none
AGPM 4.0 SP1 Support für grouped Managed Service Account vorhanden RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    eine kurze Frage noch, die sich mit Google und den MS-Whitepapers nicht beantworten liess (jedenfalls habe ich nix dazu gefunden).

    Unterstützt der AGPM-Service die Verwendung von MSA's oder gMSA's?

    Wir möchten den AGPM-Service nicht mit einem Service-Account mit DOA-Rechten mit fix gesetztem Passwort laufen lassen, aus Sicherheitsgründen.

    Gibt's da irgendwo einen Hinweis?

    Grüsse

    Florian

    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    Mittwoch, 28. August 2013 10:41
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Was passiert in dem Moment, wo du es einfach ausprobierst?

    Bluescreen? Keine funktion? Tuts einfach nicht? Seltsame Fehler?

    AGPM ist dermassen wenig verbreitet, daß du schon froh sein kannst jemanden zu finden, der es nicht nur installiert hat, sondern sogar benutzt.

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Mittwoch, 28. August 2013 14:36
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Mark,

    danke für deine Antwort, ich werde das so im Konzept aufnehmen und in der Testumgebung mal testen und das Resultat hier posten. Könnte allerdings etwas dauern.

    Grüsse

    Florian

    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    Donnerstag, 29. August 2013 06:05
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Nur Nebenbei: Ich habe AGPM bei 3 Kunden eingeführt und keiner verwendet es in Produktion ... 

    Ich persönlich habe das Problem mit dem Programm, daß ich es nicht brauche.

    Berechtigungen? -> kann ich im AD realisieren, die nutzt AGPM ja auch

    Sicherungen/History? -> habe ich, wenn ich vor jedem editieren sichere

    Offline Editieren? -> neue GPO erstellen, danach in vorh. importieren, was anderen macht AGPM auch nicht.

    Vergleich von GPOs? -> Braucht in der Praxis kein Mensch

    Email Benachrichtigung? -> Bitte, das braucht kein Mensch

    Ich kann keinen zwingen AGPM zu nutzen, der DomAdmin nimmt die GPMC ohne AGPM ... alles andere kann delegiert werden. das "gPLink" ist mit AGPM auch nicht gelöst.

    Es gibt einen Grund warum AGPM an Microsoft verkauft wurde, es nur im MDOP sein Dasein dümpelt und es vorher schon keiner gekauft hat ...

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Donnerstag, 29. August 2013 09:24
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Mark,

    du magst für 99% der Firmen recht haben, wir sind eine zusammengewürfelte historisch wild gewachsene Gesellschaft... Unsere Tochterfirmen haben im AD jeweils eine eigene OU, darin konnte der OU-Admin alles machen (GPO, PW Reset, neue User erfassen, Gruppen zuteilen etc.) Nun wollen wir das etwas ändern. Der OU-Admin soll weiterhin die GPO's selbst anpassen können, wir DOA's geben sie dann frei. Kurz ein kleiner Abriss über unser AD:

    12 DOA, 250 OUA, 2000 GPO, 90 OU's der Tochterfirmen

    Ich denke, dazu ist die AGPM-Konsole prädestiniert, oder? Im Moment geht's nur um GPO's, Identity Management kommt noch... ;-)

    Grüsse

    Florian

    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    Donnerstag, 29. August 2013 11:27
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Nein, das einzige was AGPM als Nutzen bringt ist: Der Zwang zu einem Workflow.

    ->ausbuchen -> editieren -> einbuchen -> veröffentlichen

    Das was ihr wollt ist:

    Weniger GPO Admins ... von den 2000 GPOs könnt ihr wahrscheinlich 1500 löschen. Da immer dasselbe drin steht.

    Der Umbau wäre einfacher als die Verwaltung mit einem Tool.

    Es gibt genügend Regeln, die für alle gleich sind -> Berechtigunstechnisch "Domänen GPOs", die an die OUs verlinkt und ein OUAdmin nicht ändern darf. Dann gibt es pro Standort zwischen 5 und 10 spezifische und das wars.

    Richtlinien sind statisch, einmal erstellt -> wenig tägliche Änderungen.

    AGPM hilft euch da auch nicht, das Chaos zu beseitigen. 

    Du kannst mich nicht dazu zwingen AGPM zu nutzen. Entweder habe ich das Recht an der GPO und darf sie editieren, oder ich habe das Recht nicht. 

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Donnerstag, 29. August 2013 11:39
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Du kannst mich nicht dazu zwingen AGPM zu nutzen. Entweder habe ich das Recht an der GPO und darf sie editieren, oder ich habe das Recht nicht.

    Doch, ich kann Dich zwingen. Mit AGPM hast Du nicht mehr das Recht auf die GPO, sondern nur noch das Recht im Repository. Ich entziehe Dir zusätzlich "Full" und "GPLink" auf den OUs, und dann kannst Du nicht mehr ohne mich ;-) (Edit: Natürlich bist Du auch kein Domänenadmin...)

    AGPM bietet noch einen Vorteil: Jede (!) Bearbeitung einer GPO ist nachvollziehbar (wer/wann/was). Das ist wichtig, wenn für den jeweiligen Betrieb entsprechende gesetzliche Vorgaben gelten (GoB, BDSG, KWG etc.).

    @Florian: Viel Spaß mit 2000 GPOs - das wird dann mit AGPM auch nicht schneller :-)

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!


    Donnerstag, 29. August 2013 12:08
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden

    Richtig. Entschuldige, Ich habe zu  oft Umgebungen, wo die "Editoren" am Ende doch wieder Admins sind, weil sie sond das gPLink nicht haben ... 

    Ok, Delegation ist etwas einfacher, da der Dienst die Daten schreibt.

    Trotz allem kann ich den Workflow von AGPM komplett per Hand nachbauen. AGPM ist nett, aber keine Rettung.

    In den Firmen in denen ich war, war die Lösung am Ende Aufräumen und nicht AGPM. Denn nach aufräumen hat sich die Frage nach dem "Wer war das" sehr einfach dargestellt, wenn der "Standort-Admin" nur 5 Richtlinien ändern darf.

    Die Performance ist sicherlich auch ein wichtiger Punkt. Gut, daß du ihn genannt hast. 

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Donnerstag, 29. August 2013 12:27
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Klar kannst Du den Workflow auch manuell nachbauen. Aber damit erzwingst Du ihn nicht, und damit wiederum bist Du nicht revisionsgeeignet (im Finanzwesen ist das alles etwas "enger" als in der freien Wirtschaft...) - Du kannst zu keiner Zeit nachweisen, welche Inhalte Deine revisionsrelevanten Security Policies zu irgendeinem Zeitpunkt in der Vergangenheit hatten oder welche Änderung gemacht wurde, wenn derjenige das nicht dokumentieren wollte (gut, wer und wann kriegt man über Audit Policies immerhin raus).

    Martin

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))

    Restore the forum design - my user defined Cascading Style Sheet!

    Donnerstag, 29. August 2013 12:31
    |
    Beantworter
  • Discussion
    Anmelden
    0
    Anmelden

    Ich vergesse immer, daß ich nur Arbeiten will ...

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Donnerstag, 29. August 2013 12:36
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    ist die Thematik abgeklärt?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 30. August 2013 14:39
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Raul,

    die Ursprungsfrage nicht. Ich werde das jedoch bis in ca. 4 Wochen mal getestet haben und das Resultat dann posten.

    Grüsse

    Florian 

    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...


    • Bearbeitet Florian Reck Freitag, 30. August 2013 17:35 typo
    Freitag, 30. August 2013 17:35
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hallo Florian,

    meines Wissens ist die Nutzung von gMSA / MSA für AGPM nicht supported. Siehe dazu auch: http://technet.microsoft.com/en-us/library/ff641729(v=ws.10).aspx#BKMK_Supported_technologies

    Es mag trotzdem "funktionieren" - jedoch kannst Du nicht sicher sein, dass alle Funktionen in speziellen Situationen korrekt laufen und ob Du bei Konfigurationsänderungen, Updates o.ä. in Probleme läufst. Von Anrufen im Microsoft Support ganz zu schweigen. ;)

    Deine Entscheidung. ;)

    Viele Grüße

    Fabian


    Sonntag, 1. September 2013 15:38
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Fabian,

    danke für den Link. In der Produktion werden wir es wohl mit einem normalen User machen (müssen). Im Test werde ich es jedoch mit einen MSA versuchen, und dann berichten.

    Grüsse

    Florian

    Schaue auf niemanden herab, es sei denn, du willst ihm aufhelfen...

    Montag, 2. September 2013 13:45
    |