Compartilhar via

Guia passo a passo do Gerenciamento Avançado de Política de Grupo 4.0 da Microsoft

  • Artigo

Este guia passo a passo demonstra técnicas avançadas para gerenciamento de Política de Grupo que usam o GPMC (Console de Gerenciamento de Política de Grupo) e o AGPM (Gerenciamento avançado de Política de Grupo) da Microsoft. O AGPM aumenta os recursos do GPMC, fornecendo:

  • Funções padrão para delegar permissões para gerenciar Política de Grupo Objetos (GPOs) para vários administradores Política de Grupo, além da capacidade de delegar o acesso a GPOs no ambiente de produção.

  • Um arquivo para permitir que Política de Grupo administradores criem e modifiquem GPOs offline antes que os GPOs sejam implantados em um ambiente de produção.

  • A capacidade de reverter para qualquer versão anterior de um GPO no arquivo e limitar o número de versões armazenadas no arquivo.

  • Recurso de check-in e marcar para GPOs para garantir que Política de Grupo administradores não substituam involuntariamente o trabalho uns dos outros.

  • A capacidade de pesquisar GPOs com atributos específicos e filtrar a lista de GPOs exibidos.

Visão geral do cenário do AGPM

Para esse cenário, você usará uma conta de usuário separada para cada função no AGPM para demonstrar como Política de Grupo pode ser gerenciada em um ambiente que tem vários administradores Política de Grupo que têm diferentes níveis de permissões. Especificamente, você executará as seguintes tarefas:

  • Usando uma conta que é membro do grupo Administradores de Domínio, instale o AGPM Server e atribua a função de administrador AGPM a uma conta ou grupo.

  • Usando contas às quais você atribuirá funções AGPM, instale o CLIENTE AGPM.

  • Usando uma conta que tem a função de Administrador do AGPM, configure AGPM e delegar acesso a GPOs atribuindo funções a outras contas.

  • Em uma conta que tem a função Editor, solicite que um novo GPO seja criado para que você aprove usando uma conta que tenha a função Approver. Use a conta editor para marcar o GPO do arquivo, edite o GPO, marcar o GPO no arquivo e solicite a implantação.

  • Usando uma conta que tem a função Approver, examine o GPO e implante-o em seu ambiente de produção.

  • Usando uma conta que tem a função Editor, crie um modelo de GPO e use-o como ponto de partida para criar um novo GPO.

  • Usando uma conta que tem a função Approver, exclua e restaure um GPO.

processo de desenvolvimento de objeto de política de grupo.

Requisitos do SERVIDOR AGPM

O AGPM Server 4.0 requer o Windows Server 2012 ou Windows 10 e mais recente e o GPMC do RSAT (Remote Server Administration Tools). Há suporte para versões de 32 bits e 64 bits.

Antes de instalar o AGPM Server, você deve ser membro do grupo de administradores de domínio e os seguintes recursos do Windows devem estar presentes, a menos que seja observado de outra forma:

  • GPMC

    • Windows Server 2012 ou mais recente: se o GPMC não estiver presente, ele será instalado automaticamente pelo AGPM.

    • Windows 10 ou mais recente: você deve instalar o GPMC do RSAT antes de instalar o AGPM. Para obter mais informações, consulte RSAT (Remote Server Administration Tools) para Windows.

Os seguintes recursos do Windows são exigidos pelo AGPM Server e serão instalados automaticamente se não estiverem presentes:

  • Ativação do WCF; Ativação não HTTP

  • Serviço de Ativação de Processos do Windows

    • Modelo de Processo

    • O ambiente .NET

    • APIs de configuração

Requisitos do cliente AGPM

O AGPM Client 4.0 requer o Windows Server 2012 ou Windows 10 e mais recente e o GPMC do RSAT. Há suporte para versões de 32 bits e 64 bits. O cliente AGPM pode ser instalado em um computador que está executando o AGPM Server.

Os seguintes recursos do Windows são exigidos pelo Cliente AGPM e, a menos que sejam observados de outra forma, serão instalados automaticamente se não estiverem presentes:

  • GPMC

    • Windows Server 2012 e mais recente: se o GPMC não estiver presente, ele será instalado automaticamente pelo AGPM.

    • Windows 10 e mais recente: você deve instalar o GPMC do RSAT antes de instalar o AGPM. Para obter mais informações, consulte RSAT (Remote Server Administration Tools) para Windows.

Requisitos de cenário

Antes de começar esse cenário, crie quatro contas de usuário. Durante o cenário, você atribuirá uma das seguintes funções AGPM a cada uma dessas contas: Administrador do AGPM (Controle Total), Aprovador, Editor e Revisor. Essas contas devem ser capazes de enviar e receber mensagens de email. Atribua permissão de GPOs de Link às contas que têm as funções de Editor administrador, aprovador e (opcionalmente) do AGPM.

Observação

A permissão de LINK GPOs é atribuída a membros de administradores de domínio e administradores empresariais por padrão. Para atribuir permissão do Link GPOs a usuários ou grupos adicionais (como contas que têm as funções de Administrador ou Aprovador do AGPM), selecione o nó para o domínio e selecione a guia Delegação , selecione Vincular GPOs, Selecione Adicionar e selecione usuários ou grupos aos quais você deseja atribuir a permissão.

Etapas para instalar e configurar o AGPM

Você deve concluir as etapas a seguir para instalar e configurar o AGPM.

Etapa 1: Instalar o AGPM Server

Etapa 2: Instalar o cliente AGPM

Etapa 3: configurar uma conexão do SERVIDOR AGPM

Etapa 4: configurar a notificação por email

Etapa 5: Delegar acesso

Etapa 1: Instalar o AGPM Server

Nesta etapa, você instala o AGPM Server no servidor membro ou no controlador de domínio que executará o Serviço AGPM e configurará o arquivo. Todas as operações AGPM são gerenciadas por meio desse serviço Windows e são executadas com as credenciais do serviço. O arquivo gerenciado por um SERVIDOR AGPM pode ser hospedado nesse servidor ou em outro servidor na mesma floresta.

Para instalar o AGPM Server no computador que hospedará o Serviço AGPM

  1. Entre com uma conta que é membro do grupo administradores de domínio.

  2. Inicie o CD do Pacote de Otimização da Área de Trabalho da Microsoft e siga as instruções na tela para selecionar Gerenciamento avançado de Política de Grupo – Servidor.

  3. Na caixa de diálogo Bem-vindo , selecione Avançar.

  4. Na caixa de diálogo Termos de Licença de Software da Microsoft , aceite os termos e selecione Avançar.

  5. Na caixa de diálogo Caminho do Aplicativo , selecione um local no qual instalar o AGPM Server. O computador no qual o AGPM Server está instalado hospedará o Serviço AGPM e gerenciará o arquivo. Selecione Avançar.

  6. Na caixa de diálogo Caminho do Arquivo , selecione um local para o arquivo em relação ao SERVIDOR AGPM. O caminho do arquivo pode apontar para uma pasta no SERVIDOR AGPM ou em outro lugar. No entanto, você deve selecionar um local com espaço suficiente para armazenar todos os GPOs e dados de histórico gerenciados por este SERVIDOR AGPM. Selecione Avançar.

  7. Na caixa de diálogo Conta de Serviço do AGPM , selecione uma conta de serviço na qual o Serviço AGPM é executado e selecione Avançar.

    Essa conta deve ser um membro do grupo administradores de domínio ou, para uma configuração de privilégio mínimo, os seguintes grupos em cada domínio gerenciados pelo AGPM Server:

    • proprietários do criador Política de Grupo

    • Operadores de backup

    Essa conta deve ser membro do Grupo de Administradores local no Computador do Servidor AGPM. Isso é necessário para lidar com êxito

    Além disso, essa conta requer permissão de Controle Total para as seguintes pastas:

    • A pasta de arquivo AGPM, para a qual essa permissão é concedida automaticamente durante a instalação do AGPM Server se ela estiver instalada em uma unidade local.

    • A pasta temp do sistema local, normalmente %windir%\temp.

  8. Na caixa de diálogo Proprietário do Arquivo , selecione uma conta ou grupo ao qual você atribui a função de Administrador do AGPM (Controle Total). Os administradores do AGPM podem atribuir funções e permissões do AGPM a outros administradores Política de Grupo para que, posteriormente, você possa atribuir a função de Administrador do AGPM a administradores Política de Grupo adicionais. Para esse cenário, selecione a conta a ser usada na função administrador do AGPM. Selecione Avançar.

  9. Na caixa de diálogo Configuração da Porta , digite uma porta na qual o Serviço AGPM deve escutar. Não desmarque a caixa Adicionar exceção de porta ao firewall marcar, a menos que você configure manualmente exceções de porta ou use regras para configurar exceções de porta. Selecione Avançar.

  10. Na caixa de diálogo Idiomas , selecione um ou mais idiomas de exibição para instalar no AGPM Server.

  11. Selecione Instalar e, em seguida, selecione Concluir para sair do Assistente de Instalação.

    Cuidado
    Não altere as configurações do Serviço AGPM por meio de Ferramentas Administrativas e Serviços no sistema operacional. Fazer isso pode impedir o início do Serviço AGPM. Para obter informações sobre como alterar as configurações do serviço, consulte Ajuda para Gerenciamento avançado de Política de Grupo.

Etapa 2: Instalar o cliente AGPM

Cada administrador Política de Grupo, qualquer pessoa que crie, edite, implante, examine ou exclua GPOs, deve ter o cliente AGPM instalado em computadores que eles usam para gerenciar GPOs. O nó Controle de Alteração, que você usa para executar muitas das tarefas de gerenciamento de GPO, será exibido no Console de Gerenciamento Política de Grupo somente se você instalar o cliente AGPM. Para esse cenário, você instala o Cliente AGPM em pelo menos um computador. Você não precisa instalar o Cliente AGPM nos computadores de usuários finais que não executam Política de Grupo administração.

Para instalar o CLIENTE AGPM no computador de um administrador de Política de Grupo

  1. Inicie o CD do Pacote de Otimização da Área de Trabalho da Microsoft e siga as instruções na tela para selecionar Gerenciamento avançado de Política de Grupo – cliente.

  2. Na caixa de diálogo Bem-vindo , selecione Avançar.

  3. Na caixa de diálogo Termos de Licença de Software da Microsoft , aceite os termos e selecione Avançar.

  4. Na caixa de diálogo Caminho do Aplicativo , selecione um local no qual instalar o Cliente AGPM. Selecione Avançar.

  5. Na caixa de diálogo servidor AGPM , digite o nome DNS ou o endereço IP para o SERVIDOR AGPM e a porta à qual você deseja se conectar. A porta padrão do Serviço AGPM é 4600. Não desmarque o Console de Gerenciamento da Microsoft por meio da caixa marcar de firewall, a menos que você configure manualmente exceções de porta ou use regras para configurar exceções de porta. Selecione Avançar.

  6. Na caixa de diálogo Idiomas , selecione um ou mais idiomas de exibição para instalar para o Cliente AGPM.

  7. Selecione Instalar e, em seguida, selecione Concluir para sair do Assistente de Instalação.

Etapa 3: configurar uma conexão do SERVIDOR AGPM

O AGPM armazena todas as versões de cada GPO (objeto Política de Grupo controlado), ou seja, cada GPO para o qual o AGPM fornece controle de alterações, em um arquivo central. Isso permite que Política de Grupo administradores exibam e alterem GPOs offline sem afetar imediatamente a versão implantada de cada GPO.

Nesta etapa, você configura uma conexão do AGPM Server e garante que todos os administradores Política de Grupo se conectem ao mesmo AGPM Server. (Para obter informações sobre como configurar vários servidores AGPM, consulte Ajuda para Gerenciamento avançado de Política de Grupo.)

Para configurar uma conexão do AGPM Server para todos os administradores Política de Grupo

  1. Em um computador no qual você instalou o Cliente AGPM, entre com a conta de usuário selecionada como Proprietário do Arquivo. Esse usuário tem a função de Administrador do AGPM (Controle Total).

  2. Selecione Iniciar, aponte para Ferramentas Administrativas e selecione Política de Grupo Gerenciamento para abrir o GPMC.

  3. Edite um GPO aplicado a todos os administradores Política de Grupo.

  4. Na janela Editor de Gerenciamento Política de Grupo, selecione duas vezes Configuração do Usuário, Políticas, Modelos Administrativos, Componentes do Windows e AGPM.

  5. No painel de detalhes, selecione duas vezes AGPM: especifique o AGPM Server padrão (todos os domínios).

  6. Na janela Propriedades , selecione Habilitado e digite o nome DNS ou endereço IP e porta (por exemplo, server.contoso.com:4600) para o servidor que hospeda o arquivo. Por padrão, o Serviço AGPM usa a porta 4600.

  7. Selecione OK e feche a janela editor de gerenciamento Política de Grupo. Quando Política de Grupo é atualizado, a conexão do AGPM Server é configurada para cada administrador Política de Grupo.

Etapa 4: configurar a notificação por email

Como administrador do AGPM (Controle Total), você designa os endereços de email de Aprovadores e administradores agpm para os quais uma mensagem de email que contém uma solicitação é enviada quando um Editor tenta criar, implantar ou excluir um GPO. Você também determina o alias do qual essas mensagens são enviadas.

Para configurar a notificação por email para AGPM

  1. No Editor de Gerenciamento Política de Grupo , navegue até a pasta Controle de Alterações

  2. No painel de detalhes, selecione a guia Delegação de Domínio .

  3. No campo De endereço de email , digite o alias de email para AGPM do qual as notificações devem ser enviadas.

  4. No campo Para endereço de email , digite o endereço de email da conta de usuário à qual você pretende atribuir a função Aprovador.

  5. No campo servidor SMTP , digite um servidor de email SMTP válido.

  6. Nos campos Nome de usuário e Senha , digite as credenciais de um usuário que tem acesso ao serviço SMTP. Selecione Aplicar.

Etapa 5: Delegar acesso

Como administrador do AGPM (Controle Total), você delega o acesso em nível de domínio a GPOs, atribuindo funções à conta de cada administrador Política de Grupo.

Observação

Você também pode delegar o acesso no nível de GPO em vez do nível de domínio. Para obter mais informações, consulte Ajuda para Gerenciamento avançado de Política de Grupo.

Importante

Você deve restringir a associação no grupo Política de Grupo Proprietários de Criadores para que ele não possa ser usado para burlar o gerenciamento de acesso do AGPM aos GPOs. (No Console de Gerenciamento Política de Grupo, selecione Política de Grupo Objetos na floresta e no domínio no qual deseja gerenciar GPOs, selecione Delegação e configure as configurações para atender às necessidades da sua organização.)

Para delegar o acesso a todos os GPOs em um domínio

  1. Na guia Delegação de Domínio, selecione o botão Adicionar, selecione a conta de usuário do administrador Política de Grupo para servir como Aprovador e selecione OK.

  2. Na caixa de diálogo Adicionar Grupo ou Usuário , selecione a função Aprovador para atribuir essa função à conta e selecione OK. (Essa função inclui a função Revisor.)

  3. Selecione o botão Adicionar, selecione a conta de usuário do administrador do Política de Grupo para servir como Editor e selecione OK.

  4. Na caixa de diálogo Adicionar Grupo ou Usuário , selecione a função Editor para atribuir essa função à conta e selecione OK. (Essa função inclui a função Revisor.)

  5. Selecione o botão Adicionar, selecione a conta de usuário do administrador Política de Grupo para servir como Revisor e selecione OK.

  6. Na caixa de diálogo Adicionar Grupo ou Usuário , selecione a função Revisor para atribuir apenas essa função à conta.

Etapas para gerenciar GPOs

Você deve concluir as etapas a seguir para criar, editar, revisar e implantar GPOs usando AGPM. Além disso, você criará um modelo, excluirá um GPO e restaurará um GPO excluído.

Etapa 1: criar um GPO

Etapa 2: Editar um GPO

Etapa 3: examinar e implantar um GPO

Etapa 4: usar um modelo para criar um GPO

Etapa 5: excluir e restaurar um GPO

Etapa 1: criar um GPO

Em um ambiente que tem vários administradores Política de Grupo, aqueles com a função Editor podem solicitar que novos GPOs sejam criados. No entanto, essa solicitação deve ser aprovada por alguém com a função Aprovador.

Nesta etapa, você usa uma conta que tem a função Editor para solicitar a criação de um novo GPO. Usando uma conta que tem a função Approver, você aprova essa solicitação para criar o GPO.

Para solicitar que um novo GPO seja criado e gerenciado por meio do AGPM

  1. Em um computador no qual você instalou o Cliente AGPM, entre com uma conta de usuário atribuída à função Editor no AGPM.

  2. Na árvore Política de Grupo Console de Gerenciamento, selecione Alterar Controle na floresta e domínio no qual você deseja gerenciar GPOs.

  3. Selecione com o botão direito do mouse o nó Controle de Alterações e selecione Novo GPO Controlado.

  4. Na caixa de diálogo Novo GPO Controlado :

    1. Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc .

    2. Digite MyGPO como o nome do novo GPO.

    3. Digite um comentário para o novo GPO.

    4. Selecione Criar ao vivo para que o novo GPO seja implantado no ambiente de produção imediatamente após a aprovação. Selecione Enviar.

  5. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O novo GPO é exibido na guia Pendente .

Para aprovar a solicitação pendente para criar um GPO

  1. Em um computador no qual você instalou o Cliente AGPM, entre com uma conta de usuário que tem a função de Aprovador no AGPM.

  2. Abra a caixa de entrada de email da conta e observe que você recebeu uma mensagem de email do alias AGPM com a solicitação do Editor para criar um GPO.

  3. Na árvore Política de Grupo Console de Gerenciamento, selecione Alterar Controle na floresta e domínio no qual você deseja gerenciar GPOs.

  4. Na guia Conteúdo , selecione a guia Pendente para exibir os GPOs pendentes.

  5. Selecione Com o botão direito do mouse MyGPO e selecione Aprovar.

  6. Selecione Sim para confirmar a aprovação e mover o GPO para a guia Controlada .

Etapa 2: Editar um GPO

Você pode usar GPOs para configurar configurações de computador ou usuário e implantá-las em muitos computadores ou usuários. Nesta etapa, você usa uma conta que tem a função Editor para marcar um GPO do arquivo, editar o GPO offline, marcar o GPO editado no arquivo e solicitar a implantação do GPO no ambiente de produção. Para esse cenário, você configura uma configuração no GPO para exigir que a senha tenha pelo menos oito caracteres.

Para marcar o GPO do arquivo para edição

  1. Em um computador no qual você instalou o Cliente AGPM, entre com uma conta de usuário que tem a função de Editor no AGPM.

  2. Na árvore Política de Grupo Console de Gerenciamento, selecione Alterar Controle na floresta e domínio no qual você deseja gerenciar GPOs.

  3. Na guia Conteúdo no painel de detalhes, selecione a guia Controlada para exibir os GPOs controlados.

  4. Selecione Com o botão direito do mouse MyGPO e selecione Sair.

  5. Digite um comentário a ser exibido no histórico do GPO enquanto ele é verificado e selecione OK.

  6. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. Na guia Controlado , o estado do GPO é identificado como Checked Out.

Para editar o GPO offline e configurar o comprimento mínimo da senha

  1. Na guia Controlado, selecione com o botão direito do mouse MyGPO e selecione Editar para abrir a janela do Editor de Gerenciamento Política de Grupo e alterar uma cópia offline do GPO. Para este cenário, configure o comprimento mínimo da senha:

    1. Em Configuração do Computador, selecione duas vezes Políticas, Configurações do Windows, Configurações de Segurança, Políticas de Conta e Política de Senha.

    2. No painel de detalhes, selecione duas vezes o tamanho mínimo da senha.

    3. Na janela propriedades, selecione a caixa Definir essa configuração de política marcar, defina o número de caracteres como 8 e selecione OK.

  2. Feche a janela editor de gerenciamento Política de Grupo.

Para marcar o GPO no arquivo

  1. Na guia Controlado, selecione com o botão direito do mouse MyGPO e selecione Check In.

  2. Digite um comentário e selecione OK.

  3. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. Na guia Controlado , o estado do GPO é identificado como Check-in.

Para solicitar a implantação do GPO no ambiente de produção

  1. Na guia Controlado , selecione com o botão direito do mouse MyGPO e selecione Implantar.

  2. Como essa conta não é um Aprovador ou administrador do AGPM, você deve enviar uma solicitação de implantação. Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc . Digite um comentário a ser exibido no histórico do GPO e selecione Enviar.

  3. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. MyGPO é exibido na lista de GPOs na guia Pendente .

Etapa 3: examinar e implantar um GPO

Nesta etapa, você atua como um Aprovador, criando relatórios e analisando as configurações e as alterações nas configurações no GPO para determinar se você deve aprová-los. Depois de avaliar o GPO, você o implantará no ambiente de produção e vinculará o GPO a um domínio ou a uma OU (unidade organizacional). O GPO entra em vigor quando Política de Grupo é atualizado para computadores nesse domínio ou OU.

Para revisar as configurações no GPO

  1. Em um computador no qual você instalou o Cliente AGPM, entre com uma conta de usuário atribuída à função de Aprovador no AGPM. Qualquer administrador Política de Grupo com a função Revisor, que está incluída em todas as outras funções, pode revisar as configurações em um GPO.

  2. Abra a caixa de entrada de email da conta e observe que você recebeu uma mensagem de email do alias AGPM com uma solicitação do Editor para implantar um GPO.

  3. Na árvore Política de Grupo Console de Gerenciamento, selecione Alterar Controle na floresta e domínio no qual você deseja gerenciar GPOs.

  4. Na guia Conteúdo no painel de detalhes, selecione a guia Pendente .

  5. Selecione duas vezes o MyGPO para exibir seu histórico.

  6. Examine as configurações na versão mais recente do MyGPO:

    1. Na janela Histórico , selecione com o botão direito do mouse a versão do GPO com o carimbo de hora mais recente, selecione Configurações e selecione Relatório HTML para exibir um resumo das configurações do GPO.

    2. No navegador da Web, selecione mostrar tudo para exibir todas as configurações no GPO. Feche a janela do navegador.

  7. Compare a versão mais recente do MyGPO com a primeira versão verificada no arquivo:

    1. Na janela Histórico , selecione a versão gpo com o carimbo de hora mais recente. Pressione CTRL e selecione a versão mais antiga do GPO para a qual a Versão do Computador não \é *.

    2. Selecione o botão Diferenças . A seção Políticas de Conta/Política de Senha é realçada em verde e precedida por [+]. Isso indica que a configuração está configurada apenas na última versão do GPO.

    3. Selecione Políticas de Conta/Política de Senha. A configuração mínima de comprimento de senha também é realçada em verde e precedida por [+], indicando que ela está configurada apenas na última versão do GPO.

    4. Feche o navegador da Web.

Para implantar o GPO no ambiente de produção

  1. Na guia Pendente , selecione com o botão direito do mouse MyGPO e selecione Aprovar.

  2. Digite um comentário a ser incluído no histórico do GPO.

  3. Selecione Sim. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O GPO é implantado no ambiente de produção.

Para vincular o GPO a um domínio ou unidade organizacional

  1. No GPMC, selecione com o botão direito do mouse o domínio ou uma OU (unidade organizacional) à qual você deseja aplicar o GPO configurado e selecione Vincular um GPO existente.

  2. Na caixa de diálogo Selecionar GPO , selecione MyGPO e selecione OK.

Etapa 4: usar um modelo para criar um GPO

Nesta etapa, você usa uma conta que tem a função Editor para criar e usar um modelo. Esse modelo é uma versão estática de um GPO para uso como ponto de partida para criar novos GPOs. Embora você não possa editar um modelo, você pode criar um novo GPO com base em um modelo. Os modelos são úteis para criar rapidamente vários GPOs que incluem muitas das mesmas configurações de política.

Para criar um modelo com base em um GPO existente

  1. Em um computador no qual você instalou o Cliente AGPM, entre com uma conta de usuário atribuída à função de Editor no AGPM.

  2. Na árvore Política de Grupo Console de Gerenciamento, selecione Alterar Controle na floresta e domínio no qual você deseja gerenciar GPOs.

  3. Na guia Conteúdo no painel de detalhes, selecione a guia Controlado .

  4. Selecione com o botão direito do mouse MyGPO e selecione Salvar como Modelo para criar um modelo incorporando todas as configurações atualmente no MyGPO.

  5. Digite MyTemplate como o nome do modelo e um comentário e selecione OK.

  6. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O novo modelo aparece na guia Modelos .

Para solicitar que um novo GPO seja criado e gerenciado por meio do AGPM

  1. Selecione a guia Controlada .

  2. Selecione com o botão direito do mouse o nó Controle de Alterações e selecione Novo GPO Controlado.

  3. Na caixa de diálogo Novo GPO Controlado :

    1. Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc .

    2. Digite MyOtherGPO como o nome do novo GPO.

    3. Digite um comentário para o novo GPO.

    4. Selecione Criar ao vivo para que o novo GPO seja implantado no ambiente de produção imediatamente após a aprovação.

    5. Para o modelo de GPO, selecione MyTemplate. Selecione Enviar.

  4. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O novo GPO é exibido na guia Pendente .

Use uma conta atribuída à função de Aprovador para aprovar a solicitação pendente para criar o GPO como você fez na Etapa 1: Criar um GPO. MyTemplate incorpora todas as configurações que você configurou no MyGPO. Como MyOtherGPO foi criado usando MyTemplate, ele no início contém todas as configurações que MyGPO continha no momento em que MyTemplate foi criado. Você pode confirmar isso gerando um relatório de diferença para comparar MyOtherGPO com MyTemplate.

Para marcar o GPO do arquivo para edição

  1. Em um computador no qual você instalou o Cliente AGPM, entre com uma conta de usuário atribuída à função de Editor no AGPM.

  2. Selecione Com o botão direito do mouse MyOtherGPO e selecione Verificar.

  3. Digite um comentário a ser exibido no histórico do GPO enquanto ele é verificado e selecione OK.

  4. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. Na guia Controlado , o estado do GPO é identificado como Checked Out.

Para editar o GPO offline e configurar a duração do bloqueio da conta

  1. Na guia Controlado, selecione com o botão direito do mouse MyOtherGPO e selecione Editar para abrir a janela editor de gerenciamento Política de Grupo e alterar uma cópia offline do GPO. Para este cenário, configure o comprimento mínimo da senha:

    1. Em Configuração do Computador, selecione duas vezes Políticas, Configurações do Windows, Configurações de Segurança, Políticas de Conta e Política de Bloqueio de Conta.

    2. No painel de detalhes, selecione duas vezes a duração do bloqueio da conta.

    3. Na janela propriedades, marcar Definir essa configuração de política, defina a duração como 30 minutos e selecione OK.

  2. Feche a janela editor de gerenciamento Política de Grupo.

Verifique MyOtherGPO na implantação de arquivo e solicitação como você fez para MyGPO na Etapa 2: Editar um GPO. Você pode comparar MyOtherGPO ao MyGPO ou ao MyTemplate usando relatórios de diferença. Qualquer conta que inclua a função Revisor (Administrador do AGPM [Controle Completo], Aprovador, Editor ou Revisor) pode gerar relatórios.

Para comparar um GPO com outro GPO e com um modelo

  1. Para comparar MyGPO e MyOtherGPO:

    1. Na guia Controlado , selecione MyGPO. Pressione CTRL e selecione MyOtherGPO.

    2. Selecione com o botão direito do mouse MyOtherGPO, aponte para Diferenças e selecione Relatório HTML.

  2. Para comparar MyOtherGPO e MyTemplate:

    1. Na guia Controlado , selecione MyOtherGPO.

    2. Selecione com o botão direito do mouse MyOtherGPO, aponte para Diferenças e selecione Modelo.

    3. Selecione MyTemplate e Html Report e selecione OK.

Etapa 5: excluir e restaurar um GPO

Nesta etapa, você atuará como um Aprovador para excluir um GPO.

Para excluir um GPO

  1. Em um computador no qual você instalou o Cliente AGPM, entre com uma conta de usuário atribuída à função de Aprovador.

  2. Na árvore Política de Grupo Console de Gerenciamento, selecione Alterar Controle na floresta e domínio no qual você deseja gerenciar GPOs.

  3. Na guia Conteúdo , selecione a guia Controlada para exibir os GPOs controlados.

  4. Selecione Com o botão direito do mouse MyGPO e selecione Excluir. Selecione Excluir GPO do arquivo e da produção para excluir a versão no arquivo e a versão implantada do GPO no ambiente de produção.

  5. Digite um comentário a ser exibido na trilha de auditoria para o GPO e selecione OK.

  6. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O GPO é removido da guia Controlado e é exibido na guia Lixeira , onde pode ser restaurado ou destruído.

Ocasionalmente, você pode descobrir depois de excluir um GPO que ele ainda é necessário. Nesta etapa, você atuará como um Aprovador para restaurar um GPO que foi excluído.

Para restaurar um GPO excluído

  1. Na guia Conteúdo , selecione a guia Lixeira para exibir GPOs excluídos.

  2. Selecione Com o botão direito do mouse MyGPO e selecione Restaurar.

  3. Digite um comentário a ser exibido no histórico do GPO e selecione OK.

  4. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O GPO é removido da guia Lixeira e é exibido na guia Controlado .

    Observação

    Restaurar um GPO no arquivo não o reimplanta automaticamente no ambiente de produção. Para retornar o GPO ao ambiente de produção, implante o GPO como na Etapa 3: Examine e implante um GPO.

Depois de editar e implantar um GPO, você pode descobrir que alterações recentes no GPO estão causando um problema. Nesta etapa, você atuará como um Aprovador para reverter para uma versão anterior do GPO. Você pode reverter para qualquer versão no histórico do GPO. Você pode usar comentários e rótulos para identificar versões boas conhecidas e quando foram feitas alterações específicas.

Para reverter para uma versão anterior de um GPO

  1. Na guia Conteúdo , selecione a guia Controlada para exibir os GPOs controlados.

  2. Selecione duas vezes o MyGPO para exibir seu histórico.

  3. Selecione com o botão direito do mouse a ser implantada, selecione Implantar e selecione Sim.

  4. Quando a janela Progresso indicar que o progresso geral está concluído, selecione Fechar. Na janela Histórico , selecione Fechar.

    Observação

    Para verificar se a versão que foi reimplantada é a versão pretendida, examine um relatório de diferença para as duas versões. Na janela Histórico do GPO, selecione as duas versões, clique com o botão direito do mouse nelas, aponte para Diferença e selecione Relatório HTML ou Relatório XML.