Octopussy بقلم روبرت بوين
اليوم أريد أن أتحدث عن أسلوب أنيق وعصري ولكن ليس شابًا جدًا - فهي بالفعل تبلغ من العمر 10 سنوات - نموذج للعمل مع سياسات المجموعة باستخدام إدارة سياسة المجموعة المتقدمة.
يضيف لمسة مثل الإصدار والتحكم عند إنشاء وتعديل GPO.
برميل العسل
في ممارستي ، كانت هناك حالات أكثر من مرة عندما ساعد التراجع عن الإصدار السابق أو استعادة سياسة المجموعة المحذوفة على الاستغناء عن الذكريات المتشنجة بأسلوب "لكن كيف فعلت ذلك؟!". وعندما تعمل في فريق ، خاصة عندما لا يكون الجميع معتادين على توثيق كل تغيير في البنية التحتية ، في بعض الأحيان أسئلة مثل "حسنًا ، من هو ذكي جدًا مع إيقاف SMBv1 ، وبوتيرة سيعيد كل شيء إلى الوراء؟"
يمكن حل كل هذا بسهولة باستخدام الوحدة النمطية المتقدمة لإدارة نهج المجموعة (AGPM) ، المضمنة في حزمة تحسين سطح مكتب Microsoft (MDOP) الخاصة.
يتم استخدام المكونات الرئيسية في هذه الحزمة لتسهيل نشر التطبيقات وتخصيص بيئة المستخدم واستعادة الأنظمة بعد الفشل. المزيد عن جميع الميزات - تحت المفسد.
ما هو مدرج في MDOPالتطبيق- v. طريقة لمحاكاة التطبيقات من Microsoft باستخدام النشر والإدارة المركزيين. تذكير VMware ThinApp الأكثر شهرة ، يتطلب فقط تثبيت العميل على محطات العمل.
المزايا ، مثل الحلول الأخرى ، مقارنة بالتثبيت التقليدي هي عزل التطبيقات والقدرة على تشغيل إصدارات مختلفة منها. على سبيل المثال ، بالنسبة للعمل العادي مع المكونات الإضافية ووحدات الماكرو المفضلة لديك ، يمكنك أن تأخذ MS Office 32 بت. وإذا كنت بحاجة إلى فتح مستند Excel ثقيل بحسابات معقدة ، فاستخدم الإصدار 64 بت بالفعل.
مخطط عمل App-V.
يمكنك قراءة المزيد حول آلية عمل App-V في مقالة " Virtualization Application مع Microsoft App-V for Unknown ". تجدر الإشارة إلى أن App-V مدرج بالفعل في توريد أنظمة التشغيل الحديثة مثل Windows 10.
MED-V. يتم استخدام Microsoft Enterprise Desktop Virtualization لنشر الأجهزة الافتراضية استنادًا إلى Microsoft Virtual PC على محطات العمل التي تعمل بنظام التشغيل Windows 7. تم تصميم الحل لدعم التطبيقات القديمة وهو وضع XP للمؤسسات. إذا كان هناك شخص ما يحتاج فجأة إلى هذه الآلية المتقادمة ، فيمكنك التعرف عليها في قسم نظرة عامة على MED-V .
UE-V . تم تصميم Microsoft Virtual Experience Experience لاستبدال ملفات تعريف المستخدم المتجولة. على عكس الملفات الشخصية الكلاسيكية ، تتيح لك التقنية تحديد إعدادات مخصصة للمزامنة ، بما في ذلك التطبيقات الفردية.
تسمح هذه المزامنة للمستخدم بالحصول على البيئة المألوفة في أي شكل من أشكال العمل - سواء كان جهاز كمبيوتر محمول للشركات أو مزرعة VDI مع تطبيقات افتراضية باستخدام App-V.
مخطط UE-V.
مثل App-V ، يتوفر مكون UE-V في الإصدارات الحديثة من Windows 10. تم وصف تكوين المكون في قسم MS Virtual Experience Experience (UE-V) لقسم وثائق Windows 10 .
MBAM . يخدم Microsoft BitLocker الإدارة والمراقبة ، قد تخمن ، لإدارة ومراقبة تشفير محرك BitLocker مركزيًا. تكمن خصوصيته في أنه يمكن للمستخدمين تشفير بياناتهم دون حقوق إدارية ، بالإضافة إلى تخزين مفاتيح الاسترداد في قاعدة بيانات SQL مشفرة منفصلة - في حالة نسيان كود PIN أو فقدان محرك أقراص USB المحمول بالمفتاح. وبالطبع ، من الممكن تلقي تقارير عن حالة التشفير على الشبكة بأكملها وعلى محطات العمل الفردية.
بنية MBAM.
يمكنك معرفة المزيد عن مبادئ MBAM باستخدام قسم التوثيق في MS Microsoft BitLocker Administration and Monitoring 2.5 .
داارت. لا تتطلب Microsoft Presentation Toolkit عرضًا منفصلاً ، وهي أداة مألوفة للكثيرين مثل ERD Commander ، وهي أداة لتشخيص أخطاء Windows وإصلاحها. يتم توزيعه رسميًا كجزء من MDOP.
تثبيت واستخدام AGPM
بالمقارنة مع إدارة سياسة المجموعة الكلاسيكية ، يتم تقديم الميزات التالية هنا:
- تعيين الإصدار إذا كنت تفكر في كيفية ربط SVN أو Git بسياسات المجموعة ، فإن AGPM يحل هذه المشكلة.
- التفويض والاعتدال المسبق. يمكنك السماح بإنشاء كائن نهج مجموعة (GPO) للموظفين الفرديين ، ولكن بدون الحق في التقديم. يمكن تطبيقه ، على سبيل المثال ، مسؤول كبير بعد التحقق.
- التدقيق والإبلاغ والرصد. سيساعدون أثناء استجوابهم حول موضوع "من نسي تعليق عامل تصفية الأمان على تثبيت 1C."
لكي يعمل AGPM ، ستحتاج إلى تثبيت الخدمة على الخادم حيث يوجد أرشيف نهج المجموعة. بطريقة ودية ، يجب أن يكون الأرشيف على تخزين موثوق به مع نسخ احتياطية منتظمة.
حدد موقع التخزين لأرشيف GPO أثناء التثبيت.
أثناء التثبيت ، يتم طلب بيانات الاعتماد أيضًا للخدمة وحساب كامل الحقوق. من الناحية المثالية ، تحتاج إلى تكوين إذن للعمل مع GPO لهذا الحساب فقط. ولكن هذا ليس ضروريًا إذا اعتدت على الأشخاص الذين لديهم حقوق إدارية بعدم لمس سياسات المجموعة التي تتجاوز AGPM.
كحساب لتشغيل الخدمة ، يعد إعداد MSA (حسابات الخدمة المدارة) خيارًا جيدًا. يمكنك التعرف على مبادئ العمل لهذه الآلية في قسم حسابات الخدمة المدارة للمجموعة . ولمعرفة مثال خطوة بخطوة حول كيفية تكوين حزمة MSA و AGPM ، راجع تشغيل AGPM باستخدام حساب خدمة مُدار .
الخادم نفسه يمكن أن يكون أي شيء ، يمكنك تثبيته على وحدة تحكم المجال ، من حيث المبدأ ، هذه مسألة ذوق.
يمكن أيضًا تثبيت العميل على أي جهاز حيث يمكن تشغيل الأداة الإضافية "إدارة نهج المجموعة". بالطبع ، يجب أن يكون لديه حق الوصول إلى الخادم عبر منفذ TCP (الافتراضي هو 4600).
يتم تنفيذ العمل مع AGPM من خلال الأداة الإضافية المذكورة أعلاه ، في الفقرة "تغيير الإدارة".
الترويس في الأماكن يترك الكثير مما هو مرغوب فيه. قد لا يتم تعيين النسخة المترجمة ، لكننا نحب التعقيد واللغة الروسية.
واجهة AGPM.
آلية العمل بسيطة للغاية. بادئ ذي بدء ، يجدر تحويل كائنات نهج المجموعة (GPO) الحالية إلى AGPMs "المُدارة" - يمكنك العثور عليها في علامة التبويب "غير المُدارة".
نقل سياسات المجموعة القديمة إلى AGPM.
يتم الآن تخزين سياسات المجموعة في أرشيف المستودع جنبًا إلى جنب مع سجل التغييرات وسلة السياسات المحذوفة. يتم العمل معهم في علامة التبويب "مُدار" - على هذا النحو تمامًا ، لا يمكنك تغييرها على الفور. تحتاج إلى استخراج كائن نهج المجموعة (GPO) المطلوب من المستودع وتحريره وإرجاعه .
يتم ذلك من أجل التعاون والتسجيل المريح. بالإضافة إلى ذلك ، قد يكون كل إجراء مصحوبًا بتعليق. لن يرى الأشخاص الملمون بآليات التنمية التعاونية مثل Git أي شيء جديد هنا.
العمل مع نهج المجموعة.
يمكنك أيضًا إنشاء نموذج من السياسات الحالية لإنشاء سياسات جديدة وسياسات تصدير واستيراد بسهولة في ملف.
من الجدير بالذكر أنه يمكنك العمل مع ساسة المجموعة دون تطبيقهم - أي في الأرشيف حصريًا. ثم قم بتطبيقه في بيئة العمل (من حيث AGPM - "الإنتاج") باستخدام الأمر "توسيع".
يتم تطبيق سياسة الاختبار ، وسياسة test2 موجودة فقط في الأرشيف حتى الآن.
عند نشر GPO ، تتصل خدمة AGPM بالمجال وتقوم بإنشاء / تعديل سياسة المجموعة. الافراج عمليا.
للعمل معًا ، ستحتاج إلى إنشاء مستخدمين ومنحهم الحقوق وتكوين خادم البريد لإرسال الإشعارات والطلبات.
العمل الجماعي
يتم تكوين المستخدمين وخادم البريد في علامة التبويب "تفويض النطاق".
ميزة معينة للترويس هي نفس أسماء الحقول "عنوان البريد الإلكتروني". لذا ، الحقل الأول هو من ترسل ، والثاني لمن ترسل.
هناك أربعة أدوار للمستخدم:
- الوصول الكامل.
- التحقق. لديه حق الوصول إلى التقارير ويمكن عرض كائنات نهج المجموعة.
- المحرر. يمكن إنشاء كائنات نهج المجموعة.
- موافق عليه أو مشرف - يمكن تطبيق GPOs.
خذ admin-zhora كمثال ومنحه امتيازات المحرر.
تكوين الوصول إلى AGPM.
يمكن لجورج الآن إنشاء كائن نهج مجموعة مُدار جديد من خلال إرسال طلب الموافقة:
طلب سياسة جديدة.
من الأنسب أولاً إنشاء قالب يحتوي على جميع الإعدادات الضرورية. هناك حقوق تحرير كافية لهذا.
سيتلقى مسؤول AGPM الآن إشعارًا في البريد ، وسيظهر الطلب نفسه في علامة التبويب "مؤجلة". سوف ينظر المسؤول إلى سياسة المجموعة ويتخذ قرارًا طوعيًا - لتطبيق أو رفض الطلب.
يمكنك الاطلاع على سجل الأحداث في Journal Policy Journal.
مجلة GPO.
من خلال المجلة ، إذا لزم الأمر ، يمكنك العودة إلى الإصدارات السابقة. إنه أكثر ملاءمة للقيام بذلك في علامة التبويب "الإصدارات الفريدة" - هنا ، مع جميع الحالات ، يتم عرض جميع الإجراءات ، مثل الاستخراج والعودة إلى المستودع دون أي تغييرات.
يتم وصف آليات العمل مع AGPM بالتفصيل في الوثائق المضمنة في حزمة التثبيت ، أو في قسم Microsoft Advanced Group Policy Management . بالنسبة لأولئك الذين يرغبون في معرفة المزيد حول ما تحت غطاء AGPM وصولًا إلى محتويات حزم الشبكة - سلسلة من المقالات حول Techno AGPM Production GPOs (تحت غطاء المحرك) .
تحلق في المرهم
لسوء الحظ ، لا تتوفر حزمة تحسين سطح مكتب Microsoft. يمكن الحصول عليه بشكل قانوني فقط مع اشتراك MS نشط ، سواء أكان ضمان البرنامج أو MSDN.