AGPM高级组策略管理.部署.docVIP

AGPM（高级组策略管理）3.0部署 都会感到很广泛的符合符合法规和地方 法国和电话给对方回复的规划法规和电饭锅 AGPM 作为微软MDOP工具包所包含的软件之一，它增强了 GPMC 的功能，可提供以下功能：用于将管理组策略对象 (GPO) 的权限委托给多个组策略管理员的标准角色，以及委托对生产环境中 GPO 的访问权限的功能。使组策略管理员可以先脱机创建和修改 GPO，然后再将其部署到生产环境的存档。回滚到存档中 GPO 的任何早期版本，并限制存储在存档中版本数量的功能。签入或签出 GPO 的功能，以确保组策略管理员不会无意中相互覆盖各自的工作。 ? 一、要求1、AGPM 服务器要求AGPM Server 3.0 要求安装 Windows Server 2008 或带 Service Pack 1 的 Windows Vista 以及远程服务器管理工具 (RSAT) 中的 GPMC。支持 32 位和 64 位版本。在安装 AGPM 服务器之前，必须成为 Domain Admins 组的成员，并且除非另有说明，否则必须具有以下 Windows 功能：GPMCWindows Server 2008：如果不具备 GPMC，AGPM 将自动安装该功能。Windows Vista：在安装 AGPM 之前，必须先安装 RSAT 中的 GPMC。有关详细信息，请参阅 /fwlink/?LinkID=116179。.NET Framework 3.5AGPM 服务器必须使用下列 Windows 功能（如果不具备这些功能，则会自动安装）：WCF 激活；非 HTTP 激活Windows 进程激活服务进程模型.NET 环境配置 API ? 2、AGPM 客户端要求AGPM Client 3.0 要求安装 Windows Server 2008 或带 Service Pack 1 的 Windows Vista 以及远程服务器管理工具 (RSAT) 中的 GPMC。支持 32 位和 64 位版本。AGPM 客户端可以在运行 AGPM 服务器的计算机上安装。AGPM 客户端必须使用下列 Windows 功能（除非另有说明，否则如果不具备这些功能，则会自动安装）：GPMCWindows Server 2008：如果不具备 GPMC，AGPM 将自动安装该功能。 Windows Vista：在安装 AGPM 之前，必须先安装 RSAT 中的 GPMC。有关详细信息，请参阅 /fwlink/?LinkID=116179。.NET Framework 3.0 ? 二、安装 以下测试都在虚拟机完成。 1、服务器安装 服务器：计算机WIN2008DC,角色dc,域名：,操作系统为windows 2008 sp2. 已安装.NET Framework 3.5 插入MDOP 2009光盘，开始安装 domain\bill.xu是域管理组成员。 安装完成。 ? 2、客户端安装 客户机：计算机AGPMCLIENT,加入到域，操作系统为windows 2008 sp2 已安装.NET Framework 3.0。 插入MDOP 2009光盘，选择安装32位客户端，开始安装。 安装完成。 配置过程 1、设置默认AGPM服务器 打开组策略管理控制台（GPMC.MSC），打开默认的Default Domain Policy进行编辑。 打开用户配置、策略、管理模板、Windows 组件、AGPM，进行如下设置 在客户端运行Gpupdate /force或注销计算机，组策略设置生效。 ? 2、查看“变更控制” “内容”选项卡 域委托 AGPM使用的是一种基于角色的授权模式。安装AGPM服务器时，需要指派一个AD用户帐号作为管理员（完全控制）角色。这个用户可以为其它用户分派四个主要角色（完全控制、审阅者、审批者、编辑者） ? 为了进行实验操作，我先在域上建立一个组织单位TestOU。 3、创建受控的GPO 输入GPO名称：TestOU_GPO,确定 查看“更改控制”、“内容”、“受控”如下图 4、离线编辑 要离线编辑某个GPO，需要先将其从存诸中签出。右击GPO，选择“签出” 如果需要，签出时可以增加注释。GPO签出时，生产环境上会生成一份临时贝，并被标记为签出状态。 这个临时拷贝不会链接到AD上的任何容器上，因此对它的任何修改并不会影响到生产环境中的任何用户和计算机。? 现在可以右击这个受控的GPO，选择“编辑”进行编辑了 5、查看“历史” 当一个GPO签入签出几次后，可以右击这个GPO，选择“历史”，查看历史记录 ? 6、查看“差异” 可以右击某个GPO，选择差异，然后选择报告类型，会出GPO之间的详细差别 或者在“历史”，选择两个版本