Технический обзор AGPM

Microsoft Расширенное управление групповыми политиками — это приложение клиент-сервер. На сервере AGPM хранятся Объекты групповой политики (GPO) в автономном режиме в архиве, который создается службой AGPM в файловой системе сервера. Администраторы групповых политик используют оснастку AGPM для Консоль управления групповыми политиками, чтобы работать с объектами групповой политики на сервере, содержащем архив. Общее представление о компонентах AGPM и связанных элементах, о том, как они хранят объекты групповой политики в файловой системе, а также о том, как разрешения управляют действиями, доступными для каждой роли пользователя, может улучшить эффективность работы администраторов групповых политик со службой AGPM.

Терминология

Ниже приведены значения основных терминов AGPM.

  • Клиент AGPM. Компьютер с оснасткой AGPM для Консоль управления групповыми политиками, с помощью которого администраторы групповых политик управляют объектами групповой политики.

  • Оснастка AGPM. Программный компонент, установленный на клиентах AGPM для управления объектами групповой политики.

  • AGPM-сервер: Сервер, на котором запущена служба AGPM, а также осуществляется управление архивом. Каждый сервер AGPM может управлять только одним архивом, однако один сервер AGPM может управлять архивными данными для нескольких доменов в одном архиве. Архив может быть расположен на компьютере, отличным от сервера AGPM.

  • Служба AGPM. Программный компонент AGPM, который запускается на сервере AGPM как служба. Эта служба управляет объектами групповой политики в архиве и производственной среде данного леса.

  • Архив. В AGPM это центральное хранилище, которое содержит управляемые объекты групповой политики, которыми управляет связанный сервер AGPM, в дополнение к журналу для каждого такого объекта групповой политики. Сюда входят все предыдущие управляемые версии каждого объекта групповой политики. Архив состоит из файла индексов архива и связанных архивных данных, которые могут включать данные для объектов групповой политики в нескольких доменах. Архив может быть расположен на компьютере, отличным от сервера AGPM.

  • Управляемый объект групповой политики. Объект групповой политики, управляемый AGPM. AGPM управляет журналом и разрешениями управляемых объектов групповой политики, которые хранит в архиве.

  • Неуправляемый объект групповой политики. Объект групповой политики в производственной среде для домена, который не управляется AGPM.

Что устанавливает, создает и на что влияет AGPM

На сервере AGPM программа установки AGPM устанавливает службу AGPM. AGPM не изменяет службу каталогов Active Directory® или схему. По умолчанию файлы программы сервера AGPM устанавливаются в %ProgramFiles%\Microsoft\AGPM\Server. В случае необходимости можно установить службу на контроллере домена. Однако рекомендуется устанавливать службу AGPM на рядовой сервер.

На клиенте AGPM программа установки AGPM устанавливает оснастку AGPM, добавляя папку Изменение управления к каждому домену, отображаемому в консоли управления групповыми политиками. По умолчанию файлы программы клиента AGPM устанавливаются в %ProgramFiles%\Microsoft\AGPM\Client.

В таблице 1 приведены описания обоих элементов, которые AGPM устанавливает или создает, а также составляющих операционной системы, которые влияют на работу AGPM.

Таблица 1. Элементы, установленные или созданные AGPM, а также на которые влияет AGPM

Элемент Описание

Служба AGPM

Служба AGPM работает на сервере AGPM. Эта служба управляет архивом, который содержит объекты групповой политики в автономном режиме, а также управляемые объекты групповой политики в производственной среде. Конфигурация службы AGPM по умолчанию следующая:

  • Имя службы: Служба AGPM

  • Отображаемое имя: Служба AGPM

  • Путь к исполняемому файлу: %ProgramFiles%\Microsoft\AGPM\Server\Agpm.exe

  • Автозагрузка:Автоматически

  • Вход в качестве: Учетная запись службы AGPM, указанная во время установки сервера AGPM, которую можно изменить с помощью компонента Программы и компоненты в пункте Панель управления.

Архив AGPM

По умолчанию AGPM создает архив в %ProgramData%\Microsoft\AGPM на сервере AGPM. Архив предоставляет хранилище для автономных объектов групповой политики, а также может хранить несколько версий каждого объекта групповой политики. Изменения, вносимые AGPM в объекты групповой политики в архиве, не влияют на производственную среду до тех пор, пока Администратор расширенного управления групповыми политиками или утверждающий не развернет объект групповой политики в производственной среде и не свяжет объект групповой политики с подразделением

Брандмауэр Windows

Во время установки AGPM включает правило входящего трафика брандмауэра Windows, который позволяет клиенту AGPM связываться с сервером AGPM. По умолчанию правило брандмауэра Windows следующее:

  • Имя: Служба AGPM

  • Действие: Разрешение подключения

  • Программы: Все программы, соответствующие указанным условиям

  • Тип протокола: TCP

  • Локальный порт: 4600

  • Удаленный порт: Все порты

  • Локальный IP-адрес: Любая

  • Удаленный IP-адрес: Любая

Почтовый сервер

AGPM использует протокол SMTP для отправки запросов по электронной почте на адреса, настроенные на вкладке Делегирование домена. Например, когда редактор запрашивает создание нового объекта групповой политики, AGPM отправляет уведомление на каждый адрес, указанный на вкладке Делегирование домена.

Оснастка AGPM

Оснастка AGPM для консоли управления групповыми политиками работает на клиентах AGPM и используется администраторами групповых политик для управления объектами групповой политики. Оснастка отображается в консоли управления групповыми политиками как папка Изменение управления в каждом домене.

Дополнительные ссылки

Дополнительные сведения о файлах, устанавливаемых AGPM, см. в Руководстве по планированию AGPM.

Архив

По умолчанию процесс установки сервера AGPM создает архив на локальном жестком диске сервера AGPM в %ProgramData%\Microsoft\AGPM. Однако можно изменить путь во время установки и даже создать архив на сервере, отличном от сервера AGPM.

Архив содержит подпапку для каждой версии каждого объекта групповой политики, который находится в архиве. Имя каждой подпапки — это глобальный уникальный ИД (GUID), который обозначает версию объекта групповой политики.

Файл gpostate.xml записывает состояние каждого объекта групповой политики в архиве. Этот файл является манифестом, который описывает содержимое архива. Например, у объекта групповой политики может быть много версий, и каждая версия находится в своей собственной подпапке в архиве. Файл gpostate.xml указывает, какие подпапки содержат различные версии одного и того же объекта групповой политики. К тому же у шаблонов объектов групповой политики есть подпапки в архиве, однако gpostate.xml указывает на то, что это шаблоны, а не управляемые объекты групповой политики. Подобным образом, когда администраторы групповых политик удаляют объекты групповой политики, AGPM изменяет их состояния в gpostate.xml для обозначения того, что эти объекты находятся в Корзине, но на самом деле подпапки этих объектов не удаляются из архива.

CautionВнимание
Не редактируйте вручную gpostate.xml или объекты групповой политики, которые содержатся в архиве. Эти сведения предоставляются только для более получения более глубокого предоставления об архиве AGPM. Вместо этого используйте оснастку AGPM для изменения объектов групповой политики.

Когда AGPM создает архив, предоставляется Полный доступ СИСТЕМЕ, администраторам и учетной записи службы AGPM (указанной при установке сервера AGPM). Изменение разрешений с помощью пользовательского интерфейса AGPM в оснастке AGPM не изменяет разрешения в архиве, потому что учетная запись службы AGPM выполняет все операции от лица выполнившего вход пользователя.

Дополнительные ссылки

Для получения сведений о том, как создать резервную копию архива или переместить и сервер AGPM, и архив, см. раздел «Выполнение задач администратора AGPM» в Руководстве пользователя для AGPM.

Роли и разрешения

Упрощение делегирования ролей. Вместо назначения подробных разрешений администраторам групповых политик Администраторы расширенного управления групповыми политиками может назначить одну из четырех ролей администраторам групповых политик, чтобы позволить им выполнять задачи, относящиеся к данной роли.

  • Администратор расширенного управления групповыми политиками: Администраторы групповых политик, которым назначена роль Администратор расширенного управления групповыми политиками (полный доступ) могут выполнять любые задачи в AGPM. Администраторы расширенного управления групповыми политиками может настраивать параметры во всем домене и делегировать разрешения другим администраторам групповых политик.

  • Утверждающий Администраторы групповых политик, которым назначена роль утверждающего, могут развертывать объекты групповой политики в производственной среде домена. Утверждающие могут также создавать и удалять объекты групповой политики, а также утверждать или отклонять запросы редакторов. Утверждающие могут просматривать список объектов групповой политики в домене, просматривать параметры политики в объектах групповой политики, а также создавать и просматривать отчеты по параметрам политики в объекте групповой политики. Они не могут редактировать параметры политики в объектах групповой политики до тех пор, пока им также не назначат роль редактора.

  • Редактор. Администраторы групповых политик, которым назначена роль редактора, могут просматривать список объектов групповой политики в домене, просматривать параметры политики в объектах групповой политики, редактировать параметры политики в объектах групповой политики, а также создавать и просматривать отчеты по параметрам политики в объекте групповой политики. Они не могут создавать, развертывать и удалять объекты групповой политики до тех пор, пока им также не назначат роль утверждающего. Однако они могут отправлять запросы на создание, развертывание и удаление объектов групповой политики.

  • Проверяющий. Администраторы групповых политик, которым назначена роль проверяющего, могут просматривать список, а также создавать и просматривать отчеты по параметрам политики в объекте групповой политики. Они не могут редактировать параметры политики в объекте групповой политики до тех пор, пока им также не назначат роль редактора.

AGPM предоставляет Администраторы расширенного управления групповыми политиками гибкие возможности настройки разрешений на более детальном уровне, чем назначение ролей с помощью оснастки AGPM. В таблице 2 описаны эти разрешения, а также указаны разрешения, предоставляемые каждой роли по умолчанию.

 

Разрешение Описание Администратор расширенного управления групповыми политиками Утверждающий Редактор Проверяющий.

Полный доступ

Имеет все разрешения.

Yes

Создание объекта групповой политики

Создание объектов групповой политики в домене.

Yes

Yes

Список содержимого

Список объектов групповой политики в домене.

Yes

Yes

Yes

Yes

Прочесть параметры

Чтение параметров политики в объекте групповой политики.

Yes

Yes

Yes

Yes

Изменить параметры

Изменение параметров политики в объекте групповой политики.

Yes

Yes

Удаление объекта групповой политики

Удаление объекта групповой политики.

Yes

Yes

Изменение параметров безопасности

Делегирование прав доступа на уровне домена, делегирование прав доступа к отдельному объекту групповой политики и делегирование прав доступа к производственной среде.

Yes

Развертывание объекта групповой политики

Развертывание объекта групповой политики из архива в производственную среду.

Yes

Yes

Создание шаблона

Создание шаблона объекта групповой политики в AGPM.

Yes

Yes

Параметры изменения

Настройка уведомлений по электронной почте AGPM и ограничение версий объекта групповой политики, хранящихся в архиве.

Yes

Экспорт объекта групповой политики

Экспорт объекта групповой политики в файл.

Yes

Yes

Импорт объекта групповой политики

Импорт объекта групповой политики из файла.

Yes

Yes

noteПримечание
Разрешения Экспорт объекта групповой политики и Импорт объекта групповой политики недоступны в версиях AGPM 3.0 и 2.5.

Возможность делегирования прав доступа к объектам групповой политики в производственной среде для домена, а также возможность ограничения количества хранящихся версий объекта групповой политики недоступны в AGPM 2.5.

Дополнительные ссылки

Дополнительные сведения о том, какие задачи могут выполнять администраторы групповых политик, которым назначена определенная роль, а также о том, какие разрешения требуются для выполнения определенных задач, см. в Руководстве пользователя для AGPM.

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или присоединяйтесь к нам в Facebook или Twitter.
-----
Показ: