> Tech > Gestion avancée des Group Policy avec AGPM

Gestion avancée des Group Policy avec AGPM

Tech - Par Renaud ROSSET - Publié le 20 juin 2012
email

Si vous êtes l’un des nombreux IT Pro qui doit gérer un Active Directory et en particulier si vous créez, modifiez, gérez des GPO, AGPM peut vous être énormément utile au sein de votre entreprise.

Gestion avancée des Group Policy avec AGPM

En effet, si vous travaillez à plusieurs collègues sur des GPO, que vos collègues se situent sur le même endroit géographique que vous ou sur un site distant, comment gérer-vous vos GPO ? Que se passe-t-il si vous éditez en même temps une GPO avec un collègue ?

Une expression assez connue en informatique peut être utilisée pour ce cas : « The last writer wins ». AGPM, en version 4.0, introduit de nouvelles possibilités dans la gestion du cycle de vie des GPO :

  • Edition hors-ligne des GPO : vous pouvez donc créer et tester des GPO avant qu’elles soient déployées en production.
  • Versions des GPO : une archive AGPM permet de préserver plusieurs versions d’une même GPO. Vous pouvez donc revenir à une version précédente d’une GPO très simplement.
  • Délégation par rôle : vous pouvez partager la délégation des GPO à plusieurs niveaux (lecteur, éditeur, approbateurs) à partir de groupe de sécurité Active Directory.
  • Intégrité : il n’est plus possible que deux personnes éditent en même temps une GPO grâce à une notion de « check-in/check-out ».
  • Reporting : vous pouvez analyser les différences entre deux GPO, que ça soit deux GPO totalement différentes ou deux versions d’une même GPO à partir des rapports AGPM.
  • Modèles de GPO : la création de GPO est simplifiée en utilisant des modèles. Voir figure 4.

Intégration d’AGPM dans la GPMC

AGPM est un outil puissant qui s’intègre facilement dans la GPMC, outil connu par les administrateurs Active Directory. Une notion de Workflow d’approbation basée sur les rôles AGPM est mise en place. Il existe trois groupes dans AGPM, les lecteurs qui ne peuvent que visionner les paramètres des GPO, les éditeurs qui sont présents pour mettre en place des paramètres dans les GPO et les approbateurs qui ont pour but d’approuver les paramètres des éditeurs afin que les GPO partent en production. Tant que les approbateurs n’ont pas approuvé, il n’y a donc aucune GPO mise en production. Il existe également les administrateurs AGPM qui ne sont présents que pour définir l’appartenance de groupes de sécurité à des rôles AGPM.

Une fonctionnalité très utile est la possibilité à une adresse email d’être notifiée de tous les changements au sein d’AGPM. Il est donc facile pour un approbateur ou à un groupe d’approbateurs d’être notifié des modifications d’un éditeur qui sont soumises à validation.

En termes d’infrastructure, il y a une partie serveur et une partie cliente. Il faut respecter certains prérequis mais l’infrastructure AGPM est vraiment légère et surtout, simple à mettre en place. Un guide au format PDF est disponible avec les sources d’installation d’AGPM qui vous permettra d’avoir un rapide aperçu de son déploiement.

Notez qu’AGPM peut être vue comme une surcouche à votre Active Directory et même s’il vous apporte des avancées dans votre gestion de cycle de vie de vos GPO, cela ne vous permet pas de ne pas prendre les bonnes recommandations de Microsoft sur le design des GPO (convention de nommage, création, optimisation, etc.), ou encore sur le design de vos OU, au sérieux. En d’autres termes, il est préférable de remettre à plat tout ce qui peut concerner vos GPO avant la mise en place d’AGPM. Et c’est généralement  dans ce cas de figure que sont constituées nos missions de consulting sur ce sujet chez nos clients !

Conclusion

Vous avez pu découvrir trois des six produits composants MDOP. Sachez que de nombreux clients les utilisent car ils répondent à des vrais besoins. Je vous invite à sérieusement les évaluer, vous ne pourrez qu’être séduit ! La deuxième partie de cet article se focalisera sur AIS, App-V et DEM. Nous parlerons également de MBAM, certainement un futur produit de MDOP pour BitLocker.

Téléchargez cette ressource

Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement IT de l’entreprise

Découvrez toutes nos actualités à travers des interviews, avis d'experts et témoignages clients et ainsi, retrouvez les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et collaboration, Impression et capture et Infrastructure.

Tech - Par Renaud ROSSET - Publié le 20 juin 2012