Пошаговое руководство по работе со службой Microsoft Advanced Group Policy Management 4.0

  • Статья

В данном пошаговом руководстве описаны дополнительные методики управления групповыми политиками с использованием Консоль управления групповыми политиками и Microsoft Расширенное управление групповыми политиками. AGPM расширяет возможности консоли управления групповыми политиками и предоставляет следующее.

  • Стандартные роли для делегирования прав на управление Объекты групповой политики (GPO) нескольким администраторам групповых политик, а также возможность делегирования прав доступа к объектам групповой политики в производственной среде.

  • Архив, который позволяет администраторам групповых политик автономно создавать и изменять объекты групповой политики перед развертыванием объектов групповой политики в производственной среде.

  • Возможность отката до любой более ранней версии объекта групповой политики из архива и ограничения количества хранимых в архиве версий.

  • Возможность извлечения и возврата объектов групповой политики во избежание случайной перезаписи администраторами групповых политик результатов работы друг друга.

  • Возможность осуществлять поиск объектов групповой политики с определенными атрибутами и фильтровать список отображаемых объектов групповой политики.

Обзор сценария AGPM

В данном сценарии для демонстрации процедуры управления групповыми политиками в среде с несколькими администраторами, обладающими правами различных уровней, для каждой роли в службе AGPM будет использоваться отдельная учетная запись пользователя. В частности сценарий включает выполнение описанных ниже задач.

  • Установка сервера AGPM с использованием учетной записи, входящей в группу администраторов домена, и назначение учетной записи или группе роли Администратор расширенного управления групповыми политиками.

  • Установка клиента AGPM с использованием учетных записей, которым будут назначены роли AGPM.

  • Настройка AGPM с использованием учетной записи, которой назначена роль Администратор расширенного управления групповыми политиками, и делегирование прав доступа к объектам групповой политики путем назначения ролей другим учетным записям.

  • Используйте учетную запись с ролью редактора для запроса создания нового объекта групповой политики, который потом будет одобрен с помощью учетной записи, которой назначена роль утверждающего. Используйте учетную запись с ролью редактора для извлечения объекта групповой политики из архива, редактирования объекта групповой политики в архиве, возврата объекта групповой политики в архив и затем выполнение запроса на развертывание.

  • Проверка объекта групповой политики с использованием учетной записи, которой назначена роль утверждающего, и его развертывание в используемой производственной среде.

  • Создание шаблона объектов групповой политики с использованием учетной записи, которой назначена роль редактора, и использование его при создании нового объекта групповой политики.

  • Удаление и восстановление объекта групповой политики с использованием учетной записи, которой назначена роль утверждающего.

Процесс разработки объекта групповой политики

Требования

Компьютеры, на которые будет установлена служба AGPM, должны удовлетворять перечисленным ниже требованиям. Кроме того, для выполнения данного сценария необходимо создать учетные записи.

Примечание

Если на компьютере установлена служба AGPM 2.5 и выполняется обновление системы Windows Server® 2003 до Windows Server 2008 R2 или Windows Server 2008, либо выполняется обновление системы Windows Vista®, в которой не установлены пакеты обновления, до Windows 7 или Windows Vista™ с пакетом обновления 1 (SP1), то, чтобы обновить службу до версии AGPM 4.0, сначала необходимо выполнить обновление операционной системы.

Если установлена служба AGPM 3.0, нет необходимости обновлять операционную систему перед обновлением до AGPM 4.0

В смешанной среде, которая включает как более новую версию, так и более позднюю версию операционной системы, существуют некоторые ограничения по функциональности, как указано в таблице ниже.

Операционная система с сервером AGPM 4.0 Операционная система с клиентом AGPM 4.0 Состояние поддержки AGPM 4.0

Windows Server 2008 R2 или Windows 7

Windows Server 2008 R2 или Windows 7

Поддерживается

Windows Server 2008 R2 или Windows 7

Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1)

Поддерживается, но нет возможности редактировать параметры или элементы предпочтения политики, которые существуют только в Windows Server 2008 R2 или Windows 7

Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1)

Windows Server 2008 R2 или Windows 7

Не поддерживается

Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1)

Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1)

Поддерживается, но нет возможности отправлять отчеты или редактировать параметры или элементы предпочтения политики, которые существуют только в Windows Server 2008 R2 или Windows 7

Требования к серверу AGPM

Для сервера AGPM 4.0 требуется Windows Server 2008 R2, Windows Server 2008, Windows 7 и консоль управления групповыми политиками из Средства удаленного администрирования сервера (RSAT) либо Windows Vista с пакетом обновления 1 (SP1) и консоль управления групповыми политиками из установленного средства удаленного администрирования сервера. Поддерживаются как 32-разрядная, так и 64-разрядная версии.

Чтобы установить сервер AGPM, необходимо быть участником группы администраторов домена. Кроме того, в системе Windows должны присутствовать перечисленные ниже компоненты, если не указано иное.

  • Консоль управления групповыми политиками

  • .NET Framework 3.5 или более поздние версии

    • Windows Server 2008 R2 или Windows 7. Если платформа .NET Framework 3.5 или более поздней версии не установлена, .NET Framework 3.5 автоматически устанавливается службой AGPM.

    • Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1). Перед установкой службы AGPM необходимо установить платформу .NET Framework 3.5 или более поздней версии.

Для работы сервера AGPM требуются перечисленные ниже компоненты Windows, которые в случае отсутствия будут установлены автоматически.

  • Активация WCF; Не-HTTP активация

  • Служба активации процессов Windows

    • Модель процесса

    • Среда .NET

    • API-интерфейсы конфигурации

Требования клиента AGPM

Для клиента AGPM 4.0 требуются Windows Server 2008 R2, Windows Server 2008, Windows 7 и консоль управления групповыми политиками из средства удаленного администрирования сервера либо Windows Vista с пакетом обновления 1 (SP1) и консоль управления групповыми политиками из установленного средства удаленного администрирования сервера. Поддерживаются как 32-разрядная, так и 64-разрядная версии. Клиент AGPM можно установить на компьютере, на котором установлен сервер AGPM.

Ниже перечислены компоненты системы Windows, необходимые для работы клиента AGPM. В случае их отсутствия они будут установлены автоматически, если не указано иное.

  • Консоль управления групповыми политиками

  • .NET Framework 3.0 или более поздней версии

    • Windows Server 2008 R2 или Windows 7. Если платформа .NET Framework 3.0 или более поздней версии не установлена, .NET Framework 3.5 автоматически устанавливается службой AGPM.

    • Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1). Если платформа .NET Framework 3.0 или более поздней версии не установлена, .NET Framework 3.0 автоматически устанавливается службой AGPM.

Требования к сценарию

Прежде чем приступить к выполнению этого сценария, создайте четыре учетные записи пользователей. В процессе работы каждой из этих учетных записей будет назначена одна из следующих ролей AGPM: Администратор расширенного управления групповыми политиками (полный доступ), утверждающий, редактор и проверяющий. Для этих учетных записей должны быть определены права отправки и получения сообщений электронной почты. Назначьте учетным записям, для которых определены роли Администратор расширенного управления групповыми политиками, утверждающего и (дополнительно) редактора AGPM, разрешение Связывать объекты групповой политики.

Примечание

Разрешение Связывать объекты групповой политики назначается членам группы администраторов домена и администраторов предприятия по умолчанию. Чтобы назначить разрешение Связывать объекты групповой политики дополнительным пользователям или группам (например, учетным записям, для которых определена роль Администратор расширенного управления групповыми политиками или утверждающего AGPM), щелкните узел домена, а затем перейдите на вкладку Делегирование, выберите Связывать объекты групповой политики, нажмите кнопку Добавить и выберите пользователей или группы, которым необходимо назначить разрешение.

Установка и настройка AGPM

Чтобы установить и настроить AGPM, необходимо выполнить следующие действия.

Шаг 1. Установка сервера AGPM

Шаг 2. Установка клиента AGPM

Шаг 3. Настройка подключения к серверу AGPM

Шаг 4. Настройка уведомления по электронной почте

Шаг 5. Делегирование прав доступа

Шаг 1. Установка сервера AGPM

В данном шаге сервер AGPM устанавливается на контроллере домена или на рядовом сервере, на котором будет работать служба AGPM, а также выполняется настройка архива. Управление всеми операциями AGPM осуществляется с помощью этой службы Windows, а для их выполнения используются ее учетные данные. Архив, управление которым осуществляется с помощью сервера AGPM, можно разместить на этом сервере или на другом сервере в том же лесу.

Чтобы установить сервер AGPM на компьютере, на котором будет размещена служба AGPM, выполните следующие действия.

  1. Войдите в систему под учетной записью, входящей в группу администраторов домена.

  2. Запустите компакт-диск с пакетом Microsoft Desktop Optimization Pack и, следуя инструкциям на экране, выберите Сервер Advanced Group Policy Management.

  3. В начальном диалоговом окне нажмите кнопку Далее.

  4. В диалоговом окне Лицензионное соглашение Майкрософт примите условия соглашения, а затем нажмите кнопку Далее.

  5. В диалоговом окне Путь приложения выберите папку для установки сервера AGPM. Компьютер, на котором установлен сервер AGPM, будет использоваться для размещения службы AGPM и управления архивом. Нажмите кнопку Далее.

  6. В диалоговом окне Путь архива выберите местоположение для архива относительно сервера AGPM. Путь к архиву может указывать на папку на сервере AGPM или в другом месте. Однако необходимо выбрать такое местоположение, где достаточно места для хранения объектов групповой политики и данных журнала, управление которыми осуществляется сервером AGPM. Нажмите кнопку Далее.

  7. В диалоговом окне Учетная запись службы выберите учетную запись службы, под которой будет запускаться служба AGPM, а затем нажмите кнопку Далее.

    Эта учетная запись должна быть либо членом группы «Администраторы домена» либо, для настройки минимальных прав, членом одной из указанных ниже групп в каждом домене, управляемым сервером AGPM.

    • Создатели-владельцы групповой политики

    • Операторы архива

    Также для этой учетной записи требуется разрешение «Полный доступ» для указанных ниже папок.

    • Папка архива AGPM, для которой автоматически предоставляются разрешения во время установки сервера AGPM, если он устанавливается на локальном диске.

    • Временная папка локальной системы, обычно %windir%\temp.

  8. В диалоговом окне Владелец архива выберите учетную запись или группу, которой назначена роль Администратор расширенного управления групповыми политиками (полный доступ). Администраторы расширенного управления групповыми политиками может назначить роли AGPM и разрешения другим администраторам групповых политик таким образом, чтобы иметь возможность позже назначить Администратор расширенного управления групповыми политиками дополнительным администраторам групповых политик. В данном сценарии выберите учетную запись для использования в качестве Администратор расширенного управления групповыми политиками. Нажмите кнопку Далее.

  9. В диалоговом окне Конфигурация порта введите порт, с которым должна работать служба AGPM. Флажок Добавить исключение порта в брандмауэр следует снять только в том случае, если исключения для порта настроены вручную или используются правила настройки исключений. Нажмите кнопку Далее.

  10. В диалоговом окне Языки выберите один или несколько языков отображения для сервера AGPM.

  11. Нажмите кнопку Установить, а затем кнопку Готово для завершения работы мастера установки.

    Предупреждение

    Для изменения параметров службы AGPM не следует использовать инструмент Службы группы Администрирование панели управления в операционной системе. В этом случае запуск службы AGPM может оказаться невозможным. Для получения дополнительных сведений об изменении параметров службы см. справку службы Advanced Group Policy Management.

Шаг 2. Установка клиента AGPM

На компьютерах администраторов групповых политик (тех, кто выполняет операции создания, редактирования, внедрения, проверки или удаления объектов групповой политики), которые используются для управления объектами групповой политики, должен быть установлен клиент AGPM. Узел "Управление изменениями", который используется для выполнения многих задач управления объектами групповой политики, отображается в консоли управления групповыми политиками, только если установлен клиент AGPM. Для данного сценария клиент AGPM необходимо установить хотя бы на один компьютер. Клиент AGPM не нужно устанавливать на компьютеры конечных пользователей, которые не выполняют операции администрирования групповых политик.

Чтобы установить клиент AGPM на компьютер администратора групповых политик, выполните следующие действия.

  1. Запустите компакт-диск с пакетом Microsoft Desktop Optimization Pack и, следуя инструкциям на экране, выберите Клиент Advanced Group Policy Management.

  2. В начальном диалоговом окне нажмите кнопку Далее.

  3. В диалоговом окне Лицензионное соглашение Майкрософт примите условия соглашения, а затем нажмите кнопку Далее.

  4. В диалоговом окне Путь приложения выберите папку для установки клиента AGPM. Нажмите кнопку Далее.

  5. В диалоговом окне Сервер AGPM введите DNS-имя или IP-адрес для сервера AGPM и порт, к которому необходимо подключиться. По умолчанию для службы AGPM используется порт 4600. Флажок Разрешить консоль управления Microsoft в брандмауэре следует снять только в том случае, если исключения для порта настроены вручную или используются правила настройки исключений. Нажмите кнопку Далее.

  6. В диалоговом окне Языки выберите один или несколько языков отображения для клиента AGPM.

  7. Нажмите кнопку Установить, а затем кнопку Готово для завершения работы мастера установки.

Шаг 3. Настройка подключения к серверу AGPM

AGPM сохраняет все версии каждого управляемого Объект групповой политики (GPO), который находится в центральном архиве (каждый объект групповой политики, для которого AGPM обеспечивает управление изменениями). Это позволяет администраторам групповых политик просматривать и изменять объекты групповой политики в автономном режиме без немедленного изменения развернутой версии каждого объекта.

В данном шаге выполняется настройка подключения к серверу AGPM и обеспечивается подключение всех администраторов групповых политик к одному серверу AGPM. (для получения дополнительных сведений о настройке нескольких серверов AGPM см. справку службы Advanced Group Policy Management).

Чтобы настроить подключение к серверу AGPM для всех администраторов групповых политик, выполните следующие действия.

  1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, выбранной в качестве владельца архива. Этому пользователю назначена роль Администратор расширенного управления групповыми политиками (полный доступ).

  2. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Управление групповой политикой, чтобы открыть консоль управления групповыми политиками.

  3. Отредактируйте объект групповой политики, который применяется ко всем администраторам групповых политик.

  4. В окне редактора управления групповыми политиками дважды щелкните Конфигурация пользователя, Политики, Административные шаблоны, Компоненты Windows и AGPM.

  5. На панели подробностей дважды щелкните AGPM: Указать сервер AGPM по умолчанию (все домены).

  6. В окне Свойства выберите Включено и введите DNS-имя или IP-адрес и порт (например, server.contoso.com:4600) для сервера, на котором размещен архив. По умолчанию для службы AGPM используется порт 4600.

  7. Нажмите кнопку ОК, а затем закройте окно редактора управления групповыми политиками. При обновлении групповой политики подключение к серверу AGPM необходимо настроить для каждого администратора групповых политик.

Шаг 4. Настройка уведомления по электронной почте

Для утверждающих и Администраторы расширенного управления групповыми политиками, которым при попытке редактора создать, выполнить развертывание или удалить объект групповой политики направляется сообщение электронной почты с запросом, адреса электронной почты назначает Администратор расширенного управления групповыми политиками (полный доступ). Он также определяет псевдоним, под которым отправляются сообщения.

Чтобы настроить уведомление по электронной почте для AGPM, выполните следующие действия.

  1. На панели подробностей дважды щелкните вкладку Делегирование домена.

  2. В поле Адрес эл. почты отправителя введите псевдоним электронной почты для AGPM, под которым будут отправляться уведомления.

  3. В поле Адрес эл. почты получателя введите адрес электронной почты для учетной записи пользователя, для которой планируется назначить роль утверждающего.

  4. В поле SMTP-сервер введите допустимый почтовый SMTP-сервер.

  5. В полях Имя пользователя и Пароль введите учетные данные пользователя с правами доступа к службе SMTP. Нажмите кнопку Применить.

Шаг 5. Делегирование прав доступа

Администратор расширенного управления групповыми политиками (полный доступ) может делегировать права доступа к объектам групповой политики на уровне домена путем назначения ролей учетным записям администраторов групповых политик.

Примечание

Он также может делегировать права доступа на уровне объекта групповой политики, а не на уровне домена. Для получения дополнительных сведений см. справку службы Advanced Group Policy Management.

Важно!

Необходимо ограничить число пользователей, входящих в группу владельцев-создателей групповой политики, чтобы злоумышленники не смогли воспользоваться возможностью управления доступом к объектам групповой политики с помощью AGPM. (В консоли управления групповыми политиками выберите элемент Объекты групповой политики в лесу и домене, где требуется управление объектами групповой политики, щелкните Делегирование, а затем настройте параметры в соответствии с потребностями организации.)

Чтобы делегировать права доступа ко всем объектам групповой политики в домене, выполните следующие действия.

  1. На вкладке Делегирование домена нажмите кнопку Добавить, выберите учетную запись администратора групповых политик, которая будет использоваться в качестве утверждающего, а затем нажмите кнопку ОК.

  2. В диалоговом окне Добавление группы или пользователя выберите роль Утверждающий для назначения ее учетной записи, а затем нажмите кнопку ОК. (Эта роль также включает роль проверяющего.)

  3. Нажмите кнопку Добавить, выберите учетную запись администратора групповых политик, которая будет использоваться в качестве редактора, а затем нажмите кнопку ОК.

  4. В диалоговом окне Добавление группы или пользователя выберите роль Редактор для назначения ее учетной записи, а затем нажмите кнопку ОК. (Эта роль также включает роль проверяющего.)

  5. Нажмите кнопку Добавить, выберите учетную запись администратора групповых политик, которая будет использоваться в качестве проверяющего, а затем нажмите кнопку ОК.

  6. В диалоговом окне Добавление группы или пользователя выберите роль Проверяющий для назначения учетной записи только этой роли.

Управление объектами групповой политики

Чтобы создать, отредактировать, проверить и выполнить развертывание объектов групповой политики с помощью AGPM, необходимо выполнить приведенные ниже действия. Кроме того, далее рассматривается процедура создания шаблона, удаления объекта групповой политики и восстановления удаленного объекта.

Шаг 1. Создание объекта групповой политики

Шаг 2. Редактирование объекта групповой политики

Шаг 3. Проверка и развертывание объекта групповой политики

Шаг 4. Использование шаблона для создания объекта групповой политики

Шаг 5. Удаление и восстановление объекта групповой политики

Шаг 1. Создание объекта групповой политики

В среде с несколькими администраторами групповых политик администраторы с ролью редактора могут запрашивать создание новых объектов групповой политики. Однако этот запрос должен быть утвержден каким-либо пользователем с ролью утверждающего.

В данном шаге запрос на создание нового объекта групповой политики выполняется с использованием учетной записи, которой назначена роль редактора. Этот запрос на создание объекта групповой политики утверждается с использованием учетной записи, которой назначена роль утверждающего.

Чтобы отправить запрос на создание нового объекта групповой политики и управление им с помощью AGPM, выполните следующие действия.

  1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой в AGPM назначена роль редактора.

  2. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

  3. Щелкните правой кнопкой мыши узел Изменение управления, а затем выберите элемент Новый управляемый объект групповой политики.

  4. В диалоговом окне Новый управляемый объект групповой политики:

    1. Введите адрес электронной почты в поле Копия, чтобы получить копию запроса.

    2. В качестве имени для нового объекта групповой политики введите MyGPO.

    3. Введите комментарий для нового объекта групповой политики.

    4. Выберите параметр Создать интерактивный, чтобы развертывание объекта групповой политики в производственной среде выполнялось сразу после утверждения. Нажмите кнопку Отправить.

  5. Когда в окне Выполнение AGPM будет указано, что процесс завершен, нажмите кнопку Закрыть. Новый объект групповой политики отображается на вкладке В ожидании.

Чтобы утвердить отложенный запрос на создание объекта групповой политики, выполните следующие действия.

  1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой в AGPM назначена роль утверждающего.

  2. Откройте папку входящих сообщений ящика электронной почты, определенного для этой учетной записи, и найдите в ней сообщение, отправленное под псевдонимом AGPM, с запросом редактора на создание объекта групповой политики.

  3. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

  4. На вкладке Содержание выберите вкладку В ожидании, чтобы отобразить отложенные объекты групповой политики.

  5. Щелкните правой кнопкой мыши MyGPO, а затем выберите пункт Утвердить.

  6. Нажмите кнопку Да, чтобы подтвердить утверждение и переместить объект групповой политики на вкладку Управляемые.

Шаг 2. Редактирование объекта групповой политики

Объекты групповой политики можно использовать для настройки компьютера или параметров пользователя. Развертывание этих объектов можно выполнять на нескольких компьютерах и для различных пользователей. В данном шаге объект групповой политики извлекается из архива с использованием учетной записи, для которой назначена роль редактора, далее выполняется редактирование объекта в автономном режиме и его возврат в архив, а затем отправляется запрос на развертывание объекта групповой политики в производственной среде. Для данного сценария в объекте групповой политики необходимо настроить параметр, в соответствии с которым пароль должен быть не менее восьми символов.

Чтобы извлечь объект групповой политики из архива для редактирования, выполните следующие действия.

  1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой в AGPM назначена роль редактора.

  2. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

  3. На панели подробностей вкладки Содержание выберите вкладку Управляемые, чтобы отобразить управляемые объекты групповой политики.

  4. Щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Извлечь.

  5. Введите комментарий, который должен отображаться в журнале объекта групповой политики, когда он извлечен из архива, а затем нажмите кнопку ОК.

  6. Когда в окне Выполнение AGPM будет указано, что процесс завершен, нажмите кнопку Закрыть. На вкладке Управляемые для объекта групповой политики будет указано состояние Извлечен.

Чтобы отредактировать объект групповой политики в автономном режиме и настроить минимальную длину пароля, выполните следующие действия.

  1. На вкладке Управляемые щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Правка, чтобы открыть окно редактора управления групповыми политиками и внести изменения в автономную копию объекта групповой политики. Для данного сценария следует настроить минимальную длину пароля.

    1. В папке Конфигурация компьютера дважды щелкните Политики, Конфигурация Windows, Параметры безопасности, Политики учетных записей и Политика паролей.

    2. На панели подробностей дважды щелкните элемент Минимальная длина пароля.

    3. В окне свойств установите флажок Определить следующий параметр политики, установите количество символов, равное 8, а затем нажмите кнопку ОК.

  2. Закройте окно редактора управления групповыми политиками.

Чтобы вернуть объект групповой политики в архив, выполните следующие действия.

  1. На вкладке Управляемые щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Возвратить.

  2. Введите комментарий, а затем нажмите кнопку ОК.

  3. Когда в окне Выполнение AGPM будет указано, что процесс завершен, нажмите кнопку Закрыть. На вкладке Управляемые для объекта групповой политики будет указано состояние Возвращен.

Чтобы отправить запрос на развертывание объекта групповой политики в производственной среде, выполните следующие действия.

  1. На вкладке Управляемые щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Развернуть.

  2. Поскольку эта учетная запись не обладает правами утверждающего или Администратор расширенного управления групповыми политиками, необходимо отправить запрос на развертывание. Введите адрес электронной почты в поле Копия, чтобы получить копию запроса. Введите комментарий, который должен отображаться в журнале объекта групповой политики, а затем нажмите кнопку Отправить.

  3. Когда в окне Выполнение AGPM будет указано, что процесс завершен, нажмите кнопку Закрыть. Объект MyGPO отображается в списке объектов групповой политики на вкладке В ожидании.

Шаг 3. Проверка и развертывание объекта групповой политики

В данном шаге для принятия решения об утверждении объекта групповой политики, используя учетную запись утверждающего, необходимо создать отчеты и проанализировать параметры объекта и их изменения. После проведения оценки следует выполнить развертывание объекта групповой политики в производственной среде и установить связь между объектом и доменом или подразделением. Объект групповой политики вступает в силу при обновлении групповой политики для компьютеров, входящих в этот домен или подразделение.

Чтобы проверить параметры в объекте групповой политики, выполните следующие действия.

  1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой в AGPM назначена роль утверждающего. Параметры в объекте групповой политики может проверить администратор групповых политик, которому назначена роль проверяющего. Права проверяющего предоставляются администратору и при назначении любой другой роли.

  2. Откройте папку входящих сообщений ящика электронной почты, определенного для этой учетной записи, и найдите в ней сообщение, отправленное под псевдонимом AGPM, с запросом редактора на создание объекта групповой политики.

  3. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

  4. На панели подробностей вкладки Содержание выберите вкладку В ожидании.

  5. Дважды щелкните объект MyGPO, чтобы отобразить журнал.

  6. Проверьте параметры самой последней версии MyGPO.

    1. В окне Журнал щелкните правой кнопкой мыши версию объекта групповой политики, созданную последней, выберите пункт Параметры, а затем щелкните Отчет в формате HTML, чтобы отобразить сводку параметров, содержащихся в этом объекте.

    2. В веб-обозревателе щелкните показать все, чтобы отобразить все параметры объекта групповой политики. Закройте веб-обозреватель.

  7. Сравните последнюю версию объекта MyGPO с первой версией, которая была помещена в архив.

    1. В окне Журнал выберите версию объекта групповой политики, созданную последней. Нажмите клавишу CTRL и выберите самую раннюю версию объекта групповой политики, для которой в качестве версии компьютера указано значение, отличное от *.

    2. Нажмите кнопку Различия. Перед разделом Политики учетных записей/Политика паролей, который будет выделен зеленым цветом, появится значок [+]. Это указывает на то, что данный параметр настроен только в последней версии объекта групповой политики.

    3. Щелкните Политики учетных записей/Политика паролей. Аналогично, зеленым цветом будет выделен параметр Минимальная длина пароля, перед которым также появится значок [+] как указание на то, что параметр настроен только в последней версии объекта групповой политики.

    4. Закройте веб-обозреватель.

Чтобы выполнить развертывание объекта групповой политики в производственной среде, выполните следующие действия.

  1. На вкладке В ожидании щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Утвердить.

  2. Введите комментарий для добавления в журнал объекта групповой политики.

  3. Нажмите кнопку Да. Когда в окне Выполнение AGPM будет указано, что процесс завершен, нажмите кнопку Закрыть. Развертывание объекта групповой политики в производственной среде будет выполнено.

Чтобы установить связь между объектом групповой политики и доменом или подразделением, выполните следующие действия.

  1. В консоли управления групповыми политиками щелкните правой кнопкой мыши домен или подразделение, к которым требуется применить настроенный объект групповой политики, и выберите пункт Связать существующий объект групповой политики.

  2. В диалоговом окне Выбор объекта групповой политики выберите объект MyGPO, а затем нажмите кнопку ОК.

Шаг 4. Использование шаблона для создания объекта групповой политики

В данном шаге создание и использование шаблона выполняется с использованием учетной записи, которой назначена роль редактора. Шаблон является статической версией объекта групповой политики, которая является начальной точкой для создания новых объектов групповой политики. Хотя вы не можете редактировать шаблон, можно создать новый объект групповой политики на основе данного шаблона. Шаблоны помогают быстро создавать несколько объектов групповой политики, многие параметры политики которых совпадают.

Чтобы создать шаблон на основе существующего объекта групповой политики, выполните следующие действия.

  1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой в AGPM назначена роль редактора.

  2. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

  3. На панели подробностей вкладки Содержание выберите вкладку Управляемые.

  4. Щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Сохранить как шаблон, чтобы создать шаблон, включающий все текущие параметры объекта MyGPO.

  5. Введите MyTemplate в качестве имена шаблона и комментария, а затем нажмите кнопку ОК.

  6. Когда в окне Выполнение AGPM будет указано, что процесс завершен, нажмите кнопку Закрыть. Новый шаблон появится на вкладке Шаблоны.

Чтобы отправить запрос на создание нового объекта групповой политики и управление им с помощью AGPM, выполните следующие действия.

  1. Выберите вкладку Управляемые.

  2. Щелкните правой кнопкой мыши узел Изменение управления, а затем выберите элемент Новый управляемый объект групповой политики.

  3. В диалоговом окне Новый управляемый объект групповой политики:

    1. Введите адрес электронной почты в поле Копия, чтобы получить копию запроса.

    2. В качестве имени для нового объекта групповой политики введите MyOtherGPO.

    3. Введите комментарий для нового объекта групповой политики.

    4. Выберите параметр Создать интерактивный, чтобы развертывание объекта групповой политики в производственной среде выполнялось сразу после утверждения.

    5. В списке Из шаблона объектов групповой политики выберите MyTemplate. Нажмите кнопку Отправить.

  4. Когда в окне Выполнение AGPM будет указано, что процесс завершен, нажмите кнопку Закрыть. Новый объект групповой политики отображается на вкладке В ожидании.

Для утверждения отложенного запроса и создания объекта групповой политики используйте учетную запись, которой назначена роль утверждающего. См. Шаг 1. Создание объекта групповой политики. Шаблон MyTemplate включает все параметры, настроенные в объекте MyGPO. Поскольку объект MyOtherGPO создан на основе шаблона MyTemplate, он изначально содержит все параметры, настроенные в MyGPO на момент создания шаблона MyTemplate. В этом можно убедиться, если сравнить объект MyOtherGPO и шаблон MyTemplate, создав отчет о различиях.

Чтобы извлечь объект групповой политики из архива для редактирования, выполните следующие действия.

  1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой в AGPM назначена роль редактора.

  2. Щелкните правой кнопкой мыши объект MyOtherGPO, а затем выберите пункт Извлечь.

  3. Введите комментарий, который должен отображаться в журнале объекта групповой политики, когда он извлечен из архива, а затем нажмите кнопку ОК.

  4. Когда в окне Выполнение AGPM будет указано, что процесс завершен, нажмите кнопку Закрыть. На вкладке Управляемые для объекта групповой политики будет указано состояние Извлечен.

Чтобы отредактировать объект групповой политики в автономном режиме и настроить продолжительность блокировки учетной записи, выполните следующие действия.

  1. На вкладке Управляемые щелкните правой кнопкой мыши объект MyOtherGPO, а затем выберите пункт Правка, чтобы открыть окно редактора управления групповыми политиками и внести изменения в автономную копию объекта групповой политики. Для данного сценария следует настроить минимальную длину пароля.

    1. В папке Конфигурация компьютера дважды щелкните Политики, Параметры Windows, Параметры безопасности, Политики учетных записей и Политика блокировки учетных записей.

    2. На панели подробностей дважды щелкните элемент Продолжительность блокировки учетной записи.

    3. В окне свойств установите флажок Определить следующий параметр политики, задайте продолжительность, равную 30 минутам, а затем нажмите кнопку ОК.

  2. Закройте окно редактора управления групповыми политиками.

Выполните возврат объекта MyOtherGPO в архив и отправьте запрос на развертывание, как для объекта MyGPO. См. Шаг 2. Редактирование объекта групповой политики. Объект MyOtherGPO можно сравнить с объектом MyGPO или шаблоном MyTemplate, создав отчеты о различиях. Отчеты можно создавать, используя любую учетную запись, для которой определены права проверяющего (т.е. назначена роль администратора (с полным доступом), утверждающего, редактора или проверяющего AGPM).

Чтобы сравнить один объект групповой политики с другим объектом или шаблоном, выполните следующие действия.

  1. Чтобы сравнить MyGPO и MyOtherGPO

    1. На вкладке Управляемые выберите объект MyGPO. Нажмите клавишу CTRL и выберите объект MyOtherGPO.

    2. Щелкните правой кнопкой мыши объект MyOtherGPO, выберите пункт Различия, а затем щелкните Отчет в формате HTML.

  2. Чтобы сравнить MyOtherGPO и MyTemplate

    1. На вкладке Управляемые выберите объект MyOtherGPO.

    2. Щелкните правой кнопкой мыши объект MyOtherGPO, выберите пункт Различия, а затем щелкните Шаблон.

    3. Выберите MyTemplate и Отчет в формате HTML, а затем нажмите кнопку ОК.

Шаг 5. Удаление и восстановление объекта групповой политики

В данном шаге объект групповой политики удаляется с использованием учетной записи утверждающего.

Чтобы удалить объект групповой политики, выполните следующие действия.

  1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой назначена роль утверждающего.

  2. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

  3. На вкладе Содержание выберите вкладку Управляемые, чтобы отобразить управляемые объекты групповой политики.

  4. Щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Удалить. Выберите параметр Удалить объект групповой политики из архива и производства, чтобы удалить версию объекта групповой политики в архиве и версию, развернутую в производственной среде.

  5. Введите комментарий, который должен отображаться в аудиторском следе объекта групповой политики, а затем нажмите кнопку ОК.

  6. Когда в окне Выполнение AGPM будет указано, что процесс завершен, нажмите кнопку Закрыть. Объект групповой политики удалится на вкладке Управляемые и отобразится на вкладке Корзина, которая позволяет его восстановить или уничтожить.

В некоторых случаях после удаления объекта групповой политики он может потребоваться снова. В данном шаге объект групповой политики восстанавливается с использованием учетной записи утверждающего.

Чтобы восстановить удаленный объект групповой политики, выполните следующие действия.

  1. На вкладке Содержание выберите вкладку Корзина, чтобы отобразить удаленные объекты групповой политики.

  2. Щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Восстановить.

  3. Введите комментарий, который должен отображаться в журнале объекта групповой политики, а затем нажмите кнопку ОК.

  4. Когда в окне Выполнение AGPM будет указано, что процесс завершен, нажмите кнопку Закрыть. Объект групповой политики удалится на вкладке Корзина и отобразится на вкладке Управляемые.

    Примечание

    При восстановлении объекта групповой политики в архиве его повторное развертывание в производственной среде не выполняется автоматически. Чтобы вернуть объект групповой политики в производственную среду, разверните этот объект. См. Шаг 3. Проверка и развертывание объекта групповой политики.

После редактирования и развертывания объекта групповой политики может обнаружиться, что последние изменения его параметров вызывают ошибку. В данном шаге с использованием учетной записи утверждающего выполняется откат до более ранней версии объекта групповой политики. Откат можно выполнить до любой версии в журнале объекта групповой политики. Для идентификации удачных версий или версий с определенными изменениями можно использовать комментарии и метки.

Чтобы выполнит откат до более ранней версии объекта групповой политики, выполните следующие действия.

  1. На вкладе Содержание выберите вкладку Управляемые, чтобы отобразить управляемые объекты групповой политики.

  2. Дважды щелкните объект MyGPO, чтобы отобразить журнал.

  3. Щелкните правой кнопкой мыши версию, которую необходимо развернуть, выберите пункт Развернуть, а затем нажмите кнопку Да.

  4. Когда в окне Ход выполнения будет указано, что процесс завершен, нажмите кнопку Закрыть. В окне Журнал нажмите кнопку Закрыть.

    Примечание

    Чтобы проверить, нужная ли версия развернута повторно, просмотрите отчет по различиям для двух версий. В окне Журнал для объекта групповой политики выберите две версии, щелкните их правой кнопкой мыши и выберите пункт Различия, а затем либо Отчет в формате HTML, либо Отчет в формате XML.

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или присоединяйтесь к нам в Facebook или Twitter.
-----