Utiliser AGPM
A partir du poste sur lequel vous avez installé le client, lancez la console GPMC. Rien n'a radicalement changer ormi le fait un nouveau noeud est apparu vers le bas de la console. Il s'agit de noeud "Contrôle des modifications".
Découverte
Découverte
Orsque vous sélectionnez le noeud "Contrôle des modifications", une succetion de 4 onglets principaux s'affichent
L'onglet "Contenu" d'apparence vierge dans un premier temps vous permettra de gérer vos GPOs.
L'onglet "Déléguation de domaine vous permettra de définir votre modérateur ainsi que de déléguer l'adminstration des GPOs
L'onglet "Serveur AGPM" bous permettra de redéfinir l'hôte serveur AGPM ainsi que son port ainsi que de supprimer les anciennes versions des GPOs afin l'alléger le système.
L'onglet "Déléguation de production" vous permet également d'effectuer une déléguation
Revenez à présent sur le premier onglet "Contenu". Vous avez en-dessous une série de 4 onglets enfants.
L'onglet "Contrôlé" représente les GPOs gérés par AGPM et non par l'ancienne méthode
L'onglet "Non contrôlé" représente les GPOs gérés par l'ancienne méthode.
L'onglet "En attente" représente les objets GPOs en attente d'approbation par un modérateur.
L'onglet "Modèles" contient les modèles de GPOs.
Et enfin la corbeille, toutes les GPOs supprimés
Créez et modifiez un GPO contrôlé
Créez et modifiez un GPO contrôlé
Pour utiliser ces fonctions de contrôle GPO, vous cliquez sur un nœud Contrôle des modifications dans l'éditeur de gestion de stratégie de groupe. Le noeud de changement de commande apparaît uniquement si vous avez installé le client AGPM.
Lorsque vous développez des GPO en utilisant AGPM:
- Créez un nouveau GPO contrôlé ou contrôler un GPO précédemment non contrôlée.
- Voir le GPO, de sorte que vous et vous seul pouvez le modifier.
- Modifier le GPO.
- Vérifiez dans le GPO modifié, afin que d'autres peuvent changer, ou de sorte qu'il peut être déployé.
- Passez en revue les changements.
- Déployez le GPO à l'environnement de production.
Archive
AGPM crée l'archive de toutes GPOs sous "%ProgramData%\Microsoft\AGPM" sur le serveur AGPM.Cela permet d'accéder, de gérer un versionning des GPOs. Les modifications apportées par AGPM aux GPOs contenus dans l'archive n'affectent pas l'environnement de production tant qu'un Administrateur AGPM ou un Approbateur n'a pas déployé le GPO dans l'environnement de production et ne l'a pas lié à une unité d'organisation.
L'archive comprend un sous-dossier pour chaque version de chaque GPO qu'elle contient. Le nom de chaque sous-dossier est un GUID qui identifie une version du GPO.
Si vous créez une gpo de manière traditionnelle dans "Objets de stratégie de groupe",
son propriétaire sera le compte qui l'aura créé et aura le statut "non contrôlé" dans le noeud "contrôle des modifications".
Par contre, après sa bascule en mode "Contrôlé" en effectuant un clic droit sur un ou plusieurs GPOs puis "Contrôle", c'est le système qui en est le propriétaire.
Si vous supprimez un GPO, vous retrouverez celui-ci dans l'onglet corbeille
Vous ne pouvez plus modifier directement un objet GPO. Pour ce faire, vous devez procéder à son extraction. Clic droit sur le GPO puis "Extraire". Le fait de l'extraire isole la phase de modification de la phase de mise en production. Contrairement à auparavant, toutes les modifications ne seront prises en compte tant que le GPO sera dans cet état.
Une fois extraite, le GPO apparaît en rouge et vous êtes en mesure de la modifier comme auparavant
Mettez vos paramétrages dnas le GPO à votre convenance, ici les paramétrages sur l'emplacement réseau
Une fois les modifications apportées, refaites un clic droit dessus puis "Archivage"
Un GPO une fois archivé n'est pas en production. Une fois lié traditionnellement, il vous faut le déployer.
Modèle de GPO
Contrairement à auparavant ou il était obligatoire de créer votre modèle de GPOavant votre GPO, vous avez maintenant la possibilité de générer un modèle à partir d'un GPO.
Clic droit sur le GPO "Enregistrer comme modèle..."
Nommez-le
Votre modèle de GPO apparaît dans l'onglet "Modèles".
Rôles et autorisations
Rôles et autorisations
Les rôles simplifient la délégation. Au lieu d'attribuer des autorisations détaillées aux administrateurs de stratégies de groupe, les Administrateurs AGPM peuvent attribuer l'un des quatre rôles disponibles aux administrateurs de stratégies de groupe pour leur permettre d'effectuer les tâches en relation avec ce rôle :
- Administrateur AGPM: Les administrateurs de stratégies de groupe auxquels le rôle Administrateur AGPM (contrôle total) est attribué peuvent réaliser n'importe quelle tâche dans AGPM. Les Administrateurs AGPM peuvent configurer des options à l'échelle d'un domaine et déléguer des autorisations aux autres administrateurs de stratégies de groupe.
- Approbateur : les administrateurs de stratégies de groupe auxquels le rôle Approbateur est attribué peuvent déployer des GPO dans l'environnement de production d'un domaine. Les approbateurs peuvent également créer et supprimer des GPO et approuver ou rejeter les demandes des éditeurs. Les approbateurs peuvent consulter la liste des GPO d'un domaine, afficher les paramètres de stratégie des GPO ou encore créer et afficher des rapports sur les paramètres de stratégie d'un GPO. Ils ne peuvent pas modifier les paramètres de stratégie des GPO, sauf s'ils bénéficient également du rôle d'éditeur.
- Éditeur : les administrateurs de stratégies de groupe auxquels le rôle Éditeur est attribué peuvent afficher la liste des GPO d'un domaine, consulter les paramètres de stratégie des GPO, modifier les paramètres de stratégie des GPO ou encore créer et consulter des rapports sur les stratégies de groupe d'un GPO. À moins de disposer également du rôle Approbateur, les éditeurs ne peuvent pas créer, déployer ou supprimer des GPO. En revanche, ils peuvent demander la création, le déploiement ou la suppression de GPO.
- Réviseur : les administrateurs de stratégies de groupe auxquels le rôle Réviseur est attribué peuvent consulter la liste des GPO d'un domaine ou encore créer et afficher des rapports sur les paramètres de stratégie d'un GPO. À moins de bénéficier également du rôle d'éditeur, ils ne peuvent pas modifier les paramètres de stratégie d'un GPO.
|
Autorisation |
Description |
Administrateur AGPM |
Approbateur |
Éditeur |
Réviseur |
|
Contrôle total |
Dispose de toutes les autorisations. |
Oui |
|||
|
Créer un GPO |
Créer des GPO dans un domaine. |
Oui |
Oui |
||
|
Répertorier le contenu |
Répertorier les GPO d'un domaine. |
Oui |
Oui |
Oui |
Oui |
|
Lire les paramètres |
Lire les paramètres de stratégie d'un GPO. |
Oui |
Oui |
Oui |
Oui |
|
Modifier les paramètres |
Modifier les paramètres de stratégie d'un GPO. |
Oui |
Oui |
||
|
Supprimer un GPO |
Supprimer un GPO. |
Oui |
Oui |
||
|
Modifier la sécurité |
Déléguer l'accès au niveau d'un domaine, déléguer l'accès à un GPO donné et déléguer l'accès à l'environnement de production. |
Oui |
|||
|
Déployer un GPO |
Déployer un GPO dans l'environnement de production à partir de l'archive. |
Oui |
Oui |
||
|
Créer un modèle |
Créer un modèle de GPO dans AGPM. |
Oui |
Oui |
||
|
Modifier des options |
Configurer la notification par courrier électronique d'AGPM et limiter les versions de GPO stockées dans l'archive. |
Oui |
|||
|
Exporter le GPO |
Exporter un GPO vers un fichier. |
Oui |
Oui |
||
|
Importer le GPO |
Importer un GPO à partir d'un fichier. |
Oui |
Oui |
La géléguation s'effectue par objet GPO et non pas pour tous les GPOs comme auparavant.
Sélectionnez votre GPO et cliquez sur l'onglet "Déléguation de domaine"
Sélectionnez l'utilisateur concerné
Affectez lui le niveau requis
Il apparaît dans la zone "Rôles"
L'utilisateur s'étant loguer avec son compte, il va pouvoir extraire ce GPO
Puis le modifier
En fonction des besoins
L'utilisateur archivera à nouveau le GPO
Puis va déployer le GPO. Du fait qu'il n'a que le rôle RBAC "Editeur"
Une boîte de dialogue apparaît lui permettant d'insérer un commentaire.
Dans l'onglet "En attente" se trouve le GPO en attente d'approbation.
Le destinataire du mail (donc le modérateur) reçoit un mail lui l'avertissant q'une modification a été apporté à un GPO
Dans l'onglet "En attente"
En faisant un clic droit, il peut vérifier les liens
Cette vue nouvelle est très intérressante...
Il pourra éditer un rapport en HTML ou XML
Pour visualiser les modifications
Libre au modérateur d'approuver ou de refuser le GPO
En ajoutant ou pas un commentaire
