Top.Mail.Ru
КОНФИГУРАТОР Серверы
Сетевое оборудование
СХД
IP-телефоны IP-камеры Источники бесперебойного питания (ИБП) Комплектующие Готовые решения -40 % Серверы под задачу
О компании Купить в лизинг Блог Отзывы Доставка Гарантия Контакты Работа у нас Реквизиты Спецпредложения Игровые ПК на ISKRAPC Заявка в тех поддержку
Эксперты в подборе IT-оборудования

Как настроить Advanced Group Policy Management и зачем она нужна

21 марта 2019

Advanced Group Policy Management, расширенное управление политиками групп, это классический (ему уже около 12 лет, но он остается актуальным) инструмент, использующийся для контроля и защиты GPO (Group Policy). На многих предприятиях политики групп контролируют чуть ли не каждый аспект и область в сетевом окружении, так что надежности в их отношении мало не бывает!

Среди угроз вашим политикам -

  • Отсутствие резервной копии после модификации (ну просто забыли, с кем не бывает).
  • Нанесение ущерба компьютерам и даже серверам при редактировании GPO в промышленной среде.
  • Дублирование, базирующееся на ролях при управлении политиками.

Наверное, не было на свете системного администратора, который хоть бы раз ни ошибся с настройкой в GPO. Естественно, многие из этих ошибок могли нанести или же нанесли реальный ущерб сети, чему не раз помогли отсутствие возможности отмены внесенных изменений и сохранения, а также редактирование объекта групповой политики по умолчанию.

Поэтому появился AGPM! Его основные функции:

  • Анализ, отчет, мониторинг - незаменимо при разборе полетов в отделе и при ответе на вопросах "Кто сделал/не сделал".
  • Версионирование - если перед вами стоит вопрос прикручивания SVN или Git, то AGPM вам точно пригодится!
  • Премодерация, делегирование. Возможно, например, разрешить кому-то создавать групповые политики без применения - соответствия, применяться они будут только после проверки ответственным лицом.

Однако это - далеко не все, что получит владелец AGPM.


Во всей красе

AGPM входит в специальный пакет MDOP или Microsoft Desktop Optimization Pack - получить его можно при активной подписке MS, MSDN или Software Assurance. Его главное назначение - упростить развертывание приложений, настройку окружения и экстренного восстановления системы после поломки.

Основные компоненты AGPM это:

  • Microsoft Application Virtualization или App-V требует инсталляции на рабочие станции, но в остальном похож на более расхожий VMware ThinApp - это служба виртуализации, развертывания и контроля приложений Microsoft. Приложения изолированы, можно запускать разные их версии.
  • User Experience Virtualization или UE-V заменяет профиль перемещаемого пользователя и позволяет контролировать пользовательские настройки, синхронизируя их вплоть до отдельных приложений. В результате на корпоративном ноутбуке и в VDI-ферме с виртуализированными на App-V приложениями пользователю будет одинаково удобно.
  • Microsoft Enterprise Desktop Virtualization или MED-V развертывает виртуальные машины Microsoft Virtual PC на рабочих станциях. Обычно его используют для поддержки устаревшего софта в качестве корпоративного XP Mode.
  • Microsoft BitLocker Administration and Monitoring или MBAM позволяет централизованно управлять и мониторить шифрование диска BitLocker, причем шифрование можно проводить даже без административных прав. В случае потери пин-кода ключи можно хранить в отдельной базе данных SQL.
  • Microsoft Diagnostic and Recovery Toolkit или DaRT, он же ERD Commander, диагностирует Windows и исправляет ошибки.

Как установить AGPM

Сначала служба должна быть установлена на сервер, на котором будет храниться архив GPO. Надеемся, даже упоминать о том, что хранилище должно быть надежным и постоянно проходить резервное копирование, не надо; в остальном можно устанавливать даже и на контроллер домена - рассчитывайте решение под себя. В идеале все права на использование AGPM должны принадлежать исключительно учетке, которая указывается при инсталляции.

Клиент службы устанавливается на любую машину, на которой запускается «Управление групповой политикой» - обязателен также и доступ к серверу по порту TCP (по умолчанию 4600). Через «Управление групповой политикой» производится и работа с AGPM, пункт "Изменения управления"; чтоб перевести все групповые политики под управление AGPM, достаточно найти их во вкладке "Неуправляемые" в "Содержании" и сконвертировать.

После этого работу можно вести уже через вкладку "Управляемые" (логично, не так ли?): извлекаем объект политик из репозитория, редактируем, возвращаем. Так легче вести совместную работу, удобнее вести журнал, можно комментировать каждую операцию. Ничего нового для мира IT - очень похоже на механизмы совместной разработки вроде Git, только вместо совместной разработки совместное администрирование.


Работа с групповыми политиками, совместная работа

Из любой существующей политики можно делать шаблон, который затем можно использовать множество раз. Также с ними можно работать без применения, прямо в архиве, после чего уже разворачивать в рабочую среду.

В AGPM нужно будет создавать пользователей, настраивать почтовый сервер для рассылки им оповещений и обеспечивать их правами - полными, правами проверяющего (есть доступ к отчетам и просмотру объектов GPO), редактора (может создавать объекты политик) и модератора (может созданные объекты применять).

В случае какой-то накладки можно откатываться на предыдущие версии GPO посредством журнала, где можно найти все состояния и действия над объектами.


Вот таков минимум по применению классического инструмента управления групповыми политиками AGPM! Подробнее о нем можно узнать из документации, которая входит в установочный пакет, или же из серии статей AGPM Production GPOs (under the hood).


Вам также может быть интересно

Товар добавлен в список сравнения
Перейти в сравнение
Продолжить просмотр
Заявка в тех поддержку
Заказать консультацию
IT-архитектор подберет сервер под вашу задачу
Заказать сервер
Мы свяжемся с вами в течение 15 мин
Заявка на лизинг