AGPM（高级组策略管理）3.0之二操作

续 AGPM（高级组策略管理 ）3.0之一部署。

1、设置默认AGPM服务器

打开组策略管理控制台（GPMC.MSC），打开默认的Default Domain Policy进行编辑。

打开用户配置、策略、管理模板、Windows 组件、AGPM，进行如下设置

在客户端运行Gpupdate /force或注销计算机，组策略设置生效。

 

2、查看“变更控制”

“内容”选项卡

域委托

AGPM使用的是一种基于角色的授权模式。安装AGPM服务器时，需要指派一个AD用户帐号作为管理员（完全控制）角色。这个用户可以为其它用户分派四个主要角色（完全控制、审阅者、审批者、编辑者）

为了进行实验操作，我先在域上建立一个组织单位TestOU。

3、创建受控的GPO

输入GPO名称：TestOU_GPO,确定

查看“更改控制”、“内容”、“受控”如下图

4、离线编辑

要离线编辑某个GPO，需要先将其从存诸中签出。右击GPO，选择“签出”

如果需要，签出时可以增加注释。GPO签出时，生产环境上会生成一份临时贝，并被标记为签出状态。

这个临时拷贝不会链接到AD上的任何容器上，因此对它的任何修改并不会影响到生产环境中的任何用户和计算机。

 

现在可以右击这个受控的GPO，选择“编辑”进行编辑了

5、查看“历史”

当一个GPO签入签出几次后，可以右击这个GPO，选择“历史”，查看历史记录

 

6、查看“差异”

可以右击某个GPO，选择差异，然后选择报告类型，会出GPO之间的详细差别

或者在“历史”，选择两个版本的GPO（用CTRL选择），查看差异。

 

7、部署GPO

首先要将签出的GPO签入，然后右击这个GPO，选择部署。

 

8、使用AGPM回收站

可以通过AGPM回收站将某个删除的GPO还原。