Пошаговое руководство по средству расширенного управления групповыми политиками Майкрософт 4.0

  • Статья

В этом пошаговом руководстве демонстрируются расширенные методы управления групповыми политиками, использующие консоль управления групповыми политиками (GPMC) и расширенное управление групповыми политиками (Майкрософт) (AGPM). AGPM расширяет возможности GPMC, предоставляя следующие возможности:

  • Стандартные роли для делегирования разрешений на управление объектами групповой политики (GPO) нескольким администраторам групповой политики, а также возможность делегировать доступ к объектам групповой политики в рабочей среде.

  • Архив, позволяющий администраторам групповой политики создавать и изменять объекты групповой политики в автономном режиме перед развертыванием объектов групповой политики в рабочей среде.

  • Возможность отката до любой более ранней версии объекта групповой политики в архиве и ограничения количества версий, хранящихся в архиве.

  • Возможность регистрации и возврата для объектов групповой политики, чтобы администраторы групповой политики не случайно перезаписывали работу друг друга.

  • Возможность поиска объектов групповой политики с определенными атрибутами и фильтрации списка отображаемых объектов групповой политики.

Обзор сценария AGPM

В этом сценарии вы будете использовать отдельную учетную запись пользователя для каждой роли в AGPM, чтобы продемонстрировать, как можно управлять групповой политикой в среде с несколькими администраторами групповой политики с разными уровнями разрешений. В частности, вы будете выполнять следующие задачи:

  • С помощью учетной записи, которая входит в группу администраторов домена, установите сервер AGPM и назначьте роль администратора AGPM учетной записи или группе.

  • С помощью учетных записей, которым вы будете назначать роли AGPM, установите клиент AGPM.

  • С помощью учетной записи с ролью администратора AGPM настройте AGPM и делегируйте доступ к объектам групповой политики, назначив роли другим учетным записям.

  • Из учетной записи с ролью редактора запросите создание нового объекта групповой политики, который затем утверждается с помощью учетной записи с ролью утверждающего. Используйте учетную запись редактора, чтобы проверить объект групповой политики из архива, изменить объект групповой политики, проверить объект групповой политики в архиве, а затем запросить развертывание.

  • С помощью учетной записи с ролью утверждающего просмотрите объект групповой политики и разверните его в рабочей среде.

  • С помощью учетной записи с ролью редактора создайте шаблон объекта групповой политики и используйте его в качестве отправной точки для создания нового объекта групповой политики.

  • С помощью учетной записи с ролью утверждающего удалите и восстановите объект групповой политики.

процесс разработки объекта групповой политики.

Требования к серверу AGPM

ДЛЯ AGPM Server 4.0 требуется Windows Server 2012 или Windows 10 и более поздней версии, а также контроллер управления групповыми политиками из средств удаленного администрирования сервера (RSAT). Поддерживаются как 32-разрядные, так и 64-разрядные версии.

Перед установкой сервера AGPM необходимо быть членом группы "Администраторы домена", и в ней должны присутствовать следующие компоненты Windows, если не указано иное:

  • GPMC

    • Windows Server 2012 или более поздней версии. Если контроллер групповой политики отсутствует, он автоматически устанавливается AGPM.

    • Windows 10 или более поздней версии. Перед установкой AGPM необходимо установить GPMC из RSAT. Дополнительные сведения см. в статье Средства удаленного администрирования сервера (RSAT) для Windows.

Следующие компоненты Windows требуются для сервера AGPM и будут автоматически установлены, если они отсутствуют:

  • Активация WCF; Активация, не относясь к HTTP

  • Служба активации процессов Windows

    • Модель процесса

    • Среда .NET

    • API-интерфейсы конфигурации

Требования к клиенту AGPM

Для клиента AGPM 4.0 требуется Windows Server 2012 или Windows 10 и более поздней версии, а также контроллер управления групповыми политиками из RSAT. Поддерживаются как 32-разрядные, так и 64-разрядные версии. Клиент AGPM можно установить на компьютере с сервером AGPM.

Следующие компоненты Windows требуются клиенту AGPM и, если не указано иное, автоматически устанавливаются, если они отсутствуют:

  • GPMC

    • Windows Server 2012 и более поздней версии: если контроллер групповой политики отсутствует, он автоматически устанавливается AGPM.

    • Windows 10 и более поздней версии. Перед установкой AGPM необходимо установить GPMC из RSAT. Дополнительные сведения см. в статье Средства удаленного администрирования сервера (RSAT) для Windows.

Требования к сценарию

Прежде чем приступить к этому сценарию, создайте четыре учетные записи пользователей. В этом сценарии вы назначите одну из следующих ролей AGPM каждой из этих учетных записей: администратор AGPM (полный доступ), утверждающий, редактор и рецензент. Эти учетные записи должны иметь возможность отправлять и получать сообщения электронной почты. Назначьте разрешения на связывание объектов групповой политики учетным записям, имеющим роли администратора AGPM, утверждающего и (при необходимости) редактора.

Примечание.

Разрешение на связывание объектов групповой политики назначается членам администраторов домена и администраторов предприятия по умолчанию. Чтобы назначить разрешение на связывание объектов групповой политики дополнительным пользователям или группам (например, учетным записям с ролями администратора ИЛИ утверждающего), выберите узел для домена, а затем перейдите на вкладку Делегирование , щелкните Связать объекты групповой политики, выберите Добавить и выберите пользователей или группы, которым требуется назначить разрешение.

Действия по установке и настройке AGPM

Чтобы установить и настроить AGPM, необходимо выполнить следующие действия.

Шаг 1. Установка сервера AGPM

Шаг 2. Установка клиента AGPM

Шаг 3. Настройка подключения к серверу AGPM

Шаг 4. Настройка уведомлений по электронной почте

Шаг 5. Делегирование доступа

Шаг 1. Установка сервера AGPM

На этом шаге вы установите сервер AGPM на рядовом сервере или контроллере домена, на который будет запущена служба AGPM, и настроите архив. Все операции AGPM управляются с помощью этой службы Windows и выполняются с учетными данными службы. Архив, управляемый сервером AGPM, может размещаться на этом сервере или на другом сервере в том же лесу.

Установка сервера AGPM на компьютере, на котором будет размещена служба AGPM

  1. Войдите с учетной записью, которая является членом группы "Администраторы домена".

  2. Запустите компакт-диск microsoft Desktop Optimization Pack и следуйте инструкциям на экране, чтобы выбрать Дополнительное управление групповыми политиками — Сервер.

  3. В диалоговом окне Приветствие нажмите кнопку Далее.

  4. В диалоговом окне Условия лицензионного соглашения на использование программного обеспечения Майкрософт примите условия и нажмите кнопку Далее.

  5. В диалоговом окне Путь к приложению выберите расположение для установки сервера AGPM. На компьютере, на котором установлен сервер AGPM Server, будет размещена служба AGPM и будет управлять архивом. Выберите Далее.

  6. В диалоговом окне Путь к архиву выберите расположение архива по отношению к серверу AGPM. Путь к архиву может указывать на папку на сервере AGPM или в другом месте. Однако следует выбрать расположение с достаточным пространством для хранения всех объектов групповой политики и данных журнала, управляемых этим сервером AGPM. Выберите Далее.

  7. В диалоговом окне Учетная запись службы AGPM выберите учетную запись службы, в которой выполняется служба AGPM, а затем нажмите кнопку Далее.

    Эта учетная запись должна быть членом группы администраторов домена или для конфигурации с наименьшими привилегиями в каждом домене, управляемом сервером AGPM:

    • Владельцы и создатели групповой политики

    • Операторы архива

    Эта учетная запись должна быть членом локальной группы администраторов на серверном компьютере AGPM. Это необходимо для успешной обработки

    Кроме того, для этой учетной записи требуется разрешение на полный доступ для следующих папок:

    • Архивная папка AGPM, для которой это разрешение автоматически предоставляется во время установки сервера AGPM, если он установлен на локальном диске.

    • Локальная системная временная папка, обычно %windir%\temp.

  8. В диалоговом окне Владелец архива выберите учетную запись или группу, которым назначается роль администратора AGPM (полный доступ). Администраторы AGPM могут назначать роли и разрешения AGPM другим администраторам групповой политики, чтобы позже можно было назначить роль администратора AGPM дополнительным администраторам групповой политики. В этом сценарии выберите учетную запись, которая будет использоваться в роли администратора AGPM. Выберите Далее.

  9. В диалоговом окне Конфигурация порта введите порт, по которому служба AGPM должна прослушивать. Не снимите флажок Добавить исключение порта в брандмауэр , если вы не настраиваете исключения портов вручную или не используете правила для настройки исключений портов. Выберите Далее.

  10. В диалоговом окне Языки выберите один или несколько языков интерфейса для установки для сервера AGPM.

  11. Нажмите кнопку Установить, а затем нажмите кнопку Готово , чтобы выйти из мастера установки.

    Осторожность Не изменяйте параметры службы AGPM с помощью средств администрирования и служб в операционной системе. Это может помешать запуску службы AGPM. Сведения об изменении параметров службы см. в разделе Справка по расширенному управлению групповыми политиками.

Шаг 2. Установка клиента AGPM

Каждый администратор групповой политики ( любой пользователь, который создает, изменяет, развертывает, проверяет или удаляет объекты групповой политики) должен иметь клиент AGPM, установленный на компьютерах, которые они используют для управления GPO. Узел Управление изменениями, который используется для выполнения многих задач управления GPO, отображается в консоли управления групповыми политиками только при установке клиента AGPM. В этом сценарии клиент AGPM устанавливается по крайней мере на одном компьютере. Вам не нужно устанавливать клиент AGPM на компьютерах конечных пользователей, которые не выполняют администрирование групповой политики.

Установка клиента AGPM на компьютере администратора групповой политики

  1. Запустите компакт-диск microsoft Desktop Optimization Pack и следуйте инструкциям на экране, чтобы выбрать Дополнительное управление групповыми политиками — клиент.

  2. В диалоговом окне Приветствие нажмите кнопку Далее.

  3. В диалоговом окне Условия лицензионного соглашения на использование программного обеспечения Майкрософт примите условия и нажмите кнопку Далее.

  4. В диалоговом окне Путь к приложению выберите расположение для установки клиента AGPM. Выберите Далее.

  5. В диалоговом окне Сервер AGPM введите DNS-имя или IP-адрес сервера AGPM и порт, к которому требуется подключиться. Порт по умолчанию для службы AGPM — 4600. Не снимите флажок Разрешить консоль управления Майкрософт через брандмауэр , если вы не настраиваете исключения портов вручную или не используете правила для настройки исключений портов. Выберите Далее.

  6. В диалоговом окне Языки выберите один или несколько языков интерфейса для установки для клиента AGPM.

  7. Нажмите кнопку Установить, а затем нажмите кнопку Готово , чтобы выйти из мастера установки.

Шаг 3. Настройка подключения к серверу AGPM

AGPM хранит все версии каждого управляемого объекта групповой политики (GPO), то есть каждого объекта групповой политики, для которого AGPM предоставляет управление изменениями, в центральном архиве. Это позволяет администраторам групповой политики просматривать и изменять объекты групповой политики в автономном режиме, не затрагивая развернутую версию каждого объекта групповой политики.

На этом шаге вы настроите подключение к серверу AGPM и убедитесь, что все администраторы групповой политики подключаются к одному серверу AGPM. (Сведения о настройке нескольких серверов AGPM см. в разделе Справка по расширенному управлению групповыми политиками.)

Настройка подключения к серверу AGPM для всех администраторов групповой политики

  1. На компьютере, на котором установлен клиент AGPM, войдите с учетной записью пользователя, выбранной в качестве владельца архива. Этот пользователь имеет роль администратора AGPM (полный доступ).

  2. Нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем выберите Управление групповыми политиками , чтобы открыть консоль управления групповыми политиками.

  3. Измените объект групповой политики, применяемый ко всем администраторам групповой политики.

  4. В окне редактора управления групповыми политиками дважды выберите Конфигурация пользователя, Политики, Административные шаблоны, Компоненты Windows и AGPM.

  5. В области сведений дважды выберите AGPM: укажите сервер AGPM по умолчанию (все домены).

  6. В окне Свойства выберите Включено и введите DNS-имя или IP-адрес и порт (например, server.contoso.com:4600) для сервера, на котором размещен архив. По умолчанию служба AGPM использует порт 4600.

  7. Нажмите кнопку ОК, а затем закройте окно Редактор управления групповыми политиками . При обновлении групповой политики подключение сервера AGPM настраивается для каждого администратора групповой политики.

Шаг 4. Настройка уведомлений по электронной почте

Администратор AGPM (полный доступ) назначает адреса электронной почты утверждающих и администраторов AGPM, которым отправляется сообщение электронной почты с запросом, когда редактор пытается создать, развернуть или удалить объект групповой политики. Вы также определяете псевдоним, с которого отправляются эти сообщения.

Настройка уведомлений по электронной почте для AGPM

  1. В редакторе управления групповыми политиками перейдите в папку Управление изменениями .

  2. В области сведений выберите вкладку Делегирование домена .

  3. В поле От адреса электронной почты введите псевдоним электронной почты для AGPM, из которого должны отправляться уведомления.

  4. В поле Кому адрес электронной почты введите адрес электронной почты для учетной записи пользователя, которой планируется назначить роль утверждающего.

  5. В поле SMTP-сервер введите допустимый почтовый сервер SMTP.

  6. В полях Имя пользователя и Пароль введите учетные данные пользователя, имеющего доступ к службе SMTP. Выберите Применить.

Шаг 5. Делегирование доступа

Как администратор AGPM (полный доступ) вы делегируйте доступ на уровне домена к объектам групповой политики, назначая роли учетной записи каждого администратора групповой политики.

Примечание.

Вы также можете делегировать доступ на уровне объекта групповой политики, а не на уровне домена. Дополнительные сведения см. в разделе Справка по расширенному управлению групповыми политиками.

Важно.

Следует ограничить членство в группе владельцев создателей групповой политики, чтобы ее нельзя было использовать для обхода управления доступом к объектам групповой политики AGPM. (В консоли управления групповыми политиками выберите Объекты групповой политики в лесу и домене, в котором вы хотите управлять объектами групповой политики, выберите Делегирование, а затем настройте параметры в соответствии с потребностями вашей организации.)

Делегирование доступа ко всем GPO в домене

  1. На вкладке Делегирование домена нажмите кнопку Добавить , выберите учетную запись администратора групповой политики в качестве утверждающего, а затем нажмите кнопку ОК.

  2. В диалоговом окне Добавление группы или пользователя выберите роль Утверждающий , чтобы назначить эту роль учетной записи, а затем нажмите кнопку ОК. (Эта роль включает роль рецензента.)

  3. Нажмите кнопку Добавить , выберите учетную запись администратора групповой политики, которая будет использоваться в качестве редактора, а затем нажмите кнопку ОК.

  4. В диалоговом окне Добавление группы или пользователя выберите роль Редактор , чтобы назначить эту роль учетной записи, а затем нажмите кнопку ОК. (Эта роль включает роль рецензента.)

  5. Нажмите кнопку Добавить , выберите учетную запись администратора групповой политики, которая будет выступать в качестве рецензента, а затем нажмите кнопку ОК.

  6. В диалоговом окне Добавление группы или пользователя выберите роль Рецензент , чтобы назначить учетной записи только эту роль.

Действия по управлению объекты групповой политики

Чтобы создать, изменить, проверить и развернуть объекты групповой политики с помощью AGPM, необходимо выполнить следующие действия. Кроме того, вы создадите шаблон, удалите объект групповой политики и восстановите удаленный объект групповой политики.

Шаг 1. Создание объекта групповой политики

Шаг 2. Изменение объекта групповой политики

Шаг 3. Проверка и развертывание объекта групповой политики

Шаг 4. Создание объекта групповой политики с помощью шаблона

Шаг 5. Удаление и восстановление объекта групповой политики

Шаг 1. Создание объекта групповой политики

В среде с несколькими администраторами групповой политики пользователи с ролью редактора могут запросить создание новых объектов групповой политики. Однако этот запрос должен быть утвержден кем-то с ролью утверждающего.

На этом шаге вы используете учетную запись с ролью редактора, чтобы запросить создание нового объекта групповой политики. Используя учетную запись с ролью утверждающего, вы утверждаете этот запрос для создания объекта групповой политики.

Запрос создания нового объекта групповой политики и управления ими с помощью AGPM

  1. На компьютере, на котором установлен клиент AGPM, войдите с учетной записью пользователя, которой назначена роль редактора в AGPM.

  2. В дереве консоли управления групповыми политиками выберите Элемент управления изменениями в лесу и домене, в котором вы хотите управлять GPO.

  3. Щелкните правой кнопкой мыши узел Управление изменениями и выберите Создать управляемый объект групповой политики.

  4. В диалоговом окне Создание управляемого объекта групповой политики выполните следующие действия:

    1. Чтобы получить копию запроса, введите адрес электронной почты в поле Копия .

    2. Введите MyGPO в качестве имени нового объекта групповой политики.

    3. Введите комментарий для нового объекта групповой политики.

    4. Выберите Создать в режиме реального времени, чтобы новый объект групповой политики был развернут в рабочей среде сразу после утверждения. Выберите Отправить.

  5. Когда в окне Ход выполнения AGPM будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. Новый объект групповой политики отображается на вкладке Ожидание .

Утверждение ожидающего запроса на создание объекта групповой политики

  1. На компьютере, на котором установлен клиент AGPM, войдите с учетной записью пользователя с ролью утверждающего в AGPM.

  2. Откройте папку "Входящие" для учетной записи и обратите внимание, что вы получили сообщение электронной почты от псевдонима AGPM с запросом редактора на создание объекта групповой политики.

  3. В дереве консоли управления групповыми политиками выберите Элемент управления изменениями в лесу и домене, в котором вы хотите управлять GPO.

  4. На вкладке Содержимое выберите вкладку Ожидание , чтобы отобразить ожидающие объекты групповой политики.

  5. Щелкните правой кнопкой мыши MyGPO и выберите Утвердить.

  6. Выберите Да , чтобы подтвердить утверждение и переместите объект групповой политики на вкладку Контролируемый .

Шаг 2. Изменение объекта групповой политики

Вы можете использовать объекты групповой политики для настройки параметров компьютера или пользователя и их развертывания на многих компьютерах или пользователях. На этом шаге вы используете учетную запись с ролью редактора, чтобы извлечь объект групповой политики из архива, изменить объект групповой политики в автономном режиме, проверить измененный объект групповой политики в архиве и запросить развертывание объекта групповой политики в рабочей среде. В этом сценарии вы настраиваете параметр в объекте групповой политики, чтобы пароль был длиной не менее восьми символов.

Проверка объекта групповой политики из архива для редактирования

  1. На компьютере, на котором установлен клиент AGPM, войдите с учетной записью пользователя с ролью редактора в AGPM.

  2. В дереве консоли управления групповыми политиками выберите Элемент управления изменениями в лесу и домене, в котором вы хотите управлять GPO.

  3. На вкладке Содержимое в области сведений выберите вкладку Контролируемые , чтобы отобразить управляемые объекты групповой политики.

  4. Щелкните правой кнопкой мыши MyGPO, а затем выберите Извлечь.

  5. Введите комментарий, который будет отображаться в журнале объекта групповой политики при извлечении, а затем нажмите кнопку ОК.

  6. Когда в окне Ход выполнения AGPM будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. На вкладке Контролируемое состояние объекта групповой политики определяется как Извлечено.

Изменение объекта групповой политики в автономном режиме и настройка минимальной длины пароля

  1. На вкладке Контролируемый щелкните правой кнопкой мыши MyGPO, а затем выберите Изменить , чтобы открыть окно редактора управления групповыми политиками и изменить автономную копию объекта групповой политики. В этом сценарии настройте минимальную длину пароля:

    1. В разделе Конфигурация компьютера дважды выберите Политики, Параметры Windows, Параметры безопасности, Политики учетных записей и Политика паролей.

    2. В области сведений дважды выберите Минимальная длина пароля.

    3. В окне свойств установите флажок Определить этот параметр политики , задайте для количества символов значение 8, а затем нажмите кнопку ОК.

  2. Закройте окно редактора управления групповыми политиками .

Проверка объекта групповой политики в архиве

  1. На вкладке Контролируемый щелкните правой кнопкой мыши MyGPO , а затем выберите Пункт Проверить.

  2. Введите комментарий и нажмите кнопку ОК.

  3. Когда в окне Ход выполнения AGPM будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. На вкладке Контролируемое состояние объекта групповой политики определяется как возвращенное.

Запрос развертывания объекта групповой политики в рабочей среде

  1. На вкладке Контролируемые щелкните правой кнопкой мыши MyGPO , а затем выберите Развернуть.

  2. Так как эта учетная запись не является утверждающий или администратор AGPM, необходимо отправить запрос на развертывание. Чтобы получить копию запроса, введите адрес электронной почты в поле Копия . Введите комментарий, который будет отображаться в журнале объекта групповой политики, а затем нажмите кнопку Отправить.

  3. Когда в окне Ход выполнения AGPM будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. MyGPO отображается в списке объектов групповой политики на вкладке Ожидание .

Шаг 3. Проверка и развертывание объекта групповой политики

На этом шаге вы будете выступать в качестве утверждающего, создавая отчеты и анализируя параметры и изменения параметров в объекте групповой политики, чтобы определить, следует ли их утвердить. После оценки объекта групповой политики вы развертываете его в рабочей среде и связываете объект групповой политики с доменом или подразделением. Объект групповой политики вступает в силу при обновлении групповой политики для компьютеров в этом домене или подразделении.

Просмотр параметров в объекте групповой политики

  1. На компьютере, на котором установлен клиент AGPM, войдите с учетной записью пользователя, которой назначена роль утверждающего в AGPM. Любой администратор групповой политики с ролью рецензент, которая входит во все остальные роли, может просматривать параметры объекта групповой политики.

  2. Откройте папку "Входящие" для учетной записи и обратите внимание, что вы получили сообщение электронной почты от псевдонима AGPM с запросом редактора на развертывание объекта групповой политики.

  3. В дереве консоли управления групповыми политиками выберите Элемент управления изменениями в лесу и домене, в котором вы хотите управлять GPO.

  4. На вкладке Содержимое в области сведений выберите вкладку Ожидание .

  5. Дважды выберите MyGPO , чтобы отобразить журнал.

  6. Просмотрите параметры в последней версии MyGPO:

    1. В окне Журнал выберите правой кнопкой мыши версию объекта групповой политики с самой последней меткой времени, выберите Параметры, а затем выберите HTML-отчет , чтобы отобразить сводку параметров объекта групповой политики.

    2. В веб-браузере выберите показать все , чтобы отобразить все параметры в объекте групповой политики. Закройте браузер.

  7. Сравните последнюю версию MyGPO с первой версией, возвращенной в архив:

    1. В окне Журнал выберите версию объекта групповой политики с последней меткой времени. Нажмите клавишу CTRL и выберите старую версию объекта групповой политики, для которой версия компьютера не \является *.

    2. Нажмите кнопку Различия . Раздел Политики учетных записей и политика паролей выделен зеленым цветом и предшествует [+]. Это означает, что параметр настроен только в последней версии объекта групповой политики.

    3. Выберите Политики учетных записей и политика паролей. Параметр Минимальная длина пароля также выделен зеленым цветом и предшествует [+], что указывает, что он настроен только в последней версии объекта групповой политики.

    4. Закройте веб-браузер.

Развертывание объекта групповой политики в рабочей среде

  1. На вкладке Ожидание выберите правой кнопкой мыши MyGPO , а затем выберите Утвердить.

  2. Введите комментарий для включения в журнал объекта групповой политики.

  3. Выберите Да. Когда в окне Ход выполнения AGPM будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. Объект групповой политики развертывается в рабочей среде.

Связывание объекта групповой политики с доменом или подразделением

  1. В GPMC выберите правой кнопкой мыши домен или подразделение, к которому нужно применить настроенный объект групповой политики, а затем выберите Связать существующий объект групповой политики.

  2. В диалоговом окне Выбор объекта групповой политики выберите MyGPO, а затем нажмите кнопку ОК.

Шаг 4. Создание объекта групповой политики с помощью шаблона

На этом шаге для создания и использования шаблона используется учетная запись с ролью редактора. Этот шаблон представляет собой статическую версию объекта групповой политики для использования в качестве отправной точки для создания новых объектов групповой политики. Хотя вы не можете изменить шаблон, вы можете создать новый объект групповой политики на основе шаблона. Шаблоны полезны для быстрого создания нескольких объектов групповой политики, которые содержат многие из одинаковых параметров политики.

Создание шаблона на основе существующего объекта групповой политики

  1. На компьютере, на котором установлен клиент AGPM, войдите с учетной записью пользователя, которой назначена роль редактора в AGPM.

  2. В дереве консоли управления групповыми политиками выберите Элемент управления изменениями в лесу и домене, в котором вы хотите управлять GPO.

  3. На вкладке Содержимое в области сведений выберите вкладку Контролируемые .

  4. Щелкните правой кнопкой мыши MyGPO, а затем выберите Сохранить как шаблон , чтобы создать шаблон, включающий все параметры в myGPO.

  5. Введите MyTemplate в качестве имени шаблона и комментария, а затем нажмите кнопку ОК.

  6. Когда в окне Ход выполнения AGPM будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. Новый шаблон появится на вкладке Шаблоны .

Запрос создания нового объекта групповой политики и управления ими с помощью AGPM

  1. Перейдите на вкладку Контролируемые .

  2. Щелкните правой кнопкой мыши узел Управление изменениями и выберите Создать управляемый объект групповой политики.

  3. В диалоговом окне Создание управляемого объекта групповой политики выполните следующие действия:

    1. Чтобы получить копию запроса, введите адрес электронной почты в поле Копия .

    2. Введите MyOtherGPO в качестве имени нового объекта групповой политики.

    3. Введите комментарий для нового объекта групповой политики.

    4. Выберите Создать в режиме реального времени, чтобы новый объект групповой политики был развернут в рабочей среде сразу после утверждения.

    5. В поле Из шаблона объекта групповой политики выберите MyTemplate. Выберите Отправить.

  4. Когда в окне Ход выполнения AGPM будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. Новый объект групповой политики отображается на вкладке Ожидание .

Используйте учетную запись, которому назначена роль утверждающего, чтобы утвердить ожидающий запрос на создание объекта групповой политики, как это было выполнено в разделе Шаг 1. Создание объекта групповой политики. MyTemplate включает все параметры, настроенные в MyGPO. Так как MyOtherGPO был создан с помощью MyTemplate, он сначала содержит все параметры, которые myGPO содержали во время создания MyTemplate. Это можно подтвердить, создав отчет о различиях для сравнения MyOtherGPO с MyTemplate.

Проверка объекта групповой политики из архива для редактирования

  1. На компьютере, на котором установлен клиент AGPM, войдите с учетной записью пользователя, которой назначена роль редактора в AGPM.

  2. Щелкните правой кнопкой мыши MyOtherGPO, а затем выберите Извлечь.

  3. Введите комментарий, который будет отображаться в журнале объекта групповой политики при извлечении, а затем нажмите кнопку ОК.

  4. Когда в окне Ход выполнения AGPM будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. На вкладке Контролируемое состояние объекта групповой политики определяется как Извлечено.

Изменение объекта групповой политики в автономном режиме и настройка длительности блокировки учетной записи

  1. На вкладке Контролируемый щелкните правой кнопкой мыши MyOtherGPO, а затем выберите Изменить , чтобы открыть окно редактора управления групповыми политиками и изменить автономную копию объекта групповой политики. В этом сценарии настройте минимальную длину пароля:

    1. В разделе Конфигурация компьютера дважды выберите Политики, Параметры Windows, Параметры безопасности, Политики учетных записей и Политика блокировки учетных записей.

    2. В области сведений дважды выберите Длительность блокировки учетной записи.

    3. В окне свойств установите флажок Определить этот параметр политики, задайте для параметра длительность 30 минут и нажмите кнопку ОК.

  2. Закройте окно редактора управления групповыми политиками .

Проверьте MyOtherGPO в архиве и запросите развертывание, как это было для MyGPO в шаге 2. Изменение объекта групповой политики. С помощью отчетов о различиях можно сравнить MyOtherGPO с MyGPO или MyTemplate. Любая учетная запись, включающая роль рецензента (администратор AGPM [полный доступ], утверждающий, редактор или рецензент), может создавать отчеты.

Сравнение объекта групповой политики с другим объектом групповой политики и шаблоном

  1. Чтобы сравнить MyGPO и MyOtherGPO, выполните приведенные ниже действия.

    1. На вкладке Контролируемый выберите MyGPO. Нажмите клавишу CTRL и выберите MyOtherGPO.

    2. Щелкните правой кнопкой мыши MyOtherGPO, наведите указатель на пункт Различия, а затем выберите Отчет HTML.

  2. Чтобы сравнить MyOtherGPO и MyTemplate, выполните приведенные ниже действия.

    1. На вкладке Контролируемый выберите MyOtherGPO.

    2. Щелкните правой кнопкой мыши MyOtherGPO, наведите указатель на пункт Отличия, а затем выберите Шаблон.

    3. Выберите MyTemplate и HTML-отчет, а затем нажмите кнопку ОК.

Шаг 5. Удаление и восстановление объекта групповой политики

На этом шаге вы будете действовать как утверждающий, чтобы удалить объект групповой политики.

Удаление объекта групповой политики

  1. На компьютере, на котором установлен клиент AGPM, войдите с учетной записью пользователя, которой назначена роль утверждающего.

  2. В дереве консоли управления групповыми политиками выберите Элемент управления изменениями в лесу и домене, в котором вы хотите управлять GPO.

  3. На вкладке Содержимое выберите вкладку Контролируемые , чтобы отобразить управляемые объекты групповой политики.

  4. Щелкните правой кнопкой мыши MyGPO, а затем выберите Удалить. Выберите Удалить объект групповой политики из архива и рабочей среды , чтобы удалить версию в архиве и развернутую версию объекта групповой политики в рабочей среде.

  5. Введите комментарий, который будет отображаться в журнале аудита объекта групповой политики, а затем нажмите кнопку ОК.

  6. Когда в окне Ход выполнения AGPM будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. Объект групповой политики удаляется с вкладки Контролируемые и отображается на вкладке Корзина , где его можно восстановить или уничтожить.

Иногда после удаления объекта групповой политики вы можете обнаружить, что он по-прежнему необходим. На этом шаге вы будете выступать в качестве утверждающего для восстановления объекта групповой политики, который был удален.

Восстановление удаленного объекта групповой политики

  1. На вкладке Содержимое выберите вкладку Корзина , чтобы отобразить удаленные объекты групповой политики.

  2. Щелкните правой кнопкой мыши MyGPO, а затем выберите Восстановить.

  3. Введите комментарий, который будет отображаться в журнале объекта групповой политики, а затем нажмите кнопку ОК.

  4. Когда в окне Ход выполнения AGPM будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. Объект групповой политики удаляется из вкладки Корзина и отображается на вкладке Контролируемые .

    Примечание.

    Восстановление объекта групповой политики в архив не приводит к автоматическому повторному развертыванию в рабочей среде. Чтобы вернуть объект групповой политики в рабочую среду, разверните объект групповой политики, как описано в разделе Шаг 3. Проверка и развертывание объекта групповой политики.

После редактирования и развертывания объекта групповой политики вы можете обнаружить, что последние изменения в объекте групповой политики вызывают проблему. На этом шаге вы будете выступать в качестве утверждающего для отката к более ранней версии объекта групповой политики. Вы можете выполнить откат до любой версии в журнале объекта групповой политики. Вы можете использовать комментарии и метки для определения известных хороших версий и времени внесения определенных изменений.

Откат к более ранней версии объекта групповой политики

  1. На вкладке Содержимое выберите вкладку Контролируемые , чтобы отобразить управляемые объекты групповой политики.

  2. Дважды выберите MyGPO , чтобы отобразить журнал.

  3. Щелкните правой кнопкой мыши версию для развертывания, выберите Развернуть, а затем — Да.

  4. Когда в окне Ход выполнения будет указано, что общий ход выполнения завершен, нажмите кнопку Закрыть. В окне Журнал выберите Закрыть.

    Примечание.

    Чтобы убедиться, что версия, которая была повторно развернута, соответствует предполагаемой версии, изучите отчет о различиях для двух версий. В окне Журнал объекта групповой политики выберите две версии, щелкните их правой кнопкой мыши, наведите указатель на пункт Разница, а затем выберите отчет HTML или XML-отчет.