Majoritatea companiilor utilizează astăzi Politica de grup pentru a controla practic orice aspect și zonă într-un mediu în rețea. În unele cazuri, politicile de grup sunt utilizate și pentru monitorizarea serverelor. Datorită acestui mare încredere în politica de grup, trebuie depuse toate eforturile pentru a proteja obiectele politicii de grup care sunt responsabile pentru aceste configurații. Un nou instrument numit Advanced Group Policy Management (AGPM sau Advanced Group Policy Management) de la Microsoft vă va ajuta să vă ocupați de acest lucru și multe altele.
Sunt în prezent neprotejate GPO-urile mele?
Microsoft a lansat Consola de gestionare a politicii de grup (GPMC) cu un an în urmă, ceea ce a reprezentat o mare inovație în gestionarea politicii de grup. Instrumentul vă permite să controlați politicile grupului de politici de grup din următoarele motive:
În ciuda tuturor acestor avantaje, există încă dezavantaje atunci când se folosește numai consola GPMC. Este garantat faptul că consola GPMC este necesară și trebuie folosită de toată lumea, pentru care este ideală. Cu toate acestea, este puțin limitat dacă doriți să vă protejați obiectele de politică GPO de următoarele lucruri:
Efectuarea transmisiei cu AGPM
Dacă ați lucrat cu Politica de grup și GPO pentru o perioadă lungă de timp, sunt sigur că veți efectua o configurație eronată în GPO, care poate dauna rețelei. Toate acestea se datorează modului în care obiectele GPO sunt editate în mod implicit. Elementele GPO sunt editate direct pe controlerul de domeniu și apoi, dacă a fost efectuată o modificare (și se face clic pe butonul OK sau Aplicare), modificarea apare imediat în GPO și apoi copiată. Nu există o astfel de setare ca "Anulați" (anulați) sau "Salvați", schimbările apar imediat.
Acest comportament este monitorizat în mod curent în GPMC prin setarea transferului GPO pentru editare, așa cum se arată în Figura 1.
Figura 1. Delegația delegației în cadrul GPMC pentru a permite editarea GPO-urilor
Acest transfer în GPMC pentru nodul Group Policy Objects trebuie eliminat imediat după instalarea AGPM. Motivul acestei modificări este după cum urmează:
- AGPM utilizează propriul model de transmisie, care este mai detaliat
- În AGPM, toate editările obiectelor GPO apar offline, fără a se atinge de GPO industrială
- Fără delegarea GPMC, administratorii nu mai pot edita GPO-uri industriale
AGPM utilizează de asemenea un cont de serviciu pentru a accesa GPO-urile din arhiva AGPM. Toate obiectele GPO din arhiva AGPM nu sunt industriale, adică sunt autonome, făcând editarea GPO mai sigură.
Pentru a crea drepturi transferate în mediul AGPM, aveți două opțiuni. Primul este să utilizați fila Delegație domeniu, după cum se arată în figura 2.
Figura 2. Delegarea domeniului în AGPM
Aici puteți configura transferul pentru administratori, pentru a controla toate GPO-urile din depozitul AGPM de depozitare la un anumit nivel.
Cel de-al doilea nivel de transmisie folosind AGPM se află la nivelul GPO, după cum se arată în figura 3.
Figura 3. Transmiterea la nivelul GPO în cadrul AGPM
Pentru fiecare obiect GPO din AGPM, puteți specifica ce pot face administratorii cu un anumit GPO, obținând astfel un control mai precis pentru întreaga infrastructură a infrastructurii GPO.
Avantajele editării offline în interiorul AGPM
Utilizând instrumentul AGPM, editați toate obiectele GPO offline (offline). Obiectele GPO sunt stocate pe serverul AGPM, care funcționează cu o copie de siguranță a obiectului GPO și nu cu versiunea industrială. Întregul proces de editare a GPO utilizând instrumentul AGPM are loc pe serverul AGPM, chiar și procesul inițial "Check out", care poate fi văzut în Figura 4.
Figura 4. Înainte de a edita un GPO, trebuie confirmat, adică trebuie să faceți o verificare
Motivul pentru care trebuie să verificați GPO înainte de al edita este să urmăriți ce procedează AGPM cu fiecare editare GPO, pe care o vom discuta mai târziu în acest articol.
Managementul schimbărilor cu AGPM
Unul dintre instrumentele pe care consola GPMC le lipsește pentru o soluție manuală sau o soluție cu scripturi este posibilitatea de a gestiona schimbările. Conceptul de management al schimbării devine din ce în ce mai răspândit și mai important în infrastructura informatică de astăzi. Datele de bază indică faptul că atunci când modificați GPO, trebuie să monitorizați următoarele:
- Cine a făcut schimbarea
- Când sa făcut schimbarea
- Ceea ce a afectat această schimbare
Instrumentul AGPM vă permite să urmăriți toate aceste informații și multe altele. Atunci când GPO este confirmată și editată, o copie a GPO este adăugată în arhiva AGPM. Aceasta vă permite să izolați fiecare versiune a GPO, precum și toate modificările acesteia. Procedura "Check out" este cheia aici. același GPO poate fi în consola GPMC a mai multor administratori în același timp. Acest lucru poate perturba modificarea urmăririi în GPO, deoarece ultimul administrator va capta toate drepturile la GPO. pentru că instrumentul AGPM monitorizează fiecare GPO separat, rezultatul fiind o listă completă a tuturor modificărilor GPO, după cum se arată în Figura 5.
Figura 5. AGPM urmărește toate modificările la GPO
Puteți vedea că fiecare GPO are informații despre momentul în care a fost efectuată modificarea și cine a făcut această modificare. Doar faceți clic dreapta pe orice GPO din arhivă și puteți vedea un raport de configurare care raportează scopul fiecărei setări în fiecare GPO. Puteți selecta două GPO-uri și apoi puteți crea un raport privind diferențele raportului diferențial, după cum se arată în Figura 6.
GPMC este un instrument excelent lansat de Microsoft. Abilitatea de a controla GPO pentru un mediu Active Directory este mult mai ușor cu GPMC. Există mai multe instrumente care lipsesc în GPMC, despre care știe toată lumea. Cu ajutorul noului instrument AGPM, pe care Microsoft îl oferă prin MDOP, toate aceste probleme sunt ușor de rezolvat. Instrumentul AGPM oferă cea mai bună metodă pentru transferarea administrării obiectelor de politică ale grupului GPO. Instrumentul AGPM nu oferă doar un model mai bun de transmisie, ci vă permite să administrați în mod autonom GPO, în loc să schimbați GPO industrială, așa cum procedează GPMC. În sfârșit, instrumentul AGPM oferă posibilitatea unei gestionări automatizate a schimbării. Acest lucru vă permite să urmăriți toate modificările majore ale fiecărui GPO, precum și cine a făcut schimbarea, când a fost efectuată această modificare și ce modificări au fost făcute în GPO.
Trimiteți-le prietenilor: