Guia passo a passo do Gerenciamento Avançado de Política de Grupo 4.0 da Microsoft

Este guia passo a passo demonstra técnicas avançadas para a gestão de Políticas de Grupo que utilizam a Consola de Gestão de Políticas de Grupo (GPMC) e a Gestão Avançada de Políticas de Grupo (AGPM) da Microsoft. O AGPM aumenta as capacidades do GPMC, fornecendo:

• Funções padrão para delegar permissões para gerir Objetos de Política de Grupo (GPOs) a vários administradores da Política de Grupo, além da capacidade de delegar o acesso a GPOs no ambiente de produção.

• Um arquivo para permitir que os administradores da Política de Grupo criem e modifiquem GPOs offline antes de os GPOs serem implementados num ambiente de produção.

• A capacidade de reverter para qualquer versão anterior de um GPO no arquivo e limitar o número de versões armazenadas no arquivo.

• Dar entrada e dar saída da capacidade de GPOs para garantir que os administradores da Política de Grupo não substituem involuntariamente o trabalho uns dos outros.

• A capacidade de procurar GPOs com atributos específicos e filtrar a lista de GPOs apresentados.

Descrição geral do cenário do AGPM

Neste cenário, irá utilizar uma conta de utilizador separada para cada função no AGPM para demonstrar como a Política de Grupo pode ser gerida num ambiente que tem vários administradores da Política de Grupo que têm diferentes níveis de permissões. Especificamente, irá realizar as seguintes tarefas:

• Com uma conta que seja membro do grupo Admins do Domínio, instale o Servidor AGPM e atribua a função de Administrador do AGPM a uma conta ou grupo.

• Com as contas às quais irá atribuir funções do AGPM, instale o Cliente AGPM.

• Com uma conta que tenha a função de Administrador do AGPM, configure o AGPM e delegue o acesso aos GPOs ao atribuir funções a outras contas.

• A partir de uma conta que tenha a função editor, peça que seja criado um novo GPO que, em seguida, aprove com uma conta que tenha a função Aprovador. Utilize a conta do Editor para verificar o GPO fora do arquivo, editar o GPO, verificar o GPO no arquivo e, em seguida, pedir a implementação.

• Com uma conta que tenha a função Aprovador, reveja o GPO e implemente-o no seu ambiente de produção.

• Com uma conta que tenha a função editor, crie um modelo de GPO e utilize-o como ponto de partida para criar um novo GPO.

• Utilizar uma conta que tenha a função Aprovador, elimine e restaure um GPO.

Requisitos do Servidor AGPM

O AGPM Server 4.0 requer o Windows Server 2012 ou Windows 10 e mais recente e o GPMC das Ferramentas de Administração Remota do Servidor (RSAT). As versões de 32 bits e de 64 bits são suportadas.

Antes de instalar o SERVIDOR AGPM, tem de ser membro do grupo Admins do Domínio e as seguintes funcionalidades do Windows têm de estar presentes, salvo indicação em contrário:

• GPMC

  • Windows Server 2012 ou mais recente: se o GPMC não estiver presente, será instalado automaticamente pelo AGPM.

  • Windows 10 ou mais recente: tem de instalar o GPMC a partir de RSAT antes de instalar o AGPM. Para obter mais informações, veja Ferramentas de Administração Remota do Servidor (RSAT) para Windows.

As seguintes funcionalidades do Windows são necessárias pelo SERVIDOR AGPM e serão instaladas automaticamente se não estiverem presentes:

• Ativação do WCF; Ativação Não HTTP

• Serviço de Ativação de Processos do Windows

  • Modelo de Processo

  • O Ambiente .NET

  • APIs de Configuração

Requisitos do Cliente AGPM

O AGPM Client 4.0 requer o Windows Server 2012 ou o Windows 10 e mais recente e o GPMC do RSAT. As versões de 32 bits e de 64 bits são suportadas. O Cliente AGPM pode ser instalado num computador que esteja a executar o Servidor AGPM.

As seguintes funcionalidades do Windows são exigidas pelo Cliente AGPM e, salvo indicação em contrário, são instaladas automaticamente se não estiverem presentes:

• GPMC

  • Windows Server 2012 e mais recente: se o GPMC não estiver presente, será instalado automaticamente pelo AGPM.

  • Windows 10 e mais recente: tem de instalar o GPMC a partir de RSAT antes de instalar o AGPM. Para obter mais informações, veja Ferramentas de Administração Remota do Servidor (RSAT) para Windows.

Requisitos de cenário

Antes de começar este cenário, crie quatro contas de utilizador. Durante o cenário, irá atribuir uma das seguintes funções do AGPM a cada uma destas contas: Administrador do AGPM (Controlo Total), Aprovador, Editor e Revisor. Estas contas têm de conseguir enviar e receber mensagens de e-mail. Atribua a permissão Ligar GPOs às contas que têm as funções de Administrador do AGPM, Aprovador e (opcionalmente) Editor.

Observação

Por predefinição, a permissão Ligar GPOs é atribuída aos membros de Administradores de Domínio e Administradores da Empresa. Para atribuir a permissão Ligar GPOs a utilizadores ou grupos adicionais (como contas que tenham as funções de Administrador ou Aprovador do AGPM), selecione o nó do domínio e, em seguida, selecione o separador Delegação , selecione Ligar GPOs, selecione Adicionar e selecione utilizadores ou grupos aos quais pretende atribuir a permissão.

Passos para instalar e configurar o AGPM

Tem de concluir os seguintes passos para instalar e configurar o AGPM.

Passo 1: Instalar o Servidor AGPM

Passo 2: Instalar o Cliente AGPM

Passo 3: Configurar uma ligação do Servidor AGPM

Passo 4: Configurar a notificação por e-mail

Passo 5: Delegar acesso

Passo 1: Instalar o Servidor AGPM

Neste passo, vai instalar o SERVIDOR AGPM no servidor membro ou controlador de domínio que irá executar o Serviço AGPM e configurar o arquivo. Todas as operações do AGPM são geridas através deste serviço Windows e são executadas com as credenciais do serviço. O arquivo gerido por um Servidor AGPM pode ser alojado nesse servidor ou noutro servidor na mesma floresta.

Para instalar o Servidor AGPM no computador que irá alojar o Serviço AGPM

1. Inicie sessão com uma conta que seja membro do grupo Admins do Domínio.

2. Inicie o CD do Pacote de Otimização do Ambiente de Trabalho da Microsoft e siga as instruções apresentadas no ecrã para selecionar Gestão Avançada da Política de Grupo – Servidor.

3. Na caixa de diálogo Bem-vindo , selecione Seguinte.

4. Na caixa de diálogo Termos de Licenciamento para Software Microsoft , aceite os termos e, em seguida, selecione Seguinte.

5. Na caixa de diálogo Caminho da Aplicação , selecione uma localização na qual instalar o Servidor AGPM. O computador no qual o Servidor AGPM está instalado irá alojar o Serviço AGPM e gerir o arquivo. Selecione Avançar.

6. Na caixa de diálogo Caminho de Arquivo , selecione uma localização para o arquivo em relação ao Servidor AGPM. O caminho de arquivo pode apontar para uma pasta no Servidor AGPM ou noutro local. No entanto, deve selecionar uma localização com espaço suficiente para armazenar todos os GPOs e dados do histórico geridos por este Servidor AGPM. Selecione Avançar.

7. Na caixa de diálogo Conta de Serviço do AGPM , selecione uma conta de serviço na qual o Serviço AGPM é executado e, em seguida, selecione Seguinte.

   Esta conta tem de ser membro do grupo Admins do Domínio ou, para uma configuração com menos privilégios, os seguintes grupos em cada domínio gerido pelo Servidor AGPM:

   • Proprietários de Criadores de Políticas de Grupo

   • Operadores de Cópia de Segurança

   Esta conta tem de ser membro do Grupo de Administradores local no Computador do Servidor AGPM. Isto é necessário para processar com êxito

   Além disso, esta conta requer a permissão Controlo Total para as seguintes pastas:

   • A pasta de arquivo do AGPM, para a qual esta permissão é concedida automaticamente durante a instalação do Servidor AGPM, se estiver instalada numa unidade local.

   • A pasta temp do sistema local, normalmente %windir%\temp.

8. Na caixa de diálogo Proprietário do Arquivo , selecione uma conta ou grupo ao qual atribui a função administrador do AGPM (Controlo Total). Os Administradores do AGPM podem atribuir funções e permissões do AGPM a outros administradores da Política de Grupo, para que mais tarde possa atribuir a função de Administrador do AGPM a administradores adicionais da Política de Grupo. Para este cenário, selecione a conta a servir na função administrador do AGPM. Selecione Avançar.

9. Na caixa de diálogo Configuração da Porta , escreva uma porta na qual o Serviço AGPM deve escutar. Não desmarque a caixa de verificação Adicionar exceção de porta à firewall, a menos que configure manualmente exceções de porta ou utilize regras para configurar exceções de porta. Selecione Avançar.

10. Na caixa de diálogo Idiomas , selecione um ou mais idiomas de apresentação a instalar para o Servidor AGPM.

11. Selecione Instalar e, em seguida, selecione Concluir para sair do Assistente de Configuração.

    Atenção Não altere as definições do Serviço AGPM através de Ferramentas e Serviços Administrativos no sistema operativo. Esta ação pode impedir o início do Serviço AGPM. Para obter informações sobre como alterar as definições do serviço, consulte Ajuda para a Gestão Avançada de Políticas de Grupo.

Passo 2: Instalar o Cliente AGPM

Cada administrador de Política de Grupo (qualquer pessoa que crie, edite, implemente, reveja ou elimine GPOs) tem de ter o Cliente AGPM instalado em computadores que utilizem para gerir GPOs. O nó Alterar Controlo, que utiliza para efetuar muitas das tarefas de gestão de GPO, só aparece na Consola de Gestão de Políticas de Grupo se instalar o Cliente AGPM. Neste cenário, vai instalar o Cliente AGPM em, pelo menos, um computador. Não precisa de instalar o Cliente AGPM nos computadores dos utilizadores finais que não executam a administração da Política de Grupo.

Para instalar o Cliente AGPM no computador de um administrador de Política de Grupo

1. Inicie o CD do Pacote de Otimização do Ambiente de Trabalho da Microsoft e siga as instruções apresentadas no ecrã para selecionar Gestão Avançada da Política de Grupo – Cliente.

2. Na caixa de diálogo Bem-vindo , selecione Seguinte.

3. Na caixa de diálogo Termos de Licenciamento para Software Microsoft , aceite os termos e, em seguida, selecione Seguinte.

4. Na caixa de diálogo Caminho da Aplicação , selecione uma localização na qual pretende instalar o Cliente AGPM. Selecione Avançar.

5. Na caixa de diálogo Servidor AGPM , escreva o nome DNS ou endereço IP do Servidor AGPM e a porta à qual pretende ligar. A porta predefinida para o Serviço AGPM é 4600. Não desmarque a caixa de verificação Permitir a Consola de Gestão da Microsoft através da firewall , a menos que configure manualmente exceções de porta ou utilize regras para configurar exceções de porta. Selecione Avançar.

6. Na caixa de diálogo Idiomas , selecione um ou mais idiomas de apresentação a instalar para o Cliente AGPM.

7. Selecione Instalar e, em seguida, selecione Concluir para sair do Assistente de Configuração.

Passo 3: Configurar uma ligação do Servidor AGPM

O AGPM armazena todas as versões de cada Objeto de Política de Grupo (GPO) controlado, ou seja, cada GPO para o qual o AGPM fornece controlo de alteração, num arquivo central. Isto permite que os administradores da Política de Grupo vejam e alterem os GPOs offline sem afetar imediatamente a versão implementada de cada GPO.

Neste passo, vai configurar uma ligação do Servidor AGPM e garantir que todos os administradores da Política de Grupo se ligam ao mesmo Servidor AGPM. (Para obter informações sobre como configurar vários Servidores AGPM, veja Ajuda para a Gestão Avançada de Políticas de Grupo.)

Para configurar uma ligação do Servidor AGPM para todos os administradores da Política de Grupo

1. Num computador no qual tenha instalado o Cliente AGPM, inicie sessão com a conta de utilizador que selecionou como Proprietário de Arquivo. Este utilizador tem a função de Administrador do AGPM (Controlo Total).

2. Selecione Iniciar, aponte para Ferramentas Administrativas e, em seguida, selecione Gestão de Políticas de Grupo para abrir o GPMC.

3. Edite um GPO aplicado a todos os administradores da Política de Grupo.

4. Na janela Editor de Gestão de Políticas de Grupo , faça duplo selecione Configuração do Utilizador, Políticas, Modelos Administrativos, Componentes do Windows e AGPM.

5. No painel de detalhes, faça duplo selecione AGPM: Especifique o Servidor AGPM predefinido (todos os domínios).

6. Na janela Propriedades , selecione Ativado e escreva o nome DNS ou endereço IP e porta (por exemplo, server.contoso.com:4600) para o servidor que aloja o arquivo. Por predefinição, o Serviço AGPM utiliza a porta 4600.

7. Selecione OK e, em seguida, feche a janela Editor de Gestão de Políticas de Grupo . Quando a Política de Grupo é atualizada, a ligação do Servidor AGPM é configurada para cada administrador de Política de Grupo.

Passo 4: Configurar a notificação por e-mail

Enquanto Administrador do AGPM (Controlo Total), designa os endereços de e-mail dos Aprovadores e administradores do AGPM aos quais é enviada uma mensagem de e-mail que contém um pedido quando um Editor tenta criar, implementar ou eliminar um GPO. Também pode determinar o alias a partir do qual estas mensagens são enviadas.

Para configurar a notificação por e-mail para o AGPM

1. No Editor de Gestão de Políticas de Grupo , navegue para a pasta Alterar Controlo

2. No painel de detalhes, selecione o separador Delegação de Domínio .

3. No campo Endereço de correio eletrónico De , escreva o alias de e-mail do AGPM a partir do qual as notificações devem ser enviadas.

4. No campo Endereço de e-mail Para , escreva o endereço de e-mail da conta de utilizador à qual pretende atribuir a função aprovador.

5. No campo servidor SMTP , escreva um servidor de correio SMTP válido.

6. Nos campos Nome de utilizador e Palavra-passe , escreva as credenciais de um utilizador que tenha acesso ao serviço SMTP. Selecione Aplicar.

Passo 5: Delegar acesso

Enquanto Administrador do AGPM (Controlo Total), delega o acesso ao nível do domínio aos GPOs, atribuindo funções à conta de cada administrador da Política de Grupo.

Observação

Também pode delegar o acesso ao nível do GPO em vez do nível de domínio. Para obter mais informações, veja Ajuda para a Gestão Avançada de Políticas de Grupo.

Importante

Deve restringir a associação no grupo Proprietários de Criadores de Políticas de Grupo para que não possa ser utilizada para contornar a gestão do AGPM de acesso a GPOs. (Na Consola de Gestão de Políticas de Grupo, selecione Objetos de Política de Grupo na floresta e domínio em que pretende gerir GPOs, selecione Delegação e, em seguida, configure as definições para satisfazer as necessidades da sua organização.)

Para delegar o acesso a todos os GPOs num domínio

1. No separador Delegação de Domínio , selecione o botão Adicionar , selecione a conta de utilizador do administrador da Política de Grupo a servir como Aprovador e, em seguida, selecione OK.

2. Na caixa de diálogo Adicionar Grupo ou Utilizador , selecione a função Aprovador para atribuir essa função à conta e, em seguida, selecione OK. (Esta função inclui a função Revisor.)

3. Selecione o botão Adicionar , selecione a conta de utilizador do administrador da Política de Grupo para servir de Editor e, em seguida, selecione OK.

4. Na caixa de diálogo Adicionar Grupo ou Utilizador , selecione a função Editor para atribuir essa função à conta e, em seguida, selecione OK. (Esta função inclui a função Revisor.)

5. Selecione o botão Adicionar , selecione a conta de utilizador do administrador da Política de Grupo para servir de Revisor e, em seguida, selecione OK.

6. Na caixa de diálogo Adicionar Grupo ou Utilizador , selecione a função Revisor para atribuir apenas essa função à conta.

Passos para gerir GPOs

Tem de concluir os seguintes passos para criar, editar, rever e implementar GPOs com o AGPM. Além disso, irá criar um modelo, eliminar um GPO e restaurar um GPO eliminado.

Passo 1: Criar um GPO

Passo 2: Editar um GPO

Passo 3: Rever e implementar um GPO

Passo 4: Utilizar um modelo para criar um GPO

Passo 5: Eliminar e restaurar um GPO

Passo 1: Criar um GPO

Num ambiente que tenha vários administradores da Política de Grupo, aqueles com a função editor podem pedir a criação de novos GPOs. No entanto, esse pedido tem de ser aprovado por alguém com a função aprovador.

Neste passo, vai utilizar uma conta que tenha a função editor para pedir a criação de um novo GPO. Ao utilizar uma conta que tenha a função aprovador, aprova este pedido para criar o GPO.

Para pedir que um novo GPO seja criado e gerido através do AGPM

1. Num computador no qual tenha instalado o Cliente AGPM, inicie sessão com uma conta de utilizador à qual seja atribuída a função de Editor no AGPM.

2. Na árvore da Consola de Gestão de Políticas de Grupo , selecione Alterar Controlo na floresta e domínio em que pretende gerir GPOs.

3. Selecione com o botão direito do rato o nó Alterar Controlo e, em seguida, selecione Novo GPO Controlado.

4. Na caixa de diálogo Novo GPO Controlado :

   1. Para receber uma cópia do pedido, escreva o seu endereço de e-mail no campo Cc .

   2. Escreva MyGPO como o nome do novo GPO.

   3. Escreva um comentário para o novo GPO.

   4. Selecione Criar em direto para que o novo GPO seja implementado no ambiente de produção imediatamente após a aprovação. Selecione Enviar.

5. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O novo GPO é apresentado no separador Pendente .

Para aprovar o pedido pendente para criar um GPO

1. Num computador no qual tenha instalado o Cliente AGPM, inicie sessão com uma conta de utilizador que tenha a função de Aprovador no AGPM.

2. Abra a caixa de entrada de correio eletrónico da conta e repare que recebeu uma mensagem de e-mail do alias do AGPM com o pedido do Editor para criar um GPO.

3. Na árvore da Consola de Gestão de Políticas de Grupo , selecione Alterar Controlo na floresta e domínio em que pretende gerir GPOs.

4. No separador Conteúdo , selecione o separador Pendente para apresentar os GPOs pendentes.

5. Selecione MyGPO com o botão direito do rato e, em seguida, selecione Aprovar.

6. Selecione Sim para confirmar a aprovação e mover o GPO para o separador Controlado .

Passo 2: Editar um GPO

Pode utilizar GPOs para configurar as definições do computador ou do utilizador e implementá-las em muitos computadores ou utilizadores. Neste passo, vai utilizar uma conta que tem a função editor para dar saída de um GPO do arquivo, editar o GPO offline, verificar o GPO editado no arquivo e pedir a implementação do GPO para o ambiente de produção. Neste cenário, vai configurar uma definição no GPO para exigir que a palavra-passe tenha, pelo menos, oito carateres de comprimento.

Para dar saída do GPO do arquivo para edição

1. Num computador no qual tenha instalado o Cliente AGPM, inicie sessão com uma conta de utilizador que tenha a função de Editor no AGPM.

2. Na árvore da Consola de Gestão de Políticas de Grupo , selecione Alterar Controlo na floresta e domínio em que pretende gerir GPOs.

3. No separador Conteúdo no painel de detalhes, selecione o separador Controlado para apresentar os GPOs controlados.

4. Selecione MyGPO com o botão direito do rato e, em seguida, selecione Dar Saída.

5. Escreva um comentário a apresentar no histórico do GPO enquanto está reservado e, em seguida, selecione OK.

6. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. No separador Controlado , o estado do GPO é identificado como Saída Dada.

Para editar o GPO offline e configurar o comprimento mínimo da palavra-passe

1. No separador Controlado , selecione MyGPO com o botão direito do rato e, em seguida, selecione Editar para abrir a janela Editor de Gestão de Políticas de Grupo e alterar uma cópia offline do GPO. Para este cenário, configure o comprimento mínimo da palavra-passe:

   1. Em Configuração do Computador, selecione duas vezes Políticas, Definições do Windows, Definições de Segurança, Políticas de Conta e Política de Palavra-passe.

   2. No painel de detalhes, faça duplo selecione Comprimento mínimo da palavra-passe.

   3. Na janela de propriedades, selecione a caixa de verificação Definir esta definição de política , defina o número de carateres como 8 e, em seguida, selecione OK.

2. Feche a janela Editor de Gestão de Políticas de Grupo .

Para verificar o GPO no arquivo

1. No separador Controlado , selecione MyGPO com o botão direito do rato e, em seguida, selecione Dar Entrada.

2. Escreva um comentário e, em seguida, selecione OK.

3. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. No separador Controlado , o estado do GPO é identificado como Entrada Dada.

Para pedir a implementação do GPO para o ambiente de produção

1. No separador Controlado , selecione MyGPO com o botão direito do rato e, em seguida, selecione Implementar.

2. Uma vez que esta conta não é um Aprovador ou Administrador do AGPM, tem de submeter um pedido de implementação. Para receber uma cópia do pedido, escreva o seu endereço de e-mail no campo Cc . Escreva um comentário a apresentar no histórico do GPO e, em seguida, selecione Submeter.

3. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. MyGPO é apresentado na lista de GPOs no separador Pendente .

Passo 3: Rever e implementar um GPO

Neste passo, vai atuar como Aprovador, criar relatórios e analisar as definições e as alterações às definições no GPO para determinar se deve aprová-los. Depois de avaliar o GPO, implemente-o no ambiente de produção e ligue o GPO a um domínio ou a uma unidade organizacional (UO). O GPO entra em vigor quando a Política de Grupo é atualizada para computadores nesse domínio ou UO.

Para rever as definições no GPO

1. Num computador no qual tenha instalado o Cliente AGPM, inicie sessão com uma conta de utilizador à qual é atribuída a função de Aprovador no AGPM. Qualquer administrador de Política de Grupo com a função Revisor, que está incluída em todas as outras funções, pode rever as definições num GPO.

2. Abra a caixa de entrada de correio eletrónico da conta e repare que recebeu uma mensagem de e-mail do alias do AGPM com o pedido de um Editor para implementar um GPO.

3. Na árvore da Consola de Gestão de Políticas de Grupo , selecione Alterar Controlo na floresta e domínio em que pretende gerir GPOs.

4. No separador Conteúdo no painel de detalhes, selecione o separador Pendente .

5. Faça duplo selecione MyGPO para apresentar o histórico.

6. Reveja as definições na versão mais recente do MyGPO:

   1. Na janela Histórico , selecione a versão do GPO com o carimbo de data/hora mais recente, selecione Definições e, em seguida, selecione Relatório HTML para apresentar um resumo das definições do GPO.

   2. No browser, selecione Mostrar tudo para apresentar todas as definições no GPO. Feche a janela do navegador.

7. Compare a versão mais recente do MyGPO com a primeira versão dada no arquivo:

   1. Na janela Histórico , selecione a versão do GPO com o carimbo de data/hora mais recente. Prima CTRL e, em seguida, selecione a versão de GPO mais antiga para a qual a Versão do Computador não \é *.

   2. Selecione o botão Diferenças . A secção Políticas de Conta/Política de Palavra-passe está realçada a verde e precedida por [+]. Isto indica que a definição está configurada apenas na última versão do GPO.

   3. Selecione Políticas de Conta/Política de Palavra-passe. A definição Comprimento mínimo da palavra-passe também está realçada a verde e precedida por [+], indicando que está configurada apenas na última versão do GPO.

   4. Feche o browser.

Para implementar o GPO no ambiente de produção

1. No separador Pendente , selecione MyGPO com o botão direito do rato e, em seguida, selecione Aprovar.

2. Escreva um comentário a incluir no histórico do GPO.

3. Selecione Sim. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O GPO é implementado no ambiente de produção.

Para ligar o GPO a um domínio ou unidade organizacional

1. No GPMC, selecione com o botão direito do rato o domínio ou uma unidade organizacional (UO) à qual pretende aplicar o GPO que configurou e, em seguida, selecione Ligar um GPO Existente.

2. Na caixa de diálogo Selecionar GPO , selecione MyGPO e, em seguida, selecione OK.

Passo 4: Utilizar um modelo para criar um GPO

Neste passo, vai utilizar uma conta que tenha a função editor para criar e utilizar um modelo. Este modelo é uma versão estática de um GPO para utilização como ponto de partida para a criação de novos GPOs. Embora não possa editar um modelo, pode criar um novo GPO com base num modelo. Os modelos são úteis para criar rapidamente vários GPOs que incluem muitas das mesmas definições de política.

Para criar um modelo baseado num GPO existente

1. Num computador no qual tenha instalado o Cliente AGPM, inicie sessão com uma conta de utilizador à qual seja atribuída a função de Editor no AGPM.

2. Na árvore da Consola de Gestão de Políticas de Grupo , selecione Alterar Controlo na floresta e domínio em que pretende gerir GPOs.

3. No separador Conteúdo no painel de detalhes, selecione o separador Controlado .

4. Selecione MyGPO com o botão direito do rato e, em seguida, selecione Guardar como Modelo para criar um modelo que incorpore todas as definições atualmente no MyGPO.

5. Escreva MyTemplate como o nome do modelo e um comentário e, em seguida, selecione OK.

6. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O novo modelo é apresentado no separador Modelos .

Para pedir que um novo GPO seja criado e gerido através do AGPM

1. Selecione o separador Controlado .

2. Selecione com o botão direito do rato o nó Alterar Controlo e, em seguida, selecione Novo GPO Controlado.

3. Na caixa de diálogo Novo GPO Controlado :

   1. Para receber uma cópia do pedido, escreva o seu endereço de e-mail no campo Cc .

   2. Escreva MyOtherGPO como o nome do novo GPO.

   3. Escreva um comentário para o novo GPO.

   4. Selecione Criar em direto para que o novo GPO seja implementado no ambiente de produção imediatamente após a aprovação.

   5. Em A partir do modelo GPO, selecione MyTemplate. Selecione Enviar.

4. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O novo GPO é apresentado no separador Pendente .

Utilize uma conta que tenha atribuída a função de Aprovador para aprovar o pedido pendente para criar o GPO, tal como fez no Passo 1: Criar um GPO. O MyTemplate incorpora todas as definições que configurou no MyGPO. Uma vez que MyOtherGPO foi criado com MyTemplate, inicialmente contém todas as definições que MyGPO continha no momento em que MyTemplate foi criado. Pode confirmar isto ao gerar um relatório de diferença para comparar MyOtherGPO com MyTemplate.

Para dar saída do GPO do arquivo para edição

1. Num computador no qual tenha instalado o Cliente AGPM, inicie sessão com uma conta de utilizador à qual seja atribuída a função de Editor no AGPM.

2. Selecione MyOtherGPO com o botão direito do rato e, em seguida, selecione Dar Saída.

3. Escreva um comentário a apresentar no histórico do GPO enquanto está reservado e, em seguida, selecione OK.

4. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. No separador Controlado , o estado do GPO é identificado como Saída Dada.

Para editar o GPO offline e configurar a duração do bloqueio da conta

1. No separador Controlado , selecione MyOtherGPO com o botão direito do rato e, em seguida, selecione Editar para abrir a janela Editor de Gestão de Políticas de Grupo e alterar uma cópia offline do GPO. Para este cenário, configure o comprimento mínimo da palavra-passe:

   1. Em Configuração do Computador, selecione duas vezes Políticas, Definições do Windows, Definições de Segurança, Políticas de Conta e Política de Bloqueio de Conta.

   2. No painel de detalhes, faça duplo selecione Duração do bloqueio da conta.

   3. Na janela de propriedades, selecione Definir esta definição de política, defina a duração para 30 minutos e, em seguida, selecione OK.

2. Feche a janela Editor de Gestão de Políticas de Grupo .

Verifique MyOtherGPO no arquivo e solicite a implementação como fez para MyGPO no Passo 2: Editar um GPO. Pode comparar MyOtherGPO com MyGPO ou MyTemplate através de relatórios de diferença. Qualquer conta que inclua a função Revisor (Administrador do AGPM [Controlo Total], Aprovador, Editor ou Revisor) pode gerar relatórios.

Para comparar um GPO com outro GPO e com um modelo

1. Para comparar MyGPO e MyOtherGPO:

   1. No separador Controlado , selecione MyGPO. Prima CTRL e, em seguida, selecione MyOtherGPO.

   2. Selecione MyOtherGPO com o botão direito do rato, aponte para Diferenças e, em seguida, selecione Relatório HTML.

2. Para comparar MyOtherGPO e MyTemplate:

   1. No separador Controlado , selecione MyOtherGPO.

   2. Selecione MyOtherGPO com o botão direito do rato, aponte para Diferenças e, em seguida, selecione Modelo.

   3. Selecione MyTemplate e Relatório HTML e, em seguida, selecione OK.

Passo 5: Eliminar e restaurar um GPO

Neste passo, irá atuar como Aprovador para eliminar um GPO.

Para eliminar um GPO

1. Num computador no qual tenha instalado o Cliente AGPM, inicie sessão com uma conta de utilizador à qual seja atribuída a função de Aprovador.

2. Na árvore da Consola de Gestão de Políticas de Grupo , selecione Alterar Controlo na floresta e domínio em que pretende gerir GPOs.

3. No separador Conteúdo , selecione o separador Controlado para apresentar os GPOs controlados.

4. Selecione MyGPO com o botão direito do rato e, em seguida, selecione Eliminar. Selecione Eliminar GPO do arquivo e da produção para eliminar a versão no arquivo e a versão implementada do GPO no ambiente de produção.

5. Escreva um comentário a apresentar no registo de auditoria do GPO e, em seguida, selecione OK.

6. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O GPO é removido do separador Controlado e apresentado no separador Reciclagem , onde pode ser restaurado ou destruído.

Ocasionalmente, poderá detetar, depois de eliminar um GPO, que ainda é necessário. Neste passo, irá atuar como aprovador para restaurar um GPO que foi eliminado.

Para restaurar um GPO eliminado

1. No separador Conteúdo , selecione o separador Reciclagem para apresentar GPOs eliminados.

2. Selecione MyGPO com o botão direito do rato e, em seguida, selecione Restaurar.

3. Escreva um comentário a apresentar no histórico do GPO e, em seguida, selecione OK.

4. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, selecione Fechar. O GPO é removido do separador Reciclagem e é apresentado no separador Controlado .

   Observação

   Restaurar um GPO para o arquivo não o reimplementa automaticamente no ambiente de produção. Para devolver o GPO ao ambiente de produção, implemente o GPO como no Passo 3: Rever e implementar um GPO.

Depois de editar e implementar um GPO, poderá descobrir que as alterações recentes ao GPO estão a causar um problema. Neste passo, irá atuar como aprovador para reverter para uma versão anterior do GPO. Pode reverter para qualquer versão no histórico do GPO. Pode utilizar comentários e etiquetas para identificar versões válidas conhecidas e quando foram feitas alterações específicas.

Para reverter para uma versão anterior de um GPO

1. No separador Conteúdo , selecione o separador Controlado para apresentar os GPOs controlados.

2. Faça duplo selecione MyGPO para apresentar o histórico.

3. Selecione a versão a implementar com o botão direito do rato, selecione Implementar e, em seguida, selecione Sim.

4. Quando a janela Progresso indicar que o progresso geral está concluído, selecione Fechar. Na janela Histórico , selecione Fechar.

   Observação

   Para verificar se a versão que foi reimplementada é a versão pretendida, examine um relatório de diferença para as duas versões. Na janela Histórico do GPO, selecione as duas versões, clique com o botão direito do rato nas mesmas, aponte para Diferença e, em seguida, selecione Relatório HTML ou Relatório XML.