AGPM – как Git для групповой политики. Почти


    Octopussy By Robert Bowen


    Сегодня я хочу поведать о стильной, модной, но не очень молодежной — ей уже 10 лет — модели работы с групповыми политиками с использованием Advanced Group Policy Management.


    Она добавляет изюминку вроде версионирования и контроля при создании и изменении GPO.


    Бочка меда


    В моей практике не раз возникали ситуации, когда откат к предыдущей версии или восстановление удаленной групповой политики помогали обойтись без судорожных воспоминаний в стиле «А как же я там делал-то?!». А при работе в коллективе, особенно когда не все привыкли документировать каждое изменение в инфраструктуре, порой возникают вопросы вроде «Ну, и кто же у нас такой умный отключил SMBv1, и в темпе вернет все назад?».


    Все это легко решается с помощью модуля Advanced Group Policy Management (AGPM), который входит в специальный пакет Microsoft Desktop Optimization Pack (MDOP).


    Основные компоненты в этом пакете служат для облегчения развертывания приложений, настройки пользовательского окружения и восстановления систем после сбоя. Подробнее обо всех возможностях ― под спойлером.


    Что входит в MDOP

    App-V. Способ виртуализации приложений от Microsoft с централизованным развертыванием и управлением. Напоминает более известный VMware ThinApp, только требует установки клиента на рабочие станции.


    Преимущества, как и у прочих решений, по сравнению с обычной установкой ― в изоляции приложений и возможности запускать их разные версии. Например, для обычной работы с любимыми плагинами и макросами можно взять 32-битный MS Office. А если надо открыть тяжеловесный документ Excel со сложными расчетами, то воспользоваться уже 64-битной версией.



    Схема работы App-V.


    Подробнее про механизм работы App-V можно почитать в статье «Виртуализация приложений с помощью Microsoft App-V для неопределившихся». Стоит отметить, что App-V уже входит в поставку современных операционных систем вроде Windows 10.


    MED-V. Microsoft Enterprise Desktop Virtualization служит для развертывания на рабочих станциях под управлением Windows 7 виртуальных машин на базе Microsoft Virtual PC. Решение предназначено для поддержки старых приложений и представляет собой корпоративный XP Mode. Если вдруг кому-то понадобится этот все же устаревший механизм, то ознакомиться с ним можно в разделе Overview of MED-V.


    UE-V. Microsoft User Experience Virtualization предназначен для замены перемещаемых профилей пользователей. В отличие от классических профилей технология позволяет выбирать пользовательские настройки для синхронизации, в том числе и для отдельных приложений.


    Подобная синхронизация позволяет пользователю получить привычное окружение в любом варианте работы ― будь то корпоративный ноутбук или VDI-ферма с виртуализированными при помощи App-V приложениями.



    Схема работы UE-V.


    Как и App-V, компонент UE-V доступен в современных версиях Windows 10. Настройка компонента описана в разделе документации MS User Experience Virtualization (UE-V) for Windows 10.


    MBAM. Microsoft BitLocker Administration and Monitoring служит, как несложно догадаться, для централизованного управления и мониторинга шифрованием диска BitLocker. Его особенность в том, что пользователи могут шифровать свои данные без административных прав, а также хранить ключи восстановления в отдельной зашифрованной базе данных SQL ― на случай, если забудут PIN-код или потеряют флешку с ключом. И, конечно же, можно получать отчеты о состоянии шифрования как по сети целиком, так и по отдельным рабочим станциям.



    Архитектура MBAM.


    С принципами работы MBAM можно подробнее ознакомиться при помощи раздела документации MS Microsoft BitLocker Administration and Monitoring 2.5.


    DaRT. Не нуждающийся в отдельном представлении Microsoft Diagnostic and Recovery Toolkit, знакомый многим также как ERD Commander, является средством для диагностики и исправления ошибок Windows. Официально он распространяется именно как часть MDOP.


    Установка и использование AGPM


    По сравнению с классическим управлением групповой политикой здесь предлагаются следующие возможности:


    • Версионирование. Если вы обдумывали, как прикрутить к групповым политикам SVN или Git, то AGPM этот вопрос решает.
    • Делегирование и премодерация. Можно разрешить создание GPO отдельным сотрудникам, но без права применения. Применять может, к примеру, старший администратор после проверки.
    • Аудит, отчеты и мониторинг. Помогут при разборах полетов на тему «Кто забыл повесить фильтр безопасности на установку 1С».

    Для работы AGPM нужно будет установить службу на сервер, где будет лежать архив групповой политики. По-хорошему архив должен лежать на надежном хранилище с регулярным резервным копированием.



    Указываем место хранения архива GPO при установке.


    При установке также запрашиваются учетные данные для работы службы и учетная запись, которой выдаются полные права. В идеале надо настроить разрешение на работу с GPO только для этой учетной записи. Но это не обязательно, если приучить людей с административными правами не трогать групповые политики в обход AGPM.


    В качестве учетной записи для работы службы неплохим вариантом станет настройка MSA (Managed Service Accounts). Ознакомиться с принципами работы этого механизма можно в разделе Group Managed Service Accounts. А посмотреть пошаговый пример по настройке связки MSA и AGPM ― в статье Running AGPM with a Managed Service Account.

    Сам сервер может быть любым, устанавливать на контроллер домена в принципе можно, это уже дело вкуса.


    Клиента также можно установить на любой машине, где сможет запуститься оснастка «Управление групповой политикой». Разумеется, она должна иметь доступ к серверу по порту TCP (по умолчанию 4600).


    Работа с AGPM производится через вышеупомянутую оснастку, в пункте «Изменение управления».


    Русификация местами оставляет желать лучшего. Локализованную версию можно и не ставить, но мы же любим сложности и русский язык.


    Интерфейс AGPM.


    Механизм работы довольно прост. Для начала стоит сконвертировать существующие объекты GPO в «Управляемые» AGPM ― их можно найти во вкладке «Неуправляемый».



    Переносим старые групповые политики в AGPM.


    Теперь групповые политики хранятся в архиве-репозитарии вместе с историей изменений и корзиной для удаленных политик. Работа с ними ведется во вкладке «Управляемые» ― просто так, с ходу их не изменить. Необходимо Извлечь нужный объект GPO из репозитария, отредактировать и Возвратить обратно.


    Сделано это для совместной работы и удобного ведения журнала. Плюс каждое действие может сопровождаться комментарием. Люди, знакомые с механизмами совместной разработки вроде Git, не увидят тут ничего нового.



    Работа с групповой политикой.


    Также можно сделать шаблон из существующих политик для удобного создания новых и экспортировать-импортировать политики в файл.


    Стоит отметить, что работать можно с групповыми политиками, не применяя их ― то есть исключительно в архиве. А затем применить уже в рабочей среде (в терминах AGPM ― «Производство») командой «Развернуть».



    Политика test применена, политика test2 пока только в архиве.


    При развертывании GPO служба AGPM подключается к домену и создает/изменяет групповую политику. Практически релиз.


    Для совместной работы нужно будет создать пользователей, выдать им права и настроить почтовый сервер для отправки уведомлений и запросов.


    Совместная работа


    Настройка пользователей и почтового сервера производится во вкладке «Делегация домена».


    Особенностью русификации являются одинаковые названия полей «Адрес электронной почты». Так вот, первое поле ― это от кого отправлять, второе ― кому отправлять.

    Существуют четыре роли пользователей:


    • Полный доступ.
    • Проверяющий. Имеет доступ к отчетам и может просматривать объекты GPO.
    • Редактор. Может создавать объекты GPO.
    • Утверждающий или модератор ― может применять объекты GPO.

    В качестве примера возьмем пользователя admin-zhora и дадим ему право редактора.



    Настройка доступа к AGPM.


    Теперь Георгий может создать новый управляемый объект групповой политики, отправив запрос на утверждение:



    Запрос на новую политику.


    Удобнее сначала создать шаблон со всеми необходимыми настройками. Прав редактора для этого достаточно.

    Теперь администратору AGPM придет уведомление на почту, а сам запрос появится на вкладке «Отложен». Администратор посмотрит групповую политику и примет волевое решение ― применить или отклонить запрос.


    Увидеть хронику событий можно в журнале групповой политики.



    Журнал GPO.


    Через журнал при необходимости можно откатиться на предыдущие версии. Удобнее это делать во вкладке «Уникальные версии» ― тут со всеми состояниями отображаются и все действия, вроде извлечения и возврата в репозиторий без каких-либо изменений.


    Подробно механизмы работы с AGPM описаны в документации, что входит в установочный пакет, или в разделе Guide for Microsoft Advanced Group Policy Management. Для тех же, кто хочет подробнее узнать, что под капотом AGPM вплоть до содержания сетевых пакетов ― серия статей на Технете AGPM Production GPOs (under the hood).


    Ложка дегтя


    К сожалению, Microsoft Desktop Optimization Pack просто так не доступен. Легально получить его можно только при активной подписке MS, будь то Software Assurance или MSDN.

    Only registered users can participate in poll. Log in, please.

    А кто-нибудь вообще использует AGPM, или все по старинке?

    • 18.9%давно используем AGMP10
    • 43.4%нет, но теперь собираемся23
    • 20.8%нет, и не собираемся11
    • 17.0%а что такое групповые политики? =)9
    Сервер Молл
    серверы HP, Dell и Lenovo: новые и восстановленные

    Comments 1

      0
      Еще одна ложечка дёгтя: при разворачивании групповой политики создаётся новая запись в журнале с пустым комментарием и смысл колонки «Комментарий» теряется, т.к. там обычно пусто. Чтоб посмотреть последнее изменение приходится лезть в журнал.

      А так эта система чем-то напоминает хранилище конфигураций 1С. Оставляет странное впечатление. Но лучше чем ничего.

      Only users with full accounts can post comments. Log in, please.