Schrittweise Anleitung für Microsoft Advanced Group Policy Management 3.0

  • Artikel

Diese schrittweise Anleitung veranschaulicht fortgeschrittene Techniken für die Gruppenrichtlinienverwaltung mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) und von Microsoft Advanced Group Policy Management (AGPM). AGPM erweitert die Fähigkeiten von GPMC und stellt Folgendes bereit:

  • Standardrollen für das Delegieren von Berechtigungen zum Verwalten von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) an mehrere Gruppenrichtlinienadministratoren sowie die Fähigkeit, den Zugriff auf Gruppenrichtlinienobjekte in der Produktionsumgebung zu delegieren.

  • Ein Archiv, das Gruppenrichtlinienadministratoren die Offlineerstellung und Offlineänderung von Gruppenrichtlinienobjekten vor deren Bereitstellung in einer Produktionsumgebung ermöglicht.

  • Die Möglichkeit, ein Rollback zu einer früheren Version eines Gruppenrichtlinienobjekts im Archiv auszuführen und die Anzahl der im Archiv gespeicherten Versionen einzuschränken.

  • Möglichkeit zum Einchecken/Auschecken für Gruppenrichtlinienobjekte, um sicherzustellen, dass Gruppenrichtlinienadministratoren ihre Arbeit nicht unbeabsichtigt gegenseitig überschreiben.

Übersicht des AGPM-Szenarios

Für dieses Szenario verwenden Sie ein separates Benutzerkonto für jede Rolle in AGPM, um zu veranschaulichen, wie Gruppenrichtlinien in einer Umgebung mit mehreren Gruppenrichtlinienadministratoren, die über verschiedene Berechtigungsstufen verfügen, verwaltet werden können. Insbesondere sollen Sie die folgenden Aufgaben ausführen:

  • Installieren von AGPM-Server und Zuweisen der AGPM-Administratorrolle an ein Konto oder eine Gruppe unter Verwendung eines Kontos, das/die Mitglied der Gruppe Domänenadministratoren ist.

  • Installieren von AGPM-Client unter Verwendung von Konten, denen AGPM-Rollen zugewiesen werden.

  • Konfigurieren von AGPM und Delegieren des Zugriffs auf Gruppenrichtlinienobjekte durch Zuweisen von Rollen zu anderen Konten unter Verwendung eines Kontos mit der Rolle AGPM-Administrator.

  • Anfordern der Erstellung eines Gruppenrichtlinienobjekts, das Sie anschließend mithilfe eines Kontos mit der Rolle für eine genehmigende Person genehmigen, unter Verwendung eines Kontos mit der Rolle Bearbeiter. Auschecken eines Gruppenrichtlinienobjekts aus dem Archiv, Bearbeiten des Gruppenrichtlinienobjekts, erneutes Einchecken des Gruppenrichtlinienobjekts in das Archiv und Anfordern seiner Bereitstellung unter Verwendung eines Bearbeiterkontos.

  • Überprüfen eines Gruppenrichtlinienobjekts und dessen Bereitstellung in der Produktionsumgebung unter Verwendung eines Kontos mit der Rolle einer genehmigenden Person.

  • Erstellen einer Vorlage für ein Gruppenrichtlinienobjekt und dessen Verwendung als Ausgangspunkt zum Erstellen eines neuen Gruppenrichtlinienobjekts unter Verwendung eines Kontos mit der Rolle Bearbeiter.

  • Löschen und Wiederherstellen eines Gruppenrichtlinienobjekts mithilfe eines Kontos mit der Rolle einer genehmigenden Person.

Entwicklungsprozess für Gruppenrichtlinienobjekt

Anforderungen

Computer, auf denen AGPM installiert werden soll, müssen die folgenden Voraussetzungen erfüllen, und es müssen Konten für die Verwendung in diesem Szenario erstellt werden.

Hinweis

Wenn auf Ihrem System AGPM 2.5 installiert ist und Sie ein Upgrade von Windows Server® 2003 auf Windows Server 2008 oder von Windows Vista® ohne installierte Service Packs auf Windows Vista mit Service Pack 1 ausführen, müssen Sie das Betriebssystem upgraden, bevor Sie das Upgrade auf AGPM 3.0 ausführen können.

Voraussetzungen für AGPM Server

Für AGPM Server 3.0 müssen Windows Server 2008 oder Windows Vista mit Service Pack 1 und die GPMC (Group Policy Management Console, Gruppenrichtlinien-Verwaltungskonsole) aus RSAT (Remote Server Administration Tools) installiert sein. Sowohl 32-Bit- als auch 64-Bit-Versionen werden unterstützt.

Vor der Installation von AGPM Server müssen Sie als Mitglied der Gruppe "Domänen-Admins" konfiguriert worden sein, und die folgenden Windows-Features müssen vorhanden sein, sofern nicht explizit anders vermerkt:

  • GPMC

    • Windows Server 2008: Die GPMC wird automatisch von AGPM installiert, wenn sie nicht vorhanden ist.

    • Windows Vista: Vor der Installation von AGPM müssen Sie die GPMC aus RSAT installieren. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkID=116179.

  • .NET Framework 3.5

Die folgenden Windows-Features sind für AGPM Server erforderlich und werden automatisch installiert, sofern sie nicht vorhanden sind:

  • WCF-Aktivierung; Nicht-HTTP-Aktivierung

  • Windows-Prozessaktivierungsdienst

    • Prozessmodell

    • .NET-Umgebung

    • Konfigurations-APIs

Voraussetzungen für AGPM Client

Für AGPM Client 3.0 müssen Windows Server 2008 oder Windows Vista mit Service Pack 1 und die GPMC (Group Policy Management Console, Gruppenrichtlinien-Verwaltungskonsole) aus RSAT (Remote Server Administration Tools) installiert sein. Sowohl 32-Bit- als auch 64-Bit-Versionen werden unterstützt. AGPM Client kann auf einem Computer installiert werden, der AGPM Server ausführt.

Die folgenden Windows-Features sind für AGPM Client erforderlich und werden automatisch installiert, sofern sie nicht vorhanden sind:

  • GPMC

    • Windows Server 2008: Die GPMC wird automatisch von AGPM installiert, wenn sie nicht vorhanden ist.

    • Windows Vista: Vor der Installation von AGPM müssen Sie die GPMC aus RSAT installieren. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?LinkID=116179.

  • .NET Framework 3.0

Voraussetzungen für das Szenario

Erstellen Sie vier Benutzerkonten, bevor Sie mit diesem Szenario beginnen. Im Verlauf dieses Szenarios weisen Sie jedem dieser Konten eine der folgenden AGPM-Rollen zu: AGPM-Administrator (Vollzugriff), genehmigende Person, Bearbeiter und Prüfer. Diese Konten müssen in der Lage sein, E-Mail-Nachrichten zu senden und zu empfangen. Weisen Sie den Konten mit den Rolle AGPM-Administrator, genehmigende Person und (optional) Bearbeiter die Berechtigung Gruppenrichtlinienobjekte verknüpfen zu.

Hinweis

Die Berechtigung Gruppenrichtlinienobjekte verknüpfen ist standardmäßig Mitgliedern der Gruppen Domänen-Admins und Unternehmensadministratoren zugewiesen. Wenn Sie die Berechtigung Gruppenrichtlinienobjekte verknüpfen weiteren Benutzern oder Gruppen (wie etwa Konten mit den Rollen als AGPM-Administrator oder genehmigende Person) zuweisen möchten, klicken Sie auf den Knoten für die Domäne und dann auf die Registerkarte Delegierung, wählen Sie Gruppenrichtlinienobjekte verknüpfen aus, klicken Sie auf Hinzufügen, und wählen Sie dann Benutzer oder Gruppen aus, denen Sie die Berechtigung zuweisen möchten.

Schritte für das Installieren und Konfigurieren von AGPM

Für das Installieren und Konfigurieren von AGPM müssen Sie die folgenden Schritte ausführen.

Schritt 1: Installieren von AGPM Server

Schritt 2: Installieren von AGPM Client

Schritt 3: Konfigurieren einer AGPM-Serververbindung

Schritt 4: Konfigurieren der E-Mail-Benachrichtigung

Schritt 5: Delegieren des Zugriffs

Schritt 1: Installieren von AGPM Server

In diesem Schritt installieren Sie AGPM Server auf dem Mitgliedsserver oder Domänencontroller, auf dem der AGPM-Dienst ausgeführt werden soll, und konfigurieren das Archiv. Alle AGPM-Vorgänge werden über diesen Windows-Dienst verwaltet und mit den Anmeldeinformationen des Diensts ausgeführt. Das von einem AGPM-Server verwaltete Archiv kann auf diesem Server oder auf einem anderen Server in der gleichen Gesamtstruktur ausgeführt werden.

So installieren Sie AGPM Server auf dem Computer, auf dem der AGPM-Dienst ausgeführt werden soll

  1. Melden Sie sich mit einem Konto an, das Mitglied der Gruppe Domänen-Admins ist.

  2. Starten Sie die Microsoft Desktop Optimization Pack-CD, und führen Sie die Anweisungen auf dem Bildschirm aus, um Advanced Group Policy Management - Server auszuwählen.

  3. Klicken Sie im Dialogfeld Willkommen auf Weiter.

  4. Akzeptieren Sie im Dialogfeld Microsoft-Software-Lizenzbedingungen die Bedingungen, und klicken Sie auf Weiter.

  5. Wählen Sie im Dialogfeld Anwendungspfad einen Speicherort zum Installieren von AGPM Server aus. Auf dem Computer, auf dem AGPM Server installiert ist, wird auch der AGPM-Dienst ausgeführt und das Archiv verwaltet. Klicken Sie auf Weiter.

  6. Wählen Sie im Dialogfeld Archivpfad einen Speicherort für das Archiv für den AGPM-Server aus. Der Archivpfad kann auf einen Ordner auf dem AGPM-Server oder an einem anderen Ort verweisen, jedenfalls soll der Speicherort über ausreichend Speicherplatz zum Speichern aller Gruppenrichtlinenobjekte und Verlaufsdaten verfügen, die von diesem AGPM-Server verwaltet werden. Klicken Sie auf Weiter.

  7. Wählen Sie im Dialogfeld AGPM-Dienstkonto ein Dienstkonto aus, unter dem der AGPM-Dienst ausgeführt werden soll, und klicken Sie auf Weiter.

  8. Wählen Sie im Dialogfeld Besitzer des Archivs ein Konto oder eine Gruppe aus, dem oder der anfänglich die Rolle AGPM-Administrator (Vollzugriff) zugewiesen werden soll. Dieser AGPM-Administrator kann AGPM-Rollen und -Berechtigungen anderen Gruppenrichtlinienadministratoren (einschließlich der Rolle des AGPM-Administrators) zuweisen. Wählen Sie für dieses Szenario das Konto aus, das für die Rolle AGPM-Administrator verwendet werden soll. Klicken Sie auf Weiter.

  9. Geben Sie im Dialogfeld Portkonfiguration einen Port an, den der AGPM-Dienst überwachen soll. Deaktivieren Sie nicht das Kontrollkästchen Der Firewall eine Portausnahme hinzufügen, sofern Sie Portausnahmen nicht manuell konfigurieren oder Regeln für die Konfiguration von Portausnahmen verwenden. Klicken Sie auf Weiter.

  10. Wählen Sie im Dialogfeld Sprachen mindestens eine Anzeigesprache aus, die für AGPM Server installiert werden soll.

  11. Klicken Sie auf Installieren und dann auf Fertig stellen, um den Setup-Assistenten zu beenden.

    Warnung

    Ändern Sie die Einstellungen für den AGPM-Dienst nicht über Verwaltung und Dienste im Betriebssystem. Dies kann das Starten des AGPM-Diensts verhinden. Weitere Informationen zum Ändern der Einstellungen für den Dienst finden Sie in der Hilfe zu Advanced Group Policy Management.

Schritt 2: Installieren von AGPM Client

Auf jedem zum Verwalten von Gruppenrichtlinien verwendeten Computer eines Gruppenrichtlinienadministrators – jede Person, die Gruppenrichtlinienobjekte erstellt, bearbeitet, bereitstellt, überprüft oder löscht – muss AGPM Client installiert sein. Für dieses Szenario installieren Sie AGPM Client auf mindestens einem Computer. Sie brauchen AGPM Client nicht auf den Computern von Endbenutzern zu installieren, die keine Verwaltung von Gruppenrichtlinien ausführen.

So installieren Sie AGPM Client auf dem Computer eines Gruppenrichtlinienadministrators

  1. Starten Sie die Microsoft Desktop Optimization Pack-CD, und führen Sie die Anweisungen auf dem Bildschirm aus, um Advanced Group Policy Management - Client auszuwählen.

  2. Klicken Sie im Dialogfeld Willkommen auf Weiter.

  3. Akzeptieren Sie im Dialogfeld Microsoft-Software-Lizenzbedingungen die Bedingungen, und klicken Sie auf Weiter.

  4. Wählen Sie im Dialogfeld Anwendungspfad einen Speicherort zum Installieren von AGPM Client aus. Klicken Sie auf Weiter.

  5. Geben Sie im Dialogfeld AGPM Server den vollqualifizierten Computernamen für den AGPM Server und den Port für das Herstellen der Verbindung ein. Der Standardport für den AGPM-Dienst ist 4600. Deaktivieren Sie nicht das Kontrollkästchen Verkehr der Microsoft Management Console durch die Firewall zulassen, sofern Sie Portausnahmen nicht manuell konfigurieren oder Regeln für das Konfigurieren von Portausnahmen verwenden. Klicken Sie auf Weiter.

  6. Wählen Sie im Dialogfeld Sprachen mindestens eine Anzeigesprache aus, die für AGPM Client installiert werden soll.

  7. Klicken Sie auf Installieren und dann auf Fertig stellen, um den Setup-Assistenten zu beenden.

Schritt 3: Konfigurieren einer AGPM-Serververbindung

AGPM speichert alle Versionen jedes gesteuerten Gruppenrichtlinienobjekts (GPO) – eines Gruppenrichtlinienobjekts, für das AGPM Änderungskontrolle bereitstellt – in einem zentralen Archiv, damit Gruppenrichtlinienadministratoren Gruppenrichtlinienobjekte offline anzeigen und ändern können, ohne unmittelbaren Einfluss auf die bereitgestellte Version der einzelnen Gruppenrichtlinienobjekte.

In diesem Schritt konfigurieren Sie eine AGPM-Serververbindung und stellen sicher, dass alle Gruppenrichtlinienadministratoren Verbindungen mit dem gleichen AGPM-Server herstellen. (Informationen zum Konfigurieren mehrerer AGPM-Server finden Sie in der Hilfe zu Advanced Group Policy Management.)

So konfigurieren Sie eine AGPM-Serververbindung für alle Gruppenrichtlinienadministratoren

  1. Melden Sie sich auf einem Computer mit installiertem AGPM Client mit dem Benutzerkonto an, das Sie als Besitzer des Archivs festgelegt haben. Dieser Benutzer hat die Rolle des AGPM-Administrators (Vollzugriff) inne.

  2. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Gruppenrichtlinienverwaltung, um die GPMC zu öffnen.

  3. Bearbeiten eines Gruppenrichtlinienobjekts, das auf alle Gruppenrichtlinienadministratoren angewendet wird.

  4. Doppelklicken Sie im Fenster Gruppenrichtlinienverwaltungs-Editor auf Benutzerkonfiguration, Richtlinien, Administrative Vorlagen, Windows-Komponenten und AGPM.

  5. Doppelklicken Sie im Detailbereich auf AGPM: AGPM-Standardserver festlegen (alle Domänen).

  6. Aktivieren Sie im Fenster Eigenschaften das Kontrollkästchen Aktiviert, und geben Sie den vollqualifizierten Computernamen und -port für den Server ein, auf dem das Archiv ausgeführt wird (z. B. server.contoso.com:4600). Standardmäßig verwendet der AGPM-Dienst den Port 4600.

  7. Klicken Sie auf OK, und schließen Sie dann das Fenster Gruppenrichtlinienverwaltungs-Editor. Wenn die Gruppenrichtlinien aktualisiert werden, wird die AGPM-Serververbindung für jeden Gruppenrichtlinienadministrator konfiguriert.

Schritt 4: Konfigurieren der E-Mail-Benachrichtigung

Als AGPM-Administrator (Vollzugriff) weisen Sie die E-Mail-Adressen von genehmigenden Personen und AGPM-Administratoren zu, an die E-Mail-Nachrichten mit Anforderungen gesendet werden, wenn ein Bearbeiter ein Gruppenrichtlinienobjekt zu erstellen, bereitzustellen oder zu löschen versucht. Ferner legen Sie den Alias fest, von dem diese Nachrichten gesendet werden.

So konfigurieren Sie E-Mail-Benachrichtigungen für AGMP

  1. Klicken Sie im Detailbereich auf die Registerkarte Domänendelegierung.

  2. Geben Sie im Feld Absender-E-Mail-Adresse den E-Mail-Alias für AGPM ein, von dem die Benachrichtigungen gesendet werden sollen.

  3. Geben Sie im Feld Empfänger-E-Mail-Adresse die E-Mail-Adresse für das Benutzerkonto ein, dem Sie die Rolle als genehmigende Person zuweisen möchten.

  4. Geben Sie im Feld SMTP-Server einen gültigen SMTP-Mailserver ein.

  5. Geben Sie in den Feldern Benutzername und Kennwort die Anmeldeinformationen eines Benutzers mit Zugriff auf den SMTP-Dienst ein. Klicken Sie auf Übernehmen.

Schritt 5: Delegieren des Zugriffs

Als AGPM-Administrator (Vollzugriff) delegieren Sie den Zugriff auf Gruppenrichtlinienobjekte auf Domänenebene und weisen dem Konto jedes Gruppenrichtlinienadministrators dabei Rollen zu.

Hinweis

Ferner können Sie den Zugriff auf der Ebene von Gruppenrichtlinienobjekten statt auf der Domänenebene delegieren. Details finden Sie in der Hilfe zu Advanced Group Policy Management.

Wichtig

Die Mitgliedschaft in der Gruppe Richtlinien-Ersteller-Besitzer sollte eingeschränkt werden, damit sie nicht zum Umgehen der AGPM-Verwaltung des Zugriffs auf Gruppenrichtlinienobjekte verwendet werden kann. (Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, in der Sie Gruppenrichtlinienobjekte verwalten möchten, klicken Sie auf Delegierung, und konfigurieren Sie anschließend die Einstellungen nach den Bedürfnissen Ihrer Organisation.)

So delegieren Sie den Zugriff auf alle Gruppenrichtlinienobjekte in einer gesamten Domäne

  1. Klicken Sie auf der Registerkarte Domänendelegierung auf die Schaltfläche Hinzufügen, wählen Sie unter den Gruppenrichtlinienadministratoren das Benutzerkonto aus, das als genehmigende Person dienen soll, und klicken Sie dann auf OK.

  2. Wählen Sie im Dialogfeld Gruppe oder Benutzer hinzufügen die Rolle Genehmigende Person aus, um dem Konto diese Rolle zuzuweisen, und klicken Sie dann auf OK. (Diese Rolle schließt die Rolle Prüfer mit ein.)

  3. Klicken Sie auf die Schaltfläche Hinzufügen, wählen Sie das Benutzerkonto des Gruppenrichtlinienadministrators aus, der als Bearbeiter fungieren soll, und klicken Sie dann auf OK.

  4. Wählen Sie im Dialogfeld Gruppe oder Benutzer hinzufügen die Rolle Bearbeiter aus, um dem Konto diese Rolle zuzuweisen, und klicken Sie dann auf OK. (Diese Rolle schließt die Rolle Prüfer mit ein.)

  5. Klicken Sie auf die Schaltfläche Hinzufügen, wählen Sie das Benutzerkonto des Gruppenrichtlinienadministrators aus, der als Prüfer fungieren soll, und klicken Sie dann auf OK.

  6. Wählen Sie im Dialogfeld Gruppe oder Benutzer hinzufügen die Rolle Prüfer aus, um dem Konto nur diese Rolle zuzuweisen.

Schritte zum Verwalten von Gruppenrichtlinienobjekten

Sie müssen die folgenden Schritte ausführen, um Gruppenrichtlinienobjekte mithilfe von AGPM zu erstellen, bearbeiten, prüfen und bereitzustellen. Außerdem sollen Sie eine Vorlage erstellen, ein Gruppenrichtlinienobjekt löschen und ein gelöschtes Gruppenrichtlinienobjekt wiederherstellen.

Schritt 1: Erstellen eines Gruppenrichtlinienobjekts

Schritt 2: Bearbeiten eines Gruppenrichtlinienobjekts

Schritt 3: Prüfen und Bereitstellen eines Gruppenrichtlinienobjekts

Schritt 4: Verwenden einer Vorlage zum Erstellen eines Gruppenrichtlinienobjekts

Schritt 5: Löschen und Wiederherstellen eines Gruppenrichtlinienobjekts

Schritt 1: Erstellen eines Gruppenrichtlinienobjekts

In einer Umgebung mit mehreren Gruppenrichtlinienadministratoren verfügen jene mit der Bearbeiterrolle über die Möglichkeit, die Erstellung neuer Gruppenrichtlinienobjekte anzufordern, jedoch muss diese Anforderung von jemandem mit der Rolle einer genehmigenden Person genehmigt werden, weil die Erstellung einer neuen Gruppenrichtlinie sich auf die Produktionsumgebung auswirkt.

In diesem Schritt verwenden Sie ein Konto mit der Rolle Bearbeiter, um die Erstellung eines neuen Gruppenrichtlinienobjekts anzufordern. Mithilfe eines Kontos mit der Rolle einer genehmigenden Person genehmigen Sie diese Anforderung und schließen die Erstellung des Gruppenrichtlinienobjekts ab.

So fordern Sie die Erstellung eines neuen, durch AGPM verwalteten Gruppenrichtlinienobjekts an

  1. Melden Sie sich auf einem Computer mit installiertem AGPM Client mit einem Benutzerkonto an, dem in AGPM die Rolle Bearbeiter zugewiesen wurde.

  2. Klicken Sie in der Gesamtstruktur und der Domäne, in der Sie Gruppenrichtlinienobjekte verwalten möchten, in der Struktur der Gruppenrichtlinien-Verwaltungskonsole auf Änderungskontrolle.

  3. Klicken Sie mit der rechten Maustaste auf den Knoten Änderungskontrolle, und klicken Sie dann auf Neues gesteuertes Gruppenrichtlinienobjekt.

  4. Führen Sie im Dialogfeld Neues gesteuertes GruppenrichtlinienobjektFolgendes aus:

    1. Um eine Kopie der Anforderung zu erhalten, geben Sie Ihre E-Mail-Adresse im Feld Cc ein.

    2. Geben Sie Eigenes Gruppenrichtlinienobjekt als Namen für das neue Gruppenrichtlinienobjekt ein.

    3. Geben Sie einen Kommentar für das neue Gruppenrichtlinienobjekt ein.

    4. Klicken Sie auf Live erstellen, damit das neue Gruppenrichtlinienobjekt sofort nach der Genehmigung in der Produktionsumgebung bereitgestellt wird. Klicken Sie auf Übermitteln.

  5. Wenn das Fenster AGPM-Verlauf anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Das neue Gruppenrichtlinienobjekt wird auf der Registerkarte Ausstehend angezeigt.

So genehmigen Sie die ausstehende Anforderung zum Erstellen eines Gruppenrichtlinienobjekts

  1. Melden Sie sich auf einem Computer mit installiertem AGPM Client mit einem Benutzerkonto an, dem in AGPM die Rolle der genehmigenden Person zugewiesen wurde.

  2. Öffnen Sie den E-Mail-Posteingang für das Konto, und beachten Sie, dass Sie eine E-Mail-Nachricht vom AGPM-Alias mit der Anforderung des Bearbeiters zum Erstellen eines Gruppenrichtlinienobjekts erhalten haben.

  3. Klicken Sie in der Gesamtstruktur und der Domäne, in der Sie Gruppenrichtlinienobjekte verwalten möchten, in der Struktur der Gruppenrichtlinien-Verwaltungskonsole auf Änderungskontrolle.

  4. Klicken Sie auf der Registerkarte Inhalt auf die Registerkarte Ausstehend, um die ausstehenden Gruppenrichtlinienobjekte anzuzeigen.

  5. Klicken Sie mit der rechten Maustaste auf Eigenes Gruppenrichtlinienobjekt, und klicken Sie dann auf Genehmigen.

  6. Klicken Sie auf Ja, um die Genehmigung der Erstellung des Gruppenrichtlinienobjekts zu bestätigen. Das Gruppenrichtlinienobjekt wird auf die Registerkarte Gesteuert verschoben.

Schritt 2: Bearbeiten eines Gruppenrichtlinienobjekts

Gruppenrichtlinienobjekte können zum Konfigurieren von Computer- oder Benutzereinstellungen und zu deren Bereitstellung auf vielen Computern oder für viele Benutzer verwendet werden. In diesem Schritt verwenden Sie ein Konto mit der Rolle Bearbeiter, um ein Gruppenrichtlinienobjekt aus dem Archiv auszuchecken, das Gruppenrichtlinienobjekt offline zu bearbeiten, es bearbeitet wieder in das Archiv einzuchecken und seine Bereitstellung in der Produktionsumgebung anzufordern. Für dieses Szenario konfigurieren Sie eine Einstellung im Gruppenrichtlinienobjekt, die für das Kennzeichen eine Länge von mindestens acht Zeichen vorschreibt.

So checken Sie das Gruppenrichtlinienobjekt zum Bearbeiten aus dem Archiv aus

  1. Melden Sie sich auf einem Computer mit installiertem AGPM Client mit einem Benutzerkonto an, dem in AGPM die Rolle eines Bearbeiters zugewiesen wurde.

  2. Klicken Sie in der Gesamtstruktur und der Domäne, in der Sie Gruppenrichtlinienobjekte verwalten möchten, in der Struktur der Gruppenrichtlinien-Verwaltungskonsole auf Änderungskontrolle.

  3. Klicken Sie auf der Registerkarte Inhalt im Detailbereich auf die Registerkarte Gesteuert, um die gesteuerten Gruppenrichtlinienobjekte anzuzeigen.

  4. Klicken Sie mit der rechten Maustaste auf Eigenes Gruppenrichtlinienobjekt, und klicken Sie dann auf Auschecken.

  5. Geben Sie einen Kommentar ein, der im Verlauf des Gruppenrichtlinienobjekts angezeigt werden soll, während es ausgecheckt ist, und klicken Sie dann auf OK.

  6. Wenn das Fenster AGPM-Verlauf anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Auf der Registerkarte Gesteuert wird der Status des Gruppenrichtlinienobjekts als Ausgecheckt identifiziert.

So bearbeiten Sie das Gruppenrichtlinienobjekt offline und konfigurieren die minimale Kennwortlänge

  1. Klicken Sie auf der Registerkarte Gesteuert mit der rechten Maustaste auf Eigenes Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten, um das Fenster Gruppenrichtlinienverwaltungs-Editor zu öffnen und Änderungen an einer Offlinekopie des Gruppenrichtlinienobjekts vorzunehmen. Konfigurieren Sie für dieses Szenario die minimale Kennwortlänge:

    1. Doppelklicken Sie unter Computerkonfiguration auf Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Kontorichtlinien und Kennwortrichtlinie.

    2. Doppelklicken Sie im Detailbereich auf Minimale Kennwortlänge.

    3. Aktivieren Sie im Eigenschaftenfenster das Kontrollkästchen Diese Richtlinieneinstellung definieren, legen Sie die Anzahl der Zeichen auf 8 fest, und klicken Sie dann auf OK.

  2. Schließen Sie das Fenster Gruppenrichtlinienverwaltungs-Editor.

So checken Sie das Gruppenrichtlinienobjekt in das Archiv ein

  1. Klicken Sie auf der Registerkarte Gesteuert mit der rechten Maustaste auf Eigenes Gruppenrichtlinienobjekt, und klicken Sie dann auf Einchecken.

  2. Geben Sie einen Kommentar ein, und klicken Sie dann auf OK.

  3. Wenn das Fenster AGPM-Verlauf anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Auf der Registerkarte Gesteuert wird der Status des Gruppenrichtlinienobjekts als Eingecheckt identifiziert.

So fordern Sie die Bereitstellung des Gruppenrichtlinienobjekts in der Produktionsumgebung an

  1. Klicken Sie auf der Registerkarte Gesteuert mit der rechten Maustaste auf Eigenes Gruppenrichtlinienobjekt, und klicken Sie dann auf Bereitstellen.

  2. Da es sich bei diesem Konto nicht um eine genehmigende Person oder einen AGPM-Administrator handelt, müssen Sie eine Anforderung für die Bereitstellung einreichen. Um eine Kopie der Anforderung zu erhalten, geben Sie Ihre E-Mail-Adresse im Feld Cc ein. Geben Sie einen Kommentar ein, der im Status des Gruppenrichtlinienobjekts angezeigt werden soll, und klicken Sie dann auf Übermitteln.

  3. Wenn das Fenster AGPM-Verlauf anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Eigenes Gruppenrichtlinienobjekt wird in der Liste der Gruppenrichtlinienobjekte auf der Registerkarte Ausstehend angezeigt.

Schritt 3: Prüfen und Bereitstellen eines Gruppenrichtlinienobjekts

In diesem Schritt fungieren Sie als genehmigende Person, die Berichte erstellt und die Einstellungen und Änderungen an Einstellungen im Gruppenrichtlinienobjekt analysiert, um zu bestimmen, ob sie sie genehmigen soll. Nach dem Beurteilen des Gruppenrichtlinienobjekts stellen Sie es in der Produktionsumgebung bereit und verknüpfen es mit einer Domäne oder einer Organisationseinheit (OU), sodass es beim Aktualisieren der Gruppenrichtlinien für Computer in dieser Domäne oder OU wirksam wird.

So überprüfen Sie die Einstellungen im Gruppenrichtlinienobjekt

  1. Melden Sie sich auf einem Computer mit installiertem AGPM Client mit einem Benutzerkonto an, dem in AGPM die Rolle der genehmigenden Person zugewiesen wurde. (Jeder Gruppenrichtlinienadministrator mit der Rolle Prüfer, die in allen anderen Rollen enthalten ist, kann die in einem Gruppenrichtlinienobjekt enthaltenen Einstellungen überprüfen.)

  2. Öffnen Sie den E-Mail-Posteingang für das Konto, und beachten Sie, dass Sie eine E-Mail-Nachricht vom AGPM-Alias mit der Anforderung eines Bearbeiters zum Bereitstellen eines Gruppenrichtlinienobjekts erhalten haben.

  3. Klicken Sie in der Gesamtstruktur und der Domäne, in der Sie Gruppenrichtlinienobjekte verwalten möchten, in der Struktur der Gruppenrichtlinien-Verwaltungskonsole auf Änderungskontrolle.

  4. Klicken Sie auf der Registerkarte Inhalt im Detailbereich auf die Registerkarte Ausstehend.

  5. Doppelklicken Sie auf Eigenes Gruppenrichtlinienobjekt, um seinen Verlauf anzuzeigen.

  6. Überprüfen der Einstellungen in der aktuellen Version von Eigenes Gruppenrichtlinienobjekt:

    1. Klicken Sie im Fenster Verlauf mit der rechten Maustaste auf die Version des Gruppenrichtlinienobjekts mit dem neuesten Zeitstempel, klicken Sie auf Einstellungen, und klicken Sie dann auf HTML-Bericht, um eine Zusammenfassung der Einstellungen des Gruppenrichtlinienobjekts anzuzeigen.

    2. Klicken Sie im Webbrowser auf Alles anzeigen, um alle Einstellungen im Gruppenrichtlinienobjekt anzuzeigen. Schließen Sie den Browser.

  7. Vergleichen Sie die aktuelle Version von Eigenes Gruppenrichtlinienobjekt mit der ersten ins Archiv eingecheckten Version:

    1. Klicken Sie im Fenster Verlauf auf die Version des Gruppenrichtlinienobjekts mit dem neuesten Zeitstempel. Drücken Sie STRG, und klicken Sie auf die älteste Version des Gruppenrichtlinienobjekts, für das Computerversion nicht * ist.

    2. Klicken Sie auf die Schaltfläche Unterschiede. Der Abschnitt Kontorichtlinien/Kennwortrichtlinie ist in grün markiert, und dem Wert steht ein [+] voran, wodurch angezeigt wird, dass diese Einstellung nur in der späteren Version des Gruppenrichtlinienobjekts konfiguriert ist.

    3. Klicken Sie auf Kontorichtlinien/Kennwortrichtlinie. Die Einstellung Minimale Kennwortlänge ist ebenfalls grün markiert, und dem Wert steht ein [+] voran, wodurch angezeigt wird, dass diese Einstellung nur in der späteren Version des Gruppenrichtlinienobjekts konfiguriert ist.

    4. Schließen Sie den Webbrowser.

So stellen Sie das Gruppenrichtlinienobjekt in der Produktionsumgebung bereit

  1. Klicken Sie auf der Registerkarte Ausstehend mit der rechten Maustaste auf Eigenes Gruppenrichtlinienobjekt, und klicken Sie dann auf Genehmigen.

  2. Geben Sie einen Kommentar ein, der in den Verlauf des Gruppenrichtlinienobjekts aufgenommen werden soll.

  3. Klicken Sie auf Ja. Wenn das Fenster AGPM-Verlauf anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Das Gruppenrichtlinienobjekt wird in der Produktionsumgebung bereitgestellt.

So verknüpfen Sie das Gruppenrichtlinienobjekt mit einer Domäne oder einer Organisationseinheit

  1. Klicken Sie im GPMC mit der rechten Maustaste auf die Domäne oder auf eine OU, auf die Sie das konfigurierte Gruppenrichtlinienobjekt anwenden möchten, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

  2. Klicken Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen auf Eigenes Gruppenrichtlinienobjekt, und klicken Sie dann auf OK.

Schritt 4: Verwenden einer Vorlage zum Erstellen eines Gruppenrichtlinienobjekts

In diesem Schritt verwenden Sie ein Konto mit der Bearbeiterrolle, um eine Vorlage zu erstellen – eine nicht bearbeitbare, statische Version eines Gruppenrichtlinienobjekts für die Verwendung als Ausgangspunkt zum Erstellen neuer Gruppenrichtlinienobjekte – und erstellen Sie dann ein neues Gruppenrichtlinienobjekt auf der Basis dieser Vorlage. Vorlagen sind nützlich zum schnellen Erstellen mehrerer Gruppenrichtlinienobjekte, die viele der gleichen Einstellungen umfassen.

So erstellen Sie eine Vorlage basierend auf einem vorhandenen Gruppenrichtlinienobjekt

  1. Melden Sie sich auf einem Computer mit installiertem AGPM Client mit einem Benutzerkonto an, dem in AGPM die Rolle eines Bearbeiters zugewiesen wurde.

  2. Klicken Sie in der Gesamtstruktur und der Domäne, in der Sie Gruppenrichtlinienobjekte verwalten möchten, in der Struktur der Gruppenrichtlinien-Verwaltungskonsole auf Änderungskontrolle.

  3. Klicken Sie auf der Registerkarte Inhalt im Detailbereich auf die Registerkarte Gesteuert.

  4. Klicken Sie mit der rechten Maustaste auf Eigenes Gruppenrichtlinienobjekt, und klicken Sie dann auf Als Vorlage speichern, um eine Vorlage zu erstellen, die alle aktuell in Eigenes Gruppenrichtlinienobjekt enthaltenen Einstellungen enthält.

  5. Geben Sie Eigene Vorlage als Namen für die Vorlage sowie einen Kommentar ein, und klicken Sie dann auf OK.

  6. Wenn das Fenster AGPM-Verlauf anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Die neue Vorlage wird auf den Registerkarten Vorlagen angezeigt.

So fordern Sie die Erstellung eines neuen, durch AGPM verwalteten Gruppenrichtlinienobjekts an

  1. Klicken Sie auf die Registerkarte Gesteuert.

  2. Klicken Sie mit der rechten Maustaste auf den Knoten Änderungskontrolle, und klicken Sie dann auf Neues gesteuertes Gruppenrichtlinienobjekt.

  3. Führen Sie im Dialogfeld Neues gesteuertes GruppenrichtlinienobjektFolgendes aus:

    1. Um eine Kopie der Anforderung zu erhalten, geben Sie Ihre E-Mail-Adresse im Feld Cc ein.

    2. Geben Sie Eigenes weiteres Gruppenrichtlinienobjekt als Namen für das neue Gruppenrichtlinienobjekt ein.

    3. Geben Sie einen Kommentar für das neue Gruppenrichtlinienobjekt ein.

    4. Klicken Sie auf Live erstellen, damit das neue Gruppenrichtlinienobjekt sofort nach der Genehmigung in der Produktionsumgebung bereitgestellt wird.

    5. Wählen Sie für Aus Vorlage für Gruppenrichtlinienobjekt den Eintrag Eigene Vorlage aus. Klicken Sie auf Übermitteln.

  4. Wenn das Fenster AGPM-Verlauf anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Das neue Gruppenrichtlinienobjekt wird auf der Registerkarte Ausstehend angezeigt.

Verwenden Sie ein Konto, dem die Rolle einer genehmigenden Person zugewiesen wurde, um die ausstehende Anforderung zum Erstellen des Gruppenrichtlinienobjekts zu genehmigen, wie in Schritt 1: Erstellen eines Gruppenrichtlinienobjekts. Eigene Vorlage enthält alle Einstellungen, die Sie in Eigenes Gruppenrichtlinienobjekt konfiguriert haben. Da Eigenes weiteres Gruppenrichtlinienobjekt mithilfe von Eigene Vorlage erstellt wurde, enthält es anfangs alle Einstellungen, die in Eigenes Gruppenrichtlinienobjekt zum Zeitpunkt der Erstellung von Eigene Vorlage enthalten waren. Sie können dies bestätigen, indem Sie einen Unterschiedsbericht erstellen, der Eigenes weiteres Gruppenrichtlinienobjekt mit Eigene Vorlage vergleicht.

So checken Sie das Gruppenrichtlinienobjekt zum Bearbeiten aus dem Archiv aus

  1. Melden Sie sich auf einem Computer mit installiertem AGPM Client mit einem Benutzerkonto an, dem in AGPM die Rolle eines Bearbeiters zugewiesen wurde.

  2. Klicken Sie mit der rechten Maustaste auf Eigenes weiteres Gruppenrichtlinienobjekt, und klicken Sie dann auf Auschecken.

  3. Geben Sie einen Kommentar ein, der im Verlauf des Gruppenrichtlinienobjekts angezeigt werden soll, während es ausgecheckt ist, und klicken Sie dann auf OK.

  4. Wenn das Fenster AGPM-Verlauf anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Auf der Registerkarte Gesteuert wird der Status des Gruppenrichtlinienobjekts als Ausgecheckt identifiziert.

So bearbeiten Sie das Gruppenrichtlinienobjekt offline und konfigurieren die Kontosperrdauer

  1. Klicken Sie auf der Registerkarte Gesteuert mit der rechten Maustaste auf Eigenes weiteres Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten, um das Fenster Gruppenrichtlinienverwaltungs-Editor zu öffnen und Änderungen an einer Offlinekopie des Gruppenrichtlinienobjekts vorzunehmen. Konfigurieren Sie für dieses Szenario die minimale Kennwortlänge:

    1. Doppelklicken Sie unter Computerkonfiguration auf Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Kontorichtlinien und Kontosperrungsrichtlinie.

    2. Doppelklicken Sie im Detailbereich auf Kontosperrdauer.

    3. Aktivieren Sie im Eigenschaftenfenster das Kontrollkästchen Diese Richtlinieneinstellung definieren, legen Sie die Dauer auf 30 Minuten fest, und klicken Sie dann auf OK.

  2. Schließen Sie das Fenster Gruppenrichtlinienverwaltungs-Editor.

Checken Sie Eigenes weiteres Gruppenrichtlinienobjekt wieder in das Archiv ein, wie Sie das für Eigenes Gruppenrichtlinienobjekt in Schritt 2: Bearbeiten eines Gruppenrichtlinienobjekts ausgeführt haben. Sie können Eigenes weiteres Gruppenrichtlinienobjekt mithilfe von Unterschiedsberichten mit Eigenes Gruppenrichtlinienobjekt oder mit Eigene Vorlage vergleichen. Jedes Konto, das die Rolle Prüfer enthält (AGPM-Administrator [Vollzugriff], Genehmigende Person, Bearbeiter oder Prüfer) kann Berichte erstellen.

So vergleichen Sie ein Gruppenrichtlinienobjekt mit einem anderen Gruppenrichtlinienobjekt und mit einer Vorlage

  1. So vergleichen Sie Eigenes Gruppenrichtlinienobjekt mit Eigenes weiteres Gruppenrichtlinienobjekt:

    1. Klicken Sie auf der Registerkarte Gesteuert auf Eigenes Gruppenrichtlinienobjekt: Drücken Sie STRG, und klicken Sie dann auf Eigenes weiteres Gruppenrichtlinienobjekt.

    2. Klicken Sie mit der rechten Maustaste auf Eigenes weiteres Gruppenrichtlinienobjekt, zeigen Sie auf Unterschiede, und klicken Sie auf HTML-Bericht.

  2. So vergleichen Sie Eigenes weiteres Gruppenrichtlinienobjekt und Eigene Vorlage:

    1. Klicken Sie auf der Registerkarte Gesteuert auf Eigenes weiteres Gruppenrichtlinienobjekt:

    2. Klicken Sie mit der rechten Maustaste auf Eigenes weiteres Gruppenrichtlinienobjekt, zeigen Sie auf Unterschiede, und klicken Sie auf Vorlage.

    3. Wählen Sie Eigene Vorlage und HTML-Bericht aus, und klicken Sie dann auf OK.

Schritt 5: Löschen und Wiederherstellen eines Gruppenrichtlinienobjekts

In diesem Schritt fungieren Sie als genehmigende Person, um ein Gruppenrichtlinienobjekt zu löschen.

So löschen Sie ein Gruppenrichtlinienobjekt

  1. Melden Sie sich auf einem Computer mit installiertem AGPM Client mit einem Benutzerkonto an, dem die Rolle der genehmigenden Person zugewiesen wurde.

  2. Klicken Sie in der Gesamtstruktur und der Domäne, in der Sie Gruppenrichtlinienobjekte verwalten möchten, in der Struktur der Gruppenrichtlinien-Verwaltungskonsole auf Änderungskontrolle.

  3. Klicken Sie auf der Registerkarte Inhalt auf die Registerkarte Gesteuert, um die gesteuerten Gruppenrichtlinienobjekte anzuzeigen.

  4. Klicken Sie mit der rechten Maustaste auf Eigenes Gruppenrichtlinienobjekt, und klicken Sie dann auf Löschen. Klicken Sie auf Gruppenrichtlinienobjekt aus Archiv und Produktion löschen, um sowohl die Version im Archiv als auch die bereitgestellte Version des Gruppenrichtlinienobjekts in der Produktionsumgebung zu löschen.

  5. Geben Sie einen Kommentar ein, der im Nachverfolgungsprotokoll des Gruppenrichtlinienobjekts angezeigt werden soll, und klicken Sie dann auf OK.

  6. Wenn das Fenster AGPM-Verlauf anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Das Gruppenrichtlinienobjekt wird von der Registerkarte Gesteuert entfernt und auf der Registerkarte Papierkorb angezeigt.

Im Einzelfall stellen Sie nach dem Löschen eines Gruppenrichtlinienobjekts möglicherweise fest, dass es noch benötigt wird. In diesem Schritt fungieren Sie als genehmigende Person, um ein Gruppenrichtlinienobjekt, das gelöscht wurde, wiederherzustellen.

So stellen Sie ein gelöschtes Gruppenrichtlinienobjekt wieder her

  1. Klicken Sie auf der Registerkarte Inhalt auf die Registerkarte Papierkorb, um die gelöschten Gruppenrichtlinienobjekte anzuzeigen.

  2. Klicken Sie mit der rechten Maustaste auf Eigenes Gruppenrichtlinienobjekt, und klicken Sie dann auf Wiederherstellen.

  3. Geben Sie einen Kommentar ein, der im Status des Gruppenrichtlinienobjekts angezeigt werden soll, und klicken Sie dann auf OK.

  4. Wenn das Fenster AGPM-Verlauf anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Das Gruppenrichtlinienobjekt wird von der Registerkarte Papierkorb entfernt und auf der Registerkarte Gesteuert angezeigt.

    Hinweis

    Durch das Wiederherstellen eines Gruppenrichtlinienobjekts im Archiv wird es nicht automatisch wieder in der Produktionsumgebung bereitgestellt. Um das Gruppenrichtlinienobjekt in der Produktionsumgebung wiederherzustellen, stellen Sie das Gruppenrichtlinienobjekt bereit, wie in Schritt 3: Prüfen und Bereitstellen eines Gruppenrichtlinienobjekts beschrieben.

Nach dem Bearbeiten und Bereitstellen eines Gruppenrichtlinienobjekts stellen Sie möglicherweise fest, dass die letzten Änderungen am Gruppenrichtlinienobjekt Probleme verursachen. In diesem Schritt fungieren Sie als genehmigende Person, um ein Rollback zu einer früheren Version des Gruppenrichtlinienobjekts auszuführen. Sie können ein Rollback zu jeder beliebigen Version im Verlauf des Gruppenrichtlinienobjekts ausführen. Sie können Kommentare und Beschriftungen verwenden, um bekanntermaßen funktionierende Versionen zu identifizieren und anzugeben, wann bestimmte Änderungen vorgenommen wurden.

So führen Sie ein Rollback zu einer früheren Version eines Gruppenrichtlinienobjekts aus

  1. Klicken Sie auf der Registerkarte Inhalt auf die Registerkarte Gesteuert, um die gesteuerten Gruppenrichtlinienobjekte anzuzeigen.

  2. Doppelklicken Sie auf Eigenes Gruppenrichtlinienobjekt, um seinen Verlauf anzuzeigen.

  3. Klicken Sie mit der rechten Maustaste auf die bereitzustellende Version, klicken Sie auf Bereitstellen, und klicken Sie dann auf Ja.

  4. Wenn das Fenster Status anzeigt, dass der Gesamtvorgang abgeschlossen ist, klicken Sie auf Schließen. Klicken Sie im Fenster Verlauf auf Schließen.

    Hinweis

    Zum Prüfen, ob die erneut bereitgestellte Version die vorgesehene Version ist, überprüfen Sie einen Unterschiedsbericht für die zwei Versionen. Markieren Sie im Fenster Verlauf für das Gruppenrichtlinienobjekt die zwei Versionen, klicken Sie mit der rechten Maustaste auf sie, zeigen Sie auf Unterschied, und klicken Sie dann entweder auf HTML-Bericht oder auf XML-Bericht.

-----
Weitere Informationen zu MDOP finden Sie in der TechNet-Bibliothek. Sie können auch im TechNet Wiki nach Problembehandlungen suchen und uns auf Facebook oder Twitter folgen.
-----