• Artikel

Gruppenrichtlinie

Einführung in die erweiterte Gruppenrichtlinienverwaltung

Derek Melber

 

Kurz zusammengefasst:

  • Installation und Architektur erweiterter Gruppenrichtlinienverwaltung (Advanced Group Policy Management, AGPM)
  • Offlinebearbeitung von GPOs
  • Änderungsverwaltung mit AGPM
  • Notfallwiederherstellung

Microsoft hat kürzlich DesktopStandard erworben. Dieses Unternehmen veröffentlichte ein Produkt, das die vollständige Verwaltung von Gruppenrichtlinienobjekten ermöglicht.Meiner Meinung nach sollte jedes Unternehmen, das Active Directory verwendet, auch dieses Tool verwenden: die erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, AGPM).

AGPM ermöglicht die Offlinebearbeitung von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs), Änderungsverwaltung, Workflow von Aktualisierungsrichtlinien, Delegierung und vieles mehr.In diesem Artikel wird die interne Funktionsweise des Tools behandelt, und Sie erhalten ein detailliertes Bild dieses erstaunlichen und überaus nützlichen Produkts.

Zunächst ein paar Hintergrundinformationen.AGPM war anfänglich unter der Bezeichnung GPOVault bekannt.Nach dem Erwerb von DesktopStandard hat Microsoft es in AGPM umbenannt und dem Microsoft® Desktop Optimization Pack (MDOP) hinzugefügt.Sie können das MDOP derzeit nur erhalten, wenn Ihre Windows Vista®-Desktoplizenzen von Microsoft Software Assurance abgedeckt werden.

Aufgrund meiner Erfahrung mit den darin enthaltenen Tools denke ich, dass das MDOP in der jüngeren Vergangenheit bei Weitem eines der attraktivsten Angebote von Microsoft ist.Zum MDOP gehören fünf verschiedene Tools: Jedes von ihnen ist für sich genommen beeindruckend, und zusammen stellen sie ein überaus bemerkenswertes und wertvolles Toolset dar.Weitere Informationen über das MDOP finden Sie auf der MDOP-Website:windowsvista.com/optimizeddesktop.

Installation und Architektur erweiterter Gruppenrichtlinienverwaltung (Advanced Group Policy Management, AGPM)

Die Installation von AGPM wurde äußerst einfach und wenig aufwändig gestaltet: Sie besteht aus einer Server- und einer Clientkomponente (Verwaltungskomponente).Die Serverkomponente muss auf einem Mitgliedsserver in der Domäne installiert werden. Sie verändert weder Active Directory® noch das Schema noch irgendeinen anderen Verzeichnisdienst.AGPM kann gegebenenfalls auf einem Domänencontroller installiert werden.

Bei der Serverinstallation wird ein Dienst installiert, der ein domänenbasiertes Dienstkonto erfordert, von dem aus AGPM im Namen des Benutzers auf die aktiven Produktions-GPOs zugreift.Die Installation erfordert auch einen AGPM-Administrator, der alle Einstellungen innerhalb von AGPM kontrolliert, z. B. die Delegierung und die anfängliche GPO-Verwaltung.

Der Client muss auf einem Computer installiert werden, auf dem Windows Vista ausgeführt wird und auf dem normale administrative Funktionen bereits stattfinden: am wahrscheinlichsten auf dem Desktop der Netzwerk- und Active Directory-Administratoren.Der Client muss den AGPM-Server auf die AGPM-Einstellungen verweisen, und die Verbindung zum Archiv wird hergestellt.Der AGPM-Client verwendet die Schnittstelle der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) und erscheint als der Knoten „Änderungssteuerung“, wie in Abbildung 1 dargestellt.

Abbildung 1 AGPM ist zur einfacheren Verwendung vollständig in die GPMC integriert

Abbildung 1** AGPM ist zur einfacheren Verwendung vollständig in die GPMC integriert **(Klicken Sie zum Vergrößern auf das Bild)

Die Dateien, auf die der AGPM-Client zugreift, werden in einem Standarddateiformat auf dem AGPM-Server gespeichert.Auf diese Weise lassen sich die Dateien am einfachsten speichern, und so lässt sich für das ganze AGPM-Archiv leicht eine Sicherung durchführen.Die meisten AGPM-Funktionen verwenden die integrierten GPMC-APIs, was wiederum eine nahtlose Integration und Verwendung des Produkts mit sich bringt.AGPM verwendet keine Datenbank. Die GPOs werden in einem einzigen Ordner gespeichert, und ein Manifest steuert die Korrelation aller GPOs zum übergeordneten GPO innerhalb des Archivs.So wird sichergestellt, dass alle GPOs eine eindeutige GUID haben, dass aber in einer Produktionsumgebung dem GPO bei der Bereitstellung die richtige GUID zugeordnet wird.

Offlinebearbeitung mit AGPM

Das grundlegendste Feature von AGPM ist die Möglichkeit, GPOs offline außerhalb der Produktionsumgebung zu bearbeiten.Es ist ein bekanntes Problem, dass bei der Bearbeitung von GPOs mithilfe der Standard-GPMC fehlerhafte Einstellungen sofort in die Produktionsumgebung übertragen werden können, und zwar mit möglicherweise verheerenden Folgen.

Mit APGM kann eine Offlinebearbeitung von GPOs durch „Kontrollieren“ der GPOs vorgenommen werden.Ein kontrolliertes GPO, wie in Abbildung 2 gezeigt, kann offline ohne irgendeine Störung der Produktionsumgebung bearbeitet werden.

Abbildung 2 Kontrollierte GPOs werden im AGPM-Archiv gespeichert und können offline bearbeitet werden

Abbildung 2** Kontrollierte GPOs werden im AGPM-Archiv gespeichert und können offline bearbeitet werden **(Klicken Sie zum Vergrößern auf das Bild)

Kontrollieren eines GPOs ist äußerst einfach.Bei den unkontrollierten GPOs, wie in Abbildung 3 dargestellt, werden alle GPOs aufgeführt, die dem AGPM-Archiv noch nicht zugeordnet sind.Wenn Sie mit der rechten Maustaste auf ein beliebiges dieser GPOs klicken, öffnet sich ein Menü, das die Option „Control“ (Kontrolle) umfasst.Bei Auswahl dieser Menüoption wird das GPO vom Produktionsort (die Systemvolume- bzw. SYSVOL-Freigabe auf dem Domänencontroller) kopiert und ins AGPM-Archiv gestellt.Es können mehrere GPOs kontrolliert werden: halten Sie bei der Auswahl der GPOs einfach die Umschalt- oder die Steuerungstaste gedrückt, um die richtige Liste von GPOs zu erhalten, die Sie kontrollieren wollen, und klicken Sie dann mit der rechten Maustaste, um auf die Menüoption „Control“ (Kontrolle) zuzugreifen.Auch zur Bearbeitung kontrollierter GPOs wird der Gruppenrichtlinienobjekt-Editor (Group Policy Object Editor, GPOE) verwendet.Dies ist nur eine andere Art, wie AGPM vollständig in die GPMC integriert wurde.

Abbildung 3 Unkontrollierte GPOs werden durch Auswahl der Menüoption „Control“ (Kontrolle) ins Archiv gestellt

Abbildung 3** Unkontrollierte GPOs werden durch Auswahl der Menüoption „Control“ (Kontrolle) ins Archiv gestellt **(Klicken Sie zum Vergrößern auf das Bild)

Delegierung der Verwaltung mit AGPM

Im Folgenden soll betrachtet werden, wie AGPM die Delegierung behandelt. Dabei wird zunächst untersucht, wie Sie mithilfe der GPMC die GPO-Verwaltung delegieren können.Innerhalb der GPMC gibt es fünf verschiedene Delegierungsaufgaben, die Sie einem Benutzer gewähren können:„Gruppenrichtlinienobjekt erstellen“, „Link GPO“ (Gruppenrichtlinienobjekt verknüpfen), „Edit GPO“ (Gruppenrichtlinienobjekt bearbeiten), „Manage GPO“ (Gruppenrichtlinienobjekt verwalten) und „Read GPO“ (Gruppenrichtlinienobjekt lesen).

Alle diese Delegierungen werden innerhalb der GPMC-Schnittstelle ausgeführt.Sie werden von den Benutzern und den Gruppen kontrolliert, die auf den Registerkarten für die Delegierung aufgelistet sind, die wiederum den verschiedenen Knoten innerhalb der GPMC zugeordnet sind.Hier werden die Delegierungen behandelt, die das Erstellen neuer GPOs sowie die Bearbeitung und Verwaltung vorhandener GPOs ermöglichen.

Das Erstellen von GPOs innerhalb der GPMC wird von der Registerkarte für die Delegierung behandelt, die dem Knoten „Gruppenrichtlinienobjekte“ zugeordnet ist, wie in Abbildung 4 gezeigt.Sobald AGPM installiert ist, können Sie alle Benutzer und Gruppen von der Liste derer entfernen, die Zugriff auf die Erstellung von GPOs haben.(Es ist nicht erforderlich, System, Computer oder Computergruppen von der Registerkarte für die Delegierung zu entfernen, um GPOs zu erstellen).Die Erstellung von GPOs wird jetzt vom Dienstkonto behandelt, das den AGPM-Dienst kontrolliert.Diesem Konto wird die Delegierung gewährt, GPOs im Namen aller Benutzer und Gruppen zu erstellen, die berechtigt sind, GPOs zu erstellen und Delegierungen von innerhalb der AGPM aus bereitzustellen.

Abbildung 4 Die Erstellung von GPOs wird durch die Kontenliste auf der Registerkarte für die Delegierung auf dem Knoten „Gruppenrichtlinienobjekte“ in der GPMC kontrolliert

Abbildung 4** Die Erstellung von GPOs wird durch die Kontenliste auf der Registerkarte für die Delegierung auf dem Knoten „Gruppenrichtlinienobjekte“ in der GPMC kontrolliert **(Klicken Sie zum Vergrößern auf das Bild)

Diese neue Möglichkeit zum Erstellen von GPOs ermöglicht die Trennung von Aufgaben und schützt das Produktionsnetzwerk.Im Idealfall werden GPOs erstellt, konfiguriert und überprüft, bevor sie von der AGPM-Umgebung an die Produktion bereitgestellt werden.Dabei dürften nur selten fehlerhafte Konfigurationen übertragen werden, so wie es heute ohne AGPM der Fall ist.

Bei der Delegierung im Zusammenhang mit Bearbeitung oder Verwaltung von GPOs verhält es sich ähnlich.Innerhalb der GPMC werden diese Delegierungen auf der jedem GPO zugeordneten Registerkarte für die Delegierung konfiguriert, wie in Abbildung 5 gezeigt.

Abbildung 5 Bearbeitung und Verwaltung von GPOs werden jedem GPO einzeln zugeordnet

Abbildung 5** Bearbeitung und Verwaltung von GPOs werden jedem GPO einzeln zugeordnet **(Klicken Sie zum Vergrößern auf das Bild)

Nachdem die AGPM installiert ist, müssen diese Delegierungen aus jedem GPO entfernt werden, das unter dem Knoten „Gruppenrichtlinienobjekte“ aufgeführt ist.Dies schränkt alle Administratoren bei der Bearbeitung von GPOs außerhalb der AGPM ein.Im Grunde genommen wird so die gesamte Verwaltung von GPOs zur AGPM umgeleitet, wo Aufgaben wie Offlinebearbeitung, Änderungsverwaltung und Notfallwiederherstellung möglich sind.

Das Entfernen von Benutzern und Gruppen von der Bearbeitung von GPOs außerhalb der AGPM ist ein manueller Prozess.Durch Installation und Konfiguration der AGPM werden weder Benutzer noch Gruppen von der Bearbeitung von GPOs in der Produktionsumgebung entfernt.Da das Dienstkonto, das den AGPM-Dienst kontrolliert, im Namen der Benutzer die Aktionen durchführt, die von der AGPM aus Produktions-GPOs ändern, muss kein Benutzer bzw. keine Benutzergruppe auf der Registerkarte für die Delegierung für jedes GPO aufgelistet werden.(Computer und Computergruppen dürfen aus diesen Registerkarten für die Delegierung nicht entfernt werden.)

Sobald alle Delegierungen zur Bearbeitung eines GPOs innerhalb der GPMC entfernt sind, wird allen Administratoren die Möglichkeit verweigert, ein GPO von der GPMC aus zu bearbeiten, wie in Abbildung 6 gezeigt.

Abbildung 6 Administratoren können GPOs von der GPMC aus nicht bearbeiten, sobald Ihnen die Delegierung für diese Aktion verweigert wird

Abbildung 6** Administratoren können GPOs von der GPMC aus nicht bearbeiten, sobald Ihnen die Delegierung für diese Aktion verweigert wird **(Klicken Sie zum Vergrößern auf das Bild)

Um die Konfiguration abzuschließen, müssen alle Administratoren, die GPOs bearbeiten müssen, den entsprechenden Zugriffssteuerungslisten (Access Control Lists, ACLs) innerhalb der AGPM hinzugefügt werden.Wenn ein Administrator in der Lage sein muss, alle im Archiv befindlichen GPOs zu bearbeiten, muss sein Benutzerkonto einer Gruppe hinzugefügt werden, der Bearbeitungsfunktionen auf Domänenebene innerhalb der AGPM gewährt wurden, wie in Abbildung 7 gezeigt.Wenn ein Administrator auf die Bearbeitung weniger GPOs innerhalb des AGPM-Archivs eingeschränkt werden soll, muss diese Konfiguration an jedem GPO stattfinden (siehe Abbildung 8).

Abbildung 7 Die Registerkarte für die Domänendelegierung ermöglicht eine Konfiguration zur Bearbeitung aller GPOs im Archiv

Abbildung 7** Die Registerkarte für die Domänendelegierung ermöglicht eine Konfiguration zur Bearbeitung aller GPOs im Archiv **(Klicken Sie zum Vergrößern auf das Bild)

Abbildung 8 Die Bearbeitung einzelner GPOs muss in der ACL dieses GPOs konfiguriert werden

Abbildung 8** Die Bearbeitung einzelner GPOs muss in der ACL dieses GPOs konfiguriert werden **(Klicken Sie zum Vergrößern auf das Bild)

GPO-Änderungsverwaltung mit AGPM

Einer der fantastischen Vorteile von AGPM ist die Möglichkeit, alle Änderungen nachzuverfolgen, die an GPOs innerhalb des Archivs vorgenommen werden.Da dies ein automatisierter Prozess ist, braucht er nicht eingerichtet, konfiguriert oder verwaltet zu werden.Die Nachverfolgung aller Änderungen findet im Hintergrund statt, wenn GPOs über die AGPM-Clientschnittstelle verwaltet werden.

Dies ist eine bedeutende Verbesserung gegenüber der Art und Weise, wie die Standard-GPMC die GPO-Verwaltung abwickelt.Innerhalb der Standard-GPMC gibt es keine automatisierten oder gar integrierten Funktionen für die Nachverfolgung von Änderungen an GPOs.Dies war über Jahre hinweg eine Hauptklage der meisten Administratoren von Gruppenrichtlinien, und das Problem ist jetzt beseitigt.

Das AGPM-Änderungsverwaltungsfeature protokolliert alle wesentlichen Änderungen, die an einem GPO möglicherweise vorgenommen werden.Zusammen mit den Änderungen am GPO hilft das Änderungsverwaltungssystem auch bei Aufgaben der Überwachung oder der allgemeinen Nachverfolgung durch den Administrator.Das Änderungsverwaltungssystem überwacht, protokolliert und dokumentiert bei jeder GPO-Bearbeitung und -Änderung Folgendes:Datum und Uhrzeit der GPO-Änderung, den Benutzer, der die Änderung vorgenommen hat, die ursprünglichen GPO-Einstellungen sowie Änderungen an den GPO-Einstellungen.

Da die Nachverfolgung aller Änderungen nahtlos erfolgt, sollte bekannt sein, welche Aktionen die automatisierte Nachverfolgung auslösen.Innerhalb der AGPM-Clientschnittstelle können Sie mit der rechten Maustaste unter der Registerkarte „Controlled“ (Kontrolliert) auf ein GPO klicken und dann die Menüoption zum Auschecken auswählen, wie in Abbildung 9 dargestellt.

Abbildung 9 Das Auschecken eines GPOs löst den automatisierten Prozess aus, der Änderungen nachverfolgt

Abbildung 9** Das Auschecken eines GPOs löst den automatisierten Prozess aus, der Änderungen nachverfolgt **(Klicken Sie zum Vergrößern auf das Bild)

Dieses Verfahren muss bei der Bearbeitung des GPOs eingehalten werden, worauf im nächsten Abschnitt eingegangen wird.Selbst wenn ein GPO ausgecheckt und ohne irgendwelche Änderungen sofort wieder eingecheckt wird, wird diese Aktion archiviert.Da GPOs für das Unternehmen so wesentlich sind, protokolliert das Tool sogar potenzielle Änderungen.

Das Auscheckverfahren wird innerhalb von AGPM erzwungen, weil es einen Mechanismus geben muss, der GPO-Änderungen für den bestimmten Administrator nachverfolgt, der die Änderung vorgenommen hat.Zwei Administratoren können nicht gleichzeitig dasselbe GPO auschecken.Falls ein Administrator das GPO auscheckt und es dann nicht wieder eincheckt, gibt es eine integrierte Methode, mit der der AGPM-Administrator es wieder einchecken kann.

GPO-Bearbeitung mit AGPM

Solange der AGPM-Client installiert ist, können Sie auf das AGPM-Archiv zugreifen.Sobald die Delegierung für Bearbeitung oder uneingeschränkten Zugriff innerhalb des AGPM-Tools gewährt wird, können Sie gespeicherte GPOs bearbeiten.Ein GPO lässt sich nach dem Auschecken bearbeiten, wenn Sie mit der rechten Maustaste auf dieses GPO klicken und die Menüoption „Edit“ (Bearbeiten) auswählen.(Hinweis:Wenn Sie nur einige der GPOs innerhalb des AGPM-Archivs bearbeiten können, wurden Ihnen delegierte Funktionen möglicherweise nur für einige, nicht für alle GPOs innerhalb des Archivs gewährt.)

Mit dem Erwerb von DesktopStandard hat Microsoft auch PolicyMaker erworben, das jetzt in „Group Policy Preferences“ umbenannt wurde.Dieser Satz von Gruppenrichtlinienfeatures ist in der GPMC enthalten, die zusammen mit Windows Server® 2008 geliefert wird. Group Policy Preferences ermöglichen es dem Administrator, Anwendungen oder Windows-Komponenten zu konfigurieren, die normalerweise über Gruppenrichtlinien nicht konfigurierbar sind, sowie Gruppenrichtlinien aufgrund eines sehr reichhaltigen Satzes von Zielregeln auf bestimmte Benutzer oder Computer anzuwenden.Group Policy Preferences sind vollständig in GPMC und AGPM in Windows Server 2008 integriert.

GPO-Bereitstellung mit AGPM

Bei der Entwicklung von AGPM standen Effizienz und Workflow im Vordergrund.Da die GPO-Verwaltung mithilfe von AGPM jetzt stabiler und kontrollierter erfolgt, ist es sinnvoll, dass Administratoren GPOs nur bearbeiten, sie jedoch nicht an die Produktion bereitstellen können.Innerhalb der AGPM wird dies völlig reibungslos über die Schnittstelle, Dialogfelder und Arbeitsmethoden kontrolliert.Wenn zum Beispiel ein Administrator, der nur zur Bearbeitung berechtigt ist, ein GPO bereitzustellen versucht, weist das System dieses GPO ab.Dem Administrator wird dann ein Dialogfeld angezeigt, über das er mit einem Administrator kommunizieren kann, dem die Bereitstellungsberechtigung delegiert wurde.Dieses Workflowfeature sendet eine E-Mail sowohl an:als auch eine Kopie an:als Empfänger und bringt das GPO in einen eindeutigen Zustand.Diesen eindeutigen Zustand finden Sie unter der Registerkarte „Pending“ (Ausstehend) auf der AGPM-Schnittstelle.Hier ist das GPO als „Pending Deploy“ (Bereitstellung ausstehend) gekennzeichnet, was Administratoren einen schnellen Überblick über den Status jedes einzelnen GPOs verschafft, an dem Aktionen durchgeführt wurden.

Um ein ausstehendes GPO bereitzustellen, muss ein AGPM-Administrator mit Bereitstellungsdelegierung einfach nur mit der rechten Maustaste auf dieses GPO klicken und die Menüoption „Approve“ (Genehmigen) auswählen.Wenn das GPO bereitgestellt werden muss und statt auf der Registerkarte „Pending“ (Ausstehend) auf der Registerkarte „Controlled“ (Kontrolliert) aufgeführt ist, muss derselbe Administrator nur mit der rechten Maustaste auf dieses GPO klicken und „Deploy“ (Bereitstellen) auswählen.Da diese delegierte Berechtigung bereits gewährt ist, wird das GPO sofort an die Produktion bereitgestellt.

GPO-Einstellungen, -Berichte und -Vergleiche mit AGPM

Die GPMC-Benutzeroberfläche verfügt über das leistungsfähige Dialogfeld „Settings“ (Einstellungen), auf das über eine gleichnamige Registerkarte zugegriffen wird.Das Dialogfeld „Settings“ (Einstellungen) bietet eine genaue Anzeige aller Einstellungen, die im GPO konfiguriert sind. So können Sie leichter überblicken, welche der fast 3000 Gruppenrichtlinieneinstellungen konfiguriert wurden.

Da AGPM ein Archiv der geänderten GPOs bereitstellt, können Sie der Registerkarte „Settings“ (Einstellungen) in der GPMC nicht die in bearbeiteten GPOs konfigurierten Einstellungen entnehmen.Stattdessen bietet die AGPM-Schnittstelle für dieses Feature eine Alternativlösung, und sogar noch sehr viel mehr.

Um die Einstellungen eines GPOs zu sehen, ist es von Nutzen, zuerst die Verlaufsliste aller Änderungen anzuzeigen.Doppelklicken Sie zum Abrufen dieser Anzeige auf ein beliebiges GPO innerhalb der Registerkarte „Controlled“ (Kontrolliert) in AGPM.Von dieser Schnittstelle aus können Sie mit der rechten Maustaste auf eine beliebige GPO-Version klicken und den Einstellungsbericht auswählen.So erhalten Sie einen Bericht über alle Einstellungen, die in dieser Version des GPOs konfiguriert sind.Der Bericht wird als HTML-Datei ausgegeben, kann jedoch auch in einem XML-Format erstellt werden.

Dies ist zwar nützlich, aber noch nützlicher ist die Möglichkeit, zwei Versionen desselben GPOs zu vergleichen.Mit diesem Feature können Sie sehen, was sich von einer Version zur nächsten geändert hat, oder Sie können zwei völlig verschiedene Versionen desselben GPOs vergleichen.(Dies ist auch sehr nützlich, wenn Sie ein GPO mit ausstehender Bereitstellung haben, da Sie so die Unterschiede zwischen dem ausstehenden GPO und dem Produktions-GPO feststellen können.)Um diesen Bericht zu sehen, markieren Sie zwei verschiedene GPOs in der Verlaufsansicht und klicken dann mit der rechten Maustaste auf eines davon.

Die Farbcodierung im Unterschiedsbericht ist äußerst nützlich, besonders wenn Sie überprüfen wollen, was sich in einem ausstehenden GPO geändert hat, bevor Sie es bereitstellen.Rot hervorgehobene Einstellungen wurden vom Produktions-GPO gelöscht und sind im ausstehenden GPO nicht mehr verfügbar.Blau hervorgehobene Einstellungen wurden geändert, und grün hervorgehobene Einstellungen sind neue Änderungen, die im ausstehenden GPO vorhanden sind, nicht aber im Produktions-GPO.

Dieses Feature von AGPM kann Ihnen viele Stunden mühsamer manueller Vergleiche von GPO-Einstellungen ersparen.Es ist auch eine perfekte Möglichkeit, die GPOs über einen gewissen Zeitraum lang zu dokumentieren: über jede Version kann ein Berichtet erstellt und gedruckt werden.

GPO-Notfallwiederherstellung mit AGPM

Eine einzige Änderung an einem GPO kann an einem oder mehreren Computern in Ihrem Netzwerk großen Schaden verursachen.Mit der Standard-GPMC kann diese Art fehlerhafter Konfiguration korrigiert werden, wenn nämlich die richtigen manuellen Maßnahmen ergriffen wurden, um sowohl vor als auch nach Änderungen am Produktions-GPO Sicherungen des GPOs zu erstellen.Falls keine Sicherungen erstellt wurden, ist die Notfallwiederherstellung nicht so einfach, wie Sie vielleicht denken.

Aber AGPM bewältigt dies leicht.Da vollständige Sicherungen aller GPOs über den gesamten GPO-Verlauf hinweg vorliegen, können Sie leicht den Verlauf des GPOs öffnen und auswählen, welche GPO-Version Sie erneut bereitstellen möchten.

AGPM ermöglicht somit eine wirklich nahtlose Verwaltung Ihrer Gruppenrichtlinien.Jahrelang haben Administratoren auf die Möglichkeit gewartet, GPOs zu kontrollieren und offline zu verwalten.AGPM erfüllt diese Erwartung problemlos und elegant.AGPM stellt dazu eine äußerst robuste Änderungsverwaltungslösung bereit, die nicht nur die Schlüsselbereiche eines geänderten GPOs nachverfolgt, sondern außerdem einfache Vergleiche und Notfallwiederherstellung von GPOs bietet.Mit dem in AGPM integrierten Delegierungsmodell können Sie alle Administratoren für alle Bearbeitungen an GPOs in die AGPM überführen, die automatisierte Sicherungen von GPO-Änderungen bereitstellt und etwaige Fehler an Produktions-GPOs beseitigt.Dieser Dienst umfasst so viele Features, dass es unmöglich ist, sie an dieser Stelle alle zu behandeln. Im AGMP-Handbuch finden Sie eine Vielzahl an Informationen zu Vorlagen, Wiederherstellung von Knotenverknüpfungen, SMTP-Konfiguration und vieles mehr.

Derek Melber ist unabhängiger Berater, Schulungsleiter und Autor.Zu seinem Tätigkeitsbereich gehören Schulungen zur sowie die Verbreitung der Microsoft-Technologie, wobei er sich auf Active Directory, die Gruppenrichtlinie, Sicherheit und die Desktopverwaltung konzentriert.Derek Melber bringt regelmäßig Beiträge für Online- und Druckveröffentlichungen heraus und hat mehr als 10 Technologiebücher geschrieben, darunter „The Microsoft Windows Group Policy Guide“ (Microsoft Press, 2005).Er ist unter derekm@braincore.net zu erreichen.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.