Comment installer et configurer AGPM sur Windows Server 2016

L'une des tâches fondamentales que nous effectuons constamment lorsque nous utilisons Windows Server 2012 ou 2016 il est contrôler tous les objets du domaine tels que utilisateurs et équipes et nous savons que l'un des moyens les plus pratiques pour effectuer cette tâche est d'utiliser des stratégies de groupe car elles nous permettent de gérer de manière centralisée tous les paramètres et valeurs de ces objets.

Avec l'avancement des systèmes d'exploitation, les politiques de groupe ont également été modifiées et nous disposons aujourd'hui d'un outil très puissant appelé AGPM qu'aujourd'hui nous allons analyser en détail dans un environnement Serveur Windows 2016.

Qu'est-ce que l'AGPMAGPM (Gestion avancée des stratégies de groupe - Administration avancée des stratégies de groupe) est une application créée par Microsoft qui nous donne la possibilité de prendre un contrôle spécifique sur les politiques de groupe dans nos domaines. Actuellement, la version disponible d'AGPM est 4.0 et présente les avantages suivants :

  • Les soutiens Windows 10
  • Prend en charge Windows PowerShell
  • Formulaire de mise à jour de l'application sûr et automatique
  • Prend en charge Windows Server 2012 R2 et Windows Server 2016

1. Termes liés à AGPM


Il y a certains termes fréquemment utilisés à l'AGPM, ceux-ci sont:

Client AGPMC'est l'ordinateur sur lequel nous avons installé AGPM et d'où, en tant qu'administrateurs, nous pouvons gérer les stratégies de groupe.

Plugin AGPMC'est un plugiciel logiciel qui est installé dans les clients AGPM afin d'effectuer correctement la gestion.

Serveur AGPMC'est le serveur qui exécute le Service AGPM et gérer les fichiers.

Service AGPMC'est un composant logiciel qui fonctionne sur un serveur AGPM en tant que service.

ArchiverChez AGPM c'est un entrepôt qui contient les GPO contrôlés qui gère le serveur AGPM associé.

Objet de stratégie de groupe contrôléC'est un GPO qui est gestion de l'AGPM.

Objet de stratégie de groupe non contrôléC'est un GPO de l'environnement de production qu'AGPM ne contrôle pas.

2. Configuration requise pour installer AGPM sur Windows Server 2016


Nous devons répondre à une série d'exigences pour l'installation d'AGPM dans Windows Server 2016, ce sont :

.NET Framework 4.5.1Pouvons télécharge le à partir du lien suivant :

.Net Framework 4.5

PowerShell 3.0Si vous ne l'avez pas, il peut être Déchargé à partir du lien suivant :

PowerShell 3.0

GPMC (Console de gestion des stratégies de groupe - Console de gestion des stratégies de groupe)Par défaut, il est installé, mais si vous ne l'avez pas, il peut être téléchargé à partir du lien suivant :

GPMC

Avec ces exigences à l'esprit, nous procédons à l'installation d'AGPM sur Windows Server 2016.

3. Installer AGPM sur Windows Server 2016


Microsoft recommande qu'AGPM soit installé sur un serveur membre du domaine mais pas sur le contrôleur de domaine, mais si nous n'avons pas plus d'options, il est possible de l'installer là-bas.

Étape 1
AGPM peut être téléchargé à partir du lien suivant. N'oubliez pas qu'AGPM nécessite des groupes pour gérer le service, nous allons donc Utilisateurs et ordinateurs Active Directory et nous créerons les groupes respectifs.

AGPM

Étape 2
Nous avons créé une unité d'organisation appelée AGPM et là nous devons créer le compte pour que le service AGPM soit démarré, pour cela nous avons créé les objets suivants :

  • Utilisateur Solvetic AGPM
  • Nous incluons cet utilisateur dans le groupe Propriétaires créateurs de stratégie de groupe
  • Les groupes suivants ont été créés pour les tâches de gestion AGPM :
  • Administrateurs AGPM
  • Approbateurs AGPM
  • Éditeurs AGPM
  • Réviseurs AGPM

Étape 3
Une fois les groupes et les utilisateurs définis, nous procédons à l'installation d'AGPM en exécutant le fichier agpm_403_server_amd64 en tant qu'administrateurs. L'assistant d'installation correspondant s'affiche.

Étape 4
En un punto determinado de la instalación debemos definir el usuario de servicio con el cual se ha de ejecutar el servicio AGPM, en este punto podemos crear un usuario específico para el servicio o si estamos en un controlador de dominio, como es el caso, seleccionamos l'option Système local.

Étape 5
Dans la fenêtre suivante, nous sélectionnerons le compte que vous aurez autorisations totales À propos du service, à ce stade, nous ajoutons le groupe d'administrateurs AGPM que nous avons créé.

Étape 6
Dans la fenêtre suivante, nous configurons le port par lequel AGPM recevra les demandes des clients, nous laissons celui qui est par défaut, c'est 4600.

Étape 7
Plus tard, nous définissons les langages AGPM et nous verrons que nous pouvons démarrer l'installation en appuyant sur le bouton Installer.

Étape 8
Nous pouvons voir que le Processus d'installation d'AGPM et qu'après quelques secondes l'installation s'est terminée avec succès.

4. Installer le client AGPM sur Windows Server 2016


Étape 1
Une fois le processus d'installation du serveur AGPM terminé, nous devons installer le client pour terminer l'ensemble de la structure AGPM. Pour cela nous exécuterons le fichier en tant qu'administrateur agpm_403_client_amd64.

Étape 2
Nous appuyons Prochain et nous suivons les étapes de l'assistant et nous pouvons voir à un moment de l'installation que nous devons définir le serveur qui fera office d'AGPM.

Étape 3
Nous pouvons voir que le processus d'installation du client AGPM démarre. Après quelques secondes, l'installation a finalement a été complété avec succès.

5. Options de la console AGPM


Comme nous pouvons le voir lorsque nous avons installé à la fois le serveur et le client AGPM, aucun accès direct n'a été créé ni ajouté aucune application en tant que telle, mais nous verrons les changements se refléter dans la gestion de la politique de groupe.

Étape 1
Pour y accéder, nous pouvons utiliser l'une des options suivantes :

  • Utilisez la commande Cours et entrez la commande gpmc.msc, appuyez sur Entrée.
  • Saisissez le terme administration dans la zone de recherche Windows Server et sélectionnez l'option appropriée.

Étape 2
Une fois l'administrateur ouvert, nous verrons la fenêtre suivante.

Étape 3
La première différence que nous remarquerons par rapport aux stratégies de groupe traditionnelles est au moment du déploiement de notre domaine, nous allons maintenant voir un nouveau conteneur appelé Le contrôle des changements.

Étape 4
En cliquant sur Le contrôle des changements nous pouvons voir les options suivantes.

Étape 5
Les options de base que nous avons sont :

ContenuA partir de cet onglet, nous pouvons gérer les GPO contrôlés ou non contrôlés.

Délégation de domaineA partir de cet emplacement, nous définissons le autorisations à accorder à chaque utilisateur ou groupe d'utilisateurs du domaine. De la même manière on peut ajouter un compte de messagerie de sorte qu'à un moment donné, lorsqu'un utilisateur non autorisé tentera d'accéder au serveur AGPM, nous serons informés de cette tentative.

Serveur AGPMPar cet onglet nous pouvons afficher et modifier l'adresse IP depuis le serveur AGPM.

Délégation de productionDans cet onglet, nous pouvons voir quels utilisateurs et groupes ont des autorisations pour accéder à l'environnement de production AGPM.

6. Tâches de base dans AGPM

Prendre le contrôle des GPOL'une des tâches de base que nous avons lors de l'utilisation d'AGPM est la capacité d'avoir le contrôler de celles les objets de stratégie de groupe actuellement non contrôlés, rappelez-vous qu'un GPO non contrôlé est un objet qui se trouve dans l'environnement de production mais qui n'est pas géré par AGPM.
On peut visualiser les GPO sans contrôle dans l'onglet Contenu / Pas de contrôle

Pour prendre le contrôle de ces objets de stratégie de groupe, nous sélectionnerons les objets de stratégie de groupe que nous voulons contrôler et cliquez dessus avec le bouton droit de la souris et sélectionnez l'option Contrôler.

Une fois que nous sélectionnons l'option Contrôler nous pouvons voir le message suivant.

Nous appuyons Accepter et nous verrons que ces GPO vont dans l'onglet Vérifié.

Créer un nouveau GPO contrôléPour créer un GPO contrôlé à partir de zéro, nous devons faire un clic droit sur Le contrôle des changements et sélectionnez l'option Nouveau GPO contrôlé.

Nous verrons l'assistant suivant où nous attribuerons un nom au GPO contrôlé.

Nous appuyons Accepter et nous verrons notre GPO créé correctement et nous pourrons visualiser diverses options lorsque nous double-cliquons sur le GPO.

AGRANDIR

Ajouter des utilisateurs pour contrôler les GPOUne tâche qui peut être requise est ajouter un nouvel utilisateur ou groupe directement d'AGPM, et pour cela nous ferons ce qui suit :

Depuis la fenêtre Contenu nous sélectionnons l'option Ajouter situé en bas et la fenêtre suivante s'affichera où nous devons localiser l'utilisateur ou le groupe à ajouter.

Nous appuyons Accepter et la fenêtre suivante s'affichera où nous devons définir le type de rôle que l'utilisateur ou le groupe remplira. Une fois le rôle défini, cliquez sur Accepter.

Nous pouvons voir que l'utilisateur a été ajouté avec succès.

Modifier un GPO contrôléC'est peut-être l'un des aspects les plus intéressants d'AGPM, c'est la sécurité lors de l'édition d'un GPO contrôlé. Pour modifier un GPO contrôlé, nous devons donner clic droit sur le GPO et sélectionnez Éditer mais nous verrons ce qui suit, l'option Éditer Il est désactivé par défaut.

Pour activer l'édition du GPO contrôlé, nous devons cliquer sur le bouton Vérifier et la fenêtre suivante s'affichera où nous devons expliquer pourquoi le GPO n'est pas protégé.

Nous appuyons Accepter et le processus de paiement commencera.

Maintenant, si nous faisons à nouveau un clic droit sur le GPO, nous pouvons voir que son édition a été activée. (Statut non protégé).

Si nous cliquons sur Éditer Nous pourrons apporter les ajustements nécessaires au GPO. Une fois les modifications terminées, nous pouvons appuyer sur le bouton Protéger pour éviter de le modifier.

Comme nous le voyons avec AGPM, nous disposons d'un outil puissant pour administration centralisée de tous les GPO de l'organisation et ont un contrôle plus spécifique sur leurs accès et autorisations. Pour en savoir plus sur AGPM, nous pouvons visiter le lien suivant.

Documentation AGPM

wave wave wave wave wave