【IT168 应用技巧】作为 Microsoft Desktop Optimization Pack (MDOP) for Software Assurance 的一部分, Microsoft 高级组策略管理 (AGPM-Advanced Group Policy Management) 扩展了 组策略管理控制台 (GPMC) 功能,从而为 组策略对象 (GPO) 提供全面的更改控制和改进的管理方法。
使用 AGPM 可以执行以下任务:
- 对 GPO 进行脱机编辑,以便可以创建 GPO 并在将其部署到生产环境之前对其进行测试。
- 在中央存档中维护 GPO 的多个版本,以便出现问题时可以回滚。
- 使用基于角色的委派在多人之间共享编辑、批准和审阅 GPO 的职责。
- 消除了多个组策略管理员使用 GPO 的签入和签出功能覆盖彼此所做工作的危险。
- 使用差异报告分析对 GPO 所做的更改,将该 GPO 与其他 GPO 或同一 GPO 的其他版本进行比较。
- 使用 GPO 模板简化创建新 GPO 的过程,存储通用策略设置和首选项设置以用作新 GPO 的起点。
- 委派对生产环境的访问权限(AGPM 3.0 和更高版本)。
- 搜索具有特定属性的 GPO,并筛选所显示的 GPO 列表 (AGPM 4.0)。
- 将 GPO 导出到文件,以便将其从测试林中的域复制到生产林中的域 (AGPM 4.0)。
本文介绍如何委派管理受控 GPO。
审批者可以委派管理由其创建的受控 组策略对象 (GPO)。像 AGPM 管理员(完全控制) 一样,审批者可以委派对这种 GPO 的访问权限,以便所选编辑可以编辑它,审阅者可以检查它,其他审批者可以批准它。默认情况下,审批者不能委派由另一组策略管理员创建的 GPO 的访问权限。
委托受控 GPO 的管理
1、在"组策略管理控制台"树中,单击您要在其中管理 GPO 的林和域中的"更改控制"。
2、在详细信息窗格的"内容"选项卡上,单击"受控"选项卡以显示受控 GPO,然后单击 GPO 进行委托:
- 若要为用户或组添加访问权限,请单击"添加"按钮,选择相应用户或组,然后单击"确定"。在"添加组或用户"对话框中,选择角色并单击"确定"。
- 要删除用户或组的访问权限,请选择该用户或组,然后单击"删除"按钮。
- 若要修改委托给用户或组的角色和权限,请单击"高级"按钮。在"权限"对话框中,选择用户或组,选中要分配给该用户或组的每个角色对应的复选框,然后单击"确定"。
其他注意事项
- 默认情况下,您必须是创建或控制 GPO 的审批者或 AGPM 管理员(完全控制) 才能执行此过程。具体而言,您必须拥有域的"列出内容"权限和 GPO 的"修改安全性"权限。
- 若要将读取访问权限委托给使用 AGPM 的组策略管理员,则必须授予他们"列出内容"及"读取设置"权限。他们使用该权限可以查看 AGPM 的"内容"选项卡上的 GPO。其他权限必须明确委托。
- 编辑必须拥有已部署 GPO 副本的"读取"权限,才能充分利用组策略软件安装。