Freigeben über

Schrittweise Anleitung für Microsoft Advanced Group Policy Management 4.0

  • Artikel

In dieser Schritt-für-Schritt-Anleitung werden erweiterte Techniken für die Gruppenrichtlinie-Verwaltung erläutert, die die Gruppenrichtlinie Management Console (GPMC) und Microsoft Advanced Gruppenrichtlinie Management (AGPM) verwenden. AGPM erweitert die Funktionen der GPMC und bietet Folgendes:

  • Standard Rollen zum Delegieren von Berechtigungen zum Verwalten Gruppenrichtlinie Objects (GPOs) an mehrere Gruppenrichtlinie Administratoren, zusätzlich zur Möglichkeit, den Zugriff auf Gruppenrichtlinienobjekte in der Produktionsumgebung zu delegieren.

  • Ein Archiv, mit dem Gruppenrichtlinie Administratoren Gruppenrichtlinienobjekte offline erstellen und ändern können, bevor die Gruppenrichtlinienobjekte in einer Produktionsumgebung bereitgestellt werden.

  • Die Möglichkeit, ein Rollback auf eine frühere Version eines Gruppenrichtlinienobjekts im Archiv durchzuführen und die Anzahl der im Archiv gespeicherten Versionen zu begrenzen.

  • Ein- und Auscheckfunktion für Gruppenrichtlinienobjekte, um sicherzustellen, dass sich Gruppenrichtlinie Administratoren nicht unbeabsichtigt gegenseitig überschreiben.

  • Die Möglichkeit, nach Gruppenrichtlinienobjekten mit bestimmten Attributen zu suchen und die Liste der angezeigten Gruppenrichtlinienobjekte zu filtern.

Übersicht über das AGPM-Szenario

In diesem Szenario verwenden Sie ein separates Benutzerkonto für jede Rolle in AGPM, um zu veranschaulichen, wie Gruppenrichtlinie in einer Umgebung mit mehreren Gruppenrichtlinie Administratoren mit unterschiedlichen Berechtigungsebenen verwaltet werden können. Insbesondere führen Sie die folgenden Aufgaben aus:

  • Installieren Sie mithilfe eines Kontos, das Mitglied der Gruppe Domänenadministratoren ist, DEN AGPM-Server, und weisen Sie einem Konto oder einer Gruppe die Rolle "AGPM-Administrator" zu.

  • Installieren Sie den AGPM-Client mithilfe von Konten, denen Sie AGPM-Rollen zuweisen.

  • Konfigurieren Sie mithilfe eines Kontos, das über die Rolle AGPM-Administrator verfügt, AGPM, und delegieren Sie den Zugriff auf Gruppenrichtlinienobjekte, indem Sie anderen Konten Rollen zuweisen.

  • Fordern Sie von einem Konto mit der rolle "Editor" an, dass ein neues Gruppenrichtlinienobjekt erstellt wird, das Sie dann mithilfe eines Kontos genehmigen, das über die Rolle Genehmigende Person verfügt. Verwenden Sie das Editor-Konto, um das Gruppenrichtlinienobjekt aus dem Archiv auszuchecken, das Gruppenrichtlinienobjekt zu bearbeiten, das Gruppenrichtlinienobjekt in das Archiv einzuchecken und dann die Bereitstellung anzufordern.

  • Überprüfen Sie mithilfe eines Kontos mit der Rolle Genehmigende Person das Gruppenrichtlinienobjekt, und stellen Sie es in Ihrer Produktionsumgebung bereit.

  • Erstellen Sie mithilfe eines Kontos mit der rolle "Editor" eine GPO-Vorlage, und verwenden Sie sie als Ausgangspunkt für die Erstellung eines neuen Gruppenrichtlinienobjekts.

  • Löschen Und wiederherstellen Sie ein Gruppenrichtlinienobjekt mithilfe eines Kontos, das über die Rolle Genehmigende Person verfügt.

Entwicklungsprozess für Gruppenrichtlinienobjekte.

AGPM-Serveranforderungen

AGPM Server 4.0 erfordert Windows Server 2012 oder Windows 10 und höher sowie die GPMC von RemoteServer Administration Tools (RSAT). Sowohl 32-Bit- als auch 64-Bit-Versionen werden unterstützt.

Bevor Sie AGPM Server installieren, müssen Sie Mitglied der Gruppe Domänenadministratoren sein, und die folgenden Windows-Features müssen vorhanden sein, sofern nicht anders angegeben:

  • GPMC

    • Windows Server 2012 oder neuer: Wenn die GPMC nicht vorhanden ist, wird sie automatisch von AGPM installiert.

    • Windows 10 oder höher: Sie müssen die GPMC aus RSAT installieren, bevor Sie AGPM installieren. Weitere Informationen finden Sie unter Remoteserver-Verwaltungstools (RSAT) für Windows.

Die folgenden Windows-Features sind für AGPM Server erforderlich und werden automatisch installiert, wenn sie nicht vorhanden sind:

  • WCF-Aktivierung; Nicht-HTTP-Aktivierung

  • Windows-Prozessaktivierungsdienst

    • Prozessmodell

    • Die .NET-Umgebung

    • Konfigurations-APIs

AGPM-Clientanforderungen

Der AGPM-Client 4.0 erfordert Windows Server 2012 oder Windows 10 und höher sowie die GPMC von RSAT. Sowohl 32-Bit- als auch 64-Bit-Versionen werden unterstützt. Der AGPM-Client kann auf einem Computer installiert werden, auf dem der AGPM-Server ausgeführt wird.

Die folgenden Windows-Features sind vom AGPM-Client erforderlich und werden, sofern nicht anders angegeben, automatisch installiert, wenn sie nicht vorhanden sind:

  • GPMC

    • Windows Server 2012 und neuer: Wenn die GPMC nicht vorhanden ist, wird sie automatisch von AGPM installiert.

    • Windows 10 und höher: Sie müssen die GPMC aus RSAT installieren, bevor Sie AGPM installieren. Weitere Informationen finden Sie unter Remoteserver-Verwaltungstools (RSAT) für Windows.

Szenarioanforderungen

Bevor Sie mit diesem Szenario beginnen, erstellen Sie vier Benutzerkonten. Während des Szenarios weisen Sie jedem dieser Konten eine der folgenden AGPM-Rollen zu: AGPM-Administrator (Vollzugriff), Genehmigende Person, Editor und Prüfer. Diese Konten müssen in der Lage sein, E-Mail-Nachrichten zu senden und zu empfangen. Weisen Sie den Konten die Berechtigung Gruppenrichtlinienobjekte verknüpfen zu, die über die Rollen AGPM-Administrator, Genehmigende Person und (optional) Editor verfügen.

Hinweis

Die Berechtigung "Gruppenrichtlinienobjekte verknüpfen" ist standardmäßig Mitgliedern von Domänenadministratoren und Unternehmensadministratoren zugewiesen. Wenn Sie zusätzlichen Benutzern oder Gruppen die Berechtigung Gruppenrichtlinienobjekte verknüpfen (z. B. Konten mit den Rollen "AGPM-Administrator" oder "Genehmigende Person") zuweisen möchten, wählen Sie den Knoten für die Domäne und dann die Registerkarte Delegierung aus, wählen Sie Gruppenrichtlinienobjekte verknüpfen, dann Hinzufügen und Benutzer oder Gruppen aus, denen Sie die Berechtigung zuweisen möchten.

Schritte zum Installieren und Konfigurieren von AGPM

Sie müssen die folgenden Schritte ausführen, um AGPM zu installieren und zu konfigurieren.

Schritt 1: Installieren des AGPM-Servers

Schritt 2: Installieren des AGPM-Clients

Schritt 3: Konfigurieren einer AGPM-Serververbindung

Schritt 4: Konfigurieren von E-Mail-Benachrichtigungen

Schritt 5: Delegieren des Zugriffs

Schritt 1: Installieren des AGPM-Servers

In diesem Schritt installieren Sie den AGPM-Server auf dem Mitgliedsserver oder Domänencontroller, auf dem der AGPM-Dienst ausgeführt wird, und konfigurieren das Archiv. Alle AGPM-Vorgänge werden über diesen Windows-Dienst verwaltet und mit den Anmeldeinformationen des Diensts ausgeführt. Das von einem AGPM-Server verwaltete Archiv kann auf diesem Server oder auf einem anderen Server in derselben Gesamtstruktur gehostet werden.

So installieren Sie den AGPM-Server auf dem Computer, auf dem der AGPM-Dienst gehostet wird

  1. Melden Sie sich mit einem Konto an, das Mitglied der Gruppe Domänen-Admins ist.

  2. Starten Sie die CD Microsoft Desktop Optimization Pack, und folgen Sie den Anweisungen auf dem Bildschirm, um Advanced Gruppenrichtlinie Management – Server auszuwählen.

  3. Wählen Sie im Dialogfeld Willkommen die Option Weiter aus.

  4. Akzeptieren Sie im Dialogfeld Microsoft-Software-Lizenzbedingungen die Bedingungen, und wählen Sie dann Weiter aus.

  5. Wählen Sie im Dialogfeld Anwendungspfad einen Speicherort aus, an dem AGPM-Server installiert werden soll. Der Computer, auf dem der AGPM-Server installiert ist, hostt den AGPM-Dienst und verwaltet das Archiv. Wählen Sie Weiter aus.

  6. Wählen Sie im Dialogfeld Archiv Pfad einen Speicherort für das Archiv in Bezug auf den AGPM-Server aus. Der Archivpfad kann auf einen Ordner auf dem AGPM-Server oder an einer anderen Stelle verweisen. Sie sollten jedoch einen Speicherort mit genügend Speicherplatz auswählen, um alle gpOs und Verlaufsdaten zu speichern, die von diesem AGPM-Server verwaltet werden. Wählen Sie Weiter aus.

  7. Wählen Sie im Dialogfeld AGPM-Dienstkonto ein Dienstkonto aus, unter dem der AGPM-Dienst ausgeführt wird, und wählen Sie dann Weiter aus.

    Dieses Konto muss Mitglied der Gruppe "Domänen-Admins" oder, für eine Konfiguration mit den geringsten Rechten, in den folgenden Gruppen in jeder Domäne sein, die vom AGPM-Server verwaltet wird:

    • Gruppenrichtlinien Ersteller Besitzer

    • Sicherungsoperatoren

    Dieses Konto muss Mitglied der lokalen Administratorgruppe auf dem AGPM-Servercomputer sein. Dies ist erforderlich, um erfolgreich zu behandeln.

    Darüber hinaus erfordert dieses Konto die Berechtigung Vollzugriff für die folgenden Ordner:

    • Der AGPM-Archivordner, für den diese Berechtigung automatisch während der Installation des AGPM-Servers erteilt wird, wenn er auf einem lokalen Laufwerk installiert ist.

    • Der lokale temporäre Systemordner, in der Regel %windir%\temp.

  8. Wählen Sie im Dialogfeld Archiv Besitzer ein Konto oder eine Gruppe aus, dem Sie die Rolle AGPM-Administrator (Vollzugriff) zuweisen. AGPM-Administratoren können anderen Gruppenrichtlinie Administratoren AGPM-Rollen und -Berechtigungen zuweisen, sodass Sie später die Rolle des AGPM-Administrators zusätzlichen Gruppenrichtlinie Administratoren zuweisen können. Wählen Sie für dieses Szenario das Konto aus, das in der Rolle AGPM-Administrator verwendet werden soll. Wählen Sie Weiter aus.

  9. Geben Sie im Dialogfeld Portkonfiguration einen Port ein, an dem der AGPM-Dienst lauschen soll. Deaktivieren Sie das Kontrollkästchen Portausnahme zur Firewall hinzufügen nur, wenn Sie Portausnahmen manuell konfigurieren oder Regeln zum Konfigurieren von Portausnahmen verwenden. Wählen Sie Weiter aus.

  10. Wählen Sie im Dialogfeld Sprachen eine oder mehrere Anzeigesprachen aus, die für den AGPM-Server installiert werden sollen.

  11. Wählen Sie Installieren und dann Fertig stellen aus, um den Setup-Assistenten zu beenden.

    Vorsicht Ändern Sie die Einstellungen für den AGPM-Dienst nicht über Verwaltungstools und Dienste im Betriebssystem. Dadurch kann verhindert werden, dass der AGPM-Dienst gestartet wird. Informationen zum Ändern der Einstellungen für den Dienst finden Sie unter Hilfe zur erweiterten Gruppenrichtlinie Verwaltung.

Schritt 2: Installieren des AGPM-Clients

Jeder Gruppenrichtlinie Administrator – jeder, der Gruppenrichtlinienobjekte erstellt, bearbeitet, bereitstellt, überprüft oder löscht – muss den AGPM-Client auf Computern installiert haben, die er zum Verwalten von Gruppenrichtlinienobjekten verwendet. Der Knoten Änderungssteuerung, den Sie zum Ausführen vieler GPO-Verwaltungsaufgaben verwenden, wird in der Gruppenrichtlinie Management Console nur angezeigt, wenn Sie den AGPM-Client installieren. In diesem Szenario installieren Sie den AGPM-Client auf mindestens einem Computer. Sie müssen den AGPM-Client nicht auf den Computern von Endbenutzern installieren, die keine Gruppenrichtlinie-Verwaltung ausführen.

So installieren Sie den AGPM-Client auf dem Computer eines Gruppenrichtlinie Administrators

  1. Starten Sie die CD Microsoft Desktop Optimization Pack, und folgen Sie den Anweisungen auf dem Bildschirm, um Erweiterte Gruppenrichtlinie Verwaltung – Client auszuwählen.

  2. Wählen Sie im Dialogfeld Willkommen die Option Weiter aus.

  3. Akzeptieren Sie im Dialogfeld Microsoft-Software-Lizenzbedingungen die Bedingungen, und wählen Sie dann Weiter aus.

  4. Wählen Sie im Dialogfeld Anwendungspfad einen Speicherort aus, an dem AGPM-Client installiert werden soll. Wählen Sie Weiter aus.

  5. Geben Sie im Dialogfeld AGPM-Server den DNS-Namen oder die IP-Adresse für den AGPM-Server und den Port ein, mit dem Sie eine Verbindung herstellen möchten. Der Standardport für den AGPM-Dienst ist 4600. Deaktivieren Sie das Kontrollkästchen Microsoft Management Console durch die Firewall zulassen nur, wenn Sie Portausnahmen manuell konfigurieren oder Regeln zum Konfigurieren von Portausnahmen verwenden. Wählen Sie Weiter aus.

  6. Wählen Sie im Dialogfeld Sprachen eine oder mehrere Anzeigesprachen aus, die für den AGPM-Client installiert werden sollen.

  7. Wählen Sie Installieren und dann Fertig stellen aus, um den Setup-Assistenten zu beenden.

Schritt 3: Konfigurieren einer AGPM-Serververbindung

AGPM speichert alle Versionen jedes gesteuerten Gruppenrichtlinie Object (GPO), d. h. jedes Gruppenrichtlinienobjekt, für das AGPM Änderungssteuerung bereitstellt, in einem zentralen Archiv. Dadurch können Gruppenrichtlinie Administratoren Gruppenrichtlinienobjekte offline anzeigen und ändern, ohne die bereitgestellte Version der einzelnen Gruppenrichtlinienobjekte sofort zu beeinträchtigen.

In diesem Schritt konfigurieren Sie eine AGPM-Serververbindung und stellen sicher, dass alle Gruppenrichtlinie Administratoren eine Verbindung mit demselben AGPM-Server herstellen. (Informationen zum Konfigurieren mehrerer AGPM-Server finden Sie unter Hilfe für advanced Gruppenrichtlinie Management.)

So konfigurieren Sie eine AGPM-Serververbindung für alle Gruppenrichtlinie Administratoren

  1. Melden Sie sich auf einem Computer, auf dem Sie den AGPM-Client installiert haben, mit dem Benutzerkonto an, das Sie als Archiv Besitzer ausgewählt haben. Dieser Benutzer hat die Rolle des AGPM-Administrators (Vollzugriff).

  2. Wählen Sie Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann Gruppenrichtlinie Verwaltung aus, um die GRUPPENrichtlinien-Verwaltungskonsole zu öffnen.

  3. Bearbeiten Sie ein Gruppenrichtlinienobjekt, das auf alle Gruppenrichtlinie Administratoren angewendet wird.

  4. Doppelklicken Sie im Fenster Gruppenrichtlinie Management Editor auf Benutzerkonfiguration, Richtlinien, Administrative Vorlagen, Windows-Komponenten und AGPM.

  5. Doppelklicken Sie im Detailbereich auf AGPM: Standard-AGPM-Server (alle Domänen) angeben.

  6. Wählen Sie im Fenster Eigenschaften die Option Aktiviert aus, und geben Sie den DNS-Namen oder die IP-Adresse und den Port (z. B. server.contoso.com:4600) für den Server ein, auf dem das Archiv gehostet wird. Standardmäßig verwendet der AGPM-Dienst Port 4600.

  7. Wählen Sie OK aus, und schließen Sie dann das Fenster Gruppenrichtlinie Management Editor. Wenn Gruppenrichtlinie aktualisiert wird, wird die AGPM-Serververbindung für jeden Gruppenrichtlinie-Administrator konfiguriert.

Schritt 4: Konfigurieren von E-Mail-Benachrichtigungen

Als AGPM-Administrator (Vollzugriff) legen Sie die E-Mail-Adressen von genehmigenden Personen und AGPM-Administratoren fest, an die eine E-Mail-Nachricht gesendet wird, die eine Anforderung enthält, wenn ein Editor versucht, ein Gruppenrichtlinienobjekt zu erstellen, bereitzustellen oder zu löschen. Sie bestimmen auch den Alias, von dem diese Nachrichten gesendet werden.

So konfigurieren Sie E-Mail-Benachrichtigungen für AGPM

  1. Navigieren Sie in Gruppenrichtlinie Management Editor zum Ordner Change Control.

  2. Wählen Sie im Detailbereich die Registerkarte Domänendelegierung aus.

  3. Geben Sie im Feld Von E-Mail-Adresse den E-Mail-Alias für AGPM ein, von dem aus Benachrichtigungen gesendet werden sollen.

  4. Geben Sie im Feld An-E-Mail-Adresse die E-Mail-Adresse für das Benutzerkonto ein, dem Sie die Rolle Genehmigende Person zuweisen möchten.

  5. Geben Sie im Feld SMTP-Server einen gültigen SMTP-E-Mail-Server ein.

  6. Geben Sie in den Feldern Benutzername und Kennwort die Anmeldeinformationen eines Benutzers ein, der Zugriff auf den SMTP-Dienst hat. Wählen Sie Anwenden aus.

Schritt 5: Delegieren des Zugriffs

Als AGPM-Administrator (Vollzugriff) delegieren Sie den Zugriff auf Domänenebene an Gruppenrichtlinienobjekte und weisen dem Konto jedes Gruppenrichtlinie Administrators Rollen zu.

Hinweis

Sie können den Zugriff auch auf GPO-Ebene anstelle der Domänenebene delegieren. Weitere Informationen finden Sie unter Hilfe für advanced Gruppenrichtlinie Management.

Wichtig

Sie sollten die Mitgliedschaft in der Gruppe "Gruppenrichtlinie Creator Owners" einschränken, sodass sie nicht verwendet werden kann, um die AGPM-Verwaltung des Zugriffs auf Gruppenrichtlinienobjekte zu umgehen. (Wählen Sie in der Gruppenrichtlinie Management ConsoleGruppenrichtlinie Objekte in der Gesamtstruktur und Domäne aus, in der Sie Gruppenrichtlinienobjekte verwalten möchten, wählen Sie Delegierung aus, und konfigurieren Sie dann die Einstellungen, um die Anforderungen Ihrer organization zu erfüllen.)

So delegieren Sie den Zugriff auf alle Gruppenrichtlinienobjekte in einer Domäne

  1. Wählen Sie auf der Registerkarte Domänendelegierung die Schaltfläche Hinzufügen aus, wählen Sie das Benutzerkonto des Gruppenrichtlinie Administrators aus, das als genehmigende Person fungieren soll, und wählen Sie dann OK aus.

  2. Wählen Sie im Dialogfeld Gruppe oder Benutzer hinzufügen die Rolle Genehmigende Person aus, um diese Rolle dem Konto zuzuweisen, und wählen Sie dann OK aus. (Diese Rolle umfasst die Rolle Prüfer.)

  3. Wählen Sie die Schaltfläche Hinzufügen aus, wählen Sie das Benutzerkonto des Gruppenrichtlinie Administrators aus, das als Editor fungieren soll, und klicken Sie dann auf OK.

  4. Wählen Sie im Dialogfeld Gruppe oder Benutzer hinzufügen die rolle Editor aus, um diese Rolle dem Konto zuzuweisen, und klicken Sie dann auf OK. (Diese Rolle umfasst die Rolle Prüfer.)

  5. Wählen Sie die Schaltfläche Hinzufügen aus, wählen Sie das Benutzerkonto des Gruppenrichtlinie Administrators aus, das als Prüfer fungieren soll, und wählen Sie dann OK aus.

  6. Wählen Sie im Dialogfeld Gruppe oder Benutzer hinzufügen die Rolle Prüfer aus, um dem Konto nur diese Rolle zuzuweisen.

Schritte zum Verwalten von Gruppenrichtlinienobjekten

Sie müssen die folgenden Schritte ausführen, um GPOs mithilfe von AGPM zu erstellen, zu bearbeiten, zu überprüfen und bereitzustellen. Darüber hinaus erstellen Sie eine Vorlage, löschen ein Gruppenrichtlinienobjekt und stellen ein gelöschtes Gruppenrichtlinienobjekt wieder her.

Schritt 1: Erstellen eines Gruppenrichtlinienobjekts

Schritt 2: Bearbeiten eines Gruppenrichtlinienobjekts

Schritt 3: Überprüfen und Bereitstellen eines Gruppenrichtlinienobjekts

Schritt 4: Verwenden einer Vorlage zum Erstellen eines Gruppenrichtlinienobjekts

Schritt 5: Löschen und Wiederherstellen eines Gruppenrichtlinienobjekts

Schritt 1: Erstellen eines Gruppenrichtlinienobjekts

In einer Umgebung mit mehreren Gruppenrichtlinie Administratoren können Personen mit der rolle Editor anfordern, dass neue Gruppenrichtlinienobjekte erstellt werden. Diese Anforderung muss jedoch von einer Person mit der Rolle Genehmigenden Person genehmigt werden.

In diesem Schritt verwenden Sie ein Konto mit der Rolle Editor, um die Erstellung eines neuen Gruppenrichtlinienobjekts anzufordern. Mithilfe eines Kontos, das über die Rolle Genehmigende Person verfügt, genehmigen Sie diese Anforderung zum Erstellen des Gruppenrichtlinienobjekts.

So fordern Sie an, dass ein neues Gruppenrichtlinienobjekt über AGPM erstellt und verwaltet wird

  1. Melden Sie sich auf einem Computer, auf dem Sie den AGPM-Client installiert haben, mit einem Benutzerkonto an, dem die rolle Editor in AGPM zugewiesen ist.

  2. Wählen Sie in der Struktur der Gruppenrichtlinie Verwaltungskonsoledie Option Steuerung ändern in der Gesamtstruktur und Domäne aus, in der Sie Gruppenrichtlinienobjekte verwalten möchten.

  3. Wählen Sie mit der rechten Maustaste den Knoten Steuerung ändern aus, und wählen Sie dann Neues kontrolliertes Gruppenrichtlinienobjekt aus.

  4. Gehen Sie im Dialogfeld Neues kontrolliertes Gruppenrichtlinienobjekt wie

    1. Um eine Kopie der Anforderung zu erhalten, geben Sie Ihre E-Mail-Adresse in das Feld Cc ein.

    2. Geben Sie MyGPO als Namen für das neue Gruppenrichtlinienobjekt ein.

    3. Geben Sie einen Kommentar für das neue Gruppenrichtlinienobjekt ein.

    4. Wählen Sie Live erstellen aus, damit das neue Gruppenrichtlinienobjekt sofort nach der Genehmigung in der Produktionsumgebung bereitgestellt wird. Wählen Sie Übermitteln aus.

  5. Wenn im Fenster AGPM-Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. Das neue Gruppenrichtlinienobjekt wird auf der Registerkarte Ausstehend angezeigt.

So genehmigen Sie die ausstehende Anforderung zum Erstellen eines Gruppenrichtlinienobjekts

  1. Melden Sie sich auf einem Computer, auf dem Sie den AGPM-Client installiert haben, mit einem Benutzerkonto an, das in AGPM über die Rolle Genehmigenden Person verfügt.

  2. Öffnen Sie den E-Mail-Posteingang für das Konto, und beachten Sie, dass Sie eine E-Mail-Nachricht vom AGPM-Alias mit der Anforderung des Editor zum Erstellen eines Gruppenrichtlinienobjekts erhalten haben.

  3. Wählen Sie in der Struktur der Gruppenrichtlinie Verwaltungskonsoledie Option Steuerung ändern in der Gesamtstruktur und Domäne aus, in der Sie Gruppenrichtlinienobjekte verwalten möchten.

  4. Wählen Sie auf der Registerkarte Inhalt die Registerkarte Ausstehend aus, um die ausstehenden Gruppenrichtlinienobjekte anzuzeigen.

  5. Wählen Sie mit der rechten Maustaste MyGPO und dann Genehmigen aus.

  6. Wählen Sie Ja aus, um die Genehmigung zu bestätigen, und verschieben Sie das Gruppenrichtlinienobjekt auf die Registerkarte Kontrolliert .

Schritt 2: Bearbeiten eines Gruppenrichtlinienobjekts

Sie können Gruppenrichtlinienobjekte verwenden, um Computer- oder Benutzereinstellungen zu konfigurieren und für viele Computer oder Benutzer bereitzustellen. In diesem Schritt verwenden Sie ein Konto mit der Rolle Editor, um ein Gruppenrichtlinienobjekt aus dem Archiv auszuchecken, das Gruppenrichtlinienobjekt offline zu bearbeiten, das bearbeitete Gruppenrichtlinienobjekt im Archiv zu überprüfen und die Bereitstellung des Gruppenrichtlinienobjekts in der Produktionsumgebung anzufordern. Für dieses Szenario konfigurieren Sie eine Einstellung im Gruppenrichtlinienobjekt, damit das Kennwort mindestens acht Zeichen lang sein muss.

So checken Sie das Gruppenrichtlinienobjekt aus dem Archiv zur Bearbeitung aus

  1. Melden Sie sich auf einem Computer, auf dem Sie den AGPM-Client installiert haben, mit einem Benutzerkonto an, das die Rolle Editor in AGPM hat.

  2. Wählen Sie in der Struktur der Gruppenrichtlinie Verwaltungskonsoledie Option Steuerung ändern in der Gesamtstruktur und Domäne aus, in der Sie Gruppenrichtlinienobjekte verwalten möchten.

  3. Wählen Sie auf der Registerkarte Inhalt im Detailbereich die Registerkarte Kontrolliert aus, um die gesteuerten Gruppenrichtlinienobjekte anzuzeigen.

  4. Wählen Sie mit der rechten Maustaste MyGPO und dann Auschecken aus.

  5. Geben Sie einen Kommentar ein, der im Verlauf des Gruppenrichtlinienobjekts angezeigt werden soll, während es ausgecheckt ist, und wählen Sie dann OK aus.

  6. Wenn im Fenster AGPM-Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. Auf der Registerkarte Kontrolliert wird der Status des Gruppenrichtlinienobjekts als Ausgecheckt identifiziert.

So bearbeiten Sie das Gruppenrichtlinienobjekt offline und konfigurieren die Minimale Kennwortlänge

  1. Wählen Sie auf der Registerkarte Kontrolliert mit der rechten Maustaste MyGPO und dann Bearbeiten aus, um das Fenster Gruppenrichtlinie Management Editor zu öffnen und eine Offlinekopie des Gruppenrichtlinienobjekts zu ändern. Konfigurieren Sie für dieses Szenario die Minimale Kennwortlänge:

    1. Doppelklicken Sie unter Computerkonfiguration auf Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Kontorichtlinien und Kennwortrichtlinie.

    2. Doppelklicken Sie im Detailbereich auf Minimale Kennwortlänge.

    3. Aktivieren Sie im Eigenschaftenfenster das Kontrollkästchen Diese Richtlinieneinstellung definieren , legen Sie die Anzahl der Zeichen auf 8 fest, und wählen Sie dann OK aus.

  2. Schließen Sie das Editor-Fenster Gruppenrichtlinie Management.

So checken Sie das Gruppenrichtlinienobjekt in das Archiv ein

  1. Wählen Sie auf der Registerkarte Kontrolliert mit der rechten Maustaste MyGPO und dann Check In aus.

  2. Geben Sie einen Kommentar ein, und wählen Sie dann OK aus.

  3. Wenn im Fenster AGPM-Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. Auf der Registerkarte Kontrolliert wird der Status des Gruppenrichtlinienobjekts als Eingecheckt identifiziert.

So fordern Sie die Bereitstellung des Gruppenrichtlinienobjekts in der Produktionsumgebung an

  1. Wählen Sie auf der Registerkarte Kontrolliert mit der rechten Maustaste MyGPO und dann Bereitstellen aus.

  2. Da dieses Konto weder genehmigend noch AGPM-Administrator ist, müssen Sie eine Bereitstellungsanforderung übermitteln. Um eine Kopie der Anforderung zu erhalten, geben Sie Ihre E-Mail-Adresse in das Feld Cc ein. Geben Sie einen Kommentar ein, der im Verlauf des Gruppenrichtlinienobjekts angezeigt werden soll, und wählen Sie dann Absenden aus.

  3. Wenn im Fenster AGPM-Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. MyGPO wird in der Liste der Gruppenrichtlinienobjekte auf der Registerkarte Ausstehend angezeigt.

Schritt 3: Überprüfen und Bereitstellen eines Gruppenrichtlinienobjekts

In diesem Schritt fungieren Sie als genehmigende Person, erstellen Berichte und analysieren die Einstellungen und Änderungen an Einstellungen im Gruppenrichtlinienobjekt, um zu bestimmen, ob Sie sie genehmigen sollten. Nachdem Sie das Gruppenrichtlinienobjekt ausgewertet haben, stellen Sie es in der Produktionsumgebung bereit und verknüpfen das Gruppenrichtlinienobjekt mit einer Domäne oder organisationseinheit (OE). Das Gruppenrichtlinienobjekt wird wirksam, wenn Gruppenrichtlinie für Computer in dieser Domäne oder Organisationseinheit aktualisiert wird.

So überprüfen Sie die Einstellungen im Gruppenrichtlinienobjekt

  1. Melden Sie sich auf einem Computer, auf dem Sie den AGPM-Client installiert haben, mit einem Benutzerkonto an, dem die Rolle genehmigenden Person in AGPM zugewiesen ist. Jeder Gruppenrichtlinie-Administrator mit der Rolle Prüfer, die in allen anderen Rollen enthalten ist, kann die Einstellungen in einem Gruppenrichtlinienobjekt überprüfen.

  2. Öffnen Sie den E-Mail-Posteingang für das Konto, und beachten Sie, dass Sie eine E-Mail-Nachricht vom AGPM-Alias mit der Anforderung eines Editor zur Bereitstellung eines Gruppenrichtlinienobjekts erhalten haben.

  3. Wählen Sie in der Struktur der Gruppenrichtlinie Verwaltungskonsoledie Option Steuerung ändern in der Gesamtstruktur und Domäne aus, in der Sie Gruppenrichtlinienobjekte verwalten möchten.

  4. Wählen Sie im Detailbereich auf der Registerkarte Inhalt die Registerkarte Ausstehend aus.

  5. Wählen Sie MyGPO doppelt aus, um den Verlauf anzuzeigen.

  6. Überprüfen Sie die Einstellungen in der neuesten Version von MyGPO:

    1. Wählen Sie im Fenster Verlauf mit der rechten Maustaste die GPO-Version mit dem neuesten Zeitstempel aus, wählen Sie Einstellungen und dann HTML-Bericht aus, um eine Zusammenfassung der Einstellungen des Gruppenrichtlinienobjekts anzuzeigen.

    2. Wählen Sie im Webbrowser alle anzeigen aus, um alle Einstellungen im Gruppenrichtlinienobjekt anzuzeigen. Schließen Sie den Browser.

  7. Vergleichen Sie die neueste Version von MyGPO mit der ersten Im Archiv eingecheckten Version:

    1. Wählen Sie im Fenster Verlauf die GPO-Version mit dem neuesten Zeitstempel aus. Drücken Sie STRG, und wählen Sie dann die älteste GPO-Version aus, für die die Computerversion nicht \* ist.

    2. Wählen Sie die Schaltfläche Unterschiede aus. Der Abschnitt Kontorichtlinien/Kennwortrichtlinie ist grün hervorgehoben und geht [ +] voran. Dies gibt an, dass die Einstellung nur in der letzten Version des Gruppenrichtlinienobjekts konfiguriert ist.

    3. Wählen Sie Kontorichtlinien/Kennwortrichtlinie aus. Die Einstellung Minimale Kennwortlänge ist ebenfalls grün hervorgehoben und steht vor [+] und gibt an, dass sie nur in der letzten Version des Gruppenrichtlinienobjekts konfiguriert ist.

    4. Schließen Sie den Webbrowser.

So stellen Sie das Gruppenrichtlinienobjekt in der Produktionsumgebung bereit

  1. Wählen Sie auf der Registerkarte Ausstehend mit der rechten Maustaste MyGPO und dann Genehmigen aus.

  2. Geben Sie einen Kommentar ein, der in den Verlauf des Gruppenrichtlinienobjekts aufgenommen werden soll.

  3. Wählen Sie Ja aus. Wenn im Fenster AGPM-Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. Das Gruppenrichtlinienobjekt wird in der Produktionsumgebung bereitgestellt.

So verknüpfen Sie das Gruppenrichtlinienobjekt mit einer Domäne oder Organisationseinheit

  1. Wählen Sie in der Gruppenrichtlinienkonsole entweder die Domäne oder eine Organisationseinheit (OE) aus, auf die Sie das konfigurierte Gruppenrichtlinienobjekt anwenden möchten, und wählen Sie dann Vorhandenes Gruppenrichtlinienobjekt verknüpfen aus.

  2. Wählen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählendie Option MyGPO und dann OK aus.

Schritt 4: Verwenden einer Vorlage zum Erstellen eines Gruppenrichtlinienobjekts

In diesem Schritt verwenden Sie ein Konto, das über die Rolle Editor verfügt, um eine Vorlage zu erstellen und zu verwenden. Diese Vorlage ist eine statische Version eines Gruppenrichtlinienobjekts, die als Ausgangspunkt für die Erstellung neuer Gruppenrichtlinienobjekte verwendet werden kann. Obwohl Sie eine Vorlage nicht bearbeiten können, können Sie ein neues Gruppenrichtlinienobjekt basierend auf einer Vorlage erstellen. Vorlagen sind nützlich, um schnell mehrere Gruppenrichtlinienobjekte zu erstellen, die viele der gleichen Richtlinieneinstellungen enthalten.

So erstellen Sie eine Vorlage basierend auf einem vorhandenen Gruppenrichtlinienobjekt

  1. Melden Sie sich auf einem Computer, auf dem Sie den AGPM-Client installiert haben, mit einem Benutzerkonto an, dem die Rolle Editor in AGPM zugewiesen ist.

  2. Wählen Sie in der Struktur der Gruppenrichtlinie Verwaltungskonsoledie Option Steuerung ändern in der Gesamtstruktur und Domäne aus, in der Sie Gruppenrichtlinienobjekte verwalten möchten.

  3. Wählen Sie im Detailbereich auf der Registerkarte Inhalt die Registerkarte Kontrolliert aus.

  4. Wählen Sie mit der rechten Maustaste MyGPO und dann Als Vorlage speichern aus, um eine Vorlage zu erstellen, die alle einstellungen enthält, die derzeit in MyGPO enthalten sind.

  5. Geben Sie MyTemplate als Namen für die Vorlage und einen Kommentar ein, und wählen Sie dann OK aus.

  6. Wenn im Fenster AGPM-Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. Die neue Vorlage wird auf der Registerkarte Vorlagen angezeigt.

So fordern Sie an, dass ein neues Gruppenrichtlinienobjekt über AGPM erstellt und verwaltet wird

  1. Wählen Sie die Registerkarte Kontrolliert aus.

  2. Wählen Sie mit der rechten Maustaste den Knoten Steuerung ändern aus, und wählen Sie dann Neues kontrolliertes Gruppenrichtlinienobjekt aus.

  3. Gehen Sie im Dialogfeld Neues kontrolliertes Gruppenrichtlinienobjekt wie

    1. Um eine Kopie der Anforderung zu erhalten, geben Sie Ihre E-Mail-Adresse in das Feld Cc ein.

    2. Geben Sie MyOtherGPO als Namen für das neue Gruppenrichtlinienobjekt ein.

    3. Geben Sie einen Kommentar für das neue Gruppenrichtlinienobjekt ein.

    4. Wählen Sie Live erstellen aus, damit das neue Gruppenrichtlinienobjekt sofort nach der Genehmigung in der Produktionsumgebung bereitgestellt wird.

    5. Wählen Sie unter Aus GPO-Vorlagedie Option MyTemplate aus. Wählen Sie Übermitteln aus.

  4. Wenn im Fenster AGPM-Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. Das neue Gruppenrichtlinienobjekt wird auf der Registerkarte Ausstehend angezeigt.

Verwenden Sie ein Konto, dem die Rolle Genehmigende Person zugewiesen ist, um die ausstehende Anforderung zum Erstellen des Gruppenrichtlinienobjekts wie in Schritt 1: Erstellen eines Gruppenrichtlinienobjekts zu genehmigen. MyTemplate enthält alle Einstellungen, die Sie in MyGPO konfiguriert haben. Da MyOtherGPO mit MyTemplate erstellt wurde, enthält es zunächst alle Einstellungen, die MyGPO zum Zeitpunkt der Erstellung von MyTemplate enthielt. Sie können dies bestätigen, indem Sie einen Differenzbericht generieren, um MyOtherGPO mit MyTemplate zu vergleichen.

So checken Sie das Gruppenrichtlinienobjekt aus dem Archiv zur Bearbeitung aus

  1. Melden Sie sich auf einem Computer, auf dem Sie den AGPM-Client installiert haben, mit einem Benutzerkonto an, dem die Rolle Editor in AGPM zugewiesen ist.

  2. Wählen Sie mit der rechten Maustaste MyOtherGPO und dann Auschecken aus.

  3. Geben Sie einen Kommentar ein, der im Verlauf des Gruppenrichtlinienobjekts angezeigt werden soll, während es ausgecheckt ist, und wählen Sie dann OK aus.

  4. Wenn im Fenster AGPM-Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. Auf der Registerkarte Kontrolliert wird der Status des Gruppenrichtlinienobjekts als Ausgecheckt identifiziert.

So bearbeiten Sie das Gruppenrichtlinienobjekt offline und konfigurieren die Dauer der Kontosperrung

  1. Wählen Sie auf der Registerkarte Kontrolliert mit der rechten Maustaste MyOtherGPO und dann Bearbeiten aus, um das Fenster Gruppenrichtlinie Management Editor zu öffnen und eine Offlinekopie des Gruppenrichtlinienobjekts zu ändern. Konfigurieren Sie für dieses Szenario die Minimale Kennwortlänge:

    1. Doppelklicken Sie unter Computerkonfiguration auf Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Kontorichtlinien und Kontosperrungsrichtlinie.

    2. Doppelklicken Sie im Detailbereich auf Kontosperrdauer.

    3. Aktivieren Sie im Eigenschaftenfenster die Option Diese Richtlinieneinstellung definieren, legen Sie die Dauer auf 30 Minuten fest, und wählen Sie dann OK aus.

  2. Schließen Sie das Editor-Fenster Gruppenrichtlinie Management.

Aktivieren Sie MyOtherGPO im Archiv, und fordern Sie die Bereitstellung an, wie Sie es für MyGPO in Schritt 2: Bearbeiten eines Gruppenrichtlinienobjekts getan haben. Sie können MyOtherGPO mit MyGPO oder MyTemplate vergleichen, indem Sie Differenzberichte verwenden. Jedes Konto, das die Rolle "Prüfer" (AGPM-Administrator [Vollzugriff], Genehmiger, Editor oder Prüfer) enthält, kann Berichte generieren.

So vergleichen Sie ein Gruppenrichtlinienobjekt mit einem anderen Gruppenrichtlinienobjekt und einer Vorlage

  1. So vergleichen Sie MyGPO und MyOtherGPO:

    1. Wählen Sie auf der Registerkarte Kontrolliert die Option MyGPO aus. Drücken Sie STRG, und wählen Sie dann MyOtherGPO aus.

    2. Wählen Sie mit der rechten Maustaste MyOtherGPO aus, zeigen Sie auf Unterschiede, und wählen Sie dann HTML-Bericht aus.

  2. So vergleichen Sie MyOtherGPO und MyTemplate:

    1. Wählen Sie auf der Registerkarte Kontrolliertdie Option MyOtherGPO aus.

    2. Wählen Sie mit der rechten Maustaste MyOtherGPO aus, zeigen Sie auf Unterschiede, und wählen Sie dann Vorlage aus.

    3. Wählen Sie MyTemplate und HTML-Bericht und dann OK aus.

Schritt 5: Löschen und Wiederherstellen eines Gruppenrichtlinienobjekts

In diesem Schritt fungieren Sie als genehmigende Person, um ein Gruppenrichtlinienobjekt zu löschen.

So löschen Sie ein Gruppenrichtlinienobjekt

  1. Melden Sie sich auf einem Computer, auf dem Sie den AGPM-Client installiert haben, mit einem Benutzerkonto an, dem die Rolle genehmigenden Person zugewiesen ist.

  2. Wählen Sie in der Struktur der Gruppenrichtlinie Verwaltungskonsoledie Option Steuerung ändern in der Gesamtstruktur und Domäne aus, in der Sie Gruppenrichtlinienobjekte verwalten möchten.

  3. Wählen Sie auf der Registerkarte Inhalt die Registerkarte Kontrolliert aus, um die gesteuerten Gruppenrichtlinienobjekte anzuzeigen.

  4. Wählen Sie mit der rechten Maustaste MyGPO und dann Löschen aus. Wählen Sie Gruppenrichtlinienobjekt aus Archiv und Produktion löschen aus , um sowohl die Version im Archiv als auch die bereitgestellte Version des Gruppenrichtlinienobjekts in der Produktionsumgebung zu löschen.

  5. Geben Sie einen Kommentar ein, der im Überwachungspfad für das Gruppenrichtlinienobjekt angezeigt werden soll, und wählen Sie dann OK aus.

  6. Wenn im Fenster AGPM-Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. Das Gruppenrichtlinienobjekt wird von der Registerkarte Kontrolliert entfernt und auf der Registerkarte Papierkorb angezeigt, wo es wiederhergestellt oder zerstört werden kann.

Gelegentlich stellen Sie nach dem Löschen eines Gruppenrichtlinienobjekts fest, dass es noch benötigt wird. In diesem Schritt fungieren Sie als genehmigende Person, um ein GPO wiederherzustellen, das gelöscht wurde.

So stellen Sie ein gelöschtes Gruppenrichtlinienobjekt wieder her

  1. Wählen Sie auf der Registerkarte Inhalt die Registerkarte Papierkorb aus, um gelöschte Gruppenrichtlinienobjekte anzuzeigen.

  2. Wählen Sie mit der rechten Maustaste MyGPO und dann Wiederherstellen aus.

  3. Geben Sie einen Kommentar ein, der im Verlauf des Gruppenrichtlinienobjekts angezeigt werden soll, und wählen Sie dann OK aus.

  4. Wenn im Fenster AGPM-Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. Das Gruppenrichtlinienobjekt wird aus der Registerkarte Papierkorb entfernt und auf der Registerkarte Kontrolliert angezeigt.

    Hinweis

    Beim Wiederherstellen eines Gruppenrichtlinienobjekts im Archiv wird es nicht automatisch erneut in der Produktionsumgebung bereitgestellt. Um das Gruppenrichtlinienobjekt in die Produktionsumgebung zurückzugeben, stellen Sie das Gruppenrichtlinienobjekt wie in Schritt 3: Überprüfen und Bereitstellen eines Gruppenrichtlinienobjekts bereit.

Nachdem Sie ein Gruppenrichtlinienobjekt bearbeitet und bereitgestellt haben, stellen Sie möglicherweise fest, dass kürzlich vorgenommene Änderungen am Gruppenrichtlinienobjekt ein Problem verursachen. In diesem Schritt fungieren Sie als genehmigende Person, um ein Rollback auf eine frühere Version des Gruppenrichtlinienobjekts durchzuführen. Sie können ein Rollback auf eine beliebige Version im Verlauf des Gruppenrichtlinienobjekts ausführen. Sie können Kommentare und Bezeichnungen verwenden, um bekannte fehlerfreie Versionen und den Zeitpunkt zu identifizieren, an dem bestimmte Änderungen vorgenommen wurden.

So führen Sie ein Rollback zu einer früheren Version eines Gruppenrichtlinienobjekts aus

  1. Wählen Sie auf der Registerkarte Inhalt die Registerkarte Kontrolliert aus, um die gesteuerten Gruppenrichtlinienobjekte anzuzeigen.

  2. Wählen Sie MyGPO doppelt aus, um den Verlauf anzuzeigen.

  3. Wählen Sie mit der rechten Maustaste die version aus, die bereitgestellt werden soll, wählen Sie Bereitstellen und dann Ja aus.

  4. Wenn im Fenster Status angezeigt wird, dass der Gesamtfortschritt abgeschlossen ist, wählen Sie Schließen aus. Wählen Sie im Fenster Verlauf die Option Schließen aus.

    Hinweis

    Um zu überprüfen, ob die Version, die erneut bereitgestellt wurde, die beabsichtigte Version ist, überprüfen Sie einen Differenzbericht für die beiden Versionen. Wählen Sie im Fenster Verlauf für das Gruppenrichtlinienobjekt die beiden Versionen aus, klicken Sie mit der rechten Maustaste darauf, zeigen Sie auf Differenz, und wählen Sie dann entweder HTML-Bericht oder XML-Bericht aus.