编辑所做的更改,请右键单击GPO,然后单击“签入”。
3.键入将在GPO审计跟踪中显示的注释,然后单击“确定”。
4.当“进度”窗口表明总体进度完成时,单击“关闭”。
在“受控”选项卡上,GPO状态标识为“已 签入”。
其他注意事项42 默认情况下,您必须是编辑者、审批者或AGPM管理员(完全控制)才能执行此过程。
明确地说,您必须具有GPO的“列出内容”和“编辑设置”或“部署GPO”权限。
如果您不是审批者或AGPM管理员(或具有“部署GPO”权限的其他组策略管理员),则必须是签出GPO的编辑。
其他参考执行审批者任务脱机编辑GPO 部署GPO 审批者可以将新的或已编辑的组策略对象(GPO)部署到生产环境中。
有关重新部署早期版本的GPO的信息,请参阅回滚到早期版本的GPO。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
在生产环境中部署GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击要部署的GPO,然后单击“部署”。
4.要检查GPO的链接,请单击“高级”。
将鼠标指针暂停在树中的项目上会显示详细信息。
默认情况下,将还原所有指向GPO的链接。
若要防止还原链接,请清除该链接的复选框。
若要防止还原所有链接,请清除“部署GPO”对话框中的“还原链接”复选框。
5.单击“是”。
当“进度”窗口表明总体进度完成时,单击“关闭”。
备注要验证是否已部署最新版本GPO,请在“受控”选项卡上双击要显示其“历史记录”的GPO。
GPO的“历史记录”中的“状态”列指示是否已部署GPO。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有GPO的“列出内容”和“部署GPO”权限。
其他参考执行审批者任务 回滚到早期版本的GPO 审批者可以通过重新部署GPO历史记录中GPO的早期版本将更改更回滚到组策略对象(GPO)。
部署GPO的早期版本将覆盖当前生产中的GPO版本。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
43 将GPO的早期版本部署到域的生产环境
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.双击要部署的GPO以显示其“历史记录”。
4.右键单击要部署的版本,单击“部署”,然后单击“是”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
在“历史记录”窗口中,单击“关闭”。
备注若要验证已重新部署的版本是否与所需的版本匹配,请检查这两个版本的差异报告。
在GPO的“历史记录”窗口中,突出显示这两个版本,单击右键并选择“差异”,然后再选择“HTML报告”或“XML报告”。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有GPO的“列出内容”和“部署GPO”权限。
其他参考执行审批者任务 删除、还原或破坏GPO 作为一个审批者,您可以删除组策略对象(GPO)(将它移到回收站),从回收站还原GPO(使它返回存档),也可以破坏GPO(永久删除它,这样不可以再还原它)。
删除受控GPO还原已删除的GPO破坏GPO 删除受控GPO 审批者可以删除受控组策略对象(GPO),将它移到回收站。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
删除受控GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“控制的”选项卡以显示控制的GPO。
3.右键单击要删除的GPO,然后单击“删除”。
要从存档中删除GPO,而不改变生产环境中的GPO部署版本,请单击“仅从存档中删除GPO”。
要同时从存档和域的生产环境中删除GPO,请单击“从存档和生产中删除GPO”。
44
4.键入将在GPO审核跟踪中显示的注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO已从“受控”选项卡上删除,而且显示 在“回收站”选项卡上,在此处可以还原或破坏GPO。
如果仅从存档中删除GPO,它还会显示在“非受控”选项卡上。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有GPO的“列出内容”和“删除GPO”权限。
要从生产环境中删除非受控GPO而不是先控制它,请在“组策略管理控制台”中,单击“林”, 单击“域”,单击
右键单击非受控GPO,然后单击“删除”。
其他参考删除、还原或破坏GPO 还原已删除的GPO 审批者可以从回收站中还原已删除的组策略对象(GPO),将其返回到存档。
完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
还原已删除的GPO
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“回收站”选项卡以显示已删除的GPO。
3.右键单击要还原的GPO,然后单击“还原”。
4.键入要在GPO的历史记录中显示的注释,然后单击“确定”。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即从“回收站”选项卡中删除,并显示 在“受控”选项卡上。
备注如果已从生产环境中删除某个GPO,则将该GPO还原到存档不会自动将其重新部署到生产环境。
若要将GPO返回到生产环境,请部署GPO。
有关信息,请参阅部署GPO。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有GPO的“列出内容”及“部署GPO”或“删除GPO”权限。
其他参考删除、还原或破坏GPO 破坏GPO 审批者可以破坏组策略对象(GPO),即从回收站中将其删除,从而将其永久删除,以使其永远不可再还原。
45 完成此过程需要一个具有审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
永久删除GPO,以使其永远不可再还原
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在“内容”选项卡上,单击“回收站”选项卡以显示已删除的GPO。
3.右键单击要破坏的GPO,然后单击“破坏”。
4.单击“是”确认您要从存档中永久删除选定的GPO和所有备份。
5.当“进度”窗口表明总体进度完成时,单击“关闭”。
GPO即从“回收站”选项卡中删除,从而永 久删除。
其他注意事项默认情况下,您必须是审批者或AGPM管理员(完全控制)才能执行此过程。
具体而言,您必 须拥有GPO的“列出内容”和“删除GPO”权限。
其他参考删除、还原或破坏GPO 执行审阅者任务 审阅者是AGPM管理员(完全控制)授权审阅或审核组策略对象(GPO)的人员。
仅具有审阅者角色的个人无法修改GPO,但是,所有其他角色都包括审阅者角色。
配置AGPM服务器连接检查GPO设置检查GPO链接识别GPO、GPO版本或模板之间的差异 其他注意事项默认情况下,为审阅者角色提供下列权限:列出内容读取设置 配置AGPM服务器连接 要确保您已连接到正确的中央存档,请检查AGPM服务器连接的配置。
如果AGPM管理员(完全控制)没有为您配置AGPM服务器连接,您必须手动配置它。
选择AGPM服务器
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中,单击“AGPM服务器”选项卡: 46 如果“AGPM服务器”选项卡上的选项不可用,那么这些选项已由AGPM管理员进行了集中配置。
如果“AGPM服务器”选项卡上的选项可用,请键入AGPM服务器的完全限定计算机名称(例如,)和AGPM服务监听的端口(默认情况下,为端口4600)。
单击“应用”,然后单击“是”进行确认。
其他注意事项所选AGPM服务器确定在“内容”选项卡显示的GPO,以及“域委托”选项卡设置应用的位置。
如 果不通过管理模板进行集中管理,则每个组策略管理员必须配置此设置,才能指向域的AGPM服务器。
其他参考执行审阅者任务 检查GPO设置 您可以生成基于HTML或基于XML的报告,以检查任何组策略对象(GPO)版本中的设置。
完成此过程需要一个具有审阅者、编辑者、审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
检查任何GPO版本中的设置
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击一个选项卡以显示GPO。
3.双击GPO显示其历史记录。
4.右键单击要检查其设置的GPO版本,单击“设置”,然后单击“HTML报告”或“XML报告”, 以显示GPO设置的摘要。
其他注意事项默认情况下,您必须是审阅者、编辑者、审批者或AGPM管理员(完全控制)才能执行此过程 。
特别是,您必须对GPO具有“列出内容”和“读取设置”权限。
此外,要显示GPO列表,您必须对域具有“列出内容”权限。
其他参考执行审阅者任务 检查GPO链接 您可以显示一个图表,显示选择链接到组织单位的一个或多个组策略对象(GPO)。
每次控制、导入或签入GPO时都会更新GPO链接图表。
完成此过程需要一个具有审阅者、编辑者、审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
47 检查GPO链接 对于一个或多个GPO对于一个或多个版本的GPO 显示一个或多个GPO的GPO链接
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击“受控”、“挂起”或“回收站”选项卡,以显示 GPO。
3.选择一个或多个要显示其链接的GPO,右键单击所选GPO,单击“设置”,然后单击“GPO链 接”,以显示包含所选GPO链接的域和组织单位的图表。
显示一个或多个版本的GPO的GPO链接
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击“受控”或“回收站”选项卡,以显示GPO。
3.双击GPO显示其历史记录。
4.右键单击要检查其设置的GPO版本,单击“设置”,然后单击“HTML报告”或“XML报告”, 以显示GPO设置的摘要。
其他注意事项默认情况下,您必须是审阅者、编辑者、审批者或AGPM管理员(完全控制)才能执行此过程 。
特别是,您必须对GPO具有“列出内容”和“读取设置”权限。
此外,要显示GPO列表,您必须对域具有“列出内容”权限。
其他参考执行审阅者任务 识别GPO、GPO版本或模板之间的差异 您可以通过生成基于HTML或基于XML的差异报告,分析组策略对象(GPO)、模板或不同版本GPO之间的差异。
完成此过程需要一个具有审阅者、编辑者、审批者或AGPM管理员(完全控制)角色或高级组策略管理(AGPM)中的必要权限的用户帐户。
请在此主题的“其他考虑事项”中查看详细信息。
识别GPO、GPO版本或模板之间的差异 两个GPO或两个模板之间的差异GPO与模板之间的差异同一GPO的两个版本之间的差异GPO版本与模板之间的差异 48 识别两个GPO或两个模板之间的差异
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击一个选项卡以显示GPO(或模板,如果比较两 个模板的话)。
3.选择两个GPO或两个模板。
4.右键单击其中一个GPO或模板,单击“差异”,然后单击“HTML报告”或“XML报告”,以显 示包含GPO或模板的设置摘要的差异报告。
识别GPO与模板之间的差异
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击一个选项卡以显示GPO(或模板,如果比较两 个模板的话)。
3.右键单击GPO,单击“差异”,然后单击“模板”。
4.选择模板和报告类型,然后单击“确定”,以显示包含GPO和模板的设置摘要的差异报告。
识别同一GPO的两个版本之间的差异
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击一个选项卡以显示GPO(或模板,如果比较两 个模板的话)。
3.双击GPO显示其历史记录,然后突出显示要比较的版本。
4.右键单击其中一个版本,单击“差异”,然后单击“HTML报告”或“XML报告”,以显示包含 GPO的设置摘要的差异报告。
识别GPO版本与模板之间的差异
1.在“组策略管理控制台”树中,单击您要在其中管理GPO的林和域中的“更改控制”。
2.在详细信息窗格中的“内容”选项卡上,单击一个选项卡以显示GPO(或模板,如果比较两 个模板的话)。
3.双击GPO显示其历史记录。
4.右键单击感兴趣的GPO版本,单击“差异”,然后单击“模板”。
5.选择模板和报告类型,然后单击“确定”,以显示包含GPO版本和模板的设置摘要的差异报 告。
差异报告中的关键字 符号 意义 颜色 无 同时存在于两个GPO中,具有随级别变化 49 符号 意义 颜色 相同设置的项目 [#] 同时存在于两个GPO中,但具蓝色 有不同的设置的项目 [-] 仅存在于第一个GPO中的项目红色 [+] 仅存在于第二个GPO中的项目绿色 对于具有不同设置的项目来说,当展开项目时会标识出不同设置。
在每个GPO中显示属性值的顺序与在报告中显示GPO的顺序相同。
当对设置进行某些更改后,可能会导致将一个项目报告为两个不同项目(一个仅存在于第一个GPO中,另一个仅存在于第二个GPO中),而不是报告为一个已更改项目。
其他注意事项 默认情况下,您必须是审阅者、编辑者、审批者或AGPM管理员(完全控制)才能执行此过程。
特别是,您必须对GPO具有“列出内容”和“读取设置”权限。
此外,要显示GPO列表,您必须对域具有“列出内容”权限。
其他参考 执行审阅者任务 AGPM疑难解答 本部分列出了在使用高级组策略管理(AGPM)管理组策略对象(GPO)时遇到的一些常见问题。
若要诊断此处未列出的问题,使用日志记录和跟踪对于AGPM管理员(完全控制)可能很有帮助。
有关详细信息,请参阅配置日志记录和跟踪。
注意有关在出现问题时回滚到早期版本的GPO的信息,请参阅回滚到早期版本的GPO。
有关如何通过从备份还原完整存档来从灾难中恢复的信息,请参阅从备份中还原存档。
您遇到了什么问题? 我无法访问存档GPO状态因组策略管理员不同而有所不同我无法修改AGPM服务器连接我无法更改默认模板或无法查看、创建、编辑、重命名、部署或删除GPO我无法使用特定GPO名称我未收到AGPM电子邮件通知AGPM服务无法使用端口4600AGPM服务将不启动 50 组策略软件安装无法安装软件将存档还原到新AGPM服务器时发生错误我无法访问存档原因:您没有为存档选择正确的服务器和端口。
解决方案: 如果您是AGPM管理员:请参阅配置AGPM服务器连接。
如果您不是AGPM管理员:从AGPM管理员请求AGPM服务器的连接详细信息。
请参阅配 置AGPM服务器连接。
原因:AGPM服务未运行。
解决方案: 如果您是AGPM管理员:启动AGPM服务。
有关详细信息,请参阅启动和停止AGPM服务。
如果您不是AGPM管理员:联系AGPM管理员以获取帮助。
GPO状态因组策略管理员不同而有所不同 原因:不同的组策略管理员为同一存档选择了不同的AGPM服务器。
解决方案: 如果您是AGPM管理员:请参阅配置AGPM服务器连接。
如果您不是AGPM管理员:从AGPM管理员请求AGPM服务器的连接详细信息。
请参阅配 置AGPM服务器连接。
我无法修改AGPM服务器连接原因:如果“AGPM服务器”选项卡上的设置不可用,则已使用管理模板在中央配置了AGPM服 务器。
解决方案: 如果您是AGPM管理员:如果“AGPM服务器”选项卡上的设置不可用,请参阅配置AGPM服务器连接。
如果您不是AGPM管理员:如果“AGPM服务器”选项卡上的设置不可用,您不需要修改AGPM服务器。
我无法更改默认模板或无法查看、创建、编辑、重命名、部署或删除GPO原因:您未被分配执行一个或多个任务所需权限的角色。
解决方案: 如果您是AGPM管理员:请参阅委派对存档的域级别访问权限和委派对存档中单个GPO的访问权限。
AGPM权限将通过级联方式从域传递到当前存档中存在的所有GPO。
有关可执行任务的角色及执行任务所需权限的详细信息,请参阅该任务的帮助。
如果您不是AGPM管理员,则需要其他的角色或权限:联系AGPM管理员以获取帮助。
请注意,如果您是编辑,则可以开始在域的生产环境中执行创建GPO、部署GPO或删除GPO的过程,但是审批者或AGPM管理员必须批准了您的请求。
我无法使用特定GPO名称 51 原因:GPO名称已在使用中或者您没有列出GPO的权限。
解决方案: 如果GPO名称出现在“受控”、“非受控”或者“挂起”选项卡上,请选择其他名称。
如果部署的GPO已被重命名但尚未重新部署,该GPO将以其旧名称显示在域的生产环境中。
因此,仍使用旧名称。
重新部署GPO以在生产环境中更新其名称,然后释放该名称,以便其他GPO使用该名称。
如果GPO名称没有出现在“受控”、“非受控”或“挂起”选项卡上,则表示您可能没有列出GPO的权限。
要请求权限,请联系AGPM管理员。
我未收到AGPM电子邮件通知原因:尚未提供有效SMTP电子邮件服务器和电子邮件地址,或者没有进行生成电子邮件通知 的任何操作。
解决方案: 如果您是AGPM管理员:对于由AGPM发送的关于挂起操作的电子邮件通知,AGPM管理员必须在“域委托”选项卡上为审批者提供有效的SMTP电子邮件服务器和电子邮件地址。
有关详细信息,请参阅配置电子邮件通知。
只有当编辑、审阅者或者其他组策略管理员(他们不具有创建、部署或者删除GPO所需的权限)提交一个请求而发生任何一种操作时,才会生成电子邮件通知。
没有批准或拒绝请求的自动通知。
AGPM服务无法使用端口4600原因:默认情况下,AGPM服务监听的端口是4600。
解决方案:如果端口4600不可用于AGPM服务,请修改AGPM服务器的端口配置以使用其他 端口,然后更新AGPM客户端AGPM服务器连接中的端口。
有关详细信息,请参阅修改AGPM服务。
AGPM服务将不启动原因:您已在操作系统中修改了“管理工具”和“服务”下的AGPM服务设置。
解决方案:在“控制面板”中修改“程序和功能”下的“MicrosoftAdvancedGroupPolicy Management-Server”的设置。
有关详细信息,请参阅修改AGPM服务。
组策略软件安装无法安装软件原因:AGPM保留了组策略安装软件包的完整性。
尽管对GPO进行了脱机编辑,但除缓存的客 户端信息外的数据包之间的链接将保留。
这是由设计原因引起的。
解决方案:使用AGPM脱机编辑GPO时,配置其他GPO中数据包的任何组策略软件安装升级 以引用已部署GPO而不是签出的副本。
编辑必须对已部署GPO拥有“读取”权限。
将存档还原到新AGPM服务器时发生错误原因:由于安全原因,如果存档已移到另一台计算机,则为保护在“域委托”选项卡上输入的密 码而进行的加密会导致密码失败。
解决方案:在“域委托”选项卡上重新输入密码并确认。
有关详细信息,请参阅配置电子邮件通 知。
52 用户界面:AdvancedGroupPolicyManagement 使用高级组策略管理(AGPM)可以将“更改控制”文件夹添加到在“组策略管理控制台”(GPMC)显示的每个域中。
在使用GPMC管理多个域的环境中,每个域都在控制台树的“域”文件夹下列出。
每个域下都有一个“更改控制”文件夹,每个域还有组策略对象(GPO)的一个存档。
在详细信息窗格中,有四个主要选项卡,提供对AGPM的GPO级别设置和域级别设置及命令的访问权限。
此外,还有特定于AGPM的管理模板设置。
内容选项卡:GPO设置和命令及GPO级别委派域委托选项卡:AGPM电子邮件通知设置和域级别委派AGPM服务器选项卡:域级别存档连接设置“生产委托”选项卡:生产环境委派管理模板文件夹:日志记录和跟踪的中央配置、存档位置和功能可见性 内容选项卡 “更改控制”窗格上的“内容”选项卡提供对组策略对象(GPO)的访问和用于管理GPO的快捷菜单。
右键单击项目时所显示的选项取决于您在被管理的GPO中的角色、权限和所有权。
此外,这些快捷菜单因被管理的GPO的状态而异。
下列次级选项卡会筛选显示的GPO列表:受控:受高级组策略管理(AGPM)管理的GPO非受控:不受AGPM管理的GPO挂起:等待审批者批准的GPO更改模板:用于创建新GPO和与现有GPO比较的GPO模板回收站:已删除的GPO“内容”选项卡及其次级选项卡提供有关每个GPO的详细信息以及对每个GPO历史记录的访问:内容选项卡功能历史记录窗口右键单击任何次级选项卡上的GPO,会显示该选项卡特有的快捷菜单,其中含有用于管理GPO的命令:受控GPO命令非受控GPO命令挂起GPO命令模板命令回收站命令其他参考用户界面:AdvancedGroupPolicyManagement 53 内容选项卡功能 “内容”选项卡中的每个次级选项卡都包含两部分-“组策略对象”和“组和用户”。
组策略对象部分“组策略对象”部分显示组策略对象(GPO)的筛选列表,还标识各个GPO的下列属性。
可以使用“搜索”框搜索具有特定属性的GPO。
有关详细信息,请参阅搜索和筛选GPO列表。
GPO属性 名称状态更改者更改日期 注释 计算机版本用户版本GPO状态WMI筛选器 描述 GPO的名称。
所选GPO的状态 签入所选GPO的编辑或部署所选GPO的审批者。
对于受控GPO,更改日期是进行修改后签入或签出后进行修改的最新日期。
对于非受控GPO,更改日期是上次进行修改的日期。
由签入或部署GPO的人员在进行修改时输入的注释。
当需要回滚到早期版本时,注释可用于识别特定版本。
自动生成的GPO计算机配置部分的版本。
自动生成的GPO用户配置部分的版本。
可以分别管理计算机配置和用户配置。
GPO状态可指示GPO的哪些部分已启用。
显示应用于此GPO的所有WMI筛选器。
可以在GPMC控制台树中域的“WMI筛选器”文件夹下管理WMI筛选器。
组和用户部分 选择一个GPO后,在“组和用户”部分中会显示拥有该GPO访问权限的组和用户的列表。
显示每个组或用户的允许权限和继承。
AGPM管理员可以使用标准AGPM角色(编辑、审批者、审阅者和AGPM管理员)来配置权限或自定义组合的权限。
按钮 添加 删除 效果 添加安全性描述符的新条目。
可以添加ActiveDirectory中的任何用户或组。
从“访问控制列表”中删除所选条目。
54 按钮 属性 高级 效果 显示所选对象的属性。
该属性页与“ActiveDirectory用户和计算机”中对象的属性页相同。
打开“访问控制列表编辑器”。
其他注意事项有关与特定任务相关的角色和权限的信息,请参阅执行AGPM管理员任务、执行编辑任务、执 行审批者任务和执行审阅者任务下的任务。
其他参考内容选项卡 历史记录窗口 通过双击GPO或右键单击GPO后单击“历史记录”,可以显示组策略对象(GPO)的历史记录。
它还作为每个GPO的一个选项卡显示在组策略管理控制台(GPMC)中。
历史记录提供了所选GPO生存期中的事件记录。
从“历史记录”窗口中,您可以获取某个GPO版本中的设置报告,对多个版本的GPO进行比较,或者可以回滚到早期版本的GPO。
在历史记录窗口中筛选事件使用“历史记录”窗口中的选项卡,可以筛选GPO历史记录中的状态。
选项卡 所有状态特有版本 筛选 显示GPO历史记录中的所有状态。
只显示GPO已签入存档的特有版本。
此列表中省略了生产环境中部署的版本、到特有版本的快捷方式及信息状态。
事件信息提供GPO历史记录中每种状态的信息。
GPO属性 更改日期状态更改者注释 描述 执行“状态”列中的操作时的时间标记。
GPO历史记录中的状态。
签入或部署GPO的人员。
签入或部署GPO的人员在更改此版本时输入的注释,当需要回滚到早期版本时,注释可用于识 55 GPO属性 可删除 计算机版本用户版本GPO状态源GPO信息 描述 别特定版本。
如果在存档中保留的每个GPO特有版本的数目是有限的,此版本的GPO是否可删除。
备注通过右键单击GPO,然后单击“不允许删除”或“允许删除”,可以更改是否可删除某个版本的GPO。
自动生成的GPO计算机配置部分的版本。
自动生成的GPO用户配置部分的版本。
可以单独管理计算机的配置和用户配置。
此状态显示已启用的GPO部分。
对于已从其他林中导入的GPO,原始GPO名称、域、用户和日期与上次更改相关。
报告 “设置”和“差异”按钮显示关于所选GPO版本GPO设置的报告。
此外,右键单击GPO版本还会提供用于显示基于XML报告的选项。
按钮 设置 差异 效果 生成基于HTML的报告,显示所选GPO版本中的设置。
生成基于HTML的报告,对多个所选GPO版本中的设置进行比较。
差异报告中的关键字 符号 意义 颜色 无 同时存在于两个GPO中,具有随级别变化 相同设置的项目 [#] 同时存在于两个GPO中,但具蓝色 有不同的设置的项目 [-] 仅存在于第一个GPO中的项目红色 [+] 仅存在于第二个GPO中的项目绿色 56 对于具有不同设置的项目来说,当展开项目时会标识出不同设置。
在每个GPO中显示属性值的顺序与在报告中显示GPO的顺序相同。
对设置进行某些更改后,可能导致将一个项目报告为两个项目(一个仅存在于第一个GPO中,另一个仅存在于第二个GPO中),而不是报告为一个已更改的项目。
其他参考内容选项卡 受控GPO命令 “受控”选项卡:显示受高级组策略管理(AGPM)管理的组策略对象(GPO)的列表。
提供包含管理GPO和显示GPO历史记录与报告的命令的快捷方式菜单。
显示有权访问选定GPO的组和用户的列表。
右键单击此选项卡上的“组策略对象”列表会显示一个快捷菜单。
该菜单中包含下列适用的选项。
控制和历史记录 命令 新建受控GPO 历史记录 效果 使用通过AGPM管理的更改控制创建新GPO,并将该GPO部署到域的生产环境。
如果您没有创建GPO的权限,系统会提示您提交请求。
(如果右键单击“组策略对象”列表时没有选择GPO,则会显示此选项。
) 打开列出存档中保存的所选GPO的所有版本的窗口。
从历史记录中,您可以获取某个GPO中的设置报告,比较两个版本的GPO,将GPO与模板进行比较,或者可以回滚到早期版本的GPO。
报告 命令 设置 差异 效果 生成显示所选GPO中的设置的基于HTML或基于XML的报告,或者显示自最近控制、导入或签入GPO起从组织单位到所选GPO的链接。
生成基于HTML或基于XML的报告,该报告比较两个选定的GPO内或选定的GPO和模板内的设置。
57 编辑 命令 编辑签出 签入 撤消签出 版本管理 命令 从生产导入从文件导入删除 部署 导出到标签 效果 打开“组策略管理编辑器”窗口,更改所选GPO。
从存档中获取所选GPO的副本以进行脱机编辑,并在将该副本签入回存档之前,阻止其他任何人编辑该GPO。
签出可以由AGPM管理员(完全控制)覆盖。
将所选GPO的已编辑版本签入存档,以便其他授权编辑可以进行更改,或者审批者可以将该GPO部署到域的生产环境。
在未进行任何更改情况下将签出的GPO返回存档。
效果 对于所选GPO,将域的生产环境中的版本复制到存档。
使用GPO备份文件的策略设置替换所选的已签出GPO的策略设置。
将所选GPO移动到“回收站”,并指示是在生产中保留已部署版本(如果存在),还是删除存档中的版本以外的已部署版本。
如果您没有删除GPO的权限,系统会提示您提交一个请求。
将所选的已签入到存档的GPO移动到域的生产环境。
此操作会在网络上激活它,还会覆盖GPO的先前激活版本(如果存在)。
如果您没有部署GPO的权限,系统会提示您提交一个请求。
将所选GPO保存到备份文件,以便您可以将其复制到其他域。
用说明性标签(如“已知正确”)和记录保存注释为所选GPO做标记。
标签显示在“状态”列中,注释显示在“历史记录”窗口的“注释”列中。
标签和注释可帮助您识别早期版本的GPO,以便您可以在出现问题时进行回滚。
58 命令 重命名 另存为模板 效果 更改所选GPO的名称。
如果已部署GPO,则重新部署该GPO时,将在域的生产环境中更新其名称。
根据所选GPO的设置创建新模板。
杂项 命令 刷新 帮助 效果 更新组策略管理控制台(GPMC)的显示内容以包含所有更改。
某些更改只有在刷新显示内容后才可见。
显示AGPM帮助。
其他参考内容选项卡执行编辑任务执行审批者任务执行审阅者任务 非受控GPO命令 “非受控”选项卡:显示未受高级组策略管理(AGPM)管理的组策略对象(GPO)的列表。
提供包含将非受控GPO引入AGPM的管理之下和显示GPO历史记录与报告的命令的快捷方式 菜单。
显示有权访问选定GPO的组和用户的列表。
右键单击此选项卡上的“组策略对象”列表会显示一个快捷菜单,其中包括下列适用的选项。
控制和历史记录 命令 历史记录 效果 打开列出存档中保存的所选GPO的所有版本的窗口。
从历史记录中,您可以获取某个GPO中的设置报告,比较两个版本的GPO,将GPO与模板进行比较,或者可以回滚到早期版本的GPO。
59 命令 控制 另存为模板 效果 将所选非受控GPO引入AGPM的更改控制管理之下。
如果您没有控制GPO的权限,系统会提示您提交一个请求。
根据所选GPO的设置创建新模板。
报告 命令 设置 差异 效果 生成显示选定GPO内设置的基于HTML或基于XML的报告。
生成基于HTML或基于XML的报告,该报告比较两个选定的GPO内或选定的GPO和模板内的设置。
杂项 命令 刷新 帮助 效果 更新组策略管理控制台(GPMC)的显示内容以包含所有更改。
某些更改只有在刷新显示内容后才可见。
显示AGPM帮助。
其他参考内容选项卡执行编辑任务执行审批者任务执行审阅者任务 挂起GPO命令 “挂起”选项卡:显示具有挂起GPO管理操作(如创建、控制、部署或删除)请求的组策略对象(GPO)列表 。
提供具有响应挂起请求和显示GPO历史记录和报告的命令快捷方式菜单。
显示有权访问选定GPO的组和用户的列表。
60 右键单击此选项卡上的“组策略对象”列表会显示一个快捷菜单,其中包括下列适用的选项。
控制和历史记录 命令 历史记录 撤消批准拒绝 效果 打开列出存档中保存的所选GPO的所有版本的窗口。
从历史记录中,您可以获取某个GPO中的设置报告,比较两个版本的GPO,将GPO与模板进行比较,或者可以回滚到早期版本的GPO。
在批准请求之前,撤消挂起的创建、控制或删除所选GPO的请求。
完成编辑创建、控制或删除所选GPO的挂起请求。
拒绝编辑创建、控制或删除所选GPO的挂起请求。
报告 命令 设置 差异 效果 生成显示所选GPO中设置的基于HTML或基于XML的报告,或者显示指向选定的最近控制、导入或签入GPO时组织单位的GPO链接。
生成基于HTML或基于XML的报告,该报告比较两个选定的GPO内或选定的GPO和模板内的设置。
杂项 命令 刷新 帮助其他参考内容选项卡 效果 更新组策略管理控制台(GPMC)的显示内容以包含所有更改。
某些更改只有在刷新显示内容后才可见。
显示AGPM帮助。
61 执行审批者任务执行审阅者任务 模板命令 “模板”选项卡:显示可用于创建新组策略对象(GPO)的可用模板的列表。
提供其中包含命令的快捷菜单,这些命令用于基于选定模板创建GPO、管理模板并显示模板的 报告。
显示有权访问选定模板的组和用户的列表。
因为模板不能改变,所以模板没有历史记录。
但是,像任何GPO版本一样,模板的设置可以使用设置报告加以显示,或使用差异报告与另一个GPO进行比较。
备注模板是GPO的静态、不可编辑版本,可用作创建新的可编辑GPO的起始点。
右键单击此选项卡上的“组策略对象”列表会显示一个快捷菜单,其中包括下列适用的选项。
控制 命令 新建受控GPO 效果 基于选定的模板创建新GPO。
提供有将新GPO部署到域的生产环境的选项。
如果您没有创建GPO的权限,则系统会提示您提交请求。
(如果右键单击“组策略对象”列表时没有选择GPO,则会显示此选项。
) 报告 命令 设置 差异 效果 生成显示选定GPO内设置的基于HTML或基于XML的报告。
生成一个比较两个选定GPO模板内设置的基于HTML或基于XML的报告。
模板管理 命令 设为默认值 效果 将选定的模板设置为在创建新GPO时自动使用 62 命令 删除重命名 效果 的默认模板。
将选定的模板移到“回收站”。
如果您没有删除GPO的权限,则系统会提示您提交请求。
更改选定模板的名称。
杂项 命令 刷新 帮助 效果 更新组策略管理控制台的显示内容以包含所有更改。
某些更改只有在刷新显示内容后才可见。
显示高级组策略管理(AGPM)帮助。
其他参考内容选项卡执行编辑任务执行审阅者任务 回收站命令 “回收站”选项卡:显示已从存档中删除的组策略对象(GPO)的列表。
提供一个快捷菜单,其中包含的命令可用于管理GPO和显示GPO的报告。
显示有权访问选定GPO的组和用户的列表。
右键单击此选项卡上的“组策略对象”列表会显示一个快捷菜单,其中包含下列适用的选项: 报告 命令 设置 差异 效果 生成显示选定GPO内设置的基于HTML或基于XML的报告,或者显示自最近控制、导入或签入GPO后,指向组织单位中选定GPO的链接。
生成基于HTML或基于XML的报告,该报告比较两个选定的GPO内或选定的GPO和模板内的设置。
63 版本管理 命令 破坏 还原 效果 从“回收站”删除选定的GPO,则该GPO将无法再还原。
将选定的GPO从“回收站”移到“受控”选项卡。
此操作不会将GPO还原到生产环境。
杂项 命令 刷新 帮助 效果 更新组策略管理控制台(GPMC)的显示内容以包含所有更改。
某些更改只有在刷新显示内容后才可见。
显示高级组策略管理(AGPM)帮助。
其他参考内容选项卡执行审批者任务执行审阅者任务 域委托选项卡 在“更改控制”窗格中的“域委托”选项卡上,提供了对存档拥有域级别访问权的组策略管理员列表,并指出了每个组策略管理员的角色。
此外,此选项卡使AGPM管理员(完全控制)能够配置编辑、审批者、审阅者和其他AGPM管理员的域级别权限。
“域委托”选项卡上有两个部分,用于在域级别配置电子邮件通知,以及基于角色进行高级组策略管理(AGPM)委派。
配置电子邮件通知 此选项卡上的电子邮件通知部分确定当AGPM中的操作挂起时将收到通知的审批者。
设置 发件人电子邮件地址 收件人电子邮件地址 描述 将通知发送到审批者的AGPM别名。
在多域环境中,整个环境中的别名可以相同,也可以在每个域使用不同的别名。
将通知发送到的以逗号分隔的审批者电子邮件地址列表 64 设置 SMTP服务器用户名密码确认密码 描述 电子邮件服务器的名称,如对SMTP服务器具有访问权限的用户SMTP服务器进行身份验证的用户密码确认用户密码 域级别基于角色的委派 此选项卡上基于角色的委派部分显示并启用AGPM管理员,以便为该域中拥有存档访问权限的每个组和用户委派允许、拒绝和继承的权限。
AGPM管理员可以使用标准AGPM角色(编辑、审批者、审阅者和AGPM管理员)或每个组策略管理员的定制组合权限配置全域性权限。
按钮 添加 删除属性高级 效果 添加安全性描述符的新条目。
可以将ActiveDirectory中的任何用户或组作为组策略管理员添加。
从访问控制列表中删除所选组策略管理员。
显示所选组策略管理员的属性。
打开“访问控制列表编辑器”。
其他注意事项有关与特定任务相关的角色和权限的信息,请参阅执行AGPM管理员任务、执行编辑任务、执 行审批者任务和执行审阅者任务下的任务。
其他参考用户界面:AdvancedGroupPolicyManagement执行AGPM管理员任务 AGPM服务器选项卡 使用“更改控制”窗格上的“AGPM服务器”选项卡可以通过输入完全限定的计算机名称和端口来选择AGPM服务器,以及从存档中删除旧版组策略对象(GPO)以节省AGPM服务器上的磁盘空间。
指定AGPM服务器 选定的AGPM服务器确定在“内容”选项卡上所显示的存档,以及确定将“域委托”设置应用到的位置。
高级组策略管理(AGPM)的默认端口是端口4600。
65 如果AGPM服务器连接是使用管理模板设置集中配置的,则此选项卡上用于配置连接的选项不可用。
有关详细信息,请参阅配置AGPM服务器连接。
删除旧GPO版本 默认情况下,每个受控GPO的所有版本都会保留在存档中。
但是,您可以配置AGPM服务以限制为每个GPO保留的版本数量,并在超出该限制时自动删除最旧的版本。
此限制仅计算“历史记录”窗口的“唯一版本”选项卡上显示的GPO版本。
注意为每个GPO存储的唯一版本的最大数量不包括当前版本,因此,输入0将仅保留当前版本。
该限制不能大于999个版本。
当删除某个GPO版本后,该版本的记录会保留在GPO的历史记录中,但GPO版本本身会从存档中删除。
您可以在历史记录中将某个GPO版本标记为不可删除来防止该GPO版本被删除。
其他参考用户界面:AdvancedGroupPolicyManagement执行AGPM管理员任务执行审阅者任务 “生产委托”选项卡 在“更改控制”窗格中的“生产委托”选项卡上,提供了对生产环境中的受控组策略对象(GPO)具有域级别访问权限的用户和组的列表,还指出了每个用户或组的允许权限。
此选项卡允许AGPM管理员(完全控制)修改域的生产环境中GPO的默认委派访问权限,从而可以添加或删除用户和组,可以修改每个用户和组的允许权限。
按钮 添加删除属性 效果 添加安全性描述符的新条目。
从“访问控制列表”中删除所选用户或组。
显示所选用户或组的属性。
该属性页与“ActiveDirectory用户和计算机”中对象的属性页相同。
其他参考用户界面:AdvancedGroupPolicyManagement执行AGPM管理员任务 66 管理模板文件夹 使用高级组策略管理(AGPM)的管理模板设置,可以为要应用带这些设置的组策略对象(GPO)的AGPM客户端和AGPM服务器集中配置日志记录和跟踪选项。
同样,使用这些设置可以为要应用带这些设置的GPO的组策略管理员集中配置存档位置和“更改控制”文件与“历史记录”选项卡的可见性。
日志记录和跟踪的设置AGPM服务器连接设置功能可见性设置其他参考用户界面:AdvancedGroupPolicyManagement执行AGPM管理员任务 日志记录和跟踪的设置 对于将管理模板设置应用于组策略对象(GPO)的AGPM服务器和客户端,可以通过高级组策略管理(AGPM)的这些设置集中配置日志记录和跟踪的选项。
当编辑GPO时,ComputerConfiguration\Policies\AdministrativeTemplates\WindowsComponents\AGPM下的以下设置可用。
跟踪文件位置:客户端:%LocalAppData%\Microsoft\AGPM\agpm.log服务器:%ProgramData%\Microsoft\AGPM\agpmserv.log 设置 AGPM:配置日志记录 效果 此策略设置允许打开和配置AGPM的日志记录。
此设置影响AGPM的客户端和服务器组件。
其他参考管理模板文件夹 AGPM服务器连接设置 您可以使用高级组策略管理(AGPM)的管理模板设置,为应用带有这些设置的组策略对象(GPO)的组策略管理员集中配置AGPM服务器连接。
编辑GPO时,可以使用UserConfiguration\Policies\AdministrativeTemplates\WindowsComponents\AGPM下的以下设置。
设置 AGPM:指定默认AGPM服务器(所有域) 效果 使用此策略设置可以指定所有域的默认AGPM服务器。
这个设置仅由AGPM客户端使用,而且会 67 设置 AGPM:指定AGPM服务器 效果 限制组策略管理员连接到另一个存档。
可以使用“AGPM:指定AGPM服务器”设置覆盖单个域的这一默认设置。
使用此策略设置可以指定单个域的AGPM服务器。
这个设置仅由AGPM客户端使用,而且会限制组策略管理员连接到指定域的其他存档。
要指定默认AGPM服务器,请使用“AGPM:指定默认AGPM服务器(所有域)”设置,然后使用此策略设置覆盖每个域的默认设置。
其他参考管理模板文件夹执行AGPM管理员任务 功能可见性设置 对于将管理模板设置应用于组策略对象(GPO)的组策略管理员,他们可以通过高级组策略管理(AGPM)的这些设置集中配置“更改控制”文件夹和“历史记录”选项卡的可见性。
当编辑GPO时,UserConfiguration\Policies\AdministrativeTemplates\WindowsComponents\MicrosoftManagementConsole\Restricted/PermittedSnap-ins\ExtensionSnapins下的以下设置可用。
设置 AGPM:显示“更改控制”选项卡AGPM:显示所链接GPO的“历史记录”选项卡 AGPM:显示GPO的“历史记录”选项卡 效果 此策略设置允许您控制组策略管理控制台(GPMC)中“更改控制”文件夹的可见性。
此策略设置允许您在查看GPMC中链接的GPO时,控制由AGPM提供的“历史记录”选项卡的可见性。
此策略设置允许您在查看GPMC中GPO时,控制由AGPM提供的“历史记录”选项卡的可见性。
其他参考管理模板文件夹 68
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
