Guia Passo a Passo para Microsoft Advanced Group Policy Management 3.0

  • Artigo

Este guia passo-a-passo demonstra técnicas avançadas para gerenciamento de Diretiva de Grupo usando o Console de Gerenciamento de Diretiva de Grupo (GPMC) e o Microsoft Advanced Group Policy Management (AGPM). O AGPM aumenta os recursos do GMPC, fornecendo:

  • Funções padrão para delegação de permissões para gerenciar objetos de Diretiva de Grupo para vários administradores de Diretiva de Grupo, bem como a capacidade de delegar acesso a GPOs no ambiente de produção.

  • Um arquivo morto para permitir que administradores de Diretiva de Grupo criem e modifiquem GPOs offline antes de implantá-los em um ambiente de produção.

  • A capacidade de reverter para qualquer versão anterior de um GPO no arquivo morto e de limitar o número de versões armazenadas no arquivo morto.

  • Recurso de check-in/check-out para GPOs para garantir que administradores de Diretiva de Grupo não substituam inadvertidamente o trabalho alheio.

Visão geral do cenário do AGPM

Para este cenário, você usará uma conta de usuário separada para cada função do AGPM para demonstrar como a Diretiva de Grupo pode ser gerenciada em um ambiente com vários administradores de Diretiva de Grupo com níveis diferentes de permissões. Especificamente, você executará as seguintes tarefas:

  • Usando uma conta que é membro do grupo Admins. do Domínio, instalar o Servidor AGPM e atribuir a função de Administrador do AGPM a uma conta ou grupo.

  • Usando contas às quais você atribuirá funções do AGPM, instalar o Cliente AGPM.

  • Usando uma conta com a função de Administrador do AGPM, configurar o AGPM e delegar acesso a GPOs atribuindo funções a outras contas.

  • Usando uma conta com a função de Editor, solicitar a criação de um GPO, que você aprovará depois usando uma conta com a função de Aprovador. Com a conta de Editor, fazer o check-out do GPO do arquivo morto, editar o GPO, fazer check-in do GPO no arquivo morto e solicitar implantação.

  • Usando uma conta com a função de Aprovador, analisar o GPO e implantá-lo em seu ambiente de produção.

  • Usando uma conta com a função de Editor, criar um modelo de GPO e usá-lo como ponto de partida para criar um novo GPO.

  • Usando uma conta com a função de Aprovador, excluir e restaurar um GPO.

Processo de desenvolvimento de objeto Política de Grupo

Requisitos

Os computadores nos quais você desejar instalar o AGPM deverão atender aos requisitos a seguir e você deverá criar contas para uso neste cenário.

Dica

Se você tiver o AGPM 2.5 instalado e estiver atualizando do Windows Server® 2003 para o Windows Server 2008 ou Windows Vista® sem service packs instalados no Windows Vista com Service Pack 1, será preciso atualizar o sistema operacional para poder atualizar para o AGPM 3.0.

Requisitos do Servidor AGPM

O Servidor AGPM 3.0 exige que o Windows Server 2008 ou o Windows Vista com Service Pack 1 e o GPMC da RSAT (Ferramentas de Administração de Servidor Remoto) estejam instalados. Há suporte para as versões de 32 e 64 bits.

Antes de instalar o Servidor AGPM, você deve ser um membro do grupo Administradores do Domínio e os seguintes recursos do Windows devem estar presentes, a menos que indicado de outra forma:

  • GPMC

    • Windows Server 2008: O GPMC será instalado automaticamente pelo AGPM caso não esteja presente.

    • Windows Vista: Instale o GPMC da RSAT antes de instalar o AGPM. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?LinkID=116179.

  • .NET Framework 3.5

Os seguintes recursos do Windows são exigidos pelo Servidor AGMP e serão instalados automaticamente caso não estejam presentes:

  • Ativação WCF; Ativação não-HTTP

  • Serviço de Ativação de Processos do Windows

    • Modelo de Processo

    • Ambiente .NET

    • APIs de Configuração

Requisitos do Cliente AGPM

O Cliente AGPM 3.0 exige que o Windows Server 2008 ou o Windows Vista com Service Pack 1 e o GPMC da RSAT (Ferramentas de Administração de Servidor Remoto) estejam instalados. Há suporte para as versões de 32 e 64 bits. O Cliente AGPM pode ser instalado em um computador que esteja executando o Servidor AGPM.

Os seguintes recursos do Windows são exigidos pelo Cliente AGMP e serão instalados automaticamente caso não estejam presentes:

  • GPMC

    • Windows Server 2008: O GPMC será instalado automaticamente pelo AGPM caso não esteja presente.

    • Windows Vista: Instale o GPMC da RSAT antes de instalar o AGPM. Para obter mais informações, consulte https://go.microsoft.com/fwlink/?LinkID=116179.

  • .NET Framework 3.0

Requisitos do cenário

Antes de iniciar este cenário, crie quatro contas de usuário. Durante o cenário, você irá atribuir uma das funções do AGPM a seguir a cada uma dessas contas: Administrador (Controle total), Aprovador, Editor e Revisor do AGPM. Essas contas devem ser capazes de enviar e receber mensagens de email. Atribua a permissão de Vincular GPOs às contas com as funções de Administrador, Aprovador e (opcionalmente) Editor do AGPM.

Dica

A permissão de Vincular GPOs é atribuída a membros de Administradores do Domínio e Administradores de Empresa por padrão. Para atribuir a permissão de Vincular GPOs a usuários ou grupos adicionais (como contas com as funções de Administrador ou Aprovador do AGPM), clique no nó para o domínio e depois na guia Delegação, selecione Vincular GPOs, clique em Adicionar e selecione os usuários ou grupos aos quais atribuir a permissão.

Passos para instalação e configuração do AGPM

É preciso concluir os passos a seguir para instalar e configurar o AGPM.

Etapa 1: Instalar o Servidor AGPM

Segundo passo: Instalar o Cliente AGPM

Terceiro passo: Configurar uma conexão do Servidor AGPM

Quarto passo: Configurar notificação por email

Quinto passo: Delegar acesso

Etapa 1: Instalar o Servidor AGPM

Neste passo, você instala o Servidor AGPM no servidor membro ou controlador de domínio que irá executar o Serviço AGPM e configura o arquivo morto. Todas as operações do AGPM são gerenciadas por este serviço do Windows e são executadas com as credenciais do serviço. O arquivo morto gerenciado por um Servidor AGPM pode ser hospedado nesse servidor ou em outro servidor da mesma floresta.

Para instalar o Servidor AGPM no computador que irá hospedar o Serviço AGPM

  1. Faça logon com uma conta que seja membro do grupo Admins. do Domínio.

  2. Inicie o CD do Microsoft Desktop Optimization Pack e siga as instruções na tela para selecionar Advanced Group Policy Management - Servidor.

  3. Na caixa de diálogo Bem-vindo, clique em Avançar.

  4. Na caixa de diálogo Termos de Licença para Software Microsoft, aceite os termos e clique em Avançar.

  5. Na caixa de diálogo Caminho do Aplicativo, selecione um local no qual instalar o Servidor AGPM. O computador no qual o Servidor AGPM está instalado irá hospedar o Serviço AGPM e gerenciar o arquivo morto. Clique em Avançar.

  6. Na caixa de diálogo Caminho do Arquivo Morto, selecione um local par o arquivo morto relativo ao Servidor AGPM. O caminho do arquivo morto pode apontar para uma pasta no Servidor AGPM ou em outro lugar, mas você deve selecionar um local com espaço suficiente para armazenar todos os GPOs e dados de histórico gerenciados por esse Servidor AGPM. Clique em Avançar.

  7. Na caixa de diálogo Conta do Serviço AGPM, selecione uma conta de serviço sob a qual o Serviço AGPM será executado e clique em Avançar.

  8. Na caixa de diálogo Proprietário do Arquivo Morto, selecione uma conta ou grupo ao qual atribuir inicialmente a função de Administrador (Controle total) do AGPM. Esse Administrador do AGPM pode atribuir permissões e funções do AGPM a outros administradores de Diretiva de Grupo (incluindo a função de Administrador do AGPM). Para esse cenário, selecione a conta para servir na função de Administrador do AGPM. Clique em Avançar.

  9. Na caixa de diálogo Configuração de Porta, digite uma porta na qual o Serviço AGPM deve escutar. Não desmarque a caixa de seleção Adicionar exceção de porta ao firewall a menos que você configure manualmente exceções de porta ou use funções para configurar exceções de porta. Clique em Avançar.

  10. Na caixa de diálogo Idiomas, selecione um ou mais idiomas de exibição para instalar para o Servidor AGPM.

  11. Clique em Instalar e, em seguida, clique em Concluir para sair do Assistente de Instalação.

    Aviso

    Não modifique configurações do Serviço AGPM por meio de Ferramentas Administrativas e Serviços no sistema operacional. Isto pode impedir que o Serviço AGPM seja iniciado. Para obter informações sobre como modificar configurações do serviço, consulte a Ajuda do Gerenciamento Avançado de Diretiva de Grupo.

Segundo passo: Instalar o Cliente AGPM

Cada administrador de Diretiva de Grupo – qualquer um que crie, edite, implante, analise ou exclua GPOs – deve ter o Cliente AGPM instalado em computadores que usem para gerenciar GPOs. Para este cenário, você instala o Cliente AGPM em pelo menos um computador. Não é necesssário instalar o Cliente AGPM nos computadores de usuários finais que não executem administração de Diretiva de Grupo.

Para instalar o Cliente AGPM no computador de um administrador de Diretiva de Grupo

  1. Inicie o CD do Microsoft Desktop Optimization Pack e siga as instruções na tela para selecionar Advanced Group Policy Management - Cliente.

  2. Na caixa de diálogo Bem-vindo, clique em Avançar.

  3. Na caixa de diálogo Termos de Licença para Software Microsoft, aceite os termos e clique em Avançar.

  4. Na caixa de diálogo Caminho do Aplicativo, selecione um local no qual instalar o Cliente AGPM. Clique em Avançar.

  5. Na caixa de diálogo Servidor AGPM, digite o nome do computador totalmente qualificado para o Servidor AGPM e a porta à qual conectar. A porta padrão para o Serviço AGPM é 4600. Não desmarque a caixa de seleção Permitir o Console de Gerenciamento Microsoft por meio do firewall a menos que você configure manualmente exceções de porta ou use regras para configurar exceções de porta. Clique em Avançar.

  6. Na caixa de diálogo Idiomas, selecione um ou mais idiomas de exibição para instalar para o Cliente AGPM.

  7. Clique em Instalar e, em seguida, clique em Concluir para sair do Assistente de Instalação.

Terceiro passo: Configurar uma conexão do Servidor AGPM

O AGPM armazena todas as versões de cada objeto de Diretiva de Grupo controlado (GPO) – um GPO para o qual o AGPM fornece controle de alterações – em um arquivo morto central, de modo que os administradores de Diretiva de Grupo possam exibir e modificar GPOs offline sem afetar imediatamente a versão implantada de cada GPO.

Neste passo, você configura uma conexão de Servidor AGPM e garante que todos os administradores de Diretiva de Grupo se conectem ao mesmo Servidor AGPM. (Para obter informações sobre a configuração de vários Servidores AGPM, consulte a Ajuda do Gerenciamento Avançado de Diretiva de Grupo).

Para configurar uma conexão de Servidor AGPM para todos os administradores de Diretiva de Grupo

  1. Em um computador em que você tenha instalado o Cliente AGPM, faça logon com a conta de usuário que você selecionou como Proprietário do Arquivo Morto. Este usuário tem a função de Administrador (Controle total) do AGPM.

  2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo para abrir o GPMC.

  3. Edite um GPO que seja aplicado a todos os administradores de Diretiva de Grupo.

  4. Na janela Editor de Gerenciamento de Diretiva de Grupo, clique duas vezes em Configuração do Usuário, Diretivas, Modelos Administrativos, Componentes do Windows e AGPM.

  5. No painel de detalhes, clique duas vezes em AGPM: Especificar Servidor AGPM padrão (todos os domínios).

  6. Na janela Propriedades, selecione Ativado e digite o nome e a porta do computador totalmente qualificado (por exemplo, server.contoso.com:4600) para o servidor que está hospedando o arquivo morto. Por padrão, o Serviço AGPM usa a porta 4600.

  7. Clique em OK e feche a janela do Editor de Gerenciamento da Diretiva de Grupo. Quando a Diretiva de Grupo é atualizada, a conexão do Servidor AGPM é configurada para cada administrador de Diretiva de Grupo.

Quarto passo: Configurar notificação por email

Como um Administrador (Controle total) do AGPM, você designa os endereços de email de Aprovadores e Administradores do AGPM para os quais uma mensagem de email contendo uma solicitação é enviada quando um Editor tenta criar, implantar ou excluir um GPO. Você também determina o alias do qual essas mensagens são enviadas.

Para configurar as notificações de email do AGPM

  1. No painel de detalhes, clique na guia Delegação de Domínio.

  2. No campo Endereço de email do remetente, digite o alias do email do AGPM pelo qual as notificação deverão ser enviadas.

  3. No campo Para o endereço de email, digite o endereço de email da conta de usuário à qual você pretende atribuir a função de Aprovador.

  4. No campo Servidor SMTP, digite um servidor de email SMTP válido.

  5. Nos campos Nome de usuário e Senha, digite as credenciais de um usuário com acesso ao serviço SMTP. Clique em Aplicar.

Quinto passo: Delegar acesso

Como um Administrador do AGPM (Controle total), você delega acesso no nível do domínio a GPOs, atribuindo funções à conta de cada administrador de Diretiva de Grupo.

Dica

Você também pode delegar acesso no nível do GPO em vez do nível do domínio. Para obter detalhes, consulte a Ajuda do Gerenciamento Avançado de Diretiva de Grupo.

Importante

Você deve restringir a associação ao grupo Proprietários Criadores de Diretiva de Grupo para que ele não possa ser usado para circundar o gerenciamento do AGPM de acesso a GPOs. (No Group Policy Management Console, clique em Objetos de Diretiva de Grupo na floresta e domínio nos quais deseja gerenciar GPOs, clique em Delegação e defina as configurações de acordo com as necessidades da sua organização).

Para delegar acesso a todos os GPOs em um domínio

  1. Na guia Delegação de Domínio, clique no botão Adicionar, selecione a conta de usuário do administrador de Diretiva de Grupo que servirá como Aprovador e, em seguida, clique em OK.

  2. Na caixa de diálogo Adicionar Grupo ou Usuário, selecione a função Aprovador para atribuir essa função à conta e clique em OK. (Essa função inclui a função Revisor.)

  3. Clique no botão Adicionar, selecione a conta de usuário do administrador de Diretiva de Grupo que servirá como Editor e clique em OK.

  4. Na caixa de diálogo Adicionar Grupo ou Usuário, selecione a função Editor para atribuir essa função à conta e clique em OK. (Essa função inclui a função Revisor.)

  5. Clique no botão Adicionar, selecione a conta de usuário do administrador de Diretiva de Grupo que servirá como Revisor e clique em OK.

  6. Na caixa de diálogo Adicionar Grupo ou Usuário, selecione a função Revisor para atribuir somente essa função à conta.

Passos para gerenciar GPOs

É preciso concluir os seguintes passos para criar, editar, analisar e implantar GPOs usando o AGPM. Além disso, você irá criar um modelo, excluir um GPO e restaurar um GPO excluído.

Primeiro passo: Criar um GPO

Segundo passo: Editar um GPO

Terceiro passo: Analisar e implantar um GPO

Quarto passo: Usar um modelo para criar um GPO

Quinto passo: Excluir e restaurar um GPO

Primeiro passo: Criar um GPO

Em um ambiente com vários administradores de Diretiva de Grupo, aqueles com a função de Editor têm a capacidade de solicitar a criação de novos GPOs, mas esta solicitação deve ser aprovada por alguém com a função de Aprovador porque a criação de um novo GPO afeta o ambiente de produção.

Neste passo, você usa uma conta com a função de Editor para solicitar a criação de um novo GPO. Usando uma conta com a função de Aprovador, você aprova a solicitação e conclui a criação de um GPO.

Para solicitar a criação de um novo GPO gerenciado por meio do AGPM

  1. Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função de Editor no AGPM.

  2. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.

  3. Clique com o botão direito do mouse no nó Controle de Alterações e, em seguida, clique em Novo GPO Controlado.

  4. Na caixa de diálogo Novo GPO Controlado:

    1. Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc.

    2. Digite MyGPO como nome do novo GPO.

    3. Digite um comentário para o novo GPO.

    4. Clique em Criar ao vivo para que o novo GPO seja implantado no ambiente de produção imediatamente após a aprovação. Clique em Enviar.

  5. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O novo GPO será exibido na guia Pendente.

Para aprovar a solicitação pendente para criar um GPO

  1. Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Aprovador no AGPM.

  2. Abra a caixa de entrada de emails da conta e observe que você recebeu uma mensagem de email do alias do AGPM com a solicitação do Editor para criar um GPO.

  3. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.

  4. Na guia Conteúdo, clique na guia Pendente para exibir os GPOs pendentes.

  5. Clique com o botão direito do mouse em MyGPO e, em seguida, clique em Aprovar.

  6. Clique em Sim para confirmar a aprovação da criação do GPO. O GPO será movido para a guia Controlado.

Segundo passo: Editar um GPO

Você pode usar GPOs para definir configurações de computador ou usuário e implantá-las em diversos computadores ou usuários. Neste passo, você usa uma conta com a função de Editor para fazer o check-out de um GPO do arquivo morto, editar o GPO offline, fazer check-in do GPO editado no arquivo morto e solicitar a implantação do GPO no ambiente de produção. Para este cenário, você define uma configuração no GPO para exigir que a senha tenha pelo menos oito caracteres.

Para fazer check-out do GPO do arquivo morto para edição

  1. Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Editor no AGPM.

  2. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.

  3. Na guia Conteúdo do painel de detalhes, clique na guia Controlado para exibir os GPOs controlados.

  4. Clique com o botão direito do mouse em MyGPO e, em seguida, clique em Check-out.

  5. Digite um comentário para ser exibido no histórico do GPO quando ele estiver no estado Em Check-out e clique em OK.

  6. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. Na guia Controlado, o estado do GPO é identificado como Em Check-out.

Para editar o GPO offline e configurar o comprimento mínimo da senha

  1. Na guia Controlado, clique com o botão direito do mouse em MyGPO e, em seguida, clique em Editar para abrir a janela do Editor de Gerenciamento da Diretiva de Grupo e fazer alterações em uma cópia offline do GPO. Nesse cenário, configure o tamanho mínimo da senha:

    1. Sob Configuração do Computador, clique duas vezes em Diretivas, Configurações do Windows, Configurações de Segurança, Diretivas de Conta e Diretiva de Senha.

    2. No painel de detalhes, clique duas vezes em Comprimento mínimo da senha.

    3. Na janela de propriedades, marque a caixa de seleção Definir a configuração da diretiva, defina o número de caracteres como 8 e clique em OK.

  2. Feche a janela Editor de Gerenciamento de Diretiva de Grupo.

Para fazer check-in do GPO no arquivo morto

  1. Na guia Controlado, clique com o botão direito do mouse em MyGPO e clique em Check-in.

  2. Digite um comentário e, em seguida, clique em OK.

  3. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. Na guia Controlado, o estado do GPO é identificado como Em Check-in.

Para solicitar a implantação do GPO no ambiente de produção

  1. Na guia Controlado, clique com o botão direito em MyGPO e, em seguida, clique em Implantar.

  2. Como esta conta não é um Aprovador ou Administrador do AGPM, será preciso enviar uma solicitação para implantação. Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc. Digite um comentário para ser exibido no histórico do GPO e clique em Enviar.

  3. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. MyGPO é exibido na lista de GPOs da guia Pendente.

Terceiro passo: Analisar e implantar um GPO

Neste passo, você age como Aprovador, criando relatórios e analisando as configurações e alterações em configurações do GPO para determinar se deve aprová-lo. Após avaliar o GPO, você o implanta no ambiente de produção e o vincula a um domínio ou unidade organizacional (UO) para que ele entre em vigor quando a Diretiva de Grupo for atualizada para computadores nesse domínio ou UO.

Para analisar configurações do GPO

  1. Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Aprovador no AGPM. (Qualquer administrador de Diretiva de Grupo com a função de Revisor, que está incluída em todas as outras funções, pode analisar as configurações de um GPO).

  2. Abra a caixa de entrada de emails da conta e observe que você recebeu uma mensagem de email do alias do AGPM com a solicitação de um Editor para implantar um GPO.

  3. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.

  4. Na guia Conteúdo do painel de detalhes, clique na guia Pendente.

  5. Clique duas vezes em MeuGPO para exibir seu histórico.

  6. Analise as configurações da versão mais recente de MyGPO:

    1. Na janela Histórico, clique com o botão direito do mouse na versão do GPO com o carimbo de data/hora mais recente, clique em Configurações e, em seguida, clique em Relatório HTML para exibir um resumo das configurações do GPO.

    2. No navegador da Web, clique em mostrar tudo para exibir todas as configurações do GPO. Feche o navegador.

  7. Compare a versão mais recente de MyGPO à primeira versão em check-in no arquivo morto:

    1. Na janela Histórico, clique na versão do GPO com o carimbo de data/hora mais recente. Pressione CTRL e clique na versão mais antiga do GPO para a qual a Versão do Computador não é *.

    2. Clique no botão Diferenças. A seção Diretivas de Conta/Diretiva de Senha está realçada em verde e precedida por [+], indicando que esta configuração está definida somente na última versão do GPO.

    3. Clique em Diretivas de Conta/Diretiva de Senha. A configuração Comprimento mínimo da senha também está realçada em verde e precedida por [+], indicando que ela está configurada somente na última versão do GPO.

    4. Feche o navegador da Web.

Para implantar o GPO no ambiente de produção

  1. Na guia Pendente, clique com o botão direito do mouse em MyGPO e, em seguida, clique em Aprovar.

  2. Digite um comentário a ser incluído no histórico do GPO.

  3. Clique em Sim. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O GPO é implantado no ambiente de produção.

Para vincular o GPO a um domínio ou unidade organizacional

  1. No GPMC, clique com o botão direito do mouse no domínio ou em uma UO à qual aplicar o GPO que você configurou e, em seguida, clique em Vincular um GPO existente.

  2. Na caixa de diálogo Selecionar GPO, clique em MyGPO e, em seguida, clique em OK.

Quarto passo: Usar um modelo para criar um GPO

Neste passo, você usa uma conta com a função de Editor para criar um modelo – uma versão estática e não editável de um GPO para uso como ponto de partida para a criação de novos GPOs – e depois criar um GPO com base nesse modelo. Modelos são úteis para a criação rápida de vários GPOs que incluam muitas das mesmas configurações.

Para criar um modelo com base em um GPO existente

  1. Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Editor no AGPM.

  2. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.

  3. Na guia Conteúdo do painel de detalhes, clique na guia Controlado.

  4. Clique com o botão direito em MyGPO e depois clique em Salvar como Modelo para criar um modelo que incorpore todas as configurações atualmente presentes em MyGPO.

  5. Digite MyTemplate como nome do modelo e um comentário e clique em OK.

  6. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O novo modelo aparecerá na guia Modelos.

Para solicitar a criação de um novo GPO gerenciado por meio do AGPM

  1. Clique na guia Controlado.

  2. Clique com o botão direito do mouse no nó Controle de Alterações e, em seguida, clique em Novo GPO Controlado.

  3. Na caixa de diálogo Novo GPO Controlado:

    1. Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc.

    2. Digite MyOtherGPO como nome do novo GPO.

    3. Digite um comentário para o novo GPO.

    4. Clique em Criar ao vivo para que o novo GPO seja implantado no ambiente de produção imediatamente após a aprovação.

    5. Para Do modelo do GPO, selecione MyTemplate. Clique em Enviar.

  4. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O novo GPO será exibido na guia Pendente.

Use uma conta à qual tenha sido atribuída a função de Aprovador para aprovar a solicitação pendente para criar o GPO como você fez no Primeiro passo: Criar um GPO. MyTemplate incorpora todas as configurações que você definiu em MyGPO. Como MyOtherGPO foi criado usando MyTemplate, ele contém inicialmente todas as configurações que MyGPO continha no momento da criação de MyTemplate. Você pode confirmar isto gerando um relatório de diferenças para comparar MyOtherGPO a MyTemplate.

Para fazer check-out do GPO do arquivo morto para edição

  1. Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Editor no AGPM.

  2. Clique com o botão direito do mouse em MyOtherGPO e, em seguida, clique em Check-out.

  3. Digite um comentário para ser exibido no histórico do GPO quando ele estiver no estado Em Check-out e clique em OK.

  4. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. Na guia Controlado, o estado do GPO é identificado como Em Check-out.

Para editar o GPO offline e configurar a duração do bloqueio de conta

  1. Na guia Controlado, clique com o botão direito do mouse em MyOtherGPO e, em seguida, clique em Editar para abrir a janela do Editor de Gerenciamento da Diretiva de Grupo e fazer alterações em uma cópia offline do GPO. Nesse cenário, configure o tamanho mínimo da senha:

    1. Sob Configuração do Computador, clique duas vezes em Diretivas, Configurações do Windows, Configurações de Segurança, Diretivas de Conta e Diretiva de bloqueio de conta.

    2. No painel de detalhes, clique duas vezes em Duração do bloqueio de conta.

    3. Na janela de propriedades, marque a caixa de seleção Definir a configuração da diretiva, defina a duração como 30 minutos e clique em OK.

  2. Feche a janela Editor de Gerenciamento de Diretiva de Grupo.

Faça check-in de MyOtherGPO no arquivo morto e solicite a implantação como você fez para MyGPO no Segundo passo: Editar um GPO. Você pode comparar MyOtherGPO a MyGPO ou a MyTemplate usando relatórios de diferenças. Qualquer conta que inclua a função de Revisor (Administrador [Controle total], Aprovador, Editor ou Revisor do AGPM) pode gerar relatórios.

Para comparar um GPO a outro GPO e a um modelo

  1. Para comparar MyGPO e MyOtherGPO:

    1. Na guia Controlado, clique em MyGPO. Pressione CTRL e clique em MyOtherGPO.

    2. Clique com o botão direito do mouse em MyOtherGPO, aponte para Diferenças e clique em Relatório HTML.

  2. Para comparar MyOtherGPO e MyTemplate:

    1. Na guia Controlado, clique em MyOtherGPO.

    2. Clique com o botão direito do mouse em MyOtherGPO, aponte para Diferenças e clique em Modelo.

    3. Selecione MyTemplate e Relatório HTML e clique em OK.

Quinto passo: Excluir e restaurar um GPO

Neste passo, você age como Aprovador para excluir um GPO.

Para excluir um GPO

  1. Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função de Aprovador.

  2. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.

  3. Na guia Conteúdo, clique na guia Controlado para exibir os GPOs controlados.

  4. Clique com o botão direito do mouse em MyGPO e clique em Excluir. Clique em Excluir GPO de arquivo morto e produção para excluir tanto a versão no arquivo morto quanto a versão implantada do GPO no ambiente de produção.

  5. Digite um comentário para ser exibido na trilha de auditoria do GPO e clique em OK.

  6. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O GPO é removido da guia Controlado e exibido na guia Lixeira, onde pode ser restaurado ou destruído.

Ocasionalmente, você pode descobrir depois de excluir um GPO que ele ainda é necessário. Neste passo, você age como Aprovador para restaurar um GPO que foi excluído.

Para restaurar um GPO excluído

  1. Na guia Conteúdo, clique na guia Lixeira para exibir GPOs excluídos.

  2. Clique com o botão direito do mouse em MyGPO e, em seguida, clique em Restaurar.

  3. Digite um comentário para ser exibido no histórico do GPO e clique em OK.

  4. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O GPO é removido da guia Lixeira e exibido na guia Controlado.

    Dica

    A restauração de um GPO no arquivo morto não o reimplanta automaticamente no ambiente de produção. Para que o GPO retorne ao ambiente de produção, você deve implantá-lo como no Terceiro passo: Analisar e implantar um GPO.

Depois de editar e implantar um GPO, você pode descobrir que alterações recentes no GPO estão causando um problema. Neste passo, você age como Aprovador para reverter para uma versão anterior do GPO. Você pode reverter para qualquer versão no histórico do GPO. Você pode usar comentários e rótulos para identificar versões boas conhecidas e quando alterações específicas foram feitas.

Para reverter para uma versão anterior de um GPO

  1. Na guia Conteúdo, clique na guia Controlado para exibir os GPOs controlados.

  2. Clique duas vezes em MeuGPO para exibir seu histórico.

  3. Clique com o botão direito do mouse na versão a ser implantada, clique em Implantar e, em seguida, clique em Sim.

  4. Quando a janela Progresso indicar que o progresso geral está concluído, clique em Fechar. Na janela Histórico, clique em Fechar.

    Dica

    Para verificar se a versão que foi reimplantada é a versão pretendida, examine um relatório de diferenças das duas versões. Na janela Histórico do GPO, selecione as duas versões, clique com o botão direito do mouse nelas, aponte para Diferença e clique em Relatório HTML ou em Relatório XML.

-----
É possível obter mais informações sobre o MDOP na Biblioteca do TechNet, pesquisar sobre solução de problemas no Wiki da TechNet ou nos seguir no Facebook ou Twitter.
-----