Использование Advanced Group Policy Management для защиты ваших GPO

Большая часть компаний на сегодня употребляют
политики групп (Group Policy) для контроля фактически каждого
нюанса и области в сетевом окружении. В неких случаях
политики группы (Group Policy) также употребляются для контроля
серверов. Благодаря такому большенному доверию политикам групп
(Group Policy) нужно приложить все усилия, чтоб защитить
объекты политики группы (Group Policy Object), которые
отвечают за эти конфигурации. Новый инструмент под заглавием
Advanced Group Policy Management (AGPM либо расширенное
управление политиками групп) от компании Microsoft поможем вам
разобраться с этим и многим другим.

Мои GPO на сегодня не защищены?

Компания Microsoft выпустила консоль для управления
политиками группы (Group Policy Management Console либо GPMC)
годом ранее, что стало прекрасным нововведением в управлении
политиками группы (Group Policy). Инструмент позволяет
производить контроль над политиками группы Group Policy
благодаря последующему:

Простота администрирования всех объектов GPO во всем
лесе Active Directory Forest
Просмотр всех объектов GPO в одном перечне
Отчет о настройках GPO, безопасности (security),
фильтрах (filter), копировании (delegation) и т.п.
Контроль наследования GPO inheritance при помощи Block
Inheritance (блокировка наследования), Enforce (усиление) и
Security Filtering (фильтры безопасности)
Модель передачи (Delegation model)
Создание запасных копий объектов GPO
Перемещение объектов GPO в разные домены и леса

Невзирая на все эти достоинства, как и раньше есть
недочеты при использовании одной только консоли GPMC.
Гарантировано, что консоль GPMC нужна и должна
употребляться каждым, зачем она безупречна. Но, она
мало ограничена, если вы желаете защитить ваши объекты
политики группы GPO от последующих вещей:

Копирование, основанное на ролях при управлении GPO
При редактировании в промышленной среде, вы потенциально
сможете нанести вред рабочим станциям и серверам
Запамятовали сделать запасную копию GPO после его модификации
Изменение управления для каждой модификации для каждого
GPO

Выполнение передачи при помощи AGPM

Если вы работали с политикой группы (Group Policy) и GPO в
течение долгого периода времени, то, я уверен, что сделаете
неверную настройку в объекте GPO, которая потом может нанести
вред сети. Все это получается благодаря тому, как объекты GPO
редактируются по дефлоту. GPO редактируются впрямую на
контроллере домена, а потом, если было изготовлено изменение (и
нажата кнопка OK либо Apply), изменение сразу происходит в
GPO, а потом копируется. Нет таковой опции как “Undo”
(отменить) либо “Save” (сохранить), конфигурации происходят сходу
же.

Такое поведение в текущее время контролируется в GPMC
благодаря установке передачи GPO для редактирования, как
показано на Рисунке 1.

Внедрение Advanced Group Policy Management для защиты ваших GPO

Набросок
1: Передача Delegation within GPMC to allow editing of
GPOs

Такую передачу снутри GPMC для узла Group Policy Objects
нужно удалить сразу после установки AGPM. Причина для
такового конфигурации заключается в последующем:

AGPM употребляет свою свою модель передачи
(delegation model), которая является более подробной
В AGPM все редактирование объектов GPO происходит в
автономном режиме, не касаясь промышленных GPO
Без передачи GPMC delegation, админы не сумеют
больше редактировать промышленные GPO

AGPM также употребляет служебную учетную запись (service
account) для доступа к объектам GPO в архиве AGPM. Все из
объектов GPO в архиве AGPM archive не являются промышленными,
т.е. являются автономными, по этому редактирование GPO
стало безопаснее.

Для того, чтоб сделать переданные права снутри среды AGPM,
у вас есть два вариант. 1-ый заключается в использовании
закладки Domain Delegation, как показано на рисунке 2.

Внедрение Advanced Group Policy Management для защиты ваших GPO

Набросок
2: Domain Delegation в AGPM

Тут вы можете настроить передачу для админов,
для контроля всех GPO снутри хранилища AGPM repository на
определенном уровне.

2-ой уровень передачи при помощи AGPM находится на уровне
GPO, как показано на рисунке 3.

Внедрение Advanced Group Policy Management для защиты ваших GPO

Набросок
3: Передача на уровне GPO снутри AGPM

Для каждого объекта GPO снутри AGPM вы сможете задать, что
админы могут делать с определенным объектом GPO, за счет
чего достигается более точный контроль для всей инфраструктуры
GPO infrastructure.

Достоинства автономного редактирования снутри AGPM

Редактор объектов политики групп (Group Policy Object
Editor либо GPOE) – это инструмент, который употребляется для
редактирования всех объектов GPO. Даже снутри AGPM, GPOE
как и раньше делает обновления объектов GPO на контроллере
домена (domain controller). Это редактирование живых
промышленных объектов GPO в среде Active Directory. Т.к. в
редакторе GPOE не предусмотрены никаких опций “Save as”
(сохранить как) либо “undo” (отменить), то это очень страшный
инструмент для редактирования промышленных объектов GPO.

При помощи инструмента AGPM вы редактируете все ваши объекты
GPO в автономном режиме (offline). Объекты GPO хранятся на
сервере AGPM, который работает с запасной копией объекта GPO,
а не с промышленной версией. Весь процесс редактирования GPO с
помощью инструмента AGPM происходит на сервере AGPM server,
даже исходный процесс доказательства “Check out” process, что
можно узреть на рисунке 4.

Внедрение Advanced Group Policy Management для защиты ваших GPO

Набросок
4: Перед тем, как редактировать объект GPO он должен
быть доказан, т.е. нужно сделать Checked out

Причина, по которой нужно выполнить процесс check out
для объекта GPO перед его редактированием, заключается в
отслеживании того, что AGPM делает с каждым редактированием
GPO, что мы обсудим позже в этой статье.

Управление переменами при помощи AGPM

Одним из инструментов, которых не хватает консоли GPMC, для
ручного решения либо решения со сценариями, является
возможность управления переменами (change management).
Концепция управления переменами становится все более и поболее
всераспространенной и принципиальной в нынешней инфраструктуре IT
infrastructure. Главные данные указывают, что при изменении
GPO нужно выслеживать последующее:

Кто сделал изменение
Когда было изготовлено изменение
Что затронуло это изменение

Инструмент AGPM позволяет отследить всю эту информацию и
почти все другое. Когда объект GPO доказан и отредактирован,
то в архив AGPM archive добавляется копия GPO. Это позволяет
изолировать каждую версию GPO, также все его конфигурации.
Процедура “Check out” является тут ключом, т.к. один и тот
же объект GPO может быть в консоли GPMC нескольких
админов в одно время. Это может нарушить отслеживание
изменение в GPO, т.к. последний админ захватит все
права на объект GPO. Т.к. инструмент AGPM выслеживает каждый
объект GPO раздельно, то результатом этого будет полный перечень
всех конфигураций GPO, как показано на рисунке 5.

Внедрение Advanced Group Policy Management для защиты ваших GPO

Набросок
5: AGPM выслеживает все конфигурации в GPO

Вы сможете узреть, что каждый объект GPO имеет информацию о
том, когда было изготовлено конфигурации, и кто сделал это изменение.
Просто нажмите правой кнопкой мыши на любом объекте GPO в
архиве, и вы сможете узреть отчет о настройках, в каком
сообщается о предназначении каждой опции в каждом GPO. Можно
избрать два объекта GPO, а потом сделать отчет о различиях
Difference Report, как показано на рисунке 6.

Внедрение Advanced Group Policy Management для защиты ваших GPO

Набросок
6

Резюме

GPMC – это прекрасный инструмент, выпущенный компанией
Microsoft. Возможность держать под контролем GPO для среды Active
Directory становиться еще проще при помощи GPMC. Есть
несколько инструментов, которых не хватает в GPMC, о которых
все знают. При помощи нового инструмента AGPM, который компания
Microsoft предлагает средством MDOP, все эти заморочек просто
решаются. Инструмент AGPM предоставляет наилучший способ передачи
администрирования объектов политики групп GPO. Инструмент AGPM
не только лишь предоставляет наилучшую модель передачи (delegation
model), он позволяет автономно администрировать GPO, заместо
того чтоб изменять промышленные GPO, как это делает GPMC.
В конце концов, инструмент AGPM предоставляет возможность
автоматического конфигурации управления (automated change
management). Это позволяет отследить все главные конфигурации
каждого GPO, также, кто создавал изменение, когда это
изменение было изготовлено, и какие конкретно конфигурации были
произведены в GPO.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.