【IT168 应用技巧】作为 Microsoft Desktop Optimization Pack (MDOP) for Software Assurance 的一部分, Microsoft 高级组策略管理 (AGPM-Advanced Group Policy Management) 扩展了 组策略管理控制台 (GPMC) 功能,从而为 组策略对象 (GPO) 提供全面的更改控制和改进的管理方法。
使用 AGPM 可以执行以下任务:
- 对 GPO 进行脱机编辑,以便可以创建 GPO 并在将其部署到生产环境之前对其进行测试。
- 在中央存档中维护 GPO 的多个版本,以便出现问题时可以回滚。
- 使用基于角色的委派在多人之间共享编辑、批准和审阅 GPO 的职责。
- 消除了多个组策略管理员使用 GPO 的签入和签出功能覆盖彼此所做工作的危险。
- 使用差异报告分析对 GPO 所做的更改,将该 GPO 与其他 GPO 或同一 GPO 的其他版本进行比较。
- 使用 GPO 模板简化创建新 GPO 的过程,存储通用策略设置和首选项设置以用作新 GPO 的起点。
- 委派对生产环境的访问权限(AGPM 3.0 和更高版本)。
- 搜索具有特定属性的 GPO,并筛选所显示的 GPO 列表 (AGPM 4.0)。
- 将 GPO 导出到文件,以便将其从测试林中的域复制到生产林中的域 (AGPM 4.0)。
本文介绍配置 AGPM 电子邮件安全性。
要完成这些过程,需要使用具有 AGPM 管理员(完全控制) 角色的用户帐户(即创建在这些过程中使用的 组策略对象 (GPO) 的审批者的用户帐户),或者拥有 AGPM 中所需权限的用户帐户。
1、在"组策略管理控制台"树中,编辑应用于要配置电子邮件安全性的所有 AGPM 服务器的 GPO。
2、在"组策略管理编辑器"窗口中,展开"计算机配置"、"首选项"、"Windows 设置"和"注册表"文件夹。
3、在控制台树中,右键单击"注册表",指向"新建",单击"集合项目",然后键入"AGPM 电子邮件安全性"。
4、创建启用加密的注册表首选项项目:
- 在控制台树中,右键单击"AGPM 电子邮件安全性",指向"新建",然后单击"注册表项"。
- 在"新注册表属性"对话框中,选择"更新"操作。
- 对于"配置单元",选择"HKEY_LOCAL_MACHINE"。
- 对于"注册表项路径",键入"SOFTWARE\Microsoft\AGPM"。
- 对于"值名称",键入"EncryptSmtp"。
- 对于"值类型",选择"REG_DWORD"。
- 对于"基数",选择"小数",对于"数值数据",键入"1"以使用 SSL 加密,或者键入"0"允许不加密就发送电子邮件。默认情况下,不加密就发送电子邮件。单击"确定"。
5、创建指定 SMTP 端口的注册表首选项项目:
- 在控制台树中,右键单击"AGPM 电子邮件安全性",指向"新建",然后单击"注册表项"。
- 在"新注册表属性"对话框中,选择"更新"操作。
- 对于"配置单元",选择"HKEY_LOCAL_MACHINE"。
- 对于"注册表项路径"对话框,键入"SOFTWARE\Microsoft\AGPM"。
- 对于"值名称",键入"SmtpPort"。
- 对于"值类型",选择"REG_DWORD"。
- 对于"基数",选择"小数",对于"数值数据",键入 SMTP 端口的端口号。默认情况下,未启用加密时 SMTP 端口是 25,启用加密时是 587。单击"确定"。
6、关闭"组策略管理编辑器"窗口,然后签入并部署 GPO。