mdop手册6

实验12：使用AGPM控制组策略实验：使用AGPM控制组策略练习1：安装高级组策略管理练习2：管理受控组策略对象场景：你是Contoso公司的一个网络管理员。由于你的活动目录集成了GPO策略，因此你需要一个高级的GPO控制和管理方法。由于AGPM提供了你需要的版本特性和工作流特性，你决定评估一下该服务。实验：使用AGPM控制组策略对象登录信息虚拟机:server1计算机名:server-dc用户名:administrator密码:password01!安装高级组策略管理1.打开虚拟机，登录。2.安装高级组策略管理服务器。3.安装高级组策略管理客户端。4.创建一个GPO，然后添加一个组策略模版。5.配置AGPM策略。6.创建额外策略。开启启动server1虚拟机.登录虚拟机，用户名：Contoso\administrator，密码：password01!安装高级组策略管理服务器1.在server-dc上放入MDOP光盘（附录光盘）2.在弹出的运行窗口里选择“AdvanceGroupPolicyManagement”。3.选择“Windows7,WindowsServer2008R2AGPM4.0安装服务器（64位）”。4.在“欢迎使用MicrosoftAdvancedGroupPolicyManagement-服务器端安装向导”界面上单击“下一步”5.在“Microsoft软件许可条款”页面，勾选“我接受许可条款”然后单击“下一步”6.在“应用程序路径”页面,选择默认安装路径“C:\ProgramFiles\Microsoft\AGPM\Server”然后单击“下一步”7.在“存档路径”页面,选择“下一步”8.在“AGPM服务账户”页面,选择“本地系统”,然后单击“下一步”9.在“档案所有者”页面,指定帐户名称为“Contoso\administrator”,然后单击“下一步”10.在“端口配置”页面,单击“下一步”11.在“语言”页面,单击“下一步”12.在“准备安装MicrosoftAdvancedGroupPolicyManagement-服务器端”页面,单击“安装”13.在“MicrosoftAdvancedGroupPolicyManagement–服务器端安装向导已完成”页面,单击“完成”安装高级组策略管理客户端1.在server-dc上，放入MDOP光盘2.在弹出的运行窗口中,点击“AdvancedGroupPolicyManagement”。3.选择“Windows7,WindowsServer2008R2AGPM4.0安装客户端（32位）”。4.在“欢迎使用MicrosoftAdvancedGroupPolicyManagement-客户端安装向导“界面上单击“下一步”5.在“Microsoft软件许可条款”页面,勾选“我接受许可条款”,然后单击“下一步”6.在“应用程序路径”页面,选择默认安装路径“C:\ProgramFiles\Microsoft\AGPM\Client”,然后单击“下一步”7.在“AGPM服务器”页面,指定名称为server-dc.Contoso.com,端口为4600.单击“下一步”8.在“语言”页面,单击“下一步”9.在“准备安装MicrosoftAdvancedGroupPolicyManagement–客户端”页面,单击“安装”10.在“MicrosoftAdvancedGroupPolicyManagement–客户端安装向导已完成”页面,单击“完成”创建GPO，配置AGMP策略1.在server-dc中,单击“开始”,指向“管理工具”，然后单击“组策略管理”2.在“组策略管理”控制台,展开Contoso.com/Domains.3.单击Contoso.com.4.右键单击Contoso.com,然后单击“在这个域中创建GPO并在此处链接”5.在弹出的“新建GPO”对话框中,输入“AGPMConfigurationPolicy”,然后单击“确定”6.右键单击“AGPMConfigurationPolicy”,然后选择“编辑”7.在“组策略管理编辑器”页面,展开“计算机配置/策略/管理模板/Windows组件”,然后单击“AGPM”8.在详细信息窗格中,双击AGPM日志9.在“AGPM配置日志记录”页面,选择“已启用”,在“跟踪级别”中选择“及错误”然后单击“确定”10.展开“用户配置/策略/管理模板/Windows组件”,然后单击“AGPM”11.双击“AGPM:指定默认的AGPMServer（所有域）”12.选择“启用“,设置服务器为”server-dc.Contoso.com:4600”,然后单击“确定”13.关闭“组策略管理编辑器”窗口创建额外策略1.在组策略管理控制台中,右键单击“Contoso.com”,然后单击“在这个域中创建GPO并在此处链接”2.在弹出“新建GPO”中输入“BranchOfficePolicy”,然后单击“确定”管理受控组策略对象需要在AD中建立2个新的用户，并且将两个新用户放入DomainAdmins组中。用户名：Aaron，密码：password01！用户名：Don，密码：password01！1．配置AGPM系统安全.2．配置特殊权限.3．控制一个存在的GPO4．创建一个受控GPO.5．恢复一个已经删除的GPO.6．创建一个模版.7．在模版上部署一个GPO.配置AGPM系统安全1.在“组策略管理”控制台中,展开“Contoso.com”,然后单击“更改控制”2.选择标签“域委托”3.填入以下信息:发件人电子邮件地址:AGPMService@Contoso.com收件人电子邮件地址:Aaron@Contoso.comSMTP服务器:server-dc用户名:AGPMService密码:password01！确认密码:password01！（提示:邮箱不可用）4.单击“应用”5.单击右下角的“添加”6.输入“Aaron”,然后单击“检查名称”7.单击“确定”,“Aaron@contoso.com”就被添加了进来,再次单击“确认”把他加为一个“审阅者”8.单击窗口下端的“高级”9.在“Contoso.com的权限”窗口中,选择“Aaron”同时选上“审批者”复选框,然后单击“确定”10.单击左下角的“添加”按钮11.输入“Don”,单击“检查名称”然后单击“确定”12.选择角色为:“编辑”然后单击“确定”配置特殊权限1.在“域委托”标签窗口中,单击“高级”2.在“Contoso.com的权限”对话框中,单击“高级”3.单击“权限”标签4.在“权限”对话框中,选择“Aaron”然后单击“编辑”.5.选择“允许”复选框，这样“Aaron”就可以创建模版了,然后单击“确定”6.在“权限”对话框中,选择“Don”,然后“编辑”7.取消“允许”复选框，这样“Don”就不能创建模版了8.单击“确定”三次，关闭所有对话控制一个存在的GPO切换用户1.在server-dc中,单击“开始”|“关机键”|“切换用户”用户名:Contoso\Don密码:password01！2.单击“开始”|“管理工具”|“组策略管理器”3.在“组策略管理器”控制台中,展开“林:Contoso.com”,展开“域”,然后再展开“Contoso.com”4.在“Contoso.com”中,单击“更改控制”5.在详细信息窗格中,单击“非受控”标签6.右键单击“BranchOfficePolicy”,然后单击“控制”.7.在“注释”框中输入“Dontoconfigurebranchsettings”,然后单击“确定”接下来会出现一个AGPM进度窗口.因为本次实验没有配置邮件支持，所以你可以忽略发送邮件失败的错误信息。8.当总体进度完成后,单击“关闭”9.单击“等待”标签，就会看到这个GPO已经列在了“等待”选项卡的列表中。„切换用户1.在server-dc中,单击“开始”|“关机键”|“切换用户”用户名:Contoso\Aaron密码:password01！2.单击“开始”|“管理工具”|“组策略管理器”3.在“组策略管理器”控制台中,展开“林:Contoso.com”,然后展开“域”,最后再展开“Contoso.com”4.在“Contoso.com”中,选择“更改控制”5.单击“等待”标签.6.右键单击“BranchOfficePolicy”,然后单击“批准”7.输入“核准”,然后单击“是”.出现一个AGPM进度窗口8.当总体进度完成后,单击“关闭”切换用户1.在server-dc中,单击“开始“|”关机键“|”切换用户”用户名:Contoso\Don密码:password01！2.在“组策略管理”控制台中,展开“林:Contoso.com”,展开“域”,然后再展开“Contoso.com”3.在“Contoso.com”里,右键单击“更改控制”然后选择“刷新”4.单击详细信息窗格里的“受控”标签5.右键单击“BranchOfficePolicy”然后单击“历史记录”6.关闭“历史记录”窗口创建一个受控GPO1.在“组策略管理”控制台树中,选择“更改控制”2.右键单击“更改控制”节点，然后单击“新建受控GPO”3.按照一下步骤更改，在“提交新的受控GPO请求”页面a.在“GPO名称”框中输入“MarketingInterns”,然后输入注释.b.单击“仅在存档中创建”,这样新的GPO只有在审查和批准以后才回被部署.c.单击“提交”4.在“AGPM进度–已完成”窗口上单击“关闭”„切换用户1.在server-dc里单击“开始”|“关机键”|“切换用户”用户名:Contoso\Aaron密码:password01！2.在“Contoso.com”下,右键单击“更改控制”并选择“刷新”3.单击“等待标签”4.右键单击“MarketingInterns”,然后单击“批准”5.在“批准等待中的操作”页面，输入“Approved”,然后单击“是”.接下来会出现一个AGPM进度窗口6.当总体进度完成后,单击Close切换用户1.在server-dc中,单击“开始”|“关机键”|“切换用户”用户名:Contoso\Don密码:password01！2.在“组策略管路”控制台中,展开“林:Contoso.com”,展开“域”,然后再展开“Contoso.com”3.在“Contoso.com”下面单击“更改控制”然后选择“刷新”4.单击详细信息窗格中的“受控”标签5.右键单击“MarketingInterns”,然后单击“签出”6.在”签出GPO”页面输入“editing”,然后单击“确定”.接下来会出现一个AGPM进度窗口。7.当总体进度完成后,单击“关闭”8.在“受控”标签中,右键单击“MarketingInterns”,然后单击“编辑”9.当“组策略管路编辑器”打开以后,最大化窗口。10.在“组策略管理编辑器”中,展开“用户配置”/“策略”/“管理模板”,然后单击“控制模板”11.在详细信息窗格中双击“禁止访问“控制面板””12.在禁止访问“控制面板”窗口里,单击“已启用”,然后单击“确定”13.在“组策略管理编辑器”中,单击“用户配置”-“策略”-“管理模板”-“系统”14.在详细信息窗格中,双击“阻止访问注册表编辑工具”15.在“阻止访问注册表编辑工具”窗口里,单击“已启用”,在下拉菜单中选择“否”然后单击“确定”16.关闭“组策略管理编辑器”17.右键单击“MarketingInterns”,然后单击“签入”18.在“签入GPO”窗口输入“Done”,然后单击“确定”.接下来会出现一个AGPM进度窗口。19.当总体进度完成后,单击Close20.右键单击“MarketingInterns”,然后单击“部署”21.在“提交部署请求”窗口输入“ReadytoDeploy”,然后单击“提交”.接下来会出现一个AGPM进度窗口。22.当总体进度完成后,单击“关闭”„切换用户1.在se