共用方式為


關於進階群組原則管理

您可以使用進階群組原則管理 (AGPM) 來擴充 群組原則 Management Console (GPMC) 的功能,為 群組原則 物件 (GPO) 提供全面的變更控制和改良的管理。

使用變更控制項群組原則物件開發

使用 AGPM,您可以將每個 GPO 的複本儲存在中央封存中,讓群組原則系統管理員可以離線檢視和變更,而不會立即影響已部署的 GPO 版本。 此外,AGPM 會將每個受控制 GPO 版本的複本儲存在封存中,以便您可以視需要復原到舊版。

「簽入」和「簽出」一詞的使用方式,就如同在程式庫 (或提供變更控制、版本控制或原始檔控制以進行程式設計開發) 的應用程式中一樣。 若要使用位於文件庫中的書籍,您可以從文件庫取出它。 當您取出它時,沒有其他人可以使用它。當您完成書籍時,您會將它簽回文件庫,讓其他人可以使用它。

若要使用這些 GPO 控制項功能,您會在 [群組原則 管理編輯器] 中按一下 [變更控制] 節點。 只有當您已安裝 AGPM 用戶端時,才會出現 [變更控制] 節點。

當您使用 AGPM 開發 GPO 時:

  1. 建立新的受控 GPO,或控制先前未受控制的 GPO。

  2. 請查看 GPO,讓您和您只能加以變更。

  3. 編輯 GPO。

  4. 簽入已編輯的 GPO,讓其他人可以變更它,或是讓它可以部署。

  5. 檢閱變更。

  6. 將 GPO 部署至生產環境。

角色型委派

AGPM 提供全方位、容易使用的角色型委派,以管理封存中 GPO 的存取權。 網域層級許可權可讓 AGPM 系統管理員提供個別網域的存取權,而不需要提供其他網域的存取權。 GPO 型委派可讓 AGPM 系統管理員提供特定 GPO 的存取權,而不需要提供全網域的存取權。

在 AGPM 中,有特別定義的角色:AGPM 系統管理員 (完全控制) 、核准者、編輯器和檢閱者。 AGPM 系統管理員角色包含所有其他角色的許可權。 根據預設,只有核准者能夠將 GPO 部署到網域的生產環境,保護環境免于較不有經驗的編輯器的錯誤。 此外,根據預設,所有角色都包含檢閱者角色,因此能夠在報表中檢視 GPO 設定。 不過,AGPM 可讓 AGPM 系統管理員彈性地自訂 GPO 存取權,以符合組織的需求。

在多個群組原則系統管理員環境中委派

在多人變更 GPO 的環境中,AGPM 系統管理員會將許可權委派給編輯者、核准者和檢閱者,以群組或個人身分。 如需編輯器和核准者的一般 GPO 開發程式,請 參閱檢查清單:建立、編輯和部署 GPO

其他參考