(0) exportieren Drucken
Alle erweitern

Übersichtsserie: Erweiterte Gruppenrichtlinienverwaltung

Betrifft: Windows Vista

Die erweiterte Gruppenrichtlinienverwaltung (Advanced Group Policy Management, AGPM) von Microsoft® unterstützt Sie bei der Verwaltung von Gruppenrichtlinienobjekten in Ihrer Umgebung durch Bereitstellen der Änderungssteuerung, Offlinebearbeitung und rollenbasierten Delegierung. AGPM ist eine Hauptkomponente des Microsoft Desktop Optimization Packs (MDOP). Dieses Whitepaper stellt eine Übersicht über AGPM dar und beschreibt deren Vorteile, die Funktionsweise und die nächsten Schritte zu ihrer Auswertung.

Übersicht

Stellen Sie sich ein Tool vor, das Ihnen dabei helfen kann, die Steuerung der Gruppenrichtlinie zu übernehmen. Was würde dieses Tool tun? Es würde Ihnen dabei helfen zu delegieren, wer Gruppenrichtlinienobjekte (GPO) überprüfen, bearbeiten und bereitstellen kann. Es würde Ihnen dabei helfen zu verhindern, das sich Fehler verbreiten, die sich beim Bearbeiten von Gruppenrichtlinienobjekten bei der Produktion ergeben haben. Sie könnten es zum Nachverfolgen der einzelnen Versionen jedes Gruppenrichtlinienobjekts verwenden. Jedes Tool, das diese Funktionen bietet, wenig kostet und einfach zu entwickeln war, ist es sicherlich wert, genauer betrachtet zu werden.

Ein derartiges Tool existiert tatsächlich, und es ist ein fester Bestandteil des Microsoft® Desktop Optimization Packs (MDOP) für Software Assurance. MDOP hilft Unternehmen dabei, die Kosten für die Bereitstellung von Anwendungen zu senken, die Verfügbarkeit von Anwendungen in Form von Diensten zu ermöglichen und die Verwaltung von Desktopkonfigurationen zu verbessern. Zusammen bieten die in Abbildung 1 dargestellten MDOP-Komponenten den Software Assurance-Kunden eine hochgradig kosteneffiziente und flexible Lösung zum Verwalten von Desktopcomputern.

Microsoft® Desktop Optimization Pack components

Abbildung 1. MDOP-Komponenten

Die erweiterte Gruppenrichtlinienverwaltung von Microsoft (Advanced Group Policy Management, AGPM) ist eine MDOP-Hauptkomponente. Sie unterstützt Kunden beim Bewältigen von Herausforderungen, die sich auf die Gruppenrichtlinienverwaltung in beliebigen Unternehmen auswirken, insbesondere in Unternehmen mit komplexen IT-Umgebungen (Information Technology). Ein stabiles Delegierungsmodell, eine rollenbasierte Verwaltung und die Genehmigung von Änderungsanforderungen bieten eine gezielte administrative Steuerung. Sie können z. B. Rollen für Prüfer (Reviewer), Bearbeiter (Editor) und genehmigende Person (Approver) an andere Administratoren delegieren — auch an Administratoren, die keinen Zugriff auf Gruppenrichtlinienobjekte in der Produktion haben. Die Rolle "Bearbeiter" kann Gruppenrichtlinienobjekte bearbeiten, aber nicht bereitstellen. Die Rolle "Genehmigende Person" kann Änderungen an Gruppenrichtlinienobjekten bereitstellen. AGPM hilft auch dabei, das Risiko von weit verbreiteten Fehlern zu verringern. Sie können AGPM verwenden, um Gruppenrichtlinienobjekte offline außerhalb der Produktionsumgebung zu bearbeiten, und dann Änderungen prüfen und auf einfache Weise Unterschiede zwischen Versionen von Gruppenrichtlinienobjekten ermitteln. Außerdem unterstützt AGPM eine effektive Änderungssteuerung, indem die Versionsnachverfolgung, Verlaufserfassung und ein schnelles Rollback von bereitgestellten Änderungen von Gruppenrichtlinienobjekten bereitgestellt wird. Es unterstützt auch einen Verwaltungsworkflow, indem Ihnen gestattet wird, Vorlagenbibliotheken für Gruppenrichtlinienobjekte zu erstellen und E-Mail-Benachrichtigungen über Änderungen von Gruppenrichtlinienobjekten zu senden.

In diesem Whitepaper werden die wichtigsten Features von AGPM beschrieben: Änderungssteuerung, Offlinebearbeitung und rollenbasierte Delegierung. Anschließend wird beschrieben, wie Software Assurance-Kunden sofort mit der Auswertung von AGPM beginnen können.

Offlinebearbeitung

Das AGPM-Archiv stellt Offlinespeicher für Gruppenrichtlinienobjekte bereit. Wie in Abbildung 2 veranschaulicht, wirken sich auf Gruppenrichtlinienobjekte im Archiv vorgenommene Änderungen so lange nicht auf die Produktionsumgebung aus, bis Sie die Gruppenrichtlinienobjekte bereitstellen. Indem Änderungen auf das Archiv beschränkt werden, können Sie Gruppenrichtlinienobjekte ohne Auswirkungen auf die Produktionsumgebung bearbeiten und testen. Nachdem die Änderungen überprüft und genehmigt wurden, können Sie diese mit dem Wissen bereitstellen, dass bei Bedarf schnell ein Rollback durchgeführt werden kann, wenn sie unerwünschte Nebeneffekte aufweisen.

Diagram showing offline editing of GPOs

Abbildung 2. Offlinebearbeitung

GPMC-Integration

AGPM besitzt eine Server- und eine Clientkomponente, die Sie jeweils separat installieren. Zuerst installieren Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) und die Serverkomponente auf einem Serversystem, das über den Zugriff auf die zu verwaltenden Richtlinien verfügt. Dann installieren Sie den GMPC- und AGPM-Client auf einem Computer, über den Administratoren Richtlinien überprüfen, bearbeiten und bereitstellen können. Sie können den Client unter Windows Vista® oder Windows Server® 2003 ausführen.

Der AGPM-Client wird vollständig in die Gruppenrichtlinien-Verwaltungskonsole integriert, wie in Abbildung 3 gezeigt. Administratoren können Gruppenrichtlinienobjekte in jedem Ordner für die Änderungssteuerung innerhalb der einzelnen Domänen überprüfen, bearbeiten und bereitstellen. Die in der Liste der Gruppenrichtlinienobjekte auf der Registerkarte "Gesteuert" angezeigten Gruppenrichtlinienobjekte werden im Archiv des AGPM-Servers gespeichert. Die an diesen Gruppenrichtlinienobjekten vorgenommenen Änderungen wirken sich nicht auf die Produktionsumgebung aus, bis Administratoren mit der Rolle "Genehmigender" die Gruppenrichtlinienobjekte für die Produktion bereitstellen.

Screenshot of Group Poilicy Management console

Abbildung 3. AGPM-Integration mit GPMC

Änderungssteuerung

AGPM bietet erweitere Features für die Änderungssteuerung, die Ihnen beim Verwalten und Steuern von Gruppenrichtlinienobjekten helfen. Viele der Konzepte für die AGPM-Änderungssteuerung sind den Administratoren bereits bekannt, die Erfahrung mit der Verwendung allgemeiner Tools zur Versionskontrolle haben, z. B. das Feature zur Versionskontrolle in Microsoft Windows® SharePoint® Services. Folgende Schritte sind zum Ändern und Bereitstellen eines Gruppenrichtlinienobjekts erforderlich:

  1. Auschecken des Gruppenrichtlinienobjekts aus dem Archiv.

  2. Bearbeiten des Gruppenrichtlinienobjekts nach Bedarf.

  3. Einchecken des Gruppenrichtlinienobjekts in das Archiv.

  4. Bereitstellen des Gruppenrichtlinienobjekt für die Produktion.

Die Änderungssteuerung umfasst mehr als das reine Aus- und Einchecken aus einem bzw. in ein Archiv. Sie können jede beliebige Version eines Gruppenrichtlinienobjekts für die Produktion bereitstellen, daher kann bei Bedarf schnell ein Rollback auf eine frühere Version durchgeführt werden. AGPM kann verschiedene Versionen von Gruppenrichtlinienobjekten vergleichen und die Einstellungen anzeigen, die hinzugefügt, geändert oder gelöscht wurden. Auf diese Weise können Sie die Änderungen einfach überprüfen, bevor Sie diese für die Produktionsumgebung genehmigen und bereitstellen.

Advanced Group Policy Management

Abbildung 4. Verlauf von Gruppenrichtlinienobjekten

Rollenbasierte Delegierung

Die Gruppenrichtlinie stellt bereits ein umfassendes Delegierungsmodell bereit. Dieses ermöglicht es Ihnen, die Verwaltung an regionale und aufgabenorientierte Administratoren zu delegieren. Es bietet Administratoren auch die Möglichkeit, ihre eigenen Änderungen zu genehmigen. Demgegenüber stellt AGPM ein rollenbasiertes Delegierungsmodell bereit, das dem Workflow einen Schritt für die Überprüfung und für die Genehmigung hinzufügt, wie in Abbildung 5 gezeigt.

Diagram of Role-based delegation.

Abbildung 5. Rollenbasierte Delegierung

AGPM definiert drei spezielle Rollen, um dieses Delegierungsmodell zu unterstützen:

  • Prüfer. Die der Rolle "Prüfer" zugeordneten Administratoren können Gruppenrichtlinienobjekte anzeigen und vergleichen. Sie können diese nicht bearbeiten oder bereitstellen.

  • Bearbeiter: Die der Rolle "Bearbeiter" zugeordneten Administratoren können Gruppenrichtlinienobjekte anzeigen und vergleichen. Sie können Gruppenrichtlinienobjekte aus dem Archiv auschecken, bearbeiten und wieder in das Archiv einchecken. Außerdem können Sie die Bereitstellung eines Gruppenrichtlinienobjekts anfordern.

  • Genehmigende Person. Die der Rolle "Genehmigende Person" zugeordneten Administratoren können die Erstellung und Bereitstellung von Gruppenrichtlinienobjekten genehmigen. (Wenn die der Rolle "Genehmigende Person" zugeordneten Administratoren ein Gruppenrichtlinienobjekt erstellen oder bereitstellen, erfolgt die Genehmigung automatisch.)

Sie können diesen Rollen für alle gesteuerten Gruppenrichtlinienobjekte innerhalb der Domäne Administratoren und Gruppen zuordnen. Sie können beispielsweise Administratoren global der Rolle "Prüfer" zuordnen, wodurch diese sämtliche gesteuerten Gruppenrichtlinienobjekte in der Domäne überprüfen können. Sie können diesen Rollen auch Administratoren für einzelne gesteuerte Gruppenrichtlinienobjekte zuordnen. Anstatt den Administratoren die Bearbeitung sämtlicher gesteuerter Gruppenrichtlinienobjekte in der Domäne zu gestatten, können Sie ihnen z. B. eine bestimmte Berechtigung zum Bearbeiten einzelner gesteuerter Gruppenrichtlinienobjekte gestatten, indem Sie ihnen die Rolle "Bearbeiter" ausschließlich für diese Gruppenrichtlinienobjekte zuweisen.

Zusammenfassung

Forsyth County umfasst den Großraum von Winston-Salem, North Carolina. Seine Bevölkerung von knapp 325.000 verteilt sich auf ein Gebiet von 1069 Quadratkilometern. Die IT-Abteilung des Verwaltungsbezirks unterstützt ungefähr 1.400 Benutzer und 1.650 Desktopcomputer.

Forsyth County suchte nach einer Lösung für die Verwaltung von Desktopcomputern, die nicht die Serversicherheit gefährdet und den Verwaltungsbezirk dabei unterstützt, die Konfigurationen der Desktopcomputer schnell zu aktualisieren und außerdem einen umfassenden Verlauf der Änderungen bereitstellt. Michael Wilcox, MIS Client Services Supervisor, sagt: "Ich habe an einem Seminar über Gruppenrichtlinien teilgenommen und die erweiterte Gruppenrichtlinienverwaltung von Microsoft (Advanced Group Policy Management, AGPM) kennen gelernt. Ich war beeindruckt, wie sie die Delegierungsmöglichkeiten für Administratoren erweitern kann." Forsyth County hat sich dann für die Implementierung von AGPM entschieden.

Nach der Bereitstellung von AGPM wurden die Vorteile in Forsyth County unmittelbar umgesetzt. "Es ist erstaunlich. Das Verwalten der Desktopkonfigurationen gestaltet sich wesentlich einfacher. Ohne diese Lösung wären wir aufgeschmissen", sagt Wilcox. Durch die Verwendung von AGPM können in diesem Verwaltungsbezirk die Gruppenrichtlinienobjekte einfach und sicher erstellt werden. Sie können Gruppenrichtlinienobjekte ohne Auswirkungen auf die Produktionsumgebung erstellen und ändern. Die Administratoren in Forsyth County müssen ihre Änderungen nicht manuell dokumentieren, da AGPM einen umfassenden Verlauf der Änderungen aufzeichnet. Laut Wilcox hat sich die erweiterte Gruppenrichtlinienverwaltung als eine Art Allheilmittel erwiesen. Seine automatisierte Änderungsverwaltung und die workflowfähigen Delegierungsfunktionen sind beeindruckend. Ohne diese Funktionen könnte ich die Gruppenrichtlinienobjekte kaum verwalten."

AGPM ist eine Zusatzlizenz, die nur für Software Assurance-Kunden verfügbar ist. Starten Sie bereits heute mit der Evaluierung, indem Sie die folgenden Schritte durchführen:

  • Herunterladen und Testen von AGPM. Die Evaluierung von AGPM ist für Kunden mit Volumenlizenzierung und für MSDN®-Abonnenten verfügbar. Die Evaluierung umfasst eine schrittweise Anleitung, die den Kunden durch die meisten AGPM-Funktionen führt.

  • Weitere Informationen finden Sie auf der Website für Windows Vista für Unternehmen, Microsoft Desktop Optimization Pack.

Um zu erfahren, wie Ihnen AGPM und MDOP für Software Assurance helfen können, öffnen Sie die Website http://www.windowsvista.com/optimizeddesktop (möglicherweise in englischer Sprache). Diese Website bietet Videos und Tabellenblätter, die Sie bei der Evaluierung von AGPM unterstützen.

Informationen zum Autor:

Jerry Honeycutt ist Autor, Sprecher und Technologieexperte. Er hat über 25 Bücher verfasst, z. B. Microsoft Windows Desktop Deployment Resource Kit (Microsoft Press, 2004).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft