TechEd2008: MDOP: Managing GPOs with Advanced Group Policy Management

  • Article

CLI317

Mark Gray
Program Manager

Winni Verhoef
Senior Product Manager

 

Was macht AGPM ?

  • Versionierung, History&Rollback von Group Policie Changes
  • Role Based Administration & Templates
  • Workflow
  • Offline Editing

 

derzeitige Version: 3.0
nächste Version: 4.0  (End CY09), GA Anfang CY10

 

Bei nicht Verwendung von AGPM:

  • Ich kann nur die Verwendung von GPs erlauben – dann darf der Admin alles
  • Ich arbeite am “offenen Herzen” jede Änderung wird sofort wirksam
  • kein Reporting – ich sehe nicht was passiert ist

 

Terminology:

Archive: Offline Environment, Ort wo die Backups gespeichert sind,

Production/LIve: ist die Echtumgebung

Delegation: Rollen – wer darf was

Deploy: Dinge aus dem Archive (offline) ins Online Environment stellen

 

Architektur:

AGPM Server – hier sind die AGPM Server componenten installiert - Archive – hat Kopien der GPOs  - ist ein Filesystem

Production: meine Domain Controller

Administrative Desktop – hier liegen die AGPM Admin Komponenten

 

 

New 3.0 Features Überblick:

  • Support für Vista und WIndows Server 2008
    Support auch für x64 Plattform
    Benötigt Vista SP1 oder Server 2008 – kein Xp oder WinServer 2003 (Management Console  + AGPM Server)
    Das Betriebssystem der Clients, die im Netz hängen ist egal – es geht um die AGPM-Konsole und den Server

  • Delegation:
    Approver – kann approven und das LiveSystem verändern
    Changer – kann ändern, aber nicht das Online_Environment ändern
    Reviewer – kann nur lesen, nix ändern

    Rechte kann ich entweder auf alle GPOs geben oder detailliert auf einzelne GPOs

  • Customizable Permissions – die Berechtigungen auf die GPOs können nun verwaltet werden
    Früher waren die Berechtigungen auf den ProduktionGPOs massiv eingeschränkt
    Heute kann ich definieren, wer in meinen Live GPOs Rechte hat

  • Besseres “Change Tracking”
    Nur check-Ins wurden getrackt 
    Nun werden alle Stati, durch die eine GPO geht getrackt (Requests, approval, deployment,…)

  • Delete historical Data
    alte GPO Daten löschen – ich kann sagenl ic will z.b. nur 25 Versionen einer GPO aufheben

  • Localization – 10 Sprachen

 

Workflow

  • Control
    alle oder einzelne GPOs können im Offline Environment bearbeitet werden
    Bestehende GPOs kann ich mit “Control” in den AGMP Server importieren
  • Check Out, Edit, Check.In, Request
    Bevor ich Änderungen mache, muss ich sie vorher auschecken
    Generiert mir eine lokale Änderung, die ich mit dem GP Editor bearbeiten kann
    Dann check ich die GPO wieder ein
    Danach fordere ich  - wenn ich das Recht nicht habe – die Einspielung in die Produktion ein
    Damit kommt die Änderung in den Pending-Tab und schickt eine Mail
    Ein Administraotr muss die Änderung dann approven oder declinen
  • Reporting
    viele unerschiedlichen Reports (Settings Report, Difference Report (Unterschied zwischen Production und Histroy, Unterschied zwischen unterschiedlichen GPOs
  • Deployment
    Die geänderte GPO wird in das Production System eingespielt und aktiviert
    Deployen kann nur der Approver

 

ROI - schnell und einfach aufgesetzt – höhere Sicherheit – weniger Probleme mit GPOs weil koordiniert und Rollback möglich

 

AGPM Roadmap

AGPM 3.0 – fertig, verfügbar

AGPM 4.0 – Cross Forest GPO Management (move GPOs from test to production), Automation – CY09 – GA CY10

 

Ich denke, das das für alle UNternehmen mit mehr als einem Admin sinnvoll ist…

 

Christian – live von Barcelona

Christian.Decker@microsoft.com