章鱼罗伯特·鲍恩(Robert Bowen)
今天,我想谈谈一种时尚,时髦但还不太年轻的方法-她已经10岁了-一种使用“高级组策略管理”处理组策略的模型。
在创建和修改GPO时,它会增加类似版本控制的控制。
每桶蜂蜜
在我的实践中,存在不止一次的情况,即回滚到以前的版本或恢复已删除的组策略有助于免除“但是我在那里怎么做?!”样式的抽搐记忆。 而且在团队合作中,尤其是当不是每个人都习惯于记录基础架构的每一个变化时,有时都会出现诸如“嗯,谁对我们如此聪明的人关闭了 SMBv1,而这样的步伐会带回一切吗?”这样的问题。
使用高级组策略管理(AGPM)模块可以轻松解决所有这些问题,该模块包含在特殊的Microsoft桌面优化包(MDOP)中。
该软件包中的主要组件用于促进应用程序的部署,自定义用户环境以及在发生故障后还原系统。 有关所有功能的更多信息-扰流板下。
MDOP中包含什么应用程式v 一种通过集中式部署和管理从Microsoft虚拟化应用程序的方法。 提醒更著名的VMware ThinApp,只需要在工作站上安装客户端。
与其他解决方案相比,与常规安装相比,优点是应用程序隔离以及能够运行不同版本的应用程序。 例如,对于使用您喜欢的插件和宏的正常工作,您可以使用32位MS Office。 而且,如果您需要打开一个复杂的Excel文档,请使用已经存在的64位版本。
App-V的工作方案。
您可以在文章“ 使用Microsoft App-V进行应用程序虚拟化(未确定) ”中详细了解App-V的工作机制。 值得注意的是,App-V已包含在Windows 10等现代操作系统的供应中。
MED-V。 Microsoft Enterprise Desktop Virtualization用于在运行Windows 7的工作站上部署基于Microsoft Virtual PC的虚拟机。 该解决方案旨在支持较旧的应用程序,并且是企业XP模式 。 如果突然有人需要这种过时的机制,则可以在MED-V概述部分中熟悉它。
UE-V 。 Microsoft用户体验虚拟化旨在替换漫游用户配置文件。 与经典配置文件不同,该技术允许您选择用于同步的自定义设置,包括单个应用程序。
这样的同步使用户可以在任何工作变体中获得熟悉的环境-无论是公司笔记本电脑还是使用App-V虚拟化了应用程序的VDI服务器场。
UE-V的方案。
与App-V一样,UE-V组件在Windows 10的现代版本中可用。该组件的配置在Windows 10的MS 用户体验虚拟化(UE-V)文档部分中进行了描述。
MBAM 。 您可能会猜到,Microsoft BitLocker管理和监视用于集中管理和监视BitLocker驱动器加密。 其功能是用户可以在没有管理权限的情况下加密数据,以及将恢复密钥存储在单独的加密SQL数据库中,以防他们忘记PIN码或丢失带有密钥的USB闪存驱动器。 当然,也可以在整个网络和单个工作站上接收有关加密状态的报告。
MBAM体系结构。
您可以使用MS Microsoft BitLocker管理和监视2.5的文档部分来了解有关MBAM原理的更多信息。
DaRT。 不需要单独的演示文稿,ERD Commander众所周知的Microsoft Diagnostic and Recovery Toolkit是用于诊断和修复Windows错误的工具。 它是MDOP的一部分正式发行。
安装和使用AGPM
与经典的组策略管理相比,此处提供以下功能:
- 版本控制 如果您正在考虑如何将SVN或Git绑定到组策略,那么AGPM解决了此问题。
- 授权和预审核。 您可以允许为单个员工创建GPO,但无权申请。 可以在验证后申请例如高级管理员。
- 审核,报告和监控。 他们将在有关“谁忘记将安全过滤器挂在1C安装上”主题的汇报中提供帮助。
为了使AGPM正常工作,您需要在组策略档案所在的服务器上安装该服务。 以友好的方式,存档应位于具有常规备份的可靠存储上。
在安装过程中指定GPO存档的存储位置。
在安装过程中,还将要求提供服务凭据和具有完整权限的帐户。 理想情况下,您需要配置仅与该帐户一起使用GPO的权限。 但是,如果您习惯具有管理权限的人员不要绕过AGPM接触组策略,则不必这样做。
作为运行服务的帐户,设置MSA(托管服务帐户)是一个不错的选择。 您可以在“ 组托管服务帐户”部分中熟悉此机制的工作原理。 要查看有关如何配置MSA和AGPM捆绑包的分步示例,请参阅“使用托管服务帐户运行AGPM” 。
服务器本身可以是任何东西,您可以将其安装在域控制器上,原则上这是一个问题。
客户端也可以安装在可以启动“组策略管理”管理单元的任何计算机上。 当然,它应该可以通过TCP端口(默认值为4600)访问服务器。
通过上述管理单元在“管理更改”段落中进行AGPM的工作。
在很多地方需要进行石化。 可能未设置本地化版本,但是我们喜欢复杂性和俄语。
AGPM界面。
工作机制非常简单。 首先,值得将现有GPO转换为“托管” AGPM-您可以在“非托管”标签中找到它们。
将旧的组策略转移到AGPM。
现在,组策略与更改历史记录和删除策略的篮子一起存储在资源库存档中。 与它们一起工作是在“托管”标签中进行的-就像那样,您不能立即更改它们。 您需要从存储库中提取所需的GPO,进行编辑并返回 。
这样做是为了协作和方便的日志记录。 另外,每个动作都可能附带评论。 熟悉协作开发机制(如Git)的人在这里看不到任何新东西。
使用组策略。
您也可以从现有策略中创建模板,以方便地创建新策略并将模板导入导出到文件中。
值得注意的是,您可以与团体政客一起工作而无需应用他们-即仅在存档中。 然后使用“扩展”命令将其应用到工作环境中(以AGPM-“生产”而言)。
应用了测试策略,到目前为止,test2策略仅在存档中。
部署GPO时,AGPM服务将连接到域并创建/修改组策略。 实际发布。
要一起工作,您将需要创建用户,为其授予权限并配置邮件服务器以发送通知和请求。
团队合作
在“域委托”选项卡中进行用户和邮件服务器的配置。
俄语化的一个特殊功能是相同的字段名称“电子邮件地址”。 因此,第一个字段是发件人,第二个字段是发件人。
有四个用户角色:
- 完全访问权限。
- 正在检查。 有权访问报告并可以查看GPO。
- 编辑。 可以创建GPO。
- 批准人或主持人-可以应用GPO。
以admin-zhora为例,并赋予他编辑者权限。
配置对AGPM的访问。
George现在可以通过提交批准请求来创建新的托管GPO:
要求新政策。
首先使用所有必需的设置创建模板更加方便。 对此有足够的编辑权限。
现在,AGPM管理员将在邮件中收到通知,并且请求本身将显示在“已延迟”选项卡上。 管理员将查看组策略并做出自愿决定-申请或拒绝该请求。
您可以在“组策略日志”中查看事件纪事。
GPO杂志。
通过该杂志,如有必要,您可以回滚到以前的版本。 在“唯一版本”标签中执行此操作更为方便-在此,所有状态都将显示所有操作,例如无需更改就可以检索和返回到存储库。
安装包随附的文档中或“ Microsoft高级组策略管理指南”部分中详细描述了使用AGPM的机制。 对于那些想更多地了解AGPM幕后内容的人,直到网络数据包的内容,有关Technet AGPM生产GPO(在幕后)的一系列文章。
美中不足
不幸的是,Microsoft Desktop Optimization Pack只是不可用。 只有通过有效的MS订阅(无论是软件保障还是MSDN),才能合法获得该证书。