【IT168 应用技巧】作为 Microsoft Desktop Optimization Pack (MDOP) for Software Assurance 的一部分, Microsoft 高级组策略管理 (AGPM-Advanced Group Policy Management) 扩展了 组策略管理控制台 (GPMC) 功能,从而为 组策略对象 (GPO) 提供全面的更改控制和改进的管理方法。
使用 AGPM 可以执行以下任务:
- 对 GPO 进行脱机编辑,以便可以创建 GPO 并在将其部署到生产环境之前对其进行测试。
- 在中央存档中维护 GPO 的多个版本,以便出现问题时可以回滚。
- 使用基于角色的委派在多人之间共享编辑、批准和审阅 GPO 的职责。
- 消除了多个组策略管理员使用 GPO 的签入和签出功能覆盖彼此所做工作的危险。
- 使用差异报告分析对 GPO 所做的更改,将该 GPO 与其他 GPO 或同一 GPO 的其他版本进行比较。
- 使用 GPO 模板简化创建新 GPO 的过程,存储通用策略设置和首选项设置以用作新 GPO 的起点。
- 委派对生产环境的访问权限(AGPM 3.0 和更高版本)。
- 搜索具有特定属性的 GPO,并筛选所显示的 GPO 列表 (AGPM 4.0)。
- 将 GPO 导出到文件,以便将其从测试林中的域复制到生产林中的域 (AGPM 4.0)。
本文介绍如何管理 GPO。
第 1 步:创建 GPO
在具有多个组策略管理员的环境中,具有编辑角色的管理员可以请求创建新的 GPO。但是,该请求必须经过具有审批者角色的人员的批准。
在此步骤中,您可以使用具有编辑角色的帐户请求创建新的 GPO。使用具有审批者角色的帐户,批准此请求以创建 GPO。
请求创建新 GPO 并通过 AGPM 管理
1、在安装了 AGPM 客户端的计算机上,使用已在 AGPM 中分配了编辑角色的用户帐户登录。
2、在"组策略管理控制台"树中,单击要在其中管理 GPO 的林和域中的"更改控制"。
3、右键单击"更改控制"节点,然后单击"新建受控 GPO"。
4、在"新建受控 GPO"对话框中:
- 若要接收请求的副本,请在"抄送"字段中键入您的电子邮件地址。
- 键入MyGPO 作为新 GPO 的名称。
- 键入新 GPO 的注释。
- 单击"实时创建",以便新 GPO 将在批准后立即部署到生产环境。单击"提交"。
5、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。新 GPO 将在"挂起"选项卡上显示。
批准创建 GPO 的挂起请求
1、在安装了 AGPM 客户端的计算机上,使用在 AGPM 中具有审批者角色的用户帐户登录。
2、打开该帐户的电子邮件收件箱,请注意您已收到一封 AGPM 别名发来的电子邮件,其中包含编辑创建 GPO 的请求。
3、在"组策略管理控制台"树中,单击要在其中管理 GPO 的林和域中的"更改控制"。
4、在"内容"选项卡上,单击"挂起"选项卡以显示挂起的 GPO。
5、右键单击"MyGPO",然后单击"批准"。
6、单击"是"确认批准并将 GPO 移动到"受控"选项卡。
第 2 步:编辑 GPO
您可以使用 GPO 配置计算机或用户设置,并将其部署到许多计算机或用户。在此步骤中,您可以使用具有编辑角色的帐户从存档中签出 GPO,然后对签出的 GPO 进行脱机编辑,再将编辑后的 GPO 签入回存档,并请求将 GPO 部署到生产环境。对于此方案,您可以在 GPO 中配置一项设置,以要求密码长度至少为八个字符。
从存档中签出 GPO 进行编辑
1、在安装了 AGPM 客户端的计算机上,使用在 AGPM 中具有编辑角色的用户帐户登录。
2、在"组策略管理控制台"树中,单击要在其中管理 GPO 的林和域中的"更改控制"。
3、在详细信息窗格的"内容"选项卡上,单击"受控"选项卡以显示受控 GPO。
4、右键单击"MyGPO",然后单击"签出"。
5、键入签出 GPO 时,将在该 GPO 的历史记录中显示的注释,然后单击"确定"。
6、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。在"受控"选项卡上,GPO 的状态标识为"已签出"。
脱机编辑 GPO 并配置最短密码长度
1、在"受控"选项卡上,右键单击"MyGPO",然后单击"编辑"以打开"组策略管理编辑器"窗口,并更改 GPO 的脱机副本。对于此方案,配置最短密码长度:
- 在"计算机配置"下,依次双击"策略"、"Windows 设置"、"安全设置"、"帐户策略"和"密码策略"。
- 在详细信息窗格中,双击"最短密码长度"。
- 在属性窗口中,选择"定义此策略设置"复选框,将字符数设置为"8",然后单击"确定"。
2、关闭"组策略管理编辑器"窗口。
将 GPO 签入存档
1、在"受控"选项卡上,右键单击"MyGPO",然后单击"签入"。
2、键入注释,然后单击"确定"。
3、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。在"受控"选项卡上,GPO 的状态标识为"已签入"。
请求将 GPO 部署到生产环境
1、在"受控"选项卡上,右键单击"MyGPO",然后单击"部署"。
2、因为此帐户不是审批者或 AGPM 管理员,所以必须提交部署请求。若要接收请求的副本,请在"抄送"字段中键入您的电子邮件地址。键入将在 GPO 的历史记录中显示的注释,然后单击"提交"。
3、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。"MyGPO"即显示在"挂起"选项卡上的 GPO 列表中。
第 3 步:查看和部署 GPO
在此步骤中,作为审批者,您可以创建报告并分析 GPO 中的设置和对设置的更改,以确定您是否应该批准。在评估 GPO 后,您可以将其部署到生产环境,并将 GPO 链接到域或组织单位 (OU)。GPO 将在对该域或 OU 中的计算机刷新组策略时生效。
查看 GPO 中的设置
1、在安装了 AGPM 客户端的计算机上,使用已在 AGPM 中分配了审批者角色的用户帐户登录。角色为审阅者的任何组策略管理员都可以查看 GPO 中的设置,所有其他角色中都包含审阅者角色。
2、打开该帐户的电子邮件收件箱,请注意您已收到一封 AGPM 别名发来的电子邮件,其中包含编辑部署 GPO 的请求。
3、在"组策略管理控制台"树中,单击要在其中管理 GPO 的林和域中的"更改控制"。
4、在详细信息窗格的"内容"选项卡上,单击"挂起"选项卡。
5、双击"MyGPO"以显示其历史记录。
6、查看最新版 MyGPO 中的设置:
- 在"历史记录"窗口中,右键单击时间戳最新的 GPO 版本,单击"设置",然后单击"HTML 报告"以显示 GPO 设置的摘要。
- 在 Web 浏览器上,单击"全部显示"以显示 GPO 中的所有设置。关闭浏览器。
7、将 MyGPO 的最新版本与签入存档的第一个版本进行比较:
- 在"历史记录"窗口中,单击时间戳最新的 GPO 版本。按住 Ctrl 然后单击"计算机版本"不是"*"的最旧的 GPO 版本。
- 单击"差异"按钮。"帐户策略/密码策略"部分会以绿色突出显示,该部分之前还会显示"[+]"。这表示此设置仅在 GPO 的较新版本中配置。
- 单击"帐户策略/密码策略"。"最短密码长度"设置也以绿色突出显示,之前也会显示"[+]",表示此设置仅在 GPO 的较新版本中配置。
- 关闭 Web 浏览器。
将 GPO 部署到生产环境
1、在"挂起"选项卡上,右键单击"MyGPO",然后单击"批准"。
2、键入要在 GPO 历史记录中包含的注释。
3、单击"是"。当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。GPO 将部署到生产环境。
将 GPO 链接到域或组织单位
1、在 GPMC 中,右键单击要将所配置的 GPO 应用到的域或组织单位 (OU),然后单击"链接现有的 GPO"。
2、在"选择 GPO"对话框中,单击"MyGPO",然后单击"确定"。
第 4 步:使用模板创建 GPO
在此步骤中,您可以使用具有编辑角色的帐户创建并使用模板。模板是 GPO 的静态版本,可用作创建新 GPO 的起点。尽管您无法编辑模板,但可以基于模板创建新的 GPO。在快速创建包括许多相同策略设置的多个 GPO 时,模板很有用。
基于现有 GPO 创建模板
1、在安装了 AGPM 客户端的计算机上,使用已在 AGPM 中分配了编辑角色的用户帐户登录。
2、在"组策略管理控制台"树中,单击要在其中管理 GPO 的林和域中的"更改控制"。
3、在详细信息窗格的"内容"选项卡上,单击"受控"选项卡。
4、右键单击"MyGPO",然后单击"另存为模板"以创建包含 MyGPO 中当前具有的所有设置的模板。
5、键入MyTemplate 作为模板的名称并键入注释,然后单击"确定"。
6、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。新模板即会在"模板"选项卡上显示。
请求创建新 GPO 并通过 AGPM 管理
1、单击"受控"选项卡。
2、右键单击"更改控制"节点,然后单击"新建受控 GPO"。
3、在"新建受控 GPO"对话框中:
- 若要接收请求的副本,请在"抄送"字段中键入您的电子邮件地址。
- 键入MyOtherGPO 作为新 GPO 的名称。
- 键入新 GPO 的注释。
- 单击"实时创建",以便新 GPO 将在批准后立即部署到生产环境。
- 对于"从 GPO 模板",请选择"MyTemplate"。单击"提交"。
5、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。新 GPO 将在"挂起"选项卡上显示。
使用被分配了审批者角色的帐户批准创建 GPO 的挂起请求(如第 1 步:创建 GPO 所述)。MyTemplate 包含您在 MyGPO 配置的所有设置。因为 MyOtherGPO 是使用 MyTemplate 创建的,所以其中最初包含了在创建 MyTemplate 时 MyGPO 所包含的所有设置。您可以对此进行确认,方法是生成差异报告来比较 MyTemplate 和 MyOtherGPO。
从存档中签出 GPO 进行编辑
1、在安装了 AGPM 客户端的计算机上,使用已在 AGPM 中分配了编辑角色的用户帐户登录。
2、右键单击"MyOtherGPO",然后单击"签出"。
3、键入签出 GPO 时,将在该 GPO 的历史记录中显示的注释,然后单击"确定"。
4、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。在"受控"选项卡上,GPO 的状态标识为"已签出"。
脱机编辑 GPO 和配置帐户锁定时间
1、在"受控"选项卡上,右键单击"MyOtherGPO",然后单击"编辑"以打开"组策略管理编辑器"窗口,并更改 GPO 的脱机副本。对于此方案,配置最短密码长度:
- 在"计算机配置"下,依次双击"策略"、"Windows 设置"、"安全设置"、"帐户策略"和"帐户锁定策略"。
- 在详细信息窗格中,双击"帐户锁定时"。
- 在属性窗口中,选中"定义此策略设置",将时间设置为"30"分钟,然后单击"确定"。
2、关闭"组策略管理编辑器"窗口。
将 MyOtherGPO 签入存档并请求部署(如同第 2 步:编辑 GPO 中对 MyGPO 所执行的操作)。您可以使用差异报告将 MyOtherGPO 与 MyGPO 或与 MyTemplate 进行比较。包括审阅者角色的任何帐户(AGPM 管理员 [完全控制]、审批者、编辑或审阅者)都可以生成报告。
将 GPO 与另一个 GPO 和模板进行比较
1、比较 MyGPO 和 MyOtherGPO:
- 在"受控"选项卡上,单击"MyGPO"。按住 CTRL,然后单击"MyOtherGPO"。
- 右键单击"MyOtherGPO",指向"差异",然后单击"HTML 报告"。
2、比较 MyOtherGPO 和 MyTemplate:
- 在"受控"选项卡上,单击"MyOtherGPO"。
- 右键单击"MyOtherGPO",指向"差异",然后单击"模板"。
- 选择"MyTemplate"和"HTML 报告",然后单击"确定"。
第 5 步:删除和还原 GPO
在此步骤中,您作为审批者删除 GPO。
删除 GPO
1、在安装了 AGPM 客户端的计算机上,使用分配了审批者角色的用户帐户登录。
2、在"组策略管理控制台"树中,单击要在其中管理 GPO 的林和域中的"更改控制"。
3、在"内容"选项卡上,单击"受控"选项卡以显示受控 GPO。
4、右键单击 MyGPO,然后单击"删除"。单击"从存档和生产中删除 GPO"以删除存档中的版本和已在生产环境中部署的 GPO 版本。
5、键入将在 GPO 审核跟踪中显示的注释,然后单击"确定"。
6、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。GPO 即从"受控"选项卡上删除,并在"回收站"选项卡上显示,从该选项卡中可将 GPO 还原或破坏。
有时,您可能会在删除后发现仍需要相应 GPO。在此步骤中,您可以作为审批者还原已删除的 GPO。
还原已删除的 GPO
1、在"内容"选项卡上,单击"回收站"选项卡以显示已删除的 GPO。
2、右键单击"MyGPO",然后单击"还原"。
3、键入将在 GPO 的历史记录中显示的注释,然后单击"确定"。
4、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。GPO 即从"回收站"选项卡中删除,并在"受控"选项卡上显示。
回滚到 GPO 的早期版本
1、在"内容"选项卡上,单击"受控"选项卡以显示受控 GPO。
2、双击"MyGPO"以显示其历史记录。
3、右键单击要部署的版本,单击"部署",然后单击"是"。
4、当"AGPM 进度"窗口显示总体进度已完成时,单击"关闭"。在"历史记录"窗口中,单击"关闭"。
