Octopussy de Robert Bowen
Hoy quiero hablar sobre una modelo elegante, de moda, pero no muy joven, ya tiene 10 años, un modelo de trabajo con políticas grupales que usa la Gestión avanzada de políticas grupales.
Agrega un giro como el control de versiones y el control al crear y modificar un GPO.
Barril de miel
En mi práctica, ha habido situaciones más de una vez cuando un retroceso a la versión anterior o la restauración de la política de grupo eliminada ayudó a prescindir de recuerdos convulsivos al estilo de "¡Pero cómo lo hice allí!". Y cuando se trabaja en un equipo, especialmente cuando no todos están acostumbrados a documentar cada cambio en la infraestructura, a veces preguntas como "Bueno, ¿quién es tan inteligente con nosotros apagó SMBv1 y al ritmo traerá todo de vuelta?"
Todo esto se puede resolver fácilmente utilizando el módulo de Administración avanzada de directivas de grupo (AGPM), que se incluye en el Paquete especial de optimización de escritorio de Microsoft (MDOP).
Los componentes principales de este paquete se utilizan para facilitar la implementación de aplicaciones, personalizar el entorno del usuario y restaurar los sistemas después de una falla. Más información sobre todas las características, debajo del spoiler.
Lo que se incluye en MDOPApp-v. Una forma de virtualizar aplicaciones de Microsoft con implementación y administración centralizadas. Recuerda a VMware ThinApp más famoso, solo requiere la instalación del cliente en estaciones de trabajo.
Las ventajas, como otras soluciones, en comparación con una instalación convencional son el aislamiento de las aplicaciones y la capacidad de ejecutar diferentes versiones de ellas. Por ejemplo, para el trabajo normal con sus complementos y macros favoritos, puede tomar MS Office de 32 bits. Y si necesita abrir un documento pesado de Excel con cálculos complejos, utilice la versión de 64 bits.
Esquema de trabajo de App-V.
Puede leer más sobre el mecanismo de funcionamiento de App-V en el artículo " Virtualización de aplicaciones con Microsoft App-V para Indecisos ". Vale la pena señalar que App-V ya está incluido en el suministro de sistemas operativos modernos como Windows 10.
MED-V. Microsoft Enterprise Desktop Virtualization se usa para implementar máquinas virtuales basadas en Microsoft Virtual PC en estaciones de trabajo que ejecutan Windows 7. La solución está diseñada para admitir aplicaciones más antiguas y es un modo XP empresarial. Si de repente alguien necesita este mecanismo aún obsoleto, puede familiarizarse con él en la sección Descripción general de MED-V .
UE-V . Microsoft User Experience Virtualization está diseñado para reemplazar los perfiles de usuario itinerantes. A diferencia de los perfiles clásicos, la tecnología le permite seleccionar configuraciones personalizadas para la sincronización, incluso para aplicaciones individuales.
Dicha sincronización permite al usuario obtener el entorno familiar en cualquier versión de trabajo, ya sea una computadora portátil corporativa o una granja VDI con aplicaciones virtualizadas usando App-V.
Esquema de la UE-V.
Al igual que App-V, el componente UE-V está disponible en versiones modernas de Windows 10. La configuración del componente se describe en la sección de documentación de MS User Experience Virtualization (UE-V) para Windows 10 .
MBAM . La administración y supervisión de Microsoft BitLocker sirve, puede adivinar, para administrar y monitorear centralmente el cifrado de unidad BitLocker. Su característica es que los usuarios pueden cifrar sus datos sin derechos administrativos, así como almacenar claves de recuperación en una base de datos SQL cifrada separada, en caso de que olviden el código PIN o pierdan la unidad flash USB con la clave. Y, por supuesto, es posible recibir informes sobre el estado de cifrado tanto en toda la red como en estaciones de trabajo individuales.
Arquitectura MBAM.
Puede obtener más información sobre los principios de MBAM utilizando la sección de documentación de MS Microsoft BitLocker Administration and Monitoring 2.5 .
DaRT. Al no requerir una presentación por separado, el Kit de herramientas de diagnóstico y recuperación de Microsoft, conocido por muchos como ERD Commander, es una herramienta para diagnosticar y corregir errores de Windows. Se distribuye oficialmente como parte de MDOP.
Instalar y usar AGPM
En comparación con la clásica administración de directivas de grupo, aquí se ofrecen las siguientes características:
- Versionado Si estaba considerando cómo vincular SVN o Git a las políticas de grupo, AGPM resuelve este problema.
- Delegación y moderación previa. Puede permitir la creación de un GPO a empleados individuales, pero sin el derecho de presentar una solicitud. Puede solicitar, por ejemplo, un administrador senior después de la verificación.
- Auditoría, informes y seguimiento. Ayudarán durante la sesión informativa sobre el tema "Quién olvidó colgar el filtro de seguridad en la instalación de 1C".
Para que AGPM funcione, necesitará instalar el servicio en el servidor donde se ubicará el archivo de Política de grupo. De manera amigable, el archivo debe estar en un almacenamiento confiable con copias de seguridad regulares.
Especifique la ubicación de almacenamiento del archivo GPO durante la instalación.
Durante la instalación, también se solicitan credenciales para el servicio y una cuenta con todos los derechos. Idealmente, debe configurar el permiso para trabajar con el GPO solo para esta cuenta. Pero esto no es necesario si acostumbra a las personas con derechos administrativos a no tocar las políticas grupales sin pasar por AGPM.
Como cuenta para ejecutar el servicio, configurar MSA (Cuentas de Servicio Administrado) es una buena opción. Puede familiarizarse con los principios de funcionamiento de este mecanismo en la sección Cuentas de servicios administrados grupales . Y para ver un ejemplo paso a paso sobre cómo configurar el paquete MSA y AGPM, consulte Ejecución de AGPM con una cuenta de servicio administrado .
El servidor en sí puede ser cualquier cosa, puede instalarlo en un controlador de dominio, en principio, esto es cuestión de gustos.
El cliente también se puede instalar en cualquier máquina donde se pueda iniciar el complemento de Administración de directivas de grupo. Por supuesto, debe tener acceso al servidor a través del puerto TCP (el valor predeterminado es 4600).
El trabajo con AGPM se realiza a través del complemento mencionado anteriormente, en el párrafo "Cambio de gestión".
La rusificación en algunos lugares deja mucho que desear. Es posible que la versión localizada no esté configurada, pero nos encanta la complejidad y el idioma ruso.
Interfaz AGPM.
El mecanismo de trabajo es bastante simple. Para empezar, vale la pena convertir los GPO existentes en AGPM "administrados"; puede encontrarlos en la pestaña "No administrados".
Transferencia de antiguas políticas de grupo a AGPM.
Ahora las políticas de grupo se almacenan en el archivo del repositorio junto con el historial de cambios y la cesta de políticas eliminadas. El trabajo con ellos se lleva a cabo en la pestaña "Administrado", así como así, no puede cambiarlos de inmediato. Debe extraer el GPO deseado del repositorio, editar y volver .
Esto se hace para la colaboración y el registro conveniente. Además, cada acción puede ir acompañada de un comentario. Las personas familiarizadas con los mecanismos de desarrollo colaborativo como Git no verán nada nuevo aquí.
Trabajar con política de grupo.
También puede hacer una plantilla a partir de políticas existentes para crear convenientemente nuevas y políticas de exportación e importación en un archivo.
Vale la pena señalar que puede trabajar con los políticos del grupo sin aplicarlos, es decir, exclusivamente en el archivo. Y luego aplíquelo en el entorno de trabajo (en términos de AGPM - "Producción") con el comando "Expandir".
La política de prueba se aplica, la política test2 solo está en el archivo hasta el momento.
Al implementar un GPO, el servicio AGPM se conecta al dominio y crea / modifica la política de grupo. Prácticamente lanzamiento.
Para trabajar juntos, deberá crear usuarios, otorgarles derechos y configurar el servidor de correo para enviar notificaciones y solicitudes.
Trabajo en equipo
La configuración de los usuarios y el servidor de correo se realiza en la pestaña "Delegación de dominio".
Una característica particular de la rusificación son los mismos nombres de campo "Dirección de correo electrónico". Entonces, el primer campo es a quién enviar, el segundo a quién enviar.
Hay cuatro roles de usuario:
- Acceso completo
- Comprobando Tiene acceso a informes y puede ver GPO.
- El editor Puede crear GPO.
- Aprobador o moderador: puede aplicar GPO.
Tome admin-zhora como ejemplo y dele privilegios de editor.
Configurar el acceso a AGPM.
George ahora puede crear un nuevo GPO administrado enviando una solicitud de aprobación:
Solicitud de una nueva política.
Es más conveniente crear primero una plantilla con todas las configuraciones necesarias. Hay suficientes derechos de editor para esto.
Ahora el administrador de AGPM recibirá una notificación por correo y la solicitud en sí aparecerá en la pestaña "Pospuesto". El administrador examinará la política del grupo y tomará una decisión voluntaria: aplicar o rechazar la solicitud.
Puede ver la crónica de los eventos en el Diario de directivas de grupo.
Revista GPO.
A través de la revista, si es necesario, puede volver a las versiones anteriores. Es más conveniente hacer esto en la pestaña "Versiones únicas": aquí, con todos los estados, se muestran todas las acciones, como recuperar y volver al repositorio sin ningún cambio.
Los mecanismos para trabajar con AGPM se describen en detalle en la documentación que se incluye en el paquete de instalación, o en la sección Guía para la Administración avanzada de directivas de grupo de Microsoft . Para aquellos que quieran aprender más sobre lo que está bajo el capó de AGPM hasta el contenido de los paquetes de red: una serie de artículos sobre los GPO de producción de Technet AGPM (bajo el capó) .
Volar en la pomada
Desafortunadamente, el Paquete de optimización de escritorio de Microsoft simplemente no está disponible. Se puede obtener legalmente solo con una suscripción activa de MS, ya sea Software Assurance o MSDN.