Octopussy By Robert Bowen
Сегодня я хочу поведать о стильной, модной, но не очень молодежной — ей уже 10 лет — модели работы с групповыми политиками с использованием Advanced Group Policy Management.
Она добавляет изюминку вроде версионирования и контроля при создании и изменении GPO.
Бочка меда
В моей практике не раз возникали ситуации, когда откат к предыдущей версии или восстановление удаленной групповой политики помогали обойтись без судорожных воспоминаний в стиле «А как же я там делал-то?!». А при работе в коллективе, особенно когда не все привыкли документировать каждое изменение в инфраструктуре, порой возникают вопросы вроде «Ну, и кто же у нас такой умный отключил SMBv1, и в темпе вернет все назад?».
Все это легко решается с помощью модуля Advanced Group Policy Management (AGPM), который входит в специальный пакет Microsoft Desktop Optimization Pack (MDOP).
Основные компоненты в этом пакете служат для облегчения развертывания приложений, настройки пользовательского окружения и восстановления систем после сбоя. Подробнее обо всех возможностях ― под спойлером.
App-V. Способ виртуализации приложений от Microsoft с централизованным развертыванием и управлением. Напоминает более известный VMware ThinApp, только требует установки клиента на рабочие станции.
Преимущества, как и у прочих решений, по сравнению с обычной установкой ― в изоляции приложений и возможности запускать их разные версии. Например, для обычной работы с любимыми плагинами и макросами можно взять 32-битный MS Office. А если надо открыть тяжеловесный документ Excel со сложными расчетами, то воспользоваться уже 64-битной версией.
Схема работы App-V.
Подробнее про механизм работы App-V можно почитать в статье «Виртуализация приложений с помощью Microsoft App-V для неопределившихся». Стоит отметить, что App-V уже входит в поставку современных операционных систем вроде Windows 10.
MED-V. Microsoft Enterprise Desktop Virtualization служит для развертывания на рабочих станциях под управлением Windows 7 виртуальных машин на базе Microsoft Virtual PC. Решение предназначено для поддержки старых приложений и представляет собой корпоративный XP Mode. Если вдруг кому-то понадобится этот все же устаревший механизм, то ознакомиться с ним можно в разделе Overview of MED-V.
UE-V. Microsoft User Experience Virtualization предназначен для замены перемещаемых профилей пользователей. В отличие от классических профилей технология позволяет выбирать пользовательские настройки для синхронизации, в том числе и для отдельных приложений.
Подобная синхронизация позволяет пользователю получить привычное окружение в любом варианте работы ― будь то корпоративный ноутбук или VDI-ферма с виртуализированными при помощи App-V приложениями.
Схема работы UE-V.
Как и App-V, компонент UE-V доступен в современных версиях Windows 10. Настройка компонента описана в разделе документации MS User Experience Virtualization (UE-V) for Windows 10.
MBAM. Microsoft BitLocker Administration and Monitoring служит, как несложно догадаться, для централизованного управления и мониторинга шифрованием диска BitLocker. Его особенность в том, что пользователи могут шифровать свои данные без административных прав, а также хранить ключи восстановления в отдельной зашифрованной базе данных SQL ― на случай, если забудут PIN-код или потеряют флешку с ключом. И, конечно же, можно получать отчеты о состоянии шифрования как по сети целиком, так и по отдельным рабочим станциям.
Архитектура MBAM.
С принципами работы MBAM можно подробнее ознакомиться при помощи раздела документации MS Microsoft BitLocker Administration and Monitoring 2.5.
DaRT. Не нуждающийся в отдельном представлении Microsoft Diagnostic and Recovery Toolkit, знакомый многим также как ERD Commander, является средством для диагностики и исправления ошибок Windows. Официально он распространяется именно как часть MDOP.
Установка и использование AGPM
По сравнению с классическим управлением групповой политикой здесь предлагаются следующие возможности:
- Версионирование. Если вы обдумывали, как прикрутить к групповым политикам SVN или Git, то AGPM этот вопрос решает.
- Делегирование и премодерация. Можно разрешить создание GPO отдельным сотрудникам, но без права применения. Применять может, к примеру, старший администратор после проверки.
- Аудит, отчеты и мониторинг. Помогут при разборах полетов на тему «Кто забыл повесить фильтр безопасности на установку 1С».
Для работы AGPM нужно будет установить службу на сервер, где будет лежать архив групповой политики. По-хорошему архив должен лежать на надежном хранилище с регулярным резервным копированием.
Указываем место хранения архива GPO при установке.
При установке также запрашиваются учетные данные для работы службы и учетная запись, которой выдаются полные права. В идеале надо настроить разрешение на работу с GPO только для этой учетной записи. Но это не обязательно, если приучить людей с административными правами не трогать групповые политики в обход AGPM.
В качестве учетной записи для работы службы неплохим вариантом станет настройка MSA (Managed Service Accounts). Ознакомиться с принципами работы этого механизма можно в разделе Group Managed Service Accounts. А посмотреть пошаговый пример по настройке связки MSA и AGPM ― в статье Running AGPM with a Managed Service Account.
Сам сервер может быть любым, устанавливать на контроллер домена в принципе можно, это уже дело вкуса.
Клиента также можно установить на любой машине, где сможет запуститься оснастка «Управление групповой политикой». Разумеется, она должна иметь доступ к серверу по порту TCP (по умолчанию 4600).
Работа с AGPM производится через вышеупомянутую оснастку, в пункте «Изменение управления».
Русификация местами оставляет желать лучшего. Локализованную версию можно и не ставить, но мы же любим сложности и русский язык.
Интерфейс AGPM.
Механизм работы довольно прост. Для начала стоит сконвертировать существующие объекты GPO в «Управляемые» AGPM ― их можно найти во вкладке «Неуправляемый».
Переносим старые групповые политики в AGPM.
Теперь групповые политики хранятся в архиве-репозитарии вместе с историей изменений и корзиной для удаленных политик. Работа с ними ведется во вкладке «Управляемые» ― просто так, с ходу их не изменить. Необходимо Извлечь нужный объект GPO из репозитария, отредактировать и Возвратить обратно.
Сделано это для совместной работы и удобного ведения журнала. Плюс каждое действие может сопровождаться комментарием. Люди, знакомые с механизмами совместной разработки вроде Git, не увидят тут ничего нового.
Работа с групповой политикой.
Также можно сделать шаблон из существующих политик для удобного создания новых и экспортировать-импортировать политики в файл.
Стоит отметить, что работать можно с групповыми политиками, не применяя их ― то есть исключительно в архиве. А затем применить уже в рабочей среде (в терминах AGPM ― «Производство») командой «Развернуть».
Политика test применена, политика test2 пока только в архиве.
При развертывании GPO служба AGPM подключается к домену и создает/изменяет групповую политику. Практически релиз.
Для совместной работы нужно будет создать пользователей, выдать им права и настроить почтовый сервер для отправки уведомлений и запросов.
Совместная работа
Настройка пользователей и почтового сервера производится во вкладке «Делегация домена».
Особенностью русификации являются одинаковые названия полей «Адрес электронной почты». Так вот, первое поле ― это от кого отправлять, второе ― кому отправлять.
Существуют четыре роли пользователей:
- Полный доступ.
- Проверяющий. Имеет доступ к отчетам и может просматривать объекты GPO.
- Редактор. Может создавать объекты GPO.
- Утверждающий или модератор ― может применять объекты GPO.
В качестве примера возьмем пользователя admin-zhora и дадим ему право редактора.
Настройка доступа к AGPM.
Теперь Георгий может создать новый управляемый объект групповой политики, отправив запрос на утверждение:
Запрос на новую политику.
Удобнее сначала создать шаблон со всеми необходимыми настройками. Прав редактора для этого достаточно.
Теперь администратору AGPM придет уведомление на почту, а сам запрос появится на вкладке «Отложен». Администратор посмотрит групповую политику и примет волевое решение ― применить или отклонить запрос.
Увидеть хронику событий можно в журнале групповой политики.
Журнал GPO.
Через журнал при необходимости можно откатиться на предыдущие версии. Удобнее это делать во вкладке «Уникальные версии» ― тут со всеми состояниями отображаются и все действия, вроде извлечения и возврата в репозиторий без каких-либо изменений.
Подробно механизмы работы с AGPM описаны в документации, что входит в установочный пакет, или в разделе Guide for Microsoft Advanced Group Policy Management. Для тех же, кто хочет подробнее узнать, что под капотом AGPM вплоть до содержания сетевых пакетов ― серия статей на Технете AGPM Production GPOs (under the hood).
Ложка дегтя
К сожалению, Microsoft Desktop Optimization Pack просто так не доступен. Легально получить его можно только при активной подписке MS, будь то Software Assurance или MSDN.