Как стать автором
Обновить
37.96
Рейтинг
Сервер Молл
серверы HP, Dell и Lenovo: новые и восстановленные

AGPM – как Git для групповой политики. Почти

Блог компании Сервер Молл Системное администрирование *IT-инфраструктура *Серверное администрирование *


Octopussy By Robert Bowen


Сегодня я хочу поведать о стильной, модной, но не очень молодежной — ей уже 10 лет — модели работы с групповыми политиками с использованием Advanced Group Policy Management.


Она добавляет изюминку вроде версионирования и контроля при создании и изменении GPO.


Бочка меда


В моей практике не раз возникали ситуации, когда откат к предыдущей версии или восстановление удаленной групповой политики помогали обойтись без судорожных воспоминаний в стиле «А как же я там делал-то?!». А при работе в коллективе, особенно когда не все привыкли документировать каждое изменение в инфраструктуре, порой возникают вопросы вроде «Ну, и кто же у нас такой умный отключил SMBv1, и в темпе вернет все назад?».


Все это легко решается с помощью модуля Advanced Group Policy Management (AGPM), который входит в специальный пакет Microsoft Desktop Optimization Pack (MDOP).


Основные компоненты в этом пакете служат для облегчения развертывания приложений, настройки пользовательского окружения и восстановления систем после сбоя. Подробнее обо всех возможностях ― под спойлером.


Что входит в MDOP

App-V. Способ виртуализации приложений от Microsoft с централизованным развертыванием и управлением. Напоминает более известный VMware ThinApp, только требует установки клиента на рабочие станции.


Преимущества, как и у прочих решений, по сравнению с обычной установкой ― в изоляции приложений и возможности запускать их разные версии. Например, для обычной работы с любимыми плагинами и макросами можно взять 32-битный MS Office. А если надо открыть тяжеловесный документ Excel со сложными расчетами, то воспользоваться уже 64-битной версией.



Схема работы App-V.


Подробнее про механизм работы App-V можно почитать в статье «Виртуализация приложений с помощью Microsoft App-V для неопределившихся». Стоит отметить, что App-V уже входит в поставку современных операционных систем вроде Windows 10.


MED-V. Microsoft Enterprise Desktop Virtualization служит для развертывания на рабочих станциях под управлением Windows 7 виртуальных машин на базе Microsoft Virtual PC. Решение предназначено для поддержки старых приложений и представляет собой корпоративный XP Mode. Если вдруг кому-то понадобится этот все же устаревший механизм, то ознакомиться с ним можно в разделе Overview of MED-V.


UE-V. Microsoft User Experience Virtualization предназначен для замены перемещаемых профилей пользователей. В отличие от классических профилей технология позволяет выбирать пользовательские настройки для синхронизации, в том числе и для отдельных приложений.


Подобная синхронизация позволяет пользователю получить привычное окружение в любом варианте работы ― будь то корпоративный ноутбук или VDI-ферма с виртуализированными при помощи App-V приложениями.



Схема работы UE-V.


Как и App-V, компонент UE-V доступен в современных версиях Windows 10. Настройка компонента описана в разделе документации MS User Experience Virtualization (UE-V) for Windows 10.


MBAM. Microsoft BitLocker Administration and Monitoring служит, как несложно догадаться, для централизованного управления и мониторинга шифрованием диска BitLocker. Его особенность в том, что пользователи могут шифровать свои данные без административных прав, а также хранить ключи восстановления в отдельной зашифрованной базе данных SQL ― на случай, если забудут PIN-код или потеряют флешку с ключом. И, конечно же, можно получать отчеты о состоянии шифрования как по сети целиком, так и по отдельным рабочим станциям.



Архитектура MBAM.


С принципами работы MBAM можно подробнее ознакомиться при помощи раздела документации MS Microsoft BitLocker Administration and Monitoring 2.5.


DaRT. Не нуждающийся в отдельном представлении Microsoft Diagnostic and Recovery Toolkit, знакомый многим также как ERD Commander, является средством для диагностики и исправления ошибок Windows. Официально он распространяется именно как часть MDOP.


Установка и использование AGPM


По сравнению с классическим управлением групповой политикой здесь предлагаются следующие возможности:


  • Версионирование. Если вы обдумывали, как прикрутить к групповым политикам SVN или Git, то AGPM этот вопрос решает.
  • Делегирование и премодерация. Можно разрешить создание GPO отдельным сотрудникам, но без права применения. Применять может, к примеру, старший администратор после проверки.
  • Аудит, отчеты и мониторинг. Помогут при разборах полетов на тему «Кто забыл повесить фильтр безопасности на установку 1С».

Для работы AGPM нужно будет установить службу на сервер, где будет лежать архив групповой политики. По-хорошему архив должен лежать на надежном хранилище с регулярным резервным копированием.



Указываем место хранения архива GPO при установке.


При установке также запрашиваются учетные данные для работы службы и учетная запись, которой выдаются полные права. В идеале надо настроить разрешение на работу с GPO только для этой учетной записи. Но это не обязательно, если приучить людей с административными правами не трогать групповые политики в обход AGPM.


В качестве учетной записи для работы службы неплохим вариантом станет настройка MSA (Managed Service Accounts). Ознакомиться с принципами работы этого механизма можно в разделе Group Managed Service Accounts. А посмотреть пошаговый пример по настройке связки MSA и AGPM ― в статье Running AGPM with a Managed Service Account.

Сам сервер может быть любым, устанавливать на контроллер домена в принципе можно, это уже дело вкуса.


Клиента также можно установить на любой машине, где сможет запуститься оснастка «Управление групповой политикой». Разумеется, она должна иметь доступ к серверу по порту TCP (по умолчанию 4600).


Работа с AGPM производится через вышеупомянутую оснастку, в пункте «Изменение управления».


Русификация местами оставляет желать лучшего. Локализованную версию можно и не ставить, но мы же любим сложности и русский язык.


Интерфейс AGPM.


Механизм работы довольно прост. Для начала стоит сконвертировать существующие объекты GPO в «Управляемые» AGPM ― их можно найти во вкладке «Неуправляемый».



Переносим старые групповые политики в AGPM.


Теперь групповые политики хранятся в архиве-репозитарии вместе с историей изменений и корзиной для удаленных политик. Работа с ними ведется во вкладке «Управляемые» ― просто так, с ходу их не изменить. Необходимо Извлечь нужный объект GPO из репозитария, отредактировать и Возвратить обратно.


Сделано это для совместной работы и удобного ведения журнала. Плюс каждое действие может сопровождаться комментарием. Люди, знакомые с механизмами совместной разработки вроде Git, не увидят тут ничего нового.



Работа с групповой политикой.


Также можно сделать шаблон из существующих политик для удобного создания новых и экспортировать-импортировать политики в файл.


Стоит отметить, что работать можно с групповыми политиками, не применяя их ― то есть исключительно в архиве. А затем применить уже в рабочей среде (в терминах AGPM ― «Производство») командой «Развернуть».



Политика test применена, политика test2 пока только в архиве.


При развертывании GPO служба AGPM подключается к домену и создает/изменяет групповую политику. Практически релиз.


Для совместной работы нужно будет создать пользователей, выдать им права и настроить почтовый сервер для отправки уведомлений и запросов.


Совместная работа


Настройка пользователей и почтового сервера производится во вкладке «Делегация домена».


Особенностью русификации являются одинаковые названия полей «Адрес электронной почты». Так вот, первое поле ― это от кого отправлять, второе ― кому отправлять.

Существуют четыре роли пользователей:


  • Полный доступ.
  • Проверяющий. Имеет доступ к отчетам и может просматривать объекты GPO.
  • Редактор. Может создавать объекты GPO.
  • Утверждающий или модератор ― может применять объекты GPO.

В качестве примера возьмем пользователя admin-zhora и дадим ему право редактора.



Настройка доступа к AGPM.


Теперь Георгий может создать новый управляемый объект групповой политики, отправив запрос на утверждение:



Запрос на новую политику.


Удобнее сначала создать шаблон со всеми необходимыми настройками. Прав редактора для этого достаточно.

Теперь администратору AGPM придет уведомление на почту, а сам запрос появится на вкладке «Отложен». Администратор посмотрит групповую политику и примет волевое решение ― применить или отклонить запрос.


Увидеть хронику событий можно в журнале групповой политики.



Журнал GPO.


Через журнал при необходимости можно откатиться на предыдущие версии. Удобнее это делать во вкладке «Уникальные версии» ― тут со всеми состояниями отображаются и все действия, вроде извлечения и возврата в репозиторий без каких-либо изменений.


Подробно механизмы работы с AGPM описаны в документации, что входит в установочный пакет, или в разделе Guide for Microsoft Advanced Group Policy Management. Для тех же, кто хочет подробнее узнать, что под капотом AGPM вплоть до содержания сетевых пакетов ― серия статей на Технете AGPM Production GPOs (under the hood).


Ложка дегтя


К сожалению, Microsoft Desktop Optimization Pack просто так не доступен. Легально получить его можно только при активной подписке MS, будь то Software Assurance или MSDN.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
А кто-нибудь вообще использует AGPM, или все по старинке?
21.05% давно используем AGMP 12
42.11% нет, но теперь собираемся 24
21.05% нет, и не собираемся 12
15.79% а что такое групповые политики? =) 9
Проголосовали 57 пользователей. Воздержались 18 пользователей.
Теги: gpoуправление политикамиagpm
Хабы: Блог компании Сервер Молл Системное администрирование IT-инфраструктура Серверное администрирование
Всего голосов 9: ↑8 и ↓1 +7
Комментарии 1
Комментарии Комментарии 1

Похожие публикации

Лучшие публикации за сутки

Информация

Дата основания
Местоположение
Россия
Сайт
servermall.ru
Численность
11–30 человек
Дата регистрации

Блог на Хабре