Octopussy par Robert Bowen
Aujourd'hui, je veux parler d'un modèle élégant, à la mode, mais pas très jeune - elle a déjà 10 ans - de travailler avec des stratégies de groupe à l'aide de la gestion avancée des stratégies de groupe.
Il ajoute une touche de version et de contrôle lors de la création et de la modification d'un objet de stratégie de groupe.
Baril de miel
Dans ma pratique, il y a eu plus d'une fois des situations où un retour à la version précédente ou la restauration de la stratégie de groupe supprimée a aidé à se passer de souvenirs convulsifs dans le style de "Mais comment ai-je fait là?!". Et lorsque vous travaillez en équipe, en particulier lorsque tout le monde n'est pas habitué à documenter tous les changements dans l'infrastructure, des questions comme «Eh bien, qui est si intelligent avec nous a désactivé SMBv1, et au rythme tout ramènera-t-il?»
Tout cela peut être facilement résolu à l'aide du module Advanced Group Policy Management (AGPM), qui est inclus dans le pack spécial Microsoft Desktop Optimization Pack (MDOP).
Les principaux composants de ce package sont utilisés pour faciliter le déploiement d'applications, personnaliser l'environnement utilisateur et restaurer les systèmes après une panne. En savoir plus sur toutes les fonctionnalités - sous le spoiler.
Ce qui est inclus dans MDOPApp-v. Un moyen de virtualiser les applications de Microsoft avec un déploiement et une gestion centralisés. Rappelle VMware ThinApp plus célèbre, nécessite uniquement l'installation du client sur les postes de travail.
Les avantages, comme d'autres solutions, par rapport à une installation conventionnelle, sont l'isolement des applications et la possibilité d'exécuter différentes versions d'entre elles. Par exemple, pour un travail normal avec vos plug-ins et macros préférés, vous pouvez utiliser MS Office 32 bits. Et si vous devez ouvrir un document Excel lourd avec des calculs complexes, utilisez la version déjà 64 bits.
Schéma de travail de App-V.
Vous pouvez en savoir plus sur le mécanisme de fonctionnement d'App-V dans l'article « Virtualisation d'application avec Microsoft App-V pour Undecided ». Il convient de noter que App-V est déjà inclus dans la fourniture de systèmes d'exploitation modernes comme Windows 10.
MED-V. Microsoft Enterprise Desktop Virtualization est utilisé pour déployer des machines virtuelles basées sur Microsoft Virtual PC sur des postes de travail exécutant Windows 7. La solution est conçue pour prendre en charge les applications plus anciennes et est un mode XP d' entreprise. Si tout à coup quelqu'un a besoin de ce mécanisme encore obsolète, vous pouvez vous familiariser avec lui dans la section Présentation de MED-V .
UE-V . La virtualisation de l'expérience utilisateur Microsoft est conçue pour remplacer les profils d'utilisateurs itinérants. Contrairement aux profils classiques, la technologie vous permet de sélectionner des paramètres personnalisés pour la synchronisation, y compris pour des applications individuelles.
Une telle synchronisation permet à l'utilisateur d'obtenir l'environnement familier dans n'importe quelle variante de travail - qu'il s'agisse d'un ordinateur portable d'entreprise ou d'une batterie de serveurs VDI avec des applications virtualisées à l'aide d'App-V.
Schéma de l'UE-V.
Comme App-V, le composant UE-V est disponible dans les versions modernes de Windows 10. La configuration du composant est décrite dans la section de documentation MS User Experience Virtualization (UE-V) pour Windows 10 .
MBAM . Vous pouvez deviner que l'administration et la surveillance de Microsoft BitLocker permettent de gérer et de surveiller de manière centralisée le chiffrement de lecteur BitLocker. Sa particularité est que les utilisateurs peuvent crypter leurs données sans droits administratifs, ainsi que stocker les clés de récupération dans une base de données SQL cryptée distincte - au cas où ils oublient le code PIN ou perdent le lecteur flash USB avec la clé. Et, bien sûr, il est possible de recevoir des rapports sur l'état du cryptage à la fois sur l'ensemble du réseau et sur les postes de travail individuels.
Architecture MBAM.
Vous pouvez en savoir plus sur les principes de MBAM en utilisant la section documentation de MS Microsoft BitLocker Administration and Monitoring 2.5 .
DaRT. Ne nécessitant pas de présentation distincte, le Microsoft Diagnostic and Recovery Toolkit, familier à beaucoup comme ERD Commander, est un outil pour diagnostiquer et corriger les erreurs Windows. Il est officiellement distribué dans le cadre de MDOP.
Installation et utilisation d'AGPM
Par rapport à la gestion de stratégie de groupe classique, les fonctionnalités suivantes sont proposées ici:
- Versioning Si vous envisagez de lier SVN ou Git à des stratégies de groupe, AGPM résout ce problème.
- Délégation et modération préalable. Vous pouvez autoriser la création d'un objet de stratégie de groupe pour des employés individuels, mais sans droit de postuler. Peut postuler, par exemple, un administrateur principal après vérification.
- Audit, reporting et suivi. Ils vous aideront lors du débriefing sur le sujet "Qui a oublié de bloquer le filtre de sécurité sur l'installation 1C".
Pour qu'AGPM fonctionne, vous devez installer le service sur le serveur sur lequel l'archive de stratégie de groupe sera située. De manière amicale, l'archive doit reposer sur un stockage fiable avec des sauvegardes régulières.
Spécifiez l'emplacement de stockage de l'archive GPO lors de l'installation.
Pendant l'installation, des informations d'identification sont également demandées pour le service et un compte avec tous les droits. Idéalement, vous devez configurer l'autorisation de travailler avec le GPO uniquement pour ce compte. Mais cela n'est pas nécessaire si vous habituez des personnes disposant de droits administratifs à ne pas toucher aux stratégies de groupe en contournant AGPM.
En tant que compte pour l'exécution du service, la configuration de MSA (Managed Service Accounts) est une bonne option. Vous pouvez vous familiariser avec les principes de fonctionnement de ce mécanisme dans la section Comptes de services gérés de groupe . Et pour voir un exemple étape par étape sur la façon de configurer le bundle MSA et AGPM, voir Exécution d'AGPM avec un compte de service géré .
Le serveur lui-même peut être n'importe quoi, vous pouvez l'installer sur un contrôleur de domaine, en principe, c'est une question de goût.
Le client peut également être installé sur n'importe quelle machine sur laquelle le composant logiciel enfichable Gestion des stratégies de groupe peut être lancé. Bien sûr, il devrait avoir accès au serveur via le port TCP (la valeur par défaut est 4600).
Le travail avec AGPM s'effectue via le composant logiciel enfichable susmentionné, dans le paragraphe «Changement de direction».
La russification par endroits laisse beaucoup à désirer. La version localisée n'est peut-être pas définie, mais nous aimons la complexité et la langue russe.
Interface AGPM.
Le mécanisme de travail est assez simple. Pour commencer, il vaut la peine de convertir les objets de stratégie de groupe existants en AGPM «gérés» - vous pouvez les trouver dans l'onglet «Non gérés».
Transfert d'anciennes stratégies de groupe à AGPM.
Les stratégies de groupe sont désormais stockées dans l'archive du référentiel avec l'historique des modifications et le panier des stratégies supprimées. Le travail avec eux est effectué dans l'onglet "Géré" - comme ça, vous ne pouvez pas les changer tout de suite. Vous devez extraire le GPO souhaité du référentiel, modifier et retourner .
Cela est fait pour la collaboration et la journalisation pratique. De plus, chaque action peut être accompagnée d'un commentaire. Les personnes familiarisées avec les mécanismes de développement collaboratif comme Git ne verront rien de nouveau ici.
Travailler avec la stratégie de groupe.
Vous pouvez également créer un modèle à partir de stratégies existantes pour en créer facilement de nouvelles et exporter-importer des stratégies dans un fichier.
Il convient de noter que vous pouvez travailler avec des politiciens de groupe sans les appliquer - c'est-à-dire exclusivement dans les archives. Ensuite, appliquez-le dans l'environnement de travail (en termes d'AGPM - «Production») avec la commande «Expand».
La politique de test est appliquée, la politique de test2 est uniquement dans l'archive jusqu'à présent.
Lors du déploiement d'un objet de stratégie de groupe, le service AGPM se connecte au domaine et crée / modifie la stratégie de groupe. Relâchez pratiquement.
Pour travailler ensemble, vous devrez créer des utilisateurs, leur donner des droits et configurer le serveur de messagerie pour envoyer des notifications et des demandes.
Travail d'équipe
La configuration des utilisateurs et du serveur de messagerie s'effectue dans l'onglet "Délégation de domaine".
Une caractéristique particulière de la russification est le même nom de champ "Adresse e-mail". Ainsi, le premier champ est de qui envoyer, le second à qui envoyer.
Il existe quatre rôles d'utilisateur:
- Accès complet.
- Vérification. A accès aux rapports et peut afficher les objets de stratégie de groupe.
- L'éditeur. Peut créer des GPO.
- Approbateur ou modérateur - peut appliquer des objets de stratégie de groupe.
Prenez admin-zhora comme exemple et donnez-lui des privilèges d'éditeur.
Configurez l'accès à AGPM.
George peut désormais créer un nouvel objet de stratégie de groupe géré en soumettant une demande d'approbation:
Demande d'une nouvelle politique.
Il est plus pratique de créer d'abord un modèle avec tous les paramètres nécessaires. Il y a suffisamment de droits d'édition pour cela.
L'administrateur AGPM recevra désormais une notification par courrier électronique, et la demande elle-même apparaîtra dans l'onglet «Reporté». L'administrateur examinera la stratégie de groupe et prendra une décision volontaire - pour appliquer ou rejeter la demande.
Vous pouvez voir la chronique des événements dans le Journal de stratégie de groupe.
GPO Magazine.
Grâce au magazine, si nécessaire, vous pouvez revenir aux versions précédentes. Il est plus pratique de le faire dans l'onglet "Versions uniques" - ici, avec tous les états, toutes les actions sont affichées, comme l'extraction et le retour au référentiel sans aucune modification.
Les mécanismes de travail avec AGPM sont décrits en détail dans la documentation incluse dans le package d'installation ou dans la section Guide de gestion avancée des stratégies de groupe Microsoft . Pour ceux qui veulent en savoir plus sur ce qui se cache sous le capot d'AGPM jusqu'au contenu des paquets réseau - une série d'articles sur les GPO Technet AGPM Production (sous le capot) .
Voler dans la pommade
Malheureusement, le Microsoft Desktop Optimization Pack n'est tout simplement pas disponible. Il ne peut être obtenu légalement qu'avec un abonnement MS actif, que ce soit la Software Assurance ou MSDN.