Пошаговое руководство по работе со службой расширенного управления групповыми политиками Microsoft версии 3.0

В данном пошаговом руководстве описаны дополнительные методики управления групповыми политиками с помощью консоли управления групповыми политиками (GPMC) и службы расширенного управления групповыми политиками Microsoft (AGPM). AGPM расширяет возможности GPMC и предоставляет следующее.

• Стандартные роли для делегирования прав на управление объектами групповой политики нескольким администраторам групповых политик, а также возможность делегирования прав доступа к объектам групповой политики в производственной среде.

• Архив, который позволяет администраторам групповых политик автономно создавать и изменять объекты групповой политики перед внедрением их в производственной среде.

• Возможность отката до любой предыдущей версии объекта групповой политики из архива и ограничения количества хранимых в архиве версий.

• Возможность извлечения и возврата объектов групповой политики во избежание случайной перезаписи администраторами групповых политик результатов работы друг друга.

Обзор сценария расширенного управления групповыми политиками

В данном сценарии для демонстрации процедуры управления групповыми политиками в среде с несколькими администраторами, обладающими правами различных уровней, для каждой роли в службе расширенного управления групповыми политиками будет использоваться отдельная учетная запись пользователя. В частности сценарий включает выполнение следующих задач.

• Установка сервера AGPM с использованием учетной записи, входящей в группу администраторов домена, и назначение учетной записи или группе роли администратора AGPM.

• Установка клиента AGPM с использованием учетных записей, которым будут назначены роли AGPM.

• Настройка AGPM с использованием учетной записи, которой назначена роль администратора AGPM, и делегирование прав доступа к объектам групповой политики путем назначения ролей другим учетным записям.

• Запрос создания объекта групповой политики с использованием учетной записи, которой назначена роль редактора, и его утверждение под учетной записью, для которой определена роль утверждающего. Извлечение объекта групповой политики из архива под учетной записью редактора, редактирование объекта, возврат объекта в архив и выполнение запроса на развертывание.

• Проверка объекта групповой политики с использованием учетной записи, которой назначена роль утверждающего, и его развертывание в используемой производственной среде.

• Создание шаблона объектов групповой политики с использованием учетной записи, которой назначена роль редактора, и использование его при создании нового объекта групповой политики.

• Удаление и восстановление объекта групповой политики с использованием учетной записи, которой назначена роль утверждающего.

Требования

Компьютеры, на которые будет установлена служба расширенного управления групповыми политиками, должны удовлетворять перечисленным ниже требованиям. Кроме того, для выполнения данного сценария необходимо создать учетные записи.

Примечание

Если на компьютере установлена служба AGPM 2.5 и выполняется обновление системы Windows Server® 2003 до Windows Server 2008 или Windows Vista®, в которой не установлены пакеты обновления, до Windows Vista с пакетом обновления 1, то чтобы обновить службу до версии AGPM 3.0 сначала необходимо выполнить обновление операционной системы.

Требования к серверу AGPM

Для работы сервера AGPM Server 3.0 необходима система Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1), а также консоль управления групповыми политиками из средств удаленного администрирования сервера. Поддерживаются как 32-разрядная, так и 64-разрядная версии.

Чтобы установить сервер AGPM, необходимо быть участником группы администраторов домена. Кроме того, в системе Windows должны присутствовать перечисленные ниже компоненты, если не указано иное.

• GPMC

  • Windows Server 2008: если консоль управления групповыми политиками не установлена, ее автоматически устанавливает сервер AGPM.

  • Windows Vista: перед установкой сервера AGPM необходимо установить консоль управления групповыми политиками из средств удаленного администрирования сервера. Дополнительные сведения см. на веб-узле https://go.microsoft.com/fwlink/?LinkID=116179 (на английском языке).

• .NET Framework 3.5

Для работы сервера AGPM требуются перечисленные ниже компоненты Windows, которые в случае отсутствия будут установлены автоматически.

• Активация WCF; Не-HTTP активация

• Служба активации процессов Windows

  • Модель процесса

  • Среда .NET

  • API-интерфейсы конфигурации

Требования к клиенту AGPM

Для работы клиента AGPM 3.0 необходима система Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1), а также консоль управления групповыми политиками из средств удаленного администрирования сервера. Поддерживаются как 32-разрядная, так и 64-разрядная версии. Клиент AGPM можно установить на компьютере, на котором установлен сервер AGPM.

Ниже перечислены компоненты системы Windows, необходимые для работы клиента AGPM. В случае их отсутствия они будут установлены автоматически, если не указано иное.

• Консоль управления групповыми политиками

  • Windows Server 2008: если консоль управления групповыми политиками не установлена, ее автоматически устанавливает сервер AGPM.

  • Windows Vista: перед установкой сервера AGPM необходимо установить консоль управления групповыми политиками из средств удаленного администрирования сервера. Дополнительные сведения см. на веб-узле https://go.microsoft.com/fwlink/?LinkID=116179 (на английском языке).

• .NET Framework 3.0

Требования к сценарию

Прежде чем приступить к выполнению этого сценария, создайте четыре учетных записи пользователей. В процессе работы каждой из этих учетных записей будет назначена одна из следующих ролей AGPM: администратор (полный доступ), утверждающий, редактор и проверяющий. Для этих учетных записей должны быть определены права отправки и получения сообщений электронной почты. Назначьте учетным записям, для которых определены роли администратора, утверждающего и (дополнительно) редактора AGPM, разрешение Связанные объекты GPO.

Примечание

Разрешение Связанные объекты GPO назначается членам группы администраторов домена и администраторов предприятия по умолчанию. Чтобы назначить разрешение Связанные объекты GPO дополнительным пользователям или группам (например, учетным записям, для которых определена роль администратора или утверждающего AGPM), щелкните узел домена, а затем перейдите на вкладку Делегирование, выберите Связанные объекты GPO, нажмите кнопку Добавить и выберите пользователей или группы, которым необходимо назначить разрешение.

Установка и настройка AGPM

Чтобы установить и настроить AGPM, необходимо выполнить следующие действия.

Шаг 1. Установка сервера AGPM

Шаг 2. Установка клиента AGPM

Шаг 3. Настройка подключения к серверу AGPM

Шаг 4. Настройка уведомления по электронной почте

Шаг 5. Делегирование прав доступа

Шаг 1. Установка сервера AGPM

В данном шаге сервер AGPM устанавливается на контроллере домена или на рядовом сервере, на котором будет работать служба AGPM, а также выполняется настройка архива. Управление всеми операциями AGPM осуществляется с помощью этой службы Windows, а для их выполнения используются ее учетные данные. Архив, управление которым осуществляется с помощью сервера AGPM, можно разместить на этом сервере или на другом сервере в том же лесу.

Чтобы установить сервер AGPM на компьютере, на котором будет размещена служба AGPM, выполните следующие действия.

1. Войдите в систему под учетной записью, входящей в группу администраторов домена.

2. Запустите компакт-диск с пакетом Microsoft Desktop Optimization Pack и, следуя инструкциям на экране, выберите Расширенное управление групповыми политиками Microsoft – сервер.

3. В начальном диалоговом окне нажмите кнопку Далее.

4. В диалоговом окне Лицензионное соглашение Майкрософт примите условия соглашения и нажмите кнопку Далее.

5. В диалоговом окне Путь приложения выберите папку для установки сервера AGPM. Компьютер, на котором установлен сервер AGPM, будет использоваться для размещения службы AGPM и управления архивом. Нажмите кнопку Далее.

6. В диалоговом окне Путь архива выберите местоположение для архива относительно сервера AGPM. Путь архива может указывать на папку на сервере AGPM или в другом месте. Однако необходимо выбрать такое местоположение, где достаточно места для хранения объектов групповой политики и данных журнала, управление которыми осуществляется сервером AGPM. Нажмите кнопку Далее.

7. В диалоговом окне Учетная запись службы выберите учетную запись службы, под которой будет запускаться служба AGPM, а затем нажмите кнопку Далее.

8. В диалоговом окне Владелец архива выберите учетную запись или группу, которой изначально будет назначена роль администратора AGPM (с полным доступом). Этот администратор AGPM может назначать роли и разрешения AGPM другим администраторам групповых политик (включая роль администратора AGPM). В данном сценарии выберите учетную запись для использования в качестве администратора AGPM. Нажмите кнопку Далее.

9. В диалоговом окне Конфигурация порта введите порт, с которым должна работать служба AGPM. Флажок Добавить исключение порта в брандмауэр следует снять только в том случае, если исключения для порта настроены вручную или используются правила настройки исключений. Нажмите кнопку Далее.

10. В диалоговом окне Языки выберите один или несколько языков отображения для сервера AGPM.

11. Нажмите кнопку Установить, а затем кнопку Готово для завершения работы мастера установки.

    Предупреждение

    Для изменения параметров службы AGPM не следует использовать инструмент Службы группы Администрирование панели управления в операционной системе. В этом случае запуск службы AGPM может оказаться невозможным. Для получения дополнительных сведений об изменении параметров службы см. справку службы расширенного управления групповыми политиками.

Шаг 2. Установка клиента AGPM

На компьютерах администраторов групповых политик (тех, кто выполняет операции создания, редактирования, внедрения, проверки или удаления объектов групповой политики), которые используются для управления объектами групповой политики, должен быть установлен клиент AGPM. Для данного сценария клиент AGPM необходимо установить хотя бы на один компьютер. Клиент AGPM не нужно устанавливать на компьютеры конечных пользователей, которые не выполняют операции администрирования групповых политик.

Чтобы установить клиент AGPM на компьютер администратора групповых политик, выполните следующие действия.

1. Запустите компакт-диск с пакетом Microsoft Desktop Optimization Pack и, следуя инструкциям на экране, выберите Расширенное управление групповыми политиками Microsoft – клиент.

2. В начальном диалоговом окне нажмите кнопку Далее.

3. В диалоговом окне Лицензионное соглашение Майкрософт примите условия соглашения и нажмите кнопку Далее.

4. В диалоговом окне Путь приложения выберите папку для установки клиента AGPM. Нажмите кнопку Далее.

5. В диалоговом окне Сервер AGPM введите полное имя компьютера для сервера AGPM и порт для подключения. По умолчанию для службы AGPM используется порт 4600. Флажок Разрешить консоль управления Microsoft в брандмауэре следует снять только в том случае, если исключения для порта настроены вручную или используются правила настройки исключений. Нажмите кнопку Далее.

6. В диалоговом окне Языки выберите один или несколько языков отображения для клиента AGPM.

7. Нажмите кнопку Установить, а затем кнопку Готово для завершения работы мастера установки.

Шаг 3. Настройка подключения к серверу AGPM

AGPM сохраняет все версии каждого управляемого объекта групповой политики – объекта, для которого обеспечивается управление изменениями, – в центральном архиве. Это позволяет администраторам групповых политик автономно просматривать и изменять объекты групповой политики без немедленного изменения развернутых версий этих объектов.

В данном шаге выполняется настройка подключения к серверу AGPM и обеспечивается подключение всех администраторов групповых политик к одному серверу AGPM (для получения дополнительных сведений о настройке нескольких серверов AGPM см. справку службы расширенного управления групповыми политиками).

Чтобы настроить подключение к серверу AGPM для всех администраторов групповых политик, выполните следующие действия.

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, выбранной в качестве владельца архива. Этому пользователю назначена роль администратора AGPM (с полным доступом).

2. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Управление групповой политикой, чтобы открыть GPMC.

3. Отредактируйте объект групповой политики, который применяется ко всем администраторам групповых политик.

4. В окне редактора управления групповыми политиками дважды щелкните Конфигурация пользователя, Политики, Административные шаблоны, Компоненты Windows и AGPM.

5. На панели подробностей дважды щелкните AGPM: Укажите сервер AGPM по умолчанию (все домены).

6. В окне Свойства выберите Включено и введите полное имя компьютера и порт (например, server.contoso.com:4600) для сервера, на котором размещен архив. По умолчанию для службы AGPM используется порт 4600.

7. Нажмите кнопку ОК, а затем закройте окно редактора управления групповыми политиками. При обновлении групповой политики подключение к серверу AGPM необходимо настроить для каждого администратора групповых политик.

Шаг 4. Настройка уведомления по электронной почте

Для утверждающих и администраторов AGPM, которым при попытке редактора создать, выполнить развертывание или удалить объект групповой политики направляется сообщение электронной почты с запросом, адреса электронной почты назначает администратор AGPM (с полным доступом). Он также определяет псевдоним, под которым отправляются сообщения.

Чтобы настроить уведомление по электронной почте для AGPM, выполните следующие действия.

1. На панели подробностей дважды щелкните вкладку Делегация домена.

2. В поле Адрес эл. почты отправителя введите псевдоним электронной почты для AGPM, под которым будут отправляться уведомления.

3. В поле Адрес эл. почты получателя введите адрес электронной почты для учетной записи пользователя, для которой планируется назначить роль утверждающего.

4. В поле SMTP-сервер введите допустимый почтовый SMTP-сервер.

5. В полях Имя пользователя и Пароль введите учетные данные пользователя с правами доступа к службе SMTP. Нажмите кнопку Применить.

Шаг 5. Делегирование прав доступа

Администратор AGPM (с полным доступом) может делегировать права доступа к объектам групповой политики на уровне домена путем назначения ролей учетным записям администраторов групповых политик.

Примечание

Он также может делегировать права доступа на уровне объекта групповой политики, а не на уровне домена. Для получения дополнительных сведений см. справку службы расширенного управления групповыми политиками.

Важно!

Необходимо ограничить число пользователей, входящих в группу владельцев-создателей групповой политики, чтобы злоумышленники не смогли воспользоваться возможностью управления доступом к объектам групповой политики с помощью AGPM. (В консоли управления групповыми политиками выберите элемент Объекты групповой политики в лесу и домене, где требуется управление объектами групповой политики, щелкните Делегирование, а затем настройте параметры в соответствии с потребностями организации.)

Чтобы делегировать права доступа ко всем объектам групповой политики в домене, выполните следующие действия.

1. На вкладке Делегация домена нажмите кнопку Добавить, выберите учетную запись администратора групповых политик, которая будет использоваться в качестве утверждающего, а затем нажмите кнопку ОК.

2. В диалоговом окне Добавление группы или пользователя выберите роль Утверждающий для назначения ее учетной записи, а затем нажмите кнопку ОК. (Эта роль также включает роль проверяющего.)

3. Нажмите кнопку Добавить, выберите учетную запись администратора групповых политик, которая будет использоваться в качестве редактора, а затем нажмите кнопку ОК.

4. В диалоговом окне Добавление группы или пользователя выберите роль Редактор для назначения ее учетной записи, а затем нажмите кнопку ОК. (Эта роль также включает роль проверяющего.)

5. Нажмите кнопку Добавить, выберите учетную запись администратора групповых политик, которая будет использоваться в качестве проверяющего, а затем нажмите кнопку ОК.

6. В диалоговом окне Добавление группы или пользователя выберите роль Проверяющий для назначения учетной записи только этой роли.

Управление объектами групповой политики

Чтобы создать, отредактировать, проверить и выполнить развертывание объектов групповой политики с помощью AGPM, необходимо выполнить приведенные ниже действия. Кроме того, далее рассматривается процедура создания шаблона, удаления объекта групповой политики и восстановления удаленного объекта.

Шаг 1. Создание объекта групповой политики

Шаг 2. Редактирование объекта групповой политики

Шаг 3. Проверка и развертывание объекта групповой политики

Шаг 4. Использование шаблона для создания объекта групповой политики

Шаг 5. Удаление и восстановление объекта групповой политики

Шаг 1. Создание объекта групповой политики

Если в среде управление групповыми политиками осуществляют несколько администраторов, то те из них, которым назначена роль редактора, могут выполнить запрос на создание новых объектов групповой политики. Однако этот запрос должен быть утвержден кем-либо, кому назначена роль утверждающего, поскольку при создании нового объекта групповой политики происходят изменения в производственной среде.

В данном шаге запрос на создание нового объекта групповой политики выполняется с использованием учетной записи, которой назначена роль редактора. Этот запрос утверждается с использованием учетной записи, которой назначена роль утверждающего, после чего завершается создание объекта групповой политики.

Чтобы отправить запрос на создание нового объекта групповой политики с помощью AGPM, выполните следующие действия.

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой в AGPM назначена роль редактора.

2. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

3. Щелкните правой кнопкой мыши узел Изменение управления, а затем выберите элемент Новый управляемый объект групповой политики.

4. В диалоговом окне Новый управляемый объект групповой политики:

   1. Введите адрес электронной почты в поле Копия, чтобы получить копию запроса.

   2. В качестве имени нового объекта групповой политики введите MyGPO.

   3. Введите комментарий для нового объекта групповой политики.

   4. Выберите параметр Создать интерактивный, чтобы развертывание объекта групповой политики в производственной среде выполнялось сразу после утверждения. Нажмите кнопку Отправить.

5. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. Новый объект групповой политики отображается на вкладке В ожидании.

Чтобы утвердить отложенный запрос на создание объекта групповой политики, выполните следующие действия.

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой в AGPM назначена роль утверждающего.

2. Откройте папку входящих сообщений ящика электронной почты, определенного для этой учетной записи, и найдите в ней сообщение, отправленное под псевдонимом AGPM, с запросом редактора на создание объекта групповой политики.

3. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

4. На вкладке Содержание выберите вкладку В ожидании, чтобы отобразить отложенные объекты групповой политики.

5. Щелкните правой кнопкой мыши MyGPO, а затем выберите пункт Утвердить.

6. Нажмите кнопку Да, чтобы подтвердить утверждение создания объекта групповой политики. Объект групповой политики будет перемещен на вкладку Управляемые.

Шаг 2. Редактирование объекта групповой политики

Объекты групповой политики можно использовать для настройки компьютера или параметров пользователя. Развертывание этих объектов можно выполнять на нескольких компьютерах и для различных пользователей. В данном шаге объект групповой политики извлекается из архива с использованием учетной записи, для которой назначена роль редактора, далее выполняется редактирование объекта в автономном режиме и его возврат в архив, а затем отправляется запрос на развертывание объекта групповой политики в производственной среде. Для данного сценария в объекте групповой политики необходимо настроить параметр, в соответствии с которым пароль должен быть не менее восьми символов.

Чтобы извлечь объект групповой политики из архива для редактирования, выполните следующие действия.

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, для которой в AGPM назначена роль редактора.

2. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

3. На панели подробностей вкладки Содержание выберите вкладку Управляемые, чтобы отобразить управляемые объекты групповой политики.

4. Щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Извлечь.

5. Введите комментарий, который должен отображаться в журнале объекта групповой политики, когда он извлечен из архива, а затем нажмите кнопку ОК.

6. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. На вкладке Управляемые для объекта групповой политики будет указано состояние Извлечен.

Чтобы отредактировать объект групповой политики в автономном режиме и настроить минимальную длину пароля, выполните следующие действия.

1. На вкладке Управляемые щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Правка, чтобы открыть окно редактора управления групповыми политиками и внести изменения в автономную копию объекта групповой политики. Для данного сценария следует настроить минимальную длину пароля.

   1. В папке Конфигурация компьютера дважды щелкните Политики, Конфигурация Windows, Параметры безопасности, Политики учетных записей и Политика паролей.

   2. На панели подробностей дважды щелкните элемент Минимальная длина пароля.

   3. В окне свойств установите флажок Определить следующий параметр политики, установите количество символов, равное 8, а затем нажмите кнопку ОК.

2. Закройте окно редактора управления групповыми политиками.

Чтобы вернуть объект групповой политики в архив, выполните следующие действия.

1. На вкладке Управляемые щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Возвратить.

2. Введите комментарий, а затем нажмите кнопку ОК.

3. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. На вкладке Управляемые для объекта групповой политики будет указано состояние Возвращен.

Чтобы отправить запрос на развертывание объекта групповой политики в производственной среде, выполните следующие действия.

1. На вкладке Управляемые щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Развернуть.

2. Поскольку эта учетная запись не обладает правами утверждающего или администратора AGPM, необходимо отправить запрос на развертывание. Введите адрес электронной почты в поле Копия, чтобы получить копию запроса. Введите комментарий, который должен отображаться в журнале объекта групповой политики, а затем нажмите кнопку Отправить.

3. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. Объект MyGPO отображается в списке объектов групповой политики на вкладке В ожидании.

Шаг 3. Проверка и развертывание объекта групповой политики

В данном шаге для принятия решения об утверждении объекта групповой политики, использую учетную запись утверждающего необходимо создать отчеты и проанализировать параметры объекта и их изменения. После проведения оценки следует выполнить развертывание объекта групповой политики в производственной среде и установить связь между объектом и доменом или подразделением таким образом, чтобы он вступил в силу при обновлении групповой политики для компьютеров, входящих в этот домен или подразделение.

Чтобы проверить параметры в объекте групповой политики, выполните следующие действия.

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой в AGPM назначена роль утверждающего. (Параметры в объекте групповой политики может проверить администратор групповых политик, которому назначена роль проверяющего. Права проверяющего предоставляются администратору и при назначении любой другой роли.)

2. Откройте папку входящих сообщений ящика электронной почты, определенного для этой учетной записи, и найдите в ней сообщение, отправленное под псевдонимом AGPM, с запросом редактора на создание объекта групповой политики.

3. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

4. На панели подробностей вкладки Содержание выберите вкладку В ожидании.

5. Дважды щелкните объект MyGPO, чтобы отобразить журнал.

6. Проверьте параметры самой последней версии MyGPO.

   1. В окне Журнал щелкните правой кнопкой мыши версию объекта групповой политики, созданную последней, выберите пункт Параметры, а затем щелкните Отчет в формате HTML, чтобы отобразить сводку параметров, содержащихся в этом объекте.

   2. В веб-обозревателе щелкните показать все, чтобы отобразить все параметры объекта групповой политики. Закройте веб-обозреватель.

7. Сравните последнюю версию объекта MyGPO с первой версией, которая была помещена в архив.

   1. В окне Журнал выберите версию объекта групповой политики, созданную последней. Нажмите клавишу CTRL и выберите самую раннюю версию объекта групповой политики, для которой в качестве версии компьютера указано значение, отличное от *.

   2. Нажмите кнопку Различия. Перед разделом Политики учетных записей/Политика паролей, который будет выделен зеленым цветом, появится значок [+]. Это указывает на то, что данный параметр настроен только в последней версии объекта групповой политики.

   3. Щелкните Политики учетных записей/Политика паролей. Аналогично, зеленым цветом будет выделен параметр Минимальная длина пароля, перед которым также появится значок [+] как указание на то, что параметр настроен только в последней версии объекта групповой политики.

   4. Закройте веб-обозреватель.

Чтобы выполнить развертывание объекта групповой политики в производственной среде, выполните следующие действия.

1. На вкладке В ожидании щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Утвердить.

2. Введите комментарий для добавления в журнал объекта групповой политики.

3. Нажмите кнопку Да. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. Развертывание объекта групповой политики в производственной среде будет выполнено.

Чтобы установить связь между объектом групповой политики и доменом или подразделением, выполните следующие действия.

1. В GPMC щелкните правой кнопкой мыши домен или подразделение, к которым требуется применить настроенный объект групповой политики, и выберите пункт Связать существующий объект GPO.

2. В диалоговом окне Выбор объекта групповой политики выберите объект MyGPO, а затем нажмите кнопку ОК.

Шаг 4. Использование шаблона для создания объекта групповой политики

В данном шаге под учетной записью, для которой назначена роль редактора, создается шаблон, т.е. нередактируемая статическая версия объекта групповой политики, используемая в качестве основы для создания новых объектов. Затем, на базе этого шаблона создается новый объект групповой политики. Шаблоны помогают быстро создавать несколько объектов групповой политики, многие параметры которых совпадают.

Чтобы создать шаблон на основе существующего объекта групповой политики, выполните следующие действия.

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, для которой в AGPM назначена роль редактора.

2. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

3. На панели подробностей вкладки Содержание выберите вкладку Управляемые.

4. Щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Сохранить как шаблон, чтобы создать шаблон, включающий все текущие параметры объекта MyGPO.

5. Введите MyTemplate в качестве имени объекта и добавьте комментарий, а затем нажмите кнопку ОК.

6. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. Новый шаблон появится на вкладке Шаблоны.

Чтобы отправить запрос на создание нового объекта групповой политики с помощью AGPM, выполните следующие действия.

1. Выберите вкладку Управляемые.

2. Щелкните правой кнопкой мыши узел Изменение управления, а затем выберите элемент Новый управляемый объект групповой политики.

3. В диалоговом окне Новый управляемый объект групповой политики:

   1. Введите адрес электронной почты в поле Копия, чтобы получить копию запроса.

   2. В качестве имени нового объекта групповой политики введите MyOtherGPO.

   3. Введите комментарий для нового объекта групповой политики.

   4. Выберите параметр Создать интерактивный, чтобы развертывание объекта групповой политики в производственной среде выполнялось сразу после утверждения.

   5. В списке Из шаблона объектов групповой политики выберите MyTemplate. Нажмите кнопку Отправить.

4. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. Новый объект групповой политики отображается на вкладке В ожидании.

Для утверждения отложенного запроса и создания объекта групповой политики используйте учетную запись, которой назначена роль утверждающего. См. Шаг 1. Создание объекта групповой политики. Шаблон MyTemplate включает все параметры, настроенные в объекте MyGPO. Поскольку объект MyOtherGPO создан на основе шаблона MyTemplate, он изначально содержит все параметры, настроенные в MyGPO на момент создания шаблона MyTemplate. В этом можно убедиться, если сравнить объект MyOtherGPO и шаблон MyTemplate, создав отчет о различиях.

Чтобы извлечь объект групповой политики из архива для редактирования, выполните следующие действия.

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, для которой в AGPM назначена роль редактора.

2. Щелкните правой кнопкой мыши объект MyOtherGPO, а затем выберите пункт Извлечь.

3. Введите комментарий, который должен отображаться в журнале объекта групповой политики, когда он извлечен из архива, а затем нажмите кнопку ОК.

4. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. На вкладке Управляемые для объекта групповой политики будет указано состояние Извлечен.

Чтобы отредактировать объект групповой политики в автономном режиме и настроить продолжительность блокировки учетной записи, выполните следующие действия.

1. На вкладке Управляемые щелкните правой кнопкой мыши объект MyOtherGPO, а затем выберите пункт Правка, чтобы открыть окно редактора управления групповыми политиками и внести изменения в автономную копию объекта групповой политики. Для данного сценария следует настроить минимальную длину пароля.

   1. В папке Конфигурация компьютера дважды щелкните Политики, Параметры Windows, Параметры безопасности, Политики учетных записей и Политика блокировки учетных записей.

   2. На панели подробностей дважды щелкните элемент Продолжительность блокировки учетной записи.

   3. В окне свойств установите флажок Определить следующий параметр политики, задайте продолжительность, равную 30 минутам, а затем нажмите кнопку ОК.

2. Закройте окно редактора управления групповыми политиками.

Выполните возврат объекта MyOtherGPO в архив и отправьте запрос на развертывание, как для объекта MyGPO. См. Шаг 2. Редактирование объекта групповой политики. Объект MyOtherGPO можно сравнить с объектом MyGPO или шаблоном MyTemplate, создав отчеты о различиях. Отчеты можно создавать, используя любую учетную запись, для которой определены права проверяющего (т.е. назначена роль администратора (с полным доступом), утверждающего, редактора или проверяющего AGPM).

Чтобы сравнить один объект групповой политики с другим объектом или шаблоном, выполните следующие действия.

1. Чтобы сравнить MyGPO и MyOtherGPO

   1. На вкладке Управляемые выберите объект MyGPO. Нажмите клавишу CTRL и выберите объект MyOtherGPO.

   2. Щелкните правой кнопкой мыши объект MyOtherGPO, выберите пункт Различия, а затем щелкните Отчет в формате HTML.

2. Чтобы сравнить MyOtherGPO и MyTemplate

   1. На вкладке Управляемые выберите объект MyOtherGPO.

   2. Щелкните правой кнопкой мыши объект MyOtherGPO, выберите пункт Различия, а затем щелкните Шаблон.

   3. Выберите MyTemplate и Отчет в формате HTML, а затем нажмите кнопку ОК.

Шаг 5. Удаление и восстановление объекта групповой политики

В данном шаге объект групповой политики удаляется с использованием учетной записи утверждающего.

Чтобы удалить объект групповой политики, выполните следующие действия.

1. На компьютере, на котором установлен клиент AGPM, войдите в систему с учетной записью, которой назначена роль утверждающего.

2. В дереве консоли управления групповыми политиками выберите элемент Изменение управления в лесу и домене, где требуется управление объектами групповой политики.

3. На вкладе Содержание выберите вкладку Управляемые, чтобы отобразить управляемые объекты групповой политики.

4. Щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Удалить. Выберите параметр Удалить объект групповой политики из архива и производства, чтобы удалить как версию объекта групповой политики в архиве, так и версию, развернутую в производственной среде.

5. Введите комментарий для объекта групповой политики, который должен отображаться в аудиторском следе, а затем нажмите кнопку ОК.

6. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. Объект групповой политики удалится на вкладке Управляемые и отобразится на вкладке Корзина, которая позволяет его восстановить или уничтожить.

В некоторых случаях после удаления объекта групповой политики он может потребоваться снова. В данном шаге объект групповой политики восстанавливается с использованием учетной записи утверждающего.

Чтобы восстановить удаленный объект групповой политики, выполните следующие действия.

1. На вкладке Содержание выберите вкладку Корзина, чтобы отобразить удаленные объекты групповой политики.

2. Щелкните правой кнопкой мыши объект MyGPO, а затем выберите пункт Восстановить.

3. Введите комментарий, который должен отображаться в журнале объекта групповой политики, а затем нажмите кнопку ОК.

4. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. Объект групповой политики удалится на вкладке Корзина и отобразится на вкладке Управляемые.

   Примечание

   При восстановлении объекта групповой политики в архиве его повторное развертывание в производственной среде не выполняется автоматически. Чтобы вернуть объект групповой политики в производственную среду, выполните его развертывание. См. Шаг 3. Проверка и развертывание объекта групповой политики.

После редактирования и развертывания объекта групповой политики может обнаружиться, что последние изменения его параметров вызывают ошибку. В данном шаге с использованием учетной записи утверждающего выполняется откат до предыдущей версии объекта групповой политики. Откат можно выполнить до любой версии в журнале объекта групповой политики. Для идентификации удачных версий или версий с определенными изменениями, можно использовать комментарии и метки.

Чтобы откатить изменения параметров объекта групповой политики и восстановить предыдущую версию, выполните следующие действия.

1. На вкладе Содержание выберите вкладку Управляемые, чтобы отобразить управляемые объекты групповой политики.

2. Дважды щелкните объект MyGPO, чтобы отобразить журнал.

3. Щелкните правой кнопкой мыши версию, которую необходимо развернуть, выберите пункт Развернуть, а затем нажмите кнопку Да.

4. Когда в окне Выполнение расширенного управления групповыми политиками будет указано, что процесс завершен, нажмите кнопку Закрыть. В окне Журнал нажмите кнопку Закрыть.

   Примечание

   Чтобы проверить, нужная ли версия развернута повторно, просмотрите отчет по различиям для двух версий. В окне Журнал для объекта групповой политики выберите две версии, щелкните их правой кнопкой мыши и выберите пункт Различия, а затем либо Отчет в формате HTML, либо Отчет в формате XML.

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или присоединяйтесь к нам в Facebook или Twitter.
-----