Geekly articles weekly

AGPM - Suka Git untuk Kebijakan Grup. Hampir


Octopussy Oleh Robert Bowen


Hari ini saya ingin berbicara tentang gaya, modis, tetapi tidak terlalu muda - dia sudah berusia 10 tahun - model bekerja dengan kebijakan grup menggunakan Manajemen Kebijakan Grup Lanjut.


Itu menambahkan twist seperti versi dan kontrol ketika membuat dan memodifikasi GPO.


Laras madu


Dalam praktik saya, ada beberapa situasi lebih dari sekali ketika kemunduran ke versi sebelumnya atau pemulihan kebijakan grup yang dihapus membantu menghilangkan ingatan kejang dengan gaya "Tapi bagaimana saya melakukannya di sana?!". Dan ketika bekerja dalam sebuah tim, terutama ketika tidak semua orang terbiasa mendokumentasikan setiap perubahan dalam infrastruktur, kadang-kadang pertanyaan seperti "Yah, siapa yang begitu pintar dengan kami mematikan SMBv1, dan dengan kecepatan akan membawa semuanya kembali?"


Semua ini dapat dengan mudah diselesaikan dengan menggunakan modul Manajemen Kebijakan Grup Lanjutan (AGPM), yang termasuk dalam Paket Pengoptimalan Microsoft Desktop (MDOP) khusus.


Komponen utama dalam paket ini digunakan untuk memfasilitasi penyebaran aplikasi, menyesuaikan lingkungan pengguna dan memulihkan sistem setelah kegagalan. Lebih lanjut tentang semua fitur - di bawah spoiler.


Apa yang termasuk dalam MDOP

Aplikasi-v. Cara untuk memvirtualisasikan aplikasi dari Microsoft dengan penyebaran dan manajemen terpusat. Mengingatkan VMware ThinApp yang lebih terkenal, hanya membutuhkan instalasi klien di workstation.


Keuntungannya, seperti solusi lainnya, dibandingkan dengan instalasi konvensional adalah isolasi aplikasi dan kemampuan untuk menjalankan versi yang berbeda. Misalnya, untuk pekerjaan normal dengan plug-in dan makro favorit Anda, Anda dapat mengambil MS Office 32-bit. Dan jika Anda perlu membuka dokumen Excel yang berat dengan perhitungan yang rumit, maka gunakan versi yang sudah 64-bit.



Skema kerja App-V.


Anda dapat membaca lebih lanjut tentang mekanisme kerja App-V di artikel " Virtualisasi Aplikasi dengan Microsoft App-V untuk Tidak Diputuskan ". Perlu dicatat bahwa App-V sudah termasuk dalam penyediaan sistem operasi modern seperti Windows 10.


MED-V. Microsoft Enterprise Desktop Virtualization digunakan untuk menggunakan mesin virtual berbasis Microsoft Virtual PC di workstation yang menjalankan Windows 7. Solusi ini dirancang untuk mendukung aplikasi yang lebih lama dan merupakan Mode XP perusahaan. Jika tiba-tiba seseorang membutuhkan mekanisme yang usang ini, maka Anda dapat membiasakan diri dengannya di bagian Tinjauan Umum MED-V .


UE-V . Virtualisasi Pengalaman Pengguna Microsoft dirancang untuk menggantikan profil pengguna roaming. Tidak seperti profil klasik, teknologi ini memungkinkan Anda memilih pengaturan khusus untuk sinkronisasi, termasuk untuk aplikasi individual.


Sinkronisasi semacam itu memungkinkan pengguna untuk mendapatkan lingkungan yang akrab dalam varian pekerjaan apa pun - apakah itu laptop perusahaan atau layanan VDI dengan aplikasi yang divirtualisasi menggunakan App-V.



Skema UE-V.


Seperti App-V, komponen UE-V tersedia dalam versi modern Windows 10. Konfigurasi komponen dijelaskan dalam Virtualisasi Pengalaman Pengguna MS (UE-V) untuk bagian dokumentasi Windows 10 .


MBAM . Administrasi dan Pemantauan Microsoft BitLocker berfungsi, mungkin Anda duga, untuk mengelola dan memantau Enkripsi BitLocker Drive secara terpusat. Keunikannya adalah bahwa pengguna dapat mengenkripsi data mereka tanpa hak administratif, serta menyimpan kunci pemulihan dalam database SQL terenkripsi yang terpisah - jika mereka lupa kode PIN atau kehilangan USB flash drive dengan kunci tersebut. Dan, tentu saja, dimungkinkan untuk menerima laporan tentang keadaan enkripsi baik di seluruh jaringan dan pada setiap workstation.



Arsitektur MBAM.


Anda dapat mempelajari lebih lanjut tentang prinsip-prinsip MBAM menggunakan bagian dokumentasi MS Microsoft BitLocker Administration and Monitoring 2.5 .


DaRT. Tidak memerlukan pengantar terpisah, Microsoft Diagnostic and Recovery Toolkit, yang akrab bagi banyak orang sebagai ERD Commander, adalah alat untuk mendiagnosis dan memperbaiki kesalahan Windows. Secara resmi didistribusikan sebagai bagian dari MDOP.


Menginstal dan menggunakan AGPM


Dibandingkan dengan Manajemen Kebijakan Grup klasik, fitur berikut ditawarkan di sini:


  • Versi Jika Anda mempertimbangkan cara mengikat SVN atau Git dengan kebijakan grup, maka AGPM menyelesaikan masalah ini.
  • Delegasi dan pra-moderasi. Anda dapat mengizinkan pembuatan GPO untuk masing-masing karyawan, tetapi tanpa hak untuk melamar. Dapat menerapkan, misalnya, administrator senior setelah verifikasi.
  • Audit, pelaporan, dan pemantauan. Mereka akan membantu selama tanya jawab tentang topik "Siapa yang lupa menggantung filter keamanan pada instalasi 1C."

Agar AGPM berfungsi, Anda harus menginstal layanan di server tempat arsip Kebijakan Grup akan berada. Dengan cara yang ramah, arsip harus terletak pada penyimpanan yang dapat diandalkan dengan cadangan reguler.



Tentukan lokasi penyimpanan arsip GPO selama instalasi.


Selama instalasi, kredensial juga diminta untuk layanan dan akun dengan hak penuh. Idealnya, Anda perlu mengonfigurasi izin untuk bekerja dengan GPO hanya untuk akun ini. Tetapi ini tidak perlu jika Anda membiasakan orang dengan hak administratif untuk tidak menyentuh kebijakan grup yang melewati AGPM.


Sebagai akun untuk menjalankan layanan, pengaturan MSA (Akun Layanan Terkelola) adalah pilihan yang baik. Anda dapat membiasakan diri dengan prinsip kerja mekanisme ini di bagian Akun Layanan Dikelola Grup . Dan untuk melihat contoh langkah demi langkah tentang cara mengkonfigurasi bundel MSA dan AGPM, lihat Menjalankan AGPM dengan Akun Layanan Terkelola .

Server itu sendiri bisa apa saja, Anda dapat menginstalnya pada pengontrol domain, pada prinsipnya, ini masalah selera.


Klien juga dapat diinstal pada mesin apa pun di mana snap-in Manajemen Kebijakan Grup dapat diluncurkan. Tentu saja, ia harus memiliki akses ke server melalui port TCP (standarnya adalah 4600).


Bekerja dengan AGPM dilakukan melalui snap-in yang disebutkan di atas, dalam paragraf โ€œPerubahan manajemenโ€.


Russifikasi di beberapa tempat meninggalkan banyak hal yang diinginkan. Versi lokal mungkin tidak disetel, tetapi kami menyukai kompleksitas dan bahasa Rusia.


Antarmuka AGPM.


Mekanisme kerjanya cukup sederhana. Untuk mulai dengan, ada baiknya mengkonversi GPO yang ada ke AGPM "Dikelola" - Anda dapat menemukannya di tab "Tidak dikelola".



Mentransfer kebijakan grup lama ke AGPM.


Sekarang kebijakan grup disimpan dalam arsip repositori bersama dengan riwayat perubahan dan keranjang untuk kebijakan yang dihapus. Bekerja dengan mereka dilakukan di tab "Dikelola" - begitu saja, Anda tidak dapat mengubahnya segera. Anda perlu Mengekstrak GPO yang diinginkan dari repositori, mengedit, dan Kembali .


Ini dilakukan untuk kolaborasi dan pencatatan yang mudah. Plus, setiap tindakan dapat disertai dengan komentar. Orang yang akrab dengan mekanisme pengembangan kolaboratif seperti Git tidak akan melihat sesuatu yang baru di sini.



Bekerja dengan kebijakan kelompok.


Anda juga dapat membuat templat dari kebijakan yang ada untuk membuat kebijakan baru dan ekspor-impor ke dalam file dengan mudah.


Perlu dicatat bahwa Anda dapat bekerja dengan politisi grup tanpa menerapkannya - yaitu, secara eksklusif di dalam arsip. Dan kemudian menerapkannya di lingkungan kerja (dalam hal AGPM - "Produksi") dengan perintah "Perluas".



Kebijakan pengujian diterapkan, kebijakan test2 hanya ada dalam arsip sejauh ini.


Saat menggunakan GPO, layanan AGPM terhubung ke domain dan membuat / memodifikasi kebijakan grup. Secara praktis melepaskan.


Untuk bekerja bersama, Anda harus membuat pengguna, memberi mereka hak dan mengkonfigurasi server email untuk mengirim pemberitahuan dan permintaan.


Kerja tim


Mengkonfigurasi pengguna dan server email dilakukan di tab "Delegasi domain".


Fitur khusus dari Russification adalah nama bidang yang sama "Alamat Email". Jadi, bidang pertama adalah dari siapa untuk mengirim, yang kedua kepada siapa untuk mengirim.

Ada empat peran pengguna:


  • Akses penuh.
  • Memeriksa Memiliki akses ke laporan dan dapat melihat GPO.
  • Editor. Dapat membuat GPO.
  • Approver atau moderator - dapat menerapkan GPO.

Ambil admin-zhora sebagai contoh dan beri dia hak editor.



Konfigurasikan akses ke AGPM.


George sekarang dapat membuat GPO terkelola baru dengan mengirimkan permintaan persetujuan:



Minta kebijakan baru.


Lebih mudah untuk pertama kali membuat templat dengan semua pengaturan yang diperlukan. Ada cukup hak editor untuk ini.

Sekarang administrator AGPM akan menerima pemberitahuan melalui pos, dan permintaan itu sendiri akan muncul di tab "Ditunda". Administrator akan melihat kebijakan grup dan membuat keputusan sukarela - untuk menerapkan atau menolak permintaan.


Anda dapat melihat kronik peristiwa di Jurnal Kebijakan Grup.



Majalah GPO.


Melalui majalah, jika perlu, Anda dapat memutar kembali ke versi sebelumnya. Lebih mudah melakukan ini di tab "Versi Unik" - di sini, dengan semua status, semua tindakan ditampilkan, seperti mengambil dan kembali ke repositori tanpa perubahan apa pun.


Mekanisme untuk bekerja dengan AGPM dijelaskan secara rinci dalam dokumentasi yang termasuk dalam paket instalasi, atau di bagian Panduan untuk Manajemen Kebijakan Grup Lanjutan Microsoft . Bagi mereka yang ingin mempelajari lebih lanjut tentang apa yang ada di bawah tenda AGPM hingga isi paket jaringan - serangkaian artikel tentang Technet AGPM Production GPO (di bawah tenda) .


Terbang di salep


Sayangnya, Paket Pengoptimalan Microsoft Desktop tidak tersedia. Itu dapat diperoleh secara legal hanya dengan berlangganan MS aktif, baik itu Jaminan Perangkat Lunak atau MSDN.

Source: https://habr.com/ru/post/id412517/

More articles:


All Articles