AGPM – как Git для групповой политики. Почти


    Octopussy By Robert Bowen


    Сегодня я хочу поведать о стильной, модной, но не очень молодежной — ей уже 10 лет — модели работы с групповыми политиками с использованием Advanced Group Policy Management.


    Она добавляет изюминку вроде версионирования и контроля при создании и изменении GPO.


    Бочка меда


    В моей практике не раз возникали ситуации, когда откат к предыдущей версии или восстановление удаленной групповой политики помогали обойтись без судорожных воспоминаний в стиле «А как же я там делал-то?!». А при работе в коллективе, особенно когда не все привыкли документировать каждое изменение в инфраструктуре, порой возникают вопросы вроде «Ну, и кто же у нас такой умный отключил SMBv1, и в темпе вернет все назад?».


    Все это легко решается с помощью модуля Advanced Group Policy Management (AGPM), который входит в специальный пакет Microsoft Desktop Optimization Pack (MDOP).


    Основные компоненты в этом пакете служат для облегчения развертывания приложений, настройки пользовательского окружения и восстановления систем после сбоя. Подробнее обо всех возможностях ― под спойлером.


    Что входит в MDOP

    App-V. Способ виртуализации приложений от Microsoft с централизованным развертыванием и управлением. Напоминает более известный VMware ThinApp, только требует установки клиента на рабочие станции.


    Преимущества, как и у прочих решений, по сравнению с обычной установкой ― в изоляции приложений и возможности запускать их разные версии. Например, для обычной работы с любимыми плагинами и макросами можно взять 32-битный MS Office. А если надо открыть тяжеловесный документ Excel со сложными расчетами, то воспользоваться уже 64-битной версией.



    Схема работы App-V.


    Подробнее про механизм работы App-V можно почитать в статье «Виртуализация приложений с помощью Microsoft App-V для неопределившихся». Стоит отметить, что App-V уже входит в поставку современных операционных систем вроде Windows 10.


    MED-V. Microsoft Enterprise Desktop Virtualization служит для развертывания на рабочих станциях под управлением Windows 7 виртуальных машин на базе Microsoft Virtual PC. Решение предназначено для поддержки старых приложений и представляет собой корпоративный XP Mode. Если вдруг кому-то понадобится этот все же устаревший механизм, то ознакомиться с ним можно в разделе Overview of MED-V.


    UE-V. Microsoft User Experience Virtualization предназначен для замены перемещаемых профилей пользователей. В отличие от классических профилей технология позволяет выбирать пользовательские настройки для синхронизации, в том числе и для отдельных приложений.


    Подобная синхронизация позволяет пользователю получить привычное окружение в любом варианте работы ― будь то корпоративный ноутбук или VDI-ферма с виртуализированными при помощи App-V приложениями.



    Схема работы UE-V.


    Как и App-V, компонент UE-V доступен в современных версиях Windows 10. Настройка компонента описана в разделе документации MS User Experience Virtualization (UE-V) for Windows 10.


    MBAM. Microsoft BitLocker Administration and Monitoring служит, как несложно догадаться, для централизованного управления и мониторинга шифрованием диска BitLocker. Его особенность в том, что пользователи могут шифровать свои данные без административных прав, а также хранить ключи восстановления в отдельной зашифрованной базе данных SQL ― на случай, если забудут PIN-код или потеряют флешку с ключом. И, конечно же, можно получать отчеты о состоянии шифрования как по сети целиком, так и по отдельным рабочим станциям.



    Архитектура MBAM.


    С принципами работы MBAM можно подробнее ознакомиться при помощи раздела документации MS Microsoft BitLocker Administration and Monitoring 2.5.


    DaRT. Не нуждающийся в отдельном представлении Microsoft Diagnostic and Recovery Toolkit, знакомый многим также как ERD Commander, является средством для диагностики и исправления ошибок Windows. Официально он распространяется именно как часть MDOP.


    Установка и использование AGPM


    По сравнению с классическим управлением групповой политикой здесь предлагаются следующие возможности:


    • Версионирование. Если вы обдумывали, как прикрутить к групповым политикам SVN или Git, то AGPM этот вопрос решает.
    • Делегирование и премодерация. Можно разрешить создание GPO отдельным сотрудникам, но без права применения. Применять может, к примеру, старший администратор после проверки.
    • Аудит, отчеты и мониторинг. Помогут при разборах полетов на тему «Кто забыл повесить фильтр безопасности на установку 1С».

    Для работы AGPM нужно будет установить службу на сервер, где будет лежать архив групповой политики. По-хорошему архив должен лежать на надежном хранилище с регулярным резервным копированием.



    Указываем место хранения архива GPO при установке.


    При установке также запрашиваются учетные данные для работы службы и учетная запись, которой выдаются полные права. В идеале надо настроить разрешение на работу с GPO только для этой учетной записи. Но это не обязательно, если приучить людей с административными правами не трогать групповые политики в обход AGPM.


    В качестве учетной записи для работы службы неплохим вариантом станет настройка MSA (Managed Service Accounts). Ознакомиться с принципами работы этого механизма можно в разделе Group Managed Service Accounts. А посмотреть пошаговый пример по настройке связки MSA и AGPM ― в статье Running AGPM with a Managed Service Account.

    Сам сервер может быть любым, устанавливать на контроллер домена в принципе можно, это уже дело вкуса.


    Клиента также можно установить на любой машине, где сможет запуститься оснастка «Управление групповой политикой». Разумеется, она должна иметь доступ к серверу по порту TCP (по умолчанию 4600).


    Работа с AGPM производится через вышеупомянутую оснастку, в пункте «Изменение управления».


    Русификация местами оставляет желать лучшего. Локализованную версию можно и не ставить, но мы же любим сложности и русский язык.


    Интерфейс AGPM.


    Механизм работы довольно прост. Для начала стоит сконвертировать существующие объекты GPO в «Управляемые» AGPM ― их можно найти во вкладке «Неуправляемый».



    Переносим старые групповые политики в AGPM.


    Теперь групповые политики хранятся в архиве-репозитарии вместе с историей изменений и корзиной для удаленных политик. Работа с ними ведется во вкладке «Управляемые» ― просто так, с ходу их не изменить. Необходимо Извлечь нужный объект GPO из репозитария, отредактировать и Возвратить обратно.


    Сделано это для совместной работы и удобного ведения журнала. Плюс каждое действие может сопровождаться комментарием. Люди, знакомые с механизмами совместной разработки вроде Git, не увидят тут ничего нового.



    Работа с групповой политикой.


    Также можно сделать шаблон из существующих политик для удобного создания новых и экспортировать-импортировать политики в файл.


    Стоит отметить, что работать можно с групповыми политиками, не применяя их ― то есть исключительно в архиве. А затем применить уже в рабочей среде (в терминах AGPM ― «Производство») командой «Развернуть».



    Политика test применена, политика test2 пока только в архиве.


    При развертывании GPO служба AGPM подключается к домену и создает/изменяет групповую политику. Практически релиз.


    Для совместной работы нужно будет создать пользователей, выдать им права и настроить почтовый сервер для отправки уведомлений и запросов.


    Совместная работа


    Настройка пользователей и почтового сервера производится во вкладке «Делегация домена».


    Особенностью русификации являются одинаковые названия полей «Адрес электронной почты». Так вот, первое поле ― это от кого отправлять, второе ― кому отправлять.

    Существуют четыре роли пользователей:


    • Полный доступ.
    • Проверяющий. Имеет доступ к отчетам и может просматривать объекты GPO.
    • Редактор. Может создавать объекты GPO.
    • Утверждающий или модератор ― может применять объекты GPO.

    В качестве примера возьмем пользователя admin-zhora и дадим ему право редактора.



    Настройка доступа к AGPM.


    Теперь Георгий может создать новый управляемый объект групповой политики, отправив запрос на утверждение:



    Запрос на новую политику.


    Удобнее сначала создать шаблон со всеми необходимыми настройками. Прав редактора для этого достаточно.

    Теперь администратору AGPM придет уведомление на почту, а сам запрос появится на вкладке «Отложен». Администратор посмотрит групповую политику и примет волевое решение ― применить или отклонить запрос.


    Увидеть хронику событий можно в журнале групповой политики.



    Журнал GPO.


    Через журнал при необходимости можно откатиться на предыдущие версии. Удобнее это делать во вкладке «Уникальные версии» ― тут со всеми состояниями отображаются и все действия, вроде извлечения и возврата в репозиторий без каких-либо изменений.


    Подробно механизмы работы с AGPM описаны в документации, что входит в установочный пакет, или в разделе Guide for Microsoft Advanced Group Policy Management. Для тех же, кто хочет подробнее узнать, что под капотом AGPM вплоть до содержания сетевых пакетов ― серия статей на Технете AGPM Production GPOs (under the hood).


    Ложка дегтя


    К сожалению, Microsoft Desktop Optimization Pack просто так не доступен. Легально получить его можно только при активной подписке MS, будь то Software Assurance или MSDN.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    А кто-нибудь вообще использует AGPM, или все по старинке?

    • 16,7%давно используем AGMP8
    • 45,8%нет, но теперь собираемся22
    • 18,8%нет, и не собираемся9
    • 18,8%а что такое групповые политики? =)9
    Сервер Молл
    серверы HP, Dell и Lenovo: новые и восстановленные

    Похожие публикации

    Комментарии 1

      0
      Еще одна ложечка дёгтя: при разворачивании групповой политики создаётся новая запись в журнале с пустым комментарием и смысл колонки «Комментарий» теряется, т.к. там обычно пусто. Чтоб посмотреть последнее изменение приходится лезть в журнал.

      А так эта система чем-то напоминает хранилище конфигураций 1С. Оставляет странное впечатление. Но лучше чем ничего.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое