IT2web

Системному администратору Windows Server

Главная --> Active Directory --> Advanced Group Policy Management - Выполнение передачи с помощью AGPM

Advanced Group Policy Management - Выполнение передачи с помощью AGPM

Индекс материала
Advanced Group Policy Management
Выполнение передачи с помощью AGPM
Преимущества автономного редактирования внутри AGPM
Управление изменениями с помощью AGPM
Резюме
Все страницы
Выполнение передачи с помощью AGPM

Если вы работали с политикой группы (Group Policy) и GPO в течение долгого периода времени, то, я уверен, что сделаете ошибочную настройку в объекте GPO, которая затем может нанести ущерб сети. Все это происходит благодаря тому, как объекты GPO редактируются по умолчанию. GPO редактируются напрямую на контроллере домена, а затем, если было сделано изменение (и нажата кнопка OK или Apply), изменение сразу же происходит в GPO, а затем копируется. Нет такой настройки как “Undo” (отменить) или “Save” (сохранить), изменения происходят сразу же.

Такое поведение в настоящее время контролируется в GPMC благодаря установке передачи GPO для редактирования, как показано на Рисунке 1.

Рисунок 1: Передача Delegation within GPMC to allow editing of GPOs

Рисунок 1: Передача Delegation within GPMC to allow editing of GPOs

Такую передачу внутри GPMC для узла Group Policy Objects необходимо удалить сразу же после установки AGPM. Причина для такого изменения заключается в следующем:

  • AGPM использует свою собственную модель передачи (delegation model), которая является более подробной
  • В AGPM все редактирование объектов GPO происходит в автономном режиме, не касаясь промышленных GPO
  • Без передачи GPMC delegation, администраторы не смогут больше редактировать промышленные GPO

AGPM также использует служебную учетную запись (service account) для доступа к объектам GPO в архиве AGPM. Все из объектов GPO в архиве AGPM archive не являются промышленными, т.е. являются автономными, благодаря чему редактирование GPO стало безопаснее.

Для того, чтобы создать переданные права внутри среды AGPM, у вас есть два вариант. Первый заключается в использовании закладки Domain Delegation, как показано на рисунке 2.

Рисунок 2: Domain Delegation в AGPM

Рисунок 2: Domain Delegation в AGPM

Здесь вы сможете настроить передачу для администраторов, для контроля всех GPO внутри хранилища AGPM repository на определенном уровне.

Второй уровень передачи с помощью AGPM находится на уровне GPO, как показано на рисунке 3.

Рисунок 3: Передача на уровне GPO внутри AGPM

Рисунок 3: Передача на уровне GPO внутри AGPM

Для каждого объекта GPO внутри AGPM вы можете задать, что администраторы могут делать с конкретным объектом GPO, за счет чего достигается более четкий контроль для всей инфраструктуры GPO infrastructure.