Більшість компаній на сьогоднішній день використовують політики груп (Group Policy) для контролю практично кожного аспекту та області в мережевому оточенні. У деяких випадках політики групи (Group Policy) також використовуються для контролю серверів. Завдяки такому великому довірі політикам груп (Group Policy) необхідно докласти всіх зусиль, щоб захистити об'єкти політики групи (Group Policy Object), які відповідають за ці зміни. Новий інструмент під назвою Advanced Group Policy Management (AGPM або розширене управління політиками груп) від компанії Microsoft допоможемо вам розібратися з цим і багатьом іншим.
Мої GPO на сьогоднішній день не захищені?
Компанія Microsoft випустила консоль для управління політиками групи (Group Policy Management Console або GPMC) рік тому, що стало чудовим нововведенням в управлінні політиками групи (Group Policy). Інструмент дозволяє здійснювати контроль над політиками групи Group Policy завдяки наступного:
Незважаючи на всі ці переваги, як і раніше існують недоліки при використанні однієї лише консолі GPMC. Гарантовано, що консоль GPMC необхідна і повинна використовуватися кожним, для чого вона ідеальна. Однак, вона трохи обмежена, якщо ви хочете захистити ваші об'єкти політики групи GPO від наступних речей:
Виконання передачі за допомогою AGPM
Якщо ви працювали з політикою групи (Group Policy) та GPO протягом довгого періоду часу, то, я впевнений, що зробите помилкову настройку в об'єкті GPO, яка потім може завдати шкоди мережі. Все це відбувається завдяки тому, як об'єкти GPO редагуються за замовчуванням. GPO редагуються безпосередньо на контролері домену, а потім, якщо було зроблено зміна (і натиснута кнопка OK або Apply), зміна відразу ж відбувається в GPO, а потім копіюється. Немає такого налаштування як "Undo" (скасувати) або "Save" (зберегти), зміни відбуваються відразу ж.
Така поведінка в даний час контролюється в GPMC завдяки установці передачі GPO для редагування, як показано на рисунку 1.
Малюнок 1. Передача Delegation within GPMC to allow editing of GPOs
Таку передачу всередині GPMC для вузла Group Policy Objects необхідно видалити відразу ж після установки AGPM. Причина для такої зміни полягає в наступному:
- AGPM використовує свою власну модель передачі (delegation model), яка є більш докладної
- У AGPM все редагування об'єктів GPO відбувається в автономному режимі, не торкаючись промислових GPO
- Без передачі GPMC delegation, адміністратори не зможуть більше редагувати промислові GPO
AGPM також використовує службовому обліковому записі (service account) для доступу до об'єктів GPO в архіві AGPM. Все з об'єктів GPO в архіві AGPM archive не є промисловими, тобто є автономними, завдяки чому редагування GPO стало безпечніше.
Для того, щоб створити передані права всередині середовища AGPM, у вас є два варіант. Перший полягає у використанні закладки Domain Delegation, як показано на малюнку 2.
Малюнок 2. Domain Delegation в AGPM
Тут ви зможете налаштувати передачу для адміністраторів, для контролю всіх GPO всередині сховища AGPM repository на певному рівні.
Другий рівень передачі за допомогою AGPM знаходиться на рівні GPO, як показано на малюнку 3.
Малюнок 3. Передача на рівні GPO всередині AGPM
Для кожного об'єкта GPO всередині AGPM ви можете задати, що адміністратори можуть робити з конкретним об'єктом GPO, за рахунок чого досягається більш чіткий контроль для всієї інфраструктури GPO infrastructure.
Переваги автономного редагування всередині AGPM
За допомогою інструменту AGPM ви редагуєте всі ваші об'єкти GPO в автономному режимі (offline). Об'єкти GPO зберігаються на сервері AGPM, який працює з резервною копією об'єкта GPO, а не з промислової версією. Весь процес редагування GPO за допомогою інструменту AGPM відбувається на сервері AGPM server, навіть початковий процес підтвердження "Check out" process, що можна побачити на малюнку 4.
Малюнок 4. Перед тим, як редагувати об'єкт GPO він повинен бути підтверджений, тобто необхідно зробити Checked out
Причина, по якій необхідно виконати процес check out для об'єкта GPO перед його редагуванням, полягає у відстеженні того, що AGPM робить з кожним редагуванням GPO, що ми обговоримо пізніше в цій статті.
Управління змінами за допомогою AGPM
Одним з інструментів, яких не вистачає консолі GPMC, для ручного рішення або рішення зі сценаріями, є можливість управління змінами (change management). Концепція управління змінами стає все більш і більш поширеною і важливою в сьогоднішній інфраструктурі IT infrastructure. Основні дані вказують, що при зміні GPO необхідно відстежувати наступне:
- Хто зробив зміна
- Коли було зроблено зміна
- Що торкнулося це зміна
Інструмент AGPM дозволяє відстежити всю цю інформацію і багато іншого. Коли об'єкт GPO підтверджений і відредагований, то в архів AGPM archive додається копія GPO. Це дозволяє ізолювати кожну версію GPO, а також всі його зміни. Процедура "Check out" є тут ключем, тому що один і той же об'єкт GPO може бути в консолі GPMC кількох адміністраторів в один час. Це може порушити відстеження зміна в GPO, тому що останній адміністратор захопить все права на об'єкт GPO. Оскільки інструмент AGPM відстежує кожен об'єкт GPO окремо, то результатом цього буде повний список всіх змін GPO, як показано на малюнку 5.
Малюнок 5. AGPM відстежує всі зміни в GPO
Ви можете побачити, що кожен об'єкт GPO має інформацію про те, коли було зроблено зміни, і хто зробив це зміна. Просто натисніть правою кнопкою миші на будь-якому об'єкті GPO в архіві, і ви можете побачити звіт про настройках, в якому повідомляється про призначення кожної настройки в кожному GPO. Можна вибрати два об'єкти GPO, а потім створити звіт про відмінності Difference Report, як показано на малюнку 6.
GPMC - це чудовий інструмент, випущений компанією Microsoft. Можливість контролювати GPO для середовища Active Directory ставати набагато простіше за допомогою GPMC. Є кілька інструментів, яких не вистачає в GPMC, про які всі знають. За допомогою нового інструменту AGPM, який компанія Microsoft пропонує за допомогою MDOP, всі ці проблеми легко вирішуються. Інструмент AGPM надає кращий метод передачі адміністрування об'єктів політики груп GPO. Інструмент AGPM не тільки надає кращу модель передачі (delegation model), він дозволяє автономно адмініструвати GPO, замість того щоб змінювати промислові GPO, як це робить GPMC. Нарешті, інструмент AGPM надає можливість автоматизованого зміни управління (automated change management). Це дозволяє відстежити всі основні зміни кожного GPO, а також, хто виробляв зміна, щоб ці поправки було зроблено, і які саме зміни були зроблені в GPO.