Übersicht zu Advanced Group Policy Management

  • Artikel

Erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, APGM) kann verwendet werden, um die Möglichkeiten der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) zu erweitern und eine umfassende Änderungssteuerung sowie verbesserte Verwaltung für Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) bereitzustellen.

Entwicklung von Gruppenrichtlinienobjekten mit Änderungssteuerung

Mit AGPM können Sie eine Kopie jedes Gruppenrichtlinienobjekts in einem zentralen Archiv speichern, sodass es von Gruppenrichtlinienadministratoren angezeigt und offline geändert werden kann, ohne unmittelbare Auswirkungen auf die bereitgestellte Version des Gruppenrichtlinienobjekts. Darüber hinaus speichert AGPM eine Kopie jeder Version jedes gesteuerten Gruppenrichtlinienobjekts im Archiv, sodass ggf. ein Rollback zu einer früheren Version durchgeführt werden kann.

Die Begriffe "einchecken" und "auschecken" werden in ganz ähnlicher Weise wie in einer Bibliothek verwendet (oder in Anwendungen für Änderungssteuerung, Versionskontrolle oder Quelltextkontrolle für die Programmentwicklung). Zum Verwenden eines Buchs aus einer Bibliothek wird es in der Bibliothek ausgecheckt. Keine andere Person kann das Buch verwenden, solange es für Sie ausgecheckt ist. Wenn Sie die Arbeit mit dem Buch beendet haben, checken Sie es wieder in der Bibliothek ein, damit andere es verwenden können.

Zur Verwendung dieser Features klicken Sie auf den zugehörigen Knoten „Änderungssteuerung“ im Gruppenrichtlinienverwaltungs-Editor. Der Knoten erscheint nur, wenn Sie den AGPM-Client installiert haben.

Wenn Sie Gruppenrichtlinienobjekte mithilfe von AGPM bearbeiten:

  1. Erstellen Sie ein neues gesteuertes Gruppenrichtlinienobjekt oder richten Sie Steuerung für ein bisher ungesteuertes Gruppenrichtlinienobjekt ein.

  2. Checken Sie das Gruppenrichtlinienobjekt aus, damit Sie es exklusiv ändern können.

  3. Bearbeiten Sie das Gruppenrichtlinienobjekt.

  4. Checken Sie das bearbeitete Gruppenrichtlinienobjekt ein, damit andere es ändern können oder es bereitgestellt werden kann.

  5. Überprüfen Sie die Änderungen.

  6. Stellen Sie das Gruppenrichtlinienobjekt in der Produktionsumgebung bereit.

Rollenbasierte Delegierung

AGPM bietet umfassende und einfach zu verwendende rollenbasierte Delegierung für die Verwaltung des Zugriffs auf Gruppenrichtlinienobjekte im Archiv. Berechtigungen auf Domänenebene ermöglichen AGPM-Administratoren das Bereitstellen von Zugriff auf einzelne Domänen, ohne zugleich Zugriff auf andere Domänen bereitzustellen. Auf Gruppenrichtlinienobjekten basierende Delegierung ermöglicht AGPM-Administratoren das Bereitstellen von Zugriff auf bestimmte Gruppenrichtlinienobjekte, ohne domänenweiten Zugriff bereitzustellen.

Innerhalb von AGPM existieren spezifisch definierte Rollen: AGPM-Administrator ("Vollzugriff"), genehmigende Person, Bearbeiter und Prüfer. Die Rolle AGPM-Administrator schließt die Berechtigungen für alle anderen Rollen ein. Standardmäßig besitzen nur genehmigende Personen die Möglichkeit, Gruppenrichtlinienobjekte in der Produktionsumgebung einer Domäne bereitzustellen, wodurch die Umgebung vor Fehlern durch weniger erfahrene Bearbeiter geschützt wird. Ebenfalls standardmäßig umfassen alle Rollen die Prüferrolle und daher die Möglichkeit, Einstellungen von Gruppenrichtlinienobjekten in Berichten anzuzeigen. AGPM bietet einem AGPM-Administrator jedoch die Flexibilität, den Zugriff auf Gruppenrichtlinienobjekte so anzupassen, dass er den Bedürfnissen der Organisation entspricht.

Delegierung in einer Umgebung mit mehreren Gruppenrichtlinienadministratoren

In einer Umgebung, in der mehrere Personen Änderungen an Gruppenrichtlinien vornehmen, delegiert ein AGPM-Administrator Berechtigungen an Bearbeiter, genehmigende Personen und Prüfer, entweder gruppenweise oder als Einzelpersonen. Die Darstellung eines typischen Entwicklungsprozesses für Gruppenrichtlinienobjekte für Bearbeiter und genehmigende Person finden Sie unter Prüfliste: Erstellen, Bearbeiten und Bereitstellen eines Gruppenrichtlinienobjekts.

Weitere Verweise

-----
Weitere Informationen zu MDOP finden Sie in der TechNet-Bibliothek. Sie können auch im TechNet Wiki nach Problembehandlungen suchen und uns auf Facebook oder Twitter folgen.
-----