【IT168 应用技巧】作为 Microsoft Desktop Optimization Pack (MDOP) for Software Assurance 的一部分, Microsoft 高级组策略管理 (AGPM-Advanced Group Policy Management) 扩展了 组策略管理控制台 (GPMC) 功能,从而为 组策略对象 (GPO) 提供全面的更改控制和改进的管理方法。
使用 AGPM 可以执行以下任务:
- 对 GPO 进行脱机编辑,以便可以创建 GPO 并在将其部署到生产环境之前对其进行测试。
- 在中央存档中维护 GPO 的多个版本,以便出现问题时可以回滚。
- 使用基于角色的委派在多人之间共享编辑、批准和审阅 GPO 的职责。
- 消除了多个组策略管理员使用 GPO 的签入和签出功能覆盖彼此所做工作的危险。
- 使用差异报告分析对 GPO 所做的更改,将该 GPO 与其他 GPO 或同一 GPO 的其他版本进行比较。
- 使用 GPO 模板简化创建新 GPO 的过程,存储通用策略设置和首选项设置以用作新 GPO 的起点。
- 委派对生产环境的访问权限(AGPM 3.0 和更高版本)。
- 搜索具有特定属性的 GPO,并筛选所显示的 GPO 列表 (AGPM 4.0)。
- 将 GPO 导出到文件,以便将其从测试林中的域复制到生产林中的域 (AGPM 4.0)。
本文介绍如何脱机编辑 GPO。
要对受控 组策略对象 (GPO) 进行更改,您必须首先从存档中签出 GPO 副本。在将该 GPO 签入之前,其他人无法对其进行修改,从而避免多个组策略管理员的更改相互冲突。修改 GPO 完成后,应将其签入存档,这样可以进行检查并将其部署在生产环境中。
从存档中签出 GPO 进行编辑
1、在"组策略管理控制台"树中,单击您要在其中管理 GPO 的林和域中的"更改控制"。
2、在"内容"选项卡上,单击"控制的"选项卡以显示控制的 GPO。
3、右键单击要编辑的 GPO,然后单击"签出"。
4、键入签出 GPO 时,要在该 GPO 的历史记录中显示的注释,然后单击"确定"。
5、当"进度"窗口显示总体进度已完成时,单击"关闭"。在"受控"选项卡上,GPO 的状态现在标识为"已签出"。
脱机编辑 GPO
1、在"受控"选项卡上,右键单击要编辑的 GPO,然后单击"编辑"。
2、在"组策略管理编辑器"窗口中,对 GPO 脱机副本进行更改。
3、修改 GPO 完成后,关闭"组策略管理编辑器"窗口。
将 GPO 签入存档
1、在"受控"选项卡上:
- 如果没有对 GPO 进行更改,则右键单击 GPO 并单击"撤消签出",然后单击"是"进行确认。
- 如果对 GPO 进行了更改,则右键单击 GPO 并单击"签入"。
2、键入将在 GPO 审计跟踪中显示的注释,然后单击"确定"。
3、当"进度"窗口表明总体进度完成时,单击"关闭"。在"受控"选项卡上,GPO 状态标识为"已签入"。
其他注意事项
- 默认情况下,要签出和编辑 GPO,您必须是创建或控制 GPO 的审批者,即编辑或 AGPM 管理员(完全控制)。具体而言,您必须拥有 GPO 的"列出内容"和"编辑设置"权限。此外,要编辑 GPO,您必须是签出 GPO 的个人。
- 默认情况下,要签入 GPO,您必须是编辑、审批者或 AGPM 管理员(完全控制)。尤其是,您必须拥有 GPO 的"列出内容"和"编辑设置"或"部署 GPO"权限。如果您不是审批者或 AGPM 管理员(或拥有"部署 GPO"权限的其他组策略管理员),您必须是签出 GPO 的编辑。
- 编辑 GPO 时,在其他 GPO 中配置软件包的任何组策略软件安装升级时都会引用部署的 GPO,而不是已签出副本。