Een van de fundamentele taken die we voortdurend uitvoeren wanneer we gebruiken Windows Server 2012 of 2016 het is controle alle domeinobjecten zoals gebruikers en teams en we weten dat een van de meest praktische manieren om deze taak uit te voeren, het gebruik van groepsbeleid is, omdat ze ons in staat stellen om alle parameters en waarden van deze objecten centraal te beheren.
Met de vooruitgang van besturingssystemen is ook het groepsbeleid gewijzigd en vandaag hebben we een zeer krachtige tool genaamd AGPM die we vandaag in detail zullen analyseren in een omgeving Windows Server 2016.
Wat is AGPMAGPM (Geavanceerd Groepsbeleidsbeheer - Geavanceerd Groepsbeleidsbeheer) is een applicatie gemaakt door Microsoft die ons de mogelijkheid geeft om specifieke controle te krijgen over het groepsbeleid in onze domeinen. Momenteel is de beschikbare versie van AGPM 4.0 en heeft de volgende voordelen:
- Ondersteunt Windows 10
- Ondersteunt Windows PowerShell
- Formulier app-update veilig en automatisch
- Ondersteunt Windows Server 2012 R2 en Windows Server 2016
1. AGPM-gerelateerde termen
Er zijn bepaalde veelgebruikte termen bij AGPM, dit zijn:
AGPM-clientHet is de computer waarop we AGPM hebben geïnstalleerd en van waaruit we als beheerders kunnen groepsbeleid beheren.
AGPM-plug-inHet is een software plug-in dat is geïnstalleerd in AGPM-clients om het beheer correct uit te voeren.
AGPM-serverHet is de server die de draait AGPM-service en bestanden beheren.
AGPM-serviceHet is een softwarecomponent die: draait op een server AGPM als een service.
ArchiefBij AGPM is het een magazijn dat de Gecontroleerde GPO's die de bijbehorende AGPM-server beheert.
Gecontroleerd GPOHet is een GPO dat is AGPM beheren.
Ongecontroleerd GPOHet is een GPO van de productieomgeving waarover AGPM geen controle heeft.
2. Vereisten om AGPM te installeren op Windows Server 2016
We moeten aan een reeks vereisten voldoen voor de installatie van AGPM in Windows Server 2016, dit zijn:
.NET Framework 4.5.1Wij kunnen download het van de volgende link:
.Net Framework 4.5
PowerShell 3.0Als je het niet hebt, kan het zijn ontslagen van de volgende link:
PowerShell 3.0
GPMC (Group Policy Management Console - Group Policy Management Console)Standaard is het geïnstalleerd, maar als u het niet heeft, kan het worden gedownload van de volgende link:
GPMC
Met deze vereisten in gedachten gaan we verder met het installeren van AGPM op Windows Server 2016.
3. Installeer AGPM op Windows Server 2016
Microsoft raadt aan om AGPM op een domeinlidserver te installeren, maar niet op de domeincontroller, maar als we niet meer opties hebben, is het mogelijk om het daar te installeren.
Stap 1
AGPM kan worden gedownload via de volgende link. Houd er rekening mee dat AGPM groepen vereist om de service te beheren, dus we gaan Active Directory-gebruikers en computers en we zullen de respectieve groepen maken.
AGPM
Stap 2
We hebben een OE gemaakt met de naam AGPM en daar moeten we het account maken om de AGPM-service te starten, hiervoor hebben we de volgende objecten gemaakt:
- AGPM Solvetic-gebruiker
- We nemen deze gebruiker op in de groep Eigenaars van makers van groepsbeleid
- De volgende groepen zijn gemaakt voor AGPM-beheertaken:
- Beheerders AGPM
- Goedkeurders AGPM
- Editors AGPM
- Recensenten AGPM
Stap 3
Nadat de groepen en gebruikers zijn gedefinieerd, gaan we verder met de installatie van AGPM door het bestand uit te voeren agpm_403_server_amd64 als beheerders. De betreffende installatiewizard wordt weergegeven.
Stap 4
Op een bepaald punt van de installatie moeten we de servicegebruiker definiëren waarmee de AGPM-service moet worden uitgevoerd, op dit punt kunnen we een specifieke gebruiker voor de service maken of als we ons op een domeincontroller bevinden, zoals het geval is, kunnen we selecteer de optie Lokaal systeem.
Stap 5
In het volgende venster zullen we het account selecteren dat u zult hebben totale rechten Over de service, op dit punt voegen we de AGPM-beheerdersgroep toe die we hebben gemaakt.
Stap 6
In het volgende venster configureren we de poort waarmee AGPM clientverzoeken zal ontvangen, we laten degene die is standaard is dat 4600.
Stap 7
Later definiëren we de AGPM-talen en zullen we zien dat we de installatie kunnen starten door op de knop te drukken Installeren.
Stap 8
We kunnen zien dat de AGPM-installatieproces en dat na een paar seconden de installatie met succes is voltooid.
4. Installeer AGPM-client op Windows Server 2016
Stap 1
Zodra het installatieproces van AGPM Server is voltooid, moeten we de client installeren om de hele AGPM-structuur te voltooien. Hiervoor zullen we het bestand als administrator uitvoeren agpm_403_client_amd64.
Stap 2
wij drukken op Volgende en we volgen de stappen van de wizard en we kunnen in een moment van de installatie zien dat we de server moeten definiëren die als AGPM zal fungeren.
Stap 3
We kunnen zien dat het installatieproces van de AGPM Client begint. Na een paar seconden is de installatie eindelijk is succesvol afgerond.
5. Opties voor AGPM-console
Zoals we kunnen zien wanneer we zowel de server als de AGPM-client hebben geïnstalleerd, is er geen directe toegang gecreëerd of is er een applicatie als zodanig toegevoegd, maar we zullen de wijzigingen weerspiegeld zien in het groepsbeleidsbeheer.
Stap 1
Om toegang te krijgen, kunnen we een van de volgende opties gebruiken:
- Gebruik het commando Loop en voer het commando in gpmc.msc, druk op Enter.
- Voer de term administratie in het zoekvak van Windows Server in en selecteer de juiste optie.
Stap 2
Zodra de beheerder is geopend, zien we het volgende venster.
Stap 3
Het eerste verschil dat we zullen opmerken in vergelijking met traditioneel groepsbeleid is op het moment dat ons domein wordt geïmplementeerd, nu zullen we een nieuwe container zien met de naam Verander controle.
Stap 4
Door te klikken op Verander controle we kunnen de volgende opties zien.
Stap 5
De basisopties die we hebben zijn:
InhoudVanaf dit tabblad kunnen we gecontroleerde of ongecontroleerde GPO's beheren.
Domein delegatieVanaf deze locatie definiëren we de te verlenen toestemmingen aan elke gebruiker of groep gebruikers in het domein. Op dezelfde manier kunnen we een e-mailaccount toevoegen zodat op een bepaald moment wanneer een onbevoegde gebruiker toegang probeert te krijgen tot de AGPM-server, we op de hoogte worden gesteld van deze poging.
AGPM-serverVia dit tabblad we kunnen het IP-adres bekijken en bewerken van de AGPM-server.
productie delegatieOp dit tabblad kunnen we zien welke gebruikers en groepen rechten hebben om toegang te krijgen tot de AGPM-productieomgeving.
6. Basistaken in AGPM
Controle over GPO's nemenEen van de basistaken die we hebben bij het gebruik van AGPM is de mogelijkheid om de controle van deze GPO's die momenteel niet worden gecontroleerd, onthoud dat een ongecontroleerde GPO er een is die zich in de productieomgeving bevindt maar niet wordt beheerd door AGPM.
We kunnen de GPO's bekijken zonder controle op het tabblad Inhoud / Geen controle
Om de controle over deze GPO's over te nemen, selecteren we de GPO's die we willen beheren en klikken er met de rechtermuisknop op en selecteren de optie Controle.
Zodra we de optie hebben geselecteerd: Controle we kunnen het volgende bericht zien.
wij drukken op Accepteren en we zullen zien dat deze GPO's naar het tabblad gaan Gecontroleerd.
Een nieuw gecontroleerd GPO makenOm een GPO vanaf nul te maken, moeten we met de rechtermuisknop klikken op Verander controle en selecteer de optie Nieuwe GPO gecontroleerd.
We zullen de volgende wizard zien waarin we een naam zullen toewijzen aan het gecontroleerde GPO.
wij drukken op Accepteren en we zullen zien dat ons GPO correct is gemaakt en we kunnen verschillende opties visualiseren wanneer we dubbelklikken op het GPO.
VERGROTEN
Gebruikers toevoegen om GPO's te beherenEen taak die mogelijk vereist is, is: een nieuwe gebruiker of groep toevoegen rechtstreeks van AGPM, en hiervoor doen we het volgende:
Van het raam Inhoud we selecteren de optie Toevoegen bevindt zich onderaan en het volgende venster wordt weergegeven waar we de gebruiker of groep moeten vinden om toe te voegen.
wij drukken op Accepteren en het volgende venster wordt weergegeven waar we de . moeten definiëren roltype waaraan de gebruiker of groep zal voldoen. Zodra de rol is gedefinieerd, klikt u op Accepteren.
We kunnen zien dat de gebruiker succesvol is toegevoegd.
Een gecontroleerd GPO bewerkenDit is misschien wel een van de meest interessante aspecten van AGPM, de beveiliging bij het bewerken van een gecontroleerd GPO. Om een gecontroleerd GPO te bewerken, moeten we geven klik met de rechtermuisknop op het groepsbeleidsobject en selecteer Bewerking maar we zullen het volgende zien, de optie: Bewerking het is standaard uitgeschakeld.
Om de editie van het gecontroleerde GPO in te schakelen, moeten we op de knop klikken Uitchecken en het volgende venster wordt weergegeven waarin we moeten uitleggen waarom het GPO onbeschermd is.
wij drukken op Accepteren en het afrekenproces begint.
Als we nu opnieuw met de rechtermuisknop op het groepsbeleidsobject klikken, kunnen we zien dat de editie ervan is ingeschakeld. (Onbeschermde status).
Als we op . klikken Bewerking We zullen de nodige aanpassingen kunnen doen aan het GPO. Zodra de wijzigingen zijn voltooid, kunnen we op de knop Beveiligen drukken om te voorkomen dat deze wordt bewerkt.
Zoals we zien met AGPM hebben we een krachtig hulpmiddel bij de hand om gecentraliseerd beheer van alle GPO's van de organisatie en hebben meer specifieke controle over hun toegangen en machtigingen. Voor meer informatie over AGPM kunnen we de volgende link bezoeken.
AGPM-documentatie
