Uno dei compiti fondamentali che svolgiamo costantemente quando utilizziamo Windows Server 2012 o 2016 è controllo tutti gli oggetti di dominio come utenti e team e sappiamo che uno dei modi più pratici per svolgere questo compito è utilizzare i criteri di gruppo poiché ci consentono di gestire centralmente tutti i parametri e i valori di questi oggetti.
Con l'avanzare dei Sistemi Operativi, anche le policy di gruppo sono state modificate e oggi disponiamo di uno strumento molto potente chiamato AGPM che oggi analizzeremo in dettaglio in un ambiente Windows Server 2016.
Cos'è l'AGPMAGPM (Gestione avanzata dei criteri di gruppo - Amministrazione avanzata dei criteri di gruppo) è un'applicazione creata da Microsoft che ci dà la possibilità di assumere un controllo specifico sui criteri di gruppo nei nostri domini. Attualmente la versione disponibile di AGPM è 4.0 e presenta i seguenti vantaggi:
- Supporti Windows 10
- Supporta Windows PowerShell
- Aggiornamento dell'app del modulo sicuro e automatico
- Supporta Windows Server 2012 R2 e Windows Server 2016
1. Termini relativi all'AGPM
Ci sono alcuni termini usati di frequente presso AGPM, questi sono:
Cliente AGPMÈ il computer dove abbiamo installato AGPM e da dove, come amministratori, possiamo gestire i criteri di gruppo.
Plugin AGPMÈ un plug-in software che viene installato nei client AGPM per eseguire correttamente la gestione.
Server AGPMÈ il server che esegue il Servizio AGPM e gestire i file.
Servizio AGPMÈ un componente software che gira su un server AGPM come servizio.
ArchivioPresso AGPM è un magazzino che contiene i Oggetti Criteri di gruppo controllati che gestisce il server AGPM associato.
Oggetto Criteri di gruppo controllatoÈ un oggetto Criteri di gruppo che è gestione dell'AGPM.
GPO . non controllatoÈ un GPO dell'ambiente di produzione che AGPM non controlla.
2. Requisiti per installare AGPM su Windows Server 2016
Dobbiamo soddisfare una serie di requisiti per l'installazione di AGPM in Windows Server 2016, questi sono:
.NET Framework 4.5.1Noi possiamo scaricalo dal seguente link:
.Net Framework 4.5
PowerShell 3.0In caso di non averlo, può essere Dimesso dal seguente link:
PowerShell 3.0
GPMC (Console di gestione dei criteri di gruppo - Console di gestione dei criteri di gruppo)Di default è installato, ma in caso di non averlo può essere scaricato dal seguente link:
GPMC
Con questi requisiti in mente, procediamo con l'installazione di AGPM su Windows Server 2016.
3. Installa AGPM su Windows Server 2016
Microsoft consiglia di installare AGPM su un server membro del dominio ma non sul controller di dominio, ma se non abbiamo più opzioni è possibile installarlo lì.
Passo 1
AGPM può essere scaricato dal seguente link Ricorda che AGPM richiede gruppi per gestire il servizio, quindi andremo a Utenti e computer di Active Directory e creeremo i rispettivi gruppi.
AGPM
Passo 2
Abbiamo creato un'unità organizzativa chiamata AGPM e lì dobbiamo creare l'account per avviare il servizio AGPM, per questo abbiamo creato i seguenti oggetti:
- Utente Solvetico AGPM
- Includiamo questo utente nel gruppo Proprietari autori criteri di gruppo
- I seguenti gruppi sono stati creati per le attività di gestione di AGPM:
- Amministratori AGPM
- Approvatori AGPM
- Editori AGPM
- Revisori AGPM
Passaggio 3
Una volta definiti i gruppi e gli utenti, si procede con l'installazione di AGPM eseguendo il file agpm_403_server_amd64 come amministratori. Verrà visualizzata la rispettiva procedura guidata di installazione.
Passaggio 4
Ad un certo punto dell'installazione dobbiamo definire l'utente del servizio con cui eseguire il servizio AGPM, a questo punto possiamo creare un utente specifico per il servizio o se siamo su un controller di dominio, come nel caso, seleziona l'opzione Sistema locale.
Passaggio 5
Nella finestra successiva selezioneremo l'account che avrai permessi totali A proposito del servizio, a questo punto aggiungiamo il gruppo Amministratori AGPM che abbiamo creato.
Passaggio 6
Nella finestra successiva configuriamo la porta attraverso la quale AGPM riceverà le richieste dei client, lasciamo quella che è per impostazione predefinita è 4600.
Passaggio 7
Successivamente definiamo le lingue AGPM e vedremo che possiamo avviare l'installazione premendo il pulsante Installare.
Passaggio 8
Possiamo vedere che il Processo di installazione di AGPM e che dopo pochi secondi l'installazione è terminata con successo.
4. Installa il client AGPM su Windows Server 2016
Passo 1
Una volta terminato il processo di installazione di AGPM Server, dobbiamo installare il client per completare l'intera struttura di AGPM. Per questo eseguiremo il file come amministratore agpm_403_client_amd64.
Passo 2
premiamo Prossimo e seguiamo i passaggi della procedura guidata e possiamo vedere in un momento dell'installazione che dobbiamo definire il server che fungerà da AGPM.
Passaggio 3
Possiamo vedere che inizia il processo di installazione del client AGPM. Dopo pochi secondi, l'installazione finalmente è stato completato con successo.
5. Opzioni console AGPM
Come possiamo vedere quando abbiamo installato sia il server che il client AGPM, non è stato creato alcun accesso diretto o aggiunto alcuna applicazione in quanto tale, ma vedremo le modifiche riflesse nella gestione dei criteri di gruppo.
Passo 1
Per accedervi possiamo utilizzare una delle seguenti opzioni:
- Usa il comando Correre e inserisci il comando gpmc.msc, premere Invio.
- Immettere il termine amministrazione nella casella di ricerca di Windows Server e selezionare l'opzione appropriata.
Passo 2
Una volta aperto l'amministratore, vedremo la seguente finestra.
Passaggio 3
La prima differenza che noteremo rispetto alle policy di gruppo tradizionali è al momento della distribuzione del nostro dominio, ora vedremo un nuovo contenitore chiamato Cambia controllo.
Passaggio 4
Cliccando su Cambia controllo possiamo vedere le seguenti opzioni.
Passaggio 5
Le opzioni di base che abbiamo sono:
ContenutiDa questa scheda possiamo gestire GPO controllati o non controllati.
Delega del dominioDa questa posizione definiamo il permessi da concedere a ciascun utente o gruppo di utenti nel dominio. Allo stesso modo possiamo aggiungi un account di posta elettronica in modo che ad un certo punto, quando un utente non autorizzato tenterà di accedere al server AGPM, saremo avvisati di questo tentativo.
Server AGPMAttraverso questa scheda possiamo visualizzare e modificare l'indirizzo IP dal server AGPM.
Delegazione di produzioneIn questa scheda possiamo vedere quali utenti e gruppi hanno i permessi per accedere all'ambiente di produzione AGPM.
6. Compiti di base in AGPM
Assumere il controllo dei GPOUno dei compiti di base che abbiamo quando utilizziamo AGPM è la capacità di avere il controllo di quelli GPO attualmente non controllati, ricorda che un oggetto Criteri di gruppo non controllato è uno che si trova nell'ambiente di produzione ma non è gestito da AGPM.
Possiamo visualizzare gli oggetti Criteri di gruppo senza controllo nella scheda Contenuto/Nessun controllo
Per prendere il controllo di questi oggetti Criteri di gruppo selezioneremo gli oggetti Criteri di gruppo che vogliamo avere il controllo e fare clic con il tasto destro su di essi e selezionare l'opzione Controllo.
Una volta selezionata l'opzione Controllo possiamo vedere il seguente messaggio.
premiamo Accettare e vedremo che questi oggetti Criteri di gruppo vanno nella scheda Controllato.
Crea un nuovo oggetto Criteri di gruppo controllatoPer creare un GPO controllato da zero dobbiamo fare clic con il tasto destro su Cambia controllo e seleziona l'opzione Nuovo GPO controllato.
Vedremo la seguente procedura guidata in cui assegneremo un nome all'oggetto Criteri di gruppo controllato.
premiamo Accettare e vedremo il nostro GPO creato correttamente e potremo visualizzare varie opzioni quando facciamo doppio clic sul GPO.
INGRANDIRE
Aggiungi utenti per controllare gli oggetti Criteri di gruppoUn compito che potrebbe essere richiesto è aggiungi un nuovo utente o gruppo direttamente da AGPM, e per questo faremo quanto segue:
Dalla finestra Contenuti selezioniamo l'opzione Aggiungere situato in basso e verrà visualizzata la seguente finestra in cui dobbiamo individuare l'utente o il gruppo da aggiungere.
premiamo Accettare e verrà visualizzata la seguente finestra in cui dobbiamo definire il tipo di ruolo che l'utente o il gruppo soddisferanno. Una volta definito il ruolo, fare clic su Accettare.
Possiamo vedere che l'utente è stato aggiunto con successo.
Modifica un oggetto Criteri di gruppo controllatoQuesto è forse uno degli aspetti più interessanti di AGPM è la sicurezza durante la modifica di un oggetto Criteri di gruppo controllato. Per modificare un oggetto Criteri di gruppo controllato dobbiamo dare fare clic con il tasto destro sull'oggetto Criteri di gruppo e seleziona Modificare ma vedremo quanto segue, l'opzione Modificare è disabilitato per impostazione predefinita.
Per abilitare l'edizione dell'oggetto Criteri di gruppo controllato dobbiamo fare clic sul pulsante Guardare e verrà visualizzata la seguente finestra in cui dobbiamo spiegare perché l'oggetto Criteri di gruppo non è protetto.
premiamo Accettare e inizierà il processo di check-out.
Ora, se facciamo nuovamente clic con il tasto destro del mouse sull'oggetto Criteri di gruppo, possiamo vedere che la sua edizione è stata abilitata. (Stato non protetto).
Se clicchiamo su Modificare Saremo in grado di apportare le modifiche necessarie all'oggetto Criteri di gruppo. Una volta completate le modifiche, possiamo premere il pulsante Proteggi per evitare di modificarlo.
Come vediamo con AGPM abbiamo a portata di mano un potente strumento per amministrazione centralizzata di tutti i GPO dell'organizzazione e avere un controllo più specifico sui loro accessi e permessi. Per saperne di più su AGPM possiamo visitare il seguente link.
Documentazione AGPM
