Microsoft 進階群組原則管理 4.0 逐步指南
本逐步指南示範使用組策略管理控制台 (GPMC) 和 MICROSOFT 進階組策略管理 (AGPM) 的進階策略管理的進階技術。 AGPM 會增加 GPMC 的功能,並提供:
除了能夠在生產環境中委派 GPO 存取權之外,將管理組策略物件 (GPO) 授與多個組策略系統管理員的標準角色。
封存,可讓組策略管理員在 GPO 部署到生產環境之前離線建立和修改 GPO。
能夠回復至封存中的任何舊版 GPO,並限制儲存在封存中的版本數目。
GPO 的簽入和簽出功能,可確保組策略系統管理員不會無意中覆寫彼此的工作。
能夠搜尋具有特定屬性的 GPO,以及篩選顯示的 GPO 清單。
AGPM 案例概觀
在此案例中,您將為 AGPM 中的每個角色使用個別的用戶帳戶,以示範如何在具有多個組策略系統管理員且具有不同許可權層級的環境中管理組策略。 具體而言,您將執行下列工作:
使用屬於 Domain Admins 群組成員的帳戶,安裝 AGPM 伺服器,並將 AGPM 系統管理員角色指派給帳戶或群組。
使用您要指派 AGPM 角色的帳戶,安裝 AGPM 用戶端。
使用具有 AGPM 系統管理員角色的帳戶,將角色指派給其他帳戶,以設定 AGPM 並委派 GPO 的存取權。
從具有編輯器角色的帳戶,要求建立新的 GPO,然後使用具有核准者角色的帳戶來核准。 使用編輯器帳戶來檢查封存的 GPO、編輯 GPO、將 GPO 簽入封存,然後要求部署。
使用具有核准者角色的帳戶,檢閱 GPO 並將它部署到您的生產環境。
使用具有編輯器角色的帳戶,建立 GPO 範本,並使用它作為建立新 GPO 的起點。
使用具有核准者角色的帳戶,刪除並還原 GPO。
AGPM 伺服器需求
AGPM Server 4.0 需要 Windows Server 2012 或 Windows 10 及更新版本,以及來自遠端伺服器管理工具的 GPMC (RSAT) 。 支援32位和64位版本。
安裝 AGPM Server 之前,您必須是 Domain Admins 群組的成員,除非另有註明,否則必須存在下列 Windows 功能:
GPMC
Windows Server 2012 或更新版本:如果 GPMC 不存在,則會由 AGPM 自動安裝。
Windows 10 或更新版本:您必須先從 RSAT 安裝 GPMC,才能安裝 AGPM。 如需詳細資訊,請 參閱適用於 Windows 的遠端伺服器管理工具 (RSAT) 。
AGPM Server 需要下列 Windows 功能,如果不存在,則會自動安裝這些功能:
WCF 啟用;非 HTTP 啟用
Windows 處理序啟用服務
進程模型
.NET 環境
組態 API
AGPM 用戶端需求
AGPM Client 4.0 需要 Windows Server 2012 或 Windows 10 及更新版本,以及來自 RSAT 的 GPMC。 支援32位和64位版本。 AGPM 用戶端可以安裝在執行 AGPM 伺服器的電腦上。
AGPM 用戶端需要下列 Windows 功能,除非另有註明,否則如果沒有,則會自動安裝這些功能:
GPMC
Windows Server 2012 和更新版本:如果 GPMC 不存在,則會由 AGPM 自動安裝。
Windows 10 和更新版本:您必須先從 RSAT 安裝 GPMC,才能安裝 AGPM。 如需詳細資訊,請 參閱適用於 Windows 的遠端伺服器管理工具 (RSAT) 。
案例需求
開始此案例之前,請先建立四個用戶帳戶。 在此案例中,您會將下列其中一個 AGPM 角色指派給每個帳戶:AGPM 系統管理員 (完全控制) 、核准者、編輯器和檢閱者。 這些帳戶必須能夠傳送和接收電子郵件訊息。 將 連結 GPO 許可權指派給具有 AGPM 系統管理員、核准者和 (選擇性) 編輯器角色的帳戶。
注意
連結 GPO 權 限預設會指派給網域系統管理員和企業系統管理員的成員。 若要將 連結 GPO 許可權指派給其他使用者或群組 (例如具有 AGPM 系統管理員或核准者) 角色的帳戶,請選取網域的節點,然後選取 [委 派 ] 索引標籤、選取 [連結 GPO]、選取 [ 新增],然後選取要指派許可權的使用者或群組。
安裝和設定 AGPM 的步驟
您必須完成下列步驟,才能安裝和設定 AGPM。
步驟 1:安裝 AGPM 伺服器
在此步驟中,您會在將執行 AGPM 服務的成員伺服器或域控制器上安裝 AGPM 伺服器,然後設定封存。 所有 AGPM 作業都是透過此 Windows 服務來管理,並以服務的認證執行。 AGPM 伺服器所管理的封存可以裝載於該伺服器或相同樹系中的另一部伺服器上。
在將裝載 AGPM 服務的電腦上安裝 AGPM 伺服器
使用屬於 Domain Admins 群組成員的帳戶登入。
啟動Microsoft桌面優化套件CD,並依照畫面上的指示選取[進階 組策略管理- 伺服器]。
在 [ 歡迎使用 ] 對話框中,選取 [ 下一步]。
在 [ Microsoft軟體授權條款 ] 對話框中,接受條款,然後選取 [ 下一步]。
在 [ 應用程式路徑] 對話框中,選取要在其中安裝 AGPM 伺服器的位置。 安裝 AGPM 伺服器的電腦將會載入 AGPM 服務並管理封存。 選取 [下一步]。
在 [ 封存路徑 ] 對話框中,選取與 AGPM 伺服器相關的封存位置。 封存路徑可以指向 AGPM 伺服器或其他地方的資料夾。 不過,您應該選取具有足夠空間的位置,以儲存此 AGPM 伺服器所管理的所有 GPO 和歷程記錄數據。 選取 [下一步]。
在 [ AGPM 服務帳戶 ] 對話框中,選取 AGPM 服務執行所在的服務帳戶,然後選取 [ 下一步]。
此帳戶必須是 Domain Admins 群組的成員,或是針對最低許可權設定,在 AGPM 伺服器所管理的每個網域中,下列群組:
組策略建立者擁有者
備份運算子
此帳戶必須是 AGPM 伺服器電腦上本機系統管理員群組的成員。 這是成功處理的必要專案
此外,此帳戶需要下列資料夾的完整控制許可權:
AGPM 封存資料夾,如果 AGPM 伺服器安裝在本機磁碟驅動器上,則會在安裝 AGPM 伺服器期間自動授與此許可權。
本機系統暫存資料夾,通常是 %windir%\temp。
在 [ 封存擁有者] 對話框中,選取您指派 AGPM 系統管理員 (完全控制) 角色的帳戶或群組。 AGPM 系統管理員可以將 AGPM 角色和許可權指派給其他組策略管理員,以便稍後將 AGPM 系統管理員的角色指派給其他組策略管理員。 針對此案例,請選取要在 AGPM 系統管理員角色中提供服務的帳戶。 選取 [下一步]。
在 [ 埠組態] 對話框中,輸入 AGPM 服務應該接聽的埠。 除非您手動設定 埠例外 狀況或使用規則來設定埠例外狀況,否則請勿清除 [將埠例外狀況新增至防火牆] 複選框。 選取 [下一步]。
在 [ 語言] 對話框中,選取要為 AGPM Server 安裝的一或多個顯示語言。
選取 [安裝],然後選取 [ 完成] 以結束 [安裝精靈]。
謹慎 請勿透過作業系統中的系統 管理工具 和服務來變更 AGPM 服務 的設定。 這樣做可防止 AGPM 服務啟動。 如需如何變更服務設定的資訊,請參閱進階組策略管理的說明。
步驟 2:安裝 AGPM 用戶端
每個組策略系統管理員 —任何建立、編輯、部署、檢閱或刪除 GPO 的人員—都必須在用來管理 GPO 的計算機上安裝 AGPM 用戶端。 只有當您安裝 AGPM 用戶端時,您用來執行許多 GPO 管理工作的 [變更控制] 節點才會出現在組策略管理控制台中。 在此案例中,您至少要在一部計算機上安裝 AGPM 用戶端。 您不需要在未執行組策略管理的終端使用者電腦上安裝 AGPM 用戶端。
在組策略管理員的計算機上安裝 AGPM 用戶端
啟動Microsoft桌面優化套件CD,並依照畫面上的指示選取[進階 組策略管理- 用戶端]。
在 [ 歡迎使用 ] 對話框中,選取 [ 下一步]。
在 [ Microsoft軟體授權條款 ] 對話框中,接受條款,然後選取 [ 下一步]。
在 [ 應用程式路徑] 對話框中,選取要在其中安裝 AGPM 用戶端的位置。 選取 [下一步]。
在 [AGPM 伺服器 ] 對話框中,輸入 AGPM 伺服器的 DNS 名稱或 IP 位址,以及您要連線的埠。 AGPM 服務的預設埠是 4600。 除非您手動設定埠例外狀況或使用規則來設定埠例外狀況,否則請勿清除 [ 允許Microsoft管理控制台通過防火牆 ] 複選框。 選取 [下一步]。
在 [ 語言] 對話框中,選取要為 AGPM 用戶端安裝的一或多個顯示語言。
選取 [安裝],然後選取 [ 完成] 以結束 [安裝精靈]。
步驟 3:設定 AGPM 伺服器連線
AGPM 會將每個受控制組策略物件的所有版本 (GPO) ,也就是 AGPM 為其提供變更控制的每個 GPO,儲存在中央封存中。 這可讓組策略管理員脫機檢視和變更 GPO,而不會立即影響每個 GPO 的已部署版本。
在此步驟中,您會設定 AGPM 伺服器連線,並確保所有組策略系統管理員都連線到相同的 AGPM 伺服器。 (如需如何設定多部 AGPM 伺服器的相關信息,請參閱進階組策略管理的說明。)
為所有組策略管理員設定 AGPM 伺服器連線
在您已安裝 AGPM 用戶端的電腦上,使用您選取為封存擁有者的使用者帳戶登入。 此使用者具有 AGPM 系統管理員 (完全控制) 角色。
選 取 [開始],指向 [ 系統管理工具],然後選取 [組策略管理 ] 以開啟 GPMC。
編輯套用至所有組策略系統管理員的 GPO。
在 [組策略管理編輯器] 視窗中,按兩下 [用戶設定]、[原則]、[系統管理範本]、[Windows 元件] 和 [AGPM]。
在詳細資料窗格中,按兩下 [AGPM:指定預設 AGPM 伺服器 (所有網域) 。
在 [ 屬性] 視窗中,選 取 [已啟用 ],然後輸入 DNS 名稱或 IP 位址和埠 (例如, server.contoso.com:4600 裝載封存的伺服器) 。 根據預設,AGPM 服務會使用埠 4600。
選取 [確定],然後關閉 [ 組策略管理編輯器] 視窗。 更新組策略時,會為每個組策略管理員設定 AGPM 伺服器連線。
步驟 4:設定電子郵件通知
身為 AGPM 系統管理員 (完全控制) ,您可以指定當編輯器嘗試建立、部署或刪除 GPO 時,傳送包含要求的電子郵件訊息給核准者和 AGPM 系統管理員的電子郵件位址。 您也可以判斷要從中傳送這些訊息的別名。
設定 AGPM 的電子郵件通知
在 組策略管理編輯器 中,流覽至 [變更控制] 資料夾
在詳細數據窗格中,選取 [ 網域委派] 索引 卷標。
在 [ 寄件者電子郵件位址] 字 段中,輸入應從中傳送通知的 AGPM 電子郵件別名。
在 [ 收件者電子郵件位址] 字 段中,輸入您要指派核准者角色之使用者帳戶的電子郵件位址。
在 [ SMTP 伺服器] 字段中,輸入有效的 SMTP 郵件伺服器。
在 [ 用戶名稱 ] 和 [ 密碼] 字 段中,輸入可存取 SMTP 服務之使用者的認證。 選取 [套用]。
步驟 5:委派存取權
身為 AGPM 系統管理員 (完全控制) ,您可以將網域層級存取權委派給 GPO,並將角色指派給每個組策略管理員的帳戶。
注意
您也可以在 GPO 層級而不是網域層級委派存取權。 如需詳細資訊,請參閱進階組策略管理的說明。
重要
您應該限制組策略建立者擁有者群組中的成員資格,使其無法用來規避 AGPM 對 GPO 存取的管理。 (在組策略管理控制台中,選取您要管理 GPO 之樹系和網域中的組策略對象,選取 [委派],然後設定設定以符合組織的需求。)
將存取權委派給整個網域中的所有 GPO
在 [ 網域委派] 索引 卷標上,選取 [ 新增 ] 按鈕,選取組策略系統管理員的使用者帳戶作為核准者,然後選取 [ 確定]。
在 [ 新增群組或使用者 ] 對話框中,選取要將該角色指派給帳戶的核准 者 角色,然後選取 [ 確定]。 (此角色包含檢閱者角色.)
選取 [ 新增] 按鈕,選取組策略系統管理員的使用者帳戶作為編輯器,然後選取 [ 確定]。
在 [ 新增群組或使用者 ] 對話框中,選取要將該角色指派給帳戶的 編輯 器角色,然後選取 [ 確定]。 (此角色包含檢閱者角色.)
選取 [ 新增] 按鈕,選取組策略系統管理員的使用者帳戶作為檢閱者,然後選取 [ 確定]。
在 [ 新增群組或使用者 ] 對話框中,選取 [ 檢閱者 ] 角色,只將該角色指派給帳戶。
管理 GPO 的步驟
您必須完成下列步驟,才能使用 AGPM 建立、編輯、檢閱及部署 GPO。 此外,您將建立範本、刪除 GPO,以及還原已刪除的 GPO。
步驟 1:建立 GPO
在具有多個組策略系統管理員的環境中,具有編輯器角色的人員可以要求建立新的 GPO。 不過,該要求必須由具有核准者角色的人員核准。
在此步驟中,您會使用具有編輯器角色的帳戶來要求建立新的 GPO。 使用具有核准者角色的帳戶,您可以核准此要求來建立 GPO。
要求透過 AGPM 建立和管理新的 GPO
在您已安裝 AGPM 用戶端的電腦上,使用在 AGPM 中指派編輯器角色的使用者帳戶登入。
在組 策略管理主控台 樹狀結構中,選取您要管理 GPO 之樹系和網域中的 [ 變更 控制]。
以滑鼠右鍵選取 [ 變更控制] 節點,然後選取 [新增受控 GPO]。
在 [ 新增受控 GPO] 對話框中:
若要接收要求的複本,請在 [ 副本 ] 字段中輸入您的電子郵件位址。
輸入 MyGPO 作為新 GPO 的名稱。
輸入新 GPO 的批注。
選 取 [即時建立 ],以便在核准后立即將新的 GPO 部署到生產環境。 選取 \[提交\]。
當 [AGPM 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 新的 GPO 會顯示在 [ 擱置 ] 索引標籤上。
核准建立 GPO 的擱置要求
在您已安裝 AGPM 用戶端的電腦上,使用在 AGPM 中具有核准者角色的用戶帳戶登入。
開啟帳戶的電子郵件收件匣,並注意您已收到來自 AGPM 別名的電子郵件訊息,其中包含編輯器建立 GPO 的要求。
在組 策略管理主控台 樹狀結構中,選取您要管理 GPO 之樹系和網域中的 [ 變更 控制]。
在 [ 內容] 索引 標籤上,選取 [ 擱置 ] 索引卷標以顯示擱置的 GPO。
以滑鼠右鍵選取 [MyGPO],然後選取 [ 核准]。
選取 [是 ] 以確認核准,並將 GPO 移至 [ 受控制] 索引 標籤。
步驟 2:編輯 GPO
您可以使用 GPO 來設定電腦或使用者設定,並將其部署至許多電腦或使用者。 在此步驟中,您會使用具有編輯器角色的帳戶,從封存中取出 GPO、離線編輯 GPO、將已編輯的 GPO 簽入封存,以及要求將 GPO 部署至生產環境。 在此案例中,您會在 GPO 中設定一個設定,要求密碼長度至少為八個字元。
若要從封存中取出 GPO 以進行編輯
在您已安裝 AGPM 用戶端的電腦上,使用在 AGPM 中具有編輯器角色的使用者帳戶登入。
在組 策略管理主控台 樹狀結構中,選取您要管理 GPO 之樹系和網域中的 [ 變更 控制]。
在詳細數據窗格的 [ 內容] 索引卷標上,選取 [ 受控] 索引卷標以顯示受控制的 GPO。
以滑鼠右鍵選取 [MyGPO],然後選取 [ 取出]。
輸入要在取出 GPO 時顯示在 GPO 歷程記錄中的批注,然後選取 [ 確定]。
當 [AGPM 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 在 [ 受控制] 索引 標籤上,GPO 的狀態會識別為 已取出。
若要離線編輯 GPO 並設定密碼長度下限
在 [ 受控制] 索引 標籤上,以滑鼠右鍵選取 [MyGPO],然後選取 [ 編輯 ] 以開啟 [ 組策略管理編輯 器] 視窗,並變更 GPO 的離線複本。 針對此案例,請設定密碼長度下限:
在 [ 計算機設定] 底下,按兩下 [ 原則]、 [Windows 設定]、[ 安全性設定]、[ 帳戶原則] 和 [ 密碼原則]。
在詳細數據窗格中,按兩下 [ 密碼長度下限]。
在 [屬性] 視窗中,選取 [ 定義此原則設定 ] 複選框,將字元數設為 8,然後選取 [ 確定]。
關閉 [ 組策略管理編輯器 ] 視窗。
若要將 GPO 簽入封存
在 [ 受控制] 索引 卷標上,以滑鼠右鍵選取 [MyGPO] ,然後選取 [ 簽入]。
輸入批注,然後選取 [ 確定]。
當 [AGPM 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 在 [ 受控制] 索引 標籤上,GPO 的狀態會識別為 [存回]。
要求將 GPO 部署到生產環境
在 [ 受控制] 索引 卷標上,以滑鼠右鍵選取 [MyGPO] ,然後選取 [ 部署]。
因為此帳戶不是核准者或 AGPM 系統管理員,所以您必須提交部署要求。 若要接收要求的複本,請在 [ 副本 ] 字段中輸入您的電子郵件位址。 輸入要顯示在 GPO 歷程記錄中的批注,然後選取 [ 提交]。
當 [AGPM 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 MyGPO 會顯示在 [ 擱置 ] 索引標籤上的 GPO 清單上。
步驟 3:檢閱和部署 GPO
在此步驟中,您會以核准者身分建立報告,並分析 GPO 中設定的設定和變更,以判斷是否應該核准這些設定。 評估 GPO 之後,您會將其部署至生產環境,並將 GPO 連結至網域或組織單位 (OU) 。 針對該網域或 OU 中的電腦重新整理組策略時,GPO 會生效。
若要檢閱 GPO 中的設定
在您已安裝 AGPM 用戶端的電腦上,使用在 AGPM 中指派核准者角色的用戶帳戶登入。 具有檢閱者角色且包含在所有其他角色中的任何組策略系統管理員,都可以檢閱 GPO 中的設定。
開啟帳戶的電子郵件收件匣,並注意您已收到來自 AGPM 別名的電子郵件訊息,其中包含編輯器部署 GPO 的要求。
在組 策略管理主控台 樹狀結構中,選取您要管理 GPO 之樹系和網域中的 [ 變更 控制]。
在詳細數據窗格的 [ 內容] 索引卷標上,選取 [擱置] 索 引 標籤。
按兩下 [MyGPO ] 以顯示其歷程記錄。
檢閱最新版 MyGPO 中的設定:
在 [ 歷程記錄] 視窗中,以滑鼠右鍵選取具有最新時間戳的 GPO 版本,選取 [ 設定],然後選取 [HTML 報表 ] 以顯示 GPO 設定的摘要。
在網頁瀏覽器中,選取 [全部顯示 ] 以顯示 GPO 中的所有設定。 關閉瀏覽器。
將最新版本的 MyGPO 與簽入的第一個版本與封存進行比較:
在 [ 歷程記錄] 視窗中,選取具有最新時間戳的 GPO 版本。 按 CTRL,然後選取 電腦版本 不是 \*的最舊 GPO 版本。
選取 [ 差異] 按鈕。 [ 帳戶原則/密碼原則] 區段會以綠色醒目提示,並在前面加上 [+]。 這表示設定只在後一版的 GPO 中設定。
選 取 [帳戶原則/密碼原則]。 [ 密碼長度下限 ] 設定也會以綠色醒目提示,並在前面加上 [+],表示它只在後一版的 GPO 中設定。
關閉網頁瀏覽器。
將 GPO 部署至生產環境
在 [ 擱置 ] 索引卷標上,以滑鼠右鍵選取 [MyGPO] ,然後選取 [ 核准]。
輸入要包含在 GPO 歷程記錄中的批注。
選 取 [是]。 當 [AGPM 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 GPO 會部署到生產環境。
將 GPO 連結至網域或組織單位
在 GPMC 中,以滑鼠右鍵選取您要套用所設定 GPO 的網域或組織單位 (OU) ,然後選取 [鏈接現有的 GPO]。
在 [ 選取 GPO] 對話框中,選取 [MyGPO],然後選取 [ 確定]。
步驟 4:使用範本建立 GPO
在此步驟中,您會使用具有編輯器角色的帳戶來建立和使用範本。 該範本是 GPO 的靜態版本,可作為建立新 GPO 的起點。 雖然您無法編輯範本,但您可以根據範本建立新的 GPO。 範本適用於快速建立多個 GPO,其中包含許多相同的原則設定。
根據現有的 GPO 建立範本
在您已安裝 AGPM 用戶端的電腦上,使用在 AGPM 中指派編輯器角色的使用者帳戶登入。
在組 策略管理主控台 樹狀結構中,選取您要管理 GPO 之樹系和網域中的 [ 變更 控制]。
在詳細數據窗格的 [ 內容] 索引卷標上,選取 [ 受控] 索引 標籤。
以滑鼠右鍵選取 [MyGPO],然後選取 [另 存為範本 ] 以建立範本,併入目前 MyGPO 中的所有設定。
輸入 MyTemplate 作為範本和批注的名稱,然後選取 [ 確定]。
當 [AGPM 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 新的範本會出現在 [ 範本] 索 引標籤上。
要求透過 AGPM 建立和管理新的 GPO
選取 [ 受控] 索引標籤 。
以滑鼠右鍵選取 [ 變更控制] 節點,然後選取 [新增受控 GPO]。
在 [ 新增受控 GPO] 對話框中:
若要接收要求的複本,請在 [ 副本 ] 字段中輸入您的電子郵件位址。
輸入 MyOtherGPO 作為新 GPO 的名稱。
輸入新 GPO 的批注。
選 取 [即時建立 ],以便在核准后立即將新的 GPO 部署到生產環境。
針對 [從 GPO 範本],選取 [MyTemplate]。 選取 \[提交\]。
當 [AGPM 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 新的 GPO 會顯示在 [ 擱置 ] 索引標籤上。
使用指派核准者角色的帳戶,核准建立 GPO 的暫止要求,如同您在 步驟 1:建立 GPO 中所做的一樣。 MyTemplate 包含您在 MyGPO 中設定的所有設定。 由於 MyOtherGPO 是使用 MyTemplate 建立的,因此它一開始會包含 MyGPO 在建立 MyTemplate 時所包含的所有設定。 您可以產生差異報表來比較 MyOtherGPO 與 MyTemplate,以確認這一點。
若要從封存中取出 GPO 以進行編輯
在您已安裝 AGPM 用戶端的電腦上,使用在 AGPM 中指派編輯器角色的使用者帳戶登入。
以滑鼠右鍵選取 [MyOtherGPO],然後選取 [ 取出]。
輸入要在取出 GPO 時顯示在 GPO 歷程記錄中的批注,然後選取 [ 確定]。
當 [AGPM 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 在 [ 受控制] 索引 標籤上,GPO 的狀態會識別為 已取出。
若要離線編輯 GPO 並設定帳戶鎖定持續時間
在 [ 受控制] 索引 標籤上,以滑鼠右鍵選取 [MyOtherGPO],然後選取 [ 編輯 ] 以開啟 [ 組策略管理編輯 器] 視窗,並變更 GPO 的離線複本。 針對此案例,請設定密碼長度下限:
在 [ 計算機設定] 下方,按兩下 [ 原則]、 [Windows 設定]、[ 安全性設定]、[ 帳戶原則] 和 [ 帳戶鎖定原則]。
在詳細數據窗格中,按兩下 [帳戶鎖定持續時間]。
在 [屬性] 視窗中,核 取 [定義此原則設定],將持續時間設定為 30 分鐘,然後選取 [ 確定]。
關閉 [ 組策略管理編輯器 ] 視窗。
如同您在 步驟 2:編輯 GPO 中針對 MyGPO 所做的一樣,將 MyOtherGPO 簽入封存和要求部署。 您可以使用差異報告來比較 MyOtherGPO 與 MyGPO 或 MyTemplate。 任何包含檢閱者角色的帳戶 (AGPM 系統管理員 [完全控制]、核准者、編輯器或檢閱者) 都可以產生報告。
比較 GPO 與另一個 GPO 和範本
若要比較 MyGPO 和 MyOtherGPO:
在 [ 受控制] 索引 標籤上,選取 [MyGPO]。 按 CTRL,然後選取 [MyOtherGPO]。
以滑鼠右鍵選取 [MyOtherGPO],指向 [ 差異],然後選取 [ HTML 報告]。
若要比較 MyOtherGPO 和 MyTemplate:
在 [ 受控制] 索引 標籤上,選取 [MyOtherGPO]。
以滑鼠右鍵選取 [MyOtherGPO],指向 [ 差異],然後選取 [範本]。
選取 [MyTemplate ] 和 [HTML 報表],然後選取 [ 確定]。
步驟 5:刪除和還原 GPO
在此步驟中,您會以核准者身分刪除 GPO。
刪除 GPO
在您已安裝 AGPM 用戶端的電腦上,使用指派核准者角色的用戶帳戶登入。
在組 策略管理主控台 樹狀結構中,選取您要管理 GPO 之樹系和網域中的 [ 變更 控制]。
在 [ 內容] 索引 標籤上,選取 [ 受控] 索引 卷標以顯示受控制的 GPO。
以滑鼠右鍵選取 [MyGPO],然後選取 [ 刪除]。 選 取 [從封存和生產環境刪除 GPO ],以刪除封存中的版本和生產環境中已部署的 GPO 版本。
輸入要在 GPO 稽核線索中顯示的批注,然後選取 [ 確定]。
當 [AGPM 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 GPO 會從 [ 受控制] 索引 標籤中移除,並顯示在 [ 回收站 ] 索引卷標上,可在其中還原或終結。
有時候,您可能會在刪除仍然需要的 GPO 之後發現。 在此步驟中,您會以核准者身分還原已刪除的 GPO。
還原已刪除的 GPO
在 [ 內容] 索 引標籤上,選取 [ 回收站 ] 索引標籤以顯示已刪除的 GPO。
以滑鼠右鍵選取 [MyGPO],然後選取 [ 還原]。
輸入要顯示在 GPO 歷程記錄中的批注,然後選取 [ 確定]。
當 [AGPM 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 GPO 會從 [ 回收站 ] 索引標籤中移除,並顯示在 [ 受控制] 索引卷標上。
注意
將 GPO 還原至封存不會自動重新部署至生產環境。 若要將 GPO 傳回生產環境,請部署 GPO,如 步驟 3:檢閱和部署 GPO 所示。
編輯和部署 GPO 之後,您可能會發現最近對 GPO 所做的變更造成問題。 在此步驟中,您會以核准者身分復原至舊版 GPO。 您可以復原至 GPO 歷程記錄中的任何版本。 您可以使用批註和標籤來識別已知的良好版本,以及何時進行特定變更。
復原至舊版 GPO
在 [ 內容] 索引 標籤上,選取 [ 受控] 索引 卷標以顯示受控制的 GPO。
按兩下 [MyGPO ] 以顯示其歷程記錄。
以滑鼠右鍵選取要部署的版本,選取 [ 部署],然後選取 [ 是]。
當 [ 進度] 視窗指出整體進度已完成時,請選取 [ 關閉]。 在 [ 歷程記錄] 視窗中,選取 [ 關閉]。
注意
若要確認已重新部署的版本是預期的版本,請檢查兩個版本的差異報告。 在 GPO 的 [ 歷程 記錄] 視窗中,選取兩個版本,以滑鼠右鍵按兩下它們,指向 [ 差異],然後選取 [HTML 報表 ] 或 [XML 報告]。