Как настроить Advanced Group Policy Management и зачем она нужна
Advanced Group Policy Management, расширенное управление политиками групп, это классический (ему уже около 12 лет, но он остается актуальным) инструмент, использующийся для контроля и защиты GPO (Group Policy). На многих предприятиях политики групп контролируют чуть ли не каждый аспект и область в сетевом окружении, так что надежности в их отношении мало не бывает!
Среди угроз вашим политикам -
- Отсутствие резервной копии после модификации (ну просто забыли, с кем не бывает).
- Нанесение ущерба компьютерам и даже серверам при редактировании GPO в промышленной среде.
- Дублирование, базирующееся на ролях при управлении политиками.
Наверное, не было на свете системного администратора, который хоть бы раз ни ошибся с настройкой в GPO. Естественно, многие из этих ошибок могли нанести или же нанесли реальный ущерб сети, чему не раз помогли отсутствие возможности отмены внесенных изменений и сохранения, а также редактирование объекта групповой политики по умолчанию.
Поэтому появился AGPM! Его основные функции:
- Анализ, отчет, мониторинг - незаменимо при разборе полетов в отделе и при ответе на вопросах "Кто сделал/не сделал".
- Версионирование - если перед вами стоит вопрос прикручивания SVN или Git, то AGPM вам точно пригодится!
- Премодерация, делегирование. Возможно, например, разрешить кому-то создавать групповые политики без применения - соответствия, применяться они будут только после проверки ответственным лицом.
Однако это - далеко не все, что получит владелец AGPM.
Во всей красе
AGPM входит в специальный пакет MDOP или Microsoft Desktop Optimization Pack - получить его можно при активной подписке MS, MSDN или Software Assurance. Его главное назначение - упростить развертывание приложений, настройку окружения и экстренного восстановления системы после поломки.
Основные компоненты AGPM это:
- Microsoft Application Virtualization или App-V требует инсталляции на рабочие станции, но в остальном похож на более расхожий VMware ThinApp - это служба виртуализации, развертывания и контроля приложений Microsoft. Приложения изолированы, можно запускать разные их версии.
- User Experience Virtualization или UE-V заменяет профиль перемещаемого пользователя и позволяет контролировать пользовательские настройки, синхронизируя их вплоть до отдельных приложений. В результате на корпоративном ноутбуке и в VDI-ферме с виртуализированными на App-V приложениями пользователю будет одинаково удобно.
- Microsoft Enterprise Desktop Virtualization или MED-V развертывает виртуальные машины Microsoft Virtual PC на рабочих станциях. Обычно его используют для поддержки устаревшего софта в качестве корпоративного XP Mode.
- Microsoft BitLocker Administration and Monitoring или MBAM позволяет централизованно управлять и мониторить шифрование диска BitLocker, причем шифрование можно проводить даже без административных прав. В случае потери пин-кода ключи можно хранить в отдельной базе данных SQL.
- Microsoft Diagnostic and Recovery Toolkit или DaRT, он же ERD Commander, диагностирует Windows и исправляет ошибки.
Как установить AGPM
Сначала служба должна быть установлена на сервер, на котором будет храниться архив GPO. Надеемся, даже упоминать о том, что хранилище должно быть надежным и постоянно проходить резервное копирование, не надо; в остальном можно устанавливать даже и на контроллер домена - рассчитывайте решение под себя. В идеале все права на использование AGPM должны принадлежать исключительно учетке, которая указывается при инсталляции.
Клиент службы устанавливается на любую машину, на которой запускается «Управление групповой политикой» - обязателен также и доступ к серверу по порту TCP (по умолчанию 4600). Через «Управление групповой политикой» производится и работа с AGPM, пункт "Изменения управления"; чтоб перевести все групповые политики под управление AGPM, достаточно найти их во вкладке "Неуправляемые" в "Содержании" и сконвертировать.
После этого работу можно вести уже через вкладку "Управляемые" (логично, не так ли?): извлекаем объект политик из репозитория, редактируем, возвращаем. Так легче вести совместную работу, удобнее вести журнал, можно комментировать каждую операцию. Ничего нового для мира IT - очень похоже на механизмы совместной разработки вроде Git, только вместо совместной разработки совместное администрирование.
Работа с групповыми политиками, совместная работа
Из любой существующей политики можно делать шаблон, который затем можно использовать множество раз. Также с ними можно работать без применения, прямо в архиве, после чего уже разворачивать в рабочую среду.
В AGPM нужно будет создавать пользователей, настраивать почтовый сервер для рассылки им оповещений и обеспечивать их правами - полными, правами проверяющего (есть доступ к отчетам и просмотру объектов GPO), редактора (может создавать объекты политик) и модератора (может созданные объекты применять).
В случае какой-то накладки можно откатываться на предыдущие версии GPO посредством журнала, где можно найти все состояния и действия над объектами.
Вот таков минимум по применению классического инструмента управления групповыми политиками AGPM! Подробнее о нем можно узнать из документации, которая входит в установочный пакет, или же из серии статей AGPM Production GPOs (under the hood).