Пошаговое руководство по средству расширенного управления групповыми политиками Майкрософт 2.5

В этом пошаговом руководстве демонстрируются расширенные методы управления групповая политика с помощью консоли групповая политика Management Console (GPMC) и Microsoft Advanced групповая политика Management (AGPM). AGPM увеличивает возможности консоли управления групповыми политиками, предоставляя следующие возможности:

• Стандартные роли для делегирования разрешений для групповая политика объектов (GPO) нескольким групповая политика администраторам.

• Архив, позволяющий администраторам групповая политика создавать и изменять объекты групповой политики в автономном режиме перед их развертыванием в рабочей среде.

• Возможность отката к любой предыдущей версии объекта групповой политики.

• Возможность и возвратов для объектов групповой политики, чтобы групповая политика администраторы не перезаписывайте работу друг друга.

Обзор сценария AGPM

В этом сценарии вы будете использовать отдельную учетную запись пользователя для каждой роли в AGPM, чтобы продемонстрировать, как управлять групповая политика в среде с несколькими администраторами групповая политика с разными уровнями разрешений. В частности, вы выполните следующие задачи:

• Используя учетную запись, которая является членом группы администраторов домена, установите сервер AGPM и назначьте роль администратора AGPM учетной записи или группе.

• С помощью учетных записей, которым будут назначены роли AGPM, установите клиент AGPM.

• Используя учетную запись с ролью администратора AGPM, настройте AGPM и делегируете доступ к GPO, назначив роли другим учетным записям.

• Используя учетную запись с ролью редактора, запросите создание объекта групповой политики, который затем утверждается с помощью учетной записи с ролью утверждающего. С помощью учетной записи редактора проверьте объект групповой политики из архива, измените объект групповой политики, проверьте объект групповой политики в архиве и запросите развертывание.

• Используя учетную запись с ролью утверждающего, просмотрите объект групповой политики и разверните его в рабочей среде.

• Используя учетную запись с ролью редактора, создайте шаблон объекта групповой политики и используйте его в качестве отправной точки для создания нового объекта групповой политики.

• С помощью учетной записи с ролью утверждающего удалите и восстановите объект групповой политики.

Требования

Компьютеры, на которых требуется установить AGPM, должны соответствовать следующим требованиям, и необходимо создать учетные записи для использования в этом сценарии.

Требования к серверу AGPM

Для сервера AGPM 2.5 требуется Windows Vista® (32-разрядная версия) без установленных пакетов обновления или Windows Server® 2003 (32-разрядная версия), а также GPMC. Кроме того, для установки сервера AGPM необходимо быть членом группы "Администраторы домена".

Сервер AGPM следует установить на сервер-член или контроллер домена с последней версией консоли управления групповыми политиками, доступной и поддерживаемой AGPM. AGPM использует GPMC для резервного копирования и восстановления объектов групповой политики, а более новые версии GPMC предоставляют дополнительные параметры политики, недоступные в предыдущих версиях. Если версия консоли управления групповыми политиками на сервере AGPM старше версии на компьютерах, используемых администраторами для управления групповая политика, сервер AGPM не сможет сохранить эти параметры политики, недоступные в более ранней версии GPMC.

В частности, если сервер AGPM работает под управлением Windows Server 2003 и версия консоли управления групповыми политиками, сопровождавший ее, а компьютеры администраторов групповая политика работают под управлением Windows Vista и версию консоли групповой политики, сопровождавший ее, вы по-прежнему можете управлять большинством параметров политики. Однако параметры политики из консоли управления групповыми политиками в Windows Vista, недоступные в консоли управления групповыми политиками в Windows Server 2003, например параметры, связанные с перенаправлением папок, беспроводной сетью (IEEE 802.11) и развернутыми принтерами, не могут храниться сервером AGPM, даже если администраторы могут настроить их с помощью AGPM на своих компьютерах.

Если необходимо установить сервер AGPM на компьютере с более старой версией консоли управления групповыми политиками, чем запущены администраторы групповая политика, см. сведения о том, какие параметры политики доступны в операционных системах, см. в справочнике по параметрам групповая политика. Сведения о скачии групповая политика параметров см. в разделе https://go.microsoft.com/fwlink/?LinkID=106147.

Примечание Архивы нельзя перенести с сервера AGPM или сервера GPOVault под управлением Windows Server 2003 на сервер AGPM под управлением Windows Vista.

Для Windows Server 2003, если GPOVault Server установлен на компьютере, на котором требуется установить сервер AGPM, рекомендуется не удалять GPOVault Server перед началом установки. Установка сервера AGPM приведет к удалению сервера GPOVault и автоматическому переносу существующих архивных данных GPOVault в архив AGPM.

Требования к клиенту AGPM

Для клиента AGPM 2.5 требуется Windows Vista (32-разрядная версия) без установленных пакетов обновления или Windows Server 2003 (32-разрядная версия), а также GPMC. Клиент AGPM можно установить на компьютере под управлением сервера AGPM.

Требования к сценарию

Прежде чем приступить к этому сценарию, создайте четыре учетные записи пользователей. В этом сценарии каждой из этих учетных записей будет назначена одна из следующих ролей AGPM: администратор AGPM (полный доступ), утверждающий, редактор и рецензент. Эти учетные записи должны иметь возможность отправлять и получать сообщения электронной почты. Назначьте разрешения на связывание объектов групповой политики учетным записям с ролями администратора, утверждающего и (при необходимости) редактора AGPM.

Обратитевнимание, что по умолчанию разрешения на объекты групповой политики назначены членам администраторов домена и администраторов предприятия. Чтобы назначить разрешение на связывание объектов групповой политики дополнительным пользователям или группам (например, учетным записям с ролями администратора ИЛИ утверждающего AGPM), щелкните узел домена, а затем откройте вкладку "Делегирование", выберите объекты групповой политики "Ссылка", нажмите кнопку "Добавить" и выберите пользователей или группы, которым необходимо назначить разрешение.

В этом сценарии вы выполняете действия с разными учетными записями. Вы можете войти в систему с каждой учетной записью, как указано выше, или использовать команду " Запуск от имени", чтобы запустить GPMC с указанной учетной записью.

Примечание Чтобы использовать команду "Запуск от имени" с консоли управления групповыми политиками в Windows Server 2003, нажмите кнопку "Пуск", выберите пункт "Администрирование", щелкните правой кнопкой мыши групповая политика Management и выберите команду "Запуск от имени". Щелкните следующего пользователя и введите учетные данные для учетной записи.

Чтобы использовать команду "Запуск от имени" с консоли управления групповыми политиками в Windows Vista, нажмите кнопку "Пуск", наведите указатель на "Выполнить" и введите runas /user:DomainName\UserName"mmc %windir%\system32\gpmc.msc" и нажмите кнопку "ОК". При появлении запроса введите пароль для учетной записи.

Действия по установке и настройке AGPM

Для установки и настройки AGPM необходимо выполнить следующие действия.

Шаг 1. Установка сервера AGPM

Шаг 2. Установка клиента AGPM

Шаг 3. Настройка подключения к серверу AGPM

Шаг 4. Настройка уведомления по электронной почте

Шаг 5. Делегирование доступа

Шаг 1. Установка сервера AGPM

На этом шаге вы установите сервер AGPM на сервер-член или контроллер домена, на котором будет выполняться служба AGPM, и настроите архив. Все операции AGPM управляются с помощью этой службы Windows и выполняются с учетными данными службы. Архив, управляемый сервером AGPM, можно разместить на этом сервере или на другом сервере в том же лесу.

Установка сервера AGPM на компьютере, на котором будет размещена служба AGPM

1. Войдите с учетной записью, которая является членом группы "Администраторы домена".

2. Запустите компакт-диск microsoft Desktop Optimization Pack и следуйте инструкциям на экране, чтобы выбрать групповая политика Advanced групповая политика Server.

3. В диалоговом окне приветствия нажмите кнопку " Далее".

4. В диалоговом окне "Условия лицензионного соглашения на использование программного обеспечения Майкрософт" примите условия и нажмите кнопку "Далее".

5. В диалоговом окне "Путь приложения" выберите расположение для установки сервера AGPM. На компьютере, на котором установлен сервер AGPM, будет размещена служба AGPM и управление архивом. Нажмите кнопку Далее.

6. В диалоговом окне "Путь к архиву" выберите расположение архива относительно сервера AGPM. Путь к архиву может указывать на папку на сервере AGPM или в другом месте, но необходимо выбрать расположение с достаточным пространством для хранения всех объектов групповой политики и данных журнала, управляемых этим сервером AGPM. Нажмите кнопку Далее.

7. В диалоговом окне "Учетная запись службы AGPM" выберите учетную запись службы, под которой будет выполняться служба AGPM, и нажмите кнопку "Далее".

8. В диалоговом окне "Владелец архива" выберите учетную запись или группу, которой необходимо изначально назначить роль администратора AGPM (полный доступ). Этот администратор AGPM может назначать роли и разрешения AGPM другим групповая политика администраторам (включая роль администратора AGPM). В этом сценарии выберите учетную запись, которая будет использоваться в роли администратора AGPM. Нажмите кнопку Далее.

9. Нажмите кнопку "Установить", а затем нажмите кнопку " Готово", чтобы выйти из мастера установки.

   Осторожностью Не изменяйте параметры службы AGPM с помощью средств администрированияи служб в операционной системе. Это может помешать запуску службы AGPM. Сведения об изменении параметров службы см. в справке по расширенному управлению групповая политика.

Шаг 2. Установка клиента AGPM

Каждый групповая политика , кто создает, изменяет, развертывает, проверяет или удаляет объекты групповой политики, должен установить клиент AGPM на компьютерах, которые используются для управления объектами групповой политики. В этом сценарии клиент AGPM устанавливается по крайней мере на одном компьютере. Не нужно устанавливать клиент AGPM на компьютерах конечных пользователей, которые не выполняют групповая политика администрирования.

Установка клиента AGPM на компьютере групповая политика администратора

1. Запустите компакт-диск microsoft Desktop Optimization Pack и следуйте инструкциям на экране, чтобы выбрать "Расширенное управление групповая политика — клиент".

2. В диалоговом окне приветствия нажмите кнопку " Далее".

3. В диалоговом окне "Условия лицензионного соглашения на использование программного обеспечения Майкрософт" примите условия и нажмите кнопку "Далее".

4. В диалоговом окне "Путь приложения" выберите расположение для установки клиента AGPM. Нажмите кнопку Далее.

5. В диалоговом окне "Сервер AGPM " введите полное имя компьютера и порт сервера AGPM, к которому необходимо подключиться. Порт по умолчанию для службы AGPM — 4600. Нажмите кнопку Далее.

6. Нажмите кнопку "Установить", а затем нажмите кнопку " Готово", чтобы выйти из мастера установки.

Шаг 3. Настройка подключения к серверу AGPM

AGPM хранит все версии каждого управляемого объекта групповая политика (GPO), для которого AGPM предоставляет управление изменениями, в центральном архиве, чтобы администраторы групповая политика могли просматривать и изменять объекты групповой политики в автономном режиме без немедленного влияния на развернутую версию каждого объекта групповой политики.

На этом шаге вы настроите подключение к серверу AGPM и убедитесь, что все групповая политика администраторы подключаются к одному серверу AGPM. (Сведения о настройке нескольких серверов AGPM см. в справке по расширенному управлению групповая политика.)

Настройка подключения к серверу AGPM для всех групповая политика администраторов

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с помощью учетной записи пользователя, выбранной в качестве владельца архива. Этот пользователь имеет роль администратора AGPM (полный доступ).

2. Нажмите кнопку "Пуск", выберите пункт "Администрирование" и групповая политика "Управление", чтобы открыть консоль групповая политика управления (GPMC).

3. В дереве групповая политика management Console измените объект групповой политики, применяемый ко всем групповая политика администраторам.

4. В окне групповая политика объектов щелкните "Конфигурация пользователя", "Административные шаблоны" и "Компоненты Windows".

5. Если AGPM отсутствует в списке компонентов Windows:

   1. Щелкните правой кнопкой мыши административные шаблоны и выберите "Добавить или удалить шаблоны".

   2. Нажмите кнопку "Добавить", выберите agpm.admx или agpm.adm, нажмите кнопку " Открыть" и нажмите кнопку "Закрыть".

6. В разделе "Компоненты Windows" дважды щелкните AGPM.

7. В области сведений дважды щелкните сервер AGPM (все домены).

8. В окне свойств сервера AGPM (все домены) выберите "Включено" и введите полное имя компьютера и порт (например, server.contoso.com:4600) для сервера, на котором размещен архив. Порт, используемый службой AGPM, — это порт 4600.

9. Нажмите кнопку "ОК" и закройте групповая политика редактора объектов. При групповая политика обновления подключение к серверу AGPM настраивается для каждого групповая политика администратора.

Шаг 4. Настройка уведомления по электронной почте

Как администратор AGPM (полный доступ) вы назначаете адреса электронной почты утверждающих и администраторов AGPM, которым отправляется сообщение электронной почты, содержащее запрос, когда редактор пытается создать, развернуть или удалить объект групповой политики. Вы также определяете псевдоним, из которого отправляются эти сообщения.

Настройка уведомлений по электронной почте для AGPM

1. В дереве групповая политика management Console щелкните элемент управления "Изменить" в лесу и домене, в которых вы хотите управлять объектами групповой политики.

2. В области сведений откройте вкладку " Делегирование домена ".

3. В поле "От " введите псевдоним электронной почты для AGPM, из которого должны отправляться уведомления.

4. В поле " К" введите адрес электронной почты учетной записи пользователя, которой планируется назначить роль утверждающего.

5. В поле SMTP-сервера введите допустимый почтовый сервер SMTP.

6. В полях "Имя пользователя " и "Пароль " введите учетные данные пользователя с доступом к службе SMTP.

7. Нажмите кнопку Применить.

Шаг 5. Делегирование доступа

Как администратор AGPM (полный доступ) вы делегирование доступа на уровне домена для объектов групповой политики, назначая роли учетной записи каждого групповая политика администратора.

Примечание Вы также можете делегировать доступ на уровне объекта групповой политики, а не на уровне домена. Дополнительные сведения см. в справке по расширенному управлению групповая политика управления.

Важно Следует ограничить членство в группе групповая политика creator Owners, поэтому его нельзя использовать для обхода управления доступом к GPO с помощью AGPM. (В консоли управления групповая политика щелкните групповая политика Objects in the forest and domain in which you want to manage GPO, click Delegation, and then configure the settings to meet the needs of your organization.)

Делегирование доступа ко всем GPO в домене

1. В дереве групповая политика management Console щелкните элемент управления "Изменить" в лесу и домене, в которых вы хотите управлять объектами групповой политики.

2. На вкладке "Делегирование домена" нажмите кнопку "Дополнительно ".

3. В диалоговом окне "Разрешения":

   1. Щелкните учетную запись администратора групповая политика, а затем установите флажок "Утверждающий", чтобы назначить эту роль учетной записи. Снимите флажок " Редактор". (Эта роль включает роль рецензента.)

   2. Щелкните учетную запись другого групповая политика администратора, а затем установите флажок "Редактор", чтобы назначить эту роль учетной записи. (Эта роль включает роль рецензента.)

   3. Щелкните третью учетную запись, а затем установите флажок "Рецензент", чтобы назначить учетной записи этого администратора только роль групповая политика рецензента. Снимите флажок " Редактор".

   4. Нажмите кнопку "Дополнительно ".

4. В диалоговом окне "Дополнительные параметры безопасности ":

   1. Выберите администратора групповая политика и нажмите кнопку "Изменить".

   2. Для параметра "Применить на" выберите этот объект и вложенные объекты, а затем нажмите кнопку " ОК" в диалоговом окне "Записьразрешений ".

   3. Повторите это для каждого групповая политика администратора.

5. В диалоговом окне "Дополнительные параметры безопасности " нажмите кнопку "ОК".

6. В диалоговом окне "Разрешения" нажмите кнопку "ОК".

Действия по управлению объектами групповой политики

Чтобы создать, изменить, проверить и развернуть объекты групповой политики с помощью AGPM, выполните следующие действия. Кроме того, вы создадим шаблон, удалите объект групповой политики и восстановите удаленный объект групповой политики.

Шаг 1. Создание объекта групповой политики

Шаг 2. Изменение объекта групповой политики

Шаг 3. Проверка и развертывание объекта групповой политики

Шаг 4. Создание объекта групповой политики с помощью шаблона

Шаг 5. Удаление и восстановление объекта групповой политики

Шаг 1. Создание объекта групповой политики

В среде с несколькими групповая политика администраторами пользователи с ролью редактора могут запрашивать создание новых объектов групповой политики, но такой запрос должен быть утвержден пользователем с ролью утверждающего, так как создание нового объекта групповой политики влияет на рабочую среду.

На этом шаге вы используете учетную запись с ролью редактора, чтобы запросить создание нового объекта групповой политики. Используя учетную запись с ролью утверждающего, вы утверждаете этот запрос и завершаете создание объекта групповой политики.

Запрос на создание нового объекта групповой политики, управляемого с помощью AGPM

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с помощью учетной записи пользователя, которой назначена роль редактора в AGPM.

2. В дереве групповая политика management Console щелкните элемент управления "Изменить" в лесу и домене, в которых вы хотите управлять объектами групповой политики.

3. Щелкните правой кнопкой мыши узел "Управление изменениями " и выберите команду "Создать управляемый объект групповой политики".

4. В диалоговом окне создания управляемого объекта групповой политики:

   1. Чтобы получить копию запроса, введите адрес электронной почты в поле "Копия ".

   2. Введите MyGPO в качестве имени нового объекта групповой политики.

   3. Введите комментарий для нового объекта групповой политики.

   4. Нажмите кнопку "Создать в реальном времени", чтобы новый объект групповой политики был развернут в рабочей среде сразу после утверждения.

   5. Нажмите кнопку Отправить.

5. Когда окно хода выполнения AGPM указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". Новый объект групповой политики отображается на вкладке "Ожидание ".

Утверждение ожидающего запроса на создание объекта групповой политики

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с помощью учетной записи пользователя, которой назначена роль утверждающего в AGPM.

2. Откройте почтовый ящик для учетной записи и обратите внимание, что вы получили сообщение электронной почты из псевдонима AGPM с запросом редактора на создание объекта групповой политики.

3. В дереве групповая политика management Console щелкните элемент управления "Изменить" в лесу и домене, в которых вы хотите управлять объектами групповой политики.

4. На вкладке "Содержимое " щелкните вкладку " Ожидание", чтобы отобразить ожидающие объекты групповой политики.

5. Щелкните Правой кнопкой мыши MyGPO и выберите команду " Утвердить".

6. Нажмите кнопку "Да", чтобы подтвердить утверждение создания объекта групповой политики. Объект групповой политики перемещается на управляемую вкладку .

Шаг 2. Изменение объекта групповой политики

Объекты групповой политики можно использовать для настройки параметров компьютера или пользователя и их развертывания на многих компьютерах или пользователях. На этом шаге вы используете учетную запись с ролью редактора, чтобы получить объект групповой политики из архива, изменить объект групповой политики в автономном режиме, проверить измененный объект групповой политики в архиве и запросить развертывание объекта групповой политики в рабочей среде. В этом сценарии вы настраиваете параметр в объекте групповой политики так, чтобы длина пароля была не менее восьми символов.

Извлечение объекта групповой политики из архива для редактирования

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с помощью учетной записи пользователя, которой назначена роль редактора в AGPM.

2. В дереве групповая политика management Console щелкните элемент управления "Изменить" в лесу и домене, в которых вы хотите управлять объектами групповой политики.

3. На вкладке "Содержимое" в области сведений щелкните вкладку "Управляемое", чтобы отобразить управляемые объекты групповой политики.

4. Щелкните Правой кнопкой мыши MyGPO и выберите пункт "Извлечение".

5. Введите комментарий, который будет отображаться в журнале объекта групповой политики при извлечении, и нажмите кнопку "ОК".

6. Когда окно хода выполнения AGPM указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". На управляемой вкладке состояние объекта групповой политики определяется как Извлеченное.

Изменение объекта групповой политики в автономном режиме и настройка минимальной длины пароля

1. На управляемой вкладке щелкните правой кнопкой мыши MyGPO и выберите команду "Изменить", чтобы открыть окно редактора объектов групповая политика и внести изменения в автономную копию объекта групповой политики. В этом сценарии настройте минимальную длину пароля:

   1. В разделе "Конфигурация компьютера" дважды щелкните "Параметры Windows", дважды щелкните "Параметры безопасности", дважды щелкните "Политики учетных записей" и дважды щелкните "Политика паролей".

   2. В области сведений дважды щелкните минимальную длину пароля.

   3. В окне свойств установите флажок " Определить этот параметр политики", задайте число символов 8 и нажмите кнопку "ОК ".

2. Закройте групповая политика редактора объектов.

Проверка объекта групповой политики в архиве

1. На управляемой вкладке щелкните правой кнопкой мыши MyGPO и выберите пункт "Возврат ".

2. Введите комментарий и нажмите кнопку "ОК".

3. Когда окно хода выполнения AGPM указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". На управляемой вкладке состояние объекта групповой политики определяется как "Извлечено".

Запрос на развертывание объекта групповой политики в рабочей среде

1. На управляемой вкладке щелкните правой кнопкой мыши MyGPO и выберите команду "Развернуть".

2. Так как эта учетная запись не является утверждающим или администратором AGPM, необходимо отправить запрос на развертывание. Чтобы получить копию запроса, введите адрес электронной почты в поле "Копия ". Введите комментарий, который будет отображаться в журнале объекта групповой политики, и нажмите кнопку "Отправить".

3. Когда окно хода выполнения AGPM указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". MyGPO отображается в списке объектов групповой политики на вкладке "Ожидание ".

Шаг 3. Проверка и развертывание объекта групповой политики

На этом шаге вы выступаете в качестве утверждающего, создавая отчеты и анализируя параметры и изменения параметров в объекте групповой политики, чтобы определить, следует ли утверждать их. После оценки объекта групповой политики вы развернете его в рабочей среде и свяжите с доменом или подразделением, чтобы он вступает в силу при обновлении групповая политика для компьютеров в этом домене или подразделении.

Просмотр параметров в объекте групповой политики

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с помощью учетной записи пользователя, которой назначена роль утверждающего в AGPM. (Любой групповая политика с ролью рецензента, которая входит во все остальные роли, может просматривать параметры в объекте групповой политики.)

2. Откройте почтовый ящик для учетной записи и обратите внимание, что вы получили сообщение электронной почты из псевдонима AGPM с запросом редактора на развертывание объекта групповой политики.

3. В дереве групповая политика management Console щелкните элемент управления "Изменить" в лесу и домене, в которых вы хотите управлять объектами групповой политики.

4. На вкладке "Содержимое " в области сведений щелкните вкладку "Ожидание ".

5. Дважды щелкните MyGPO, чтобы отобразить журнал.

6. Проверьте параметры в последней версии MyGPO:

   1. В окне "Журнал" щелкните правой кнопкой мыши версию объекта групповой политики с последней меткой времени, выберите пункт "Параметры", а затем щелкните ОТЧЕТ HTML, чтобы отобразить сводку параметров объекта групповой политики.

   2. В веб-браузере щелкните "Показать все" , чтобы отобразить все параметры в объекте групповой политики.

   3. Закройте браузер.

7. Сравните последнюю версию MyGPO с первой проверенной версией с архивом:

   1. В окне " Журнал" щелкните версию объекта групповой политики с последней меткой времени. Нажмите клавишу CTRL и выберите старую версию объекта групповой политики с состоянием "Извлечено".

   2. Нажмите кнопку "Различия ". Раздел политики учетных записей и политики паролей выделен зеленым цветом и предшествует [+], что указывает, что этот параметр настроен только в последней версии объекта групповой политики.

   3. Щелкните "Политики учетной записи" или "Политика паролей". Параметр минимальной длины пароля также выделен зеленым цветом и предшествует [+], что указывает, что он настроен только в последней версии объекта групповой политики.

   4. Закройте веб-браузер.

Развертывание объекта групповой политики в рабочей среде

1. На вкладке "Ожидание " щелкните правой кнопкой мыши MyGPO и выберите команду " Утвердить".

2. Введите комментарий для включаемого в журнал объекта групповой политики.

3. Щелкните Да. Когда окно хода выполнения AGPM указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". Объект групповой политики развертывается в рабочей среде.

Связывание объекта групповой политики с доменом или подразделением

1. В консоли управления групповыми политиками щелкните правой кнопкой мыши домен или подразделение, к которому следует применить настроенный объект групповой политики, а затем щелкните "Связать существующий объект групповой политики".

2. В диалоговом окне "Выбор объекта групповой политики" щелкните MyGPO и нажмите кнопку " ОК".

Шаг 4. Создание объекта групповой политики с помощью шаблона

На этом шаге вы используете учетную запись с ролью редактора для создания шаблона — неуправляемой статической версии объекта групповой политики для использования в качестве отправной точки для создания новых объектов групповой политики, а затем создайте новый объект групповой политики на основе этого шаблона. Шаблоны полезны для быстрого создания нескольких объектов групповой политики, которые включают множество одинаковых параметров.

Создание шаблона на основе существующего объекта групповой политики

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с помощью учетной записи пользователя, которой назначена роль редактора в AGPM.

2. В дереве групповая политика management Console щелкните элемент управления "Изменить" в лесу и домене, в которых вы хотите управлять объектами групповой политики.

3. На вкладке "Содержимое " в области сведений щелкните вкладку "Управляемое ".

4. Щелкните Правой кнопкой мыши MyGPO, а затем выберите команду "Сохранить как шаблон", чтобы создать шаблон, включив все параметры, которые в настоящее время находятся в MyGPO.

5. Введите MyTemplate в качестве имени шаблона и комментария, а затем нажмите кнопку "ОК".

6. Когда окно хода выполнения AGPM указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". Новый шаблон появится на вкладке "Шаблоны ".

Запрос на создание нового объекта групповой политики, управляемого с помощью AGPM

1. Щелкните вкладку "Управляемый ".

2. Щелкните правой кнопкой мыши узел "Управление изменениями " и выберите команду "Создать управляемый объект групповой политики".

3. В диалоговом окне создания управляемого объекта групповой политики:

   1. Чтобы получить копию запроса, введите адрес электронной почты в поле "Копия ".

   2. Введите MyOtherGPO в качестве имени нового объекта групповой политики.

   3. Введите комментарий для нового объекта групповой политики.

   4. Нажмите кнопку "Создать в реальном времени", чтобы новый объект групповой политики был развернут в рабочей среде сразу после утверждения.

   5. Для шаблона "Из объекта групповой политики" выберите MyTemplate.

   6. Нажмите кнопку Отправить.

4. Когда окно хода выполнения AGPM указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". Новый объект групповой политики отображается на вкладке "Ожидание ".

Используйте учетную запись, которой назначена роль утверждающего, чтобы утвердить ожидающий запрос, чтобы создать объект групповой политики, как это было на шаге 1. Создание объекта групповой политики. MyTemplate включает все параметры, настроенные в MyGPO. Так как MyOtherGPO был создан с помощью MyTemplate, он изначально содержит все параметры, содержащиеся в MyGPO во время создания MyTemplate. Это можно проверить, создав отчет о различиях для сравнения MyOtherGPO с MyTemplate.

Извлечение объекта групповой политики из архива для редактирования

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с помощью учетной записи пользователя, которой назначена роль редактора в AGPM.

2. Щелкните правой кнопкой мыши MyOtherGPO и выберите пункт "Извлечение".

3. Введите комментарий, который будет отображаться в журнале объекта групповой политики при извлечении, и нажмите кнопку " ОК".

4. Когда окно хода выполнения AGPM указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". На управляемой вкладке состояние объекта групповой политики определяется как Извлеченное.

Изменение объекта групповой политики в автономном режиме и настройка длительности блокировки учетной записи

1. На управляемой вкладке щелкните правой кнопкой мыши MyOtherGPO и выберите команду "Изменить", чтобы открыть окно редактора объектов групповая политика и внести изменения в автономную копию объекта групповой политики. В этом сценарии настройте минимальную длину пароля:

   1. В разделе "Конфигурация компьютера" дважды щелкните "Параметры Windows", дважды щелкните "Параметры безопасности", дважды щелкните "Политики учетных записей" и дважды щелкните "Политика блокировки учетных записей".

   2. В области сведений дважды щелкните длительность блокировки учетной записи.

   3. В окне свойств установите флажок "Определить этот параметр политики", задайте длительность в 30 минут и нажмите кнопку "ОК ".

2. Закройте групповая политика редактора объектов.

Проверьте MyOtherGPO в архиве и запросите развертывание так же, как для MyGPO на шаге 2. Изменение объекта групповой политики. Вы можете сравнить MyOtherGPO с MyGPO или MyTemplate с помощью отчетов о различиях. Создавать отчеты может любая учетная запись, которая включает роль рецензента (администратор AGPM [полный доступ], утверждающий, редактор или рецензент.

Сравнение объекта групповой политики с другим объектом групповой политики и шаблоном

1. Чтобы сравнить MyGPO и MyOtherGPO, выполните следующие действия.

   1. На вкладке "Управляемое " щелкните MyGPO. Нажмите клавишу CTRL и щелкните MyOtherGPO.

   2. Щелкните правой кнопкой мыши MyOtherGPO, выберите пункт "Различия" и щелкните HTML-отчет.

2. Чтобы сравнить MyOtherGPO и MyTemplate, выполните следующие действия.

   1. На управляемой вкладке щелкните MyOtherGPO.

   2. Щелкните Правой кнопкой мыши MyOtherGPO, наведите указатель мыши на пункт "Различия" и выберите пункт " Шаблон".

   3. Выберите MyTemplate иHTML Report и нажмите кнопку "ОК".

Шаг 5. Удаление и восстановление объекта групповой политики

На этом шаге вы выступаете в качестве утверждающего для удаления объекта групповой политики.

Удаление объекта групповой политики

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с помощью учетной записи пользователя, которой назначена роль утверждающего.

2. В дереве групповая политика management Console щелкните элемент управления "Изменить" в лесу и домене, в которых вы хотите управлять объектами групповой политики.

3. На вкладке "Содержимое " щелкните вкладку " Управляемое", чтобы отобразить управляемые объекты групповой политики.

4. Щелкните правой кнопкой мыши MyGPO и выберите команду "Удалить". Нажмите кнопку "Удалить объект групповой политики из архива и рабочей среды", чтобы удалить как версию в архиве, так и развернутую версию объекта групповой политики в рабочей среде.

5. Введите комментарий, который будет отображаться в журнале аудита для объекта групповой политики, и нажмите кнопку " ОК".

6. Когда окно хода выполнения AGPM указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". Объект групповой политики удаляется с управляемой вкладки и отображается на вкладке корзины, где его можно восстановить или удалить.

Иногда после удаления объекта групповой политики вы можете обнаружить, что он по-прежнему необходим. На этом шаге вы выступаете в качестве утверждающего для восстановления объекта групповой политики, который был удален.

Восстановление удаленного объекта групповой политики

1. На вкладке "Содержимое " перейдите на вкладку корзины , чтобы отобразить удаленные объекты групповой политики.

2. Щелкните Правой кнопкой мыши MyGPO и выберите команду "Восстановить".

3. Введите комментарий, который будет отображаться в журнале объекта групповой политики, и нажмите кнопку " ОК".

4. Когда окно хода выполнения AGPM указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". Объект групповой политики удаляется с вкладки корзины и отображается на управляемой вкладке .

   Примечание Восстановление объекта групповой политики в архив не приводит к автоматическому повторному развертывании объекта в рабочей среде. Чтобы вернуть объект групповой политики в рабочую среду, разверните объект групповой политики, как показано на шаге 3. Проверка и развертывание объекта групповой политики.

После редактирования и развертывания объекта групповой политики вы можете обнаружить, что последние изменения объекта групповой политики вызывают проблему. На этом шаге вы выступаете в качестве утверждающего для отката к предыдущей версии объекта групповой политики. Вы можете выполнить откат к любой версии в журнале объекта групповой политики. Комментарии и метки можно использовать для определения известных хороших версий и при внесении определенных изменений.

Откат до предыдущей версии объекта групповой политики

1. На вкладке "Содержимое " щелкните вкладку " Управляемое", чтобы отобразить управляемые объекты групповой политики.

2. Дважды щелкните MyGPO, чтобы отобразить журнал.

3. Щелкните правой кнопкой мыши версию для развертывания, выберите пункт "Развернуть" и нажмите кнопку " Да".

4. Когда окно "Ход выполнения" указывает, что общий ход выполнения завершен, нажмите кнопку "Закрыть". В окне " Журнал" нажмите кнопку "Закрыть".

   Примечание Чтобы убедиться, что версия, которая была повторно развернута, является требуемой, изучите отчет о различиях для двух версий. В окне " Журнал" для объекта групповой политики выберите две версии, щелкните их правой кнопкой мыши, наведите указатель мыши на " Разница", а затем выберите отчет HTML или отчет XML.