Kako instalirati i konfigurirati AGPM na Windows Server 2016

Jedan od temeljnih zadataka koje neprestano obavljamo kada koristimo Windows Server 2012 ili 2016 to je kontrolirati svi objekti domene kao što su korisnika i timova i znamo da je jedan od najpraktičnijih načina za izvršavanje ovog zadatka korištenje grupnih politika jer nam omogućuju centralno upravljanje svim parametrima i vrijednostima tih objekata.

S napretkom operativnih sustava, grupne politike su također izmijenjene i danas imamo vrlo moćan alat tzv AGPM da ćemo danas detaljno analizirati u okruženju Windows Server 2016.

Što je AGPMAGPM (Napredno upravljanje grupnim pravilima - Napredno upravljanje grupnim pravilima) je aplikacija koju je stvorio Microsoft i koja nam daje mogućnost preuzimanja posebne kontrole nad pravilima grupe na našim domenama. Trenutno je dostupna verzija AGPM -a 4.0 i ima sljedeće prednosti:

  • Podržava Windows 10
  • Podržava Windows PowerShell
  • Obrazac za ažuriranje aplikacije siguran i automatski
  • Podržava Windows Server 2012 R2 i Windows Server 2016

1. AGPM povezani uvjeti


Postoje određeni često korišteni pojmovi na AGPM -u, ovi su:

AGPM klijentTo je računalo na koje smo instalirali AGPM i odakle kao administratori to možemo upravljati pravilima grupe.

Dodatak AGPMTo je programski dodatak koji je instaliran u AGPM klijentima radi ispravnog izvođenja upravljanja.

AGPM poslužiteljPoslužitelj je koji pokreće AGPM usluga i upravljati datotekama.

AGPM uslugaTo je softverska komponenta koja radi na poslužitelju AGPM kao usluga.

ArhivaU AGPM -u to je skladište koje sadrži Kontrolirani GPO -i koji upravlja povezanim AGPM poslužiteljem.

Kontrolirani GPOTo je GPO koji je upravljanje AGPM -om.

Nekontrolirani GPOTo je GPO proizvodnog okruženja koje AGPM ne kontrolira.

2. Zahtjevi za instaliranje AGPM -a na Windows Server 2016


Moramo ispuniti niz zahtjeva za instalaciju AGPM -a u Windows Server 2016, a to su:

.NET Framework 4.5.1Možemo preuzmite ga sa sljedeće poveznice:

.Net Framework 4.5

PowerShell 3.0U slučaju da ga nema, može biti Ispražnjen sa sljedeće poveznice:

PowerShell 3.0

GPMC (Konzola za upravljanje pravilima grupe - Konzola za upravljanje pravilima grupe)Prema zadanim postavkama je instaliran, ali u slučaju da ga nema, može biti preuzeti sa sljedeće poveznice:

GPMC

Imajući na umu ove zahtjeve, nastavljamo s instaliranjem AGPM -a na Windows Server 2016.

3. Instalirajte AGPM na Windows Server 2016


Microsoft preporučuje da se AGPM instalira na poslužitelju člana domene, ali ne i na kontroleru domene, no ako nemamo više mogućnosti, moguće ga je tamo instalirati.

Korak 1
AGPM se može preuzeti sa sljedeće veze. Upamtite da AGPM zahtijeva grupe za upravljanje uslugom, pa ćemo Korisnici i računala aktivnog imenika i mi ćemo stvoriti odgovarajuće grupe.

AGPM

Korak 2
Stvorili smo OU tzv AGPM i tu moramo stvoriti račun za pokretanje AGPM usluge, za to smo stvorili sljedeće objekte:

  • AGPM Solvetic korisnik
  • Uključujemo ovog korisnika u grupu Vlasnici kreatora pravila grupe
  • Za zadatke upravljanja AGPM -om stvorene su sljedeće grupe:
  • Administratori AGPM
  • Odobrivači AGPM
  • Urednici AGPM
  • Recenzenti AGPM

Korak 3
Nakon što su definirane grupe i korisnici, nastavljamo s instalacijom AGPM -a izvršavanjem datoteke agpm_403_server_amd64 kao administratori. Prikazat će se odgovarajući čarobnjak za instalaciju.

Korak 4
U određenom trenutku instalacije moramo definirati korisnika usluge s kojim će se izvršiti AGPM usluga, u ovom trenutku možemo stvoriti određenog korisnika za uslugu ili ako smo na kontroleru domene, kao što je slučaj, mi odaberite opciju Lokalni sustav.

Korak 5
U sljedećem prozoru ćemo odabrati račun koji ćete imati ukupna dopuštenja Što se tiče usluge, na ovom mjestu dodajemo grupu administratora AGPM -a koju smo stvorili.

Korak 6
U sljedećem prozoru konfiguriramo port preko kojeg će AGPM primati zahtjeve klijenata, ostavljamo onaj koji jest prema zadanim postavkama to je 4600.

Korak 7
Kasnije definiramo AGPM jezike i vidjet ćemo da instalaciju možemo započeti pritiskom na gumb Instalirati.

Korak 8
Možemo vidjeti da je Proces instalacije AGPM -a te da je nakon nekoliko sekundi instalacija uspješno završena.

4. Instalirajte AGPM klijent na Windows Server 2016


Korak 1
Nakon što je instalacijski proces AGPM poslužitelja završen, moramo instalirati klijenta kako bismo dovršili cijelu AGPM strukturu. Za to ćemo izvršiti datoteku kao administrator agpm_403_client_amd64.

Korak 2
Pritišćemo Sljedeći i slijedimo korake čarobnjaka i u trenutku instalacije možemo vidjeti da moramo definirati poslužitelj koji će djelovati kao AGPM.

Korak 3
Vidimo da proces instalacije AGPM klijenta počinje. Nakon nekoliko sekundi, instalacija je napokon uspješno je dovršen.

5. Opcije konzole AGPM


Kao što možemo vidjeti kada smo instalirali i poslužitelj i AGPM klijent, nije izrađen izravni pristup niti dodana bilo koja aplikacija kao takva, ali vidjet ćemo promjene odražene u upravljanju pravilima grupe.

Korak 1
Za pristup njima možemo koristiti bilo koju od sljedećih opcija:

  • Upotrijebite naredbu Trčanje i unesite naredbu gpmc.msc, pritisni enter.
  • Unesite pojam administracija u okvir za pretraživanje Windows poslužitelja i odaberite odgovarajuću opciju.

Korak 2
Nakon što je administrator otvoren, vidjet ćemo sljedeći prozor.

Korak 3
Prva razlika koju ćemo primijetiti u odnosu na tradicionalna grupna pravila je u vrijeme implementacije naše domene, sada ćemo vidjeti novi spremnik pod nazivom Promjena kontrole.

Korak 4
Klikom na Promjena kontrole možemo vidjeti sljedeće mogućnosti.

Korak 5
Osnovne mogućnosti koje imamo su:

SadržajS ove kartice možemo upravljati kontroliranim ili nekontroliranim GPO -ovima.

Delegiranje domeneS ovog mjesta definiramo dopuštenja koja treba dati svakom korisniku ili grupi korisnika u domeni. Na isti način možemo dodajte račun e -pošte tako da ćemo u nekom trenutku kada neovlašteni korisnik pokuša pristupiti poslužitelju AGPM biti obaviješteni o ovom pokušaju.

AGPM poslužiteljKroz ovu karticu možemo pregledavati i uređivati ​​IP adresu s AGPM poslužitelja.

Delegacija proizvodnjeNa ovoj kartici možemo vidjeti koji korisnici i grupe imaju dopuštenja za pristup AGPM proizvodnom okruženju.

6. Osnovni zadaci u AGPM -u

Preuzimanje kontrole nad GPO -ovimaJedan od osnovnih zadataka koje imamo pri korištenju AGPM -a je sposobnost posjedovanja kontrolirati od tih GPO -ovi koji su trenutno nekontrolirani, zapamtite da je nekontrolirani GPO onaj koji se nalazi u proizvodnom okruženju, ali kojim ne upravlja AGPM.
Na kartici možemo vidjeti GPO -e bez kontrole Sadržaj / Bez kontrole

Da bismo preuzeli kontrolu nad tim GPO -ovima, odabrat ćemo GPO -e koje želimo imati kontrolu, desnom tipkom miša kliknuti na njih i odabrati opciju Kontrolirati.

Nakon što odaberemo opciju Kontrolirati možemo vidjeti sljedeću poruku.

Pritišćemo Prihvatiti i vidjet ćemo da ti GPO -i idu na karticu Provjereno.

Izradite novi kontrolirani GPOZa stvaranje GPO -a kontroliranog od nule moramo kliknuti desnom tipkom miša Promjena kontrole i odaberite opciju Novi GPO kontroliran.

Vidjet ćemo sljedećeg čarobnjaka gdje ćemo dodijeliti ime kontroliranom GPO -u.

Pritišćemo Prihvatiti i vidjet ćemo kako je naš GPO ispravno kreiran te možemo vizualizirati različite opcije kada dvaput kliknemo na GPO.

POVEĆAJTE

Dodajte korisnike za kontrolu GPO -ovaJedan zadatak koji može biti potreban je dodati novog korisnika ili grupu izravno iz AGPM -a, a za to ćemo učiniti sljedeće:

S prozora Sadržaj odabiremo opciju Dodati koji se nalazi pri dnu i prikazat će se sljedeći prozor u kojem moramo locirati korisnika ili grupu za dodavanje.

Pritišćemo Prihvatiti i prikazat će se sljedeći prozor u kojem moramo definirati vrsta uloge koje će korisnik ili grupa ispuniti. Nakon što je uloga definirana, kliknite Prihvatiti.

Vidimo da je korisnik uspješno dodan.

Uredite kontrolirani GPOOvo je možda jedan od najzanimljivijih aspekata AGPM -a sigurnost prilikom uređivanja kontroliranog GPO -a. Za uređivanje kontroliranog GPO -a moramo dati desni klik na GPO i odaberite Uredi ali vidjet ćemo sljedeću opciju Uredi zadano je onemogućeno.

Da bismo omogućili izdanje kontroliranog GPO -a, moramo kliknuti gumb Provjeri i prikazat će se sljedeći prozor u kojem moramo objasniti zašto je GPO nezaštićen.

Pritišćemo Prihvatiti i proces odjave će započeti.

Ako ponovno desnom tipkom miša kliknemo GPO, možemo vidjeti da je njegovo izdanje omogućeno. (Nezaštićeni status).

Ako kliknemo na Uredi Moći ćemo izvršiti potrebne prilagodbe GPO -a. Nakon što su promjene dovršene, možemo pritisnuti gumb Zaštiti kako bismo izbjegli njegovo uređivanje.

Kao što vidimo s AGPM -om, pri ruci imamo snažan alat za centralizirano upravljanje svim GPO -ovima organizacije i imaju specifičniju kontrolu nad njihovim pristupima i dopuštenjima. Da biste saznali više o AGPM -u, posjetite sljedeću vezu.

AGPM dokumentacija

wave wave wave wave wave