AGPM(高级组策略管理 )3.0之一部署
1、设置默认AGPM服务器
打开组策略管理控制台(GPMC.MSC),打开默认的Default Domain Policy进行编辑。
打开用户配置、策略、管理模板、Windows 组件、AGPM,进行如下设置
在客户端运行Gpupdate /force或注销计算机,组策略设置生效。
2、查看“变更控制”
“内容”选项卡
域委托
AGPM使用的是一种基于角色的授权模式。安装AGPM服务器时,需要指派一个AD用户帐号作为管理员(完全控制)角色。这个用户可以为其它用户分派四个主要角色(完全控制、审阅者、审批者、编辑者)
为了进行实验操作,我先在域上建立一个组织单位TestOU。
3、创建受控的GPO
输入GPO名称:TestOU_GPO,确定
查看“更改控制”、“内容”、“受控”如下图
4、离线编辑
要离线编辑某个GPO,需要先将其从存诸中签出。右击GPO,选择“签出”
如果需要,签出时可以增加注释。GPO签出时,生产环境上会生成一份临时贝,并被标记为签出状态。
这个临时拷贝不会链接到AD上的任何容器上,因此对它的任何修改并不会影响到生产环境中的任何用户和计算机。
 
现在可以右击这个受控的GPO,选择“编辑”进行编辑了
5、查看“历史”
当一个GPO签入签出几次后,可以右击这个GPO,选择“历史”,查看历史记录
6、查看“差异”
可以右击某个GPO,选择差异,然后选择报告类型,会出GPO之间的详细差别
或者在“历史”,选择两个版本的GPO(用CTRL选择),查看差异。
7、部署GPO
首先要将签出的GPO签入,然后右击这个GPO,选择部署。
8、使用AGPM回收站
可以通过AGPM回收站将某个删除的GPO还原。