Übersicht zu Advanced Group Policy Management
Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) kann verwendet werden, um die Möglichkeiten der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) zu erweitern und umfassende Änderungskontrolle sowie erweiterte Verwaltung für Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) bereitzustellen.
Entwicklung von Gruppenrichtlinienobjekten mit Änderungskontrolle
Mit AGPM können Sie eine Kopie jedes Gruppenrichtlinienobjekts in einem zentralen Archiv speichern, sodass es von Gruppenrichtlinienadministratoren angezeigt und offline geändert werden kann, ohne unmittelbare Auswirkungen auf die bereitgestellte Version des Gruppenrichtlinienobjekts. Darüber hinaus speichert AGPM eine Kopie jeder Version jedes gesteuerten Gruppenrichtlinienobjekts im Archiv, sodass erforderlichenfalls ein Rollback zu einer früheren Version durchgeführt werden kann.
Die Begriffe "einchecken" und "auschecken" werden in ganz ähnlicher Weise wie in einer Bibliothek verwendet (oder in Anwendungen für Änderungskontrolle, Versionskontrolle oder Quelltextkontrolle für die Programmentwicklung). Zum Verwenden eines Buchs aus einer Bibliothek wird es in der Bibliothek ausgecheckt. Keine andere Person kann das Buch verwenden, solange es für Sie ausgecheckt ist. Wenn Sie die Arbeit mit dem Buch beendet haben, checken Sie es wieder in der Bibliothek ein, damit andere es verwenden können.
Gehen Sie beim Entwickeln von Gruppenrichtlinienobjekten mithilfe von AGPM folgendermaßen vor:
Erstellen Sie ein neues gesteuertes Gruppenrichtlinienobjekt oder richten Sie Steuerung für ein bisher ungesteuertes Gruppenrichtlinienobjekt ein.
Checken Sie das Gruppenrichtlinienobjekt aus, damit Sie es exklusiv ändern können.
Bearbeiten Sie das Gruppenrichtlinienobjekt.
Checken Sie das bearbeitete Gruppenrichtlinienobjekt ein, damit andere es ändern können oder es bereitgestellt werden kann.
Überprüfen Sie die Änderungen.
Stellen Sie das Gruppenrichtlinienobjekt in der Produktionsumgebung bereit.
Rollenbasierte Delegierung
AGPM bietet umfassende und leicht zu verwendende rollenbasierte Delegierung. Berechtigungen auf Domänenebene ermöglichen AGPM-Administratoren das Bereitstellen von Zugriff auf einzelnen Domänen, ohne zugleich Zugriff auf andere Domänen bereitzustellen. Mithilfe der auf Gruppenrichtlinienobjekten basierenden Delegierung können AGPM-Administratoren den Zugriff nur auf bestimmte Gruppenrichtlinienobjekte zulassen.
Innerhalb von AGPM existieren spezifisch definierte Rollen: AGPM-Administrator („Vollzugriff“), genehmigende Person, Bearbeiter und Prüfer. Die Rolle AGPM-Administrator schließt die Berechtigungen für alle anderen Rollen ein. Standardmäßig besitzen nur genehmigende Personen die Möglichkeit, Gruppenrichtlinienobjekte in der Produktionsumgebung bereitzustellen, wodurch die Umgebung vor unbeabsichtigten Fehlern durch weniger erfahrene Bearbeiter geschützt wird. Ebenfalls standardmäßig umfassen alle Rollen die Prüferrolle und daher die Möglichkeit, Einstellungen von Gruppenrichtlinienobjekten in Berichten anzuzeigen. AGPM bietet einem AGPM-Administrator jedoch die Flexibilität, den Zugriff auf Gruppenrichtlinienobjekte so anzupassen, dass er den Bedürfnissen der Organisation entspricht.
Delegierung in einer Umgebung mit mehreren Gruppenrichtlinienadministratoren
In einer Umgebung, in der mehrere Personen Änderungen an Gruppenrichtlinien vornehmen, delegiert ein AGPM-Administrator Berechtigungen an Bearbeiter, genehmigende Personen und Prüfer, entweder gruppenweise oder als Einzelpersonen. Die Darstellung eines typischen Entwicklungsprozesses für Gruppenrichtlinienobjekte für einen Bearbeiter und eine genehmigende Person finden Sie unter Prüfliste: Erstellen, Bearbeiten und Bereitstellen eines Gruppenrichtlinienobjekts.