【IT168 应用技巧】作为 Microsoft Desktop Optimization Pack (MDOP) for Software Assurance 的一部分, Microsoft 高级组策略管理 (AGPM-Advanced Group Policy Management) 扩展了 组策略管理控制台 (GPMC) 功能,从而为 组策略对象 (GPO) 提供全面的更改控制和改进的管理方法。
使用 AGPM 可以执行以下任务:
- 对 GPO 进行脱机编辑,以便可以创建 GPO 并在将其部署到生产环境之前对其进行测试。
- 在中央存档中维护 GPO 的多个版本,以便出现问题时可以回滚。
- 使用基于角色的委派在多人之间共享编辑、批准和审阅 GPO 的职责。
- 消除了多个组策略管理员使用 GPO 的签入和签出功能覆盖彼此所做工作的危险。
- 使用差异报告分析对 GPO 所做的更改,将该 GPO 与其他 GPO 或同一 GPO 的其他版本进行比较。
- 使用 GPO 模板简化创建新 GPO 的过程,存储通用策略设置和首选项设置以用作新 GPO 的起点。
- 委派对生产环境的访问权限(AGPM 3.0 和更高版本)。
- 搜索具有特定属性的 GPO,并筛选所显示的 GPO 列表 (AGPM 4.0)。
- 将 GPO 导出到文件,以便将其从测试林中的域复制到生产林中的域 (AGPM 4.0)。
本文介绍如何管理 GPO。
第 1 步:创建 GPO
在具有多个组策略管理员的环境中,具有编辑角色的管理员可以请求创建新的 GPO。但是,该请求必须经过具有审批者角色的人员的批准。
在此步骤中,您可以使用具有编辑角色的帐户请求创建新的 GPO。使用具有审批者角色的帐户,批准此请求以创建 GPO。
请求创建新 GPO 并通过 AGPM 管理
1、在安装了 AGPM 客户端的计算机上,使用已在 AGPM 中分配了编辑角色的用户帐户登录。
2、在"组策略管理控制台"树中,单击要在其中管理 GPO 的林和域中的"更改控制"。
3、右键单击"更改控制"节点,然后单击"新建受控 GPO"。
4、在"新建受控 GPO"对话框中:
- 若要接收请求的副本,请在"抄送"字段中键入您的电子邮件地址。
- 键入MyGPO 作为新 GPO 的名称。
- 键入新 GPO 的注释。
- 单击"实时创建",以便新 GPO 将在批准后立即部署到生产环境。单击"提交"。
5、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。新 GPO 将在"挂起"选项卡上显示。
批准创建 GPO 的挂起请求
1、在安装了 AGPM 客户端的计算机上,使用在 AGPM 中具有审批者角色的用户帐户登录。
2、打开该帐户的电子邮件收件箱,请注意您已收到一封 AGPM 别名发来的电子邮件,其中包含编辑创建 GPO 的请求。
3、在"组策略管理控制台"树中,单击要在其中管理 GPO 的林和域中的"更改控制"。
4、在"内容"选项卡上,单击"挂起"选项卡以显示挂起的 GPO。
5、右键单击"MyGPO",然后单击"批准"。
6、单击"是"确认批准并将 GPO 移动到"受控"选项卡。