执行 AGPM 管理员任务指南

高级组策略管理 (AGPM) 允许 AGPM 管理员 (完全控制) 配置域范围的选项，并将权限委派给审批者、编辑者、审阅者和 AGPM 管理员。 默认情况下，AGPM 管理员是具有完全控制权限（所有 AGPM 权限）并因此可以执行与任何角色关联的任务的人员。

在多人开发组策略对象 (GPO) 的环境中，可以选择让所有组策略管理员执行相同的任务并具有相同的访问级别。 或者，可以选择让 AGPM 管理员将权限委托给可以更改 GPO 的编辑者，以及将 GPO 部署到生产环境的审批者。 AGPM 管理员可以配置权限以满足组织的需求。

• 配置高级组策略管理：配置 AGPM 服务器连接和电子邮件通知，在生产环境中委托对 GPO 的访问权限，并配置日志记录和跟踪以便进行故障排除。

• 管理存档：委托对存档中的 GPO 的访问权限，限制存储的每个 GPO 的版本数，从另一个域导入 GPO，以及备份和还原存档。

• 管理 AGPM 服务：停止并启动 AGPM 服务或更改存档路径、AGPM 服务帐户或 AGPM 服务侦听的端口。

• 移动 AGPM 服务器和存档：将 AGPM 服务、存档或两者移到其他服务器。

注意 由于 AGPM 管理员角色包括所有其他角色的权限，因此 AGPM 管理员可以执行通常与任何其他角色关联的任务。

执行审批者任务，例如创建、部署或删除 GPO

执行编辑器任务，例如编辑、重命名、标记或导入 GPO、创建模板或设置默认模板

执行审阅者任务，例如查看设置和比较 GPO

其他注意事项

默认情况下，AGPM 管理员角色具有“完全控制”-所有 AGPM 权限：

• 列出内容

• 读取设置

• 编辑设置

• 创建 GPO

• 部署 GPO

• 删除 GPO

• 导出 GPO

• 导入 GPO

• 创建模板

• 修改选项

• 修改安全性

“修改选项”和“修改安全性”权限对 AGPM 管理员角色是唯一的。