AGPM（高级组策略管理）3.0部署

         AGPM 作为微软MDOP工具包所包含的软件之一，它增强了 GPMC 的功能，可提供以下功能：
用于将管理组策略对象 (GPO) 的权限委托给多个组策略管理员的标准角色，以及委托对生产环境中 GPO 的访问权限的功能。
使组策略管理员可以先脱机创建和修改 GPO，然后再将其部署到生产环境的存档。
回滚到存档中 GPO 的任何早期版本，并限制存储在存档中版本数量的功能。
签入或签出 GPO 的功能，以确保组策略管理员不会无意中相互覆盖各自的工作。

 

一、要求
1、AGPM 服务器要求
AGPM Server 3.0 要求安装 Windows Server 2008 或带 Service Pack 1 的 Windows Vista 以及远程服务器管理工具 (RSAT) 中的 GPMC。支持 32 位和 64 位版本。
在安装 AGPM 服务器之前，必须成为 Domain Admins 组的成员，并且除非另有说明，否则必须具有以下 Windows 功能：
GPMC
Windows Server 2008：如果不具备 GPMC，AGPM 将自动安装该功能。
Windows Vista：在安装 AGPM 之前，必须先安装 RSAT 中的 GPMC。有关详细信息，请参阅http://go.microsoft.com/fwlink/?LinkID=116179。
.NET Framework 3.5
AGPM 服务器必须使用下列 Windows 功能（如果不具备这些功能，则会自动安装）：
WCF 激活；非 HTTP 激活
Windows 进程激活服务
进程模型
.NET 环境
配置 API

 

2、AGPM 客户端要求
AGPM Client 3.0 要求安装 Windows Server 2008 或带 Service Pack 1 的 Windows Vista 以及远程服务器管理工具 (RSAT) 中的 GPMC。支持 32 位和 64 位版本。AGPM 客户端可以在运行 AGPM 服务器的计算机上安装。
AGPM 客户端必须使用下列 Windows 功能（除非另有说明，否则如果不具备这些功能，则会自动安装）：
GPMC
Windows Server 2008：如果不具备 GPMC，AGPM 将自动安装该功能。

Windows Vista：在安装 AGPM 之前，必须先安装 RSAT 中的 GPMC。有关详细信息，请参阅http://go.microsoft.com/fwlink/?LinkID=116179。
.NET Framework 3.0

 

二、安装

以下测试都在虚拟机完成。

1、服务器安装

服务器：计算机WIN2008DC,角色dc,域名：hbycrsj.gov.cn,操作系统为windows 2008 sp2.

已安装.NET Framework 3.5

插入MDOP 2009光盘，开始安装

domain\bill.xu是域管理组成员。

安装完成。

 

2、客户端安装

客户机：计算机AGPMCLIENT,加入到域，操作系统为windows 2008 sp2

已安装.NET Framework 3.0。

插入MDOP 2009光盘，选择安装32位客户端，开始安装。

安装完成

1、设置默认AGPM服务器

打开组策略管理控制台（GPMC.MSC），打开默认的Default Domain Policy进行编辑。

打开用户配置、策略、管理模板、Windows 组件、AGPM，进行如下设置

在客户端运行Gpupdate /force或注销计算机，组策略设置生效。

 

2、查看“变更控制”

“内容”选项卡

域委托

AGPM使用的是一种基于角色的授权模式。安装AGPM服务器时，需要指派一个AD用户账号作为管理员（完全控制）角色。这个用户可以为其它用户分派四个主要角色（完全控制、审阅者、审批者、编辑者）

为了进行实验操作，我先在域上建立一个组织单位TestOU。

3、创建受控的GPO

输入GPO名称：TestOU_GPO,确定

查看“更改控制”、“内容”、“受控”如下图

4、离线编辑

要离线编辑某个GPO，需要先将其从存诸中签出。右击GPO，选择“签出”

如果需要，签出时可以增加注释。GPO签出时，生产环境上会生成一份临时贝，并被标记为签出状态。

这个临时拷贝不会链接到AD上的任何容器上，因此对它的任何修改并不会影响到生产环境中的任何用户和计算机。

 

现在可以右击这个受控的GPO，选择“编辑”进行编辑了

5、查看“历史”

当一个GPO签入签出几次后，可以右击这个GPO，选择“历史”，查看历史记录

 

6、查看“差异”

可以右击某个GPO，选择差异，然后选择报告类型，会出GPO之间的详细差别

或者在“历史”，选择两个版本的GPO（用CTRL选择），查看差异。

 

7、部署GPO

首先要将签出的GPO签入，然后右击这个GPO，选择部署。

 

8、使用AGPM回收站

可以通过AGPM回收站将某个删除的GPO还原。

本文出自 “从心开始” 博客，请务必保留此出处http://ycrsjxy.blog.51cto.com/618627/203143