【IT168 应用技巧】作为 Microsoft Desktop Optimization Pack (MDOP) for Software Assurance 的一部分， Microsoft 高级组策略管理 (AGPM-Advanced Group Policy Management) 扩展了 组策略管理控制台 (GPMC) 功能，从而为 组策略对象 (GPO) 提供全面的更改控制和改进的管理方法。

　　使用 AGPM 可以执行以下任务：

　　- 对 GPO 进行脱机编辑，以便可以创建 GPO 并在将其部署到生产环境之前对其进行测试。

　　- 在中央存档中维护 GPO 的多个版本，以便出现问题时可以回滚。

　　- 使用基于角色的委派在多人之间共享编辑、批准和审阅 GPO 的职责。

　　- 消除了多个组策略管理员使用 GPO 的签入和签出功能覆盖彼此所做工作的危险。

　　- 使用差异报告分析对 GPO 所做的更改，将该 GPO 与其他 GPO 或同一 GPO 的其他版本进行比较。

　　- 使用 GPO 模板简化创建新 GPO 的过程，存储通用策略设置和首选项设置以用作新 GPO 的起点。

　　- 委派对生产环境的访问权限（AGPM 3.0 和更高版本）。

　　- 搜索具有特定属性的 GPO，并筛选所显示的 GPO 列表 (AGPM 4.0)。

　　- 将 GPO 导出到文件，以便将其从测试林中的域复制到生产林中的域 (AGPM 4.0)。

　　本文介绍如何安装和配置 AGPM。

　　第 1 步：安装 AGPM 服务器

　　在此步骤中，您可以在要运行 AGPM 服务的成员服务器或域控制器上安装 AGPM 服务器，然后配置存档。所有 AGPM 操作都通过此 Windows 服务进行管理，并使用服务凭据执行。AGPM 服务器管理的存档可以在该服务器上或相同林中的其他服务器上托管。

　　在将托管 AGPM 服务的计算机上安装 AGPM 服务器

　　1、以属于 Domain Admins 组成员的帐户登录。

　　2、启动 Microsoft Desktop Optimization Pack CD，并且按照屏幕上的说明选择"Advanced Group Policy Management - Server"。

　　3、在"欢迎"对话框中，单击"下一步"。

　　4、在"Microsoft 软件许可条款"对话框中，接受条款，然后单击"下一步"。

　　5、在"应用程序路径"对话框中，选择安装 AGPM 服务器的位置。安装 AGPM 服务器的计算机将托管 AGPM 服务并管理存档。单击"下一步"。

　　6、在"存档路径"对话框中，为与 AGPM 服务器相关的存档选择位置。存档路径可以指向 AGPM 服务器上的文件夹，也可以指向其他位置。但是，您所选的位置应有足够的空间，以便存储此 AGPM 服务器管理的所有 GPO 和历史记录数据。单击"下一步"。

　　7、在"AGPM 服务帐户"对话框中，选择 AGPM 服务将在其下运行的服务帐户，然后单击"下一步"。

　　此帐户必须是 Domain Admins 组的成员，或者对于最小特权配置，必须是 AGPM 服务器管理的每个域中的以下组：

　　组策略创建者所有者

　　备份操作员

　　此外，此帐户要求对以下文件夹拥有完全控制权限：

　　AGPM 存档文件夹，如果 AGPM 服务器安装在本地驱动器上，则在安装期间会自动向该文件夹授予此权限。

　　本地系统临时文件夹，通常为 %windir%\temp。

　　8、在"存档所有者"对话框中，选择要向其分配 AGPM 管理员（完全控制） 角色的帐户或组。AGPM 管理员 可以将 AGPM 角色和权限分配给其他组策略管理员，以便您可以在以后将 AGPM 管理员 角色分配给其他组策略管理员。对于此方案，选择作为 AGPM 管理员 角色的帐户。单击"下一步"。

　　9、在"端口配置"对话框中，键入 AGPM 服务应该侦听的端口。除非您手动配置端口例外或使用规则配置端口例外，否则请不要清除"向防火墙添加端口例外"复选框。单击"下一步"。

　　10、在"语言"对话框中，选择一种或多种要为 AGPM 服务器安装的显示语言。

　　11、单击"安装"，然后单击"完成"退出安装向导。