詳細なグループ ポリシー管理について
Advanced グループ ポリシー Management (AGPM) を使用して、グループ ポリシー管理コンソール (GPMC) の機能を拡張して、グループ ポリシー オブジェクト (GPO) の包括的な変更制御と改善された管理を提供できます。
変更コントロールを使用したオブジェクト開発のグループ ポリシー
AGPM を使用すると、各 GPO のコピーを中央アーカイブに格納できるため、グループ ポリシー管理者は、展開されたバージョンの GPO にすぐに影響を与えずにオフラインで表示および変更できます。 さらに、AGPM は、必要に応じて以前のバージョンにロールバックできるように、管理されている各 GPO の各バージョンのコピーをアーカイブに格納します。
"チェックイン" と "チェックアウト" という用語は、ライブラリと同じように使用されます (または、プログラミング開発のために変更管理、バージョン管理、またはソース管理を提供するアプリケーションで使用されます)。 ライブラリ内の書籍を使用するには、ライブラリからチェックアウトします。 チェックアウトしている間は、他の誰も使用できません。ブックが完成したら、ライブラリに再度チェックインして、他のユーザーが使用できるようにします。
これらの GPO コントロール機能を使用するには、グループ ポリシー管理エディターで [制御の変更] ノードをクリックします。 変更制御ノードは、AGPM クライアントをインストールした場合にのみ表示されます。
AGPM を使用して GPO を開発する場合:
新しい制御された GPO を作成するか、以前に制御されていない GPO を制御します。
GPO をチェックアウトして、自分だけが変更できるようにします。
GPO を編集します。
他のユーザーが変更できるように、または展開できるように、編集した GPO をチェックインします。
変更を確認します。
GPO を運用環境に展開します。
ロールベースの委任
AGPM は、アーカイブ内の GPO へのアクセスを管理するための包括的で使いやすいロールベースの委任を提供します。 ドメイン レベルのアクセス許可を使用すると、AGPM 管理者は、他のドメインへのアクセスを提供することなく、個々のドメインへのアクセスを提供できます。 GPO ベースの委任を使用すると、AGPM 管理者は、ドメイン全体のアクセス権を提供することなく、特定の GPO へのアクセスを提供できます。
AGPM 内には、AGPM 管理者 (フル コントロール)、承認者、エディター、レビュー担当者という具体的に定義されたロールがあります。 AGPM 管理者ロールには、他のすべてのロールのアクセス許可が含まれています。 既定では、ドメインの運用環境に GPO を展開する権限を持つのは承認者のみです。経験の少ないエディターによって環境が間違いから保護されます。 また、既定では、すべてのロールにレビュー担当者ロールが含まれているため、レポートで GPO 設定を表示できます。 ただし、AGPM 管理者は、組織のニーズに合わせて GPO アクセスをカスタマイズする柔軟性を提供します。
複数のグループ ポリシー管理者環境での委任
複数のユーザーが GPO を変更する環境では、AGPM 管理者は、エディター、承認者、レビュー担当者に、グループまたは個人としてアクセス許可を委任します。 エディターと承認者の一般的な GPO 開発プロセスについては、「 チェックリスト: GPO の作成、編集、展開」を参照してください。
その他の参照情報