Vue d'ensemble d'Advanced Group Policy Management

  • Article

Gestion avancée des stratégies de groupe (AGPM) permet d'étendre les fonctionnalités de la Console de gestion des stratégies de groupe (GPMC) pour fournir un contrôle des modifications complet et une gestion améliorée des Objets de stratégie de groupe.

Développement d'objet de stratégie de groupe avec contrôle des modifications

AGPM permet de conserver une copie de chaque GPO dans une archive centrale de façon à ce que les administrateurs de stratégie de groupe puissent consulter et modifier les GPO hors connexion sans que cela ait un impact immédiat sur leur version déployée. En outre, AGPM conserve une copie de chaque version de chaque GPO contrôlé dans l'archive, de sorte que vous pouvez restaurer une version antérieure si nécessaire.

Les termes « archiver » et « extraire » sont utilisés de la même manière que dans une bibliothèque (ou des applications offrant des fonctionnalités de contrôle des modifications, de la version ou du code source pour le développement de programmes). Pour utiliser un livre conservé dans une bibliothèque, vous l'en extrayez. Une fois extrait, personne d'autre ne peut l'utiliser. Lorsque vous avez fini de consulter le livre, vous le réarchivez dans la bibliothèque afin que d'autres puissent l'utiliser.

Pour utiliser ces fonctionnalités de contrôle de stratégie de groupe, vous cliquez sur un nœud Contrôle des modifications dans l'éditeur Gestion des stratégies de groupe. Le nœud Contrôle des modifications s'affiche uniquement si vous avez installé le client AGPM.

Pour développer des GPO à l'aide d'AGPM :

  1. Créez un GPO contrôlé ou contrôlez un GPO précédemment non contrôlé.

  2. Extrayez le GPO de façon à ce que vous seul puissiez le modifier.

  3. Modifiez le GPO.

  4. Archivez le GPO modifié de façon à permettre à d'autres de le modifier ou le déployer.

  5. Révisez les modifications.

  6. Déployez le GPO dans l'environnement de production.

Délégation basée sur les rôles

AGPM offre une délégation basée sur les rôles, complète et conviviale, permettant de gérer l'accès aux GPO dans l'archive. Les autorisations au niveau du domaine permettent aux Administrateurs AGPMde donner accès à des domaines individuels sans donner accès à d'autres domaines. La délégation basée sur des GPO permet aux Administrateurs AGPM de donner accès à des GPO spécifiques sans donner accès à tout le domaine.

Dans AGPM, il y a des rôles spécialement définis : Administrateur AGPM (contrôle total), Approbateur, Éditeur et Réviseur. Le rôle Administrateur AGPM inclut les autorisations de tous les autres rôles. Par défaut, seuls les Approbateurs ont le pouvoir de déployer des GPO dans l'environnement de production d'un domaine, ce qui protège l'environnement contre les erreurs d'Éditeurs moins expérimentés. Par défaut également, tous les rôles incluent le rôle Réviseur et ont donc la possibilité de consulter des paramètres de GPO dans des rapports. Toutefois, AGPM offre à un Administrateur AGPM la flexibilité nécessaire pour personnaliser l'accès au GPO en fonction des besoins de votre organisation.

Délégation dans un environnement comportant plusieurs administrateurs de stratégie de groupe

Dans un environnement où plusieurs personnes modifient des GPO, un Administrateur AGPM délègue des autorisations à des Éditeurs, Approbateurs et Réviseurs, soit en tant que groupes, soit en tant qu'individus. Pour un processus classique de développement de GPO pour un Éditeur ou un Approbateur, voir Liste de vérification : création, modification et déploiement d'un GPO.

Références supplémentaires

-----
Vous pouvez en apprendre plus sur MDOP dans la bibliothèque TechNet, rechercher des informations sur le dépannage dans le Wiki TechNet ou nous suivre sur Facebook ouTwitter.
-----