【IT168 应用技巧】作为 Microsoft Desktop Optimization Pack (MDOP) for Software Assurance 的一部分， Microsoft 高级组策略管理 (AGPM-Advanced Group Policy Management) 扩展了 组策略管理控制台 (GPMC) 功能，从而为 组策略对象 (GPO) 提供全面的更改控制和改进的管理方法。

　　使用 AGPM 可以执行以下任务：

　　- 对 GPO 进行脱机编辑，以便可以创建 GPO 并在将其部署到生产环境之前对其进行测试。

　　- 在中央存档中维护 GPO 的多个版本，以便出现问题时可以回滚。

　　- 使用基于角色的委派在多人之间共享编辑、批准和审阅 GPO 的职责。

　　- 消除了多个组策略管理员使用 GPO 的签入和签出功能覆盖彼此所做工作的危险。

　　- 使用差异报告分析对 GPO 所做的更改，将该 GPO 与其他 GPO 或同一 GPO 的其他版本进行比较。

　　- 使用 GPO 模板简化创建新 GPO 的过程，存储通用策略设置和首选项设置以用作新 GPO 的起点。

　　- 委派对生产环境的访问权限（AGPM 3.0 和更高版本）。

　　- 搜索具有特定属性的 GPO，并筛选所显示的 GPO 列表 (AGPM 4.0)。

　　- 将 GPO 导出到文件，以便将其从测试林中的域复制到生产林中的域 (AGPM 4.0)。

　　本文介绍如何安装和配置 AGPM。

　　第 1 步：安装 AGPM 服务器

　　在此步骤中，您可以在要运行 AGPM 服务的成员服务器或域控制器上安装 AGPM 服务器，然后配置存档。所有 AGPM 操作都通过此 Windows 服务进行管理，并使用服务凭据执行。AGPM 服务器管理的存档可以在该服务器上或相同林中的其他服务器上托管。

　　在将托管 AGPM 服务的计算机上安装 AGPM 服务器

　　1、以属于 Domain Admins 组成员的帐户登录。

　　2、启动 Microsoft Desktop Optimization Pack CD，并且按照屏幕上的说明选择"Advanced Group Policy Management - Server"。

　　3、在"欢迎"对话框中，单击"下一步"。

　　4、在"Microsoft 软件许可条款"对话框中，接受条款，然后单击"下一步"。

　　5、在"应用程序路径"对话框中，选择安装 AGPM 服务器的位置。安装 AGPM 服务器的计算机将托管 AGPM 服务并管理存档。单击"下一步"。

　　6、在"存档路径"对话框中，为与 AGPM 服务器相关的存档选择位置。存档路径可以指向 AGPM 服务器上的文件夹，也可以指向其他位置。但是，您所选的位置应有足够的空间，以便存储此 AGPM 服务器管理的所有 GPO 和历史记录数据。单击"下一步"。

　　7、在"AGPM 服务帐户"对话框中，选择 AGPM 服务将在其下运行的服务帐户，然后单击"下一步"。

　　此帐户必须是 Domain Admins 组的成员，或者对于最小特权配置，必须是 AGPM 服务器管理的每个域中的以下组：

　　组策略创建者所有者

　　备份操作员

　　此外，此帐户要求对以下文件夹拥有完全控制权限：

　　AGPM 存档文件夹，如果 AGPM 服务器安装在本地驱动器上，则在安装期间会自动向该文件夹授予此权限。

　　本地系统临时文件夹，通常为 %windir%\temp。

　　8、在"存档所有者"对话框中，选择要向其分配 AGPM 管理员（完全控制） 角色的帐户或组。AGPM 管理员 可以将 AGPM 角色和权限分配给其他组策略管理员，以便您可以在以后将 AGPM 管理员 角色分配给其他组策略管理员。对于此方案，选择作为 AGPM 管理员 角色的帐户。单击"下一步"。

　　9、在"端口配置"对话框中，键入 AGPM 服务应该侦听的端口。除非您手动配置端口例外或使用规则配置端口例外，否则请不要清除"向防火墙添加端口例外"复选框。单击"下一步"。

　　10、在"语言"对话框中，选择一种或多种要为 AGPM 服务器安装的显示语言。

　　11、单击"安装"，然后单击"完成"退出安装向导。

　　第 2 步：安装 AGPM 客户端

　　每个组策略管理员（即创建、编辑、部署、查看或删除 GPO 的任何人）都必须在用于管理 GPO 的计算机上安装 AGPM 客户端。对于此方案，需要至少在一台计算机上安装 AGPM 客户端。无需在不执行组策略管理的最终用户的计算机上安装 AGPM 客户端。

　　在组策略管理员的计算机上安装 AGPM 客户端

　　1、启动 Microsoft Desktop Optimization Pack CD，并且按照屏幕上的说明选择"Advanced Group Policy Management - Client"。

　　2、在"欢迎"对话框中，单击"下一步"。

　　3、在"Microsoft 软件许可条款"对话框中，接受条款，然后单击"下一步"。

　　4、在"应用程序路径"对话框中，选择安装 AGPM 客户端的位置。单击"下一步"。

　　5、在"AGPM 服务器"对话框中，键入 AGPM 服务器的 DNS 名称或 IP 地址以及要连接到的端口。AGPM 服务的默认端口是 4600。除非您手动配置端口例外或使用规则配置端口例外，否则，请不要清除"允许 Microsoft 管理控制台通过防火墙"复选框。单击"下一步"。

　　6、在"语言"对话框中，选择一种或多种要为 AGPM 客户端安装的显示语言。

　　7、单击"安装"，然后单击"完成"退出安装向导。

　　第 3 步：配置 AGPM 服务器连接

　　AGPM 会将每个受控 组策略对象 (GPO)（即 AGPM 为其提供更改控制的每个 GPO）的所有版本存储在中央存档中。这样组策略管理员可以脱机查看和更改 GPO，而不会立即影响每个 GPO 的已部署版本。

　　对所有组策略管理员配置 AGPM 服务器连接

　　1、在安装了 AGPM 客户端的计算机上，以选作存档所有者的用户帐户登录。此用户具有 AGPM 管理员（完全控制） 角色。

　　2、单击"开始"，指向"管理工具"，然后单击"组策略管理"以打开 GPMC。

　　3、编辑适用于所有组策略管理员的 GPO。

　　4、在"组策略管理编辑器"窗口中，双击"用户配置"、"策略"、"管理模板"、"Windows 组件"和"AGPM"。

　　5、在详细信息窗格中，双击"AGPM:指定默认 AGPM 服务器(所有域)"。

　　6、在"属性"窗口中，选择"已启用"，并为托管存档的服务器键入 DNS 名称或 IP 地址和端口（例如，server.contoso.com:4600）。默认情况下，AGPM 服务使用端口 4600。

　　7、单击"确定"，然后关闭"组策略管理编辑器"窗口。当更新组策略时，会为每个组策略管理员配置 AGPM 服务器连接。

　　第 4 步：配置电子邮件通知

　　作为 AGPM 管理员（完全控制），您可以指定审批者和 AGPM 管理员 的电子邮件地址，当编辑尝试创建、部署或删除 GPO 时，会向所指定的电子邮件地址发送包含请求的电子邮件。您还需要确定发送这些邮件的别名。

　　配置 AGPM 的电子邮件通知

　　1、在详细信息窗格中，单击"域委托"选项卡。

　　2、在"发件人电子邮件地址"字段中，键入将用来发送通知的 AGPM 电子邮件别名。

　　3、在"收件人电子邮件地址"字段中，键入要为其分配审批者角色的用户帐户的电子邮件地址。

　　4、在"SMTP 服务器"字段中，键入有效的 SMTP 邮件服务器。

　　5、在"用户名"和"密码"字段中，键入拥有 SMTP 服务访问权限的用户凭据。单击"应用"。

　　第 5 步：委托访问权限

　　作为 AGPM 管理员（完全控制），您可以委派对 GPO 的域级别访问权限，即将角色分配给每个组策略管理员的帐户。

　　委托整个域中所有 GPO 的访问权限

　　1、在"域委托"选项卡上，单击"添加"按钮，选择要作为审批者的组策略管理员的用户帐户，然后单击"确定"。

　　2、在"添加组或用户"对话框中，选择"审批者"角色以将该角色分配给帐户，然后单击"确定"。（此角色包括审阅者角色。）

　　3、单击"添加"按钮，选择担当编辑的组策略管理员的用户帐户，然后单击"确定"。

　　4、在"添加组或用户"对话框中，选择"编辑"角色以将该角色分配给该帐户，然后单击"确定"。（此角色包括审阅者角色。）

　　5、单击"添加"按钮，选择担当审阅者的组策略管理员的用户帐户，然后单击"确定"。

　　6、在"添加组或用户"对话框中，选择"审阅者"角色以只将该角色分配给帐户。