TechEd2008: MDOP: Managing GPOs with Advanced Group Policy Management

CLI317

Mark Gray
Program Manager

Winni Verhoef
Senior Product Manager

Was macht AGPM ?

• Versionierung, History&Rollback von Group Policie Changes
• Role Based Administration & Templates
• Workflow
• Offline Editing

derzeitige Version: 3.0
nächste Version: 4.0  (End CY09), GA Anfang CY10

Bei nicht Verwendung von AGPM:

• Ich kann nur die Verwendung von GPs erlauben – dann darf der Admin alles
• Ich arbeite am “offenen Herzen” jede Änderung wird sofort wirksam
• kein Reporting – ich sehe nicht was passiert ist

Terminology:

Archive: Offline Environment, Ort wo die Backups gespeichert sind,

Production/LIve: ist die Echtumgebung

Delegation: Rollen – wer darf was

Deploy: Dinge aus dem Archive (offline) ins Online Environment stellen

Architektur:

AGPM Server – hier sind die AGPM Server componenten installiert - Archive – hat Kopien der GPOs  - ist ein Filesystem

Production: meine Domain Controller

Administrative Desktop – hier liegen die AGPM Admin Komponenten

New 3.0 Features Überblick:

• Support für Vista und WIndows Server 2008
  Support auch für x64 Plattform
  Benötigt Vista SP1 oder Server 2008 – kein Xp oder WinServer 2003 (Management Console  + AGPM Server)
  Das Betriebssystem der Clients, die im Netz hängen ist egal – es geht um die AGPM-Konsole und den Server
  
• Delegation:
  Approver – kann approven und das LiveSystem verändern
  Changer – kann ändern, aber nicht das Online_Environment ändern
  Reviewer – kann nur lesen, nix ändern
  
  Rechte kann ich entweder auf alle GPOs geben oder detailliert auf einzelne GPOs
  
• Customizable Permissions – die Berechtigungen auf die GPOs können nun verwaltet werden
  Früher waren die Berechtigungen auf den ProduktionGPOs massiv eingeschränkt
  Heute kann ich definieren, wer in meinen Live GPOs Rechte hat
  
• Besseres “Change Tracking”
  Nur check-Ins wurden getrackt 
  Nun werden alle Stati, durch die eine GPO geht getrackt (Requests, approval, deployment,…)
  
• Delete historical Data
  alte GPO Daten löschen – ich kann sagenl ic will z.b. nur 25 Versionen einer GPO aufheben
  
• Localization – 10 Sprachen

Workflow

• Control
  alle oder einzelne GPOs können im Offline Environment bearbeitet werden
  Bestehende GPOs kann ich mit “Control” in den AGMP Server importieren
• Check Out, Edit, Check.In, Request
  Bevor ich Änderungen mache, muss ich sie vorher auschecken
  Generiert mir eine lokale Änderung, die ich mit dem GP Editor bearbeiten kann
  Dann check ich die GPO wieder ein
  Danach fordere ich  - wenn ich das Recht nicht habe – die Einspielung in die Produktion ein
  Damit kommt die Änderung in den Pending-Tab und schickt eine Mail
  Ein Administraotr muss die Änderung dann approven oder declinen
• Reporting
  viele unerschiedlichen Reports (Settings Report, Difference Report (Unterschied zwischen Production und Histroy, Unterschied zwischen unterschiedlichen GPOs
• Deployment
  Die geänderte GPO wird in das Production System eingespielt und aktiviert
  Deployen kann nur der Approver

ROI - schnell und einfach aufgesetzt – höhere Sicherheit – weniger Probleme mit GPOs weil koordiniert und Rollback möglich

AGPM Roadmap

AGPM 3.0 – fertig, verfügbar

AGPM 4.0 – Cross Forest GPO Management (move GPOs from test to production), Automation – CY09 – GA CY10

Ich denke, das das für alle UNternehmen mit mehr als einem Admin sinnvoll ist…

Christian – live von Barcelona

Christian.Decker@microsoft.com