Compartilhar via

Guia passo a passo do Gerenciamento Avançado de Política de Grupo 2.5 da Microsoft

  • Artigo

Este guia passo a passo demonstra técnicas avançadas para o gerenciamento de Política de Grupo usando o CONSOLE de Gerenciamento do Política de Grupo (GPMC) e o AGPM (Microsoft Advanced Política de Grupo Management). O AGPM aumenta os recursos do GPMC, fornecendo:

  • Funções padrão para delegar permissões para gerenciar Política de Grupo (GPOs) para vários Política de Grupo administradores.

  • Um arquivo morto para permitir Política de Grupo administradores criem e modifiquem GPOs offline antes de implantá-los em um ambiente de produção.

  • A capacidade de reverter para qualquer versão anterior de um GPO.

  • Funcionalidade de check-in/check-out para GPOs para garantir que Política de Grupo administradores não substituam inadvertidamente o trabalho uns dos outros.

Visão geral do cenário do AGPM

Para esse cenário, você usará uma conta de usuário separada para cada função no AGPM para demonstrar como o Política de Grupo pode ser gerenciado em um ambiente com vários administradores de Política de Grupo que têm diferentes níveis de permissões. Especificamente, você executará as seguintes tarefas:

  • Usando uma conta que seja membro do grupo Administradores de Domínio, instale o Servidor AGPM e atribua a função de Administrador do AGPM a uma conta ou grupo.

  • Usando contas às quais você atribuirá funções do AGPM, instale o Cliente AGPM.

  • Usando uma conta com a função de Administrador do AGPM, configure o AGPM e delegue o acesso aos GPOs atribuindo funções a outras contas.

  • Usando uma conta com a função Editor, solicite a criação de um GPO, que você aprovará usando uma conta com a função Aprovador. Com a conta do Editor, verifique o GPO fora do arquivo morto, edite o GPO, verifique o GPO no arquivo morto e solicite a implantação.

  • Usando uma conta com a função Aprovador, examine o GPO e implante-o em seu ambiente de produção.

  • Usando uma conta com a função Editor, crie um modelo de GPO e use-o como um ponto de partida para criar um novo GPO.

  • Usando uma conta com a função Aprovador, exclua e restaure um GPO.

processo de desenvolvimento de objeto de política de grupo.

Requisitos

Os computadores nos quais você deseja instalar o AGPM devem atender aos requisitos a seguir e você deve criar contas para uso neste cenário.

Requisitos do servidor AGPM

O AGPM Server 2.5 requer o Windows Vista® (versão de 32 bits) sem service packs instalados ou o Windows Server® 2003 (versão de 32 bits), bem como o GPMC. Além disso, você deve ser membro do grupo Administradores de Domínio para instalar o Servidor AGPM.

Você deve instalar o Servidor AGPM em um servidor membro ou controlador de domínio com a versão mais recente do GPMC disponível para você e compatível com o AGPM. O AGPM usa o GPMC para fazer backup e restaurar GPOs e versões mais recentes do GPMC fornecem configurações de política adicionais não disponíveis nas versões anteriores. Se a versão do GPMC no servidor AGPM for mais antiga do que a versão nos computadores que os administradores usam para gerenciar o Política de Grupo, o servidor AGPM não poderá armazenar essas configurações de política não disponíveis na versão mais antiga do GPMC.

Especificamente, se o servidor AGPM estiver executando o Windows Server 2003 e a versão do GPMC que o acompanhou, e os computadores dos administradores do Política de Grupo estão executando o Windows Vista e a versão do GPMC que o acompanha, você ainda poderá gerenciar a maioria das configurações de política. No entanto, as configurações de política do GPMC no Windows Vista que não estão disponíveis no GPMC no Windows Server 2003, como aquelas relacionadas ao redirecionamento de pasta, rede sem fio (IEEE 802.11) e impressoras implantadas, não podem ser armazenadas pelo Servidor AGPM, mesmo que os administradores possam configurá-las usando o AGPM em seus computadores.

Se você precisar instalar o Servidor AGPM em um computador com uma versão mais antiga do GPMC do que os administradores do Política de Grupo em execução, consulte a Referência de Configurações do Política de Grupo para obter detalhes sobre quais configurações de política estão disponíveis com quais sistemas operacionais. Para baixar a referência Política de Grupo configurações, consulte https://go.microsoft.com/fwlink/?LinkID=106147.

Nota Os arquivos não podem ser migrados de um Servidor AGPM ou de um Servidor GPOVault executando o Windows Server 2003 para um Servidor AGPM executando o Windows Vista.

Para o Windows Server 2003, se o SERVIDOR GPOVault estiver instalado no computador no qual você deseja instalar o Servidor AGPM, é recomendável que você não desinstale o SERVIDOR GPOVault antes de iniciar a instalação. A instalação do Servidor AGPM desinstalará o Servidor GPOVault e transferirá automaticamente os dados de arquivo morto do GPOVault existentes para um arquivo morto do AGPM.

Requisitos do cliente AGPM

O AgPM Client 2.5 requer o Windows Vista (versão de 32 bits) sem service packs instalados ou o Windows Server 2003 (versão de 32 bits), bem como o GPMC. O Cliente AGPM pode ser instalado em um computador que executa o Servidor AGPM.

Requisitos de cenário

Antes de começar esse cenário, crie quatro contas de usuário. Durante o cenário, você atribuirá uma das seguintes funções do AGPM a cada uma dessas contas: Administrador do AGPM (Controle Total), Aprovador, Editor e Revistor. Essas contas devem ser capazes de enviar e receber mensagens de email. Atribua permissão de VINCULAR GPOs às contas com as funções de Administrador, Aprovador e Editor do AGPM (opcionalmente).

Observeque a permissão de VINCULAR GPOs é atribuída a membros de Administradores de Domínio e Administradores Corporativos por padrão. Para atribuir permissão de Vincular GPOs a usuários ou grupos adicionais (como contas com as funções de Administrador ou Aprovador do AGPM), clique no nó do domínio e clique na guia Delegação, selecione Vincular GPOs, clique em Adicionar e selecione usuários ou grupos aos quais atribuir a permissão.

Para esse cenário, você executa ações com contas diferentes. Você pode fazer logon com cada conta, conforme indicado, ou pode usar o comando Executar como para iniciar o GPMC com a conta indicada.

Nota Para usar o comando Executar como com o GPMC no Windows Server 2003, clique em Iniciar, aponte para Ferramentas Administrativas, clique com o botão direito do mouse em Política de Grupo Gerenciamento e clique em Executar como. Clique no usuário a seguir e insira as credenciais de uma conta.

Para usar o comando Executar como com GPMC no Windows Vista, clique no botão Iniciar, aponte para Executar e digite runas /user:DomainName\UserName"mmc %windir%\system32\gpmc.msc" e clique em OK. Digite a senha da conta quando solicitado.

Etapas para instalar e configurar o AGPM

Você deve concluir as etapas a seguir para instalar e configurar o AGPM.

Etapa 1: Instalar o servidor AGPM

Etapa 2: Instalar o cliente AGPM

Etapa 3: Configurar uma conexão do Servidor AGPM

Etapa 4: Configurar a notificação por email

Etapa 5: Delegar acesso

Etapa 1: Instalar o servidor AGPM

Nesta etapa, você instalará o Servidor AGPM no servidor membro ou controlador de domínio que executará o Serviço AGPM e configurará o arquivo morto. Todas as operações do AGPM são gerenciadas por meio desse serviço Windows e executadas com as credenciais do serviço. O arquivo morto gerenciado por um servidor AGPM pode ser hospedado nesse servidor ou em outro servidor na mesma floresta.

Para instalar o Servidor AGPM no computador que hospedará o Serviço AGPM

  1. Faça logon com uma conta que seja membro do grupo Administradores de Domínio.

  2. Inicie o CD do Pacote de Otimização da Área de Trabalho da Microsoft e siga as instruções na tela para selecionar Gerenciamento avançado de Política de Grupo – Servidor.

  3. Na caixa de diálogo De boas-vindas, clique em Avançar.

  4. Na caixa de diálogo Termos de Licença de Software microsoft, aceite os termos e clique em Avançar.

  5. Na caixa de diálogo Caminho do Aplicativo, selecione um local no qual instalar o Servidor AGPM. O computador no qual o Servidor AGPM está instalado hospedará o Serviço AGPM e gerenciará o arquivo morto. Clique em Avançar.

  6. Na caixa de diálogo Caminho de Arquivo Morto, selecione um local para o arquivo morto relativo ao Servidor AGPM. O caminho do arquivo morto pode apontar para uma pasta no Servidor AGPM ou em outro lugar, mas você deve selecionar um local com espaço suficiente para armazenar todos os GPOs e dados de histórico gerenciados por este Servidor AGPM. Clique em Avançar.

  7. Na caixa de diálogo Conta de Serviço do AGPM , selecione uma conta de serviço na qual o Serviço agpm será executado e clique em Avançar.

  8. Na caixa de diálogo Proprietário do Arquivo Morto, selecione uma conta ou grupo ao qual atribuir inicialmente a função de Administrador do AGPM (Controle Total). Esse Administrador do AGPM pode atribuir funções e permissões do AGPM a outros Política de Grupo administradores (incluindo a função de Administrador do AGPM). Para esse cenário, selecione a conta a ser usada na função de Administrador do AGPM. Clique em Avançar.

  9. Clique em Instalar e em Concluir para sair do Assistente de Instalação.

    Cuidado Não modifique as configurações do Serviço AGPM por meio de Ferramentas Administrativase Serviços no sistema operacional. Isso pode impedir que o Serviço AGPM seja iniciado. Para obter informações sobre como modificar as configurações do serviço, consulte a Ajuda para Gerenciamento de Política de Grupo Avançado.

Etapa 2: Instalar o cliente AGPM

Cada Política de Grupo administrador — qualquer pessoa que cria, edita, implanta, revisa ou exclui GPOs — deve ter o Cliente AGPM instalado nos computadores que eles usam para gerenciar GPOs. Para esse cenário, instale o Cliente AGPM em pelo menos um computador. Você não precisa instalar o Cliente AGPM nos computadores dos usuários finais que não executam Política de Grupo administração.

Para instalar o Cliente AGPM no computador de um Política de Grupo administrador

  1. Inicie o CD do Pacote de Otimização da Área de Trabalho da Microsoft e siga as instruções na tela para selecionar Gerenciamento avançado de Política de Grupo – Cliente.

  2. Na caixa de diálogo De boas-vindas, clique em Avançar.

  3. Na caixa de diálogo Termos de Licença de Software microsoft, aceite os termos e clique em Avançar.

  4. Na caixa de diálogo Caminho do Aplicativo, selecione um local no qual instalar o Cliente AGPM. Clique em Avançar.

  5. Na caixa de diálogo Servidor AGPM , digite o nome do computador totalmente qualificado e a porta para o Servidor AGPM ao qual se conectar. A porta padrão para o Serviço AGPM é 4600. Clique em Avançar.

  6. Clique em Instalar e em Concluir para sair do Assistente de Instalação.

Etapa 3: Configurar uma conexão do Servidor AGPM

O AGPM armazena todas as versões de cada GPO (objeto de Política de Grupo) controlado — um GPO para o qual o AGPM fornece controle de alteração — em um arquivo morto central, para que os administradores do Política de Grupo possam exibir e modificar GPOs offline sem afetar imediatamente a versão implantada de cada GPO.

Nesta etapa, você configura uma conexão do Servidor AGPM e garante que todos os Política de Grupo se conectem ao mesmo Servidor AGPM. (Para obter informações sobre como configurar vários servidores AGPM, consulte a Ajuda para o Gerenciamento de Política de Grupo Avançado.)

Para configurar uma conexão do Servidor AGPM para todos os Política de Grupo administradores

  1. Em um computador no qual você instalou o Cliente AGPM, faça logon com a conta de usuário selecionada como o Proprietário do Arquivo Morto. Esse usuário tem a função de Administrador do AGPM (Controle Total).

  2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique Política de Grupo Gerenciamento para abrir o GPMC (Console de Gerenciamento Política de Grupo).

  3. Na árvore Política de Grupo console de gerenciamento, edite um GPO aplicado a todos os Política de Grupo administradores.

  4. Na janela Política de Grupo Editor de Objetos, clique em Configuração do Usuário, Modelos Administrativos e Componentesdo Windows.

  5. Se o AGPM não estiver listado em Componentes do Windows:

    1. Clique com o botão direito do mouse em Modelos Administrativose selecione Adicionar/Remover Modelos.

    2. Clique em Adicionar, selecione agpm.admx ou agpm.adm, clique em Abrir e, em seguida, clique em Fechar.

  6. Em Componentes do Windows, clique duas vezes em AGPM.

  7. No painel de detalhes, clique duas vezes no Servidor AGPM (todos os domínios).

  8. Na janela Propriedades do Servidor AGPM (todos os domínios), selecione Habilitado e digite o nome do computador totalmente qualificado e a porta (por exemplo, server.contoso.com:4600) para o servidor que hospeda o arquivo morto. A porta usada pelo Serviço AGPM é a porta 4600.

  9. Clique em OK e feche a janela Política de Grupo Editor de Objetos. Quando Política de Grupo é atualizada, a conexão do Servidor AGPM é configurada para cada Política de Grupo administrador.

Etapa 4: Configurar a notificação por email

Como administrador do AGPM (controle total), você designa os endereços de email de aprovadores e administradores do AGPM aos quais uma mensagem de email contendo uma solicitação é enviada quando um Editor tenta criar, implantar ou excluir um GPO. Você também determina o alias do qual essas mensagens são enviadas.

Para configurar a notificação por email para o AGPM

  1. Na árvore Política de Grupo Console de Gerenciamento, clique em Alterar Controle na floresta e no domínio no qual você deseja gerenciar GPOs.

  2. No painel de detalhes, clique na guia Delegação de Domínio.

  3. No campo De , digite o alias de email para o AGPM do qual as notificações devem ser enviadas.

  4. No campo Para , digite o endereço de email da conta de usuário à qual você pretende atribuir a função aprovador.

  5. No campo do servidor SMTP , digite um servidor de email SMTP válido.

  6. Nos campos Nome de usuárioe Senha, digite as credenciais de um usuário com acesso ao serviço SMTP.

  7. Clique em Aplicar.

Etapa 5: Delegar acesso

Como administrador do AGPM (controle total), você delega acesso em nível de domínio a GPOs, atribuindo funções à conta de cada Política de Grupo administrador.

Nota Você também pode delegar acesso no nível de GPO em vez do nível de domínio. Para obter detalhes, consulte Ajuda para Gerenciamento de Política de Grupo Avançado.

Importante Você deve restringir a associação ao grupo Política de Grupo Proprietários do Criador, portanto, ele não pode ser usado para burlar o gerenciamento do AGPM de acesso aos GPOs. (No Console de Gerenciamento do Política de Grupo, clique em objetos Política de Grupo na floresta e no domínio no qual você deseja gerenciar GPOs, clique em Delegação e defina as configurações para atender às necessidades da sua organização.)

Para delegar acesso a todos os GPOs em todo o domínio

  1. Na árvore Política de Grupo Console de Gerenciamento, clique em Alterar Controle na floresta e no domínio no qual você deseja gerenciar GPOs.

  2. Na guia Delegação de Domínio, clique no botão Avançado.

  3. Na caixa de diálogo Permissões :

    1. Clique na conta de usuário de um Política de Grupo e marque a caixa de seleção Aprovador para atribuir essa função à conta. Desmarque a caixa de seleção Editor. (Essa função inclui a função Revisores.)

    2. Clique na conta de usuário de outro Política de Grupo administrador e marque a caixa de seleção Editor para atribuir essa função à conta. (Essa função inclui a função Revisores.)

    3. Clique em uma terceira conta e marque a caixa de seleção Revisores para atribuir apenas a função revisores à conta desse Política de Grupo administrador. Desmarque a caixa de seleção Editor.

    4. Clique no botão Avançado.

  4. Na caixa de diálogo Configurações de Segurança Avançadas :

    1. Selecione um Política de Grupo administrador e clique em Editar.

    2. Para Aplicar em, selecione Este objeto e objetos aninhados e clique em OK na caixa de diálogo Entradade Permissão.

    3. Repita para cada Política de Grupo administrador.

  5. Na caixa de diálogo Configurações de Segurança Avançadas , clique em OK.

  6. Na caixa de diálogo Permissões , clique em OK.

Etapas para gerenciar GPOs

Você deve concluir as etapas a seguir para criar, editar, examinar e implantar GPOs usando o AGPM. Além disso, você criará um modelo, excluirá um GPO e restaurará um GPO excluído.

Etapa 1: Criar um GPO

Etapa 2: Editar um GPO

Etapa 3: Examinar e implantar um GPO

Etapa 4: Usar um modelo para criar um GPO

Etapa 5: Excluir e restaurar um GPO

Etapa 1: Criar um GPO

Em um ambiente com vários administradores do Política de Grupo, aqueles com a função editor têm a capacidade de solicitar a criação de novos GPOs, mas essa solicitação deve ser aprovada por alguém com a função aprovador, pois a criação de um novo GPO afeta o ambiente de produção.

Nesta etapa, você usará uma conta com a função Editor para solicitar a criação de um novo GPO. Usando uma conta com a função Aprovador, você aprova essa solicitação e conclui a criação de um GPO.

Para solicitar a criação de um novo GPO gerenciado por meio do AGPM

  1. Em um computador no qual você instalou o Cliente AGPM, faça logon com uma conta de usuário que tenha sido atribuída à função editor no AGPM.

  2. Na árvore Política de Grupo Console de Gerenciamento, clique em Alterar Controle na floresta e no domínio no qual você deseja gerenciar GPOs.

  3. Clique com o botão direito do mouse no nó Controle de Alterações e clique em Novo GPO Controlado.

  4. Na caixa de diálogo Novo GPO Controlado:

    1. Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc.

    2. Digite MyGPO como o nome do novo GPO.

    3. Digite um comentário para o novo GPO.

    4. Clique em Criar ao vivo para que o novo GPO seja implantado no ambiente de produção imediatamente após a aprovação.

    5. Clique em Enviar.

  5. Quando a janela Progresso do AGPM indicar que o progresso geral foi concluído, clique em Fechar. O novo GPO é exibido na guia Pendente.

Para aprovar a solicitação pendente para criar um GPO

  1. Em um computador no qual você instalou o Cliente AGPM, faça logon com uma conta de usuário que tenha sido atribuída a função de Aprovador no AGPM.

  2. Abra a caixa de entrada de email da conta e observe que você recebeu uma mensagem de email do alias do AGPM com a solicitação do Editor para criar um GPO.

  3. Na árvore Política de Grupo Console de Gerenciamento, clique em Alterar Controle na floresta e no domínio no qual você deseja gerenciar GPOs.

  4. Na guia Conteúdo , clique na guia Pendente para exibir os GPOs pendentes.

  5. Clique com o botão direito do mouse em MyGPO e clique em Aprovar.

  6. Clique em Sim para confirmar a aprovação da criação do GPO. O GPO é movido para a guia Controlado.

Etapa 2: Editar um GPO

Você pode usar GPOs para definir configurações de computador ou usuário e implantá-las em vários computadores ou usuários. Nesta etapa, você usa uma conta com a função Editor para fazer check-out de um GPO do arquivo morto, editar o GPO offline, verificar o GPO editado no arquivo morto e solicitar a implantação do GPO no ambiente de produção. Para esse cenário, você define uma configuração no GPO para exigir que a senha tenha pelo menos oito caracteres de comprimento.

Para verificar o GPO do arquivo morto para edição

  1. Em um computador no qual você instalou o Cliente AGPM, faça logon com uma conta de usuário que tenha sido atribuída a função de Editor no AGPM.

  2. Na árvore Política de Grupo Console de Gerenciamento, clique em Alterar Controle na floresta e no domínio no qual você deseja gerenciar GPOs.

  3. Na guia Conteúdo no painel de detalhes, clique na guia Controlado para exibir os GPOs controlados.

  4. Clique com o botão direito do mouse em MyGPO e clique em Check-out.

  5. Digite um comentário a ser exibido no Histórico do GPO enquanto ele estiver com check-out e clique em OK.

  6. Quando a janela Progresso do AGPM indicar que o progresso geral foi concluído, clique em Fechar. Na guia Controlado , o estado do GPO é identificado como Check-out.

Para editar o GPO offline e configurar o comprimento mínimo da senha

  1. Na guia Controlado, clique com o botão direito do mouse em MyGPO e clique em Editar para abrir a janela do Editor de Objetos do Política de Grupo e fazer alterações em uma cópia offline do GPO. Para esse cenário, configure o tamanho mínimo da senha:

    1. Em Configuração do Computador, clique duas vezes em Configurações do Windows, clique duas vezes em Configurações de Segurança, clique duas vezes em Políticas de Conta e clique duas vezes em Política de Senha.

    2. No painel de detalhes, clique duas vezes no tamanho mínimo da senha.

    3. Na janela propriedades, marque a caixa de seleção Definir essa configuração de política, defina o número de caracteres como 8 e clique em OK.

  2. Feche a janela Política de Grupo Editor de Objetos.

Para verificar o GPO no arquivo morto

  1. Na guia Controlado , clique com o botão direito do mouse em MyGPO e clique em Fazer Check-In.

  2. Digite um comentário e clique em OK.

  3. Quando a janela Progresso do AGPM indicar que o progresso geral foi concluído, clique em Fechar. Na guia Controlado , o estado do GPO é identificado como Check-In.

Para solicitar a implantação do GPO no ambiente de produção

  1. Na guia Controlado , clique com o botão direito do mouse em MyGPO e clique em Implantar.

  2. Como essa conta não é um Aprovador ou Administrador do AGPM, você deve enviar uma solicitação de implantação. Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc. Digite um comentário a ser exibido no Histórico do GPO e clique em Enviar.

  3. Quando a janela Progresso do AGPM indicar que o progresso geral foi concluído, clique em Fechar. O MyGPO é exibido na lista de GPOs na guia Pendente.

Etapa 3: Examinar e implantar um GPO

Nesta etapa, você atua como um Aprovador, criando relatórios e analisando as configurações e as alterações nas configurações no GPO para determinar se você deve aprová-los. Depois de avaliar o GPO, implante-o no ambiente de produção e vincule-o a um domínio ou uma UO (unidade organizacional) para que ele entre em vigor quando o Política de Grupo for atualizado para computadores nesse domínio ou UO.

Para examinar as configurações no GPO

  1. Em um computador no qual você instalou o Cliente AGPM, faça logon com uma conta de usuário que tenha sido atribuída a função de Aprovador no AGPM. (Qualquer Política de Grupo administrador com a função Revisores, que está incluída em todas as outras funções, pode examinar as configurações em um GPO.)

  2. Abra a caixa de entrada de email da conta e observe que você recebeu uma mensagem de email do alias do AGPM com uma solicitação do Editor para implantar um GPO.

  3. Na árvore Política de Grupo Console de Gerenciamento, clique em Alterar Controle na floresta e no domínio no qual você deseja gerenciar GPOs.

  4. Na guia Conteúdo no painel de detalhes, clique na guia Pendente.

  5. Clique duas vezes em MyGPO para exibir seu histórico.

  6. Examine as configurações na versão mais recente do MyGPO:

    1. Na janela Histórico, clique com o botão direito do mouse na versão do GPO com o carimbo de data/hora mais recente, clique em Configurações e, em seguida, clique em Relatório HTML para exibir um resumo das configurações do GPO.

    2. No navegador da Web, clique em Mostrar tudo para exibir todas as configurações no GPO.

    3. Feche a janela do navegador.

  7. Compare a versão mais recente do MyGPO com a primeira versão verificada com o arquivo morto:

    1. Na janela Histórico , clique na versão do GPO com o carimbo de data/hora mais recente. Pressione CTRL e clique na versão mais antiga do GPO que tem um estado de Check-In.

    2. Clique no botão Diferenças. A seção Políticas de Conta/ Política de Senha é realçada em verde e precedida por [+], indicando que essa configuração está definida somente na última versão do GPO.

    3. Clique em Políticas de Conta/Política de Senha. A configuração de comprimento mínimo da senha também é realçada em verde e precedida por [+], indicando que ela está configurada somente na última versão do GPO.

    4. Feche o navegador da Web.

Para implantar o GPO no ambiente de produção

  1. Na guia Pendente , clique com o botão direito do mouse em MyGPO e clique em Aprovar.

  2. Digite um comentário para incluir no histórico do GPO.

  3. Clique em Sim. Quando a janela Progresso do AGPM indicar que o progresso geral foi concluído, clique em Fechar. O GPO é implantado no ambiente de produção.

Para vincular o GPO a um domínio ou unidade organizacional

  1. No GPMC, clique com o botão direito do mouse no domínio ou em uma UO à qual aplicar o GPO que você configurou e clique em Vincular um GPO existente.

  2. Na caixa de diálogo Selecionar GPO , clique em MyGPO e clique em OK.

Etapa 4: Usar um modelo para criar um GPO

Nesta etapa, você usa uma conta com a função editor para criar um modelo – uma versão estática e não editável de um GPO para uso como ponto de partida para a criação de novos GPOs – e, em seguida, cria um novo GPO com base nesse modelo. Os modelos são úteis para criar rapidamente vários GPOs que incluem muitas das mesmas configurações.

Para criar um modelo com base em um GPO existente

  1. Em um computador no qual você instalou o Cliente AGPM, faça logon com uma conta de usuário que tenha sido atribuída a função de Editor no AGPM.

  2. Na árvore Política de Grupo Console de Gerenciamento, clique em Alterar Controle na floresta e no domínio no qual você deseja gerenciar GPOs.

  3. Na guia Conteúdo no painel de detalhes, clique na guia Controlado.

  4. Clique com o botão direito do mouse em MyGPO e clique em Salvar como Modelo para criar um modelo incorporando todas as configurações atualmente no MyGPO.

  5. Digite MyTemplate como o nome do modelo e um comentário e clique em OK.

  6. Quando a janela Progresso do AGPM indicar que o progresso geral foi concluído, clique em Fechar. O novo modelo aparece na guia Modelos .

Para solicitar a criação de um novo GPO gerenciado por meio do AGPM

  1. Clique na guia Controlado.

  2. Clique com o botão direito do mouse no nó Controle de Alterações e clique em Novo GPO Controlado.

  3. Na caixa de diálogo Novo GPO Controlado:

    1. Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc.

    2. Digite MyOtherGPO como o nome do novo GPO.

    3. Digite um comentário para o novo GPO.

    4. Clique em Criar ao vivo para que o novo GPO seja implantado no ambiente de produção imediatamente após a aprovação.

    5. Para o modelo De GPO, selecione MyTemplate.

    6. Clique em Enviar.

  4. Quando a janela Progresso do AGPM indicar que o progresso geral foi concluído, clique em Fechar. O novo GPO é exibido na guia Pendente.

Use uma conta que tenha sido atribuída à função de Aprovador para aprovar a solicitação pendente para criar o GPO como você fez na Etapa 1: Criar um GPO. O MyTemplate incorpora todas as configurações que você definiu no MyGPO. Como o MyOtherGPO foi criado usando MyTemplate, ele inicialmente contém todas as configurações que o MyGPO continha no momento em que o MyTemplate foi criado. Você pode confirmar isso gerando um relatório de diferença para comparar MyOtherGPO com MyTemplate.

Para verificar o GPO do arquivo morto para edição

  1. Em um computador no qual você instalou o Cliente AGPM, faça logon com uma conta de usuário que tenha sido atribuída a função de Editor no AGPM.

  2. Clique com o botão direito do mouse em MyOtherGPO e clique em Check-out.

  3. Digite um comentário a ser exibido no histórico do GPO enquanto ele estiver com check-out e clique em OK.

  4. Quando a janela Progresso do AGPM indicar que o progresso geral foi concluído, clique em Fechar. Na guia Controlado , o estado do GPO é identificado como Check-out.

Para editar o GPO offline e configurar a duração do bloqueio da conta

  1. Na guia Controlado, clique com o botão direito do mouse em MyOtherGPO e clique em Editar para abrir a janela do Editor de Objetos do Política de Grupo e fazer alterações em uma cópia offline do GPO. Para esse cenário, configure o tamanho mínimo da senha:

    1. Em Configuração do Computador, clique duas vezes em Configurações do Windows, clique duas vezes em Configurações de Segurança, clique duas vezes em Políticas de Conta e clique duas vezes em Política de Bloqueio de Conta.

    2. No painel de detalhes, clique duas vezes na duração do bloqueio da conta.

    3. Na janela propriedades, marque Definir essa configuração de política, defina a duração como 30 minutos e clique em OK.

  2. Feche a janela Política de Grupo Editor de Objetos.

Verifique o MyOtherGPO no arquivo morto e solicite a implantação como você fez para o MyGPO na Etapa 2: Editar um GPO. Você pode comparar MyOtherGPO com MyGPO ou MyTemplate usando relatórios de diferença. Qualquer conta que inclua a função Revisores (Administrador do AGPM [Controle Total], Aprovador, Editor ou Revistor) pode gerar relatórios.

Para comparar um GPO com outro GPO e com um modelo

  1. Para comparar MyGPO e MyOtherGPO:

    1. Na guia Controlado , clique em MyGPO. Pressione CTRL e clique em MyOtherGPO.

    2. Clique com o botão direito do mouse em MyOtherGPO, aponte para Diferenças e clique em Relatório HTML.

  2. Para comparar MyOtherGPO e MyTemplate:

    1. Na guia Controlado , clique em MyOtherGPO.

    2. Clique com o botão direito do mouse em MyOtherGPO, aponte para Diferenças e clique em Modelo.

    3. Selecione MyTemplate eRelatório HTML e clique em OK.

Etapa 5: Excluir e restaurar um GPO

Nesta etapa, você atua como um Aprovador para excluir um GPO.

Para excluir um GPO

  1. Em um computador no qual você instalou o Cliente AGPM, faça logon com uma conta de usuário que tenha sido atribuída a função de Aprovador.

  2. Na árvore Política de Grupo Console de Gerenciamento, clique em Alterar Controle na floresta e no domínio no qual você deseja gerenciar GPOs.

  3. Na guia Conteúdo , clique na guia Controlado para exibir os GPOs controlados.

  4. Clique com o botão direito do mouse em MyGPO e clique em Excluir. Clique em Excluir GPO do arquivo morto e da produção para excluir a versão no arquivo morto, bem como a versão implantada do GPO no ambiente de produção.

  5. Digite um comentário a ser exibido na trilha de auditoria do GPO e clique em OK.

  6. Quando a janela Progresso do AGPM indicar que o progresso geral foi concluído, clique em Fechar. O GPO é removido da guia Controlado e exibido na guia Lixeira, onde pode ser restaurado ou destruído.

Ocasionalmente, você pode descobrir depois de excluir um GPO de que ele ainda é necessário. Nesta etapa, você atua como um Aprovador para restaurar um GPO que foi excluído.

Para restaurar um GPO excluído

  1. Na guia Conteúdo , clique na guia Lixeira para exibir GPOs excluídos.

  2. Clique com o botão direito do mouse em MyGPO e clique em Restaurar.

  3. Digite um comentário a ser exibido no histórico do GPO e clique em OK.

  4. Quando a janela Progresso do AGPM indicar que o progresso geral foi concluído, clique em Fechar. O GPO é removido da guia Lixeira e é exibido na guia Controlado.

    Nota Restaurar um GPO para o arquivo morto não o reimplanta automaticamente no ambiente de produção. Para retornar o GPO para o ambiente de produção, implante o GPO como na Etapa 3: Examinar e implantar um GPO.

Depois de editar e implantar um GPO, você pode descobrir que alterações recentes no GPO estão causando um problema. Nesta etapa, você atua como um Aprovador para reverter para uma versão anterior do GPO. Você pode reverter para qualquer versão no histórico do GPO. Você pode usar comentários e rótulos para identificar versões boas conhecidas e quando alterações específicas foram feitas.

Para reverter para uma versão anterior de um GPO

  1. Na guia Conteúdo , clique na guia Controlado para exibir os GPOs controlados.

  2. Clique duas vezes em MyGPO para exibir seu histórico.

  3. Clique com o botão direito do mouse na versão a ser implantada, clique em Implantar e clique em Sim.

  4. Quando a janela Progresso indicar que o progresso geral está concluído, clique em Fechar. Na janela Histórico , clique em Fechar.

    Nota Para verificar se a versão que foi reimplantada é a versão pretendida, examine um relatório de diferença para as duas versões. Na janela Histórico do GPO, selecione as duas versões, clique com o botão direito do mouse nelas, aponte para Diferença e clique em Relatório HTML ou Relatório XML.