MDOP: Advanced Group Policy Management

Ik merk dat veel beheerders nog niet weten dat Advanced Group Policy Management bestaat, terwijl het echt een hele goede add-on/tool is voor het werken met meerdere beheerders in de GPO’s.

Advanced Group Policy Management (AGPM) is een onderdeel van MDOP waarmee je change management binnen je GPO’s creëert.

* Met AGPM heb je versiebeheer binnen je GPO’s.
* Je ziet wie welke veranderingen uitvoert en hebt de controle over wie GPO’s mag inzien, veranderen en goedkeuren door Role-based management.
* Als je je GPO’s op controlled zet, heb je de grote voordelen van een recycle bin, waardoor je een per abuis verwijderde of verkeerd gemaakte GPO makkelijk kunt terugzetten vanaf de recycle bin.
* Wat ook een groot voordeel is van AGPM, is dat je met meerdere beheerders tegelijk kunt werken in GPO’s op een gecontroleerde manier, omdat je je policies moet uitchecken, dan pas wijzigen (offline) en vervolgens weer inchecken.
* Als je e-mail notification instelt, dan krijgt degene die een policy mag goedkeuren (approver) een mailtje en komt deze in een pending lijstje. De approver kan vervolgens kiezen om de wijzigingen door te zetten naar productie.

De installatie is eenvoudig en werkt met een server-client installatie. De serverinstallatie kun je op een losse VM installeren, of op je domain controller. Ik kies voor een simpele VM met 2 gb geheugen, 1 vcpu en 1 nic. Een 40 GB schijf voor het os en programmatuur. In de planning guide wordt aangegeven dat een aparte schijf aanbevolen is en dat je de volgende berekening kunt hanteren voor de grootte:
64kb x aantal policies x aantal versies.
Heb je dus 10 policies en wil je 10 versies bewaren, dan dus je 64 x 10 x 10 = 6400kb.
Andere design issue waar ik tegen aan liep;
1 VM per domain die je wilt beheren met AGPM. Dus high availability regel je met je hypervisor.

Over backup;
Backup je registry en de archive map van AGPM.

De installatie en config:

Maak een gebruiker aan die volledige rechten heeft op GPO’s en als serviceaccount gaat dienen voor AGPM server.

agpm_01

Maak een groep aan voor bovenstaande gebruiker.

agpm_02

Maak de gebruiker lid van de groep.

agpm_03

Regel dat de groep rechten heeft op de huidige GPO’s.

agpm_04

agpm_05

Vereiste voor de server installatie is .NET Framework 3.5 features

agpm_06

Je kunt als SA klant vanuit de volume licensing de software van MDOP downloaden. Op het moment van schrijven gebruik ik AGPM 4.0 sp2, welke ondersteuning bied voor Windows 2012r2.

Start de wizard als domain admin.

agpm_07

agpm_08

Pad waar de applicatie geïnstalleerd wordt:

agpm_09

Pad waar je GPO’s en versies terecht komen. Microsoft geeft als tip dat deze schijf met bitlocker encrypted kan worden voor extra veiligheid.

agpm_10

Gebruiker welke rechten heeft op GPO’s en waar de AGPM service onder zal draaien:

agpm_11

Deze gebruiker wordt initieel toegevoegd aan de AGPM rechten.

agpm_12

Standaard poort 4600, clients zullen dit in de client installatie ook moeten opgeven.

agpm_13

Standaard worden alle talen geïnstalleerd. Ik kies voor alleen Engels.

agpm_14

De installatie zal het volgende in Windows toevoegen:

agpm_15

Klik install.

Na installatie:

agpm_16

Client installatie:

agpm_17

agpm_18

Pad voor de client installatie:

agpm_19

Naar de server connecteren op poort 4600:

agpm_20

Ook hier passen we de talen aan:

agpm_21

AGPM is een add-on voor GPMC, dus die wordt toegevoegd:

agpm_22

Klik install:

agpm_23

Finish

agpm_24

Check of change management is toegevoegd in GPMC:

agpm_25

Maak nu, zoals Microsoft het ook aangeeft in hun documentatie, 4 groepen aan. De Administrators, Approvers, Reviewers en editors groep.

agpm_26

Zet de rechten voor deze groepen in AGPM en geef de e-mail adressen op voor approvers:

agpm_27

Geef het aantal versies op die bewaard moeten worden:

agpm_28

Je kunt nu uncontrolled policies op controlled zetten. Vervolgens kun je op gecontroleerde wijze gebruik maken van de GPO’s! veel succes! Mocht je hier vragen over hebben; info@blonkit.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.