AGPM

Publicado por Leonardo Ojedael

Hoy vamos a hablar sobre Advanced Group Policy Management (AGPM), esta herramienta está disponible junto a APP-V, Med-V, Dart, Mbam y Ais en el paquete MDOP (Microsoft Desktop Optimization Pack) el cual Microsoft ofrece únicamente a clientes con contrato de Software Assurance.

AGPM tiene como principal objetivo extender las prestaciones ofrecidas por la consola standard de administración de directivas de grupo (GPMC), simplificando la administración de directivas en el dominio y ofreciendo un mayor control sobre las mismas.

Las funcionalidades incluidas en AGPM adicionalmente de las soportadas por la GPMC son las siguientes:
-Permite revisar y modificar las directivas sin necesidad de aplicar los cambios en las mimas.
– Integración con la GPMC
– Ofrece control de versiones cuando modificamos cualquier directiva.
– Nos permite realizar un rollback de manera rápida de la directiva si hemos cometido algún error.
– Permite recuperar GPOs borradas y reparar directivas erróneas.
– Ofrece la posibilidad de crear informes diferenciados.
– Permite la definición de permisos granulares.

¿Cómo puedo integrar esta solución en mi infraestructura?

Es muy sencillo, la utilidad consta de dos partes, la parte servidor la cual debemos instalar en un servidor que tengo acceso a la políticas que queremos manejar (NO se recomienda sobre un DC) y el cliente, el cual también instalaremos sobre el mismo equipo donde instalemos el servidor de AGPM.

 

¿Dónde descargo AGPM?

Está utilidad se puede descargar únicamente desde el portal de descargas para clientes de Software Assurance.

 

Requerimientos

  • Utilizaremos un equipo unido a nuestro dominio (que NO sea DC), en este caso yo utilizaré un equipo con las RSAT de AD DS instaladas y .Net Framework 3.5

 

Empecemos!

  • Crearemos una OU con el nombre AGPM, dentro de ella crearemos dos OUs mas, Groups y Users:

  • Crearemos cuatro Grupos de Seguridad dentro de la OU Groups con los siguientes nombres:

  • Este paso es opcional (dado que pueden usar una cuenta con permisos de Domain Admin que ya tengan) pero para que se entienda, crearé una cuenta de usuario con el nombre agpmsvc (será la cuenta con todos los permisos):

  • A nuestra cuenta, la agregaremos a los grupos de Administrators, AGPMAdmin y Domain Admins:

  • Dentro de MDOP, encontrarán la carpeta de AGPM con dos instaladores, ejecutaremos el de Server primero:

  • Aceptamos los terminos de licencia y damos click en Next:

  • Dejamos el path por default y damos click en Next:

  • Daremos click en Next (en este caso lo dejé por default, pero pueden dejarlo en un disco distinto):

  • Elegimos la cuenta que tendrá los permisos full y realizará la administración:

  • Agregamos el grupo de AGPM Administradores que creamos previamente y continuamos:

  • Dejamos el puerto por default con el tilde de que se agregue como excepción a nuestro firewall y seguimos:

  • Eligen su idioma de preferencia y dan click en Next:

  • Por ultimo daremos click en Install:

  • Una vez que termine, daremos click en Finish:

  • Si nos vamos a los servicios, podemos observar que el servicio de AGPM ya se encuentra corriendo:

  • Volvemos a MDOP, a la carpeta de AGPM, pero está vez ejecutaremos el instalador del cliente:

  • Aceptamos los términos y damos click en Next:

  • Dejamos la ruta por default de instalación y damos Next:

  • Tenemos que elegir el servidor donde tenemos instalado el AGPM Server, el puerto ya viene por default, luego damos click en Next:

  • Elegimos nuestro idioma de preferencia y damos Next:

  • Podemos ver los detalles, y luego click en Install:

  • Una vez terminado, daremos click en Finish:

  • Abriremos GPM (Group Policy Management) y podemos ver que se nos agregó un apartado llamado “Change Control”, este es el que corresponde a AGPM, nos posicionaremos en la pestaña de Uncontrolled y podremos observar que están todas las politicas de nuestro Dominio:

  • Seleccionaremos todas (o las que queremos administrar con AGPM), daremos click derecho y seleccionaremos Control:

  • Detalle importante, cada vez que hagamos algun cambio sobre AGPM, nos pedirá un comentario, es importante que como profesionales dejemos un comentario especifico sobre lo que hicimos para tener un historial, una vez puesto nuestro comentario, daremos click en OK:

  • Nos mostrará un progreso de avance, una vez finalizado, daremos click en Close:

  • En la pestaña de Uncontrolled verán que no queda nada (o si dejaron alguna GPO que no pase por AGPM), si vamos a Controlled, vemos que están todas las GPO que marcamos:

 

Hasta aquí la nota con AGPM, hay mas opciones para realizar como por ejemplo cuando trabajemos con una GPO debemos hacerle un Check Out, modificación y luego hacerle un Check In para que vuelva a estar funcional, tenemos el historial (en el caso de que hayamos tenido un error y quisiéramos ver que fue lo que se modificó para revertirlo.

!Saludos!

 

 

Deja una respuesta