none
AGPM 2014 R2 - Verständnisfragen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    zu der Thematik AGPM 4.0 SP2 hätte ich ein paar Verständnisfragen, die ich hoffe, hier beantwortet zu bekommen.

    1. In der deutschsprachigen Anleitung unter http://technet.microsoft.com/de-de/library/ee378482.aspx ist im Schritt 3 die Konfiguration der AGPM-Serververbindung beschrieben.

    Hier steht: "Doppelklicken Sie im Fenster Gruppenrichtlinienverwaltungs-Editor auf Benutzerkonfiguration, Richtlinien, Administrative Vorlagen, Windows-Komponenten und AGPM."

    Trotz der erfolgreichen Installation der Server- und Client-Komponente wird mir dieser Punkt "AGPM" nicht in den GPOs angezeigt, er ist schlicht nicht vorhanden!

    Frage: Was könnte hier falsch gelaufen sein und wie bekomme ich den Konfigurationspunkt "AGPM" in eine GPO?
    Anmerkung: Neuinstallation der Serverkomponente hilft nicht...

    2. In der deutschsprachigen Anleitung unter http://technet.microsoft.com/de-de/library/ee378482.aspx steht im Schritt 5 Folgendes:

    "Die Mitgliedschaft in der Gruppe Richtlinien-Ersteller-Besitzer sollte eingeschränkt werden, damit sie nicht zum Umgehen der AGPM-Verwaltung des Zugriffs auf Gruppenrichtlinienobjekte verwendet werden kann. (Klicken Sie in der Gruppenrichtlinien-Verwaltungskonsole auf Gruppenrichtlinienobjekte in der Gesamtstruktur und Domäne, in der Sie Gruppenrichtlinienobjekte verwalten möchten, klicken Sie auf Delegierung, und konfigurieren Sie anschließend die Einstellungen nach den Bedürfnissen Ihrer Organisation.)"

    Die Delegierung sieht standardmäßig und nicht entfernbar die Gruppe der Domänen-Admins als Berechtigte vor, die GPOs erstellen und Verwalten dürfen.

    In unserer Organisation sind alle User der EDV Abteilung Domänen-Admins (es ist jetzt mal egal, ob dies empfehlenswert ist oder nicht)! Sprich, auch wenn ich die Gruppe der Richtlinien-Ersteller-Besitzer  anpasse und z. B. nur die Gruppe der AGPM-Administratoren dort hinzufüge, besteht logischerweise für alle Dom-Admins, die z. B. nur AGPM-Bearbeiter sein sollen, weiterhin die Möglichkeit außerhalb von AGPM GPOs zu erstellen und zu verknüpfen!

    Frage: Ist AGPM also nur da sinnvoll, wo Nicht-Domänen-Admins GPOs verwalten sollen? Wie sieht ein praktisches Szenario bei euch aus (bei jenen, welche AGPM einsetzen)?

    Vielleicht ist mir auch nur der Blick auf das Wesentliche und Einfache verloren gegangen aber irgendwie blicke ich es momentan nicht.

    Vielen Dank für aussagekräftige Beiträge zur Sache...

    Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;


    • Bearbeitet H.Haas Dienstag, 13. Januar 2015 08:23
    Dienstag, 13. Januar 2015 08:21
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden
    > Trotz der erfolgreichen Installation der Server- und Client-Komponente
    > wird mir dieser Punkt "AGPM" nicht in den GPOs angezeigt, er ist
    > schlicht nicht vorhanden!
     
    ADM-Vorlage hinzufügen bzw. wenn das schon ADMX ist und Du einen
    CentralStore verwendest, ADMX in den CentralStore kopieren.
     
    > In unserer Organisation sind alle User der EDV Abteilung Domänen-Admins
    > (es ist jetzt mal egal, ob dies empfehlenswert ist oder nicht)! Sprich,
    > auch wenn ich die Gruppe der *Richtlinien-Ersteller-Besitzer*  anpasse
    > und z. B. nur die Gruppe der AGPM-Administratoren dort hinzufüge,
    > besteht logischerweise für alle Dom-Admins, die z. B. nur
    > AGPM-Bearbeiter sein sollen, weiterhin die Möglichkeit außerhalb von
    > AGPM GPOs zu erstellen und zu verknüpfen!
     
    Ja, works as designed - ein Admin ist ein Admin... Disziplin hilft :)
    Spätestens bei der zweiten Abmahnung dürfte aber jeder verstanden haben,
    was und wie er zukünftig machen muß.
     
    > *Frage: Ist AGPM also nur da sinnvoll, wo Nicht-Domänen-Admins GPOs
    > verwalten sollen? Wie sieht ein praktisches Szenario bei euch aus (bei
    > jenen, welche AGPM einsetzen)?*
     
    Sinnvoll ist es auf jeden Fall auch so, da Du besser dokumentieren kannst.
     
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 13. Januar 2015 09:50
    |
    Beantworter
  • Question
    Anmelden
    2
    Anmelden
    > Kaum ändert man mal ein halbes Jahr nichts an der GPO-Umgebung, schon
    > vergisst man das ein oder andere.
     
    :)
     
    > Für eine bessere Dokumentation - macht es da nicht auch Sinn, die
    > bisherigen GPO-Verknüpfungen in GPMC zu entfernen, in der
    > Änderungssteuerung unter Inhalt/Ungesteuert/ die Steuerung der
    > entsprechenden GPO's durch Klick im Kontextmenu auf "Steuerelement..."
    > zu steuern, das durch AGPM gesteuerte Element auszuchecken und neu zu
    > verknüpfen?
     
    Wie Du willst - ist eher eine philosophische Frage. Aber wenn ich schon
    ein Kontrollsystem für bestimmte Admin-Aspekte einführe, dann stecke ich
    da auch alles rein, was darunter fällt.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 13. Januar 2015 10:57
    |
    Beantworter
  • Question
    Anmelden
    1
    Anmelden
    > Nach dem Leitfaden würde ich nun die angelegten Gruppen für die
    > AGPM-Admins, und genehmigenden Personen dort hinzufügen, da ja diese
    > Rollen die Berechtigung zum Erstellen von Objekten haben und die anderen
    > nicht. Die bisherigen Mitglieder würden entfernt werden (rein
    > kosmetisch, da sie ja dennoch Dom-Admins sind).
    >
    > Somit hätten wir die Voraussetzungen geschaffen, z. B. Standort-Admins,
    > die nicht Dom-Admins sind, als Prüfer z.B. Einsicht in die Verwaltung zu
    > geben, ohne, dass sie "etwas kaputt" machen können...?
     
    Yup.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 13. Januar 2015 12:18
    |
    Beantworter
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Am 13.01.2015 09:21, schrieb H.Haas:

    *Frage: Ist AGPM also nur da sinnvoll, wo Nicht-Domänen-Admins GPOs verwalten sollen?

    Nein, sowas gibt es meistens nicht in Deutschland.
    Ich setze es zur "Erzwingung" des Workflows ein. Das Hauptargument ist für mich Offline Editieren von Richtlinien. Zudem kann ich Differenzen erstellen, was gerade bei Änderugnsnachverfolgung interessant ist.

    AGPM macht technischt nichts anderes als, vor dem Bearbeiten:
    auschecken -> es wir eine Kopie der Live Richtlinie erstelle
    bearbeiten -> es wird die Kopie editiert
    einchecken -> die Kopie wird gesichert und gelöscht
    bereitstellen -> der Inhalt der Kopie wird in die Live importiert

    Den Workflow kannst du auch ohne AGPM etablieren.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 17. Januar 2015 14:02
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Am 19.01.2015 09:31, schrieb H.Haas:

    dann verstehe ich das Sicherheitskonzept dahinter nicht

    Wieso? Die Berechtigungen und Delegationen gelten ja nicht zur Einschränkung der Administratoren, sondern zur Delegation des Jobs an Leute, die keine Adminrechte haben und dann auch nicht benötigen, um den Job zu erledigen.

    Die Verlinkkung kannst du auch berechtigen. Das ist das gPLink Attribut einer OU.

    Ich bin zB in vielen Firmen "GPO-Admin", aber nicht DomainAdmin. Letzteres will ich auch garnicht sein, denn dann bin ich ja als externer immer schuld, wenn etwas nicht geht.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 19. Januar 2015 19:09
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden
    > Trotz der erfolgreichen Installation der Server- und Client-Komponente
    > wird mir dieser Punkt "AGPM" nicht in den GPOs angezeigt, er ist
    > schlicht nicht vorhanden!
     
    ADM-Vorlage hinzufügen bzw. wenn das schon ADMX ist und Du einen
    CentralStore verwendest, ADMX in den CentralStore kopieren.
     
    > In unserer Organisation sind alle User der EDV Abteilung Domänen-Admins
    > (es ist jetzt mal egal, ob dies empfehlenswert ist oder nicht)! Sprich,
    > auch wenn ich die Gruppe der *Richtlinien-Ersteller-Besitzer*  anpasse
    > und z. B. nur die Gruppe der AGPM-Administratoren dort hinzufüge,
    > besteht logischerweise für alle Dom-Admins, die z. B. nur
    > AGPM-Bearbeiter sein sollen, weiterhin die Möglichkeit außerhalb von
    > AGPM GPOs zu erstellen und zu verknüpfen!
     
    Ja, works as designed - ein Admin ist ein Admin... Disziplin hilft :)
    Spätestens bei der zweiten Abmahnung dürfte aber jeder verstanden haben,
    was und wie er zukünftig machen muß.
     
    > *Frage: Ist AGPM also nur da sinnvoll, wo Nicht-Domänen-Admins GPOs
    > verwalten sollen? Wie sieht ein praktisches Szenario bei euch aus (bei
    > jenen, welche AGPM einsetzen)?*
     
    Sinnvoll ist es auf jeden Fall auch so, da Du besser dokumentieren kannst.
     
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 13. Januar 2015 09:50
    |
    Beantworter
  • Question
    Anmelden
    1
    Anmelden

    Hallo Martin,

    klar, das Server-Setup weiß ja nicht, dass wir einen CentralStore verwenden und so schreibt er die ADMX File incl. der *.ADML in den Ordner "PolicyDefinitions" in das Systemroot des Servers.

    Kaum ändert man mal ein halbes Jahr nichts an der GPO-Umgebung, schon vergisst man das ein oder andere.

    ADMX+ADML in den CentralStore kopiert - fertig, schon kann ich die Konfig über eine GPO abschließen.

    Und was die Admin Thematik betrifft - nun, da hast du recht aber ich glaube nun fast, wir sind zu klein und zu flach hierarchiert.

    Aber in dem Zusammenhang noch eine Frage:
    Für eine bessere Dokumentation - macht es da nicht auch Sinn, die bisherigen GPO-Verknüpfungen in GPMC zu entfernen, in der Änderungssteuerung unter Inhalt/Ungesteuert/ die Steuerung der entsprechenden GPO's durch Klick im Kontextmenu auf "Steuerelement..." zu übernehmen, das durch AGPM gesteuerte Element auszuchecken und neu zu verknüpfen?

    Oder sollte man nur neue gesteuerte Elemente auschecken?

    Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;


    • Bearbeitet H.Haas Dienstag, 13. Januar 2015 10:41
    Dienstag, 13. Januar 2015 10:34
    |
  • Question
    Anmelden
    2
    Anmelden
    > Kaum ändert man mal ein halbes Jahr nichts an der GPO-Umgebung, schon
    > vergisst man das ein oder andere.
     
    :)
     
    > Für eine bessere Dokumentation - macht es da nicht auch Sinn, die
    > bisherigen GPO-Verknüpfungen in GPMC zu entfernen, in der
    > Änderungssteuerung unter Inhalt/Ungesteuert/ die Steuerung der
    > entsprechenden GPO's durch Klick im Kontextmenu auf "Steuerelement..."
    > zu steuern, das durch AGPM gesteuerte Element auszuchecken und neu zu
    > verknüpfen?
     
    Wie Du willst - ist eher eine philosophische Frage. Aber wenn ich schon
    ein Kontrollsystem für bestimmte Admin-Aspekte einführe, dann stecke ich
    da auch alles rein, was darunter fällt.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 13. Januar 2015 10:57
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Dachte ich mir...

    Dann bleibt hoffentlich eine letzte Frage zur Sicherheit:

    Der Schritt 5 der Anleitung sieht ja die Einschränkung der Gruppe "Richtlinien-Ersteller-Besitzer".

    Im weiteren Verlauf der Anleitung wird die Delegierung des Zugriffs auf alle GPO's der Domäne geregelt.

    Bisher waren die EDV-Admins in Persona Mitglied der Gruppe "Richtlinien-Ersteller-Besitzer" vor.

    Nach dem Leitfaden würde ich nun die angelegten Gruppen für die AGPM-Admins, und genehmigenden Personen dort hinzufügen, da ja diese Rollen die Berechtigung zum Erstellen von Objekten haben und die anderen nicht. Die bisherigen Mitglieder würden entfernt werden (rein kosmetisch, da sie ja dennoch Dom-Admins sind).

    Somit hätten wir die Voraussetzungen geschaffen, z. B. Standort-Admins, die nicht Dom-Admins sind, als Prüfer z.B. Einsicht in die Verwaltung zu geben, ohne, dass sie "etwas kaputt" machen können...?

    Ja, ist hier vielleicht etwas kompliziert ausgedrückt aber ich hoffe trotzdem mal, dass verstanden wurde, was ich meine...

    Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;


    • Bearbeitet H.Haas Dienstag, 13. Januar 2015 11:21
    Dienstag, 13. Januar 2015 11:20
    |
  • Question
    Anmelden
    1
    Anmelden
    > Nach dem Leitfaden würde ich nun die angelegten Gruppen für die
    > AGPM-Admins, und genehmigenden Personen dort hinzufügen, da ja diese
    > Rollen die Berechtigung zum Erstellen von Objekten haben und die anderen
    > nicht. Die bisherigen Mitglieder würden entfernt werden (rein
    > kosmetisch, da sie ja dennoch Dom-Admins sind).
    >
    > Somit hätten wir die Voraussetzungen geschaffen, z. B. Standort-Admins,
    > die nicht Dom-Admins sind, als Prüfer z.B. Einsicht in die Verwaltung zu
    > geben, ohne, dass sie "etwas kaputt" machen können...?
     
    Yup.
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 13. Januar 2015 12:18
    |
    Beantworter
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Am 13.01.2015 09:21, schrieb H.Haas:

    *Frage: Ist AGPM also nur da sinnvoll, wo Nicht-Domänen-Admins GPOs verwalten sollen?

    Nein, sowas gibt es meistens nicht in Deutschland.
    Ich setze es zur "Erzwingung" des Workflows ein. Das Hauptargument ist für mich Offline Editieren von Richtlinien. Zudem kann ich Differenzen erstellen, was gerade bei Änderugnsnachverfolgung interessant ist.

    AGPM macht technischt nichts anderes als, vor dem Bearbeiten:
    auschecken -> es wir eine Kopie der Live Richtlinie erstelle
    bearbeiten -> es wird die Kopie editiert
    einchecken -> die Kopie wird gesichert und gelöscht
    bereitstellen -> der Inhalt der Kopie wird in die Live importiert

    Den Workflow kannst du auch ohne AGPM etablieren.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 17. Januar 2015 14:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark,

    na ja, das Erzwingen des WorkFlows ist das Eine aber wenn ich - zu mindestens in meinem Testszenario - als genehmigende Person

    - eine GPO über die Änderungsverwaltung erstelle und
    - dann in der Eigenschaft als Domänen Admin in den Gruppenrichtlinienobjekten außerhalb von AGPM in der Lage bin, dieses neue GPO zu bearbeiten und es auch zu verknüpfen, dann verstehe ich das Sicherheitskonzept dahinter nicht...

    Von den Einstellungen her habe ich die Gruppe der AGPM-Admins und ie Gruppe der AGPM genehmigenden Personen in der Gruppe der Richtlinien-Ersteller-Besitzer; KEINE Dom-Admins.

    Die Berechtigungen zum Erstellen und Verknüpfen von GPO's bekommen die Dom-Admins ja über die Delegierung auf dem Knoten der Domäne in der GPO-Verwaltung.

    Ich hätte das gerne so eingeschränkt, dass Dom-Admins auch gezwungen sind, die Änderungsverwaltung gem. den darin getroffenen Sicherheitseinstellungen zu nutzen.

    Hab ich was übersehen? Wie sind deine Konfigurationseinstellungen in den Bereichen?

    Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;


    • Bearbeitet H.Haas Montag, 19. Januar 2015 11:33
    Montag, 19. Januar 2015 08:31
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Am 19.01.2015 09:31, schrieb H.Haas:

    dann verstehe ich das Sicherheitskonzept dahinter nicht

    Wieso? Die Berechtigungen und Delegationen gelten ja nicht zur Einschränkung der Administratoren, sondern zur Delegation des Jobs an Leute, die keine Adminrechte haben und dann auch nicht benötigen, um den Job zu erledigen.

    Die Verlinkkung kannst du auch berechtigen. Das ist das gPLink Attribut einer OU.

    Ich bin zB in vielen Firmen "GPO-Admin", aber nicht DomainAdmin. Letzteres will ich auch garnicht sein, denn dann bin ich ja als externer immer schuld, wenn etwas nicht geht.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 19. Januar 2015 19:09
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 19.01.2015 09:31, schrieb H.Haas:

    als Domänen Admin in den Gruppenrichtlinienobjekten
    außerhalb von AGPM in der Lage bin, dieses neue GPO zu bearbeiten und
    es auch zu verknüpfen, dann verstehe ich das Sicherheitskonzept
    dahinter nicht...

    Naja, davon ab, wenn du Admins hast, denen du nicht vertraust, weil sie nicht so arbeiten, wie du es gerne hättest und sie wilde Sau spielen etc. dann solltest du sie entlassen.

    Ein Admin ist ein Admin ist ein Admin.

    Tschö
    mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 19. Januar 2015 19:16
    |