【IT168 应用技巧】作为 Microsoft Desktop Optimization Pack (MDOP) for Software Assurance 的一部分， Microsoft 高级组策略管理 (AGPM-Advanced Group Policy Management) 扩展了 组策略管理控制台 (GPMC) 功能，从而为 组策略对象 (GPO) 提供全面的更改控制和改进的管理方法。

　　使用 AGPM 可以执行以下任务：

　　- 对 GPO 进行脱机编辑，以便可以创建 GPO 并在将其部署到生产环境之前对其进行测试。
　　- 在中央存档中维护 GPO 的多个版本，以便出现问题时可以回滚。
　　- 使用基于角色的委派在多人之间共享编辑、批准和审阅 GPO 的职责。
　　- 消除了多个组策略管理员使用 GPO 的签入和签出功能覆盖彼此所做工作的危险。
　　- 使用差异报告分析对 GPO 所做的更改，将该 GPO 与其他 GPO 或同一 GPO 的其他版本进行比较。
　　- 使用 GPO 模板简化创建新 GPO 的过程，存储通用策略设置和首选项设置以用作新 GPO 的起点。
　　- 委派对生产环境的访问权限（AGPM 3.0 和更高版本）。
　　- 搜索具有特定属性的 GPO，并筛选所显示的 GPO 列表 (AGPM 4.0)。
　　- 将 GPO 导出到文件，以便将其从测试林中的域复制到生产林中的域 (AGPM 4.0)。

　　本文介绍委派对存档中单个 GPO 的访问权限。

　　作为 AGPM 管理员（完全控制），您可以委派管理存档中的受控 组策略对象 (GPO)，以便选定的组和编辑可以进行编辑，审阅者可以进行审阅，审批者可以加以批准。

　　若要完成此过程，必须使用具有 AGPM 管理员（完全控制） 角色的用户帐户、创建 GPO 的审批者的用户帐户，或者具有 高级组策略管理 (AGPM) 中必需权限的用户帐户。

　　委托受控 GPO 的管理

　　1、在"组策略管理控制台"树中，单击您要在其中管理 GPO 的林和域中的"更改控制"。

　　2、在详细信息窗格的"内容"选项卡上，单击"受控"选项卡以显示受控 GPO，然后单击 GPO 进行委托：

　　- 若要为用户或组添加访问权限，请单击"添加"按钮，选择相应用户或组，然后单击"确定"。在"添加组或用户"对话框中，选择角色并单击"确定"。

　　- 若要删除用户或组的访问权限，请选择相应用户或组，然后单击"删除"按钮。

　　其他注意事项

　　- 默认情况下，您必须是创建或控制 GPO 的审批者或 AGPM 管理员（完全控制） 才能执行此过程。具体而言，您必须拥有域的"列出内容"权限和 GPO 的"修改安全性"权限。

　　- 若要将读取访问权限委托给使用 AGPM 的组策略管理员，则必须授予他们"列出内容"及"读取设置"权限。他们使用该权限可以查看 AGPM 的"内容"选项卡上的 GPO。其他权限必须明确委托。

　　- 编辑必须拥有已部署 GPO 副本的"读取"权限，才能充分利用组策略软件安装。

　　- Group Policy Creator Owners 组中的成员身份应加以限制，确保不会危害能够访问 GPO 的 AGPM 管理。（在"组策略管理控制台"中，单击您要在其中管理 GPO 的林和域的"组策略对象"，单击"委派"，然后配置设置以满足您的组织的需求。）