Windows Server 2016'da AGPM nasıl kurulur ve yapılandırılır

Kullandığımızda sürekli olarak gerçekleştirdiğimiz temel görevlerden biri Windows Server 2012 veya 2016 bu kontrol gibi tüm etki alanı nesneleri kullanıcılar ve ekipler ve bu görevi yerine getirmenin en pratik yollarından birinin, bu nesnelerin tüm parametrelerini ve değerlerini merkezi olarak yönetmemize izin verdiği için grup ilkelerini kullanmak olduğunu biliyoruz.

İşletim Sistemlerinin ilerlemesiyle birlikte grup politikaları da değiştirildi ve bugün çok güçlü bir aracımız var. AGPM bugün bir ortamda detaylı olarak analiz edeceğimiz Windows Sunucusu 2016.

AGPM nedirAGPM (Gelişmiş Grup İlkesi Yönetimi - Gelişmiş Grup İlkesi Yönetimi) Microsoft tarafından oluşturulan ve bize etki alanlarımızdaki grup ilkeleri üzerinde belirli kontroller alma imkanı veren bir uygulamadır. Şu anda AGPM'nin mevcut sürümü 4.0'dır ve aşağıdaki avantajlara sahiptir:

  • destekler Windows 10
  • Windows'u destekler Güç kalkanı
  • Form uygulaması güncellemesi güvenli ve otomatik
  • W'yi desteklerindows Server 2012 R2 ve Windows Server 2016

1. AGPM ile ilgili terimler


Sık kullanılan bazı terimler vardır AGPM'de, bunlar:

AGPM İstemcisiAGPM'yi kurduğumuz ve yöneticiler olarak buradan yükleyebileceğimiz bilgisayardır. grup politikalarını yönet.

AGPM EklentisiBu bir yazılım eklentisi yönetimin doğru bir şekilde yürütülmesi için AGPM istemcilerinde kuruludur.

AGPM sunucusuçalıştıran sunucudur. AGPM hizmeti ve dosyaları yönetin.

AGPM hizmetibir yazılım bileşenidir. bir sunucuda çalışır Bir hizmet olarak AGPM.

ArşivAGPM'de aşağıdakileri içeren bir depodur: Kontrollü GPO'lar ilişkili AGPM sunucusunu yöneten.

Kontrollü GPOBu bir GPO'dur. AGPM'yi yönetmek.

Kontrolsüz GPOBu bir Üretim ortamının GPO'su AGPM'nin kontrol etmediği.

2. AGPM'yi Windows Server 2016'ya yüklemek için gereksinimler


AGPM'nin Windows Server 2016'ya yüklenmesi için bir dizi gereksinimi karşılamamız gerekir, bunlar:

.NET Çerçevesi 4.5.1Yapabiliriz indir aşağıdaki bağlantıdan:

.Net Çerçevesi 4.5

PowerShell 3.0Olmaması durumunda, olabilir Şartlı tahliye aşağıdaki bağlantıdan:

PowerShell 3.0

GPMC (Grup İlkesi Yönetim Konsolu - Grup İlkesi Yönetim Konsolu)Varsayılan olarak kuruludur, ancak olmaması durumunda İndirildi aşağıdaki bağlantıdan:

GPMC

Bu gereksinimleri göz önünde bulundurarak, AGPM'yi Windows Server 2016'ya yüklemeye devam ediyoruz.

3. AGPM'yi Windows Server 2016'ya yükleyin


Microsoft, AGPM'nin bir etki alanı üyesi sunucusuna kurulmasını, ancak etki alanı denetleyicisine kurulmamasını önerir, ancak daha fazla seçeneğimiz yoksa, onu oraya yüklemek mümkündür.

Aşama 1
AGPM aşağıdaki bağlantıdan indirilebilir. AGPM'nin hizmeti yönetmek için gruplara ihtiyaç duyduğunu unutmayın, bu nedenle aktif Dizin kulanıcıları ve bilgisayarları ve ilgili grupları oluşturacağız.

AGPM

Adım 2
adında bir OU oluşturduk. AGPM ve orada başlatılacak AGPM hizmeti için hesap oluşturmalıyız, bunun için aşağıdaki nesneleri oluşturduk:

  • AGPM Çözücü Kullanıcı
  • Bu kullanıcıyı gruba dahil ediyoruz Grup İlkesi Oluşturucu Sahipleri
  • AGPM yönetim görevleri için aşağıdaki gruplar oluşturulmuştur:
  • Yöneticiler AGPM
  • onaylayanlar AGPM
  • editörler AGPM
  • İnceleyenler AGPM

Aşama 3
Gruplar ve kullanıcılar tanımlandıktan sonra dosyayı çalıştırarak AGPM kurulumuna geçiyoruz. agpm_403_server_amd64 yöneticiler olarak. İlgili kurulum sihirbazı görüntülenecektir.

4. Adım
Kurulumun belli bir noktasında AGPM hizmetinin hangi hizmet kullanıcısıyla yürütüleceğini tanımlamamız gerekiyor, bu noktada hizmet için belirli bir kullanıcı oluşturabiliriz ya da bir etki alanı denetleyicisi üzerindeysek, bu durumda olduğu gibi, seçeneği seçin Yerel sistem.

Adım 5
Bir sonraki pencerede sahip olacağınız hesabı seçeceğiz toplam izinler Servis hakkında bu noktada oluşturduğumuz AGPM Administrators grubunu ekliyoruz.

6. Adım
Bir sonraki pencerede, AGPM'nin müşteri isteklerini alacağı bağlantı noktasını yapılandırıyoruz, olanı bırakıyoruz. varsayılan olarak 4600'dür.

7. Adım
Daha sonra AGPM dillerini tanımlıyoruz ve butona basarak kurulumu başlatabileceğimizi göreceğiz. Düzenlemek.

8. Adım
görebiliriz ki, AGPM kurulum süreci ve birkaç saniye sonra kurulum başarıyla tamamlandı.

4. AGPM istemcisini Windows Server 2016'ya kurun


Aşama 1
AGPM Sunucusu kurulum işlemi tamamlandıktan sonra, tüm AGPM yapısını tamamlamak için istemciyi kurmalıyız. Bunun için dosyayı yönetici olarak çalıştıracağız. agpm_403_client_amd64.

Adım 2
basıyoruz Sonraki ve sihirbazın adımlarını takip ediyoruz ve kurulumun bir anında AGPM olarak görev yapacak sunucuyu tanımlamamız gerektiğini görüyoruz.

Aşama 3
AGPM Client kurulum sürecinin başladığını görebiliriz. Birkaç saniye sonra, kurulum nihayet başarıyla tamamlandı.

5. AGPM Konsol Seçenekleri


Hem sunucuyu hem de AGPM istemcisini kurduğumuzda görebileceğimiz gibi, herhangi bir doğrudan erişim oluşturulmadı veya bu şekilde herhangi bir uygulama eklenmedi, ancak değişikliklerin grup politikası yönetimine yansıdığını göreceğiz.

Aşama 1
Bunlara erişmek için aşağıdaki seçeneklerden herhangi birini kullanabiliriz:

  • komutu kullanın Çalıştırmak ve komutu girin gpmc.msc, Enter'a bas.
  • Windows Server arama kutusuna yönetim terimini girin ve uygun seçeneği belirleyin.

Adım 2
Yönetici açıldığında aşağıdaki pencereyi göreceğiz.

Aşama 3
Geleneksel grup politikalarına kıyasla fark edeceğimiz ilk fark, etki alanımızı dağıtırken, şimdi yeni bir kapsayıcı göreceğiz. Kontrolü değiştir.

4. Adım
üzerine tıklayarak Kontrolü değiştir aşağıdaki seçenekleri görebiliriz.

Adım 5
Sahip olduğumuz temel seçenekler şunlardır:

İçindekilerBu sekmeden kontrollü veya kontrolsüz GPO'ları yönetebiliriz.

Alan yetkilendirmesiBu konumdan tanımlıyoruz verilecek izinler etki alanındaki her kullanıcıya veya kullanıcı grubuna. Aynı şekilde yapabiliriz bir e-posta hesabı ekle böylece bir noktada yetkisiz bir kullanıcı AGPM sunucusuna erişmeye çalıştığında bu girişimden haberdar oluruz.

AGPM sunucusuBu sekme aracılığıyla IP adresini görüntüleyebilir ve düzenleyebiliriz AGPM sunucusundan.

Üretim delegasyonuBu sekmede, hangi kullanıcıların ve grupların AGPM üretim ortamına erişim iznine sahip olduğunu görebiliriz.

6. AGPM'deki temel görevler

GPO'ların kontrolünü ele almakAGPM kullanırken sahip olduğumuz temel görevlerden biri, kontrol Bunların Şu anda kontrol edilmeyen GPO'lar, kontrolsüz bir GPO'nun üretim ortamında bulunan ancak AGPM tarafından yönetilmeyen bir GPO olduğunu unutmayın.
GPO'ları kontrolsüz sekmede görebiliriz İçerik / Kontrol yok

Bu GPO'ların kontrolünü ele geçirmek için kontrol etmek istediğimiz GPO'ları seçeceğiz ve üzerlerine sağ tıklayıp seçeneği seçeceğiz. Kontrol.

Seçeneği seçtiğimizde Kontrol aşağıdaki mesajı görebiliriz.

basıyoruz Kabul etmek ve bu GPO'ların sekmeye gittiğini göreceğiz Kontrol.

Yeni bir kontrollü GPO oluşturunSıfırdan kontrol edilen bir GPO oluşturmak için üzerine sağ tıklamalıyız. Kontrolü değiştir ve seçeneği seçin Yeni GPO kontrollü.

Kontrol edilen GPO'ya bir isim atayacağımız aşağıdaki sihirbazı göreceğiz.

basıyoruz Kabul etmek ve GPO'muzun doğru oluşturulduğunu göreceğiz ve GPO'ya çift tıkladığımızda çeşitli seçenekleri görselleştirebiliriz.

BÜYÜT

GPO'ları kontrol etmek için kullanıcı ekleyinGerekli olabilecek bir görev, yeni bir kullanıcı veya grup ekle doğrudan AGPM'den ve bunun için aşağıdakileri yapacağız:

Pencereden İçindekiler seçeneği seçiyoruz Ekle altta bulunur ve eklenecek kullanıcı veya grubu bulmamız gereken aşağıdaki pencere görüntülenecektir.

basıyoruz Kabul etmek ve tanımlamamız gereken aşağıdaki pencere görüntülenecektir. rol türü kullanıcı veya grubun yerine getireceği. Rol tanımlandıktan sonra, Kabul etmek.

Kullanıcının başarıyla eklendiğini görebiliriz.

Kontrollü bir GPO'yu düzenleyinBu, AGPM'nin belki de en ilginç yönlerinden biri, kontrollü bir GPO'yu düzenlerken güvenliktir. Kontrollü bir GPO'yu düzenlemek için vermeliyiz GPO'ya sağ tıklayın ve seçin Düzenlemek ancak aşağıdakileri göreceğiz, seçenek Düzenlemek Varsayılan olarak devre dışıdır.

Kontrollü GPO'nun sürümünü etkinleştirmek için düğmeye tıklamalıyız. Çıkış yapmak ve GPO'nun neden korumasız olduğunu açıklamamız gereken aşağıdaki pencere görüntülenecektir.

basıyoruz Kabul etmek ve çıkış işlemi başlayacaktır.

Şimdi GPO'ya tekrar sağ tıklarsak, sürümünün etkinleştirildiğini görebiliriz. (Korumasız Durum).

üzerine tıklarsak Düzenlemek GPO'da gerekli ayarlamaları yapabileceğiz. Değişiklikler tamamlandıktan sonra, düzenlemeyi önlemek için Koru düğmesine basabiliriz.

AGPM'de gördüğümüz gibi, elimizde güçlü bir araç var. tüm GPO'ların merkezi yönetimi kuruluşa aittir ve erişimleri ve izinleri üzerinde daha özel kontrole sahiptir. AGPM hakkında daha fazla bilgi edinmek için aşağıdaki bağlantıyı ziyaret edebiliriz.

AGPM belgeleri

wave wave wave wave wave