Visão Geral Técnica do AGPM
O Microsoft AGPM (Gerenciamento Avançado de Política de Grupo) é um aplicativo de cliente/servidor. O Servidor AGPM armazena o GPOs (Objetos de Política de Grupo) offline no arquivo morto criado pelo AGPM no sistema de arquivos do servidor. Os administradores de Diretiva de Grupo usam o snap-in do AGPM para o GPMC (Console de Gerenciamento de Política de Grupo) para trabalhar com os GPOs no servidor que hospeda o arquivo morto. Entender as partes do AGPM e os itens relacionados, como eles armazenam os GPOs no sistema de arquivos e como as permissões controlam as ações disponíveis para cada função de usuário pode melhorar a eficiência dos administradores de Diretiva de Grupo com o AGPM.
Terminologia
As informações a seguir explicam os termos básicos do AGPM.
Cliente AGPM: Computador que executa o snap-in do AGPM para o GPMC (Console de Gerenciamento de Política de Grupo) e a partir do qual os administradores de Diretiva de Grupo gerenciam os GPOs.
Snap-in do AGPM: Componente de software do AGPM instalado nos clientes AGPM para permitir o gerenciamento dos GPOs.
Servidor AGPM: Servidor que executa o AGPM Service e gerencia um arquivo morto. Cada Servidor AGPM pode gerenciar somente um arquivo morto, mas um Servidor AGPM pode gerenciar os dados de vários domínios em um arquivo morto. Um arquivo morto pode ser hospedado em um computador diferente do Servidor AGPM.
AGPM Service: Componente de software do AGPM executado no Servidor AGPM como um serviço. O serviço gerencia GPOs no arquivo morto e no ambiente de produção da floresta em questão.
Arquivo morto: No AGPM, um armazenamento central que contém os GPOs controlados que são gerenciados pelo Servidor AGPM associado, além do histórico de cada GPO. Isso inclui todas as versões controladas anteriores de cada GPO. Um arquivo morto consiste em um arquivo de índice e nos dados associados que podem incluir dados de GPOs em vários domínios. Um arquivo morto pode ser hospedado em um computador diferente do Servidor AGPM.
GPO controlado: GPO que está sendo gerenciado pelo AGPM. O AGPM gerencia o histórico e as permissões dos GPOs controlados, que são armazenados no arquivo morto.
GPO não controlado: Um GPO no ambiente de produção de um domínio que não é gerenciado pelo AGPM.
O que é instalado, criado e afetado pelo AGPM
No Servidor AGPM, o programa de instalação instala o AGPM Service. O AGPM não altera o esquema ou o serviço de diretório do Active Directory®. Por padrão, os arquivos de programa do Servidor AGPM são instalados em %ProgramFiles%\Microsoft\AGPM\Server. É possível instalar o AGPM Service em um controlador de domínio se necessário; no entanto, recomendamos instalar o AGPM Service em um servidor de membro.
Em um Cliente AGPM, o programa de instalação instala o snap-in do AGPM, adicionando uma pasta Controle de Alterações a cada domínio que aparece no GPMC. Por padrão, os arquivos de programa do Cliente AGPM são instalados em %ProgramFiles%\Microsoft\AGPM\Client.
A Tabela 1 descreve os itens instalados ou criados pelo AGPM e as partes do sistema operacional que afetam a operação do AGPM.
Tabela 1: Itens instalados, criados ou afetados pelo AGPM
| Item | Descrição |
|---|---|
AGPM Service |
O AGPM Service é executado no Servidor AGPM. O serviço gerencia o arquivo morto, que contém GPOs offline e GPOs controlados no ambiente de produção. A configuração padrão do AGPM Service é a seguinte:
|
Arquivo morto do AGPM |
Por padrão, o AGPM cria o arquivo morto em %ProgramData%\Microsoft\AGPM no Servidor AGPM. O arquivo morto armazena os GPOs offline e pode armazenar várias versões de cada GPO. As alterações feitas pelo AGPM nos GPOs do arquivo morto não afetam o ambiente de produção até que um Administrador AGPM ou Aprovador implante o GPO no ambiente de produção e vincule o GPO a uma unidade organizacional (OU). |
Firewall do Windows |
Durante a instalação, o AGPM habilita uma regra interna do Firewall do Windows que permite a comunicação do Cliente AGPM com o Servidor AGPM. A regra padrão do Firewall do Windows é a seguinte:
|
Servidor de email |
O AGPM usa o protocolo SMTP para enviar solicitações de email para os endereços configurados na guia Delegação de Domínios. Por exemplo, quando um Editor solicita a criação de um novo GPO, o AGPM notifica cada endereço de email especificado na guia Delegação de Domínios. |
Snap-in do AGPM |
O snap-in do AGPM para o GPMC é executado nos Clientes AGPM e usado pelos administradores de Diretiva de Grupo para gerenciar os GPOs. O snap-in aparece no GPMC como uma pasta Controle de Alterações em cada domínio. |
Referências Adicionais
Para obter mais informações sobre os arquivos instalados pelo AGPM, consulte o Guia de Planejamento do AGPM.
Arquivo morto
Por padrão, o processo de instalação do Servidor AGPM cria o arquivo morto no disco rígido local do Servidor AGPM em %ProgramData%\Microsoft\AGPM. No entanto, é possível alterar o caminho durante a instalação e até mesmo criar o arquivo morto em um servidor diferente do Servidor AGPM.
O arquivo morto contém uma subpasta para cada versão de cada GPO armazenado. O nome de cada subpasta é um GUID que identifica uma versão do GPO.
O arquivo gpostate.xml registra o estado de cada GPO. O arquivo é um manifesto que descreve o conteúdo do arquivo morto. Por exemplo, um GPO pode ter muitas versões e cada versão estará em sua própria subpasta no arquivo morto. O arquivo gpostate.xml indica quais subpastas contêm versões diferentes de um único GPO. Além disso, os modelos de GPO têm subpastas no arquivo morto, mas gpostate.xml indica que são modelos e GPOs não controlados. Similarmente, quando os administradores de Diretiva de Grupo excluem GPOs, o AGPM altera seus estados no gpostate.xml para indicar que estão na Lixeira, mas não remove realmente as subpastas dos GPOs do arquivo morto.
Aviso
Não edite manualmente o gpostate.xml nem os GPOs contidos no arquivo morto. Essas informações são fornecidas somente para esclarecer o funcionamento do arquivo morto do AGPM. Em vez disso, use o snap-in do AGPM para alterar os GPOs.
Ao criar o arquivo morto, o AGPM fornece Controle Total para SYSTEM, Administradores e a conta do AGPM Service (especificada na instalação do Servidor AGPM). Alterar as permissões usando a interface de usuário do AGPM no snap-in do AGPM não altera as permissões no arquivo morto porque a conta do AGPM Service executa todas as operações em nome do usuário conectado.
Referências Adicionais
Para obter informações sobre como fazer backup do arquivo morto, restaurar o arquivo morto a partir de um backup ou mover o Servidor AGPM e o arquivo morto, consulte a seção "Executando Tarefas do Administrador do AGPM" no Guia de Operações do AGPM.
Funções e permissões
As funções simplificam a delegação. Em vez de atribuir permissões detalhadas aos administradores de Diretiva de Grupo, o Administradores AGPM pode atribuir uma de quatro funções para permitir que esses administradores executem a tarefa relacionada à função:
Administrador AGPM: Os administradores de Diretiva de Grupo designados com a função Administrador AGPM (Controle Total) podem executar qualquer tarefa no AGPM. O Administradores AGPM pode configurar opções de domínio e delegar permissões para outros administradores de Diretiva de Grupo.
Aprovador: Os administradores de Diretiva de Grupo designados com a função Aprovador podem implantar os GPOs no ambiente de produção de um domínio. Os aprovadores também podem criar e excluir GPOs e aprovar ou rejeitar solicitações dos Editores. Os aprovadores podem visualizar a lista dos GPOs de um domínio, visualizar as configurações de diretiva dos GPOs, além de criar e visualizar relatórios das configurações de diretiva de um GPO. Eles não podem editar as configurações de diretiva dos GPOs, a não ser que também tenham a função Editor.
Editor: Os administradores de Diretiva de Grupo designados com a função Editor podem visualizar a lista dos GPOs de um domínio, visualizar as configurações de diretiva dos GPOs, editar as configurações de diretiva dos GPOs e criar e visualizar relatórios das configurações de diretiva de um GPO. A não ser que tenham também a função Aprovador, os editores não podem criar, implantar ou excluir GPOs. No entanto, eles podem solicitar a criação, a implantação ou a exclusão dos GPOs.
Revisor: Os administradores de Diretiva de Grupo designados com a função Revisor podem visualizar a lista dos GPOs em um domínio e criar e visualizar relatórios das configurações de diretiva de um GPO. A não ser que também tenham a função Editor, eles não podem editar as configurações de diretiva de um GPO.
O AGPM fornece aos Administradores AGPM flexibilidade para configurar permissões em um nível mais detalhado do que as funções usando o snap-in do AGPM. A Tabela 2 descreve essas permissões e indica as permissões concedidas por padrão a cada função.
| Permissão | Descrição | Administrador AGPM | Aprovador | Editor | Revisor |
|---|---|---|---|---|---|
Controle Total |
Tem todas as permissões. |
Sim |
|||
Criar GPO |
Cria GPOs em um domínio. |
Sim |
Sim |
||
Listar Conteúdo |
Lista os GPOs em um domínio. |
Sim |
Sim |
Sim |
Sim |
Configurações de Leitura |
Lê as configurações de diretiva de um GPO. |
Sim |
Sim |
Sim |
Sim |
Editar Configurações |
Altera as configurações de diretiva de um GPO. |
Sim |
Sim |
||
Excluir GPO |
Exclui um GPO. |
Sim |
Sim |
||
Modificar Segurança |
Delega acesso no nível do domínio, delega acesso a um único GPO e delega acesso ao ambiente de produção. |
Sim |
|||
Implantar GPO |
Implanta um GPO do arquivo morto no ambiente de produção. |
Sim |
Sim |
||
Criar Modelo |
Cria um modelo de GPO no AGPM. |
Sim |
Sim |
||
Modificar Opções |
Configura a notificação de email do AGPM e limita as versões de GPO armazenadas no arquivo morto. |
Sim |
|||
Exportar GPO |
Exporta um GPO para um arquivo. |
Sim |
Sim |
||
Importar GPO |
Importa um GPO de um arquivo. |
Sim |
Sim |
Dica
As permissões Exportar GPO e Importar GPO não estão disponíveis no AGPM 3.0 ou 2.5.
A possibilidade de delegar acesso aos GPOs no ambiente de produção para um domínio e a possibilidade de limitar um número de versões de GPO armazenadas não estão disponíveis no AGPM 2.5.Referências Adicionais
Para obter informações sobre as tarefas que podem ser executadas pelos administradores de Diretiva de Grupo designados com uma determinada função ou sobre as permissões necessárias para executar uma tarefa específica, consulte o Guia de Operações do AGPM.
-----
É possível obter mais informações sobre o MDOP na Biblioteca do TechNet, pesquisar sobre solução de problemas no Wiki da TechNet ou nos seguir no Facebook ou Twitter.
-----