Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Advanced Gruppenrichtlinie Management (AGPM) ist eine Client-/Serveranwendung. Der AGPM-Server speichert Gruppenrichtlinienobjekte (GPOs) offline in dem Archiv, das AGPM im Dateisystem des Servers erstellt. Gruppenrichtlinienadministratoren verwenden das AGPM-Snap-In für die Gruppenrichtlinie Management Console (GPMC), um mit Gruppenrichtlinienobjekten auf dem Server zu arbeiten, auf dem das Archiv gehostet wird.
Wenn Sie die folgenden Informationen verstehen, können Sie die Effektivität von Gruppenrichtlinienadministratoren mit AGPM verbessern:
- Die Teile von AGPM und verwandte Elemente.
- Speichern von Gruppenrichtlinienobjekten im Dateisystem.
- Wie Berechtigungen die aktionen steuern, die für jede Benutzerrolle verfügbar sind.
Terminologie
In der folgenden Liste werden die grundlegenden AGPM-Begriffe erläutert.
AGPM-Client: Ein Computer, auf dem das AGPM-Snap-In für die GPMC ausgeführt wird und von dem Gruppenrichtlinienadministratoren Gruppenrichtlinienobjekte verwalten.
AGPM-Snap-In: Die Softwarekomponente von AGPM, die auf AGPM-Clients installiert ist, damit diese Gruppenrichtlinienobjekte verwalten können.
AGPM-Server: Ein Server, der den AGPM-Dienst ausführt und ein Archiv verwaltet. Jeder AGPM-Server kann nur ein Archiv verwalten, aber ein AGPM-Server kann Archivdaten für mehrere Domänen in einem Archiv verwalten. Ein Archiv kann auf einem anderen Computer als einem AGPM-Server gehostet werden.
AGPM-Dienst: Die Softwarekomponente von AGPM, die auf einem AGPM-Server als Dienst ausgeführt wird. Der Dienst verwaltet Gruppenrichtlinienobjekte im Archiv und in der Produktionsumgebung in dieser Gesamtstruktur.
Archiv: In AGPM, einem zentralen Speicher, der die vom zugeordneten AGPM-Server verwalteten kontrollierten Gruppenrichtlinienobjekte enthält, zusätzlich zum Verlauf für jede dieser Gruppenrichtlinienobjekte. Dieser Verlauf enthält alle vorherigen kontrollierten Versionen jedes Gruppenrichtlinienobjekts. Ein Archiv besteht aus einer Archivindexdatei und zugeordneten Archivdaten, die Daten für Gruppenrichtlinienobjekte in mehreren Domänen enthalten können. Ein Archiv kann auf einem anderen Computer als einem AGPM-Server gehostet werden.
Kontrolliertes GPO: Ein Gruppenrichtlinienobjekt, das von AGPM verwaltet wird. AGPM verwaltet den Verlauf und die Berechtigungen von kontrollierten Gruppenrichtlinienobjekten, die im Archiv gespeichert werden.
Nicht kontrolliertes Gruppenrichtlinienobjekt: Ein Gruppenrichtlinienobjekt in der Produktionsumgebung für eine Domäne, das nicht von AGPM verwaltet wird.
Was agpm installiert, erstellt und wirkt sich darauf aus
Auf einem AGPM-Server installiert das AGPM-Setupprogramm den AGPM-Dienst. AGPM ändert weder den Active Directory-Verzeichnisdienst noch das Schema. Standardmäßig werden die AGPM-Serverprogrammdateien in %ProgramFiles%\Microsoft\AGPM\Serverinstalliert. Sie können den AGPM-Dienst bei Bedarf auf einem Domänencontroller installieren. Es wird jedoch empfohlen, den AGPM-Dienst auf einem Mitgliedsserver zu installieren.
Auf einem AGPM-Client installiert das AGPM-Setupprogramm das AGPM-Snap-In und fügt jeder Domäne, die in der GPMC angezeigt wird, einen Ordner Change Control hinzu. Standardmäßig werden die AGPM-Clientprogrammdateien in %ProgramFiles%\Microsoft\AGPM\Clientinstalliert.
In der folgenden Tabelle werden sowohl die Elemente beschrieben, die VON AGPM installiert oder erstellt werden, als auch die Teile des Betriebssystems, die sich auf den AGPM-Vorgang auswirken.
| Element | Beschreibung |
|---|---|
| AGPM-Dienst | Der AGPM-Dienst wird auf dem AGPM-Server ausgeführt. Der Dienst verwaltet das Archiv, das Offline-Gruppenrichtlinienobjekte und kontrollierte Gruppenrichtlinienobjekte in der Produktionsumgebung enthält. Die Standardkonfiguration des AGPM-Diensts lautet wie folgt:
|
| AGPM-Archiv | Standardmäßig erstellt AGPM das Archiv in %ProgramData%\Microsoft\AGPM auf dem AGPM-Server. Das Archiv bietet Speicher für Offline-GRUPPENrichtlinienobjekte und kann mehrere Versionen jedes GPO speichern. Änderungen, die AGPM an Gruppenrichtlinienobjekten im Archiv vornimmt, wirken sich erst dann auf die Produktionsumgebung aus, wenn ein AGPM-Administrator oder genehmigende Person das Gruppenrichtlinienobjekt in der Produktionsumgebung bereitstellt und das Gruppenrichtlinienobjekt mit einer Organisationseinheit (OE) verknüpft. |
| Windows-Firewall | Während der Installation aktiviert AGPM eine Windows-Firewallregel für eingehenden Datenverkehr, die es dem AGPM-Client ermöglicht, mit dem AGPM-Server zu kommunizieren. Die Standardmäßige Windows-Firewallregel verfügt über die folgenden Einstellungen:
|
| E-Mail-Server | AGPM verwendet SMTP (Simple Mail Transfer Protocol), um E-Mail-Anforderungen an die auf der Registerkarte Domänendelegierung konfigurierten Adressen zu senden. Wenn beispielsweise ein Editor die Erstellung eines neuen Gruppenrichtlinienobjekts anfordert, benachrichtigt AGPM jede E-Mail-Adresse, die auf der Registerkarte Domänendelegierung angegeben ist. |
| AGPM-Snap-In | Das AGPM-Snap-In für die GPMC wird auf AGPM-Clients ausgeführt und wird von Gruppenrichtlinienadministratoren zum Verwalten von Gruppenrichtlinienobjekten verwendet. Das Snap-In wird in der GPMC als Ordner Change Control in jeder Domäne angezeigt. |
Archiv
Standardmäßig erstellt der AGPM-Serverinstallationsprozess das Archiv auf der lokalen Festplatte des AGPM-Servers unter %ProgramData%\Microsoft\AGPM. Sie können den Pfad jedoch während der Installation ändern und sogar das Archiv auf einem anderen Server als dem AGPM-Server erstellen.
Das Archiv enthält einen Unterordner für jede Version jedes Gruppenrichtlinienobjekts, das das Archiv enthält. Der Name jedes Unterordners ist eine GUID, die eine Version des Gruppenrichtlinienobjekts identifiziert.
Die gpostate.xml Datei zeichnet den Status jedes Gruppenrichtlinienobjekts im Archiv auf. Die Datei ist ein Manifest, das den Inhalt des Archivs beschreibt. Beispielsweise kann ein Gruppenrichtlinienobjekt viele Versionen haben, und jede Version befindet sich in einem eigenen Unterordner im Archiv. Die gpostate.xml Datei gibt an, welche Unterordner unterschiedliche Versionen eines einzelnen Gruppenrichtlinienobjekts enthalten. Darüber hinaus verfügen GPO-Vorlagen über Unterordner im Archiv, aber gpostate.xml gibt an, dass es sich bei diesen Elementen um Vorlagen und nicht um gesteuerte Gruppenrichtlinienobjekte handelt. Wenn Gruppenrichtlinienadministratoren Gruppenrichtlinienobjekte löschen, ändert AGPM ihre Zustände in gpostate.xml, um anzugeben, dass sie sich im Papierkorb befinden , aber die Unterordner der Gruppenrichtlinienobjekte nicht tatsächlich aus dem Archiv entfernt.
Achtung
Bearbeiten Sie nicht manuell gpostate.xml oder die Gruppenrichtlinienobjekte, die im Archiv enthalten sind. Diese Informationen werden nur bereitgestellt, um das Verständnis des AGPM-Archivs zu verbessern. Verwenden Sie stattdessen das AGPM-Snap-In, um Gruppenrichtlinienobjekte zu ändern.
Wenn AGPM das Archiv erstellt, gibt es SYSTEM, Administratoren und dem AGPM-Dienstkonto die vollständige Kontrolle, die Sie bei der Einrichtung des AGPM-Servers angeben. Das Ändern von Berechtigungen mithilfe der AGPM-Benutzeroberfläche für das AGPM-Snap-In ändert die Berechtigungen für das Archiv nicht, da das AGPM-Dienstkonto alle Vorgänge im Namen des angemeldeten Benutzers ausführt.
Weitere Informationen zum Sichern des Archivs, zum Wiederherstellen des Archivs aus einer Sicherung oder zum Verschieben des AGPM-Servers und des Archivs finden Sie unter Ausführen von AGPM-Administratoraufgaben.
Rollen und Berechtigungen
Rollen vereinfachen die Delegierung. Anstatt Gruppenrichtlinienadministratoren detaillierte Berechtigungen zuzuweisen, können AGPM-Administratoren Gruppenrichtlinienadministratoren eine von vier Rollen zuweisen, damit sie Aufgaben im Zusammenhang mit dieser Rolle ausführen können:
AGPM-Administrator: Gruppenrichtlinienadministratoren, denen die Rolle AGPM-Administrator (Vollzugriff) zugewiesen ist, können jede Aufgabe in AGPM ausführen. AGPM-Administratoren können domänenweite Optionen konfigurieren und Berechtigungen an andere Gruppenrichtlinienadministratoren delegieren.
Genehmiger: Gruppenrichtlinienadministratoren, denen die Genehmigende Rolle zugewiesen ist, können Gruppenrichtlinienobjekte in der Produktionsumgebung für eine Domäne bereitstellen. Genehmigende Personen können auch Gruppenrichtlinienobjekte erstellen und löschen und Anforderungen von Editoren genehmigen oder ablehnen. Genehmigende Personen können die Liste der Gruppenrichtlinienobjekte in einer Domäne anzeigen, die Richtlinieneinstellungen in Gruppenrichtlinienobjekten anzeigen sowie Berichte zu den Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt erstellen und anzeigen. Sie können die Richtlinieneinstellungen in Gruppenrichtlinienobjekten nur bearbeiten, wenn ihnen auch die Editor-Rolle zugewiesen ist.
Editor: Gruppenrichtlinienadministratoren, denen die Editor-Rolle zugewiesen ist, können die Liste der Gruppenrichtlinienobjekte in einer Domäne anzeigen, die Richtlinieneinstellungen in Gruppenrichtlinienobjekten anzeigen, die Richtlinieneinstellungen in Gruppenrichtlinienobjekten bearbeiten und Berichte über die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt erstellen und anzeigen. Redakteure können Gruppenrichtlinienobjekte nicht erstellen, bereitstellen oder löschen, sofern ihnen nicht auch die Rolle "Genehmigenden Person" zugewiesen ist. Sie können jedoch anfordern, dass Gruppenrichtlinienobjekte erstellt, bereitgestellt oder gelöscht werden.
Rezensent: Gruppenrichtlinienadministratoren, denen die Prüferrolle zugewiesen ist, können die Liste der Gruppenrichtlinienobjekte in einer Domäne anzeigen und Berichte über die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt erstellen und anzeigen. Wenn ihnen nicht auch die Editorrolle zugewiesen ist, können sie richtlinieneinstellungen in einem Gruppenrichtlinienobjekt nicht bearbeiten.
AGPM bietet AGPM-Administratoren die Flexibilität, Berechtigungen mithilfe des AGPM-Snap-Ins detaillierter als Rollen zu konfigurieren. Tabelle 2 beschreibt diese Berechtigungen und gibt die Berechtigungen an, die den einzelnen Rollen standardmäßig gewährt werden.
| Berechtigung | Beschreibung | AGPM-Administrator | Genehmiger | Editor | Rezensent |
|---|---|---|---|---|---|
| Vollzugriff | Verfügen Sie über alle Berechtigungen. | Ja | |||
| Erstellen eines Gruppenrichtlinienobjekts | Erstellen von Gruppenrichtlinienobjekten in einer Domäne. | Ja | Ja | ||
| Inhalt auflisten | Listen Sie die Gruppenrichtlinienobjekte in einer Domäne auf. | Ja | Ja | Ja | Ja |
| Einstellungen lesen | Lesen sie die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt. | Ja | Ja | Ja | Ja |
| Einstellungen bearbeiten | Ändern sie die Richtlinieneinstellungen in einem Gruppenrichtlinienobjekt. | Ja | Ja | ||
| Löschen eines Gruppenrichtlinienobjekts | Löschen eines Gruppenrichtlinienobjekts. | Ja | Ja | ||
| Sicherheit ändern | Delegieren Sie den Zugriff auf Domänenebene, delegieren Sie den Zugriff auf ein einzelnes Gruppenrichtlinienobjekt, und delegieren Sie den Zugriff auf die Produktionsumgebung. | Ja | |||
| Bereitstellen eines Gruppenrichtlinienobjekts | Stellen Sie ein GPO aus dem Archiv in der Produktionsumgebung bereit. | Ja | Ja | ||
| Vorlage erstellen | Erstellen Sie eine GPO-Vorlage in AGPM. | Ja | Ja | ||
| Optionen ändern | Konfigurieren Sie AGPM-E-Mail-Benachrichtigungen, und beschränken Sie die im Archiv gespeicherten GPO-Versionen. | Ja | |||
| Exportieren des Gruppenrichtlinienobjekts | Exportieren eines Gruppenrichtlinienobjekts in eine Datei | Ja | Ja | ||
| Importieren eines Gruppenrichtlinienobjekts | Importieren sie ein Gruppenrichtlinienobjekt aus einer Datei. | Ja | Ja |
Verwandte Artikel
Weitere Informationen finden Sie im Betriebshandbuch für Microsoft Advanced Gruppenrichtlinie Management 4.0.