Большинство компаний на сегодняшний день используют
политики групп (Group Policy) для контроля практически каждого
аспекта и области в сетевом окружении. В некоторых случаях
политики группы (Group Policy) также используются для контроля
серверов. Благодаря такому большому доверию политикам групп
(Group Policy) необходимо приложить все усилия, чтобы защитить
объекты политики группы (Group Policy Object), которые
отвечают за эти конфигурации. Новый инструмент под названием
Advanced Group Policy Management (AGPM или расширенное
управление политиками групп) от компании Microsoft поможем вам
разобраться с этим и многим другим.
Мои GPO на сегодняшний день не защищены?
Компания Microsoft выпустила консоль для управления
политиками группы (Group Policy Management Console или GPMC)
год назад, что стало великолепным нововведением в управлении
политиками группы (Group Policy). Инструмент позволяет
осуществлять контроль над политиками группы Group Policy
благодаря следующему:
- Простота администрирования всех объектов GPO во всем
лесе Active Directory Forest
- Просмотр всех объектов GPO в одном списке
- Отчет о настройках GPO, безопасности (security),
фильтрах (filter), копировании (delegation) и т.п.
- Контроль наследования GPO inheritance с помощью Block
Inheritance (блокировка наследования), Enforce (усиление) и
Security Filtering (фильтры безопасности)
- Модель передачи (Delegation model)
- Создание резервных копий объектов GPO
- Перемещение объектов GPO в различные домены и леса
Несмотря на все эти преимущества, по-прежнему существуют
недостатки при использовании одной лишь консоли GPMC.
Гарантировано, что консоль GPMC необходима и должна
использоваться каждым, для чего она идеальна. Однако, она
немного ограничена, если вы хотите защитить ваши объекты
политики группы GPO от следующих вещей:
- Копирование, основанное на ролях при управлении GPO
- При редактировании в промышленной среде, вы потенциально
можете нанести ущерб рабочим станциям и серверам
- Забыли создать резервную копию GPO после его модификации
- Изменение управления для каждой модификации для каждого
GPO
Выполнение передачи с помощью AGPM
Если вы работали с политикой группы (Group Policy) и GPO в
течение долгого периода времени, то, я уверен, что сделаете
ошибочную настройку в объекте GPO, которая затем может нанести
ущерб сети. Все это происходит благодаря тому, как объекты GPO
редактируются по умолчанию. GPO редактируются напрямую на
контроллере домена, а затем, если было сделано изменение (и
нажата кнопка OK или Apply), изменение сразу же происходит в
GPO, а затем копируется. Нет такой настройки как “Undo”
(отменить) или “Save” (сохранить), изменения происходят сразу
же.
Такое поведение в настоящее время контролируется в GPMC
благодаря установке передачи GPO для редактирования, как
показано на Рисунке 1.
Рисунок
1: Передача Delegation within GPMC to allow editing of
GPOs
Такую передачу внутри GPMC для узла Group Policy Objects
необходимо удалить сразу же после установки AGPM. Причина для
такого изменения заключается в следующем:
- AGPM использует свою собственную модель передачи
(delegation model), которая является более подробной
- В AGPM все редактирование объектов GPO происходит в
автономном режиме, не касаясь промышленных GPO
- Без передачи GPMC delegation, администраторы не смогут
больше редактировать промышленные GPO
AGPM также использует служебную учетную запись (service
account) для доступа к объектам GPO в архиве AGPM. Все из
объектов GPO в архиве AGPM archive не являются промышленными,
т.е. являются автономными, благодаря чему редактирование GPO
стало безопаснее.
Для того, чтобы создать переданные права внутри среды AGPM,
у вас есть два вариант. Первый заключается в использовании
закладки Domain Delegation, как показано на рисунке 2.
Рисунок
2: Domain Delegation в AGPM
Здесь вы сможете настроить передачу для администраторов,
для контроля всех GPO внутри хранилища AGPM repository на
определенном уровне.
Второй уровень передачи с помощью AGPM находится на уровне
GPO, как показано на рисунке 3.
Рисунок
3: Передача на уровне GPO внутри AGPM
Для каждого объекта GPO внутри AGPM вы можете задать, что
администраторы могут делать с конкретным объектом GPO, за счет
чего достигается более четкий контроль для всей инфраструктуры
GPO infrastructure.
Преимущества автономного редактирования внутри AGPM
Редактор объектов политики групп (Group Policy Object
Editor или GPOE) – это инструмент, который используется для
редактирования всех объектов GPO. Даже внутри AGPM, GPOE
по-прежнему выполняет обновления объектов GPO на контроллере
домена (domain controller). Это редактирование живых
промышленных объектов GPO в среде Active Directory. Т.к. в
редакторе GPOE не предусмотрены никаких настроек “Save as”
(сохранить как) или “undo” (отменить), то это очень опасный
инструмент для редактирования промышленных объектов GPO.
С помощью инструмента AGPM вы редактируете все ваши объекты
GPO в автономном режиме (offline). Объекты GPO хранятся на
сервере AGPM, который работает с резервной копией объекта GPO,
а не с промышленной версией. Весь процесс редактирования GPO с
помощью инструмента AGPM происходит на сервере AGPM server,
даже начальный процесс подтверждения “Check out” process, что
можно увидеть на рисунке 4.
Рисунок
4: Перед тем, как редактировать объект GPO он должен
быть подтвержден, т.е. необходимо сделать Checked out
Причина, по которой необходимо выполнить процесс check out
для объекта GPO перед его редактированием, заключается в
отслеживании того, что AGPM делает с каждым редактированием
GPO, что мы обсудим позднее в этой статье.
Управление изменениями с помощью AGPM
Одним из инструментов, которых не хватает консоли GPMC, для
ручного решения или решения со сценариями, является
возможность управления изменениями (change management).
Концепция управления изменениями становится все более и более
распространенной и важной в сегодняшней инфраструктуре IT
infrastructure. Основные данные указывают, что при изменении
GPO необходимо отслеживать следующее:
- Кто сделал изменение
- Когда было сделано изменение
- Что затронуло это изменение
Инструмент AGPM позволяет отследить всю эту информацию и
многое другое. Когда объект GPO подтвержден и отредактирован,
то в архив AGPM archive добавляется копия GPO. Это позволяет
изолировать каждую версию GPO, а также все его изменения.
Процедура “Check out” является здесь ключом, т.к. один и тот
же объект GPO может быть в консоли GPMC нескольких
администраторов в одно время. Это может нарушить отслеживание
изменение в GPO, т.к. последний администратор захватит все
права на объект GPO. Т.к. инструмент AGPM отслеживает каждый
объект GPO отдельно, то результатом этого будет полный список
всех изменений GPO, как показано на рисунке 5.
Рисунок
5: AGPM отслеживает все изменения в GPO
Вы можете увидеть, что каждый объект GPO имеет информацию о
том, когда было сделано изменения, и кто сделал это изменение.
Просто нажмите правой кнопкой мыши на любом объекте GPO в
архиве, и вы можете увидеть отчет о настройках, в котором
сообщается о назначении каждой настройки в каждом GPO. Можно
выбрать два объекта GPO, а затем создать отчет о различиях
Difference Report, как показано на рисунке 6.
Рисунок
6
Резюме
GPMC – это великолепный инструмент, выпущенный компанией
Microsoft. Возможность контролировать GPO для среды Active
Directory становиться гораздо проще с помощью GPMC. Есть
несколько инструментов, которых не хватает в GPMC, о которых
все знают. С помощью нового инструмента AGPM, который компания
Microsoft предлагает посредством MDOP, все эти проблем легко
решаются. Инструмент AGPM предоставляет лучший метод передачи
администрирования объектов политики групп GPO. Инструмент AGPM
не только предоставляет лучшую модель передачи (delegation
model), он позволяет автономно администрировать GPO, вместо
того чтобы изменять промышленные GPO, как это делает GPMC.
Наконец, инструмент AGPM предоставляет возможность
автоматизированного изменения управления (automated change
management). Это позволяет отследить все основные изменения
каждого GPO, а также, кто производил изменение, когда это
изменение было сделано, и какие именно изменения были
произведены в GPO.