Technische Übersicht zu AGPM

  • Artikel

Microsoft Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) ist eine Client/Server-Anwendung. Der AGPM-Server speichert Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) offline in dem Archiv, das AGPM im Dateisystem des Servers erstellt. Gruppenrichtlinienadministratoren verwenden das AGPM-Snap-In für die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC), um auf dem Server, auf dem das Archiv gehostet wird, mit Gruppenrichtlinienobjekten zu arbeiten. Informationen über die Teile von AGPM und zugehöriger Elemente, das Speichern der Gruppenrichtlinienobjekte im Dateisystem sowie darüber, wie Gruppenrichtlinienadministratoren die Effizienz von AGPM steigern können, indem die für Benutzerrollen verfügbaren Aktionen mithilfe von Berechtigungen gesteuert werden.

Terminologie

Im Folgenden werden grundlegende AGPM-Begriffe erläutert.

  • AGPM-Client: Ein Computer, auf dem das AGPM-Snap-In für die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) ausgeführt wird und auf dem Gruppenrichtlinienadministratoren Gruppenrichtlinienobjekte verwalten.

  • AGPM-Snap-In: Die Softwarekomponente von AGPM, die auf AGPM-Clients installiert wird, damit diese Gruppenrichtlinienobjekte verwalten können.

  • AGPM-Server: Ein Server, auf dem der AGPM-Dienst ausgeführt und ein Archiv verwaltet wird. Jeder AGPM-Server kann nur ein Archiv verwalten, jedoch kann ein AGPM-Server Archivdaten für mehrere Domänen in einem Archiv verwalten. Archive können auf einem anderen Computer als dem AGPM-Server gehostet werden.

  • AGPM-Dienst: Die Softwarekomponente von AGPM, die auf einem AGPM-Server als Dienst ausgeführt wird. Der Dienst verwaltet Gruppenrichtlinienobjekte im Archiv und in der Produktionsumgebung in dieser Gesamtstruktur.

  • Archiv: In AGPM ein zentraler Speicher, der die vom entsprechenden AGPM-Server verwalteten, gesteuerten Gruppenrichtlinienobjekte sowie einen Verlauf für jedes der Gruppenrichtlinienobjekte enthält. Dieser enthält alle vorherigen gesteuerten Versionen jedes Gruppenrichtlinienobjekts. Ein Archiv besteht aus einer Archivindexdatei und entsprechenden Archivdaten, die Daten für Gruppenrichtlinienobjekte in mehreren Domänen enthalten können. Archive können auf einem anderen Computer als dem AGPM-Server gehostet werden.

  • Gesteuertes Gruppenrichtlinienobjekt: Ein Gruppenrichtlinienobjekt, das von AGPM verwaltet wird. AGPM verwaltet den Verlauf und die Berechtigungen gesteuerter Gruppenrichtlinienobjekte und speichert diese im Archiv.

  • Ungesteuertes Gruppenrichtlinienobjekt: Ein Gruppenrichtlinienobjekt in der Produktionsumgebung für eine Domäne, das nicht von AGPM verwaltet wird.

Von AGPM installierte, erstellte und betroffene Komponenten

AGPM-Setup installiert den AGPM-Dienst auf einem AGPM-Server. AGPM verändert nicht den Active Directory®-Verzeichnisdienst oder das Schema. In den Standardeinstellungen werden die Programmdateien für AGPM Server unter %ProgramFiles%\Microsoft\AGPM\Server installiert. Sie können den AGPM-Dienst auf einem Domänencontroller installieren, wenn keine andere Möglichkeit besteht. Es empfiehlt sich jedoch, den AGPM-Dienst auf einem Mitgliedsserver zu installieren.

Auf einem AGPM-Client installiert AGPM-Setup das AGPM-Snap-In. Dabei wird jeder Domäne, die in der GPMC angezeigt wird, ein Ordner Änderungssteuerung hinzugefügt. In den Standardeinstellungen werden die Programmdateien für den AGPM-Client unter %ProgramFiles%\Microsoft\AGPM\Client installiert.

In Tabelle 1 werden sowohl die Elemente erläutert, die von AGPM installiert oder erstellt werden, als auch die Teile des Betriebssystems, die Einfluss auf den Betrieb von AGPM haben.

Tabelle 1: Elemente, die von AGPM installiert, erstellt oder beeinflusst werden

Element Beschreibung

AGPM-Dienst

Der AGPM-Dienst wird auf dem AGPM-Server ausgeführt. Der Dienst verwaltet das Archiv, das Offline-Gruppenrichtlinienobjekte enthält, sowie Gruppenrichtlinienobjekte in der Produktionsumgebung. Die folgende Konfiguration des AGPM-Diensts ist der Standard:

  • Dienstname: AGPM-Dienst

  • Anzeigename: AGPM-Dienst

  • Pfad der ausführbaren Datei: %ProgramFiles%\Microsoft\AGPM\Server\Agpm.exe

  • Starten: Automatisch

  • Anmelden als: AGPM-Dienstkonto, das bei der Installation von AGPM Server angegeben wurde. Dieses kann unter Programme und Funktionen in der Systemsteuerung geändert werden.

AGPM-Archiv

In der Standardeinstellung erstellt AGPM das Archiv unter "%ProgramData%\Microsoft\AGPM" auf dem AGPM-Server. Das Archiv bietet einen Speicherort für Offline-Gruppenrichtlinienobjekte und kann mehrere Versionen jedes Gruppenrichtlinienobjekts speichern. Änderungen, die von AGPM an Gruppenrichtlinienobjekten im Archiv vorgenommen werden, haben keinen Einfluss auf die Produktionsumgebung, bevor AGPM-Administrator oder eine genehmigende Person das Gruppenrichtlinienobjekt in der Produktionsumgebung bereitstellt und das Gruppenrichtlinienobjekt mit einer Organisationseinheit verknüpft.

Windows-Firewall

Bei der Installation aktiviert AGPM eine Eingangsregel für die Windows-Firewall, die die Kommunikation zwischen dem AGPM-Client und dem AGPM-Server ermöglicht. Folgende Regel für die Windows-Firewall ist der Standard:

  • Name: AGPM-Dienst

  • Aktion: Verbindung zulassen

  • Programme: Alle Programme, die die angegebenen Bedingungen erfüllen

  • Protokolltyp: TCP

  • Lokaler Port: 4600

  • Remoteport: Alle Ports

  • Lokale IP-Adresse: Beliebig

  • Remote-IP-Adresse: Beliebig

E-Mail-Server

AGPM verwendet Simple Mail Transfer Protocol (SMTP), um E-Mail-Anfragen an die auf der Registerkarte Domänendelegierung konfigurierten Adressen zu senden. Wenn ein Bearbeiter beispielsweise die Erstellung eines neuen Gruppenrichtlinienobjekts anfordert, benachrichtigt AGPM alle E-Mail-Adressen, die auf der Registerkarte Domänendelegierung angegeben sind.

AGPM-Snap-In

Das AGPM-Snap-In für die GPMC wird auf AGPM-Clients ausgeführt und von Gruppenrichtlinienadministratoren zum Verwalten von Gruppenrichtlinienobjekten verwendet. Dieses Snap-In wird in der GPMC in jeder Domäne als Ordner Änderungssteuerung angezeigt.

Weitere Verweise

Weitere Informationen über Dateien, die von AGPM installiert werden, finden Sie im Planungshandbuch für AGPM.

Archiv

In den Standardeinstellungen wird das Archiv beim Installationsprozess von AGPM Server auf der lokalen Festplatte des AGPM-Servers unter %ProgramData%\Microsoft\AGPM erstellt. Sie können den Pfad jedoch während der Installation ändern oder sogar das Archiv auf einem anderen Server als dem AGPM-Server erstellen.

Das Archiv enthält für jede Version jedes im Archiv enthaltenen Gruppenrichtlinienobjekts einen Unterordner. Der Name jedes Unterordners ist eine GUID, die eine Version des Gruppenrichtlinienobjekts identifiziert.

Die Datei gpostate.xml zeichnet den Status jedes Gruppenrichtlinienobjekts im Archiv auf. Die Datei ist ein Manifest, in dem die Inhalte des Archivs beschrieben werden. Ein Gruppenrichtlinienobjekt kann beispielsweise mehrere Versionen haben, und jede Version hat ihren eigenen Unterordner im Archiv. Die Datei gpostate.xml zeigt an, welche Unterordner verschiedene Versionen eines einzigen Gruppenrichtlinienobjekts enthalten. Darüber hinaus gibt es im Archiv Unterorder für Gruppenrichtlinienobjekt-Vorlagen. Durch gpostate.xml wird jedoch angezeigt, dass es sich um Vorlagen und nicht um gesteuerte Gruppenrichtlinienobjekte handelt. Wenn Gruppenrichtlinienobjekte von Gruppenrichtlinienadministratoren gelöscht werden, werden ihre Status in gpostate.xml entsprechend von AGPM geändert, um anzuzeigen, dass sie sich im Papierkorb befinden. Die Unterordner der Gruppenrichtlinienobjekte werden jedoch nicht wirklich gelöscht.

Warnung

Ändern Sie die Datei gpostate.xml oder die Gruppenrichtlinienobjekte im Archiv nicht manuell. Diese Informationen werden nur bereitgestellt, um ein besseres Verständnis des AGPM-Archivs zu vermitteln. Verwenden Sie zum Ändern von Gruppenrichtlinienobjekten stattdessen das AGPM-Snap-In.

Wenn AGPM das Archiv erstellt, erhält es Vollzugriff auf das SYSTEM, Administratoren und das AGPM-Dienstkonto (das beim Setup des AGPM-Servers angegeben wurde). Wenn Sie Berechtigungen mithilfe der AGPM-Benutzeroberfläche im AGPM-Snap-In ändern, werden nicht die Berechtigungen im Archiv geändert, da das AGPM-Dienstkonto alle Vorgänge im Namen des angemeldeten Benutzers ausführt.

Weitere Verweise

Informationen zum Sichern des Archivs, zum Wiederherstellen des Archivs aus einer Sicherung oder zum Verschieben des AGPM-Servers und des Archivs finden Sie im Abschnitt "Ausführen von Aufgaben für AGPM-Administratoren" im Betriebshandbuch für AGPM.

Rollen und Berechtigungen

Rollen vereinfachen die Delegierung. Anstatt Gruppenrichtlinienadministratoren genaue Berechtigungen zuzuweisen, können AGPM-Administratoren Gruppenrichtlinienadministratoren eine von vier Rollen zuweisen, mit der sie die entsprechenden Arbeiten ausführen können:

  • AGPM-Administrator: Gruppenrichtlinienadministratoren, denen die AGPM-Administrator ("Vollzugriff")-Rolle zugewiesen wurde, können in AGPM jede Aufgabe ausführen. AGPM-Administratoren können domänenweite Optionen konfigurieren und Berechtigungen an andere Gruppenrichtlinienadministratoren delegieren.

  • Genehmigende Person: Gruppenrichtlinienadministratoren, denen die Rolle der genehmigenden Person zugewiesen wurde, können Gruppenrichtlinienobjekte in der Produktionsumgebung einer Domäne bereitstellen. Genehmigende Personen können zudem Gruppenrichtlinienobjekte erstellen und löschen sowie Anfragen von Bearbeitern genehmigen oder ablehnen. Genehmigende Personen können die Liste der Gruppenrichtlinienobjekte in einer Domäne anzeigen und die Richtlinieneinstellungen in Gruppenrichtlinienobjekten anzeigen; zudem können Sie Berichte über die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt erstellen und anzeigen. Sie können nicht die Richtlinieneinstellungen in Gruppenrichtlinienobjekten bearbeiten, wenn ihnen nicht zusätzlich die Rolle des Bearbeiters zugewiesen wurde.

  • Bearbeiter: Gruppenrichtlinienadministratoren, denen die Rolle des Bearbeiters zugewiesen wurde, können die Liste der Gruppenrichtlinienobjekte in einer Domäne anzeigen, die Richtlinieneinstellungen in Gruppenrichtlinienobjekten anzeigen, die Richtlinieneinstellungen in Gruppenrichtlinienobjekten bearbeiten und Berichte über die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt erstellen und anzeigen. Wenn ihnen nicht zusätzlich die Rolle der genehmigenden Person zugewiesen wurde, können Sie Gruppenrichtlinienobjekte nicht erstellen, bereitstellen oder löschen. Sie können jedoch das Erstellen, Bereitstellen oder Löschen von Gruppenrichtlinienobjekten anfordern.

  • Prüfer: Gruppenrichtlinienadministratoren, denen die Rolle des Prüfers zugewiesen wurde, können die Liste der Gruppenrichtlinienobjekte in einer Domäne anzeigen und Berichte über die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt erstellen und anzeigen. Wenn ihnen nicht zusätzlich die Rolle des Bearbeiters zugewiesen wurde, können Sie Richtlinieneinstellungen in Gruppenrichtlinienobjekten nicht bearbeiten.

AGPM verleiht AGPM-Administratoren die Flexibilität, Berechtigungen mit dem AGPM-Snap-In ausführlicher zu konfigurieren als Rollen. In Tabelle 2 werden diese Berechtigungen beschrieben und die Berechtigungen angezeigt, die jeder Rolle in den Standardeinstellungen zugewiesen werden.

Berechtigung Beschreibung AGPM-Administrator Genehmigende Person Bearbeiter Prüfer

Vollzugriff

Alle Berechtigungen.

Ja

Gruppenrichtlinienobjekt erstellen

Erstellen von Gruppenrichtlinienobjekten in einer Domäne.

Ja

Ja

Inhalt auflisten

Auflisten von Gruppenrichtlinienobjekten in einer Domäne.

Ja

Ja

Ja

Ja

Einstellungen lesen

Lesen der Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt.

Ja

Ja

Ja

Ja

Einstellungen bearbeiten

Ändern der Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt.

Ja

Ja

Gruppenrichtlinienobjekt löschen

Löschen von Gruppenrichtlinienobjekten.

Ja

Ja

Sicherheit ändern

Delegieren des Zugriffs auf Domänenebene, Delegieren des Zugriffs auf einzelne Gruppenrichtlinienobjekte und Delegieren des Zugriffs auf die Produktionsumgebung.

Ja

Gruppenrichtlinienobjekt bereitstellen

Bereitstellen eines Gruppenrichtlinienobjekts aus dem Archiv in die Produktionsumgebung.

Ja

Ja

Vorlage erstellen

Erstellen von Vorlagen für Gruppenrichtlinienobjekte in AGPM.

Ja

Ja

Optionen ändern

Konfigurieren der AGPM-E-Mail-Benachrichtigung und Einschränken der im Archiv gespeicherten Versionen von Gruppenrichtlinienobjekten.

Ja

Gruppenrichtlinienobjekt exportieren

Exportieren eines Gruppenrichtlinienobjekts in eine Datei.

Ja

Ja

Gruppenrichtlinienobjekt importieren

Importieren eines Gruppenrichtlinienobjekts aus einer Datei.

Ja

Ja

Hinweis

Die Berechtigungen Gruppenrichtlinienobjekt exportieren und Gruppenrichtlinienobjekt importieren sind in AGPM 3.0 und 2.5 nicht verfügbar.

Die Möglichkeit, den Zugriff auf Gruppenrichtlinienobjekte in der Produktionsumgebung für eine Domäne zu delegieren, und die Möglichkeit, die Anzahl der gespeicherten Versionen von Gruppenrichtlinienobjekten zu begrenzen, sind in AGPM 2.5 nicht verfügbar.

Weitere Verweise

Informationen darüber, welche Aufgaben von Gruppenrichtlinienadministratoren einer bestimmten Rolle zugewiesen werden können oder welche Berechtigungen zum Ausführen einer bestimmten Aufgabe erforderlich sind, finden Sie im Betriebshandbuch für AGPM.

-----
Weitere Informationen zu MDOP finden Sie in der TechNet-Bibliothek. Sie können auch im TechNet Wiki nach Problembehandlungen suchen und uns auf Facebook oder Twitter folgen.
-----