Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Advanced directiva de grupo Management (AGPM) es una aplicación cliente/servidor. El servidor AGPM almacena objetos de directiva de grupo (GPO) sin conexión en el archivo que AGPM crea en el sistema de archivos del servidor. Los administradores de directivas de grupo usan el complemento AGPM para la consola de administración de directiva de grupo (GPMC) para trabajar con GPO en el servidor que hospeda el archivo.
Si comprende la siguiente información, puede mejorar la eficacia de los administradores de directivas de grupo con AGPM:
- Partes de AGPM y elementos relacionados.
- Cómo almacenan gpo en el sistema de archivos.
- Cómo controlan los permisos las acciones disponibles para cada rol de usuario.
Terminología
En la lista siguiente se explican los términos básicos de AGPM.
Cliente de AGPM: Equipo que ejecuta el complemento AGPM para GPMC y desde el que los administradores de directivas de grupo administran los GPO.
Complemento AGPM: Componente de software de AGPM instalado en clientes AGPM para que puedan administrar GPO.
Servidor AGPM: Servidor que ejecuta el servicio AGPM y administra un archivo. Cada servidor AGPM solo puede administrar un archivo, pero un servidor AGPM puede administrar los datos de archivo de varios dominios en un archivo. Un archivo se puede hospedar en un equipo distinto de un servidor AGPM.
Servicio AGPM: Componente de software de AGPM que se ejecuta en un servidor AGPM como servicio. El servicio administra gpo en el archivo y en el entorno de producción de ese bosque.
Archivo: en AGPM, un almacén central que contiene los GPO controlados que administra el servidor AGPM asociado, además del historial de cada uno de esos GPO. Este historial incluye todas las versiones controladas anteriores de cada GPO. Un archivo consta de un archivo de índice de archivo y datos de archivo asociados que pueden incluir datos para GPO en varios dominios. Un archivo se puede hospedar en un equipo distinto de un servidor AGPM.
GPO controlado: GPO que administra AGPM. AGPM administra el historial y los permisos de los GPO controlados, que almacena en el archivo.
GPO no controlado: GPO en el entorno de producción de un dominio y no administrado por AGPM.
Lo que AGPM instala, crea y afecta
En un servidor AGPM, el programa de instalación de AGPM instala el servicio AGPM. AGPM no modifica el servicio de directorio de Active Directory ni el esquema. De forma predeterminada, los archivos de programa del servidor AGPM se instalan en %ProgramFiles%\Microsoft\AGPM\Server. Puede instalar el servicio AGPM en un controlador de dominio si es necesario; sin embargo, se recomienda instalar el servicio AGPM en un servidor miembro.
En un cliente AGPM, el programa de instalación de AGPM instala el complemento AGPM y agrega una carpeta Control de cambios a cada dominio que aparece en gpmc. De forma predeterminada, los archivos del programa cliente AGPM se instalan en %ProgramFiles%\Microsoft\AGPM\Client.
En la tabla siguiente se describen tanto los elementos que AGPM instala o crea como las partes del sistema operativo que afectan a la operación de AGPM.
| Elemento | Descripción |
|---|---|
| Servicio AGPM | El servicio AGPM se ejecuta en el servidor AGPM. El servicio administra el archivo, que contiene GPO sin conexión y GPO controlados en el entorno de producción. La configuración predeterminada del servicio AGPM es la siguiente:
|
| Archivo AGPM | De forma predeterminada, AGPM crea el archivo en %ProgramData%\Microsoft\AGPM en el servidor AGPM. El archivo proporciona almacenamiento para GPO sin conexión y puede almacenar varias versiones de cada GPO. Los cambios realizados por AGPM en los GPO del archivo no afectan al entorno de producción hasta que un administrador o aprobador de AGPM implementa el GPO en el entorno de producción y vincula el GPO a una unidad organizativa (UO). |
| Firewall de Windows | Durante la instalación, AGPM habilita una regla de firewall de Windows de entrada que permite al cliente AGPM comunicarse con el servidor AGPM. La regla predeterminada de Firewall de Windows tiene la siguiente configuración:
|
| Servidor de correo electrónico | AGPM usa el Protocolo simple de transferencia de correo (SMTP) para enviar solicitudes de correo electrónico a las direcciones configuradas en la pestaña Delegación de dominio . Por ejemplo, cuando un editor solicita que se cree un nuevo GPO, AGPM notifica a cada dirección de correo electrónico especificada en la pestaña Delegación de dominio . |
| Complemento AGPM | El complemento AGPM para GPMC se ejecuta en clientes AGPM y lo usan los administradores de directivas de grupo para administrar GPO. El complemento aparece en GPMC como una carpeta Control de cambios en cada dominio. |
Archive
De forma predeterminada, el proceso de instalación del servidor AGPM crea el archivo en el disco duro local del servidor AGPM en %ProgramData%\Microsoft\AGPM. Sin embargo, puede cambiar la ruta de acceso durante la instalación e incluso crear el archivo en un servidor distinto del servidor AGPM.
El archivo contiene una subcarpeta para cada versión de cada GPO que contiene el archivo. El nombre de cada subcarpeta es un GUID que identifica una versión del GPO.
El archivo gpostate.xml registra el estado de cada GPO en el archivo. El archivo es un manifiesto que describe el contenido del archivo. Por ejemplo, un GPO puede tener muchas versiones y cada versión está en su propia subcarpeta en el archivo. El archivo gpostate.xml indica qué subcarpetas contienen diferentes versiones de un único GPO. Además, las plantillas de GPO tienen subcarpetas en el archivo, pero gpostate.xml indica que estos elementos son plantillas y GPO no controlados. De forma similar, cuando los administradores de directivas de grupo eliminan GPO, AGPM cambia sus estados en gpostate.xml para indicar que están en la papelera de reciclaje , pero en realidad no quita las subcarpetas de los GPO del archivo.
Precaución
No edite manualmente gpostate.xml ni los GPO que contiene el archivo. Esta información solo se proporciona para mejorar la comprensión del archivo AGPM. En su lugar, use el complemento AGPM para cambiar los GPO.
Cuando AGPM crea el archivo, proporciona control total a SYSTEM, a los administradores y a la cuenta de servicio de AGPM, que se especifican en la configuración del servidor AGPM. El cambio de permisos mediante la interfaz de usuario de AGPM en el complemento AGPM no modifica los permisos en el archivo, ya que la cuenta de servicio de AGPM realiza todas las operaciones en nombre del usuario que ha iniciado sesión.
Para obtener más información sobre cómo hacer una copia de seguridad del archivo, restaurar el archivo desde una copia de seguridad o mover el servidor AGPM y el archivo, consulte Instrucciones para realizar tareas de administrador de AGPM.
Roles y permisos
Los roles simplifican la delegación. En lugar de asignar permisos detallados a los administradores de directivas de grupo, los administradores de AGPM pueden asignar uno de cuatro roles a los administradores de directivas de grupo para permitirles realizar el trabajo relacionado con ese rol:
Administrador de AGPM: Los administradores de directivas de grupo asignados al rol de administrador de AGPM (control total) pueden realizar cualquier tarea en AGPM. Los administradores de AGPM pueden configurar opciones de todo el dominio y delegar permisos a otros administradores de directivas de grupo.
Aprobador: Los administradores de directivas de grupo asignados al rol de aprobador pueden implementar GPO en el entorno de producción de un dominio. Los aprobadores también pueden crear y eliminar GPO y aprobar o rechazar solicitudes de los editores. Los aprobadores pueden ver la lista de GPO de un dominio, ver la configuración de directiva en GPO y crear y ver informes de la configuración de directiva en un GPO. No pueden editar la configuración de directiva en GPO a menos que también se les asigne el rol de editor.
Editor: los administradores de directivas de grupo asignados al rol de editor pueden ver la lista de GPO de un dominio, ver la configuración de directiva en GPO, editar la configuración de directiva en GPO y crear y ver informes de la configuración de directiva en un GPO. A menos que también se les asigne el rol de aprobador, los editores no pueden crear, implementar ni eliminar GPO. Sin embargo, pueden solicitar que los GPO se creen, implementen o eliminen.
Crítico: Los administradores de directivas de grupo asignados al rol de revisor pueden ver la lista de GPO en un dominio y crear y ver informes de la configuración de directiva en un GPO. A menos que también se les asigne el rol de editor, no pueden editar la configuración de directiva en un GPO.
AGPM proporciona a los administradores de AGPM la flexibilidad de configurar permisos en un nivel más detallado que los roles mediante el complemento AGPM. La tabla 2 describe estos permisos e indica los permisos concedidos a cada rol de forma predeterminada.
| Permiso | Descripción | Administrador de AGPM | Approver | Editor | Crítico |
|---|---|---|---|---|---|
| Control total | Tener todos los permisos. | Sí | |||
| Creación de GPO | Cree GPO en un dominio. | Sí | Sí | ||
| Contenido de la lista | Enumere los GPO de un dominio. | Sí | Sí | Sí | Sí |
| Leer configuración | Lee la configuración de directiva dentro de un GPO. | Sí | Sí | Sí | Sí |
| Editar configuración | Cambie la configuración de directiva en un GPO. | Sí | Sí | ||
| Eliminar GPO | Eliminar un GPO. | Sí | Sí | ||
| Modificar seguridad | Delegar el acceso a nivel de dominio, delegar el acceso a un único GPO y delegar el acceso al entorno de producción. | Sí | |||
| Implementar GPO | Implemente un GPO desde el archivo en el entorno de producción. | Sí | Sí | ||
| Crear plantilla | Cree una plantilla de GPO en AGPM. | Sí | Sí | ||
| Modificar opciones | Configure la notificación por correo electrónico de AGPM y limite las versiones de GPO almacenadas en el archivo. | Sí | |||
| Exportación de GPO | Exportar un GPO a un archivo. | Sí | Sí | ||
| Importar GPO | Importar un GPO desde un archivo. | Sí | Sí |
Artículos relacionados
Para obtener más información, consulte La guía de operaciones de Microsoft Advanced directiva de grupo Management 4.0.