Como instalar e configurar o AGPM no Windows Server 2016

Uma das tarefas fundamentais que realizamos constantemente quando usamos Windows Server 2012 ou 2016 isto é ao controle todos os objetos de domínio, como usuários e equipes e sabemos que uma das maneiras mais práticas de realizar essa tarefa é usar políticas de grupo, uma vez que elas nos permitem gerenciar centralmente todos os parâmetros e valores desses objetos.

Com o avanço dos sistemas operacionais, as políticas de grupo também foram modificadas e hoje temos uma ferramenta muito poderosa chamada AGPM que hoje vamos analisar em detalhes em um ambiente Windows Server 2016.

O que é AGPMAGPM (gerenciamento avançado de política de grupo - administração avançada de política de grupo) é um aplicativo criado pela Microsoft que nos dá a possibilidade de assumir o controle específico sobre políticas de grupo em nossos domínios. Atualmente, a versão disponível do AGPM é 4.0 e tem as seguintes vantagens:

  • Apoia Windows 10
  • Suporta Windows PowerShell
  • Atualização do aplicativo de formulário seguro e automático
  • Suporta Windows Server 2012 R2 e Windows Server 2016

1. Termos relacionados ao AGPM


Existem certos termos usados ​​com frequência na AGPM, estes são:

Cliente AGPMÉ o computador onde instalamos o AGPM e de onde, como administradores, podemos gerenciar políticas de grupo.

Plug-in AGPMÉ um plugin de software que é instalado nos clientes AGPM para realizar o gerenciamento corretamente.

Servidor AGPMÉ o servidor que executa o Serviço AGPM e gerenciar arquivos.

Serviço AGPMÉ um componente de software que roda em um servidor AGPM como serviço.

ArquivoNo AGPM, é um armazém que contém o GPOs controlados que gerencia o servidor AGPM associado.

GPO controladoÉ um GPO que é gerenciando AGPM.

GPO não controladoÉ um GPO do ambiente de produção que o AGPM não controla.

2. Requisitos para instalar o AGPM no Windows Server 2016


Devemos atender a uma série de requisitos para a instalação do AGPM no Windows Server 2016, são eles:

.NET Framework 4.5.1Pudermos baixe a partir do seguinte link:

.Net Framework 4.5

PowerShell 3.0Caso não tenha, pode ser Descarregado a partir do seguinte link:

PowerShell 3.0

GPMC (Console de Gerenciamento de Política de Grupo - Console de Gerenciamento de Política de Grupo)Por defeito está instalado, mas caso não o tenha pode ser baixado a partir do seguinte link:

GPMC

Com esses requisitos em mente, prosseguimos com a instalação do AGPM no Windows Server 2016.

3. Instale o AGPM no Windows Server 2016


A Microsoft recomenda que o AGPM seja instalado em um servidor membro do domínio, mas não no controlador de domínio, mas se não tivermos mais opções, é possível instalá-lo lá.

Passo 1
O AGPM pode ser baixado do link a seguir. Lembre-se de que o AGPM requer grupos para gerenciar o serviço, por isso vamos Usuários e computadores do Active Directory e vamos criar os respectivos grupos.

AGPM

Passo 2
Criamos uma UO chamada AGPM e aí devemos criar a conta para que o serviço AGPM seja iniciado, para isso criamos os seguintes objetos:

  • Usuário do AGPM Solvetic
  • Incluímos este usuário no grupo Proprietários criadores de políticas de grupo
  • Os seguintes grupos foram criados para tarefas de gerenciamento AGPM:
  • Administradores AGPM
  • Aprovadores AGPM
  • Editores AGPM
  • Revisores AGPM

etapa 3
Uma vez que os grupos e usuários tenham sido definidos, continuamos com a instalação do AGPM executando o arquivo agpm_403_server_amd64 como administradores. O respectivo assistente de instalação será exibido.

Passo 4
En un punto determinado de la instalación debemos definir el usuario de servicio con el cual se ha de ejecutar el servicio AGPM, en este punto podemos crear un usuario específico para el servicio o si estamos en un controlador de dominio, como es el caso, seleccionamos opção Sistema local.

Etapa 5
Na próxima janela, selecionaremos a conta que você terá permissões totais Sobre o serviço, neste ponto adicionamos o grupo Administradores do AGPM que criamos.

Etapa 6
Na próxima janela configuramos a porta através da qual o AGPM receberá as solicitações do cliente, deixamos a que é por padrão, é 4600.

Etapa 7
Posteriormente definiremos os idiomas do AGPM e veremos que podemos iniciar a instalação pressionando o botão Instalar.

Etapa 8
Podemos ver que o Processo de instalação do AGPM e que após alguns segundos a instalação foi concluída com sucesso.

4. Instale o cliente AGPM no Windows Server 2016


Passo 1
Uma vez concluído o processo de instalação do Servidor AGPM, devemos instalar o cliente para completar toda a estrutura do AGPM. Para isso vamos executar o arquivo como administrador agpm_403_client_amd64.

Passo 2
Nós pressionamos Próximo e seguimos os passos do wizard e podemos ver em um momento da instalação que devemos definir o servidor que atuará como AGPM.

etapa 3
Podemos ver que o processo de instalação do Cliente AGPM é iniciado. Depois de alguns segundos, a instalação finalmente foi concluído com sucesso.

5. Opções do console AGPM


Como podemos ver quando instalamos o servidor e o cliente AGPM, nenhum acesso direto foi criado ou adicionado a qualquer aplicativo como tal, mas veremos as mudanças refletidas no gerenciamento da política de grupo.

Passo 1
Para acessá-los, podemos usar qualquer uma das seguintes opções:

  • Use o comando Corre e digite o comando gpmc.msc, pressione Enter.
  • Digite o termo administração na caixa de pesquisa do Windows Server e selecione a opção apropriada.

Passo 2
Assim que o administrador estiver aberto, veremos a seguinte janela.

etapa 3
A primeira diferença que notaremos em relação às políticas de grupo tradicionais é na hora de implantar nosso domínio, agora veremos um novo contêiner chamado Controle de mudanças.

Passo 4
Ao clicar em Controle de mudança podemos ver as seguintes opções.

Etapa 5
As opções básicas que temos são:

ConteúdoNessa guia, podemos gerenciar GPOs controlados ou não controlados.

Delegação de domínioA partir deste local, definimos o permissões a serem concedidas para cada usuário ou grupo de usuários no domínio. Da mesma forma que podemos adicione uma conta de e-mail para que, em algum momento, quando um usuário não autorizado tentar acessar o servidor AGPM, sejamos notificados dessa tentativa.

Servidor AGPMPor meio desta guia podemos ver e editar o endereço IP do servidor AGPM.

Delegação de produçãoNesta guia, podemos ver quais usuários e grupos têm permissão para acessar o ambiente de produção AGPM.

6. Tarefas básicas no AGPM

Assumindo o controle de GPOsUma das tarefas básicas que temos ao usar o AGPM é a capacidade de ter ao controle daqueles GPOs que atualmente não são controlados, lembre-se de que um GPO não controlado é aquele que está no ambiente de produção, mas não é gerenciado pelo AGPM.
Podemos ver os GPOs sem controle na guia Conteúdo / sem controle

Para assumir o controle desses GPOs, selecionaremos os GPOs que desejamos ter controle, clicar com o botão direito sobre eles e selecionar a opção Ao controle.

Assim que selecionarmos a opção Ao controle podemos ver a seguinte mensagem.

Nós pressionamos Aceitar e veremos que esses GPOs vão para a guia Verificado.

Crie um novo GPO controladoPara criar um GPO controlado do zero, devemos clicar com o botão direito em Controle de mudança e selecione a opção Novo GPO controlado.

Veremos o assistente a seguir, onde atribuiremos um nome ao GPO controlado.

Nós pressionamos Aceitar e veremos nosso GPO criado corretamente e poderemos visualizar várias opções ao clicar duas vezes no GPO.

PROLONGAR

Adicionar usuários para controlar GPOsUma tarefa que pode ser necessária é adicionar um novo usuário ou grupo diretamente do AGPM, e para isso faremos o seguinte:

Desde a janela Conteúdo nós selecionamos a opção Adicionar localizado na parte inferior e a seguinte janela será exibida onde devemos localizar o usuário ou grupo a adicionar.

Nós pressionamos Aceitar e a seguinte janela será exibida onde devemos definir o tipo de papel que o usuário ou grupo atenderá. Assim que a função for definida, clique em Aceitar.

Podemos ver que o usuário foi adicionado com sucesso.

Editar um GPO controladoEste é talvez um dos aspectos mais interessantes do AGPM é a segurança ao editar um GPO controlado. Para editar um GPO controlado, devemos fornecer clique com o botão direito no GPO e selecione Editar mas veremos o seguinte, a opção Editar É desativado por padrão.

Para habilitar a edição do GPO controlado devemos clicar no botão Verificação de saída e a janela a seguir será exibida, onde devemos explicar por que o GPO está desprotegido.

Nós pressionamos Aceitar e o processo de check-out será iniciado.

Agora, se clicarmos com o botão direito do mouse no GPO novamente, podemos ver que sua edição foi habilitada. (Status desprotegido).

Se clicarmos em Editar Poderemos fazer os ajustes necessários no GPO. Assim que as alterações forem concluídas, podemos pressionar o botão Proteger para evitar editá-lo.

Como vemos com o AGPM, temos em mãos uma ferramenta poderosa para administração centralizada de todos os GPOs da organização e têm controle mais específico sobre seus acessos e permissões. Para saber mais sobre o AGPM, podemos visitar o seguinte link.

Documentação AGPM

wave wave wave wave wave