TechEd2008: MDOP: Managing GPOs with Advanced Group Policy Management
CLI317
Mark Gray
Program Manager
Winni Verhoef
Senior Product Manager
Was macht AGPM ?
- Versionierung, History&Rollback von Group Policie Changes
- Role Based Administration & Templates
- Workflow
- Offline Editing
derzeitige Version: 3.0
nächste Version: 4.0 (End CY09), GA Anfang CY10
Bei nicht Verwendung von AGPM:
- Ich kann nur die Verwendung von GPs erlauben – dann darf der Admin alles
- Ich arbeite am “offenen Herzen” jede Änderung wird sofort wirksam
- kein Reporting – ich sehe nicht was passiert ist
Terminology:
Archive: Offline Environment, Ort wo die Backups gespeichert sind,
Production/LIve: ist die Echtumgebung
Delegation: Rollen – wer darf was
Deploy: Dinge aus dem Archive (offline) ins Online Environment stellen
Architektur:
AGPM Server – hier sind die AGPM Server componenten installiert - Archive – hat Kopien der GPOs - ist ein Filesystem
Production: meine Domain Controller
Administrative Desktop – hier liegen die AGPM Admin Komponenten
New 3.0 Features Überblick:
Support für Vista und WIndows Server 2008
Support auch für x64 Plattform
Benötigt Vista SP1 oder Server 2008 – kein Xp oder WinServer 2003 (Management Console + AGPM Server)
Das Betriebssystem der Clients, die im Netz hängen ist egal – es geht um die AGPM-Konsole und den ServerDelegation:
Approver – kann approven und das LiveSystem verändern
Changer – kann ändern, aber nicht das Online_Environment ändern
Reviewer – kann nur lesen, nix ändernRechte kann ich entweder auf alle GPOs geben oder detailliert auf einzelne GPOs
Customizable Permissions – die Berechtigungen auf die GPOs können nun verwaltet werden
Früher waren die Berechtigungen auf den ProduktionGPOs massiv eingeschränkt
Heute kann ich definieren, wer in meinen Live GPOs Rechte hatBesseres “Change Tracking”
Nur check-Ins wurden getrackt
Nun werden alle Stati, durch die eine GPO geht getrackt (Requests, approval, deployment,…)Delete historical Data
alte GPO Daten löschen – ich kann sagenl ic will z.b. nur 25 Versionen einer GPO aufhebenLocalization – 10 Sprachen
Workflow
- Control
alle oder einzelne GPOs können im Offline Environment bearbeitet werden
Bestehende GPOs kann ich mit “Control” in den AGMP Server importieren - Check Out, Edit, Check.In, Request
Bevor ich Änderungen mache, muss ich sie vorher auschecken
Generiert mir eine lokale Änderung, die ich mit dem GP Editor bearbeiten kann
Dann check ich die GPO wieder ein
Danach fordere ich - wenn ich das Recht nicht habe – die Einspielung in die Produktion ein
Damit kommt die Änderung in den Pending-Tab und schickt eine Mail
Ein Administraotr muss die Änderung dann approven oder declinen - Reporting
viele unerschiedlichen Reports (Settings Report, Difference Report (Unterschied zwischen Production und Histroy, Unterschied zwischen unterschiedlichen GPOs - Deployment
Die geänderte GPO wird in das Production System eingespielt und aktiviert
Deployen kann nur der Approver
ROI - schnell und einfach aufgesetzt – höhere Sicherheit – weniger Probleme mit GPOs weil koordiniert und Rollback möglich
AGPM Roadmap
AGPM 3.0 – fertig, verfügbar
AGPM 4.0 – Cross Forest GPO Management (move GPOs from test to production), Automation – CY09 – GA CY10
Ich denke, das das für alle UNternehmen mit mehr als einem Admin sinnvoll ist…
Christian – live von Barcelona