Совсем недавно корпорация Майкрософт приобрела DesktopStandard, компанию, создавшую продукт, который делает возможным полное управление объектами групповой политики. По моему мнению, каждому предприятию, использующему Active Directory, следует применять данное средство расширенного управления групповыми политиками (Advanced Group Policy Management – AGPM).
AGPM обеспечивает автономное внесение изменений в объекты групповой политики (GPO), управление изменениями, рабочий процесс обновления политик, делегирование и многое другое. В данной статье я углублюсь во внутренние механизмы работы этого отличного, исключительно полезного средства и предоставлю его подробное рассмотрение.
Для начала немного истории. AGPM первоначально было известно как GPOVault. После приобретения DesktopStandard Майкрософт переименовала этот продукт в AGPM и добавила его к пакету оптимизации рабочей среды Microsoft® Desktop Optimization Pack (MDOP). На данный момент MDOP можно получить при условии охвата лицензий на настольные системы Windows Vista® программой Microsoft Software Assurance.
Основываясь на собственном опыте работы с входящими в него средствами, я считаю MDOP одним из наиболее впечатляющих предложений Майкрософт за последнее время. В MDOP входят пять различных средств, каждое из которых интересно само по себе, вместе же они составляют примечательнейший и полезнейший наборов. Дополнительные сведения о MDOP можно найти на веб-узле MDOP: windowsvista.com/optimizeddesktop.
Установка и архитектура средства AGPM
Для AGPM был создан гладкий и быстрый процесс установки – он состоит из серверного компонента и клиентского (административного) компонента. Серверный компонент устанавливается на сервере, являющемся членом домена, и не изменяет Active Directory®, схему или любую другую службу каталога. AGPM можно установить на контроллере домена, если этого требует ситуация.
При установке сервера устанавливается служба, требующая учетную записи доменной службы, от которой AGPM получает доступ от имени пользователя к динамическим рабочим объектам групповой политики . Установка также требует наличия администратора AGPM, который будет контролировать все параметры внутри AGPM, такие как делегирование и управление первоначальными GPO.
Клиент должен быть установлен на компьютере, использующем Windows Vista, где уже выполняются нормальные административные функции, вероятнее всего на компьютере администраторов сети и Active Directory. После этого клиенту необходимо указать параметры AGPM серверу AGPM, чтобы установить подключение к архиву. Клиент AGPM использует интерфейс консоли управления групповыми политиками (Group Policy Management Console – GPMC) и отображается в виде узла Change Control (Контроль изменений), как показано на рис. 1.
Рис. 1 AGPM полностью интегрирован в GPMC для простоты использования (Щелкните изображение, чтобы увеличить его)
Файлы, к которым будет получать доступ клиент AGPM, хранятся в базовом формате файлов на сервере AGPM. Это простейший метод хранения данных файлов, обеспечивающий простоту резервного копирования всего архива AGPM. Большинство функций AGPM используют встроенный интерфейс API GPMC, что, опять же, обеспечивает бесшовную интеграцию и использование продукта. AGPM не использует базу данных, а хранит объекты GPO в единой папке, причем манифест контролирует соотнесение всех GPO с родительским GPO внутри архива. Это обеспечивает наличие у каждого GPO уникального идентификатора GUID и связь верного GUID с развертываемым GPO при помещении последнего в рабочую среду.
Автономное внесение изменений в файлы AGPM
Самой простой возможностью AGPM является возможность вносить изменения в объекты GPO автономно, вне рабочей среды. Хорошо известно, что внесение изменений в объекты GPO с использованием GPMC по умолчанию может привести к немедленному помещению ошибочных параметров в рабочую среду с потенциально катастрофическими результатами.
APGM проделывает автономное внесение изменений в объекты GPO, «контролируя» их. Контролируемый объект GPO, как показано на рис. 2 – это объект GPO, в который можно внести изменения автономно, безо всякого вмешательства в рабочую среду.
Рис. 2 Контролируемые GPO хранятся в архиве AGPM, и в них можно внести изменения автономно (Щелкните изображение, чтобы увеличить его)
Установить контроль над GPO очень просто. Неконтролируемые объекты GPO, как показано на рис. 3, составляют список всех объектов GPO, которые пока не связаны с AGPM. Щелкнув правой кнопкой мыши любой из этих объектов GPO, можно вывести меню, включающее в себя пункт «Контроль» (Control). При выборе этого пункта объект GPO копируется из рабочего местоположения (системного тома, или SYSVOL, общей папки на контроллере домена) и помещается в архив AGPM. Возможен контроль и над несколькими объектами GPO, просто удерживайте клавишу Shift или Control при выборе объектов GPO для получения правильного списка объектов GPO, которые нужно контролировать, и затем щелкните правой кнопкой мыши для доступа к пункту «Контроль» в меню. В контролируемые объекты GPO по-прежнему можно вносить изменения, используя редактор объектов групповых политик (Group Policy Object Editor – GPOE). Это лишь еще один способ полной интеграции AGPM в GPMC.
Рис. 3 Uncontrolled GPOs are placed in the archive by selecting the Control menu option (Щелкните изображение, чтобы увеличить его)
Делегирование административных прав в AGPM
Давайте взглянем, как AGPM справляется с делегированием, для начала изучив, как можно делегировать административные права для объектов GPO, используя GPMC. Внутри GPMC имеются пять различных задач делегирования, которые можно предоставить пользователю: Создание объекта GPO, связывание объекта GPO, внесение изменений в объект GPO, управление GPO и чтение GPO.
Все эти делегирования выполняются внутри интерфейса GPMC. Все они управляются пользователями и группами, перечисленными на вкладках делегирования, связанных с различными узлами внутри GPMC. Нас интересуют делегирования, позволяющие создание новых объектов GPO, а также внесение изменений в существующие GPO и управление ими.
Создание объектов GPO внутри GPMC управляется вкладкой делегирования, связанной с узлом объектов групповой политики, как показано на рис. 4. После установки AGPM появляется возможность удалить всех пользователей и все группы из списка имеющих доступ к созданию объектов GPO. (Для создания объектов GPO нет нужды удалять систему, компьютеры или группы компьютеров из вкладки делегирования.) Создание объектов GPO теперь будет осуществляться учетной записью службы, контролирующей службу AGPM. Этой учетной записи будет делегировано право создания объектов GPO от имени всех пользователей и групп, имеющих права на создание объектов GPO и развертывание делегирований из AGPM.
Рис. 4 Создание GPO контролируется списком учетных записей на вкладке делегирования на узле объектов групповой политики GPMC (Щелкните изображение, чтобы увеличить его)
Эта новая способность создавать объекты GPO позволяет выполнить разделение обязанностей и защищает рабочую сеть. В идеале объекты GPO создаются, настраиваются и проверяются перед развертыванием из среды AGPM в рабочую среду. Выпуск ошибочных конфигураций, подобный происходящему без AGPM, должен быть редок.
Аналогично выполняется и делегирование, относящееся к правке объектов GPO или управлению ими. Внутри GPMC эти делегирования настраиваются на вкладке делегирований, связанной с каждым объектом GPO, как показано на рис. 5.
Рис. 5 Изменение и управление GPO связано с каждым объектом GPO по отдельности (Щелкните изображение, чтобы увеличить его)
После установки AGPM эти делегирования следует удалить из каждого объекта GPO, указанного в списке узла объектов групповой политики. Это ограничит внесение изменений в объекты GPO извне AGPM для всех администраторов. По сути, это передает все администрирование объектов GPO средству AGPM, в котором возможно выполнение таких задач, как автономное внесение изменений, управление изменениями и аварийное восстановление.
Исключение пользователей и групп из числа допущенных до внесения изменений в объекты GPO извне AGPM – процесс, выполняемый вручную. Установка и настройка AGPM сама по себе не мешает пользователям и группам вносить изменения в объекты GPO в рабочей среде. Поскольку учетная запись службы, контролирующая службу AGPM, будет выполнять действия от имени пользователей, изменяющих рабочие объекты GPO из AGPM, вкладка делегирования для каждого объекта GPO может и не содержать каких-либо пользователей и их групп. (Удалять из вкладок делегирования компьютеры и группы компьютеров не следует.)
После удаления всех делегированных полномочий на внесение изменений в объекты GPO внутри GPMC все администраторы лишатся способности вносить изменения в объекты GPO из GPMC, как показано на рис. 6.
Рис. 6 После удаления всех делегированных полномочий на внесение изменений в объекты GPO внутри GPMC все администраторы лишатся способности вносить изменения в объекты GPO (Щелкните изображение, чтобы увеличить его)
Чтобы завершить настройку, всех администраторов, которым нужна возможность вносить изменения в объекты GPO, следует добавить в соответствующие списки управления доступом (ACL) внутри AGPM. Если администратор нуждается в возможности вносить изменения во все объекты GPO, имеющиеся в архиве, его учетную запись пользователя следует добавить к группе, которой были даны возможности внесения изменений на уровне домена внутри AGPM, как показано на рис. 7. Если администратору следует позволить вносить изменения лишь в часть объектов GPO внутри архива AGPM, эту возможность придется настраивать отдельно для каждого из нужных объектов GPO (см. рис. 8).
Рис. 7 Вкладка делегирования внутри домена позволяет изменять все GPOв архиве (Щелкните изображение, чтобы увеличить его)
Рис. 8 Editing of individual GPOs needs to be configured on the ACL of that GPO (Щелкните изображение, чтобы увеличить его)
Управление изменениями объектов GPO посредством AGPM
Одним из величайших достоинств AGPM является способность отследить все изменения, внесенные в объекты GPO внутри архива. Это автоматизированный процесс, не нуждающийся в установке, настройке или управлении. Отслеживание всех изменении осуществляется в фоновом режиме, при работе с объектами GPO через клиентский интерфейс AGPM.
Это является значительным улучшением по сравнению тем, как GPMC по умолчанию обрабатывает управление объектами GPO. Внутри GPMC по умолчанию нет автоматических или даже просто встроенных возможностей для отслеживания изменений объектов GPO. Это вызывало серьезные претензии со стороны большинства администраторов групповых политик, теперь же проблема устранена.
Возможность управления изменениями в AGPM отслеживает все существенные изменения, которые могут произойти с объектом GPO. Помимо изменений, внесенных в объект GPO, система управления изменениями также помогает при аудите и вообще при отслеживании действий администраторов. Система управления изменениями пронаблюдает, отследит и задокументирует следующие сведения о каждой правке и изменении объекта GPO: дату и время изменения объекта GPO, пользователя, внесшего изменения, изначальные параметры объекта GPO и изменения параметров объекта GPO.
Поскольку отслеживание всех изменений выполняется гладко, важно знать, какие действия активируют автоматическое отслеживание. Внутри клиентского интерфейса AGPM можно щелкнуть правой кнопкой мыши объект GPO под вкладкой Controlled (Контролируемые) и выбрать в меню пункт Check-out (Взять для изменения), как показано на рис. 9.
Рис. 9 Проверка GPO помогает узнать, какие действия активируют автоматическое отслеживание (Щелкните изображение, чтобы увеличить его)
Этой же процедуре необходимо следовать для внесения изменений в объект GPO, о чем я расскажу в следующем разделе. Даже если объект GPO взят для изменения и тут же возвращен обратно безо всяких изменений, это действие оставит запись в архиве. Поскольку объекты GPO крайне важны для предприятия, средство отслеживает даже возможность внесения изменений.
Процедура взятия для изменения выполняется принудительно внутри AGPM из-за необходимости механизма, отслеживающего, кто из администраторов внес изменения в объект GPO. Два администратора не могут взять для изменения один и тот же объект GPO одновременно. На случай, если администратор возьмет объект GPO для изменения и затем не возвратит его после внесения изменений, имеется встроенный механизм, позволяющий администратору AGPM возвратить объект.
Внесение изменений в объект GPO посредством AGPM
Пока клиент AGPM установлен, сохраняется доступ к архиву AGPM. У тех, кому внутри средства AGPM делегированы полномочия на внесение изменений или полный доступ, появляется возможность вносить изменения в сохраненные объекты GPO. После взятия объекта GPO для изменения в него можно вносить изменения, щелкнув правой кнопкой мыши и выбрав в меню пункт «Правка». (Примечание: если получается вносить изменения лишь в часть объектов GPO, находящихся в архиве AGPM, то вам, вероятно, были предоставлены делегированные возможности лишь для этих объектов GPO, а не для всех объектов GPO в архиве.)
С приобретением DesktopStandard корпорация Майкрософт также приобрела программу PolicyMaker, теперь именуемую средством установки предпочтений групповых политик (Group Policy Preferences). Этот набор возможностей групповых политик включен в GPMC, который будет поставляться в составе Windows Server® 2008. Предпочтения групповых политик позволяют администратору настраивать приложения и компоненты Windows, которые обычно не могут быть настроены с помощью групповой политики, а также применять их к группам пользователей или компьютеров на основании разнообразнейших правил выбора целевых объектов. Средство установки предпочтений групповых политик полностью интегрировано в GPMC и AGPM, входящие в Windows Server 2008.
Развертывание объектов GPO посредством AGPM
Средство AGPM было разработано для повышения эффективности и ускорения рабочего процесса. Поскольку при использовании AGPM управление объектами GPO теперь более стабильно и контролируемо, имеет смысл давать некоторым администраторам лишь возможность вносить изменения в объект GPO, но не возможность развертывать его в рабочей среде. Внутри AGPM это контролируется очень гладко с помощью интерфейса, диалоговых окон и рабочих механизмов. Например, если администратор, имеющий только права на внесение изменений, попытается развернуть объект GPO, система заблокирует это. После этого администратору будет показано диалоговое окно для связи с администратором, у которого есть право на развертывание. Эта функция рабочего процесса отправит сообщение электронной почты получателям из разделов «Кому:» и «Копия:» , в то же время помещая объект GPO в уникальное состояние. Это уникальное состояние можно найти на вкладке ожидающих в интерфейсе AGPM. Объект GPO помечен здесь как «ожидающий развертывания», что дает администраторам быстрый обзор состояния каждого объекта GPO, в отношении которого выполнялись действия.
Для развертывания ожидающего объекта GPO администратор AGPM, имеющий на это право, может просто щелкнуть правой кнопкой мыши объект GPO и выбрать пункт Approve (Одобрить) в меню. Если объект GPO нуждается в развертывании и указан во вкладке контролируемых, а не ожидающих объектов, тому же администратору достаточно щелкнуть его правой кнопкой мыши и выбрать Deploy (Развернуть). Поскольку нужные разрешения уже даны, объект GPO немедленно будет развернут в рабочей среде.
Отчет о параметрах объекта GPO и сравнение объектов GPO посредством AGPM
Интерфейс GPMC располагает обладающим широкими возможностями диалогом Settings (Параметры), доступ к которому возможен через одноименную вкладку. Этот диалог предоставляет исчерпывающий обзор всех параметров, которые можно установить в объекте GPO, помогая понять, какие из почти 3000 параметров групповой политики уже настроены.
Поскольку AGPM предоставляет архив измененных объектов GPO, вкладка Settings (Параметры) в GPMC не даст возможности просматривать параметры, выставленные в измененных объектах GPO. Вместо этого интерфейс AGPM предоставляет альтернативное решение для этой функции, а также многое другое.
Для просмотра параметров в любом объекте GPO в первую очередь полезно просмотреть журнал изменений. Для этого дважды щелкните любой объект GPO на вкладке Controlled (Контролируемые) в AGPM. В этом интерфейс можно щелкнуть правой кнопкой мыши любую версию объекта GPO и выбрать отчет о параметрах (Settings Report). Будет создан отчет о всех параметрах, настроенных в данной версии объекта GPO. Отчет представляет из себя удобный файл HTML, но может быть создан и в формате XML.
Это весьма полезно, но еще более удобной является возможность сравнить две версии одного объекта GPO. С помощью этой возможности можно увидеть, что изменилось между версиями, или сравнить два совершенно разных варианта одного объекта GPO. (Это также очень полезно при наличии объекта GPO, ожидающего развертывания, поскольку позволяет увидеть различия между ожидающим объектом GPO и объектом GPO в рабочей среде.) Чтобы увидеть этот отчет, выделите два разных объекта GPO в журнале изменений, затем щелкните один из этих объектов правой кнопкой мыши.
Цветная маркировка в отчете о различиях исключительно полезна, особенно когда необходимо проверить, что изменилось в ожидающем объекте GPO, прежде чем его развертывать. Параметры, выделенные красным, были удалены из рабочего объекта GPO и более недоступны в ожидающем объекте GPO. Параметры, выделенные синим, были изменены, а зеленым выделяются новые элементы, существующие в ожидающем объекте GPO, но не в рабочем.
Эта возможность AGPM может сэкономить много часов трудоемкого ручного сравнения параметров объектов GPO. Она также является идеальным способом документирования изменений объектов GPO, позволяя составить и распечатать отчет по каждой из версий.
Аварийное восстановление объектов GPO посредством AGPM
Единственное изменение в объекте GPO может посеять хаос на одном или нескольких компьютерах сети. При использовании GPMC по умолчанию подобную ошибочную настройку можно исправить – если были вручную приняты нужные меры по созданию резервных копий объекта GPO как до, так и после внесения изменений в рабочий объект GPO. Если резервные копии не были созданы, аварийное восстановление будет не таким простым, как можно подумать.
А AGPM справляется с ним без труда. В силу наличия полных резервных копий всех объектов GPO в журнале GPO, можно просто открыть этот журнал и выбрать версию объекта GPO, которую следует развернуть заново.
Использование AGPM делает управление групповыми политиками почти идеально гладким. Администраторы годами желали иметь возможность контролировать объекты GPO и управлять ими в автономном режиме. AGPM предоставляет элегантное решение для этого. AGPM также предоставляет очень устойчивое решение по управлению изменениями, которое не только отслеживает ключевые области измененного объекта GPO, но также обеспечивает простоту при сравнении и аварийном восстановлении объектов GPO. Модель делегирования полномочий, встроенная в AGPM, позволяет направлять всех администраторов в AGPM для внесения изменений в объекты GPO, что обеспечивает автоматические резервные копии изменений в объектах GPO и устраняет любые поломки в рабочих объектах GPO. Эта служба имеет столько возможностей, что рассказать здесь о всех просто невозможно, но руководство по AGMP предоставляет массу информации о шаблонах, восстановлении связей узлов, настройке SMTP и многом другом.
Дерек Мелбер является независимым консультантом, преподавателем и автором. Он преподает технологии Майкрософт и специализируется на Active Directory, групповой политике, безопасности и управлении рабочей средой. Дерек регулярно публикует статьи в бумажных и электронных изданиях и написал свыше десятка книг, посвященных технологиям, включая The Microsoft Windows Group Policy Guide («Руководство по групповым политикам Microsoft Windows») (изд-во Microsoft Press, 2005 г.). Связаться с Дереком можно по адресу derekm@braincore.net.