Cum se instalează și se configurează AGPM pe Windows Server 2016

Cum se instalează și se configurează AGPM pe Windows Server 2016

Una dintre sarcinile fundamentale pe care le îndeplinim în mod constant atunci când o folosim Windows Server 2012 sau 2016 este Control toate obiectele de domeniu precum utilizatori și echipe și știm că una dintre cele mai practice modalități de a îndeplini această sarcină este de a utiliza politicile de grup, deoarece acestea ne permit să gestionăm central toți parametrii și valorile acestor obiecte.

Odată cu avansarea sistemelor de operare, politicile de grup au fost, de asemenea, modificate și astăzi avem un instrument foarte puternic numit AGPM că astăzi vom analiza în detaliu într-un mediu Windows Server 2016.

Ce este AGPMAGPM (Advanced Group Policy Management - Advanced Group Policy Administration) este o aplicație creată de Microsoft care ne oferă posibilitatea de a prelua controlul specific asupra politicilor de grup din domeniile noastre. În prezent, versiunea disponibilă a AGPM este 4.0 și are următoarele avantaje:

  • Suporturi Windows 10
  • Suportă Windows PowerShell
  • Actualizați formularul aplicației sigur și automat
  • Suportă WIndows Server 2012 R2 și Windows Server 2016

1. Termeni legați de AGPM


Există anumiți termeni folosiți frecvent la AGPM, acestea sunt:

Client AGPMEste computerul pe care am instalat AGPM și de unde, ca administratori, putem gestionați politicile de grup.

Plugin AGPME o plugin software care este instalat în clienții AGPM pentru a efectua corect managementul.

Server AGPMEste serverul care execută Serviciul AGPM și gestionați fișiere.

Serviciul AGPMEste o componentă software care rulează pe un server AGPM ca serviciu.

ArhivaLa AGPM este un depozit care conține GPO-uri controlate care gestionează serverul AGPM asociat.

GPO controlatEste un GPO care este gestionarea AGPM.

GPO necontrolatE o GPO al mediului de producție că AGPM nu controlează.

2. Cerințe pentru instalarea AGPM pe Windows Server 2016


Trebuie să îndeplinim o serie de cerințe pentru instalarea AGPM în Windows Server 2016, acestea fiind:

.NET Framework 4.5.1Putem descarca-l de pe următorul link:

.Net Framework 4.5

PowerShell 3.0În cazul în care nu îl aveți, poate fi Descarcat de pe următorul link:

PowerShell 3.0

GPMC (Group Policy Management Console - Group Policy Management Console)În mod implicit, este instalat, dar în caz că nu îl aveți, poate fi descărcat de pe următorul link:

GPMC

Având în vedere aceste cerințe, procedăm la instalarea AGPM pe Windows Server 2016.

3. Instalați AGPM pe Windows Server 2016


Microsoft recomandă ca AGPM să fie instalat pe un server membru de domeniu, dar nu pe controlerul de domeniu, dar dacă nu avem mai multe opțiuni, este posibil să îl instalăm acolo.

Pasul 1
AGPM poate fi descărcat de pe următorul link. Amintiți-vă că AGPM necesită grupuri pentru a gestiona serviciul, așa că vom face acest lucru Utilizatori și computere Active Directory și vom crea grupurile respective.

AGPM

Pasul 2
Am creat un OU numit AGPM și acolo trebuie să creăm contul pentru a începe serviciul AGPM, pentru aceasta am creat următoarele obiecte:

  • Utilizator AGPM Solvetic
  • Includem acest utilizator în grup Proprietarii de creatori de politici de grup
  • Următoarele grupuri au fost create pentru sarcinile de gestionare AGPM:
  • Administratori AGPM
  • Aprobatori AGPM
  • Editorii AGPM
  • Recenzori AGPM

Pasul 3
Odată ce grupurile și utilizatorii au fost definiți, continuăm cu instalarea AGPM executând fișierul agpm_403_server_amd64 ca administratori. Va fi afișat expertul de instalare respectiv.

Pasul 4
La un moment dat al instalării trebuie să definim utilizatorul serviciului cu care urmează să fie executat serviciul AGPM, în acest moment putem crea un utilizator specific pentru serviciu sau dacă suntem pe un controler de domeniu, așa cum este cazul, selectați opțiunea Sistem local.

Pasul 5
În fereastra următoare vom selecta contul pe care îl veți avea permisiuni totale Despre serviciu, în acest moment adăugăm grupul de administratori AGPM pe care l-am creat.

Pasul 6
În fereastra următoare configurăm portul prin care AGPM va primi cererile clientului, îl lăsăm pe cel care este implicit, adică 4600.

Pasul 7
Mai târziu definim limbile AGPM și vom vedea că putem începe instalarea apăsând butonul Instalare.

Pasul 8
Putem vedea că Procesul de instalare AGPM și că după câteva secunde instalarea sa încheiat cu succes.

4. Instalați clientul AGPM pe Windows Server 2016


Pasul 1
După încheierea procesului de instalare a serverului AGPM, trebuie să instalăm clientul pentru a finaliza întreaga structură AGPM. Pentru aceasta vom executa fișierul ca administrator agpm_403_client_amd64.

Pasul 2
Apăsăm Următorul și urmăm pașii vrăjitorului și putem vedea într-un moment al instalării că trebuie să definim serverul care va acționa ca AGPM.

Pasul 3
Putem vedea că începe procesul de instalare AGPM Client. După câteva secunde, instalarea în cele din urmă a fost finalizat cu succes.

5. Opțiuni consolă AGPM


După cum putem vedea când am instalat atât serverul, cât și clientul AGPM, nu s-a creat acces direct sau nu s-a adăugat nicio aplicație ca atare, dar vom vedea modificările reflectate în gestionarea politicilor de grup.

Pasul 1
Pentru a le accesa putem folosi oricare dintre următoarele opțiuni:

  • Folosiți comanda Alerga și introduceți comanda gpmc.msc, apasa Enter.
  • Introduceți termenul de administrare în caseta de căutare Windows Server și selectați opțiunea corespunzătoare.

Pasul 2
Odată ce administratorul este deschis vom vedea următoarea fereastră.

Pasul 3
Prima diferență pe care o vom observa în comparație cu politicile de grup tradiționale este în momentul implementării domeniului nostru, acum vom vedea un nou container numit Schimba controlul.

Pasul 4
Făcând clic pe Schimba controlul putem vedea următoarele opțiuni.

Pasul 5
Opțiunile de bază pe care le avem sunt:

CuprinsDin această filă putem gestiona GPO-uri controlate sau necontrolate.

Delegația domeniuluiDin această locație definim permisiunile care trebuie acordate către fiecare utilizator sau grup de utilizatori din domeniu. La fel putem adăugați un cont de e-mail astfel încât, la un moment dat, când un utilizator neautorizat încearcă să acceseze serverul AGPM, vom fi anunțați despre această încercare.

Server AGPMPrin această filă putem vizualiza și edita adresa IP de pe serverul AGPM.

Delegația de producțieÎn această filă putem vedea ce utilizatori și grupuri au permisiuni pentru a accesa mediul de producție AGPM.

6. Sarcini de bază în AGPM

Preluarea controlului asupra GPO-urilorUna dintre sarcinile de bază pe care le avem atunci când folosim AGPM este abilitatea de a avea Control din acelea GPO-uri care sunt în prezent necontrolate, amintiți-vă că un GPO necontrolat este unul care se află în mediul de producție, dar nu este gestionat de AGPM.
Putem vizualiza GPO-urile fără control în fila Conținut / Fără control

Pentru a prelua controlul acestor GPO-uri, vom selecta GPO-urile pe care dorim să le deținem controlul și vom face clic dreapta pe ele și vom selecta opțiunea Control.

Odată ce selectăm opțiunea Control putem vedea următorul mesaj.

Apăsăm A accepta și vom vedea că acești GPO-uri merg la fila Verificat.

Creați un nou GPO controlatPentru a crea un GPO controlat de la zero trebuie să facem clic dreapta pe Schimba controlul și selectați opțiunea Noul GPO controlat.

Vom vedea următorul expert în care vom atribui un nume GPO-ului controlat.

Apăsăm A accepta și vom vedea GPO-ul nostru creat corect și putem vizualiza diverse opțiuni atunci când facem dublu clic pe GPO.

MARI

Adăugați utilizatori pentru a controla GPO-urileO sarcină care poate fi necesară este adăugați un nou utilizator sau grup direct de la AGPM și pentru aceasta vom face următoarele:

De la fereastră Cuprins selectăm opțiunea Adăuga aflat în partea de jos și va fi afișată următoarea fereastră unde trebuie să localizăm utilizatorul sau grupul de adăugat.

Apăsăm A accepta iar următoarea fereastră va fi afișată unde trebuie să definim tip de rol pe care utilizatorul sau grupul o va îndeplini. După definirea rolului, faceți clic pe A accepta.

Putem vedea că utilizatorul a fost adăugat cu succes.

Editați un GPO controlatAcesta este probabil unul dintre cele mai interesante aspecte ale AGPM, este securitatea la editarea unui GPO controlat. Pentru a edita un GPO controlat trebuie să dăm faceți clic dreapta pe GPO și selectați Editați | × dar vom vedea următoarele, opțiunea Editați | × este dezactivat în mod implicit.

Pentru a activa ediția GPO controlat trebuie să facem clic pe buton Verifică și va fi afișată următoarea fereastră unde trebuie să explicăm de ce GPO-ul este neprotejat.

Apăsăm A accepta și va începe procesul de check-out.

Acum, dacă facem clic dreapta pe GPO din nou, putem vedea că ediția sa a fost activată. (Stare neprotejată).

Dacă facem clic pe Editați | × Vom putea face ajustările necesare pentru GPO. Odată ce modificările sunt finalizate, putem apăsa butonul Protejare pentru a evita editarea acestuia.

După cum vedem cu AGPM, avem la îndemână un instrument puternic administrarea centralizată a tuturor GPO-urilor organizației și au un control mai specific asupra acceselor și permisiunilor lor. Pentru a afla mai multe despre AGPM, putem vizita următorul link.

Documentația AGPM

Vei ajuta la dezvoltarea site-ului, partajarea pagina cu prietenii

wave wave wave wave wave

Posturi Populare

wave
1
post-title
▷ Comandă rapidă pentru actualizări Windows 10 ✔️ Desktop
2
post-title
Cum funcționează, instalează și utilizează Chrony Linux (Network Time Protocol NTP)
3
post-title
ShellShock Attack, simplu
4
post-title
Transferați contactele de pe mobilul Android pe Android
5
post-title
▷ Reporniți serviciile audio Windows 10

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -