Една от основните задачи, които постоянно изпълняваме, когато ги използваме Windows Server 2012 или 2016 то е контрол всички обекти на домейна като потребители и екипи и знаем, че един от най -практичните начини за изпълнение на тази задача е да се използват групови политики, тъй като те ни позволяват да управляваме централно всички параметри и стойности на тези обекти.
С напредването на операционните системи груповите политики също бяха променени и днес имаме много мощен инструмент, наречен AGPM че днес ще анализираме подробно в среда Windows Server 2016.
Какво е AGPMAGPM (Разширено управление на груповите политики - Разширено администриране на групови политики) е приложение, създадено от Microsoft, което ни дава възможност да поемем конкретен контрол върху груповите политики в нашите домейни. Понастоящем наличната версия на AGPM е 4.0 и има следните предимства:
- Поддържа Windows 10
- Поддържа Windows PowerShell
- Формуляр за актуализиране на приложението безопасно и автоматично
- Поддържа Windows Server 2012 R2 и Windows Server 2016
1. Условия, свързани с AGPM
Има някои често използвани термини в AGPM, това са:
AGPM клиентТова е компютърът, на който сме инсталирали AGPM и от който, като администратори, можем управлява груповите правила.
Плъгин AGPMТова е софтуерна приставка който е инсталиран в клиенти на AGPM, за да се извърши правилно управлението.
AGPM сървърТова е сървърът, който изпълнява AGPM услуга и управление на файлове.
AGPM услугаТова е софтуерен компонент, който работи на сървър AGPM като услуга.
АрхивВ AGPM това е склад, който съдържа Контролирани GPO който управлява свързания сървър AGPM.
Контролиран GPOТова е GPO управление на AGPM.
Неконтролиран GPOТова е GPO на производствената среда че AGPM не контролира.
2. Изисквания за инсталиране на AGPM на Windows Server 2016
Трябва да изпълним редица изисквания за инсталирането на AGPM в Windows Server 2016, това са:
.NET Framework 4.5.1Ние можем изтегли го от следния линк:
.Net Framework 4.5
PowerShell 3.0В случай, че го няма, може да бъде Изписан от следния линк:
PowerShell 3.0
GPMC (Конзола за управление на групови правила - Конзола за управление на групови правила)По подразбиране е инсталиран, но в случай, че го няма, може да бъде изтеглени от следния линк:
GPMC
Имайки предвид тези изисквания, пристъпваме към инсталиране на AGPM на Windows Server 2016.
3. Инсталирайте AGPM на Windows Server 2016
Microsoft препоръчва AGPM да бъде инсталиран на сървър на член на домейн, но не и на контролера на домейна, но ако нямаме повече опции, е възможно да го инсталираме там.
Етап 1
AGPM може да бъде изтеглен от следната връзка. Не забравяйте, че AGPM изисква групи за управление на услугата, така че ние ще Потребители и компютри на Active Directory и ние ще създадем съответните групи.
AGPM
Стъпка 2
Създадохме OU, наречено AGPM и там трябва да създадем акаунта за стартиране на услугата AGPM, за това създадохме следните обекти:
- Потребител на AGPM Solvetic
- Включваме този потребител в групата Собственици на създатели на групови правила
- За задачите за управление на AGPM бяха създадени следните групи:
- Администратори AGPM
- Одобрители AGPM
- Редактори AGPM
- Рецензенти AGPM
Стъпка 3
След като групите и потребителите са дефинирани, пристъпваме към инсталирането на AGPM чрез изпълнение на файла agpm_403_server_amd64 като администратори. Ще се покаже съответният съветник за инсталиране.
Стъпка 4
В определен момент от инсталацията трябва да дефинираме потребителя на услугата, с който да се изпълнява услугата AGPM, на този етап можем да създадем конкретен потребител за услугата или ако сме на контролер на домейн, както е в случая, ние изберете опцията Локална система.
Стъпка 5
В следващия прозорец ще изберем акаунта, който ще имате общи разрешения Относно услугата, на този етап добавяме създадената от нас група администратори на AGPM.
Стъпка 6
В следващия прозорец конфигурираме порта, през който AGPM ще получава клиентски заявки, оставяме този, който е по подразбиране е 4600.
Стъпка 7
По -късно дефинираме AGPM езиците и ще видим, че можем да започнем инсталацията, като натиснем бутона Инсталирай.
Стъпка 8
Можем да видим, че Процес на инсталиране на AGPM и че след няколко секунди инсталацията приключи успешно.
4. Инсталирайте AGPM клиент на Windows Server 2016
Етап 1
След като процесът на инсталиране на AGPM Server приключи, трябва да инсталираме клиента, за да завършим цялата структура на AGPM. За целта ще изпълним файла като администратор agpm_403_client_amd64.
Стъпка 2
Натискаме Следващия и следваме стъпките на съветника и можем да видим в момента на инсталацията, че трябва да дефинираме сървъра, който ще действа като AGPM.
Стъпка 3
Можем да видим, че процесът на инсталиране на AGPM клиент започва. След няколко секунди инсталацията най -накрая е успешно завършен.
5. Опции за конзолата AGPM
Както можем да видим, когато сме инсталирали както сървъра, така и AGPM клиента, не е създаден директен достъп или е добавено някое приложение като такова, но ще видим промените, отразени в управлението на груповите политики.
Етап 1
За достъп до тях можем да използваме някоя от следните опции:
- Използвайте командата Бягай и въведете командата gpmc.msc, натиснете Enter.
- Въведете термина администрация в полето за търсене на Windows Server и изберете подходящата опция.
Стъпка 2
След като администраторът е отворен, ще видим следния прозорец.
Стъпка 3
Първата разлика, която ще забележим в сравнение с традиционните групови политики, е в момента на разполагане на нашия домейн, сега ще видим нов контейнер, наречен Промяна на контрола.
Стъпка 4
Като щракнете върху Промяна на контрола можем да видим следните опции.
Стъпка 5
Основните възможности, които имаме, са:
СъдържаниеОт този раздел можем да управляваме контролирани или неконтролирани GPO.
Делегиране на домейнОт това местоположение определяме разрешения, които трябва да бъдат предоставени на всеки потребител или група потребители в домейна. По същия начин можем добавете имейл акаунт така че в даден момент, когато неоторизиран потребител се опита да получи достъп до сървъра на AGPM, ние ще бъдем уведомени за този опит.
AGPM сървърЧрез този раздел можем да преглеждаме и редактираме IP адреса от сървъра AGPM.
Производствена делегацияВ този раздел можем да видим кои потребители и групи имат разрешения за достъп до производствената среда на AGPM.
6. Основни задачи в AGPM
Поемане на контрол върху GPOЕдна от основните задачи, които имаме, когато използваме AGPM, е способността да имаме контрол от тези GPO, които в момента са неконтролирани, не забравяйте, че неконтролираният GPO е този, който е в производствената среда, но не се управлява от AGPM.
Можем да разглеждаме GPO без контрол в раздела Съдържание / Без контрол
За да поемем контрола върху тези GPO, ще изберем GPO, които искаме да имаме контрол и щракнете с десния бутон върху тях и изберете опцията Контрол.
След като изберем опцията Контрол можем да видим следното съобщение.
Натискаме Да приеме и ще видим, че тези GPO отиват в раздела Проверено.
Създайте нов контролиран GPOЗа да създадем GPO, контролиран от нулата, трябва да кликнете с десния бутон върху Промяна на контрола и изберете опцията Нов GPO контролиран.
Ще видим следния съветник, където ще присвоим име на контролирания GPO.
Натискаме Да приеме и ще видим, че нашият GPO е създаден правилно и можем да визуализираме различни опции, когато кликнете два пъти върху GPO.
Увеличете
Добавете потребители, за да контролирате GPOЕдна задача, която може да се наложи, е добавете нов потребител или група директно от AGPM и за това ще направим следното:
От прозореца Съдържание избираме опцията Добавяне разположен в долната част и ще се покаже следният прозорец, където трябва да намерим потребителя или групата, която да добавим.
Натискаме Да приеме и следният прозорец ще се покаже, където трябва да дефинираме тип роля които потребителят или групата ще изпълнят. След като ролята е определена, щракнете върху Да приеме.
Можем да видим, че потребителят е добавен успешно.
Редактирайте контролиран GPOТова е може би един от най -интересните аспекти на AGPM е сигурността при редактиране на контролиран GPO. За да редактираме контролиран GPO, трябва да дадем щракнете с десния бутон върху GPO и изберете редактиране но ще видим следното, опцията редактиране той е деактивиран по подразбиране.
За да активираме изданието на контролирания GPO, трябва да кликнете върху бутона Разгледайте и следният прозорец ще се покаже, където трябва да обясним защо GPO е незащитен.
Натискаме Да приеме и процесът на напускане ще започне.
Сега, ако щракнем отново с десния бутон върху GPO, можем да видим, че неговото издание е активирано. (Състояние без защита).
Ако кликнем върху редактиране Ще можем да направим необходимите корекции в GPO. След като промените приключат, можем да натиснем бутона Защита, за да избегнем редактирането му.
Както виждаме с AGPM, имаме под ръка мощен инструмент за централизирано администриране на всички GPO на организацията и имат по -специфичен контрол върху техните достъпи и разрешения. За да научите повече за AGPM, можем да посетим следната връзка.
AGPM документация