Innledning
I tidligere artikler i denne serien har vi lært hvordan å installere, konfigurere og bruke Advanced Group Policy Management 4.0 (AGPM 4.0), en del av Microsoft Desktop Optimization Pack (MDOP) for Software Assurance (SA), til å opprette, redigere, godkjenne, implementere og rulle tilbake GPOer. AGPM gir en rekke fordeler for gruppepolicy administratorer inkludert offline redigering, endringskontroll, rollebasert delegering og andre kraftige funksjoner som gjør Group Policy Management mye enklere å bruke AGPM. I denne siste artikkelen vil vi se på ytterligere to egenskapene AGPM, nemlig:
Som tidligere beskrevet den forrige artikkelen i denne serien, har de ulike AGPM rollene blitt tildelt ulike contoso brukere som følger:
Arbeide med maler
AGPM maler lese versjoner av GPOer som kan brukes som et utgangspunkt for å lage redigerbare GPOer. Ved hjelp av denne funksjonen kan du forhåndskonfigurere et sett av policyinnstillinger, lagre innstillingene som en mal, bruke malen til å lage ulike GPOer for ulike steder eller avdelinger, og deretter tilpasse hver nye GPO ved å redigere dem videre med Group Policy Management Editor . La oss se hvordan dette fungerer.
Vi begynner med et scenario hvor Jacky Chen, en AGPM Editor, har tidligere laget en Mappeomadressering GPO som Karen Berg, en AGPM godkjenner, har godkjent. Dette GPO er konfigurert av Jacky med grunnleggende Mappeomadressering politikk som er felles for alle distriktskontorer Contoso Ltd. Jacky nå kommer til å opprette en ny mal basert på Mappeomadressering GPO, og deretter vil bruke den resulterende mal for å skape ekstra Folder omdirigering GPOer for contoso distriktskontorer som deretter kan ytterligere tilpasses for å møte de spesielle behovene til hvert distriktskontor. Figur 1 nedenfor viser Jacky logget inn for å henne administrator arbeidsstasjon med Mappeomadressering GPO synlig på Kontrollert kategorien i Change Control node av GPMC:
Figur 1: Mappeomadressering GPO vil bli brukt til opprette en ny mal.
For å opprette en ny mal fra eksisterende GPO, Jacky høyre-klikk på Mappeomadressering GPO og velger Lagre som mal:
Figur 2: Trinn 1 av å skape en ny mal fra en eksisterende GPO.
Merk:
Opprette en mal fra en eksisterende GPO ikke ødelegge eller på annen måte påvirke eksisterende GPO.
I dialogboksen Opprett ny GPO mal, Jacky typer et beskrivende navn for den nye malen:
Figur 3:. Trinn 2 for å opprette en ny mal fra en eksisterende GPO
Ved å klikke OK bringer opp AGPM Progress dialog:
Figur 4:. Trinn 3 i å lage en ny mal fra en eksisterende GPO
Den nyopprettede Malen er nå synlig på Maler fanen som vist neste:
Figur 5: Den nye malen er opprettet.
Jacky nå kommer til å bruke den nye malen til å lage et tilpasset Mappeomadressering GPO for kontoret Seattle. For å gjøre dette, velger Jacky høyre-klikk på Mappeomadressering GPO Mal og New Kontrollert GPO:
Figur 6: Trinn 1 av å skape en ny kontrollert GPO fra en mal.
I Submit New Kontrollert GPO Request dialog, Jacky første angir navnet på den nye GPO som Seattle Mappeomadressering GPO. Så i Fra GPO Mal nedtrekkslisten kontroll nederst i denne dialogen, velger Jacky Mappeomadressering GPO mal som vist her:
Figur 7: Trinn 2 for å skape en ny kontrollert GPO fra en mal.
Jacky vil også opprette en ny Mappeomadressering GPO for New York-kontoret. Denne gangen men Jacky gjør dette litt annerledes ved å høyreklikke på Change Control node i GPMC og velge New Kontrollert GPO som vist her:
Figur 8: En annen måte å skape en ny kontrollert GPO fra en mal.
Igjen, Jacky må angi navnet på den nye GPO og velg ønsket mal fra den nye GPO vil baseres:
Figur 9: Lage en ekstra GPO fra samme mal.
Jacky forespørsler til å opprette to nye kontrollerte GPOer er nå synlige i kategorien Venter når Karen åpner GPMC på hennes administrative arbeidsstasjon:
Figur 10: Karen må godkjenne Jacky sin ventende forespørsler.
Karen må godkjenne disse ventende forespørsler fra Jacky før de nye kontrollerte GPOer skapes og distribueres.
Arbeide med testmiljøer
En kraftig funksjon i AGPM er dens evne til å migrere GPOer fra en Active Directory-skogen til en annen. For å gjøre dette, begynner du ved å eksportere GPO til en fil, så kan du kopiere filen til den andre skog og import derfra. Bare AGPM Administratorer (brukere som holder rolle Full kontroll) kan utføre denne handlingen.
Et scenario hvor denne evnen kan være svært nyttig er der du setter opp en egen test skog som speiler Active Directory strukturen i produksjonsskog. For eksempel kan Contoso Ltd satt opp en ContosoTest skog hvor GPOer er laget og testet for å sørge for at den politikken de håndheve vil ha den ønskede virkningen på målrettede brukere og datamaskiner. Deretter, når en GPO har blitt grundig testet i testmiljøet, det kan overføres til produksjonsmiljøet bruker AGPM. La oss se hvordan dette fungerer.
Den AGPM Administrator av testmiljøet har gjennomført testing Seattle BitLocker-kryptering for personvern og ønsker å migrere dette GPO til produksjonsmiljøet. For å gjøre dette, begynner AGPM Administrator ved å høyreklikke på dette GPO og velge Eksporter til som vist her:
Figur 11: Trinn 1 av migrere en GPO fra et testmiljø til produksjonsmiljøet.
I Eksport GPO til en fil dialog, spesifiserer AGPM Administrator navnet Eksportert BitLocker GPO for CAB-filen som skal eksporteres. Den AGPM Administrator spesifiserer også et lagringssted på nettverket som er tilgjengelig fra både test- og produksjonsmiljøer:
Figur 12:. Trinn 2 migrere en GPO fra et testmiljø til produksjonsmiljøet
Etter AGPM Administrator klikker på Export-knappen, viser dialogboksen AGPM Progress suksess eller fiasko for eksportoperasjonen:
Figur 13: Trinn 3 migrere en GPO fra et testmiljø . til produksjonsmiljøet
dobbeltklikke på CAB-filen viser de forskjellige filene som utgjør den eksport GPO:
Figur 14:. Detaljer om eksportert GPO
< P> Den AGPM Administrator av produksjonsmiljøet nå høyreklikker på Change Control node av GPMC og velger New Kontrollert GPO:
Figur 15: Trinn 4 migrere en GPO fra et testmiljø til produksjonsmiljøet.
I New Kontrollert dialog GPO, spesifiserer AGPM Administrator et navn for den nye GPO som vil bli opprettet og velger Importer alternativ som vist nedenfor. Import alternativet er valgt fordi de eksporterte innstillinger politiske kommer til å bli importert til den nye GPO som blir opprettet. Den AGPM Administrator deretter klikker på Start Wizard knappen:
Figur 16:. Trinn 5 migrere en GPO fra et testmiljø til produksjonsmiljøet
Åpningen side av Importinnstillinger Wizard vises:
Figur 17:. Trinn 6 migrere en GPO fra et testmiljø til produksjonsmiljøet
På neste veiviseren side, angir AGPM Administrator banen til den tidligere eksport GPO er CAB filen:
Figur 18:. Trinn 7 migrere en GPO fra et testmiljø til produksjonsmiljøet
Den neste Veiviseren side oppsummerer importoperasjonen som er skal utføres:
Figur 19:. Trinn 8 migrere en GPO fra et testmiljø til produksjonsmiljøet
På neste veiviseren siden, viser veiviseren resultatene av en skanning som er utført for å sikre den eksport GPO kan importeres riktig:
Figur 20: Trinn 9 migrere en GPO fra et testmiljø til produksjonsmiljøet
Den endelige. Veiviseren side oppsummerer detaljene i importprosessen:
Figur 21:. Trinn 10 migrere en GPO fra et testmiljø til produksjonsmiljøet
dialog Fremdriften viser suksess eller svikt i importoperasjonen:
Figur 22:. Trinn 11 migrere en GPO fra et testmiljø til produksjonsmiljøet
Den AGPM Administrator i produksjonsmiljøet kan nå se migrert New York BitLocker GPO på Kontrollert fanen som vist nedenfor:
Figur 23: The New York BitLocker GPO har blitt migrert fra test skogen til produksjonsskog.
Andre ressurser
For å lære mer om å arbeide med AGPM 4.0 se dette emnet i TechNet Library her. En annen nyttig ressurs er Springboard Series side for MDOP på denne linken. Til slutt, hvis du har spørsmål om AGPM du kan legge dem til TechNet Forum for gruppepolicy her.