Guia Passo a Passo para Microsoft Advanced Group Policy Management 4.0
Este guia passo a passo demonstra técnicas avançadas do gerenciamento de Diretiva de Grupo que usam o GPMC (Console de Gerenciamento de Política de Grupo) e o Microsoft AGPM (Gerenciamento Avançado de Política de Grupo). O AGPM aumenta os recursos do GMPC, fornecendo:
Funções padrão para delegação de permissões para gerenciar GPOs (Objetos de Política de Grupo) de vários administradores de Diretiva de Grupo, além da capacidade de delegar acesso a GPOs no ambiente de produção.
Um arquivo morto para permitir que administradores de Diretiva de Grupo criem e modifiquem GPOs offline antes de implantá-los em um ambiente de produção.
A capacidade de reverter para qualquer versão anterior de um GPO no arquivo morto e de limitar o número de versões armazenadas no arquivo morto.
Recurso de check-in e check-out para GPOs a fim de garantir que administradores de Diretiva de Grupo não substituam acidentalmente o trabalho de outra pessoa.
A possibilidade de procurar GPOs com atributos específicos e filtrar a lista de GPOs exibidos.
Visão geral do cenário do AGPM
Para este cenário, você usará uma conta de usuário separada para cada função do AGPM a fim de demonstrar como a Diretiva de Grupo pode ser gerenciada em um ambiente que tenha vários administradores de Diretiva de Grupo com níveis diferentes de permissões. Especificamente, você executará as seguintes tarefas:
Usando uma conta que seja membro do grupo admins. do domínio, instalar o Servidor AGPM e atribuir a função Administrador AGPM a uma conta ou grupo.
Usando contas às quais você atribuirá funções do AGPM, instalar o Cliente AGPM.
Usando uma conta que tenha a função Administrador AGPM, configurar o AGPM e delegar acesso a GPOs atribuindo funções a outras contas.
Em uma conta que tenha a função Editor, solicitar a criação de um novo GPO e, em seguida, sua aprovação usando uma conta que tenha a função Aprovador. Usar a conta de Editor para fazer o check-out do GPO no arquivo morto, editar o GPO, fazer check-in do GPO no arquivo morto e solicitar a implantação.
Usando uma conta que tenha a função Aprovador, examinar o GPO e implantá-lo no ambiente de produção.
Usando uma conta que tenha a função Editor, criar um modelo de GPO e usá-lo como ponto de partida para criar um novo GPO.
Usando uma conta que tenha a função Aprovador, excluir e restaurar um GPO.
Requisitos
Os computadores nos quais você desejar instalar o AGPM devem atender aos requisitos a seguir e você deve criar contas para uso nesse cenário.
Dica
Se tiver o AGPM 2.5 instalado e estiver atualizando do Windows Server® 2003 para o Windows Server 2008 R2 ou o Windows Server 2008, ou do Windows Vista® sem service packs instalados no Windows 7 ou no Windows Vista® com Service Pack 1 (SP1), você deverá atualizar o sistema operacional para poder atualizar para o AGPM 4.0.
Se não tiver o AGPM 3.0 instalado, você não precisará atualizar o sistema operacional a fim de atualizar para o AGPM 4.0Em um ambiente misto que inclua sistemas operacionais mais novos e mais antigos, existem algumas limitações quanto à funcionalidade, conforme indicado na tabela a seguir.
Sistema operacional no qual o Servidor AGPM 4.0 é executado | Sistema operacional no qual o AGPM Client 4.0 é executado | Status do suporte ao AGPM 4.0 |
---|---|---|
Windows Server 2008 R2 ou Windows 7 |
Windows Server 2008 R2 ou Windows 7 |
Com suporte |
Windows Server 2008 R2 ou Windows 7 |
Windows Server 2008 ou Windows Vista com SP1 |
Com suporte, mas não é possível editar configurações de política ou itens de preferência existentes apenas no Windows Server 2008 R2 ou no Windows 7 |
Windows Server 2008 ou Windows Vista com SP1 |
Windows Server 2008 R2 ou Windows 7 |
Não há suporte para ele |
Windows Server 2008 ou Windows Vista com SP1 |
Windows Server 2008 ou Windows Vista com SP1 |
Com suporte, mas não é possível relatar ou editar configurações de política ou itens de preferência existentes apenas no Windows Server 2008 R2 ou Windows 7 |
Requisitos do Servidor AGPM
O Servidor AGPM 4.0 exige Windows Server 2008 R2, Windows Server 2008, Windows 7 e o GPMC do Ferramentas de Administração de Servidor Remoto (RSAT), ou Windows Vista com SP1 e o GPMC do RSAT instalado. Há suporte para as versões de 32 e 64 bits.
Antes de instalar o Servidor AGPM, você deve ser um membro do grupo admins. do domínio e os seguintes recursos do Windows devem estar presentes, exceto quando indicado o contrário:
GPMC
Windows Server 2008 R2 ou Windows Server 2008: Se não estiver presente, o GPMC será instalado automaticamente pelo AGPM.
Windows 7: você deve instalar o GPMC do RSAT antes de instalar o AGPM. Para obter mais informações, consulte Ferramentas de Administração de Servidor Remoto para o Windows 7 (https://go.microsoft.com/fwlink/?LinkID=131280).
Windows Vista com SP1: você deve instalar o GPMC do RSAT antes de instalar o AGPM. Para obter mais informações, consulte Ferramentas de Administração de Servidor Remoto para o Windows Vista com o Service Pack 1 (https://go.microsoft.com/fwlink/?LinkID=116179).
O .NET Framework 3.5 ou versões posteriores
Windows Server 2008 R2 ou Windows 7: Se o .NET Framework 3.5 ou a versão posterior não estiver presente, o .NET Framework 3.5 será instalado automaticamente pelo AGPM.
Windows Server 2008 ou Windows Vista com SP1: Você deve instalar o .NET Framework 3.5 ou uma versão posterior antes de instalar o AGPM.
Os seguintes recursos do Windows são exigidos pelo Servidor AGPM e serão instalados automaticamente se não estiverem presentes:
Ativação de WCF; Ativação não-HTTP
Serviço de Ativação de Processos do Windows
Modelo de Processo
O Ambiente .NET
APIs de Configuração
Requisitos do Cliente AGPM
O Cliente AGPM 4.0 exige o Windows Server 2008 R2, Windows Server 2008, Windows 7 e o GPMC do RSAT ou o Windows Vista com SP1 e o GPMC do RSAT instalado. Há suporte para as versões de 32 e 64 bits. O Cliente AGPM pode ser instalado em um computador que esteja executando o Servidor AGPM.
Os seguintes recursos do Windows são exigidos pelo Cliente AGMP e, exceto quando indicado o contrário, serão instalados automaticamente se não estiverem presentes:
GPMC
Windows Server 2008 R2 ou Windows Server 2008: Se não estiver presente, o GPMC será instalado automaticamente pelo AGPM.
Windows 7: você deve instalar o GPMC do RSAT antes de instalar o AGPM. Para obter mais informações, consulte Ferramentas de Administração de Servidor Remoto para o Windows 7 (https://go.microsoft.com/fwlink/?LinkID=131280).
Windows Vista com SP1: você deve instalar o GPMC do RSAT antes de instalar o AGPM. Para obter mais informações, consulte Ferramentas de Administração de Servidor Remoto para o Windows Vista com o Service Pack 1 (https://go.microsoft.com/fwlink/?LinkID=116179).
O .NET Framework 3.0 ou versão posterior
Windows Server 2008 R2 ou Windows 7: Se o .NET Framework 3.0 ou a versão posterior não estiver presente, o .NET Framework 3.5 será instalado automaticamente pelo AGPM.
Windows Server 2008 ou Windows Vista com SP1: Se o .NET Framework 3.0 ou a versão posterior não estiver presente, o .NET Framework 3.0 será instalado automaticamente pelo AGPM.
Requisitos do cenário
Antes de iniciar esse cenário, crie quatro contas de usuário. Durante o cenário, você atribuirá uma das seguintes funções do AGPM a cada uma dessas contas: Administrador AGPM (Controle Total), Aprovador, Editor e Revisor. Essas contas devem ser capazes de enviar e receber mensagens de email. Atribua a permissão Vincular GPOs às contas que tenham as funções Administrador AGPM, Aprovador e (opcionalmente) Editor.
Dica
A permissão Vincular GPOs é atribuída a membros de admins. do domínio e Administradores de Empresas por padrão. Para atribuir a permissão Vincular GPOs a usuários ou grupos adicionais (como contas que tenham as funções Administrador AGPM ou Aprovador), clique no nó do domínio e na guia Delegação, selecione Vincular GPOs, clique em Adicionar e selecione os usuários ou grupos aos quais você deseja atribuir a permissão.
Etapas para instalação e configuração do AGPM
Você deve concluir as etapas a seguir para instalar e configurar o AGPM.
Etapa 1: Instalar o Servidor AGPM
Etapa 2: Instalar o Cliente AGPM
Etapa 3: Configurar uma conexão do Servidor AGPM
Etapa 4: Configurar notificação por email
Etapa 5: Delegar acesso
Etapa 1: Instalar o Servidor AGPM
Nesta etapa, você instala o Servidor AGPM no servidor membro ou controlador de domínio que executará o Serviço AGPM e configura o arquivo morto. Todas as operações do AGPM são gerenciadas por esse serviço do Windows, sendo executadas com as credenciais do serviço. O arquivo morto gerenciado por um Servidor AGPM pode ser hospedado nesse servidor ou em outro servidor da mesma floresta.
Para instalar o Servidor AGPM no computador que hospedará o Serviço AGPM
Faça logon com uma conta que seja membro do grupo admins. do domínio.
Inicie o CD do Microsoft Desktop Optimization Pack e siga as instruções na tela para selecionar Advanced Group Policy Management – Servidor.
Na caixa de diálogo Bem-vindo, clique em Avançar.
Na caixa de diálogo Termos de Licença para o Software Microsoft, aceite os termos e clique em Avançar.
Na caixa de diálogo Caminho do Aplicativo, selecione um local no qual instalar o Servidor AGPM. O computador no qual o Servidor AGPM está instalado irá hospedar o Serviço AGPM e gerenciar o arquivo morto. Clique em Avançar.
Na caixa de diálogo Caminho do Arquivo Morto, selecione um local para o arquivo morto em relação ao Servidor AGPM. O caminho do arquivo morto pode apontar para uma pasta no Servidor AGPM ou outro local. No entanto, você deve selecionar um local com espaço suficiente para armazenar todos os GPOs e dados de histórico gerenciados por esse Servidor AGPM. Clique em Avançar.
Na caixa de diálogo Conta do Serviço AGPM, selecione uma conta de serviço na qual o Serviço AGPM será executado e clique em Avançar.
Essa conta deve ser membro do grupo admins. do domínio ou, para uma configuração de privilégios mínimos, dos seguintes grupos em cada domínio gerenciado pelo Servidor AGPM:
Proprietários criadores de diretiva de grupo
Operadores de cópia
Além disso, essa conta exige permissão Controle Total para as seguintes pastas:
A pasta do arquivo morto do AGPM, para a qual essa permissão é concedida automaticamente durante a instalação do Servidor AGPM, caso ele esteja instalado em uma unidade local.
A pasta temp do sistema local, normalmente %windir%\temp.
Na caixa de diálogo Proprietário do Arquivo Morto, selecione uma conta ou grupo ao qual você atribui a função Administrador AGPM (Controle Total). Como Administradores AGPM pode atribuir funções e permissões do AGPM a outros administradores de Diretiva de Grupo, é possível atribuir a função Administrador AGPM a administradores de Diretiva de Grupo adicionais mais tarde. Para esse cenário, selecione a conta de atendimento à função Administrador AGPM. Clique em Avançar.
Na caixa de diálogo Configuração de Porta, digite uma porta na qual o Serviço AGPM deve escutar. Não desmarque a caixa de seleção Adicionar exceção de porta ao firewall a menos que você configure manualmente exceções de porta ou use funções para configurar exceções de porta. Clique em Avançar.
Na caixa de diálogo Idiomas, selecione um ou mais idiomas de exibição para instalar para o Servidor AGPM.
Clique em Instalar e em Concluir para sair do Assistente de Instalação.
Aviso
Não altere configurações do Serviço AGPM por meio de Ferramentas Administrativas e Serviços no sistema operacional. Isso pode impedir que o Serviço AGPM seja iniciado. Para obter informações sobre como alterar configurações do serviço, consulte a Ajuda do Advanced Group Policy Management.
Etapa 2: Instalar o Cliente AGPM
Cada administrador de Diretiva de Grupo – qualquer um que crie, edite, implante, analise ou exclua GPOs – deve ter o Cliente AGPM instalado em computadores que usem para gerenciar GPOs. O nó de Controle de Alterações, usado para execução de muitas das tarefas de gerenciamento do GPO, somente aparecerá no Console de Gerenciamento de Política de Grupo se você instalar o Cliente AGPM. Para este cenário, você instala o Cliente AGPM em pelo menos um computador. Não é necesssário instalar o Cliente AGPM nos computadores de usuários finais que não executem administração de Diretiva de Grupo.
Para instalar o Cliente AGPM no computador de um administrador de Diretiva de Grupo
Inicie o CD do Microsoft Desktop Optimization Pack e siga as instruções na tela para selecionar Advanced Group Policy Management – Cliente.
Na caixa de diálogo Bem-vindo, clique em Avançar.
Na caixa de diálogo Termos de Licença para o Software Microsoft, aceite os termos e clique em Avançar.
Na caixa de diálogo Caminho do Aplicativo, selecione um local no qual instalar o Cliente AGPM. Clique em Avançar.
Na caixa de diálogo Servidor AGPM, digite o nome DNS ou o endereço IP do Servidor AGPM e a porta à qual você deseja se conectar. A porta padrão para o Serviço AGPM é 4600. Não desmarque a caixa de seleção Permitir o Console de Gerenciamento Microsoft por meio do firewall a menos que você configure manualmente exceções de porta ou use regras para configurar exceções de porta. Clique em Avançar.
Na caixa de diálogo Idiomas, selecione um ou mais idiomas de exibição para instalar para o Cliente AGPM.
Clique em Instalar e em Concluir para sair do Assistente de Instalação.
Etapa 3: Configurar uma conexão do Servidor AGPM
O AGPM armazena todas as versões de cada GPO (Objeto de Política de Grupo) controlado, ou seja, cada GPO para o qual o AGPM fornece controle de alterações, em um arquivo morto central. Isso permite aos administradores de Diretiva de Grupo visualizar e alterar GPOs offline sem afetar imediatamente a versão implantada de cada GPO.
Nesta etapa, você configura uma conexão de Servidor AGPM e garante que todos os administradores de Diretiva de Grupo se conectem ao mesmo Servidor AGPM. (Para obter informações sobre como configurar vários Servidores AGPM, consulte a Ajuda do Advanced Group Policy Management).
Para configurar uma conexão de Servidor AGPM para todos os administradores de Diretiva de Grupo
Em um computador em que você tenha instalado o Cliente AGPM, faça logon com a conta de usuário que selecionou como Proprietário do Arquivo Morto. Esse usuário tem a função Administrador AGPM (Controle Total).
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo para abrir o GPMC.
Edite um GPO que seja aplicado a todos os administradores de Diretiva de Grupo.
Na janela Editor de Gerenciamento de Diretiva de Grupo, clique duas vezes em Configuração do Usuário, Diretivas, Modelos Administrativos, Componentes do Windows e AGPM.
No painel de detalhes, clique duas vezes em AGPM: Especificar Servidor AGPM padrão (todos os domínios).
Na janela Propriedades, selecione Habilitado e digite o nome DNS ou o endereço IP e a porta (por exemplo, server.contoso.com:4600) do servidor que está hospedando o arquivo morto. Por padrão, o Serviço AGPM usa a porta 4600.
Clique em OK e feche a janela do Editor de Gerenciamento de Diretiva de Grupo. Quando a Diretiva de Grupo é atualizada, a conexão do Servidor AGPM é configurada para cada administrador de Diretiva de Grupo.
Etapa 4: Configurar notificação por email
Como um Administrador AGPM (Controle Total), você designa os endereços de email de Aprovadores e Administradores AGPM para os quais uma mensagem de email que contenha uma solicitação é enviada quando um Editor tenta criar, implantar ou excluir um GPO. Você também determina o alias do qual essas mensagens são enviadas.
Para configurar as notificações por email do AGPM
No painel de detalhes, clique na guia Delegação de Domínio.
No campo Endereço de email do remetente, digite o alias do email do AGPM pelo qual as notificações devem ser enviadas.
No campo Para o endereço de email, digite o endereço de email da conta de usuário à qual você pretende atribuir a função de Aprovador.
No campo Servidor SMTP, digite um servidor de email SMTP válido.
Nos campos Nome de usuário e Senha, digite as credenciais de um usuário que tenha acesso ao serviço SMTP. Clique em Aplicar.
Etapa 5: Delegar acesso
Como um Administrador AGPM (Controle Total), você delega acesso no nível de domínio a GPOs, atribuindo funções à conta de cada administrador de Diretiva de Grupo.
Dica
Também é possível delegar acesso no nível de GPO, e não de domínio. Para obter mais informações, consulte a Ajuda do Advanced Group Policy Management.
Importante
Você deve restringir a associação ao grupo Proprietários Criadores de Diretiva de Grupo para que ele não possa ser usado para contornar o gerenciamento AGPM de acesso a GPOs. (No Console de Gerenciamento de Diretiva de Grupo, clique em Objetos de Diretiva de Grupo na floresta e domínio nos quais deseja gerenciar GPOs, clique em Delegação e defina as configurações de acordo com as necessidades da organização).
Para delegar acesso a todos os GPOs em um domínio
Na guia Delegação de Domínio, clique no botão Adicionar, selecione a conta de usuário do administrador de Diretiva de Grupo que servirá como Aprovador e clique em OK.
Na caixa de diálogo Adicionar Grupo ou Usuário, selecione a função Aprovador para atribuir essa função à conta e clique em OK. (Essa função inclui a função Revisor.)
Clique no botão Adicionar, selecione a conta de usuário do administrador de Diretiva de Grupo que servirá como Editor e clique em OK.
Na caixa de diálogo Adicionar Grupo ou Usuário, selecione a função Editor para atribuir essa função à conta e clique em OK. (Essa função inclui a função Revisor.)
Clique no botão Adicionar, selecione a conta de usuário do administrador de Diretiva de Grupo que servirá como Revisor e clique em OK.
Na caixa de diálogo Adicionar Grupo ou Usuário, selecione a função Revisor para atribuir somente essa função à conta.
Etapas para gerenciar GPOs
Você deve concluir as etapas a seguir para criar, editar, examinar e implantar GPOs usando o AGPM. Além disso, você irá criar um modelo, excluir um GPO e restaurar um GPO excluído.
Etapa 1: Criar um GPO
Etapa 2: Editar um GPO
Etapa 3: Examinar e implantar um GPO
Etapa 4: Usar um modelo para criar um GPO
Etapa 5: Excluir e restaurar um GPO
Etapa 1: Criar um GPO
Em um ambiente que tenha vários administradores de Diretiva de Grupo, aqueles com a função Editor podem solicitar a criação de novos GPOs. No entanto, essa solicitação deve ser aprovada por alguém com a função Aprovador.
Nesta etapa, você usa uma conta que tenha a função Editor para solicitar a criação de um novo GPO. Usando uma conta que tenha a função Aprovador, você aprova essa solicitação para criar um GPO.
Para solicitar a criação de um novo GPO gerenciado por meio do AGPM
Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Editor no AGPM.
Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.
Clique com o botão direito do mouse no nó Controle de Alterações e, em seguida, clique em Novo GPO Controlado.
Na caixa de diálogo Novo GPO Controlado:
Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc.
Digite Meu_GPO como o nome do novo GPO.
Digite um comentário para o novo GPO.
Clique em Criar ao vivo para que o novo GPO seja implantado no ambiente de produção logo após a aprovação. Clique em Enviar.
Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O novo GPO será exibido na guia Pendente.
Para aprovar a solicitação pendente para criar um GPO
Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Aprovador no AGPM.
Abra a caixa de entrada de emails da conta e observe que você recebeu uma mensagem de email do alias do AGPM com a solicitação do Editor para criar um GPO.
Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.
Na guia Conteúdo, clique na guia Pendente para exibir os GPOs pendentes.
Clique com o botão direito do mouse em Meu_GPO e clique em Aprovar.
Clique em Sim para confirmar a aprovação e mover o GPO para a guia Controlado.
Etapa 2: Editar um GPO
É possíveç usar GPOs para definir configurações de computador ou usuário e implantá-las em diversos computadores ou usuários. Nessa etapa, você usa uma conta que tenha a função Editor para fazer o check-out de um GPO do arquivo morto, editar o GPO offline, fazer o check-in do GPO editado no arquivo morto e solicitar a implantação do GPO no ambiente de produção. Para este cenário, você define uma configuração no GPO para exigir que a senha tenha pelo menos oito caracteres.
Para fazer check-out do GPO do arquivo morto para edição
Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Editor no AGPM.
Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.
Na guia Conteúdo do painel de detalhes, clique na guia Controlado para exibir os GPOs controlados.
Clique com o botão direito do mouse em Meu_GPO e clique em Check-out.
Digite um comentário a ser exibido no histórico do GPO quando houver check-out e clique em OK.
Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. Na guia Controlado, o estado do GPO é identificado como Com Check-out.
Para editar o GPO offline e configurar o tamanho mínimo da senha
Na guia Controlado, clique com o botão direito do mouse em Meu_GPO e, em seguida, clique em Editar para abrir a janela do Editor de Gerenciamento de Diretiva de Grupo e altere uma cópia offline do GPO. Nesse cenário, configure o tamanho mínimo da senha:
Em Configuração do Computador, clique duas vezes em Diretivas, Configurações do Windows, Configurações de Segurança, Diretivas de Conta e Diretiva de Senha.
No painel de detalhes, clique duas vezes em Tamanho mínimo da senha.
Na janela de propriedades, marque a caixa de seleção Definir a configuração da diretiva, defina o número de caracteres como 8 e clique em OK.
Feche a janela Editor de Gerenciamento de Diretiva de Grupo.
Para fazer check-in do GPO no arquivo morto
Na guia Controlado, clique com o botão direito do mouse em Meu_GPO e clique em Check-in.
Digite um comentário e clique em OK.
Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. Na guia Controlado, o estado do GPO é identificado como Com Check-in.
Para solicitar a implantação do GPO no ambiente de produção
Na guia Controlado, clique com o botão direito em Meu_GPO e, em seguida, clique em Implantar.
Como esta conta não é um Aprovador ou Administrador AGPM, você deve enviar uma solicitação para implantação. Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc. Digite um comentário a ser exibido no histórico do GPO e clique em Enviar.
Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. Meu_GPO é exibido na lista de GPOs da guia Pendente.
Etapa 3: Examinar e implantar um GPO
Nesta etapa, você age como Aprovador, criando relatórios e analisando as configurações e alterações em configurações do GPO para determinar se deve aprová-los. Depois de avaliar o GPO, você o implanta no ambiente de produção e o vincula a um domínio ou UO (unidade organizacional). O GPO entra em vigor quando a Diretiva de Grupo é atualizada para computadores nesse domínio ou UO.
Para examinar configurações do GPO
Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Aprovador no AGPM. Qualquer administrador de Diretiva de Grupo com a função de Revisor, que está incluída em todas as outras funções, pode examinar as configurações de um GPO.
Abra a caixa de entrada de emails da conta e observe que você recebeu uma mensagem de email do alias do AGPM com a solicitação de um Editor para implantar um GPO.
Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.
Na guia Conteúdo do painel de detalhes, clique na guia Pendente.
Clique duas vezes em Meu_GPO para exibir seu histórico.
Examine as configurações da versão mais recente de Meu_GPO:
Na janela Histórico, clique com o botão direito do mouse na versão do GPO com o carimbo de data/hora mais recente, clique em Configurações e em Relatório HTML para exibir um resumo das configurações do GPO.
No navegador da Web, clique em mostrar tudo para exibir todas as configurações do GPO. Feche o navegador.
Compare a versão mais recente de Meu_GPO com a primeira versão com check-in no arquivo morto:
Na janela Histórico, clique na versão do GPO com o carimbo de data/hora mais recente. Pressione CTRL e clique na versão mais antiga do GPO para a qual a Versão do Computador não é *.
Clique no botão Diferenças. A seção Diretivas de Conta/Diretiva de Senha é realçada em verde e precedida por [+]. Isso indica que a configuração está definida apenas na versão mais antiga do GPO.
Clique em Diretivas de Conta/Diretiva de Senha. A configuração Comprimento mínimo da senha também está realçada em verde e precedida por [+], indicando que ela está configurada somente na última versão do GPO.
Feche o navegador da Web.
Para implantar o GPO no ambiente de produção
Na guia Pendente, clique com o botão direito do mouse em Meu_GPO e, em seguida, clique em Aprovar.
Digite um comentário a ser incluído no histórico do GPO.
Clique em Sim. Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O GPO é implantado no ambiente de produção.
Para vincular o GPO a um domínio ou unidade organizacional
No GPMC, clique com o botão direito do mouse no domínio ou em uma UO à qual você deseja aplicar o GPO que configurou e, em seguida, clique em Vincular um GPO Existente.
Na caixa de diálogo Selecionar GPO, clique em Meu_GPO e em OK.
Etapa 4: Usar um modelo para criar um GPO
Nesta etapa, você usa uma conta que tenha a função Editor para criar e usar um modelo. Esse modelo é uma versão estática de um GPO que deve ser usada como ponto de partida para a criação de GPOs novos. Embora você não possa editar um modelo, é possível criar um novo GPO com base em um. Os modelos são úteis para a criação rápida de vários GPOs que incluam muitas das mesmas configurações de diretiva.
Para criar um modelo com base em um GPO existente
Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Editor no AGPM.
Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.
Na guia Conteúdo do painel de detalhes, clique na guia Controlado.
Clique com o botão direito em Meu_GPO e depois clique em Salvar como Modelo para criar um modelo que incorpore todas as configurações atualmente presentes em Meu_GPO.
Digite Meu_Modelo como o nome do modelo e um comentário e, em seguida, clique em OK.
Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O novo modelo aparece na guia Modelos.
Para solicitar a criação de um novo GPO gerenciado por meio do AGPM
Clique na guia Controlado.
Clique com o botão direito do mouse no nó Controle de Alterações e, em seguida, clique em Novo GPO Controlado.
Na caixa de diálogo Novo GPO Controlado:
Para receber uma cópia da solicitação, digite seu endereço de email no campo Cc.
Digite Meu_Outro_GPO como o nome do novo GPO.
Digite um comentário para o novo GPO.
Clique em Criar ao vivo para que o novo GPO seja implantado no ambiente de produção logo após a aprovação.
Para Do modelo do GPO, selecione Meu_Modelo. Clique em Enviar.
Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O novo GPO será exibido na guia Pendente.
Use uma conta à qual tenha sido atribuída a função Aprovador para aprovar a solicitação pendente para criar o GPO como você fez em Etapa 1: Criar um GPO. Meu_Modelo incorpora todas as configurações que você definiu em Meu_GPO. Como Meu_Outro_GPO foi criado usando Meu_Modelo, ele contém inicialmente todas as configurações que Meu_GPO apresentava no momento da criação de Meu_Modelo. Você pode confirmar isso gerando um relatório de diferenças para comparar Meu_Outro_GPO com Meu_Modelo.
Para fazer check-out do GPO do arquivo morto para edição
Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Editor no AGPM.
Clique com o botão direito do mouse em Meu_Outro_GPO e, em seguida, clique em Check-out.
Digite um comentário a ser exibido no histórico do GPO quando houver check-out e clique em OK.
Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. Na guia Controlado, o estado do GPO é identificado como Com Check-out.
Para editar o GPO offline e configurar a duração do bloqueio de conta
Na guia Controlado, clique com o botão direito do mouse em Meu_Outro_GPO e, em seguida, clique em Editar para abrir a janela do Editor de Gerenciamento de Diretiva de Grupo e altere uma cópia offline do GPO. Nesse cenário, configure o tamanho mínimo da senha:
Em Configuração do Computador, clique duas vezes em Diretivas, Configurações do Windows, Configurações de Segurança, Diretivas de Conta e Diretiva de bloqueio de conta.
No painel de detalhes, clique duas vezes em Duração do bloqueio de conta.
Na janela de propriedades, marque a caixa de seleção Definir a configuração da diretiva, defina a duração como 30 minutos e clique em OK.
Feche a janela Editor de Gerenciamento de Diretiva de Grupo.
Faça check-in de Meu_Outro_GPO no arquivo morto e solicite a implantação como você fez para Meu_GPO em Etapa 2: Editar um GPO. É possível comparar Meu_Outro_GPO com Meu_GPO ou com Meu_Modelo usando relatórios de diferenças. Qualquer conta que inclua a função de Revisor (Administrador [Controle Total], Aprovador, Editor ou Revisor do AGPM) pode gerar relatórios.
Para comparar um GPO com outro GPO e com um modelo
Para comparar Meu_GPO e Meu_Outro_GPO:
Na guia Controlado, clique em Meu_GPO. Pressione CTRL e clique em Meu_Outro_GPO.
Clique com o botão direito do mouse em Meu_Outro_GPO, aponte para Diferenças e clique em Relatório HTML.
Para comparar Meu_Outro_GPO e Meu_Modelo:
Na guia Controlado, clique em Meu_Outro_GPO.
Clique com o botão direito do mouse em Meu_Outro_GPO, aponte para Diferenças e clique em Modelo.
Selecione Meu_Modelo e Relatório HTML e clique em OK.
Etapa 5: Excluir e restaurar um GPO
Nesta etapa, você age como Aprovador para excluir um GPO.
Para excluir um GPO
Em um computador que tenha o Cliente AGPM instalado, faça logon com uma conta de usuário à qual tenha sido atribuída a função Aprovador.
Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Controle de Alterações na floresta e no domínio em que os GPOs serão gerenciados.
Na guia Conteúdo, clique na guia Controlado para exibir os GPOs controlados.
Clique com o botão direito do mouse em Meu_GPO e clique em Excluir. Clique em Excluir GPO de arquivo e produção para excluir tanto a versão no arquivo morto quanto a versão implantada do GPO no ambiente de produção.
Digite um comentário a ser exibido na trilha de auditoria do GPO e clique em OK.
Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O GPO é removido da guia Controlado e exibido na guia Lixeira, onde pode ser restaurado ou destruído.
Às vezes, você pode descobrir, depois de excluir um GPO, que ele ainda é necessário. Nesta etapa, você age como Aprovador para restaurar um GPO que foi excluído.
Para restaurar um GPO excluído
Na guia Conteúdo, clique na guia Lixeira para exibir GPOs excluídos.
Clique com o botão direito do mouse em Meu_GPO e, em seguida, clique em Restaurar.
Digite um comentário a ser exibido no histórico do GPO e clique em OK.
Quando a janela Progresso do AGPM indicar que o progresso geral está concluído, clique em Fechar. O GPO é removido da guia Lixeira e exibido na guia Controlado.
Dica
A restauração de um GPO no arquivo morto não o reimplanta automaticamente no ambiente de produção. Para que o GPO retorne ao ambiente de produção, você deve implantá-lo como em Etapa 3: Examinar e implantar um GPO.
Depois de editar e implantar um GPO, você pode descobrir que alterações recentes no GPO estão causando um problema. Nesta etapa, você age como Aprovador para reverter para uma versão anterior do GPO. É possível reverter para qualquer versão no histórico do GPO. É possível usar comentários e rótulos para identificar versões boas conhecidas e quando alterações específicas foram feitas.
Para reverter para uma versão anterior de um GPO
Na guia Conteúdo, clique na guia Controlado para exibir os GPOs controlados.
Clique duas vezes em Meu_GPO para exibir seu histórico.
Clique com o botão direito do mouse na versão a ser implantada, clique em Implantar e em Sim.
Quando a janela Progresso indicar que o progresso geral está concluído, clique em Fechar. Na janela Histórico, clique em Fechar.
Dica
Para verificar se a versão que foi reimplantada é a desejada, examine um relatório de diferenças das duas versões. Na janela Histórico do GPO, selecione as duas versões, clique com o botão direito do mouse nelas, aponte para Diferença e clique em Relatório HTML ou em Relatório XML.
-----
É possível obter mais informações sobre o MDOP na Biblioteca do TechNet, pesquisar sobre solução de problemas no Wiki da TechNet ou nos seguir no Facebook ou Twitter.
-----