Octopussy Von Robert Bowen
Heute möchte ich über ein stilvolles, modisches, aber nicht sehr junges Modell sprechen - sie ist bereits 10 Jahre alt -, ein Modell für die Arbeit mit Gruppenrichtlinien mithilfe von Advanced Group Policy Management.
Es fügt eine Wendung wie Versionierung und Kontrolle beim Erstellen und Ändern eines Gruppenrichtlinienobjekts hinzu.
Fass Honig
In meiner Praxis gab es mehr als einmal Situationen, in denen ein Rollback auf die vorherige Version oder die Wiederherstellung der gelöschten Gruppenrichtlinie dazu beitrug, auf krampfhafte Erinnerungen im Stil von „Aber wie habe ich dort etwas gemacht ?!“ Zu verzichten. Und wenn Sie in einem Team arbeiten, insbesondere wenn nicht jeder daran gewöhnt ist, jede Änderung in der Infrastruktur zu dokumentieren, stellen sich manchmal Fragen wie: „Wer ist so schlau mit uns , hat SMBv1 ausgeschaltet und bringt mit dem Tempo alles zurück?“
All dies kann einfach mit dem AGPM-Modul (Advanced Group Policy Management) gelöst werden, das im speziellen Microsoft Desktop Optimization Pack (MDOP) enthalten ist.
Die Hauptkomponenten in diesem Paket werden verwendet, um die Bereitstellung von Anwendungen zu erleichtern, die Benutzerumgebung anzupassen und Systeme nach einem Fehler wiederherzustellen. Mehr zu allen Funktionen - unter dem Spoiler.
Was ist in MDOP enthaltenApp-v. Eine Möglichkeit, Anwendungen von Microsoft mit zentraler Bereitstellung und Verwaltung zu virtualisieren. Erinnert an bekanntere VMware ThinApp und erfordert nur die Client-Installation auf Workstations.
Die Vorteile, wie bei anderen Lösungen, gegenüber einer herkömmlichen Installation sind die Isolierung von Anwendungen und die Möglichkeit, verschiedene Versionen davon auszuführen. Für die normale Arbeit mit Ihren bevorzugten Plug-Ins und Makros können Sie beispielsweise 32-Bit-MS Office verwenden. Wenn Sie ein umfangreiches Excel-Dokument mit komplexen Berechnungen öffnen müssen, verwenden Sie die bereits 64-Bit-Version.
Arbeitsschema von App-V.
Weitere Informationen zum Funktionsmechanismus von App-V finden Sie im Artikel „ Anwendungsvirtualisierung mit Microsoft App-V für Unentschlossene “. Es ist erwähnenswert, dass App-V bereits in der Lieferung moderner Betriebssysteme wie Windows 10 enthalten ist.
MED-V. Microsoft Enterprise Desktop Virtualization wird verwendet, um virtuelle Maschinen basierend auf Microsoft Virtual PC auf Workstations unter Windows 7 bereitzustellen. Die Lösung unterstützt ältere Anwendungen und ist ein Enterprise XP-Modus . Wenn plötzlich jemand diesen noch veralteten Mechanismus benötigt, können Sie sich im Abschnitt Übersicht über MED-V damit vertraut machen.
UE-V . Microsoft User Experience Virtualization ersetzt Roaming-Benutzerprofile. Im Gegensatz zu klassischen Profilen können Sie mit der Technologie benutzerdefinierte Einstellungen für die Synchronisierung auswählen, auch für einzelne Anwendungen.
Eine solche Synchronisierung ermöglicht es dem Benutzer, die vertraute Umgebung in jeder Arbeitsvariante zu erhalten - sei es ein Unternehmens-Laptop oder eine VDI-Farm mit Anwendungen, die mit App-V virtualisiert wurden.
Schema der UE-V.
Wie App-V ist die UE-V-Komponente in modernen Versionen von Windows 10 verfügbar. Die Komponentenkonfiguration wird im Dokumentationsabschnitt MS User Experience Virtualization (UE-V) für Windows 10 beschrieben .
MBAM . Die Verwaltung und Überwachung von Microsoft BitLocker dient möglicherweise der zentralen Verwaltung und Überwachung der BitLocker-Laufwerkverschlüsselung. Die Funktion besteht darin, dass Benutzer ihre Daten ohne Administratorrechte verschlüsseln und Wiederherstellungsschlüssel in einer separaten verschlüsselten SQL-Datenbank speichern können - falls sie den PIN-Code vergessen oder das USB-Flash-Laufwerk mit dem Schlüssel verlieren. Natürlich ist es möglich, Berichte über den Verschlüsselungsstatus sowohl im gesamten Netzwerk als auch auf einzelnen Workstations zu erhalten.
MBAM-Architektur.
Weitere Informationen zu den Prinzipien von MBAM finden Sie im Dokumentationsabschnitt von MS Microsoft BitLocker Administration and Monitoring 2.5 .
DaRT. Das Microsoft Diagnostic and Recovery Toolkit, das vielen als ERD Commander bekannt ist und keine separate Präsentation erfordert, ist ein Tool zum Diagnostizieren und Beheben von Windows-Fehlern. Es wird offiziell als Teil von MDOP vertrieben.
AGPM installieren und verwenden
Im Vergleich zur klassischen Gruppenrichtlinienverwaltung werden hier folgende Funktionen angeboten:
- Versionierung Wenn Sie überlegt haben, wie Sie SVN oder Git an Gruppenrichtlinien binden können, löst AGPM dieses Problem.
- Delegation und Vormoderation. Sie können die Erstellung eines Gruppenrichtlinienobjekts für einzelne Mitarbeiter zulassen, jedoch ohne das Recht, sich zu bewerben. Kann beispielsweise nach Überprüfung einen leitenden Administrator beantragen.
- Prüfung, Berichterstattung und Überwachung. Sie helfen bei der Nachbesprechung zum Thema "Wer hat vergessen, den Sicherheitsfilter an der 1C-Installation aufzuhängen?".
Damit AGPM funktioniert, müssen Sie den Dienst auf dem Server installieren, auf dem sich das Gruppenrichtlinienarchiv befindet. In gütlicher Weise sollte das Archiv auf einem zuverlässigen Speicher mit regelmäßigen Sicherungen liegen.
Geben Sie den Speicherort des Gruppenrichtlinienobjektarchivs während der Installation an.
Während der Installation werden auch Anmeldeinformationen für den Dienst und ein Konto mit vollen Rechten angefordert. Im Idealfall müssen Sie die Berechtigung konfigurieren, um nur für dieses Konto mit dem Gruppenrichtlinienobjekt zu arbeiten. Dies ist jedoch nicht erforderlich, wenn Sie Personen mit Administratorrechten daran gewöhnen, Gruppenrichtlinien unter Umgehung von AGPM nicht zu berühren.
Als Konto zum Ausführen des Dienstes ist das Einrichten von MSA (Managed Service Accounts) eine gute Option. Sie können sich im Abschnitt Group Managed Service Accounts mit den Funktionsprinzipien dieses Mechanismus vertraut machen. Ein schrittweises Beispiel zum Konfigurieren des MSA- und AGPM-Bundles finden Sie unter Ausführen von AGPM mit einem verwalteten Dienstkonto .
Der Server selbst kann alles sein, Sie können ihn auf einem Domänencontroller installieren, im Prinzip ist dies Geschmackssache.
Der Client kann auch auf jedem Computer installiert werden, auf dem das Gruppenrichtlinienverwaltungs-Snap-In gestartet werden kann. Natürlich sollte es über den TCP-Port Zugriff auf den Server haben (Standard ist 4600).
Die Arbeit mit AGPM erfolgt über das oben genannte Snap-In im Abschnitt „Wechsel der Geschäftsführung“.
Die stellenweise Russifizierung lässt zu wünschen übrig. Die lokalisierte Version ist möglicherweise nicht festgelegt, aber wir lieben die Komplexität und die russische Sprache.
AGPM-Schnittstelle.
Der Arbeitsmechanismus ist recht einfach. Zunächst lohnt es sich, vorhandene Gruppenrichtlinienobjekte in "verwaltete" AGPMs zu konvertieren. Sie finden sie auf der Registerkarte "Nicht verwaltet".
Übertragen alter Gruppenrichtlinien an AGPM.
Jetzt werden Gruppenrichtlinien zusammen mit dem Änderungsverlauf und dem Warenkorb für gelöschte Richtlinien im Repository-Archiv gespeichert. Die Arbeit mit ihnen wird auf der Registerkarte "Verwaltet" ausgeführt. Auf diese Weise können Sie sie nicht sofort ändern. Sie müssen das gewünschte Gruppenrichtlinienobjekt aus dem Repository extrahieren, bearbeiten und zurückgeben.
Dies geschieht für die Zusammenarbeit und bequeme Protokollierung. Außerdem kann jede Aktion von einem Kommentar begleitet werden. Leute, die mit kollaborativen Entwicklungsmechanismen wie Git vertraut sind, werden hier nichts Neues sehen.
Arbeiten Sie mit Gruppenrichtlinien.
Sie können auch eine Vorlage aus vorhandenen Richtlinien erstellen, um bequem neue Richtlinien zu erstellen und Richtlinien in eine Datei zu exportieren und zu importieren.
Es ist erwähnenswert, dass Sie mit Gruppenpolitikern arbeiten können, ohne sie anzuwenden - das heißt ausschließlich im Archiv. Wenden Sie es dann in der Arbeitsumgebung (in Bezug auf AGPM - „Produktion“) mit dem Befehl „Erweitern“ an.
Die Testrichtlinie wird angewendet, die Test2-Richtlinie befindet sich bisher nur im Archiv.
Bei der Bereitstellung eines Gruppenrichtlinienobjekts stellt der AGPM-Dienst eine Verbindung zur Domäne her und erstellt / ändert Gruppenrichtlinien. Praktisch loslassen.
Um zusammenzuarbeiten, müssen Sie Benutzer erstellen, ihnen Rechte erteilen und den Mailserver so konfigurieren, dass Benachrichtigungen und Anforderungen gesendet werden.
Gemeinsame Arbeit
Die Konfiguration der Benutzer und des Mailservers erfolgt auf der Registerkarte "Domänendelegierung".
Ein besonderes Merkmal der Russifizierung sind die gleichen Feldnamen "E-Mail-Adresse". Das erste Feld ist also, von wem gesendet werden soll, das zweite, an wen gesendet werden soll.
Es gibt vier Benutzerrollen:
- Voller Zugriff.
- Überprüfen. Hat Zugriff auf Berichte und kann Gruppenrichtlinienobjekte anzeigen.
- Der Herausgeber. Kann Gruppenrichtlinienobjekte erstellen.
- Genehmiger oder Moderator - kann Gruppenrichtlinienobjekte anwenden.
Nehmen Sie als Beispiel admin-zhora und geben Sie ihm die Berechtigung eines Editors.
Konfigurieren Sie den Zugriff auf AGPM.
George kann jetzt ein neues verwaltetes Gruppenrichtlinienobjekt erstellen, indem er eine Genehmigungsanforderung sendet:
Anfrage für eine neue Richtlinie.
Es ist bequemer, zuerst eine Vorlage mit allen erforderlichen Einstellungen zu erstellen. Dafür gibt es genügend Editorrechte.
Jetzt erhält der AGPM-Administrator eine Benachrichtigung per E-Mail und die Anfrage selbst wird auf der Registerkarte "Verschoben" angezeigt. Der Administrator prüft die Gruppenrichtlinien und trifft eine freiwillige Entscheidung, die Anfrage zu beantragen oder abzulehnen.
Sie können die Chronik der Ereignisse im Gruppenrichtlinienjournal anzeigen.
GPO-Magazin.
Bei Bedarf können Sie über das Magazin zu früheren Versionen zurückkehren. Dies ist bequemer auf der Registerkarte "Eindeutige Versionen". Hier werden mit allen Status alle Aktionen angezeigt, z. B. das Abrufen und Zurückkehren zum Repository ohne Änderungen.
Die Mechanismen für die Arbeit mit AGPM werden ausführlich in der Dokumentation beschrieben, die im Installationspaket enthalten ist, oder im Abschnitt Handbuch für Microsoft Advanced Group Policy Management . Für diejenigen, die mehr über die Funktionen von AGPM bis hin zum Inhalt von Netzwerkpaketen erfahren möchten - eine Reihe von Artikeln zu den Technet AGPM Production-Gruppenrichtlinienobjekten (unter der Haube) .
Fliege in die Salbe
Leider ist das Microsoft Desktop Optimization Pack nicht verfügbar. Es kann nur mit einem aktiven MS-Abonnement legal erworben werden, sei es Software Assurance oder MSDN.