Octopussy Por Robert Bowen
Hoje, quero falar sobre um modelo elegante, moderno, mas não muito jovem - ela já tem 10 anos - de um modelo de trabalho com diretivas de grupo usando o Gerenciamento Avançado de Diretiva de Grupo.
Ele adiciona um toque, como controle de versão e controle ao criar e modificar um GPO.
Barril de mel
Na minha prática, houve situações mais de uma vez quando uma reversão para a versão anterior ou a restauração da política de grupo excluída ajudou a dispensar memórias convulsivas no estilo de "Mas como eu fiz algo lá?!". E ao trabalhar em equipe, especialmente quando nem todos estão acostumados a documentar todas as alterações na infraestrutura, às vezes perguntas como "Bem, quem é tão inteligente conosco desativou o SMBv1 e, no ritmo, trará tudo de volta?"
Tudo isso pode ser facilmente resolvido usando o módulo Gerenciamento Avançado de Diretiva de Grupo (AGPM), incluído no MDOP (Microsoft Desktop Optimization Pack) especial.
Os principais componentes deste pacote são usados para facilitar a implantação de aplicativos, personalizar o ambiente do usuário e restaurar os sistemas após uma falha. Mais sobre todos os recursos - sob o spoiler.
O que está incluído no MDOPApp-v. Uma maneira de virtualizar aplicativos da Microsoft com implantação e gerenciamento centralizados. Lembra o VMware ThinApp mais famoso, requer apenas a instalação do cliente nas estações de trabalho.
As vantagens, como outras soluções, em comparação com uma instalação convencional são o isolamento de aplicativos e a capacidade de executar diferentes versões deles. Por exemplo, para um trabalho normal com seus plug-ins e macros favoritos, você pode usar o MS Office de 32 bits. E se você precisar abrir um documento pesado do Excel com cálculos complexos, use a versão já de 64 bits.
Esquema de trabalho do App-V.
Você pode ler mais sobre o mecanismo de trabalho do App-V no artigo " Application Virtualization with Microsoft App-V for Undecided ". Vale ressaltar que o App-V já está incluído no fornecimento de sistemas operacionais modernos como o Windows 10.
MED-V. O Microsoft Enterprise Desktop Virtualization é usado para implantar máquinas virtuais baseadas no Microsoft Virtual PC em estações de trabalho executando o Windows 7. A solução foi projetada para suportar aplicativos mais antigos e é um modo XP corporativo. Se de repente alguém precisar desse mecanismo ainda obsoleto, poderá se familiarizar com ele na seção Visão geral do MED-V .
UE-V . O Microsoft User Experience Virtualization foi desenvolvido para substituir os perfis de usuário móvel. Diferentemente dos perfis clássicos, a tecnologia permite selecionar configurações personalizadas para sincronização, inclusive para aplicativos individuais.
Essa sincronização permite que o usuário obtenha o ambiente familiar em qualquer versão do trabalho - seja um laptop corporativo ou um farm de VDI com aplicativos virtualizados usando o App-V.
Esquema do UE-V.
Como o App-V, o componente UE-V está disponível nas versões modernas do Windows 10. A configuração do componente é descrita na seção de documentação do Microsoft User Experience Virtualization (UE-V) para Windows 10 .
MBAM . A Administração e o Monitoramento do Microsoft BitLocker servem, você pode imaginar, para gerenciar e monitorar centralmente a Criptografia de Unidade de Disco BitLocker. Sua característica é que os usuários podem criptografar seus dados sem direitos administrativos, além de armazenar chaves de recuperação em um banco de dados SQL criptografado separado - no caso de esquecerem o código PIN ou perderem a unidade flash USB com a chave. E, é claro, é possível receber relatórios sobre o estado da criptografia em toda a rede e em estações de trabalho individuais.
Arquitetura MBAM.
Você pode aprender mais sobre os princípios do MBAM usando a seção de documentação do Microsoft Microsoft BitLocker Administration and Monitoring 2.5 .
DaRT. Não exigindo uma apresentação separada, o Microsoft Diagnostic and Recovery Toolkit, conhecido por muitos como ERD Commander, é uma ferramenta para diagnosticar e corrigir erros do Windows. É oficialmente distribuído como parte do MDOP.
Instalando e Utilizando o AGPM
Comparado ao Gerenciamento de Diretiva de Grupo clássico, os seguintes recursos são oferecidos aqui:
- Versionamento Se você estava pensando em vincular o SVN ou o Git às políticas de grupo, o AGPM resolve esse problema.
- Delegação e pré-moderação. Você pode permitir a criação de um GPO para funcionários individuais, mas sem o direito de se inscrever. Pode aplicar, por exemplo, um administrador sênior após a verificação.
- Auditoria, elaboração de relatórios e monitoramento. Eles ajudarão durante o interrogatório no tópico "Quem esqueceu de pendurar o filtro de segurança na instalação 1C".
Para que o AGPM funcione, você precisará instalar o serviço no servidor em que o arquivo da Diretiva de Grupo estará localizado. De uma maneira amigável, o arquivo deve estar em um armazenamento confiável com backups regulares.
Especifique o local de armazenamento do arquivo morto do GPO durante a instalação.
Durante a instalação, também são solicitadas credenciais para o serviço e uma conta com todos os direitos. Idealmente, você precisa configurar a permissão para trabalhar com o GPO apenas para esta conta. Mas isso não é necessário se você acostumar as pessoas com direitos administrativos a não tocar nas políticas de grupo ignorando o AGPM.
Como uma conta para executar o serviço, configurar o MSA (Contas de Serviço Gerenciado) é uma boa opção. Você pode se familiarizar com os princípios de funcionamento desse mecanismo na seção Contas de serviço gerenciado do grupo . E para ver um exemplo passo a passo de como configurar o pacote MSA e AGPM, consulte Executando o AGPM com uma conta de serviço gerenciado .
O servidor em si pode ser qualquer coisa, você pode instalá-lo em um controlador de domínio; em princípio, isso é uma questão de gosto.
O cliente também pode ser instalado em qualquer máquina em que o snap-in Gerenciamento de Diretiva de Grupo possa ser iniciado. Obviamente, ele deve ter acesso ao servidor via porta TCP (o padrão é 4600).
O trabalho com o AGPM é realizado por meio do snap-in mencionado anteriormente, no parágrafo "Mudança de gerenciamento".
A russificação em alguns lugares deixa muito a desejar. A versão localizada pode não estar definida, mas adoramos a complexidade e o idioma russo.
Interface AGPM.
O mecanismo do trabalho é bastante simples. Para começar, vale a pena converter os GPOs existentes em AGPMs "gerenciados" - você pode encontrá-los na guia "Não gerenciado".
Transferindo diretivas de grupo antigas para o AGPM.
Agora, as políticas de grupo são armazenadas no archive do repositório, juntamente com o histórico de alterações e a cesta das políticas excluídas. O trabalho com eles é realizado na guia "Gerenciado". Assim, você não pode alterá-los imediatamente. Você precisa extrair o GPO desejado do repositório, editar e Retornar .
Isso é feito para colaboração e registro conveniente. Além disso, cada ação pode ser acompanhada de um comentário. Pessoas familiarizadas com mecanismos de desenvolvimento colaborativo como o Git não verão nada de novo aqui.
Trabalhe com a diretiva de grupo.
Você também pode criar um modelo a partir de políticas existentes para criar convenientemente novas e exportar políticas de importação em um arquivo.
Vale a pena notar que você pode trabalhar com políticos de grupo sem aplicá-los - ou seja, exclusivamente no arquivo. E, em seguida, aplique-o no ambiente de trabalho (em termos do AGPM - "Produção") com o comando "Expandir".
A política de teste é aplicada, a política test2 está apenas no arquivo morto até o momento.
Ao implantar um GPO, o serviço AGPM se conecta ao domínio e cria / modifica a diretiva de grupo. Solte praticamente.
Para trabalhar em conjunto, você precisará criar usuários, conceder direitos a eles e configurar o servidor de correio para enviar notificações e solicitações.
Trabalho em equipe
A configuração de usuários e do servidor de correio é realizada na guia "Delegação de domínio".
Uma característica específica da russificação são os mesmos nomes de campo "Endereço de email". Portanto, o primeiro campo é de quem enviar, o segundo para quem enviar.
Existem quatro funções de usuário:
- Acesso total.
- Verificando. Tem acesso a relatórios e pode exibir GPOs.
- O editor. Pode criar GPOs.
- Aprovador ou moderador - pode aplicar GPOs.
Tome admin-zhora como exemplo e dê a ele privilégios de editor.
Configure o acesso ao AGPM.
Agora, George pode criar um novo GPO gerenciado enviando uma solicitação de aprovação:
Solicitação de uma nova política.
É mais conveniente criar primeiro um modelo com todas as configurações necessárias. Existem direitos de editor suficientes para isso.
Agora, o administrador do AGPM receberá uma notificação pelo correio e a solicitação em si aparecerá na guia "Adiado". O administrador examinará a política de grupo e tomará uma decisão voluntária - aplicar ou rejeitar a solicitação.
Você pode ver a crônica dos eventos no Diário de Política de Grupo.
Revista GPO.
Através da revista, se necessário, você pode reverter para versões anteriores. É mais conveniente fazer isso na guia "Versões exclusivas" - aqui, com todos os estados, todas as ações são exibidas, como recuperar e retornar ao repositório sem nenhuma alteração.
Os mecanismos para trabalhar com o AGPM são descritos em detalhes na documentação incluída no pacote de instalação ou na seção Guia para Gerenciamento Avançado de Diretiva de Grupo da Microsoft . Para aqueles que desejam aprender mais sobre o que está por trás do AGPM até o conteúdo dos pacotes de rede - uma série de artigos sobre os GPOs de produção do Technet AGPM (sob o capô) .
Voar na pomada
Infelizmente, o Microsoft Desktop Optimization Pack simplesmente não está disponível. Ele pode ser obtido legalmente apenas com uma assinatura ativa da MS, seja Software Assurance ou MSDN.