Совсем недавно корпорация
Майкрософт приобрела DesktopStandard, компанию, создавшую продукт,
который делает возможным полное управление объектами групповой
политики. По моему мнению, каждому предприятию, использующему Active
Directory, следует применять данное средство расширенного управления
групповыми политиками (Advanced Group Policy Management – AGPM).
AGPM обеспечивает автономное
внесение изменений в объекты групповой политики (GPO), управление
изменениями, рабочий процесс обновления политик, делегирование и
многое другое. В данной статье я углублюсь во внутренние механизмы
работы этого отличного, исключительно полезного средства и
предоставлю его подробное рассмотрение.
Для начала немного истории. AGPM первоначально
было известно как GPOVault. После приобретения DesktopStandard
Майкрософт переименовала этот продукт в AGPM и добавила его к пакету
оптимизации рабочей среды Microsoft®
Desktop Optimization Pack (MDOP). На данный момент MDOP можно
получить при условии охвата лицензий на настольные системы Windows
Vista® программой Microsoft Software
Assurance.
Основываясь на собственном опыте работы с
входящими в него средствами, я считаю MDOP одним из наиболее
впечатляющих предложений Майкрософт за последнее время. В MDOP
входят пять различных средств, каждое из которых интересно само по
себе, вместе же они составляют примечательнейший и полезнейший
наборов. Дополнительные сведения о MDOP можно найти на веб-узле
MDOP: windowsvista.com/optimizeddesktop.
Установка и архитектура средства
AGPM
Для AGPM был создан гладкий и быстрый процесс
установки – он состоит из серверного компонента и клиентского
(административного) компонента. Серверный компонент устанавливается
на сервере, являющемся членом домена, и не изменяет Active
Directory®, схему или любую другую службу
каталога. AGPM можно установить на контроллере домена, если этого
требует ситуация.
При установке сервера устанавливается служба,
требующая учетную записи доменной службы, от которой AGPM получает
доступ от имени пользователя к динамическим рабочим объектам
групповой политики . Установка также требует наличия администратора
AGPM, который будет контролировать все параметры внутри AGPM, такие
как делегирование и управление первоначальными GPO.
Клиент должен быть установлен на компьютере,
использующем Windows Vista, где уже выполняются нормальные
административные функции, вероятнее всего на компьютере
администраторов сети и Active Directory. После этого клиенту
необходимо указать параметры AGPM серверу AGPM, чтобы установить
подключение к архиву. Клиент AGPM использует интерфейс консоли
управления групповыми политиками (Group Policy Management Console –
GPMC) и отображается в виде узла Change Control (Контроль
изменений), как показано на рис. 1.
Рис.
1 AGPM полностью интегрирован в
GPMC для простоты использования
Файлы, к которым будет получать доступ клиент
AGPM, хранятся в базовом формате файлов на сервере AGPM. Это
простейший метод хранения данных файлов, обеспечивающий простоту
резервного копирования всего архива AGPM. Большинство функций AGPM
используют встроенный интерфейс API GPMC, что, опять же,
обеспечивает бесшовную интеграцию и использование продукта. AGPM не
использует базу данных, а хранит объекты GPO в единой папке, причем
манифест контролирует соотнесение всех GPO с родительским GPO внутри
архива. Это обеспечивает наличие у каждого GPO уникального
идентификатора GUID и связь верного GUID с развертываемым GPO при
помещении последнего в рабочую среду.
Автономное внесение изменений в файлы
AGPM
Самой простой возможностью AGPM является
возможность вносить изменения в объекты GPO автономно, вне рабочей
среды. Хорошо известно, что внесение изменений в объекты GPO с
использованием GPMC по умолчанию может привести к немедленному
помещению ошибочных параметров в рабочую среду с потенциально
катастрофическими результатами.
APGM проделывает автономное внесение изменений в
объекты GPO, «контролируя» их. Контролируемый объект GPO, как
показано на рис. 2 – это объект GPO, в
который можно внести изменения автономно, безо всякого вмешательства
в рабочую среду.
Рис.
2 Контролируемые GPO хранятся в
архиве AGPM, и в них можно внести изменения автономно
Установить контроль над GPO очень просто.
Неконтролируемые объекты GPO, как показано на рис. 3, составляют список всех объектов GPO,
которые пока не связаны с AGPM. Щелкнув правой кнопкой мыши любой из
этих объектов GPO, можно вывести меню, включающее в себя пункт
«Контроль» (Control). При выборе этого пункта объект GPO копируется
из рабочего местоположения (системного тома, или SYSVOL, общей папки
на контроллере домена) и помещается в архив AGPM. Возможен контроль
и над несколькими объектами GPO, просто удерживайте клавишу Shift
или Control при выборе объектов GPO для получения правильного списка
объектов GPO, которые нужно контролировать, и затем щелкните правой
кнопкой мыши для доступа к пункту «Контроль» в меню. В
контролируемые объекты GPO по-прежнему можно вносить изменения,
используя редактор объектов групповых политик (Group Policy Object
Editor – GPOE). Это лишь еще один способ полной интеграции AGPM в
GPMC.
Figure
3 Uncontrolled GPOs are placed in
the archive by selecting the Control menu option
Делегирование административных
прав в AGPM
Давайте взглянем, как AGPM справляется с
делегированием, для начала изучив, как можно делегировать
административные права для объектов GPO, используя GPMC. Внутри GPMC
имеются пять различных задач делегирования, которые можно
предоставить пользователю: Создание объекта GPO, связывание объекта
GPO, внесение изменений в объект GPO, управление GPO и чтение
GPO.
Все эти делегирования выполняются внутри
интерфейса GPMC. Все они управляются пользователями и группами,
перечисленными на вкладках делегирования, связанных с различными
узлами внутри GPMC. Нас интересуют делегирования, позволяющие
создание новых объектов GPO, а также внесение изменений в
существующие GPO и управление ими.
Создание объектов GPO внутри GPMC управляется
вкладкой делегирования, связанной с узлом объектов групповой
политики, как показано на рис. 4. После
установки AGPM появляется возможность удалить всех пользователей и
все группы из списка имеющих доступ к созданию объектов GPO. (Для
создания объектов GPO нет нужды удалять систему, компьютеры или
группы компьютеров из вкладки делегирования.) Создание объектов GPO
теперь будет осуществляться учетной записью службы, контролирующей
службу AGPM. Этой учетной записи будет делегировано право создания
объектов GPO от имени всех пользователей и групп, имеющих права на
создание объектов GPO и развертывание делегирований из AGPM.
Рис.
4 Создание GPO контролируется
списком учетных записей на вкладке делегирования на узле объектов
групповой политики GPMC
Эта новая способность создавать объекты GPO
позволяет выполнить разделение обязанностей и защищает рабочую сеть.
В идеале объекты GPO создаются, настраиваются и проверяются перед
развертыванием из среды AGPM в рабочую среду. Выпуск ошибочных
конфигураций, подобный происходящему без AGPM, должен быть
редок.
Аналогично выполняется и делегирование,
относящееся к правке объектов GPO или управлению ими. Внутри GPMC
эти делегирования настраиваются на вкладке делегирований, связанной
с каждым объектом GPO, как показано на рис.
5.
Рис.
5 Изменение и управление GPO
связано с каждым объектом GPO по отдельности
После установки AGPM эти делегирования следует
удалить из каждого объекта GPO, указанного в списке узла объектов
групповой политики. Это ограничит внесение изменений в объекты GPO
извне AGPM для всех администраторов. По сути, это передает все
администрирование объектов GPO средству AGPM, в котором возможно
выполнение таких задач, как автономное внесение изменений,
управление изменениями и аварийное восстановление.
Исключение пользователей и групп из числа
допущенных до внесения изменений в объекты GPO извне AGPM – процесс,
выполняемый вручную. Установка и настройка AGPM сама по себе не
мешает пользователям и группам вносить изменения в объекты GPO в
рабочей среде. Поскольку учетная запись службы, контролирующая
службу AGPM, будет выполнять действия от имени пользователей,
изменяющих рабочие объекты GPO из AGPM, вкладка делегирования для
каждого объекта GPO может и не содержать каких-либо пользователей и
их групп. (Удалять из вкладок делегирования компьютеры и группы
компьютеров не следует.)
После удаления всех делегированных полномочий на
внесение изменений в объекты GPO внутри GPMC все администраторы
лишатся способности вносить изменения в объекты GPO из GPMC, как
показано на рис. 6.
Рис.
6 После удаления всех
делегированных полномочий на внесение изменений в объекты GPO внутри
GPMC все администраторы лишатся способности вносить изменения в
объекты GPO
Чтобы завершить настройку, всех администраторов,
которым нужна возможность вносить изменения в объекты GPO, следует
добавить в соответствующие списки управления доступом (ACL) внутри
AGPM. Если администратор нуждается в возможности вносить изменения
во все объекты GPO, имеющиеся в архиве, его учетную запись
пользователя следует добавить к группе, которой были даны
возможности внесения изменений на уровне домена внутри AGPM, как
показано на рис. 7. Если администратору
следует позволить вносить изменения лишь в часть объектов GPO внутри
архива AGPM, эту возможность придется настраивать отдельно для
каждого из нужных объектов GPO (см. рис.
8).
Рис.
7 Вкладка делегирования внутри
домена позволяет изменять все GPOв архиве
Figure
8 Editing of individual GPOs needs
to be configured on the ACL of that GPO
Управление изменениями объектов GPO посредством
AGPM
Одним из величайших достоинств AGPM является
способность отследить все изменения, внесенные в объекты GPO внутри
архива. Это автоматизированный процесс, не нуждающийся в установке,
настройке или управлении. Отслеживание всех изменении осуществляется
в фоновом режиме, при работе с объектами GPO через клиентский
интерфейс AGPM.
Это является значительным улучшением по сравнению
тем, как GPMC по умолчанию обрабатывает управление объектами GPO.
Внутри GPMC по умолчанию нет автоматических или даже просто
встроенных возможностей для отслеживания изменений объектов GPO. Это
вызывало серьезные претензии со стороны большинства администраторов
групповых политик, теперь же проблема устранена.
Возможность управления изменениями в AGPM
отслеживает все существенные изменения, которые могут произойти с
объектом GPO. Помимо изменений, внесенных в объект GPO, система
управления изменениями также помогает при аудите и вообще при
отслеживании действий администраторов. Система управления
изменениями пронаблюдает, отследит и задокументирует следующие
сведения о каждой правке и изменении объекта GPO: дату и время
изменения объекта GPO, пользователя, внесшего изменения, изначальные
параметры объекта GPO и изменения параметров объекта GPO.
Поскольку отслеживание всех изменений выполняется
гладко, важно знать, какие действия активируют автоматическое
отслеживание. Внутри клиентского интерфейса AGPM можно щелкнуть
правой кнопкой мыши объект GPO под вкладкой Controlled
(Контролируемые) и выбрать в меню пункт Check-out (Взять для
изменения), как показано на рис. 9.
Рис.
9 Проверка GPO помогает узнать,
какие действия активируют автоматическое отслеживание
Этой же процедуре необходимо следовать для
внесения изменений в объект GPO, о чем я расскажу в следующем
разделе. Даже если объект GPO взят для изменения и тут же возвращен
обратно безо всяких изменений, это действие оставит запись в архиве.
Поскольку объекты GPO крайне важны для предприятия, средство
отслеживает даже возможность внесения изменений.
Процедура взятия для изменения выполняется
принудительно внутри AGPM из-за необходимости механизма,
отслеживающего, кто из администраторов внес изменения в объект GPO.
Два администратора не могут взять для изменения один и тот же объект
GPO одновременно. На случай, если администратор возьмет объект GPO
для изменения и затем не возвратит его после внесения изменений,
имеется встроенный механизм, позволяющий администратору AGPM
возвратить объект.
Внесение изменений в объект GPO посредством
AGPM
Пока клиент AGPM установлен, сохраняется доступ к
архиву AGPM. У тех, кому внутри средства AGPM делегированы
полномочия на внесение изменений или полный доступ, появляется
возможность вносить изменения в сохраненные объекты GPO. После
взятия объекта GPO для изменения в него можно вносить изменения,
щелкнув правой кнопкой мыши и выбрав в меню пункт «Правка».
(Примечание: если получается вносить изменения лишь в часть объектов
GPO, находящихся в архиве AGPM, то вам, вероятно, были предоставлены
делегированные возможности лишь для этих объектов GPO, а не для всех
объектов GPO в архиве.)
С приобретением DesktopStandard корпорация
Майкрософт также приобрела программу PolicyMaker, теперь именуемую
средством установки предпочтений групповых политик (Group Policy
Preferences). Этот набор возможностей групповых политик включен в
GPMC, который будет поставляться в составе Windows Server® 2008. Предпочтения групповых политик
позволяют администратору настраивать приложения и компоненты
Windows, которые обычно не могут быть настроены с помощью групповой
политики, а также применять их к группам пользователей или
компьютеров на основании разнообразнейших правил выбора целевых
объектов. Средство установки предпочтений групповых политик
полностью интегрировано в GPMC и AGPM, входящие в Windows Server
2008.
Развертывание
объектов GPO посредством AGPM
Средство AGPM было разработано для повышения
эффективности и ускорения рабочего процесса. Поскольку при
использовании AGPM управление объектами GPO теперь более стабильно и
контролируемо, имеет смысл давать некоторым администраторам лишь
возможность вносить изменения в объект GPO, но не возможность
развертывать его в рабочей среде. Внутри AGPM это контролируется
очень гладко с помощью интерфейса, диалоговых окон и рабочих
механизмов. Например, если администратор, имеющий только права на
внесение изменений, попытается развернуть объект GPO, система
заблокирует это. После этого администратору будет показано
диалоговое окно для связи с администратором, у которого есть право
на развертывание. Эта функция рабочего процесса отправит сообщение
электронной почты получателям из разделов «Кому:» и «Копия:» , в то
же время помещая объект GPO в уникальное состояние. Это уникальное
состояние можно найти на вкладке ожидающих в интерфейсе AGPM. Объект
GPO помечен здесь как «ожидающий развертывания», что дает
администраторам быстрый обзор состояния каждого объекта GPO, в
отношении которого выполнялись действия.
Для развертывания ожидающего объекта GPO
администратор AGPM, имеющий на это право, может просто щелкнуть
правой кнопкой мыши объект GPO и выбрать пункт Approve (Одобрить) в
меню. Если объект GPO нуждается в развертывании и указан во вкладке
контролируемых, а не ожидающих объектов, тому же администратору
достаточно щелкнуть его правой кнопкой мыши и выбрать Deploy
(Развернуть). Поскольку нужные разрешения уже даны, объект GPO
немедленно будет развернут в рабочей среде.
Отчет о параметрах объекта GPO и
сравнение объектов GPO посредством AGPM
Интерфейс GPMC располагает обладающим широкими
возможностями диалогом Settings (Параметры), доступ к которому
возможен через одноименную вкладку. Этот диалог предоставляет
исчерпывающий обзор всех параметров, которые можно установить в
объекте GPO, помогая понять, какие из почти 3000 параметров
групповой политики уже настроены.
Поскольку AGPM предоставляет архив измененных
объектов GPO, вкладка Settings (Параметры) в GPMC не даст
возможности просматривать параметры, выставленные в измененных
объектах GPO. Вместо этого интерфейс AGPM предоставляет
альтернативное решение для этой функции, а также многое другое.
Для просмотра параметров в любом объекте GPO в
первую очередь полезно просмотреть журнал изменений. Для этого
дважды щелкните любой объект GPO на вкладке Controlled
(Контролируемые) в AGPM. В этом интерфейс можно щелкнуть правой
кнопкой мыши любую версию объекта GPO и выбрать отчет о параметрах
(Settings Report). Будет создан отчет о всех параметрах, настроенных
в данной версии объекта GPO. Отчет представляет из себя удобный файл
HTML, но может быть создан и в формате XML.
Это весьма полезно, но еще более удобной является
возможность сравнить две версии одного объекта GPO. С помощью этой
возможности можно увидеть, что изменилось между версиями, или
сравнить два совершенно разных варианта одного объекта GPO. (Это
также очень полезно при наличии объекта GPO, ожидающего
развертывания, поскольку позволяет увидеть различия между ожидающим
объектом GPO и объектом GPO в рабочей среде.) Чтобы увидеть этот
отчет, выделите два разных объекта GPO в журнале изменений, затем
щелкните один из этих объектов правой кнопкой мыши.
Цветная маркировка в отчете о различиях
исключительно полезна, особенно когда необходимо проверить, что
изменилось в ожидающем объекте GPO, прежде чем его развертывать.
Параметры, выделенные красным, были удалены из рабочего объекта GPO
и более недоступны в ожидающем объекте GPO. Параметры, выделенные
синим, были изменены, а зеленым выделяются новые элементы,
существующие в ожидающем объекте GPO, но не в рабочем.
Эта возможность AGPM может сэкономить много часов
трудоемкого ручного сравнения параметров объектов GPO. Она также
является идеальным способом документирования изменений объектов GPO,
позволяя составить и распечатать отчет по каждой из
версий.
Аварийное
восстановление объектов GPO посредством AGPM
Единственное изменение в объекте GPO может
посеять хаос на одном или нескольких компьютерах сети. При
использовании GPMC по умолчанию подобную ошибочную настройку можно
исправить – если были вручную приняты нужные меры по созданию
резервных копий объекта GPO как до, так и после внесения изменений в
рабочий объект GPO. Если резервные копии не были созданы, аварийное
восстановление будет не таким простым, как можно подумать.
А AGPM справляется с ним без труда. В силу
наличия полных резервных копий всех объектов GPO в журнале GPO,
можно просто открыть этот журнал и выбрать версию объекта GPO,
которую следует развернуть заново.
Использование AGPM делает управление групповыми
политиками почти идеально гладким. Администраторы годами желали
иметь возможность контролировать объекты GPO и управлять ими в
автономном режиме. AGPM предоставляет элегантное решение для этого.
AGPM также предоставляет очень устойчивое решение по управлению
изменениями, которое не только отслеживает ключевые области
измененного объекта GPO, но также обеспечивает простоту при
сравнении и аварийном восстановлении объектов GPO. Модель
делегирования полномочий, встроенная в AGPM, позволяет направлять
всех администраторов в AGPM для внесения изменений в объекты GPO,
что обеспечивает автоматические резервные копии изменений в объектах
GPO и устраняет любые поломки в рабочих объектах GPO. Эта служба
имеет столько возможностей, что рассказать здесь о всех просто
невозможно, но руководство по AGMP предоставляет массу информации о
шаблонах, восстановлении связей узлов, настройке SMTP и многом
другом.