Technische Übersicht zu AGPM
Microsoft Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) ist eine Client/Server-Anwendung. Der AGPM-Server speichert Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) offline in dem Archiv, das AGPM im Dateisystem des Servers erstellt. Gruppenrichtlinienadministratoren verwenden das AGPM-Snap-In für die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), um auf dem Server, auf dem das Archiv gehostet wird, mit Gruppenrichtlinienobjekten zu arbeiten. Informationen über die Teile von AGPM und zugehöriger Elemente, das Speichern der Gruppenrichtlinienobjekte im Dateisystem sowie darüber, wie Gruppenrichtlinienadministratoren die Effizienz von AGPM steigern können, indem die für Benutzerrollen verfügbaren Aktionen mithilfe von Berechtigungen gesteuert werden.
Terminologie
Im Folgenden werden grundlegende AGPM-Begriffe erläutert.
AGPM-Client: Ein Computer, auf dem das AGPM-Snap-In für die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) ausgeführt wird und auf dem Gruppenrichtlinienadministratoren Gruppenrichtlinienobjekte verwalten.
AGPM-Snap-In: Die Softwarekomponente von AGPM, die auf AGPM-Clients installiert wird, damit diese Gruppenrichtlinienobjekte verwalten können.
AGPM-Server: Ein Server, auf dem der AGPM-Dienst ausgeführt und ein Archiv verwaltet wird. Jeder AGPM-Server kann nur ein Archiv verwalten, jedoch kann ein AGPM-Server Archivdaten für mehrere Domänen in einem Archiv verwalten. Archive können auf einem anderen Computer als dem AGPM-Server gehostet werden.
AGPM-Dienst: Die Softwarekomponente von AGPM, die auf einem AGPM-Server als Dienst ausgeführt wird. Der Dienst verwaltet Gruppenrichtlinienobjekte im Archiv und in der Produktionsumgebung in dieser Gesamtstruktur.
Archiv: In AGPM ein zentraler Speicher, der die vom entsprechenden AGPM-Server verwalteten, gesteuerten Gruppenrichtlinienobjekte sowie einen Verlauf für jedes der Gruppenrichtlinienobjekte enthält. Dieser enthält alle vorherigen gesteuerten Versionen jedes Gruppenrichtlinienobjekts. Ein Archiv besteht aus einer Archivindexdatei und entsprechenden Archivdaten, die Daten für Gruppenrichtlinienobjekte in mehreren Domänen enthalten können. Archive können auf einem anderen Computer als dem AGPM-Server gehostet werden.
Gesteuertes Gruppenrichtlinienobjekt: Ein Gruppenrichtlinienobjekt, das von AGPM verwaltet wird. AGPM verwaltet den Verlauf und die Berechtigungen gesteuerter Gruppenrichtlinienobjekte und speichert diese im Archiv.
Ungesteuertes Gruppenrichtlinienobjekt: Ein Gruppenrichtlinienobjekt in der Produktionsumgebung für eine Domäne, das nicht von AGPM verwaltet wird.
Von AGPM installierte, erstellte und betroffene Komponenten
AGPM-Setup installiert den AGPM-Dienst auf einem AGPM-Server. AGPM verändert nicht den Active Directory®-Verzeichnisdienst oder das Schema. In den Standardeinstellungen werden die Programmdateien für AGPM Server unter %ProgramFiles%\Microsoft\AGPM\Server installiert. Sie können den AGPM-Dienst auf einem Domänencontroller installieren, wenn keine andere Möglichkeit besteht. Es empfiehlt sich jedoch, den AGPM-Dienst auf einem Mitgliedsserver zu installieren.
Auf einem AGPM-Client installiert AGPM-Setup das AGPM-Snap-In. Dabei wird jeder Domäne, die in der GPMC angezeigt wird, ein Ordner Änderungssteuerung hinzugefügt. In den Standardeinstellungen werden die Programmdateien für den AGPM-Client unter %ProgramFiles%\Microsoft\AGPM\Client installiert.
In Tabelle 1 werden sowohl die Elemente erläutert, die von AGPM installiert oder erstellt werden, als auch die Teile des Betriebssystems, die Einfluss auf den Betrieb von AGPM haben.
Tabelle 1: Elemente, die von AGPM installiert, erstellt oder beeinflusst werden
Element | Beschreibung |
---|---|
AGPM-Dienst |
Der AGPM-Dienst wird auf dem AGPM-Server ausgeführt. Der Dienst verwaltet das Archiv, das Offline-Gruppenrichtlinienobjekte enthält, sowie Gruppenrichtlinienobjekte in der Produktionsumgebung. Die folgende Konfiguration des AGPM-Diensts ist der Standard:
|
AGPM-Archiv |
In der Standardeinstellung erstellt AGPM das Archiv unter "%ProgramData%\Microsoft\AGPM" auf dem AGPM-Server. Das Archiv bietet einen Speicherort für Offline-Gruppenrichtlinienobjekte und kann mehrere Versionen jedes Gruppenrichtlinienobjekts speichern. Änderungen, die von AGPM an Gruppenrichtlinienobjekten im Archiv vorgenommen werden, haben keinen Einfluss auf die Produktionsumgebung, bevor AGPM-Administrator oder eine genehmigende Person das Gruppenrichtlinienobjekt in der Produktionsumgebung bereitstellt und das Gruppenrichtlinienobjekt mit einer Organisationseinheit verknüpft. |
Windows-Firewall |
Bei der Installation aktiviert AGPM eine Eingangsregel für die Windows-Firewall, die die Kommunikation zwischen dem AGPM-Client und dem AGPM-Server ermöglicht. Folgende Regel für die Windows-Firewall ist der Standard:
|
E-Mail-Server |
AGPM verwendet Simple Mail Transfer Protocol (SMTP), um E-Mail-Anfragen an die auf der Registerkarte Domänendelegierung konfigurierten Adressen zu senden. Wenn ein Bearbeiter beispielsweise die Erstellung eines neuen Gruppenrichtlinienobjekts anfordert, benachrichtigt AGPM alle E-Mail-Adressen, die auf der Registerkarte Domänendelegierung angegeben sind. |
AGPM-Snap-In |
Das AGPM-Snap-In für die GPMC wird auf AGPM-Clients ausgeführt und von Gruppenrichtlinienadministratoren zum Verwalten von Gruppenrichtlinienobjekten verwendet. Dieses Snap-In wird in der GPMC in jeder Domäne als Ordner Änderungssteuerung angezeigt. |
Weitere Verweise
Weitere Informationen über Dateien, die von AGPM installiert werden, finden Sie im Planungshandbuch für AGPM.
Archiv
In den Standardeinstellungen wird das Archiv beim Installationsprozess von AGPM Server auf der lokalen Festplatte des AGPM-Servers unter %ProgramData%\Microsoft\AGPM erstellt. Sie können den Pfad jedoch während der Installation ändern oder sogar das Archiv auf einem anderen Server als dem AGPM-Server erstellen.
Das Archiv enthält für jede Version jedes im Archiv enthaltenen Gruppenrichtlinienobjekts einen Unterordner. Der Name jedes Unterordners ist eine GUID, die eine Version des Gruppenrichtlinienobjekts identifiziert.
Die Datei gpostate.xml zeichnet den Status jedes Gruppenrichtlinienobjekts im Archiv auf. Die Datei ist ein Manifest, in dem die Inhalte des Archivs beschrieben werden. Ein Gruppenrichtlinienobjekt kann beispielsweise mehrere Versionen haben, und jede Version hat ihren eigenen Unterordner im Archiv. Die Datei gpostate.xml zeigt an, welche Unterordner verschiedene Versionen eines einzigen Gruppenrichtlinienobjekts enthalten. Darüber hinaus gibt es im Archiv Unterorder für Gruppenrichtlinienobjekt-Vorlagen. Durch gpostate.xml wird jedoch angezeigt, dass es sich um Vorlagen und nicht um gesteuerte Gruppenrichtlinienobjekte handelt. Wenn Gruppenrichtlinienobjekte von Gruppenrichtlinienadministratoren gelöscht werden, werden ihre Status in gpostate.xml entsprechend von AGPM geändert, um anzuzeigen, dass sie sich im Papierkorb befinden. Die Unterordner der Gruppenrichtlinienobjekte werden jedoch nicht wirklich gelöscht.
Warnung
Ändern Sie die Datei gpostate.xml oder die Gruppenrichtlinienobjekte im Archiv nicht manuell. Diese Informationen werden nur bereitgestellt, um ein besseres Verständnis des AGPM-Archivs zu vermitteln. Verwenden Sie zum Ändern von Gruppenrichtlinienobjekten stattdessen das AGPM-Snap-In.
Wenn AGPM das Archiv erstellt, erhält es Vollzugriff auf das SYSTEM, Administratoren und das AGPM-Dienstkonto (das beim Setup des AGPM-Servers angegeben wurde). Wenn Sie Berechtigungen mithilfe der AGPM-Benutzeroberfläche im AGPM-Snap-In ändern, werden nicht die Berechtigungen im Archiv geändert, da das AGPM-Dienstkonto alle Vorgänge im Namen des angemeldeten Benutzers ausführt.
Weitere Verweise
Informationen zum Sichern des Archivs, zum Wiederherstellen des Archivs aus einer Sicherung oder zum Verschieben des AGPM-Servers und des Archivs finden Sie im Abschnitt "Ausführen von Aufgaben für AGPM-Administratoren" im Betriebshandbuch für AGPM.
Rollen und Berechtigungen
Rollen vereinfachen die Delegierung. Anstatt Gruppenrichtlinienadministratoren genaue Berechtigungen zuzuweisen, können AGPM-Administratoren Gruppenrichtlinienadministratoren eine von vier Rollen zuweisen, mit der sie die entsprechenden Arbeiten ausführen können:
AGPM-Administrator: Gruppenrichtlinienadministratoren, denen die AGPM-Administrator ("Vollzugriff")-Rolle zugewiesen wurde, können in AGPM jede Aufgabe ausführen. AGPM-Administratoren können domänenweite Optionen konfigurieren und Berechtigungen an andere Gruppenrichtlinienadministratoren delegieren.
Genehmigende Person: Gruppenrichtlinienadministratoren, denen die Rolle der genehmigenden Person zugewiesen wurde, können Gruppenrichtlinienobjekte in der Produktionsumgebung einer Domäne bereitstellen. Genehmigende Personen können zudem Gruppenrichtlinienobjekte erstellen und löschen sowie Anfragen von Bearbeitern genehmigen oder ablehnen. Genehmigende Personen können die Liste der Gruppenrichtlinienobjekte in einer Domäne anzeigen und die Richtlinieneinstellungen in Gruppenrichtlinienobjekten anzeigen; zudem können Sie Berichte über die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt erstellen und anzeigen. Sie können nicht die Richtlinieneinstellungen in Gruppenrichtlinienobjekten bearbeiten, wenn ihnen nicht zusätzlich die Rolle des Bearbeiters zugewiesen wurde.
Bearbeiter: Gruppenrichtlinienadministratoren, denen die Rolle des Bearbeiters zugewiesen wurde, können die Liste der Gruppenrichtlinienobjekte in einer Domäne anzeigen, die Richtlinieneinstellungen in Gruppenrichtlinienobjekten anzeigen, die Richtlinieneinstellungen in Gruppenrichtlinienobjekten bearbeiten und Berichte über die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt erstellen und anzeigen. Wenn ihnen nicht zusätzlich die Rolle der genehmigenden Person zugewiesen wurde, können Sie Gruppenrichtlinienobjekte nicht erstellen, bereitstellen oder löschen. Sie können jedoch das Erstellen, Bereitstellen oder Löschen von Gruppenrichtlinienobjekten anfordern.
Prüfer: Gruppenrichtlinienadministratoren, denen die Rolle des Prüfers zugewiesen wurde, können die Liste der Gruppenrichtlinienobjekte in einer Domäne anzeigen und Berichte über die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt erstellen und anzeigen. Wenn ihnen nicht zusätzlich die Rolle des Bearbeiters zugewiesen wurde, können Sie Richtlinieneinstellungen in Gruppenrichtlinienobjekten nicht bearbeiten.
AGPM verleiht AGPM-Administratoren die Flexibilität, Berechtigungen mit dem AGPM-Snap-In ausführlicher zu konfigurieren als Rollen. In Tabelle 2 werden diese Berechtigungen beschrieben und die Berechtigungen angezeigt, die jeder Rolle in den Standardeinstellungen zugewiesen werden.
Berechtigung | Beschreibung | AGPM-Administrator | Genehmigende Person | Bearbeiter | Prüfer |
---|---|---|---|---|---|
Vollzugriff |
Alle Berechtigungen. |
Ja |
|||
Gruppenrichtlinienobjekt erstellen |
Erstellen von Gruppenrichtlinienobjekten in einer Domäne. |
Ja |
Ja |
||
Inhalt auflisten |
Auflisten von Gruppenrichtlinienobjekten in einer Domäne. |
Ja |
Ja |
Ja |
Ja |
Einstellungen lesen |
Lesen der Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt. |
Ja |
Ja |
Ja |
Ja |
Einstellungen bearbeiten |
Ändern der Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt. |
Ja |
Ja |
||
Gruppenrichtlinienobjekt löschen |
Löschen von Gruppenrichtlinienobjekten. |
Ja |
Ja |
||
Sicherheit ändern |
Delegieren des Zugriffs auf Domänenebene, Delegieren des Zugriffs auf einzelne Gruppenrichtlinienobjekte und Delegieren des Zugriffs auf die Produktionsumgebung. |
Ja |
|||
Gruppenrichtlinienobjekt bereitstellen |
Bereitstellen eines Gruppenrichtlinienobjekts aus dem Archiv in die Produktionsumgebung. |
Ja |
Ja |
||
Vorlage erstellen |
Erstellen von Vorlagen für Gruppenrichtlinienobjekte in AGPM. |
Ja |
Ja |
||
Optionen ändern |
Konfigurieren der AGPM-E-Mail-Benachrichtigung und Einschränken der im Archiv gespeicherten Versionen von Gruppenrichtlinienobjekten. |
Ja |
|||
Gruppenrichtlinienobjekt exportieren |
Exportieren eines Gruppenrichtlinienobjekts in eine Datei. |
Ja |
Ja |
||
Gruppenrichtlinienobjekt importieren |
Importieren eines Gruppenrichtlinienobjekts aus einer Datei. |
Ja |
Ja |
Hinweis
Die Berechtigungen Gruppenrichtlinienobjekt exportieren und Gruppenrichtlinienobjekt importieren sind in AGPM 3.0 und 2.5 nicht verfügbar.
Die Möglichkeit, den Zugriff auf Gruppenrichtlinienobjekte in der Produktionsumgebung für eine Domäne zu delegieren, und die Möglichkeit, die Anzahl der gespeicherten Versionen von Gruppenrichtlinienobjekten zu begrenzen, sind in AGPM 2.5 nicht verfügbar.Weitere Verweise
Informationen darüber, welche Aufgaben von Gruppenrichtlinienadministratoren einer bestimmten Rolle zugewiesen werden können oder welche Berechtigungen zum Ausführen einer bestimmten Aufgabe erforderlich sind, finden Sie im Betriebshandbuch für AGPM.
-----
Weitere Informationen zu MDOP finden Sie in der TechNet-Bibliothek. Sie können auch im TechNet Wiki nach Problembehandlungen suchen und uns auf Facebook oder Twitter folgen.
-----