关于高级组策略管理
可以使用高级组策略管理 (AGPM) 来扩展组策略管理控制台的功能, (GPMC) 为组策略 对象 (GPO) 提供全面的变更控制和改进的管理。
使用更改控制组策略对象开发
使用 AGPM,可以将每个 GPO 的副本存储在中央存档中,以便组策略管理员可以脱机查看和更改它,而不会立即影响 GPO 的已部署版本。 此外,AGPM 会将每个受控 GPO 版本的副本存储在存档中,以便可以在必要时回滚到早期版本。
术语“签入”和“签出”与库 (或在为编程开发) 提供变更控制、版本控制或源代码管理的应用程序中使用的一样。 若要使用库中的书籍,请从库中查看。 当你签出它时,没有其他人可以使用它。完成该书后,请将其签回到图书馆,以便其他人可以使用它。
若要使用这些 GPO 控件功能,请在“组策略管理”编辑器中单击“更改控件”节点。 仅当已安装 AGPM 客户端时,才会显示“更改控制”节点。
使用 AGPM 开发 GPO 时:
创建新的受控 GPO 或控制以前不受控制的 GPO。
查看 GPO,以便你和只有你才能更改它。
编辑 GPO。
签入已编辑的 GPO,以便其他人可以对其进行更改,或者可以部署它。
查看更改。
将 GPO 部署到生产环境。
基于角色的委派
AGPM 提供全面且易于使用的基于角色的委派,用于管理对存档中 GPO 的访问。 域级权限使 AGPM 管理员可以提供对单个域的访问权限,而无需提供对其他域的访问权限。 基于 GPO 的委派使 AGPM 管理员可以提供对特定 GPO 的访问权限,而无需提供域范围的访问权限。
在 AGPM 中,有专门定义的角色:AGPM 管理员 (完全控制) 、审批者、编辑者和审阅者。 AGPM 管理员角色包括所有其他角色的权限。 默认情况下,只有审批者才有权将 GPO 部署到域的生产环境,从而保护环境免受经验不足的编辑错误影响。 此外,默认情况下,所有角色都包括“审阅者”角色,因此能够查看报表中的 GPO 设置。 但是,AGPM 使 AGPM 管理员能够灵活地自定义 GPO 访问权限,以满足组织的需求。
在多个组策略管理员环境中委派
在多人更改 GPO 的环境中,AGPM 管理员将权限作为组或个人委托给编辑者、审批者和审阅者。 有关编辑器和审批者的典型 GPO 开发过程,请参阅 清单:创建、编辑和部署 GPO。
其他参考