Главная

Sunday, 26 September 2021

Advanced Group Policy Management.

Всем привет.

Advanced Group Policy Management, расширенное управление политиками групп, это классический инструмент, использующийся для контроля и защиты GPO (Group Policy). На многих предприятиях GPO контролируют чуть ли не каждый аспект и область в сетевом окружении, так что надежности в их отношении мало не бывает!

AGPM входит в специальный пакет MDOP (Microsoft Desktop Optimization Pack) - получить его можно при активной подписке MS, MSDN или Software Assurance.

По сравнению с классическим управлением групповой политикой здесь предлагаются следующие возможности:

  • версионирование: если вы обдумывали, как прикрутить к групповым политикам SVN или Git, то AGPM этот вопрос решает.
  • делегирование и премодерация: можно разрешить создание GPO отдельным сотрудникам, но без права применения. Применять может, к примеру, старший администратор после проверки.
  • аудит: отчеты и мониторинг помогут при разборах полетов на тему «Кто забыл повесить фильтр безопасности на установку 1С?».

Русификация AGPM наводит печаль. Локализованную версию можно и не ставить, я выбрал два языка о чем после сильно пожалел. Так что выбирайте только Английский!

Установка и использование AGPM.

AGPM сервер - для работы AGPM нужно будет установить службу на сервер, где будет лежать архив групповой политики. По-хорошему архив должен лежать на надежном хранилище с регулярным резервным копированием. При установке также запрашиваются учетные данные для работы службы и учетная запись, которой выдаются полные права. Вопрос "а если у этой учетки изменится пароль" для меня остается открытым.

В идеале надо настроить разрешение на работу с GPO только для этой учетной записи. Но это не обязательно, если приучить людей с административными правами не трогать групповые политики в обход AGPM. В качестве учетной записи для работы службы неплохим вариантом станет настройка MSA (Managed Service Accounts). Ознакомиться с принципами работы этого механизма можно в разделе Group Managed Service Accounts. А посмотреть пошаговый пример по настройке связки MSA и AGPM в статье Running AGPM with a Managed Service Account. Powershell рулит!

Сам сервер может быть любым, устанавливать на контроллер домена в принципе можно, это уже дело вкуса.

AGPM клиент - клиента также можно установить на любой машине, где сможет запуститься оснастка «Управление групповой политикой». Разумеется, она должна иметь доступ к AGPM-серверу по порту TCP (по умолчанию 4600). Работа с AGPM производится через вышеупомянутую оснастку, в пункте «Изменение управления».

Интерфейс AGPM.

Механизм работы довольно прост. Для начала стоит сконвертировать существующие объекты GPO в «Управляемые». Их можно найти во вкладке «Неуправляемый», выбираем политику и по всплывающему меню тискаем "Управление".

Теперь групповые политики хранятся в архиве-репозитарии вместе с историей изменений и корзиной для удаленных политик. Работа с ними ведется во вкладке «Управляемые», просто так, с ходу их не изменить. Необходимо "Извлечь" нужный объект GPO из репозитария, отредактировать и "Возвратить" обратно.

Сделано это для совместной работы и удобного ведения журнала. Плюс каждое действие может сопровождаться комментарием. Люди, знакомые с механизмами совместной разработки вроде Git, не увидят тут ничего нового.

Работа с групповой политикой.

Также можно сделать шаблон из существующих политик для удобного создания новых и экспортировать-импортировать политики в файл. Стоит отметить, что работать можно с групповыми политиками, не применяя их, то есть исключительно в архиве. А затем применить уже в рабочей среде (в терминах AGPM «Производство») командой «Развернуть».

Пример - политика test применена, политика test2 пока только в архиве.


При развертывании GPO служба AGPM подключается к домену и создает/изменяет групповую политику. Похоже на релиз.

Совместная работа.

Для совместной работы нужно будет создать пользователей, выдать им права и настроить почтовый сервер для отправки уведомлений и запросов. Тут у меня повторно возник вопрос - а если у учетки отправителя почты изменится пароль?

Настройка пользователей и почтового сервера производится во вкладке «Делегация домена». Хотя для каждой политики на вкладке "Управляемые" можно накидать свой список пользователей и ролей.

Существуют 4 роли пользователей в AGPM:

  • Полный доступ.
  • Проверяющий - имеет доступ к отчетам и может просматривать объекты GPO.
  • Редактор - может создавать объекты GPO.
  • Утверждающий - может применять объекты GPO.

Если роли Проверяющий и Утверждающий совмещены у одного пользователя то цепочка совместной работы для него не работает. Могу быть не прав, но логически я такое совмещение допускаю.

Редактор может создать новый управляемый объект групповой политики, отправив запрос на утверждение. Удобнее сначала создать шаблон со всеми необходимыми настройками. Прав редактора для этого достаточно.

Далее пользователю с ролью Проверяющий из AGPM придет уведомление на почту, а сам запрос появится на вкладке «Отложен». Следом пользователь с ролью Утверждающий примет волевое решение Применить или Отклонить запрос.

Странно, я ожидал что и запросы на изменение политик тоже будут проходить по этой же цепочке, но этого не происходит. Изменение уже созданной политики происходит далее без каких либо утверждений.

Журнал GPO.

Увидеть хронику событий можно в журнале групповой политики.


Через журнал при необходимости можно откатиться на предыдущие версии. Удобнее это делать во вкладке «Уникальные версии», тут со всеми состояниями отображаются и все действия, вроде извлечения и возврата в репозиторий без каких-либо изменений.

К сожалению, я не нашел тут нужного мне варианта - показать что же менялось между смежными версиями. Т.е я могу видеть на что изменено, но что было ранее увы, для этого надо вызывать предыдущий отчет и сравнивать их визуально. И только так принимать решение об откате.

Несмотря на механизм AGPM ничто вам не мешает править политику мимо AGPM, по старинке. Что совсем нехорошо по моему. Также хотелось бы чтобы поле Комментарий при работе в AGPM нельзя было оставлять пустым.

Подробно механизмы работы с AGPM описаны в документации, что входит в установочный пакет, или в разделе Guide for Microsoft Advanced Group Policy Management. Для тех же, кто хочет подробнее узнать, что под капотом AGPM вплоть до содержания сетевых пакетов ? серия статей на Технете AGPM Production GPOs (under the hood).

Успехов.

1 comment:

  1. AGPM требует для себя Framework.NET v3.5

    ReplyDelete

А что вы думаете по этому поводу?