Guia de Operações do Microsoft Advanced Group Policy Management 4.0

Documentos relacionados
Laboratório Configuração do Backup e da Restauração de Dados no Windows 7 e no Vista

Manual do Usuário Brother Meter Read Tool

Requisitos do sistema

Manual de instalação do Microsoft SQL Server 2008 R2 Express no Windows 10

Gerenciar catálogo de endereços. Guia do administrador

STD SERVIÇO DE BACKUP EM NUVEM

Leia-me do monitor do Veritas System Recovery 16

Guia de Instalação. 1. Guia de Instalação do Nintex Workflow 2010

Conferencing. Novell. Conferencing 1.0. novdocx (pt-br) 6 April 2007 INICIAR O CLIENTE CONFERENCING: INICIAR SESSÃO: Julho de 2007

Avisos legais KYOCERA Document Solutions Inc.

Projete produtos superiores. SolidWorks Novidades do PDMWorks Enterprise

Formulários e favoritos

Configuração do Agenda para administradores

Executar uma macro clicando em um botão da Barra de Ferramentas de Acesso Rápido

Secure Roaming Client 2.0. Produto: Página: Introdução. Solução. Server. Configuração: é. Conexão.

Amostras e Tutoriais Versão 8 Release 0. Tutorial da Amostra de Contratação para o IBM Process Designer

Seu manual do usuário XEROX WORKCENTRE 5645

Senstar Face Recognition. 1.6 Guia do Usuário

Aimetis Reconhecimento facial. 1.3 Guia do Usuário

Backup e Recuperação Guia do Usuário

Lab - Backup e Recuperação no Windows XP

Procedimento para Configuração Exchange de Duas Contas de no Mesmo Perfil do Outlook

É possível acessar o Fiery Remote Scan de sua área de trabalho ou de um aplicativo compatível com o TWAIN.

Gerenciamento de impressão

Com a OABRJ Digital você trabalha de forma colaborativa, simples e objetiva, em uma única tela.

Informática. Backup do Windows. Professor Márcio Hunecke.

Notas sobre a Versão do Controlador de arquivos para HP 3PAR StoreServ

Estas etapas preliminares devem ser executadas para todas as impressoras:

Windows 98 e Windows Me

Registro Automático CES. Guia do administrador

Seagate Antivirus. Seagate Technology LLC S. De Anza Boulevard Cupertino, CA USA

WINDOWS 7 PAINEL DE CONTROLE

Ajuda do Usuário do Forcepoint Secure Messaging

Laboratório opcional: Backup de dados e restauração no Windows 7

Conteúdo. Histórico de revisão Criando e gerenciando equipes do projeto Conteúdo

Como usar o P-touch Transfer Manager

Aviso. O conteúdo deste documento é de propriedade intelectual exclusiva da GVDASA Sistemas e está sujeito a alterações sem aviso prévio.

Acronis Snap Deploy 2.0 Guia de Instalação

Utilitário Epson FAX Utility 2.0 para Windows

Fiery Remote Scan. Conectando ao Fiery servers. Conecte-se a um Fiery server no primeiro uso

Login. Guia de Início

Como atribuir um endereço IP e acessar seu dispositivo

Versão 1.3 Maio de P Xerox ConnectKey. for SharePoint Guia do Usuário de Início Rápido

Backup e Recuperação Guia do Usuário

ADMINISTRAÇÃO DE BANCOS DE DADOS DO MICROSOFT SQL SERVER

Manual do Utilizador. Share Point One Drive

Informática Material de Apoio Professor Érico Araújo.

Laboratório Configuração do Backup e da Restauração de Dados no Windows 8

Conheça o Drive. Encontre arquivos facilmente com o Drive e mantenha todos os seus documentos protegidos.

McAfee epolicy Orchestrator Pre-Installation Auditor 2.0.0

Uma equipe forte: DocuWare e Microsoft Outlook

Manual de instalação do Microsoft SQL Server 2008 R2 Express no Windows 10

X-RiteColor Master Web Edition

Avisos legais. Sobre as marcas comerciais KYOCERA Document Solutions Inc.

Fiery Command WorkStation

10 Hiperlinks e Mala Direta

MANUAL. Localizador: SGI-INFRA-

Este tópico aborda contas de usuário e autorizações de usuário.

Configuração do Gmail para administradores

Aviso sobre o produto. Este guia descreve os recursos comuns à maioria dos modelos. Alguns recursos podem não estar disponíveis em seu computador.

Senstar Symphony. 7.1 Guia de Instalação

FTIN Formação Técnica em Informática. Sistema Operacional Proprietário Windows Prof. Walter Travassos

Guia do Usuário e de Instalação da Integração DocuShare para Microsoft Office

Usar segmentações de dados para filtrar dados de Tabela Dinâmica

ATDM Manual do usuário Web Remote Manager

Movimento do Caixa

Carnê de Pagamento. Copyright ControleNaNet

MANUAL. Localizador: Página: MN 016 SGI-INFRA- . Informação)

Outlook 2010 Plano de Aula - 16 Aulas (Aulas de 1 Hora).

Icon Chamamos este processo de Efetuar Login no Sistema, pois com usuário e senha cadastrados é possível acessar o Automidia Service Management.

Outlook Web App (OWA)

CA Nimsoft Monitor. Guia do Probe Monitor da impressoras. impressoras série 2.5

Laboratório - Configuração do Firewall no Windows 7 e no Vista

Leia-me do Veritas System Recovery 16 Management Solution

Procedimentos para Instalação do Sisloc (Estação de Trabalho) versão

Passo 3: Preparando-se para a criação de seu vídeo de curta duração/apresentação de slides

Gerabyte AFV (Automação de Força de Venda) Manual do Aplicativo

xchekplus Manual do Usuário

Configurar WMI no controlador do domínio do Windows para o CEM

ACTIVE DIRECTORY I. Andre Couto Leonardo Lizardo Milena Braga. A conta do usuário é utilizada como a sua identidade na rede.

Google Cloud Print. Guia do administrador

U T O R I A L. Nero BackItUp

Manual Webmail GUIA GERAL UNIVERSIDADE TECNOLÓGIA FEDERAL DO PARANÁ DIRETORIA DE GESTÃO DE TECNOLOGIA DA INFORMAÇÃO - DIRGTI 2015

Conexões e endereço IP

Sistema de Atendimento Telefônico Automático. Manual do Usuário

Seu manual do usuário SAMSUNG CLP-770ND

Referência =SOMA(C20:C30) =SOMA(VendasDoPrimeiroTrimestre) Constante =PRODUTO(A5,8.3) =PRODUTO (Preço,ImpostoSobreVendasDeWA)

Guia de Usuário da Matriz Virtual do Avigilon Control Center. Versão 5.4

Emissão de Recibos. Copyright ControleNaNet

Bem-vindo ao Picture Package Producer2

ACS 5.X: Fixe o exemplo de configuração do servidor ldap

Document Capture Pro 2.0 para Windows

Instruções de operação Site de aplicativos

Guia de instalação. McAfee Web Gateway Cloud Service

Logon Único no Office 365 Guia de Implementação do Cliente Versão 2.1

9. ARQUIVOS E PASTAS 9.1 O QUE SÃO ARQUIVOS E PASTAS?

Transcrição:

Guia de Operações do Microsoft Advanced Group Policy Management 4.0 Microsoft Corporation Publicado em: Setembro de 2009 Resumo Este guia fornece instruções passo a passo sobre como realizar tarefas usando o Microsoft AGPM (Gerenciamento Avançado de Diretiva de Grupo) 4.0. Ele inclui todas as informações da Ajuda do AGPM.

Copyright As informações contidas neste documento, incluindo URL e outras referências de site estão sujeitas a alterações sem aviso prévio. A menos que indicado o contrário, as empresas, as organizações, os produtos, os nomes de domínios, os endereços de email, os logotipos, as pessoas, os lugares e os eventos descritos nos exemplos aqui contidos são fictícios. Nenhuma associação com qualquer empresa, organização, produto, nome de domínio, endereço de email, logotipo, pessoa, lugar ou acontecimento real é intencional ou deve ser inferida. Obedecer a todas as leis aplicáveis de direitos autorais é responsabilidade do usuário. Sem limitar os direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperação, ou transmitida de qualquer forma por qualquer meio (eletrônico, mecânico, fotocópia, gravação ou qualquer outro), ou para qualquer propósito, sem a permissão expressa, por escrito, da Microsoft Corporation. A Microsoft pode ter patentes, requisições para obtenção de patente, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abrangem o conteúdo deste documento. Exceto conforme expressamente determinado em qualquer contrato de licença da Microsoft, o fornecimento deste documento não implica a concessão de qualquer licença para tais patentes, marcas comerciais, direitos autorais ou outra propriedade intelectual. 2009 Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows e Windows Server são marcas comerciais ou registradas da Microsoft Corporation nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais pertencem a seus respectivos proprietários.

Conteúdo Guia de Operações do Microsoft Advanced Group Policy Management 4.0... 5 Visão geral do Advanced Group Policy Management... 6 Práticas recomendadas do controle de versão... 7 Lista de verificação: Administrar o Servidor AGPM e o arquivo morto... 8 Lista de verificação: criar, editar e implantar um GPO... 9 Pesquisar e filtrar a lista de GPOs... 10 Executando tarefas do Administrador do AGPM... 12 Configurando o Advanced Group Policy Management... 13 Configurar conexões do Servidor AGPM... 14 Configurar notificações por email... 16 Configurar segurança de email para AGPM... 17 Delegar acesso ao ambiente de produção... 19 Configurar registro e rastreamento... 20 Gerenciar o arquivo morto... 21 Delegar acesso de nível do domínio ao arquivo morto... 22 Delegar acesso a um GPO individual no arquivo morto... 23 Limitar as versões de GPO armazenadas... 24 Importar um GPO de um arquivo... 25 Fazer backup do arquivo morto... 26 Restaurar o arquivo morto de um backup... 27 Gerenciando o Serviço AGPM... 28 Iniciar e interromper o Serviço AGPM... 28 Modificar o Serviço AGPM... 29 Mover o Servidor AGPM e o arquivo morto... 31 Executando tarefas do Editor... 32 Criando ou controlando um GPO... 33 Solicitar controle de um GPO não controlado... 34 Solicitar a criação de um novo GPO controlado... 34 Importar um GPO da produção... 35 Editando um GPO... 36 Editar um GPO offline... 36 Rotular a versão atual de um GPO... 38 Renomear um GPO ou modelo... 39 Usando um ambiente de teste... 40 Exportar um GPO para um arquivo... 40 Importar um GPO de um arquivo... 41 Testar um GPO em uma nova unidade organizacional separada... 42 Solicitar implantação de um GPO... 42 Criando um modelo e configurando um modelo padrão... 43

Criar um modelo... 44 Definir um modelo padrão... 45 Excluindo ou restaurando um GPO... 46 Solicitar exclusão de um GPO... 46 Solicitar restauração de um GPO excluído... 47 Executando tarefas do Aprovador... 48 Aprovar ou rejeitar uma ação pendente... 49 Criando ou controlando um GPO... 50 Controlar um GPO não controlado... 50 Criar um novo GPO controlado... 51 Delegar gerenciamento de um GPO controlado... 51 Importar um GPO da produção... 53 Fazer o check-in de um GPO... 53 Destruir um GPO... 54 Reverter para uma versão anterior de um GPO... 55 Excluindo, restaurando ou destruindo um GPO... 56 Excluir GPO controlado... 56 Restaurar um GPO excluído... 57 Destruir um GPO... 58 Executando tarefas do Revisor... 58 Configurar uma conexão do Servidor AGPM... 59 Revisar configurações do GPO... 59 Revisar links do GPO... 60 Identificar diferenças entre GPOs e versões ou modelos de GPO... 61 Solucionando problemas do AGPM... 63 Interface de usuário: Advanced Group Policy Management... 66 Guia Conteúdo... 67 Recursos da guia Conteúdo... 67 Janela Histórico... 69 Comandos de GPO controlado... 72 Comandos de GPO não controlado... 75 Comandos de GPO pendentes... 76 Comandos de modelo... 78 Comandos da Lixeira... 80 Guia Delegação de Domínio... 81 Guia Servidor AGPM... 83 Guia Delegação de Produção... 84 Pasta de modelos administrativos... 84 Configurações de registro e rastreamento... 85 Configurações de conexão do servidor AGPM... 85 Configurações de visibilidade de recurso... 86

Guia de Operações do Microsoft Advanced Group Policy Management 4.0 É possível usar o Microsoft AGPM (Gerenciamento Avançado de Diretiva de Grupo) para ampliar os recursos do GPMC (Console de Gerenciamento de Diretiva de Grupo). O AGPM fornece um amplo controle de alterações e maior gerenciamento de Objetos de diretiva de grupo (GPOs). Usando o AGPM, é possível fazer estas tarefas: Executar edição offline de GPOs, para que você possa criá-los e testá-los antes de implantálos em um ambiente de produção. Manter várias versões de um GPO em um arquivo morto central, para que você possa reverter, se houver problemas. Compartilhar a responsabilidade de editar, aprovar e revisar GPOs entre várias pessoas usando a delegação baseada em funções. Eliminar o perigo de vários administradores de Diretiva de Grupo substituírem o trabalho uns dos outros, usando o recurso de check-in e check-out de GPOs. Analisar as alterações feitas em um GPO, comparando-o a outro GPO ou outra versão do mesmo GPO usando relatórios de diferenças. Simplificar a criação de novos GPOs, usando modelos de GPO, armazenando configurações de diretiva e de preferência comuns para usar como pontos iniciais para novos GPOs. Delegar acesso ao ambiente de produção. Procurar GPOs com atributos específicos e filtrar a lista de GPOs exibidos. Exportar um GPO para um arquivo de forma que seja possível copiá-lo de um domínio em uma floresta de teste para um domínio em uma floresta de domínio de produção. O AGPM adiciona uma pasta Controle de Alterações sob cada domínio exibido no GPMC, além de uma guia Histórico para cada link de GPO e Diretiva de Grupo exibido no GPMC. Visão geral do Advanced Group Policy Management Práticas recomendadas do controle de versão Lista de verificação: Administrar o Servidor AGPM e o arquivo morto Lista de verificação: criar, editar e implantar um GPO Pesquisar e filtrar a lista de GPOs Executando tarefas do Administrador do AGPM Executando tarefas do Editor Executando tarefas do Aprovador Executando tarefas do Revisor Solucionando problemas do AGPM Interface de usuário: Advanced Group Policy Management 5

Visão geral do Advanced Group Policy Management É possível usar o AGPM (Gerenciamento Avançado de Diretiva de Grupo) para ampliar os recursos do GPMC (Console de Gerenciamento de Diretiva de Grupo) para fornecer controle de alterações abrangente e gerenciamento aprimorado de Objetos de diretiva de grupo (GPOs). Desenvolvimento de objetos de Diretiva de Grupo com controle de alterações Com o AGPM, você pode armazenar uma cópia de cada GPO em um arquivo morto central, para que os administradores de Diretiva de Grupo possam visualizá-la e alterá-la offline sem afetar imediatamente a versão implantada do GPO. Além disso, o AGPM armazena uma cópia de cada versão de cada GPO controlado no arquivo morto para que você possa revertê-lo para uma versão anterior, se necessário. Os termos "check-in" e "check-out" são usados da mesma forma que em uma biblioteca (ou em aplicativos que fornecem controle de alterações, controle de versão ou controle de código-fonte para desenvolvimento de programação). Para usar um livro que esteja em uma biblioteca, você faz o check-out dele na biblioteca. Ninguém mais poderá usá-lo enquanto ele estiver em checkout para você. Quando você conclui o livro, você faz o check-in dele novamente na biblioteca para que outras pessoas possam usá-lo. Ao desenvolver GPOs usando AGPM: 1. Crie um novo GPO controlado ou controle um GPO não controlado anteriormente. 2. Faça o check-out do GPO, para que apenas você possa alterá-lo. 3. Edite o GPO. 4. Faça o check-in do GPO editado para que outras pessoas possam alterá-lo ou para que ele possa ser implantado. 5. Revise as alterações. 6. Implante o GPO no ambiente de produção. Delegação com base em funções O AGPM fornece uma delegação abrangente, fácil de usar, baseada em funções para gerenciar o acesso a GPOs no arquivo morto. As permissões de nível de domínio permitem que os Administradores do AGPM forneçam acesso a domínios individuais sem fornecer acesso a outros domínios. A delegação baseada em GPO permite a Administradores do AGPM fornecer acesso a GPOs específicos sem fornecer acesso em todo o domínio. No AGPM, há funções especificamente definidas: Administrador do AGPM (Controle Total), Aprovador, Editor e Revisor. A função Administrador do AGPM inclui as permissões para todas as outras funções. Por padrão, apenas os Aprovadores podem implantar GPOs no ambiente de produção de um domínio, protegendo o ambiente contra erros de Editores menos experientes. Também por padrão, todas as funções incluem a função Revisor e, consequentemente, a 6

capacidade de visualizar configurações do GPO em relatórios. No entanto, o AGPM fornece um Administrador do AGPM com a flexibilidade de personalizar o acesso do GPO para atender às necessidades da sua organização. Delegação em um ambiente com vários administradores de Diretiva de Grupo Em um ambiente em que várias pessoas alteram GPOs, um Administrador do AGPM delega permissão a Editores, Aprovadores e Revisores, como grupos ou como indivíduos. Para ver um processo típico de desenvolvimento de GPOs para um Editor e um Aprovador, consulte a Lista de verificação: criar, editar e implantar um GPO. Guia de Operações do Microsoft Advanced Group Policy Management 4.0 Práticas recomendadas do controle de versão O Microsoft AGPM (Gerenciamento Avançado de Diretiva de Grupo) fornece controle de versão do Objetos de diretiva de grupo (GPOs) de maneira muito semelhante como o Microsoft Visual SourceSafe, que fornece controle de versão do código-fonte. Os desenvolvedores podem usar o Visual SourceSafe para gerenciar várias versões de cada arquivo de origem. Os administradores de Diretiva de Grupo podem usar o AGPM para fazerem o mesmo com GPOs. Quando você usa o AGPM, os administradores de Diretiva de Grupo devem conhecer práticas recomendadas que se apliquem a qualquer sistema de controle de versão: Data e hora: O AGPM carimba todas as versões de um GPO com data e hora. Para garantir a precisão desse histórico, especialmente quando você edita GPOs em mais de um computador, verifique se cada um sincroniza seu relógio com uma origem de hora autoritativa. Faça check-in dos GPOs quando você terminar de editá-los: É comum os editores fazerem check-out dos GPOs e se esquecerem de fazer o check-in deles novamente no arquivo morto. No entanto, isso pode impedir que outros administradores de Diretiva de Grupo alterem o GPO. Sempre faça check-in dos GPOs no AGPM assim que terminar sua edição. Salve as alterações com frequência: Ao editar um GPO, salve as alterações com frequência. A maioria dos editores faz check-out de um GPO, realiza muitas alterações e faz check-in dele novamente no arquivo morto. Em vez de fazer isso, faça check-in do GPO no arquivo morto regularmente e, em seguida, volte a fazer check-out. O detalhe pode ser mínimo para fazer check-in do GPO depois de alterar cada configuração (não recomendado) ou fazer check-in do GPO depois de fazer grupos de alterações relacionadas. O resultado é um histórico mais bem documentado de cada GPO capaz de ajudar na solução de problemas. Implante GPOs com frequência: Não permita um grande acúmulo de GPOs novos e editados que ainda não tenham sido implantados no arquivo morto. Em vez disso, implante 7

GPOs novos e editados assim que possível para que eles tenham um efeito mínimo sobre o ambiente de produção. A implantação simultânea de muitos GPOs novos e editados pode colocar o ambiente de produção em risco. Documente a finalidade das alterações quando você fizer check-in dos GPOs: Qualquer Revisor pode comparar versões de um GPO para ver alterações específicas entre as duas. A documentação dessas alterações específicas não agrega nenhum valor. Em vez de fazer isso, documente a intenção e a finalidade de uma alteração, e não aquilo que os Revisores podem ver observando relatórios de diferenças. Os comentários sobre a versão devem agregar valor ao relatório de comparação e ajudar um Revisor a compreender por que o Editor alterou o GPO. Teste GPOs em um ambiente de teste: A implantação de GPOs no ambiente de produção sem testá-los é algo arriscado. Em vez de fazer isso, teste os GPOs no domínio de uma floresta de teste, exporte-os para arquivos e importe-os em um domínio de uma floresta de produção. Além disso, é possível vincular GPOs a uma unidade organizacional que contenha computadores e usuários de teste. Verifique se cada GPO funciona corretamente no ambiente de teste e, em seguida, implante os GPOs no ambiente de produção. Referências Adicionais Guia de Operações do Microsoft Advanced Group Policy Management 4.0 Lista de verificação: Administrar o Servidor AGPM e o arquivo morto No AGPM (Gerenciamento Avançado de Diretiva de Grupo), o Serviço AGPM e o arquivo morto são gerenciados por Administradores do AGPM (Controle Total). Estas são as tarefas típicas de um Administrador do AGPM. Tarefa frequente Delegue acesso a Objetos de diretiva de grupo (GPOs) no arquivo morto. Faça backup do arquivo morto para habilitar a recuperação de desastre. Referência Delegar acesso de nível do domínio ao arquivo morto Delegar acesso a um GPO individual no arquivo morto Fazer backup do arquivo morto Tarefa infrequente Restaure o arquivo morto de um backup para se recuperar de um desastre. Mova o Serviço AGPM, o arquivo morto ou Referência Restaurar o arquivo morto de um backup Mover o Servidor AGPM e o arquivo morto 8

Tarefa infrequente ambos em um servidor diferente. Altere o caminho do arquivo morto, a Conta do Serviço AGPM ou a porta de escuta do Serviço AGPM. Solucione problemas comuns com o Servidor AGPM. Referência Modificar o Serviço AGPM Solucionando problemas do AGPM Configurar registro e rastreamento Referências Adicionais Guia de Operações do Microsoft Advanced Group Policy Management 4.0 Lista de verificação: criar, editar e implantar um GPO Em um ambiente em que várias pessoas alteram os Objetos de diretiva de grupo (GPOs) usando AGPM (Gerenciamento Avançado de Diretiva de Grupo), um Administrador do AGPM (Controle Total) delega permissão a Editores, Aprovadores e Revisores, como grupos ou como indivíduos. A seguir, está um processo de desenvolvimento de GPOs típico para um Editor e um Aprovador. Tarefa O Editor solicita a criação de um novo GPO ou um Aprovador cria um novo GPO. O Aprovador aprova a criação do GPO se ele foi solicitado por um Editor. O Editor faz o check-out de uma cópia do GPO do arquivo morto para que ninguém mais possa modificá-lo. O Editor faz alterações no GPO e faz o check-in novamente do GPO no arquivo. Em caso de desenvolvimento em uma floresta de teste, o Editor exporta o GPO para um arquivo, transfere o arquivo para a floresta de produção e importa o arquivo. Além disso, um Editor pode vincular o GPO a uma unidade organizacional que contenha computadores e usuários de teste. O Editor solicita a implantação do GPO no ambiente de produção do domínio. Referência Solicitar a criação de um novo GPO controlado Criar um novo GPO controlado Aprovar ou rejeitar uma ação pendente Editar um GPO offline Usando um ambiente de teste Solicitar implantação de um GPO 9

Tarefa Revisores, como, por exemplo, Aprovadores ou Editores, analisam o GPO. O Aprovador aprova e implanta o GPO no ambiente de produção do domínio ou rejeita o GPO. Referência Executando tarefas do Revisor Aprovar ou rejeitar uma ação pendente Referências Adicionais Guia de Operações do Microsoft Advanced Group Policy Management 4.0 Pesquisar e filtrar a lista de GPOs No AGPM (Gerenciamento Avançado de Diretiva de Grupo), é possível pesquisar a lista de Objetos de diretiva de grupo (GPOs) e seus atributos para filtrar a lista de GPOs exibida. Por exemplo, é possível procurar GPOs com um determinado nome, estado ou comentário. Também é possível procurar GPOs alterados pela última vez por um determinado administrador de Diretiva de Grupo ou em uma data específica. Realizando uma pesquisa complexa É possível realizar uma pesquisa complexa usando o formato Atributo GPO 1: cadeia de caracteres de pesquisa 1 Atributo GPO 2: cadeia de caracteres de pesquisa 2 cadeias de caracteres de pesquisa de todas as colunas. A pesquisa não diferencia maiúsculas de minúsculas. Atributo GPO: Qualquer título de coluna na lista de GPOs no AGPM que não seja Versão do Computador ou Versão do Usuário. Entre os atributos GPO estão nome do GPO, estado, usuário que alterou o GPO mais recentemente, data e hora da alteração mais recente do GPO, comentário, status do GPO e filtro WMI aplicado ao GPO. Cadeia de caracteres de pesquisa: Texto de pesquisa na coluna especificada. Se a cadeia de caracteres incluir espaços, você deverá colocá-la entre aspas. Cadeias de caracteres de pesquisa de todas as colunas: Texto de pesquisa em todas as colunas na lista de GPOs no AGPM que não seja Versão do Computador e Versão do Usuário. É possível incluir várias cadeias de caracteres, separadas por espaços. Se a cadeia de caracteres incluir espaços, você deverá colocá-la entre aspas. Todos os pares de atributo GPO e cadeia de caracteres de pesquisa e todas as cadeia de caracteres de pesquisa de todas as colunas são combinados usando-se uma operação AND lógica. O resultado é uma lista de todos os GPOs para os quais todos os atributos especificados incluem a cadeia de caracteres de pesquisa especificada e para os quais todas as cadeias de caracteres de pesquisa de todas as colunas são exibidas em pelo menos uma coluna. A pesquisa retorna qualquer correspondência parcial de cadeias de caracteres de forma que seja 10

possível inserir parte do nome de um GPO ou nome de usuário e exibir uma lista de todos os GPOs que incluam esse texto em seu nome. Estes são exemplos de pesquisas: Descrição do resultado da pesquisa Todos os GPOs com nomes que incluam o texto segurança e América do Norte. Todos os GPOs com check-out. Todos os GPOs alterados mais recentemente pelo usuário chamado Administrador e alterados mais recentemente no mês passado. Todos os GPOs nos quais a palavra firewall está incluída no comentário mais recente e no qual a palavra segurança é exibida em qualquer coluna. Todos os GPOs com status Todas as Configurações Desabilitadas. Todos os GPOs que tenham um filtro WMI chamado Meu filtro WMI aplicado e que tenham um status Configurações de Usuário Desabilitadas. Consulta de pesquisa nome: segurança nome: "América do Norte" estado: "com check-out" alterado por: Administrador data da alteração: lastmonth comentário: firewall segurança Status do GPO: tudo filtro wmi: "Meu filtro WMI" Status do GPO: usuário Especificando datas É possível procurar GPOs alterados em uma data específica, em uma determinada hora, ou durante um período usando os mesmos termos especiais disponíveis quando você pesquisar no Windows. Se inserir uma data ou hora específica, você deve usar o formato usado na coluna Data da Alteração. Estes são exemplos de pesquisas da coluna Data da Alteração: data da alteração: 10/10/2009 data da alteração: 10/10/2009 9:00:00 AM data da alteração: thisweek É possível usar os seguintes termos especiais, que não diferenciam maiúsculas de minúsculas, quando você pesquisar a coluna Data da Alteração: Today Yesterday ThisWeek LastWeek 11

ThisMonth LastMonth TwoMonths ThreeMonths ThisYear LastYear Considerações adicionais Por padrão, você deve ser um Revisor, um Editor, um Aprovador ou um Administrador do AGPM (Controle Total) para realizar esse procedimento. Mais especificamente, você deve ter a permissão Listar Conteúdo no domínio. Para obter mais informações sobre atributos GPO, consulte Recursos da guia Conteúdo. Referências Adicionais Guia de Operações do Microsoft Advanced Group Policy Management 4.0 Executando tarefas do Administrador do AGPM O AGPM (Gerenciamento Avançado de Diretiva de Grupo) permite a um Administrador do AGPM (Controle Total) configurar opções em todo o domínio e delegar permissões a Aprovadores, Editores, Revisores e Administradores do AGPM. Por padrão, um Administrador do AGPM é alguém que tem Controle Total todas as permissões do AGPM e, portanto, também pode executar tarefas associadas a qualquer função. Em um ambiente no qual várias pessoas desenvolvem Objetos de diretiva de grupo (GPOs), é possível optar por deixar todos os administradores de Diretiva de Grupo realizar as mesmas tarefas e ter o mesmo nível de acesso. Ou é possível optar por permitir a Administradores do AGPM delegar permissões a Editores que podem alterar GPOs e a Aprovadores que implantam GPOs no ambiente de produção. O Administradores do AGPM pode configurar permissões para atender às necessidades da organização. Configurando o Advanced Group Policy Management: Configure a Conexão do Servidor AGPM e a notificação por email, delegue acesso a GPOs no ambiente de produção e configure o registro em log e o rastreamento para solução de problemas. Gerenciar o arquivo morto: Delegue acesso a GPOs no arquivo morto, limite o número de versões de cada GPO armazenado, importe um GPO de outro domínio, faça backup e restaure o arquivo morto. Gerenciando o Serviço AGPM: Pare e inicie o Serviço AGPM ou altere o caminho do arquivo morto, a Conta do Serviço AGPM, ou a porta na qual o Serviço AGPM escuta. Mover o Servidor AGPM e o arquivo morto: Mova o Serviço AGPM, o arquivo morto ou ambos em um servidor diferente. Anotações 12

Como a função Administrador do AGPM inclui as permissões para todas as outras funções, um Administrador do AGPM pode executar as tarefas normalmente associadas a qualquer outra função. Executando tarefas do Aprovador, como, por exemplo, criar, implantar ou excluir GPOs Executando tarefas do Editor, como, por exemplo, editar, renomear, rotular ou importar GPOs, criar modelos ou definir um modelo padrão Executando tarefas do Revisor, como, por exemplo, revisar configurações e comparar GPOs Considerações adicionais Por padrão, a função Administrador do AGPM tem Controle Total todas as permissões AGPM: Listar Conteúdo Configurações de Leitura Editar Configurações Criar GPO Implantar GPO Excluir GPO Exportar GPO Importar GPO Criar Modelo Modificar Opções Modificar Segurança As permissões Modificar Opções e Modificar Segurança são exclusivas para a função de Administrador do AGPM. Configurando o Advanced Group Policy Management No AGPM (Gerenciamento Avançado de Diretiva de Grupo), como um Administrador do AGPM (Controle Total), é possível configurar de maneira centralizada as conexões de Servidor AGPM de administradores de Diretiva de Grupo, configurar notificação por email para o AGPM, configurar segurança de email opcional, delegar acesso a Objetos de diretiva de grupo (GPOs) no ambiente de produção do domínio e configurar log e acompanhamento na solução de problemas. Configurar conexões do Servidor AGPM Configurar notificações por email Configurar segurança de email para AGPM Delegar acesso ao ambiente de produção Configurar registro e rastreamento Referências Adicionais 13

Para obter informações sobre como delegar acesso a GPOs no arquivo, consulte Gerenciar o arquivo morto. Para obter informações sobre como restringir o número de versões de cada GPO armazenado no arquivo morto, consulte Limitar as versões de GPO armazenadas. Executando tarefas do Administrador do AGPM Configurar conexões do Servidor AGPM Todas as versões de cada Objeto de diretiva de grupo (GPO) controlado são armazenadas em um arquivo central, para que os administradores de Diretiva de Grupo possam visualizar e modificar GPOs offline sem afetar imediatamente a versão implantada de cada GPO. É necessária uma conta de usuário com a função Administrador do AGPM (Controle Total), a conta de usuário do Aprovador que criou o GPO usado nesses procedimentos, ou uma conta de usuário com as permissões necessárias no AGPM (Gerenciamento Avançado de Diretiva de Grupo) para executar esses procedimentos para configurar centralmente locais de arquivos de todos os administradores de Diretiva de Grupo. Revise os detalhes em "Considerações adicionais" neste tópico. Configurando conexões do Servidor AGPM Como um Administrador do AGPM, você pode garantir que todos os administradores de Diretiva de Grupo se conectem ao mesmo Servidor AGPM, configurando centralmente a definição associada. Se seu ambiente exige Servidores AGPM separados para alguns dos domínios, ou para todos eles, configure esses Servidores AGPM adicionais como exceções ao padrão. Se você não configurar centralmente conexões do Servidor AGPM, cada administrador de Diretiva de Grupo deverá configurar manualmente o Servidor AGPM a ser exibido para cada domínio. Configurar uma conexão do Servidor AGPM para todos os administradores de Diretiva de Grupo Configurar conexões do Servidor AGPM adicionais para todos os administradores de Diretiva de Grupo Configurar manualmente uma conexão do Servidor AGPM para a sua conta Para configurar uma conexão de Servidor AGPM para todos os administradores de Diretiva de Grupo 1. Na árvore Console de Gerenciamento de Diretiva de Grupo, edite um GPO que se aplique a todos os administradores de Diretiva de Grupo. (Para obter mais informações, consulte Editando um GPO.) 2. Na janela Editor de Gerenciamento de Diretiva de Grupo, clique em Configuração do Usuário, Diretivas, Modelos Administrativos, Componentes do Windows e AGPM. 3. No painel de detalhes, clique duas vezes em AGPM: Especificar Servidor AGPM padrão (todos os domínios). 4. Na janela Propriedades, marque a caixa de seleção Ativado e digite o nome totalmente 14

qualificado do computador e a porta (por exemplo, server.contoso.com:4600). 5. Clique em OK. A menos que você queira configurar conexões adicionais de Servidor AGPM, feche a janela Editor de Gerenciamento de Diretiva de Grupo e implante o GPO. (Para obter mais informações, consulte Destruir um GPO.) Quando a Diretiva de Grupo é atualizada, a conexão do Servidor AGPM é configurada para todos os administradores de Diretiva de Grupo. Para configurar conexões do Servidor AGPM adicionais para todos os administradores de Diretiva de Grupo 1. Se nenhuma conexão do Servidor AGPM tiver sido configurada, siga o procedimento anterior para configurar um Servidor AGPM padrão para todos os domínios. 2. Para configurar Servidores AGPM separados para alguns domínios, ou todos eles (substituindo o Servidor AGPM padrão), na árvore Console de Gerenciamento de Diretiva de Grupo, edite um GPO que se aplique a todos os administradores de Diretiva de Grupo. (Para obter mais informações, consulte Editando um GPO.) 3. Na janela Editor de Gerenciamento de Diretiva de Grupo, clique em Configuração do Usuário, Diretivas, Modelos Administrativos, Componentes do Windows e AGPM. 4. No painel de detalhes, clique duas vezes em AGPM: Especificar Servidores AGPM. 5. Na janela Propriedades, marque a caixa de seleção Ativado e clique em Mostrar. 6. Na janela Mostrar Conteúdo: a. Clique em Adicionar. b. Em Nome do Valor, digite o nome de domínio (por exemplo, server1.contoso.com). c. Para Valor, digite o nome do Servidor AGPM e da porta a serem usados para esse domínio (por exemplo, server2.contoso.com:4600) e clique em OK. Por padrão, o Serviço AGPM escuta na porta 4600. Para usar uma porta diferente, consulte Modificar o Serviço AGPM.) d. Repita para cada domínio que não esteja usando o Servidor AGPM padrão. 7. Clique em OK para fechar as janelas Mostrar Conteúdo e Propriedades. 8. Feche a janela Editor de Gerenciamento de Diretiva de Grupo. (Para obter mais informações, consulte Destruir um GPO.) Quando Diretiva de Grupo é atualizada, as novas conexões do Servidor AGPM são configuradas para todos os administradores de Diretiva de Grupo. Se você tiver configurado centralmente a conexão do Servidor AGPM, a opção de configuração manual não estará disponível para todos os administradores de Diretiva de Grupo. Para configurar manualmente o Servidor AGPM para ser exibido em sua conta 1. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Alterar Controle na floresta e no domínio no qual deseja gerenciar GPOs. 2. No painel de detalhes, clique na guia Servidor AGPM. 15

3. Digite o nome totalmente qualificado do computador do Servidor AGPM que gerencia o arquivo usado para esse domínio (por exemplo, server.contoso.com) e a porta em que o Serviço AGPM escuta (por padrão, porta 4600). 4. Clique em Aplicar e, em seguida, clique em Sim para confirmar. Considerações adicionais Você precisa estar apto a editar e implantar um GPO para executar os procedimentos para configurar centralmente as conexões do Servidor AGPM para todos os administradores da Diretiva de Grupo. Para obter detalhes adicionais, consulte Editando um GPO e Destruir um GPO. O Servidor AGPM selecionado determina quais GPOs são exibidos na guia Conteúdo e a que local as configurações da guia Delegação de Domínio serão aplicadas. Se os grupos não forem gerenciados de forma centralizada por meio do modelo Administrativo, cada administrador de Diretiva de Grupo deverá definir a configuração para apontar para o Servidor AGPM do domínio. A associação ao grupo Proprietários Criadores de Diretiva de Grupo deve ser restrita, para que não seja usada a fim de contornar o gerenciamento do acesso aos GPOs pelo AGPM. (No Console de Gerenciamento de Diretiva de Grupo, clique em Objetos de Diretiva de Grupo na floresta e no domínio em que deseja gerenciar GPOs, clique em Delegação e defina as configurações de acordo com as necessidades de sua organização.) Configurando o Advanced Group Policy Management Configurar notificações por email Quando um Editou ou Revisor tenta criar, implantar ou excluir um Objeto de diretiva de grupo (GPO), uma solicitação para essa ação é enviada para um determinado endereço de email para que um Aprovador possa avaliar a solicitação e implementá-la ou negá-la. Você determina o endereço ou os endereços de email para os quais as notificações são enviadas, bem como o alias de onde elas são enviadas. Para concluir este procedimento, é preciso ter uma conta de usuário com a função Administrador do AGPM (Controle Total) ou as permissões necessárias no AGPM (Gerenciamento Avançado de Diretiva de Grupo). Revise os detalhes em "Considerações adicionais" neste tópico. Para configurar as notificações de email do AGPM 1. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Alterar Controle na floresta e no domínio no qual deseja gerenciar GPOs. 2. No painel de detalhes, clique na guia Delegação de Domínio. 3. No campo Endereço de email do remetente, digite o alias do email do AGPM pelo qual as notificação deverão ser enviadas. 4. No campo Para endereço de email, digite uma lista delimitada por vírgulas de endereços de email de Aprovadores que devem receber solicitações para aprovação. 16

5. No campo Servidor SMTP, digite um servidor de email SMTP válido. 6. Nos campos Nome de usuário e Senha, digite as credenciais de um usuário com acesso ao serviço SMTP. 7. Clique em Aplicar. Considerações adicionais Por padrão, você deve ser Administrador do AGPM (Controle Total) para executar esse procedimento. Mais especificamente, você deve ter as permissões Listar Conteúdo e Modificar Opções no domínio. A notificação de email para AGPM é uma configuração em nível de domínio. Você pode fornecer endereços de email de Aprovador ou aliases de email de AGPM diferentes para cada guia Delegação de Domínio do domínio ou usar os mesmos endereços de email em todo o ambiente. Por padrão, as mensagens de email enviadas como resultado de ações no AGPM (Gerenciamento Avançado de Diretiva de Grupo) não são criptografadas. Entretanto, você pode configurar a segurança de email para AGPM usando configurações de registro para especificar se a criptografia de protocolo SSL será usada e qual porta SMTP deve ser utilizada. Para obter mais informações, consulte Configurar segurança de email para AGPM. Configurando o Advanced Group Policy Management Configurar segurança de email para AGPM Por padrão, as notificações por email enviadas em decorrência das ações no AGPM (Gerenciamento Avançado de Diretiva de Grupo) não são criptografadas, sendo enviadas pela porta 25 SMTP. No entanto, é possível configurar segurança de email do AGPM usando configurações do Registro para especificar se a criptografia SSL (Secure Sockets Layer) deve ser usada ou não e qual porta SMTP deve ser usada. Criptografando notificações por email do AGPM, é possível proteger melhor aquelas pessoas que poderiam revelar informações confidenciais sobre a segurança da organização. A criptografia de notificações por email é recomendada quando elas estão sendo retransmitidas por meio de servidores de email remotos, podendo ser exigida por algumas regulamentações de conformidade. Cuidado A edição incorreta do Registro pode causar danos graves ao sistema. Antes de alterar o Registro, faça backup de todos os dados importantes do computador. Para concluir este procedimento, é preciso ter uma conta de usuário com a função Administrador do AGPM (Controle Total), a conta de usuário do Aprovador que criou o Objeto de diretiva de grupo (GPO) usado nesses procedimentos ou uma conta de usuário com as permissões necessárias no AGPM. Revise os detalhes em "Considerações adicionais" neste tópico. 17

Para configurar segurança de email para o AGPM usando preferências de Diretiva de Grupo 1. Na árvore Console de Gerenciamento de Diretiva de Grupo, edite um GPO que se aplica a todos os Servidores AGPM para os quais você deseja configurar a segurança de email. (Para obter mais informações, consulte Editando um GPO.) 2. Na janela Editor de Gerenciamento de Diretiva de Grupo, expanda as pastas Configuração de Computadores, Preferências, Configurações do Windows e Registro. 3. Na árvore do console, clique com o botão direito do mouse em Registro, aponte para Novo, clique em Item de Coleção e digite Segurança de email AGPM. 4. Crie um item de preferência de Registro para ativar a criptografia: a. Na árvore de console, clique com o botão direito do mouse em Segurança de email AGPM, aponte para Novo e clique em Item de Registro. b. Na caixa de diálogo Novas Propriedades do Registro, selecione a ação Atualizar. c. Em Hive, selecione HKEY_LOCAL_MACHINE. d. Em Caminho da Chave, digite SOFTWARE\Microsoft\AGPM. e. Em Nome do Valor, digite EncryptSmtp. f. Em Tipo de valor, selecione REG_DWORD. g. Em Base, selecione Decimal e para Dados de valor, digite 1 para usar criptografia SSL, ou 0, para permitir o envio de um email sem criptografia. Por padrão, o email é enviado sem criptografia. Clique em OK. 5. Crie um item de preferência de Registro para especificar a porta SMTP: a. Na árvore de console, clique com o botão direito do mouse em Segurança de email AGPM, aponte para Novo e clique em Item de Registro. b. Na caixa de diálogo Novas Propriedades do Registro, selecione a ação Atualizar. c. Em Hive, selecione HKEY_LOCAL_MACHINE. d. Na caixa de diálogo Caminho da Chave, digite SOFTWARE\Microsoft\AGPM. e. Para Nome do Valor, digite SmtpPort. f. Em Tipo de valor, selecione REG_DWORD. g. Para Base, selecione Decimal, e para Dados de valor, digite um número da porta SMTP. Por padrão, a porta SMTP é a porta 25, se a criptografia não está ativada, ou porta 587, se a criptografia SSL está ativada. Clique em OK. 6. Feche a janela Editor de Gerenciamento de Diretiva de Grupo e faça check-in e implante o GPO. Para obter mais informações, consulte Destruir um GPO. Considerações adicionais 18

Você deve estar apto a editar e implantar um GPO para configurar definições do Registro usando as preferências de Diretiva de Grupo. Para obter detalhes adicionais, consulte Editando um GPO e Destruir um GPO. Configurando o Advanced Group Policy Management Delegar acesso ao ambiente de produção No AGPM (Gerenciamento Avançado de Diretiva de Grupo), é possível alterar o acesso a Objetos de diretiva de grupo (GPOs) no ambiente de produção do domínio, substituindo todas as permissões existentes nesses GPOs. É possível configurar permissões no nível de domínio para permitir ou impedir usuários de editar, excluir ou modificar a segurança de GPOs no ambiente de produção quando eles não estão usando a pasta Controle de Alterações no GPMC (Console de Gerenciamento de Diretiva de Grupo). Anotações A alteração de como o acesso ao ambiente de produção é delegado não afeta a possibilidade do usuário de vincular GPOs. Quando os GPOs são controlados ou implantados, o acesso a qualquer conta, exceto àquelas com permissões de Ler e Aplicar, é removido. Uma conta de usuário que tenha a função de Administrador do AGPM (Controle Total) ou as permissões necessárias no AGPM (Gerenciamento Avançado de Diretiva de Grupo) é obrigatória para concluir esse procedimento. Revise os detalhes em "Considerações adicionais" neste tópico. 1. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Alterar Controle na floresta e no domínio no qual deseja gerenciar GPOs. 2. Clique na guia Delegação de Produção. 3. Para adicionar permissões para um usuário ou grupo que não tem acesso ao ambiente de produção ou para substituir as permissões de um usuário ou grupo que tem acesso: a. Clique em Adicionar, selecione um usuário ou grupo e clique em OK. b. Selecione as permissões que serão delegadas àquele usuário ou grupo no ambiente de produção e clique em OK. 4. Para remover todas as permissões de um usuário ou grupo no ambiente de produção, selecione o usuário ou grupo, clique em Remover e em OK. Considerações adicionais Para alterar o acesso a GPOs no ambiente de produção do domínio Por padrão, você deve ser Administrador do AGPM (Controle Total) para executar esse procedimento. Mais especificamente, você deve ter a permissão Modificar Segurança no domínio. 19

As permissões para a Conta do Serviço AGPM não podem ser alteradas na guia Delegação de Produção. Por padrão, as contas a seguir têm permissões para GPOs no ambiente de produção: Conta <Conta do Serviço AGPM> Usuários autenticados Admins. do Domínio Administradores de Empresa Controladores de Domínio de Empresa Sistema Permissões padrão para GPOs Editar configurações, excluir, modificar segurança Ler, Aplicar Editar configurações, excluir, modificar segurança Editar configurações, excluir, modificar segurança Leitura Editar configurações, excluir, modificar segurança A associação ao grupo Proprietários Criadores de Diretiva de Grupo deve ser restrita, para que não seja usada a fim de contornar o gerenciamento do acesso aos GPOs pelo AGPM. (No Console de Gerenciamento de Diretiva de Grupo, clique em Objetos de Diretiva de Grupo na floresta e no domínio em que deseja gerenciar GPOs, clique em Delegação e defina as configurações de acordo com as necessidades de sua organização.) Configurando o Advanced Group Policy Management Configurar registro e rastreamento Você pode configurar centralmente registro e rastreamento adicional usando Modelos administrativos. Ele pode ser útil durante o diagnóstico de qualquer problema relacionado ao AGPM (Gerenciamento Avançado de Diretiva de Grupo). Para concluir este procedimento, é preciso ter uma conta de usuário com a função Administrador do AGPM (Controle Total), a conta de usuário do Aprovador que criou o Objeto de diretiva de grupo (GPO) usado nesses procedimentos ou uma conta de usuário com as permissões necessárias no AGPM. Além disso, uma conta de usuário com acesso ao Servidor AGPM é necessária para iniciar o registro no Servidor AGPM. Revise os detalhes em "Considerações adicionais" neste tópico. Para configurar registro e rastreamento para AGPM 1. Na árvore Console de Gerenciamento de Diretiva de Grupo, edite um GPO que seja aplicado a todos os administradores de Diretiva de Grupo para os quais deseje ativar o 20

registro e o rastreamento. (Para obter mais informações, consulte Editando um GPO.) 2. Na janela Editor de Gerenciamento de Diretiva de Grupo, clique em Configuração do Computador, Diretivas, Modelos Administrativos, Componentes do Windows e AGPM. 3. No painel de detalhes, clique duas vezes em AGPM: Configurar registro. 4. Na janela Propriedades, clique em Ativado e configure o nível de detalhes a ser registrado nos logs. 5. Clique em OK. 6. Feche a janela Editor de Gerenciamento de Diretiva de Grupo. (Para obter mais informações, consulte Destruir um GPO.) Depois que a Diretiva de Grupo for atualizada, será preciso reiniciar o Serviço AGPM para iniciar, modificar ou interromper o registro no Servidor AGPM. Administradores de Diretiva de Grupo deverão fechar e reiniciar o GPMC para iniciar, modificar ou interromper o registro em seus computadores. Rastrear localização de arquivos: Cliente: %LocalAppData%\Microsoft\AGPM\agpm.log Servidor: %ProgramData%\Microsoft\AGPM\agpmserv.log Considerações adicionais Você deve ser capaz de editar e implantar um GPO para configurar o registro e o rastreamento do AGPM. Para obter detalhes adicionais, consulte Editando um GPO e Destruir um GPO. Configurando o Advanced Group Policy Management Gerenciar o arquivo morto No AGPM (Gerenciamento Avançado de Diretiva de Grupo), como um Administrador do AGPM (Controle Total), você gerencia acesso ao arquivo morto e tem a opção de limitar o número de versões de cada Objeto de diretiva de grupo (GPO) armazenado no arquivo morto. Também é possível delegar acesso a GPOs no arquivo morto no nível de domínio ou no nível de GPO. Além disso, é possível fazer backup do arquivo morto para que você possa recuperá-lo em caso de desastre. Como um Administrador do AGPM, é possível exportar um GPO para um arquivo, copiar o arquivo para outra floresta e importar o GPO para um domínio nessa floresta. Diferentemente de um Editor, é possível importar configurações de diretiva de um backup de GPO diretamente para um novo GPO controlado quando você o cria. Para obter informações sobre como exportar um GPO, consulte Exportar um GPO para um arquivo. Delegar acesso de nível do domínio ao arquivo morto Delegar acesso a um GPO individual no arquivo morto Limitar as versões de GPO armazenadas Importar um GPO de um arquivo 21

Fazer backup do arquivo morto Restaurar o arquivo morto de um backup Referências Adicionais Para obter informações sobre como delegar acesso a GPOs no ambiente de produção, consulte Delegar acesso ao ambiente de produção. Para obter informações sobre como mover o arquivo morto, consulte Mover o Servidor AGPM e o arquivo morto. Executando tarefas do Administrador do AGPM Delegar acesso de nível do domínio ao arquivo morto Configure delegação para seu ambiente para que os administradores de Diretiva de Grupo tenham o acesso adequado e controle de Objetos de diretiva de grupo (GPOs) no arquivo morto. Há permissões de linha de base que você pode aplicar para tornar a operação mais eficiente. Você pode conceder permissões de qualquer maneira que atenda às necessidades da sua organização. Para concluir este procedimento, é preciso ter uma conta de usuário com a função Administrador do AGPM (Controle Total) ou as permissões necessárias no AGPM (Gerenciamento Avançado de Diretiva de Grupo). Revise os detalhes em "Considerações adicionais" neste tópico. 1. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Alterar Controle na floresta e no domínio no qual deseja gerenciar GPOs. 2. Clique na guia Delegação de Domínio e configure acesso a todos os GPOs no domínio: a. Para adicionar acesso a um usuário ou a um grupo, clique no botão Adicionar, selecione o usuário ou o grupo e clique em OK. Na caixa de diálogo Adicionar Grupo ou Usuário, selecione uma função e clique em OK. b. Para remover acesso de um usuário ou de um grupo, selecione o usuário ou o grupo e clique no botão Remover. c. Para modificar as funções e as permissões delegadas a um usuário ou a um grupo, clique no botão Avançado. Na caixa de diálogo Permissões, selecione o usuário ou o grupo, marque a caixa de seleção de cada função a ser atribuída ao usuário ou ao grupo e clique em OK. Considerações adicionais Para delegar acesso para que usuários e grupos tenham permissões adequadas a todos os GPOs em todo um domínio Observação Editor e Aprovador incluem permissões de Revisor. Por padrão, você deve ser Administrador do AGPM (Controle Total) para executar esse procedimento. Mais especificamente, você deve ter a permissão Modificar Segurança no domínio. 22

Para delegar acesso de leitura aos administradores da Diretiva de Grupo que usam AGPM, você deve conceder a eles as permissões Listar Conteúdo e Configurações de Leitura. Isso permite que eles exibam GPOs na guia Conteúdo do AGPM. Outras permissões devem ser explicitamente delegadas. Os Editores devem ter permissão de Leitura na cópia implantada de um GPO para usarem todos os recursos da Diretiva de Grupo de Instalação de Software. A associação ao grupo Proprietários Criadores de Diretiva de Grupo deve ser restrita, para que não seja usada a fim de contornar o gerenciamento do acesso aos GPOs pelo AGPM. (No Console de Gerenciamento de Diretiva de Grupo, clique em Objetos de Diretiva de Grupo na floresta e no domínio em que deseja gerenciar GPOs, clique em Delegação e defina as configurações de acordo com as necessidades de sua organização.) Gerenciar o arquivo morto Delegar acesso a um GPO individual no arquivo morto Como um Administrador do AGPM (Controle Total), você pode delegar o gerenciamento de um Objeto de diretiva de grupo (GPO) controlado no arquivo morto de forma que os grupos selecionados e os Editores possam editá-lo, os Revisores possam revisá-lo e os Aprovadores possam aprová-lo. Para concluir este procedimento, é preciso ter uma conta de usuário com a função Administrador do AGPM (Controle Total), a conta de usuário do Aprovador que criou o GPO ou uma conta de usuário com as permissões necessárias no AGPM (Gerenciamento Avançado de Diretiva de Grupo). Revise os detalhes em "Considerações adicionais" neste tópico. Para delegar o gerenciamento de um GPO controlado 1. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Alterar Controle na floresta e no domínio no qual deseja gerenciar GPOs. 2. Na guia Conteúdo do painel de detalhes, clique na guia Controlado para exibir GPOs controlados e, em seguida, clique no GPO a ser delegado: a. Para adicionar acesso a um usuário ou a um grupo, clique no botão Adicionar, selecione o usuário ou o grupo e clique em OK. Na caixa de diálogo Adicionar Grupo ou Usuário, selecione uma função e clique em OK. b. Para remover acesso de um usuário ou de um grupo, selecione o usuário ou o grupo e clique no botão Remover. Observação Se um usuário ou um grupo herdar acesso a todo o domínio, o botão Remover não estará disponível. Você pode modificar o acesso a todo o domínio na guia Delegação de Domínio. c. Para modificar as funções e as permissões delegadas a um usuário ou a um grupo, clique no botão Avançado. Na caixa de diálogo Permissões, selecione o usuário ou 23

o grupo, marque a caixa de seleção de cada função que será atribuída ao usuário ou ao grupo e clique em OK. Observação Considerações adicionais Editor e Aprovador incluem permissões de Revisor. Por padrão, para executar este procedimento, você deve ser o Aprovador que criou ou controlou o GPO ou um Administrador do AGPM (Controle Total). Mais especificamente, você deve ter a permissão Listar Conteúdo no domínio e a permissão Modificar Segurança no GPO. Para delegar acesso de leitura aos administradores da Diretiva de Grupo que usam AGPM, você deve conceder a eles as permissões Listar Conteúdo e Configurações de Leitura. Isso permite que eles exibam GPOs na guia Conteúdo do AGPM. Outras permissões devem ser explicitamente delegadas. Os Editores devem ter permissão de Leitura na cópia implantada de um GPO para usarem todos os recursos da Diretiva de Grupo de Instalação de Software. A associação ao grupo Proprietários Criadores de Diretiva de Grupo deve ser restrita, para que não seja usada a fim de contornar o gerenciamento do acesso aos GPOs pelo AGPM. (No Console de Gerenciamento de Diretiva de Grupo, clique em Objetos de Diretiva de Grupo na floresta e no domínio em que deseja gerenciar GPOs, clique em Delegação e defina as configurações de acordo com as necessidades de sua organização.) Gerenciar o arquivo morto Limitar as versões de GPO armazenadas Por padrão, todas as versões de cada Objeto de diretiva de grupo (GPO) controlado são retidas no arquivo no Servidor AGPM. No entanto, você poderá limitar o número de versões retidas de cada GPO e excluir versões mais antigas quando esse limite for excedido. Quando versões do GPO são excluídas, um registro da versão permanece no histórico do GPO, mas a própria versão do GPO é excluída do arquivo. Para concluir este procedimento, é preciso ter uma conta de usuário com a função Administrador do AGPM (Controle Total) ou as permissões necessárias no AGPM (Gerenciamento Avançado de Diretiva de Grupo). Revise os detalhes em "Considerações adicionais" neste tópico. Para limitar o número de versões de GPO armazenadas 1. Na árvore Console de Gerenciamento de Diretiva de Grupo, clique em Alterar Controle na floresta e no domínio no qual deseja gerenciar GPOs. 2. No painel de detalhes, clique na guia Servidor AGPM. 3. Marque a caixa de seleção Excluir versões antigas de cada GPO do arquivo e digite o número máximo de versões GPO a serem armazenadas para cada GPO, sem incluir a 24

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback