Microsoft 高级组策略管理 4.0 分步指南

本分步指南演示了使用 组策略 管理控制台 (GPMC) 和 Microsoft Advanced 组策略 Management (AGPM) 的组策略管理的高级技术。 AGPM 增加了 GPMC 的功能，提供：

• 用于将管理组策略对象 (GPO 的权限的标准角色) 多个组策略管理员，以及委派对生产环境中 GPO 的访问权限的能力。

• 一个存档，使组策略管理员能够在将 GPO 部署到生产环境之前脱机创建和修改 GPO。

• 能够回滚到存档中 GPO 的任何早期版本，并限制存档中存储的版本数。

• GPO 的签入和检查功能，可确保组策略管理员不会无意中覆盖彼此的工作。

• 能够搜索具有特定属性的 GPO 并筛选显示的 GPO 列表。

AGPM 方案概述

对于此方案，你将对 AGPM 中的每个角色使用单独的用户帐户，以演示如何在具有多个具有不同权限级别的组策略管理员的环境中管理组策略。 具体而言，你将执行以下任务：

• 使用属于域管理员组成员的帐户，安装 AGPM 服务器并将 AGPM 管理员角色分配给帐户或组。

• 使用要向其分配 AGPM 角色的帐户安装 AGPM 客户端。

• 使用具有 AGPM 管理员角色的帐户，配置 AGPM 并通过将角色分配给其他帐户来委托对 GPO 的访问权限。

• 从具有“编辑者”角色的帐户请求创建新的 GPO，然后使用具有“审批者”角色的帐户批准该 GPO。 使用编辑器帐户检查存档中的 GPO，编辑 GPO，将 GPO 检查存档，然后请求部署。

• 使用具有审批者角色的帐户，查看 GPO 并将其部署到生产环境。

• 使用具有编辑者角色的帐户，创建 GPO 模板并将其用作创建新 GPO 的起点。

• 使用具有审批者角色的帐户，删除并还原 GPO。

AGPM 服务器要求

AGPM Server 4.0 需要 Windows Server 2012 或 Windows 10 及更新版本，以及来自远程服务器管理工具的 GPMC (RSAT) 。 支持 32 位和 64 位版本。

安装 AGPM Server 之前，你必须是“域管理员”组的成员，除非另有说明，否则以下 Windows 功能必须存在：

• GPMC

  • Windows Server 2012 或更高版本：如果 GPMC 不存在，则 AGPM 会自动安装它。

  • Windows 10或更高版本：必须先从 RSAT 安装 GPMC，然后才能安装 AGPM。 有关详细信息，请参阅 适用于 Windows 的远程服务器管理工具 (RSAT) 。

AGPM Server 需要以下 Windows 功能，如果不存在这些功能，将自动安装这些功能：

• WCF 激活;非 HTTP 激活

• Windows Process Activation Service

  • 进程模型

  • .NET 环境

  • 配置 API

AGPM 客户端要求

AGPM 客户端 4.0 需要 Windows Server 2012 或 Windows 10 及更新版本以及来自 RSAT 的 GPMC。 支持 32 位和 64 位版本。 AGPM 客户端可以安装在运行 AGPM 服务器的计算机上。

AGPM 客户端需要以下 Windows 功能，除非另有说明，否则将自动安装（如果这些功能不存在）：

• GPMC

  • Windows Server 2012 及更新版本：如果 GPMC 不存在，则 AGPM 会自动安装它。

  • Windows 10及更新：在安装 AGPM 之前，必须从 RSAT 安装 GPMC。 有关详细信息，请参阅 适用于 Windows 的远程服务器管理工具 (RSAT) 。

方案要求

在开始此方案之前，请创建四个用户帐户。 在此方案中，你将为每个帐户分配以下 AGPM 角色之一：AGPM 管理员 (完全控制) 、审批者、编辑者和审阅者。 这些帐户必须能够发送和接收电子邮件。 将 链接 GPO 权限分配给具有 AGPM 管理员、审批者和 (（可选）) 编辑者角色的帐户。

注意

默认情况下，链接 GPO 权限分配给域管理员和企业管理员的成员。 若要将 链接 GPO 权限分配给其他用户或组 (（例如具有 AGPM 管理员或审批者) 角色的帐户），请选择域的节点，然后选择“ 委派 ”选项卡，选择“ 链接 GPO”，选择“ 添加”，然后选择要向其分配权限的用户或组。

安装和配置 AGPM 的步骤

必须完成以下步骤才能安装和配置 AGPM。

步骤 1：安装 AGPM 服务器

步骤 2：安装 AGPM 客户端

步骤 3：配置 AGPM 服务器连接

步骤 4：配置电子邮件通知

步骤 5：委托访问权限

步骤 1：安装 AGPM 服务器

在此步骤中，在将运行 AGPM 服务的成员服务器或域控制器上安装 AGPM 服务器，并配置存档。 所有 AGPM 操作都通过此 Windows 服务进行管理，并使用服务的凭据执行。 AGPM 服务器管理的存档可以托管在该服务器或同一林中的另一台服务器上。

在将托管 AGPM 服务的计算机上安装 AGPM 服务器

1. 使用属于域管理员组成员的帐户登录。

2. 启动 Microsoft 桌面优化包 CD，并按照屏幕上的说明选择“高级组策略管理 - 服务器”。

3. 在“ 欢迎 ”对话框中，选择“ 下一步”。

4. 在“ Microsoft 软件许可条款 ”对话框中，接受条款，然后选择“ 下一步”。

5. 在“ 应用程序路径 ”对话框中，选择要在其中安装 AGPM 服务器的位置。 安装 AGPM 服务器的计算机将托管 AGPM 服务并管理存档。 选择下一步 。

6. 在“ 存档路径 ”对话框中，选择存档相对于 AGPM 服务器的位置。 存档路径可以指向 AGPM 服务器或其他位置上的文件夹。 但是，应选择具有足够空间的位置来存储由此 AGPM 服务器管理的所有 GPO 和历史记录数据。 选择下一步 。

7. 在“ AGPM 服务帐户 ”对话框中，选择运行 AGPM 服务的服务帐户，然后选择“ 下一步”。

   此帐户必须是域管理员组的成员，或者对于最低特权配置，必须是 AGPM 服务器管理的每个域中的以下组的成员：

   • 组策略创意者所有者

   • 备份运算符

   此帐户必须是 AGPM 服务器计算机上的本地管理员组的成员。 这是成功处理所需的

   此外，此帐户需要对以下文件夹拥有完全控制权限：

   • AGPM 存档文件夹，如果 AGPM 服务器安装在本地驱动器上，则会在安装 AGPM 服务器期间自动授予此权限。

   • 本地系统临时文件夹，通常为 %windir%\temp。

8. 在“ 存档所有者 ”对话框中，选择向其分配 AGPM 管理员 (完全控制) 角色的帐户或组。 AGPM 管理员可以将 AGPM 角色和权限分配给其他组策略管理员，以便稍后可以将 AGPM 管理员的角色分配给其他组策略管理员。 对于此方案，选择要在 AGPM 管理员角色中服务的帐户。 选择下一步 。

9. 在“ 端口配置 ”对话框中，键入 AGPM 服务应侦听的端口。 除非手动配置端口例外或使用规则来配置端口例外，否则不要清除“将端口例外添加到防火墙检查”框。 选择下一步 。

10. 在“ 语言 ”对话框中，选择要为 AGPM 服务器安装的一个或多个显示语言。

11. 选择“ 安装”，然后选择“ 完成 ”以退出安装向导。

    注意
    请勿通过操作系统中的管理工具和服务更改 AGPM 服务的设置。 这样做可能会阻止 AGPM 服务启动。 有关如何更改服务设置的信息，请参阅高级组策略管理的帮助。

步骤 2：安装 AGPM 客户端

每个组策略管理员（创建、编辑、部署、评审或删除 GPO 的任何人）必须在用于管理 GPO 的计算机上安装 AGPM 客户端。 “更改控制”节点（用于执行许多 GPO 管理任务）仅在安装 AGPM 客户端时显示在 组策略 管理控制台中。 对于此方案，请在至少一台计算机上安装 AGPM 客户端。 无需在不执行组策略管理的最终用户的计算机上安装 AGPM 客户端。

在组策略管理员的计算机上安装 AGPM 客户端

1. 启动 Microsoft 桌面优化包 CD，并按照屏幕上的说明选择“高级组策略管理 - 客户端”。

2. 在“ 欢迎 ”对话框中，选择“ 下一步”。

3. 在“ Microsoft 软件许可条款 ”对话框中，接受条款，然后选择“ 下一步”。

4. 在“ 应用程序路径 ”对话框中，选择要在其中安装 AGPM 客户端的位置。 选择下一步 。

5. 在“ AGPM 服务器 ”对话框中，键入 AGPM 服务器的 DNS 名称或 IP 地址以及要连接到的端口。 AGPM 服务的默认端口为 4600。 除非手动配置端口例外或使用规则来配置端口例外，否则不要清除“允许 Microsoft 管理控制台通过防火墙检查”框。 选择下一步 。

6. 在“ 语言 ”对话框中，选择要为 AGPM 客户端安装的一个或多个显示语言。

7. 选择“ 安装”，然后选择“ 完成 ”以退出安装向导。

步骤 3：配置 AGPM 服务器连接

AGPM 将每个受控组策略对象 (GPO) 的所有版本（即 AGPM 提供更改控制的每个 GPO）存储在中央存档中。 这使组策略管理员能够脱机查看和更改 GPO，而不会立即影响每个 GPO 的已部署版本。

在此步骤中，将配置 AGPM 服务器连接，并确保所有组策略管理员都连接到同一 AGPM 服务器。 (有关如何配置多个 AGPM 服务器的信息，请参阅 Advanced 组策略 Management 的帮助。)

为所有组策略管理员配置 AGPM 服务器连接

1. 在安装了 AGPM 客户端的计算机上，使用选择作为存档所有者的用户帐户登录。 此用户具有 AGPM 管理员 (完全控制) 的角色。

2. 选择“开始”，指向“管理工具”，然后选择“组策略管理”以打开 GPMC。

3. 编辑应用于所有组策略管理员的 GPO。

4. 在“组策略管理编辑器”窗口中，双击“用户配置”、“策略”、“管理模板”、“Windows 组件”和“AGPM”。

5. 在详细信息窗格中，双击“ AGPM：指定默认 AGPM 服务器” () 的所有域 。

6. 在 “属性” 窗口中，选择“ 已启用 ”，然后键入 DNS 名称或 IP 地址和端口 (例如， server.contoso.com:4600 托管存档的服务器) 。 默认情况下，AGPM 服务使用端口 4600。

7. 选择“确定”，然后关闭“组策略管理编辑器”窗口。 更新组策略时，将为每个组策略管理员配置 AGPM 服务器连接。

步骤 4：配置电子邮件通知

作为 (完全控制) 的 AGPM 管理员，可以指定当编辑器尝试创建、部署或删除 GPO 时，将向其发送包含请求的电子邮件的审批者和 AGPM 管理员的电子邮件地址。 还可以确定从中发送这些消息的别名。

配置 AGPM 的电子邮件通知

1. 在“组策略管理编辑器”中，导航到“更改控件”文件夹

2. 在详细信息窗格中，选择“ 域委派 ”选项卡。

3. 在“ 发件人电子邮件地址 ”字段中，键入应从中发送通知的 AGPM 的电子邮件别名。

4. 在“ 到电子邮件地址 ”字段中，键入要向其分配审批者角色的用户帐户的电子邮件地址。

5. 在 “SMTP 服务器 ”字段中，键入有效的 SMTP 邮件服务器。

6. 在 “用户名” 和 “密码” 字段中，键入有权访问 SMTP 服务的用户的凭据。 选择“应用”。

步骤 5：委托访问权限

作为 AGPM 管理员 (完全控制) ，你可以委托对 GPO 的域级别访问权限，将角色分配给每个组策略管理员的帐户。

注意

还可以在 GPO 级别而不是域级别委托访问权限。 有关详细信息，请参阅高级组策略管理的帮助。

重要提示

应限制组策略创意者所有者组中的成员身份，使其不能用于绕过 AGPM 管理对 GPO 的访问。 (在组策略管理控制台中，选择要在其中管理 GPO 的林和域中组策略对象，选择“委派”，然后配置设置以满足组织的需求。)

委托对域内所有 GPO 的访问权限

1. 在“域委派”选项卡上，选择“添加”按钮，选择要充当审批者的组策略管理员的用户帐户，然后选择“确定”。

2. 在“ 添加组或用户 ”对话框中，选择“ 审批者 ”角色，将该角色分配给帐户，然后选择“ 确定”。 (此角色包括审阅者角色。)

3. 选择“添加”按钮，选择要充当编辑器的组策略管理员的用户帐户，然后选择“确定”。

4. 在“ 添加组或用户 ”对话框中，选择“ 编辑者 ”角色以将该角色分配给帐户，然后选择“ 确定”。 (此角色包括审阅者角色。)

5. 选择“添加”按钮，选择要充当审阅者的组策略管理员的用户帐户，然后选择“确定”。

6. 在“ 添加组或用户 ”对话框中，选择“ 审阅者” 角色以仅将该角色分配给帐户。

管理 GPO 的步骤

必须完成以下步骤才能使用 AGPM 创建、编辑、查看和部署 GPO。 此外，你将创建模板、删除 GPO 并还原已删除的 GPO。

步骤 1：创建 GPO

步骤 2：编辑 GPO

步骤 3：查看和部署 GPO

步骤 4：使用模板创建 GPO

步骤 5：删除和还原 GPO

步骤 1：创建 GPO

在具有多个组策略管理员的环境中，具有编辑者角色的管理员可以请求创建新的 GPO。 但是，该请求必须由具有审批者角色的人员批准。

在此步骤中，将使用具有“编辑者”角色的帐户来请求创建新的 GPO。 使用具有审批者角色的帐户，可以批准此请求以创建 GPO。

请求通过 AGPM 创建和管理新的 GPO

1. 在安装了 AGPM 客户端的计算机上，使用在 AGPM 中分配有“编辑者”角色的用户帐户登录。

2. 在组策略管理控制台树中，选择要在其中管理 GPO 的林和域中的“更改控制”。

3. 右键单击“ 更改控件 ”节点，然后选择“ 新建受控 GPO”。

4. 在“ 新建受控 GPO ”对话框中：

   1. 若要接收请求的副本，请在 “抄送 ”字段中键入电子邮件地址。

   2. 键入 MyGPO 作为新 GPO 的名称。

   3. 键入新 GPO 的注释。

   4. 选择“ 实时创建 ”，以便在审批后立即将新 GPO 部署到生产环境。 选择提交。

5. 当 “AGPM 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 新的 GPO 显示在“ 挂起 ”选项卡上。

批准创建 GPO 的挂起请求

1. 在安装了 AGPM 客户端的计算机上，使用在 AGPM 中具有审批者角色的用户帐户登录。

2. 打开帐户的电子邮件收件箱，并注意到你收到了来自 AGPM 别名的电子邮件，其中包含编辑器创建 GPO 的请求。

3. 在组策略管理控制台树中，选择要在其中管理 GPO 的林和域中的“更改控制”。

4. 在“ 内容 ”选项卡上，选择“ 挂起 ”选项卡以显示挂起的 GPO。

5. 右键单击“ MyGPO”，然后选择“ 批准”。

6. 选择“ 是 ”以确认审批，并将 GPO 移动到“ 受控 ”选项卡。

步骤 2：编辑 GPO

可以使用 GPO 配置计算机或用户设置，并将其部署到许多计算机或用户。 在此步骤中，你将使用具有“编辑者”角色的帐户从存档检查 GPO、脱机编辑 GPO、检查已编辑的 GPO 到存档中，以及请求将 GPO 部署到生产环境。 对于这种情况，请在 GPO 中配置一个设置，以要求密码长度至少为 8 个字符。

从存档中检查 GPO 进行编辑

1. 在安装了 AGPM 客户端的计算机上，使用在 AGPM 中具有“编辑者”角色的用户帐户登录。

2. 在组策略管理控制台树中，选择要在其中管理 GPO 的林和域中的“更改控制”。

3. 在详细信息窗格中 的“内容 ”选项卡上，选择“ 受控 ”选项卡以显示受控 GPO。

4. 右键单击“ MyGPO”，然后选择“ 签出”。

5. 键入签出时要显示在 GPO 历史记录中的注释，然后选择“ 确定”。

6. 当 “AGPM 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 在“ 受控 ”选项卡上，GPO 的状态标识为 “已签出”。

脱机编辑 GPO 并配置最小密码长度

1. 在“受控”选项卡上，右键单击“MyGPO”，然后选择“编辑”以打开“组策略管理编辑器”窗口并更改 GPO 的脱机副本。 对于此方案，请配置最小密码长度：

   1. 在“计算机配置”下，双击“策略”、“Windows 设置”、“安全设置”、“帐户策略”和“密码策略”。

   2. 在详细信息窗格中，双击“ 最小密码长度”。

   3. 在属性窗口中，选中“定义此策略设置检查”框，将字符数设置为 8，然后选择“确定”。

2. 关闭“组策略管理编辑器”窗口。

将 GPO 检查存档

1. 在“受控”选项卡上，右键单击“MyGPO”，然后选择“Check In”。

2. 键入批注，然后选择“ 确定”。

3. 当 “AGPM 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 在“ 受控 ”选项卡上，GPO 的状态标识为 “已签入”。

请求将 GPO 部署到生产环境

1. 在“ 受控 ”选项卡上，右键单击“ MyGPO ”，然后选择“ 部署”。

2. 由于此帐户不是审批者或 AGPM 管理员，因此必须提交部署请求。 若要接收请求的副本，请在 “抄送 ”字段中键入电子邮件地址。 键入要在 GPO 历史记录中显示的注释，然后选择“ 提交”。

3. 当 “AGPM 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 MyGPO 显示在“ 挂起 ”选项卡上的 GPO 列表中。

步骤 3：查看和部署 GPO

在此步骤中，你将充当审批者，创建报表并分析 GPO 中设置和更改，以确定是否应批准这些设置。 评估 GPO 后，将其部署到生产环境，并将 GPO 链接到域或组织单位， (OU) 。 当为该域或 OU 中的计算机刷新组策略时，GPO 生效。

查看 GPO 中的设置

1. 在安装了 AGPM 客户端的计算机上，使用在 AGPM 中分配有审批者角色的用户帐户登录。 具有审阅者角色的任何组策略管理员（包含在所有其他角色中）都可以查看 GPO 中的设置。

2. 打开帐户的电子邮件收件箱，并注意到你收到了来自 AGPM 别名的电子邮件，其中包含编辑者部署 GPO 的请求。

3. 在组策略管理控制台树中，选择要在其中管理 GPO 的林和域中的“更改控制”。

4. 在详细信息窗格中 的“内容 ”选项卡上，选择“ 挂起 ”选项卡。

5. 双击“ MyGPO ”以显示其历史记录。

6. 查看最新版本的 MyGPO 中的设置：

   1. 在 “历史记录 ”窗口中，右键单击具有最新时间戳的 GPO 版本，选择 “设置”，然后选择“ HTML 报表 ”以显示 GPO 设置的摘要。

   2. 在 Web 浏览器中，选择“ 全部显示 ”以显示 GPO 中的所有设置。 关闭浏览器。

7. 将最新版本的 MyGPO 与签入到存档的第一个版本进行比较：

   1. 在 “历史记录 ”窗口中，选择具有最新时间戳的 GPO 版本。 按 Ctrl，然后选择计算机 版本 不是 \*的最旧 GPO 版本。

   2. 选择“ 差异 ”按钮。 “帐户策略/密码策略”部分以绿色突出显示，前面是 [+]。 这表示此设置仅在 GPO 的后一个版本中配置。

   3. 选择“ 帐户策略/密码策略”。 “最小密码长度”设置也以绿色突出显示，前面有 [+]，指示仅在 GPO 的后一版本中配置。

   4. 关闭 Web 浏览器。

将 GPO 部署到生产环境

1. 在“ 挂起 ”选项卡上，右键单击“ MyGPO ”，然后选择“ 批准”。

2. 键入要包含在 GPO 历史记录中的注释。

3. 选择“ 是”。 当 “AGPM 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 GPO 部署到生产环境。

将 GPO 链接到域或组织单位

1. 在 GPMC 中，右键单击要向其应用配置的 GPO 的域或组织单位 (OU) ，然后选择“ 链接现有 GPO”。

2. 在 “选择 GPO ”对话框中，选择“ MyGPO”，然后选择“ 确定”。

步骤 4：使用模板创建 GPO

在此步骤中，将使用具有“编辑者”角色的帐户来创建和使用模板。 该模板是 GPO 的静态版本，用作创建新 GPO 的起点。 虽然无法编辑模板，但可以根据模板创建新的 GPO。 模板可用于快速创建包含许多相同策略设置的多个 GPO。

基于现有 GPO 创建模板

1. 在安装了 AGPM 客户端的计算机上，使用在 AGPM 中分配有编辑角色的用户帐户登录。

2. 在组策略管理控制台树中，选择要在其中管理 GPO 的林和域中的“更改控制”。

3. 在详细信息窗格中 的“内容 ”选项卡上，选择“ 受控 ”选项卡。

4. 右键单击“ MyGPO”，然后选择“ 另存为模板 ”以创建包含 MyGPO 中当前所有设置的模板。

5. 键入 MyTemplate 作为模板的名称和批注，然后选择“ 确定”。

6. 当 “AGPM 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 新模板将显示在“ 模板 ”选项卡上。

请求通过 AGPM 创建和管理新的 GPO

1. 选择“ 受控 ”选项卡。

2. 右键单击“ 更改控件 ”节点，然后选择“ 新建受控 GPO”。

3. 在“ 新建受控 GPO ”对话框中：

   1. 若要接收请求的副本，请在 “抄送 ”字段中键入电子邮件地址。

   2. 键入 MyOtherGPO 作为新 GPO 的名称。

   3. 键入新 GPO 的注释。

   4. 选择“ 实时创建 ”，以便在审批后立即将新 GPO 部署到生产环境。

   5. 对于 “从 GPO 模板”，选择“ MyTemplate”。 选择提交。

4. 当 “AGPM 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 新的 GPO 显示在“ 挂起 ”选项卡上。

使用分配有审批者角色的帐户批准创建 GPO 的挂起请求，如 步骤 1：创建 GPO 中所做的那样。 MyTemplate 包含你在 MyGPO 中配置的所有设置。 由于 MyOtherGPO 是使用 MyTemplate 创建的，因此它最初包含 MyGPO 在创建 MyTemplate 时包含的所有设置。 可以通过生成差异报告来将 MyOtherGPO 与 MyTemplate 进行比较来确认这一点。

从存档中检查 GPO 进行编辑

1. 在安装了 AGPM 客户端的计算机上，使用在 AGPM 中分配有编辑角色的用户帐户登录。

2. 右键单击“ MyOtherGPO”，然后选择“ 签出”。

3. 键入签出时要显示在 GPO 历史记录中的注释，然后选择“ 确定”。

4. 当 “AGPM 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 在“ 受控 ”选项卡上，GPO 的状态标识为 “已签出”。

脱机编辑 GPO 并配置帐户锁定持续时间

1. 在“受控”选项卡上，右键单击“MyOtherGPO”，然后选择“编辑”以打开“组策略管理编辑器”窗口并更改 GPO 的脱机副本。 对于此方案，请配置最小密码长度：

   1. 在“计算机配置”下，双击“策略”、“Windows 设置”、“安全设置”、“帐户策略”和“帐户锁定策略”。

   2. 在详细信息窗格中，双击“ 帐户锁定持续时间”。

   3. 在属性窗口中，检查定义此策略设置，将持续时间设置为 30 分钟，然后选择“确定”。

2. 关闭“组策略管理编辑器”窗口。

将 MyOtherGPO 签入存档并请求部署，就像 在步骤 2：编辑 GPO 中对 MyGPO 所做的那样。 可以使用差异报表将 MyOtherGPO 与 MyGPO 或 MyTemplate 进行比较。 包含“审阅者”角色 (AGPM 管理员 [完全控制]、审批者、编辑者或审阅者) 的任何帐户都可以生成报告。

将 GPO 与另一个 GPO 和模板进行比较

1. 比较 MyGPO 和 MyOtherGPO：

   1. 在“ 受控 ”选项卡上，选择“ MyGPO”。 按 Ctrl，然后选择“ MyOtherGPO”。

   2. 右键单击“ MyOtherGPO”，指向 “差异”，然后选择“ HTML 报表”。

2. 比较 MyOtherGPO 和 MyTemplate：

   1. 在“ 受控 ”选项卡上，选择“ MyOtherGPO”。

   2. 右键单击“ MyOtherGPO”，指向 “差异”，然后选择“ 模板”。

   3. 选择 “MyTemplate ”和“ HTML 报表”，然后选择“ 确定”。

步骤 5：删除和还原 GPO

在此步骤中，你将充当删除 GPO 的审批者。

删除 GPO

1. 在安装了 AGPM 客户端的计算机上，使用分配有审批者角色的用户帐户登录。

2. 在组策略管理控制台树中，选择要在其中管理 GPO 的林和域中的“更改控制”。

3. 在“ 内容 ”选项卡上，选择“ 受控 ”选项卡以显示受控的 GPO。

4. 右键单击“ MyGPO”，然后选择“ 删除”。 选择“ 从存档和生产中删除 GPO ”以删除存档中的版本和生产环境中已部署的 GPO 版本。

5. 键入要显示在 GPO 的审核跟踪中的注释，然后选择“ 确定”。

6. 当 “AGPM 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 GPO 将从“ 受控 ”选项卡中删除，并显示在“ 回收站 ”选项卡上，可在其中还原或销毁 GPO。

有时，在删除 GPO 后，你可能会发现仍需要它。 在此步骤中，你将充当审批者来还原已删除的 GPO。

还原已删除的 GPO

1. 在“ 内容 ”选项卡上，选择“ 回收站 ”选项卡以显示已删除的 GPO。

2. 右键单击“ MyGPO”，然后选择“ 还原”。

3. 键入要显示在 GPO 历史记录中的注释，然后选择“ 确定”。

4. 当 “AGPM 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 GPO 将从“ 回收站 ”选项卡中删除，并显示在“ 受控 ”选项卡上。

   注意

   将 GPO 还原到存档不会自动将其重新部署到生产环境。 若要将 GPO 返回到生产环境，请部署 GPO，如 步骤 3：查看和部署 GPO 中所示。

编辑和部署 GPO 后，你可能会发现 GPO 的最新更改导致了问题。 在此步骤中，你将充当审批者，以回滚到 GPO 的早期版本。 可以回滚到 GPO 历史记录中的任何版本。 可以使用注释和标签来标识已知的良好版本以及何时进行了特定更改。

回滚到 GPO 的早期版本

1. 在“ 内容 ”选项卡上，选择“ 受控 ”选项卡以显示受控的 GPO。

2. 双击“ MyGPO ”以显示其历史记录。

3. 右键单击要部署的版本，选择“ 部署”，然后选择“ 是”。

4. 当“ 进度” 窗口指示整体进度已完成时，请选择“ 关闭”。 在 “历史记录 ”窗口中，选择“ 关闭”。

   注意

   若要验证重新部署的版本是否为预期版本，请检查这两个版本的差异报告。 在 GPO 的 “历史记录 ”窗口中，选择这两个版本，右键单击它们，指向 “差异”，然后选择“ HTML 报表 ”或“ XML 报表”。