Мicrosoft Desktop Optimization Pack (MDOP) — это пакет приложений, включающий на сегодня шесть отдельных решений, которые должны помочь администраторам в решении типовых задач управления рабочими станциями и приложениями в корпоративном окружении: Microsoft Application Virtualization, Microsoft Asset Inventory Service, Microsoft Diagnostics and Recovery Toolset, Microsoft Advanced Group Policy Management, Microsoft System Center Desktop Error Monitoring и Microsoft Enterprise Desktop Virtualization.

В этой статье я хочу рассказать об Advanced Group Policy Management, или AGPM, — средстве расширенного управления групповыми политиками. Описание предназначения каждой из составляющих пакета можно найти в моих предыдущих статьях, опубликованных в Windows IT Pro/RE № 7 за 2008 г. и № 2 за 2009 г., а также на Microsoft TechNet по адресу: http://technet.microsoft.com/en-us/windows/bb899442.aspx.

В свое время появление Group Policy Management Console (GPMC), консоли управления групповыми политиками, стало важным шагом на пути совершенствования инструментария интерактивного управления объектами групповых политик Group Policy Objects (GPO) службы каталога Active Directory (AD). Но и этот инструмент оказался небезупречен. В небольших и несложных средах его применение не вызывало серьезных нареканий. Однако в производственном окружении с распределенным администрированием проявлялись различные недостатки GPMC, да и самой модели управления групповыми политиками в целом:

  • отсутствие ролевого механизма делегирования полномочий по управлению GPO;
  • непродуманное редактирование объектов групповых политик «вживую» в динамике производственного окружения могло привести к нежелательным последствиям — администраторы просто могли переписать поверх друг друга одни и те же GPO;
  • определенного рода трудности восстановления групповых политик из резервной копии с сохранением их «привязки» к организационным подразделениям (для этого использовался пакет дополнительных сценариев из комплекта GPMC);
  • отсутствие механизма контроля внесения изменений (а именно: зачем, кем и когда) и механизма контроля версий GPO с возможностью возврата к предыдущим вариантам.

Компонент MDOP под названием Advanced Group Policy Management был выпущен с целью преодоления перечисленных недостатков и расширения имевшихся возможностей GPMC.

Что усовершенствовано

AGPM стал не просто еще одной эффективной оснасткой консоли управления. Теперь это служба, имеющая и клиентский, и серверный компонент, которая контролирует все операции по управлению групповыми политиками. Данная служба улучшает существующую линейную модель делегирования полномочий и работает как своеобразный посредник для доступа к хранилищу объектов групповых политик. Использование службы AGPM позволяет добиться следующих результатов:

  • происходит ролевое делегирование полномочий по редактированию объектов групповых политик;
  • все вызванные на редактирование политики редактируются в автономном режиме;
  • объекты групповых политик централизованно хранятся в архиве на сервере AGPM, в роли которого может выступать рабочая станция администратора;
  • поддерживается контроль версий GPO.

На уровне интерфейса AGPM добавляет в оснастку GPMC консоли управления Windows дополнительный узел Change control и вкладку History с подробной предысторией изменений для каждого представления GPO. Практически все операции по расширенному управлению GPO администраторы выполняют через элемент Change Control (см. экран 1).

На физическом уровне AGPM создает свой, отдельный от находящегося в папке SysVol архив групповых политик в каталоге C:ProgramDataMicrosoftAGPM. Те GPO, которые прошли регистрацию в этом архиве, называются управляемыми.

Процесс управления GPO в сети со сложной структурой, с распределенным администрированием и использованием возможностей AGPM подразумевает назначение администраторам AD таких четырех функциональных ролей (а фактически наборов разрешений на GPO): Full Control («Администратор»), Editor («Редактор»), Reviewer («Обозреватель») и Approver («Цензор»). Роль Reviewer включена во все остальные роли и позволяет просмотреть настройки управляемых GPO, создать отчеты о настройках и т. д. Основными же «игроками» в развертывании управляемых GPO являются администраторы, которым назначены роли Editor и Approver.

Если говорить упрощенно, то логика взаимодействия этих ролей заключается в следующем. Editor запрашивает создание (изменение) существующего GPO или Approver самостоятельно создает новый, так называемый «контролируемый», GPO. Кстати, те объекты групповых политик, которые существовали до момента развертывания AGPM, помечаются как «неконтролируемые» и редактируются обычным порядком, но могут быть импортированы в хранилище «управляемых GPO», т. е. в архив сервера AGPM. Экран 2 иллюстрирует это действие.

Роли Editor дано право загрузки GPO из архива (Check out) и последующего редактирования. После внесения необходимых изменений она выгружает ее назад в архив (Check in). Это позволяет безопасно редактировать объекты групповых политик. Безопасность обеспечивается службой AGPM, которая и накладывает блокировку на GPO в архиве и предотвращает попытки доступа к уже редактируемому GPO другим администраторам. По окончании редактирования измененная копия регистрируется в архиве на сервере AGPM и, если нужно, помечается ролью Editor для утверждения на развертывание (параметр Deploy, см. экран 3).

При этом формируется и отсылается административное оповещение (см. экран 4) сотруднику с ролью Approver, и GPO переходит в состояние «ожидающий утверждения» (Pending).

Как видно из диалогового окна на экране 5, административные оповещения достаточно информативны.

Проанализировав поступившие оповещения и содержание соответствующих политик на вкладке Pending в GPMC, Approver либо утверждает, либо отклоняет запрос на развертывание. После проведения такого рода «цензуры» объект групповых политик отправляется в производственное окружение (пункт Approve) и привязывается к нужным организационным подразделениям.

Роль Approver также обладает полномочиями на возврат GPO к его предыдущей версии, если в процессе эксплуатации были выявлены ошибки.

Более детально все возможные сценарии и порядок взаимодействия администраторов, которым через AGPM делегированы различные роли, изложены в руководстве «Step-by-Step Guide for Microsoft Advanced Group Policy Management 3.0», которое можно загрузить по адресу: http://technet.microsoft.com/en-us/library/cc983689.aspx.

Таким образом, AGPM предлагает достаточно детализированную модель ролевого делегирования полномочий по управлению групповыми политиками. Более того, распределение полномочий может быть выполнено на двух уровнях: на уровне домена, с автоматическим наследованием разрешений на все политики домена, и на уровне конкретного GPO, с явно заданными разрешениями (см. экран 6).

Что нового

Что касается расширения возможностей редактирования объектов групповых политик, то диспетчер AGPM предоставил следующие расширения:

  • сравнение двух выбранных версий объектов групповых политик между собой или по отношению к исходному шаблону, с предоставлением отчета в форматах HTML и XML;
  • восстановление удаленных политик (функция «Корзины» для GPO);
  • создание библиотек шаблонов GPO;
  • административные оповещения по e-mail о процессе редактирования GPO (см. экран 5);
  • восстановление поврежденных или удаленных в производственном окружении GPO с помощью копий из архива AGPM.

Особое место в этом списке занимают уникальные функции шаблонов групповых политик и «Корзина».

Шаблоны GPO (GPO templates) позволяют сохранить настройки конкретной версии объекта групповых политик и в дальнейшем использовать их как отправную точку для создания новых объектов на их основе, используя некий базовый набор и значения настроек (baseline). Шаблон GPO, таким образом, является статической, неизменяемой версией GPO. Администраторы, которым назначена роль Editor или Full Control, могут создавать шаблоны. Шаблоны не имеют предысторий, в отличие от обычных политик, и их удаление не влечет за собой никаких последствий. В целом функциональность шаблонов GPO похожа на Starter GPO в Windows Server 2008, за исключением того, что, в отличие от Starter GPO, здесь для изменения доступны любые настройки, даже за пределами административных шаблонов.

Корзина (Recycle Bin) предотвращает случайное удаление объектов групповых политик. Для выполнения операции удаления AGPMC предоставляет две возможности: «удалить только из архива» и «удалить из архива и из производственного окружения». Администраторы с ролями Approver и Full Control могут удалять и восстанавливать GPO из «Корзины». Впрочем, после восстановления в архиве GPO должен пройти процедуру развертывания в производственное окружение заново (см. экран 7).

Функция восстановления удаленных политик предоставляется и в другом варианте: GPO можно удалить из производственного окружения через контейнер Group Policy Objects (в этом случае на самом деле будут удалены файлы, отвечающие за хранение его настроек, из каталога SysVol) и восстановить из архива управляемых политик через узел Change Control повторным развертыванием в производственное окружение (выбрав пункт Deploy), см. экран 8. При этом будут восстановлены и привязки к организационным подразделениям.

Полезно, но…

AGPM и его усовершенствованная консоль GPMC представляют собой эффективные и одновременно простые инструменты администраторов, отвечающих за управление Active Directory. Предусмотренный в нем механизм делегирования полномочий позволяет управлять объектами групповых политик более удобным и безопасным способом. К тому же AGPM предлагает ряд уникальных решений, расширяющих стандартную функциональность GPMC и открывающих администраторам новые возможности для творчества. Одним словом, это продукт из разряда «обязательных». Но…

Для меня так и остался загадкой один вопрос: почему, принимая во внимание такие яркие преимущества AGPM, это средство до сих пор не включено в стандартный набор поставки серверных операционных систем семейства Windows 2008, а остается компонентом отдельного комплекта, который хоть и является лидером продаж 2008 года, но не получил столь широкого распространения, как собственно сами операционные системы?

GPMC сейчас фактически является компонентом серверной среды администрирования, но когда-то, не так уж давно, GPMC существовала и самостоятельно. Я думаю, стоит сделать аналогичный шаг и по отношению к ее доработанному варианту — «AGPM плюс GPMC», и надеюсь, что это будет реализовано в следующих версиях Windows Server.

Валерий Волобуев (vvolobuev@techexpert.ua) — тренер-консультант по информационным технологиям, УЦ «Сетевые Технологии», компания TechExpert, г. Киев


Интерфейс Group Policy Management Console после установки AGPM

Регистрация ранее созданного GPO в архиве AGPM

Запрос на развертывание в производственном окружении

Заполнение формы административного оповещения

Административные оповещения, приходящие на почтовый ящик администратора с ролью Approver

Два уровня делегирования полномочий по управлению GPO

Восстановление удаленного GPO из «Корзины» архива

Восстановление удаленной в производственном окружении GPO из ее копии в архиве AGPM