【IT168 应用技巧】作为 Microsoft Desktop Optimization Pack (MDOP) for Software Assurance 的一部分， Microsoft 高级组策略管理 (AGPM-Advanced Group Policy Management) 扩展了 组策略管理控制台 (GPMC) 功能，从而为 组策略对象 (GPO) 提供全面的更改控制和改进的管理方法。

　　使用 AGPM 可以执行以下任务：

　　- 对 GPO 进行脱机编辑，以便可以创建 GPO 并在将其部署到生产环境之前对其进行测试。
　　- 在中央存档中维护 GPO 的多个版本，以便出现问题时可以回滚。
　　- 使用基于角色的委派在多人之间共享编辑、批准和审阅 GPO 的职责。
　　- 消除了多个组策略管理员使用 GPO 的签入和签出功能覆盖彼此所做工作的危险。
　　- 使用差异报告分析对 GPO 所做的更改，将该 GPO 与其他 GPO 或同一 GPO 的其他版本进行比较。
　　- 使用 GPO 模板简化创建新 GPO 的过程，存储通用策略设置和首选项设置以用作新 GPO 的起点。
　　- 委派对生产环境的访问权限（AGPM 3.0 和更高版本）。
　　- 搜索具有特定属性的 GPO，并筛选所显示的 GPO 列表 (AGPM 4.0)。
　　- 将 GPO 导出到文件，以便将其从测试林中的域复制到生产林中的域 (AGPM 4.0)。

　　本文介绍版本控制的非常好的做法。

　　Microsoft 高级组策略管理 (AGPM) 提供了 组策略对象 (GPO) 版本控制，与 Microsoft Visual SourceSafe 提供源代码版本控制的方式非常类似。开发人员可以使用 Visual SourceSafe 管理每个源文件的多个版本。组策略管理员可以使用 AGPM 对 GPO 执行相同操作。使用 AGPM 时，组策略管理员应知道应用于任何版本控制系统的非常好的做法：

　　- 日期和时间：AGPM 为 GPO 的每个版本打上日期和时间戳。若要确保历史记录准确无误，尤其是在多个计算机上编辑 GPO 时，请确保每个计算机的时钟都与一个权威时间源同步。

　　- 完成编辑后签入 GPO：编辑通常会在签出 GPO 后忘记将它们签入回存档。然而，这样会阻止其他组策略管理员更改该 GPO。请始终在完成编辑后立即将 GPO 签入回 AGPM。

　　- 经常保存更改：编辑 GPO 时，请经常保存更改。大多数编辑都是签出 GPO，进行很多更改，然后将 GPO 签入存档。应定期将 GPO 签入存档，然后再将其签出。签入的详情可以像更改每个设置后签入 GPO（不建议）或进行多组相关更改后签入 GPO 那样大。这样，可以更好地存档每个 GPO 的历史记录，以帮助排查问题。

　　- 经常部署 GPO：不要让尚未部署的新 GPO 和已编辑的 GPO 在存档中大量累积。应尽快部署新的和已编辑的 GPO，以便最大限度降低其对生产环境的影响。同时部署多个新的和已编辑的 GPO 可能会危害生产环境。

　　- 签入 GPO 时记录更改目的：任何审阅者都可以比较 GPO 的版本以查看两个版本之间的特定更改。记录这些特定更改不会添加任何值。应记录更改的意图和目的，而不是记录审阅者通过查看差异报告所了解的内容。版本注释应将值添加到比较报告中并可帮助审阅者理解编辑更改 GPO 的原因。

　　- 在测试环境中测试 GPO：将 GPO 部署到生产环境而不进行测试会具有风险。应在测试林的域中测试 GPO，然后将 GPO 导出到文件，再将文件导入生产林中的域。此外，还可以将 GPO 链接到包含测试计算机和用户的组织单位。在测试环境中验证每个 GPO 的功能是否正常，然后将 GPO 部署到生产环境。