En af de grundlæggende opgaver, som vi konstant udfører, når vi bruger Windows Server 2012 eller 2016 det er styring alle domæneobjekter som f.eks brugere og teams og vi ved, at en af de mest praktiske måder at udføre denne opgave på er at bruge gruppepolitikker, da de giver os mulighed for centralt at styre alle parametre og værdier for disse objekter.
Med udviklingen af operativsystemer er gruppepolitikker også blevet ændret, og i dag har vi et meget kraftfuldt værktøj kaldet AGPM at vi i dag vil analysere detaljeret i et miljø Windows Server 2016.
Hvad er AGPMAGPM (Advanced Group Policy Management - Advanced Group Policy Administration) er en applikation oprettet af Microsoft, der giver os mulighed for at tage specifik kontrol over gruppepolitikker i vores domæner. I øjeblikket er den tilgængelige version af AGPM 4.0 og har følgende fordele:
- Bakker op Windows 10
- Understøtter Windows PowerShell
- Opdatering af formularapp sikker og automatisk
- Understøtter Windows Server 2012 R2 og Windows Server 2016
1. AGPM -relaterede vilkår
Der er visse ofte anvendte udtryk ved AGPM, disse er:
AGPM -klientDet er computeren, hvor vi har installeret AGPM, og hvorfra vi som administratorer kan administrere gruppepolitikker.
AGPM -pluginDet er en software plugin der er installeret i AGPM -klienter for at udføre administrationen korrekt.
AGPM serverDet er serveren, der driver AGPM service og administrere filer.
AGPM serviceDet er en softwarekomponent, der kører på en server AGPM som en service.
ArkivPå AGPM er det et lager, der indeholder Kontrollerede GPO'er der administrerer den tilhørende AGPM -server.
Kontrolleret GPODet er altså en GPO ledelse af AGPM.
Ukontrolleret GPODet er en GPO af produktionsmiljøet som AGPM ikke kontrollerer.
2. Krav til installation af AGPM på Windows Server 2016
Vi skal opfylde en række krav til installation af AGPM i Windows Server 2016, disse er:
.NET Framework 4.5.1Vi kan download den fra følgende link:
.Net Framework 4.5
PowerShell 3.0I tilfælde af ikke at have det, kan det være Udladet fra følgende link:
PowerShell 3.0
GPMC (Group Policy Management Console - Group Policy Management Console)Som standard er det installeret, men i tilfælde af ikke at have det kan det være downloadet fra følgende link:
GPMC
Med disse krav i tankerne fortsætter vi med at installere AGPM på Windows Server 2016.
3. Installer AGPM på Windows Server 2016
Microsoft anbefaler, at AGPM installeres på en domænemedlemsserver, men ikke på domænecontrolleren, men hvis vi ikke har flere muligheder, er det muligt at installere det der.
Trin 1
AGPM kan downloades fra følgende link. Husk, at AGPM kræver, at grupper administrerer tjenesten, så vi vil Active Directory -brugere og computere og vi opretter de respektive grupper.
AGPM
Trin 2
Vi har oprettet en OU kaldet AGPM og der skal vi oprette kontoen for at AGPM -tjenesten skal startes, til dette har vi oprettet følgende objekter:
- AGPM Solvetic bruger
- Vi inkluderer denne bruger i gruppen Ejere af gruppepolitiske skabere
- Følgende grupper blev oprettet til AGPM -administrationsopgaver:
- Administratorer AGPM
- Godkendte AGPM
- Redaktører AGPM
- Anmeldere AGPM
Trin 3
Når grupperne og brugerne er defineret, fortsætter vi med installationen af AGPM ved at køre filen agpm_403_server_amd64 som administratorer. Den respektive installationsguide vises.
Trin 4
På et bestemt tidspunkt i installationen skal vi definere den servicebruger, som AGPM -tjenesten skal udføres med, på dette tidspunkt kan vi oprette en bestemt bruger til tjenesten, eller hvis vi er på en domænecontroller, som det er tilfældet, vi vælg indstillingen Lokalt system.
Trin 5
I det næste vindue vælger vi den konto, du vil have samlede tilladelser Om tjenesten tilføjer vi på dette tidspunkt gruppen AGPM Administrators, som vi har oprettet.
Trin 6
I det næste vindue konfigurerer vi den port, hvorigennem AGPM vil modtage klientanmodninger, vi forlader den, der er som standard er det 4600.
Trin 7
Senere definerer vi AGPM -sprogene, og vi vil se, at vi kan starte installationen ved at trykke på knappen Installere.
Trin 8
Vi kan se, at AGPM installationsproces og at installationen efter et par sekunder er afsluttet med succes.
4. Installer AGPM -klient på Windows Server 2016
Trin 1
Når installationen af AGPM Server er afsluttet, skal vi installere klienten for at fuldføre hele AGPM -strukturen. Til dette eksekverer vi filen som administrator agpm_403_client_amd64.
Trin 2
Vi presser Næste og vi følger trinene i guiden, og vi kan i et øjeblik af installationen se, at vi skal definere den server, der skal fungere som AGPM.
Trin 3
Vi kan se, at installationsprocessen for AGPM Client starter. Efter et par sekunder, endelig installationen er blevet gennemført med succes.
5. AGPM -konsolmuligheder
Som vi kan se, når vi har installeret både serveren og AGPM -klienten, er der ikke oprettet direkte adgang eller tilføjet nogen applikation som sådan, men vi vil se ændringerne afspejlet i gruppepolitikstyringen.
Trin 1
For at få adgang til dem kan vi bruge en af følgende muligheder:
- Brug kommandoen Løb og indtast kommandoen gpmc.msc, tryk på Enter.
- Indtast udtrykket administration i søgefeltet i Windows Server, og vælg den relevante indstilling.
Trin 2
Når administratoren er åben, ser vi følgende vindue.
Trin 3
Den første forskel, som vi vil bemærke i forhold til traditionelle gruppepolitikker, er på tidspunktet for implementering af vores domæne, nu vil vi se en ny container kaldet Skift kontrol.
Trin 4
Ved at klikke på Skift kontrol vi kan se følgende muligheder.
Trin 5
De grundlæggende muligheder, vi har, er:
IndholdFra denne fane kan vi styre kontrollerede eller ukontrollerede GPO'er.
Delegering af domænerFra denne placering definerer vi tilladelser, der skal gives til hver bruger eller gruppe af brugere på domænet. På samme måde kan vi tilføj en e -mail -konto så på et tidspunkt, når en uautoriseret bruger forsøger at få adgang til AGPM -serveren, får vi besked om dette forsøg.
AGPM serverGennem denne fane vi kan se og redigere IP -adressen fra AGPM -serveren.
ProduktionsdelegationI denne fane kan vi se, hvilke brugere og grupper der har tilladelse til at få adgang til AGPM -produktionsmiljøet.
6. Grundopgaver i AGPM
At tage kontrol over GPO'erEn af de grundlæggende opgaver, vi har, når vi bruger AGPM, er evnen til at have styring af disse GPO'er, der i øjeblikket er ukontrollerede, husk, at en ukontrolleret GPO er en, der er i produktionsmiljøet, men ikke administreres af AGPM.
Vi kan se GPO'erne uden kontrol i fanen Indhold / Ingen kontrol
For at tage kontrol over disse GPO'er vælger vi de GPO'er, vi vil have kontrol, og højreklikker på dem og vælger indstillingen Styring.
Når vi vælger indstillingen Styring vi kan se følgende besked.
Vi presser At acceptere og vi vil se, at disse GPO'er går til fanen Kontrolleret.
Opret en ny kontrolleret GPOFor at oprette en GPO kontrolleret fra bunden skal vi højreklikke på Skift kontrol og vælg indstillingen Ny GPO kontrolleret.
Vi vil se følgende guide, hvor vi vil tildele et navn til den kontrollerede GPO.
Vi presser At acceptere og vi vil se vores GPO oprettet korrekt, og vi kan visualisere forskellige muligheder, når vi dobbeltklikker på GPO.
FORSTØRRE
Tilføj brugere til at styre GPO'erEn opgave, der kan være påkrævet, er tilføj en ny bruger eller gruppe direkte fra AGPM, og til dette vil vi gøre følgende:
Fra vinduet Indhold vi vælger indstillingen Tilføje placeret i bunden, og det følgende vindue vises, hvor vi skal finde den bruger eller gruppe, der skal tilføjes.
Vi presser At acceptere og det følgende vindue vises, hvor vi skal definere rolletype som brugeren eller gruppen vil opfylde. Når rollen er defineret, skal du klikke på At acceptere.
Vi kan se, at brugeren er tilføjet med succes.
Rediger en kontrolleret GPODette er måske et af de mest interessante aspekter ved AGPM er sikkerheden ved redigering af en kontrolleret GPO. For at redigere en kontrolleret GPO skal vi give højreklik på GPO og vælg Redigere men vi vil se følgende, muligheden Redigere den er som standard deaktiveret.
For at aktivere udgaven af den kontrollerede GPO skal vi klikke på knappen Check ud og det følgende vindue vises, hvor vi skal forklare, hvorfor GPO'en er ubeskyttet.
Vi presser At acceptere og check-out processen starter.
Hvis vi nu højreklikker på GPO'en igen, kan vi se, at dens udgave er blevet aktiveret. (Ubeskyttet status).
Hvis vi klikker på Redigere Vi vil være i stand til at foretage de nødvendige justeringer af GPO. Når ændringerne er gennemført, kan vi trykke på knappen Beskyt for at undgå at redigere den.
Som vi ser med AGPM, har vi et kraftfuldt værktøj til rådighed centraliseret administration af alle GPO'er af organisationen og har mere specifik kontrol over deres adgang og tilladelser. For at lære mere om AGPM kan vi besøge følgende link.
AGPM dokumentation