Cargando

Ir a contenido

X


Ver Más! Unir varios PDF en uno en Windows 10 nunca fue tan fácil! Sigue los pasos con PDFelement y estará listo en un abrir y cerrar de ojos.


 


Cómo instalar y configurar AGPM en Windows Server 2016

Aprende a instalar y configurar todas las funciones de una AGPM o Advanced Group Policy Management y sácale todo el provecho a tu Windows Server 2016.


Escrito por el nov 07 2016 16:03 wserver2016


como-instalar-y-configurar-agpm-en-windows-server 2016.png

 

Una de las tareas fundamentales que realizamos de forma constante cuando usamos Windows Server 2012 o 2016 es controlar todos los objetos del dominio tales como usuarios y equipos y sabemos que una de las formas mas prácticas para realizar esta tarea es usar las políticas de grupo ya que estas nos permiten administrar de forma centralizada todos los parámetros y valores de estos objetos.

 

Con el avance de los Sistemas Operativos también las políticas de grupo han sido modificadas y hoy contamos con una herramienta muy poderosa llamada AGPM que hoy analizaremos de forma detallada en un entorno Windows Server 2016.

 

Qué es AGPM
AGPM (Advanced Group Policy Management – Administración Avanzada de Políticas de Grupo) es una aplicación creada por Microsoft que nos da la posibilidad de llevar un control específico sobre las directivas de grupo en nuestros dominios. Actualmente la versión disponible de AGPM es la 4.0 y cuenta con las siguientes ventajas:
  • Soporta Windows 10
  • Soporta Windows PowerShell
  • Actualización de la aplicación de forma segura y automática
  • Soporta Windows Server 2012 R2 y Windows Server 2016

 

 


1. Términos relacionados con AGPM


Existen ciertos términos usados con frecuencia en AGPM, éstos son:

 

Cliente AGPM
Es el equipo donde hemos instalado AGPM y desde donde, como administradores, podremos gestionar las directivas de grupo.

 

Complemento AGPM
Es un complemento de software que es instalado en los clientes AGPM con el propósito de realizar la gestión de forma correcta.

 

Servidor AGPM
Es el servidor que ejecuta el servicio AGPM y administra los archivos.

 

Servicio AGPM
Es un componente de software que se ejecuta en un servidor AGPM como un servicio.

 

Archivo
En AGPM es un almacén que contiene los GPOs controlados que administra el servidor AGPM asociado.

 

GPO controlado
Es un GPO que está administrando AGPM.

 

GPO no controlado
Es un GPO del entorno productivo que no controla AGPM.

 

 


2. Requisitos para instalar AGPM en Windows Server 2016


Debemos cumplir una serie de requisitos para la instalación de AGPM en Windows Server 2016, éstos son:

 

.NET Framework 4.5.1
Podemos descargarlo desde el siguiente enlace:

 

 

 

PowerShell 3.0
En caso de no tenerlo puede ser descargado desde el siguiente enlace:

 

 

 

GPMC (Group Policy Management Console – Consola de administración de Políticas de Grupo)
Por defecto está instalada, pero en caso de no tenerla puede ser descargada desde el siguiente enlace:

 

 

 

Con estos requisitos en cuenta procedemos a instalar AGPM en Windows Server 2016.

 

 


3. Instalar AGPM en Windows Server 2016


Microsoft recomienda que AGPM sea instalado en un servidor miembro del dominio pero no en el controlador de dominio, pero si no contamos con más opciones es posible instalarlo allí.

 

Paso 1

AGPM puede ser descargado desde el siguiente enlace.Recordemos que AGPM requiere de grupos para la gestión del servicio, por ello vamos a ir a Usuarios y equipos de Active Directory y crearemos los grupos respectivos.

 

 

Paso 2

Hemos creado una OU llamada AGPM y allí debemos crear la cuenta para que el servicio de AGPM sea iniciado, para ello hemos creado los siguientes objetos:
  • Usuario AGPM Solvetic
  • Incluimos este usuario en el grupo Propietarios del creador de directivas de grupo
  • Se crearon los siguientes grupos para las tareas de gestión de AGPM:
  • Administradores AGPM
  • Aprobadores AGPM
  • Editores AGPM
  • Revisores AGPM

2-USUARIOS-Y-EQUIPOS-DE-ACTIVE-DIRECTORY.png

 

Paso 3

Una vez definidos los grupos y usuarios procedemos con la instalación de AGPM ejecutando el archivo agpm_403_server_amd64 como administradores. Se desplegará el respectivo asistente de instalación.

 

3-instalar-agpm-windows-server.png

 

Paso 4

En un punto determinado de la instalación debemos definir el usuario de servicio con el cual se ha de ejecutar el servicio AGPM, en este punto podemos crear un usuario específico para el servicio o si estamos en un controlador de dominio, como es el caso, seleccionamos la opción Sistema local.

 

4-agpm-cuenta-de-servicio.png

 

Paso 5

En la siguiente ventana seleccionaremos la cuenta que tendrá permisos totales sobre el servicio, en este punto añadimos el grupo Administradores AGPM que hemos creado.

 

5-propietario-del-archivo-agpm.png

 

Paso 6

En la siguiente ventana configuramos el puerto por el cual AGPM recibirá las peticiones de los clientes, dejamos el que está por defecto que es el 4600.

 

6-puerto-agpm-windows-server.png

 

Paso 7

Posteriormente definimos los lenguajes de AGPM y veremos que ya podemos iniciar la instalación pulsando el botón Instalar.

 

7-instalar-agpm.png

 

Paso 8

Podemos ver que inicia el proceso de instalación de AGPM y que tras unos segundos la instalación ha finalizado correctamente.

 

9--asistente-instalacion-microsoft-advanced-group-policy-management.png

 

 


4. Instalar AGPM cliente en Windows Server 2016


Paso 1

Una vez haya concluido el proceso de instalación de AGPM Servidor debemos instalar el cliente para completar toda la estructura de AGPM. Para ello ejecutaremos como administrador el archivo agpm_403_client_amd64.

 

10-instalacion-microsoft-advanced-group-policy-management.png

 

Paso 2

Pulsamos Siguiente y seguimos los pasos del asistente y podemos ver en un momento de la instalación que debemos definir el servidor que actuará como AGPM.

 

11-instalacion-microsoft-advanced-group-policy-management.png

 

Paso 3

Podemos ver que inicia el proceso de instalación de AGPM Cliente. Tras unos segundos, la instalación finalmente ha concluido con éxito.

 

13-instalacion-microsoft-advanced-group-policy-management.png

 

 


5. Opciones de la consola de AGPM


Como podemos ver cuando hemos instalado tanto el servidor como el cliente de AGPM no se ha creado ningún acceso directo ni añadido ninguna aplicación como tal, pero los cambios los veremos reflejados en la administración de directivas de grupo.

 

Paso 1

Para acceder a ellas podemos usar alguna de las siguientes opciones:
  • Usar el comando Ejecutar e ingresar el comando gpmc.msc, pulsar Enter.
  • Ingresar el término administración en el cuadro de búsqueda de Windows Server y seleccionar la opción adecuada.

 

Paso 2

Una vez abierto el administrador veremos la siguiente ventana.

 

14-administracion-de-directivas-de-grupo.png

 

Paso 3

La primera diferencia que notaremos comparado con las políticas de grupo tradicionales es en el momento de desplegar nuestro dominio, ahora veremos un nuevo contenedor llamado Cambiar control.

 

15-administracion-de-directivas-de-grupo.png

 

Paso 4

Al pulsar sobre Cambiar control podemos ver las siguientes opciones.

 

16-administracion-de-directivas-de-grupo.png

 

Paso 5

Las opciones básicas que tenemos son:

 

Contenido
Desde esta pestaña podemos gestionar las GPOs controladas o no controladas.

 

Delegación de dominio
Desde esta ubicación definimos los permisos que se otorgarán a cada usuario o grupo de usuarios en el dominio. De la misma forma podemos añadir una cuenta de correo para que en algún momento en que un usuario no autorizado intente acceder al servidor AGPM seamos notificados de este intento.

 

17-delegacion-de-dominio.png

 

 

Servidor AGPM
Mediante esta pestaña podemos visualizar y editar la dirección IP del servidor AGPM.

 

Delegación de producción
En esta pestaña podemos ver que usuarios y grupos tiene permisos para acceder al entorno productivo de AGPM.

 

18-delegacion-de-produccion.png

 

 

 


6. Tareas básicas en AGPM

 

Tomando control de GPOs
Una de las tareas básica que tenemos al usar AGPM es la capacidad de tener el control de aquellas GPOs que actualmente se encuentras sin control, recordemos que una GPO sin control es aquella que se encuentra en el ambiente productivo pero que no es administrada por AGPM.
Podemos visualizar las GPOs sin control en la pestaña Contenido / Sin control

 

19-sin-control-directivas-grupo.png

 

Para tomar el control de estas GPOs seleccionaremos las GPOs que deseamos tener control y pulsamos clic derecho sobre ellas y seleccionamos la opción Control.

 

20-control-directivas-de-grupo.png

 

Una vez seleccionemos la opción Control podemos ver el siguiente mensaje.

 

21-controlar-gpo.png

 

Pulsamos Aceptar y veremos que estas GPOs pasan a la pestaña Controlado.

 

23-adminsitracion-de-directivas-de-grupo.png

 

 

Crear una nueva GPO controlada
Para crear una GPO controlada desde cero debemos dar clic derecho sobre Cambiar control y seleccionar la opción Nuevo GPO controlado.

 

24-nuevo-gpo-controlado.png

 

Veremos el siguiente asistente donde asignaremos un nombre a la GPO controlada.

 

25-nuevo-gpo-controlado.png

 

Pulsamos Aceptar y veremos nuestra GPO creada de manera correcta y podemos visualizar diversas opciones cuando damos doble clic sobre la GPO.

 

 

 

Agregar usuarios para controlar las GPOs
Una tarea que puede ser requerida es agregar un nuevo usuario o grupo directamente desde AGPM, y para ello realizaremos lo siguiente:

 

Desde la ventana Contenido seleccionamos la opción Agregar ubicada en la parte inferior y se desplegará la siguiente ventana donde debemos ubicar el usuario o grupo a agregar.

 

27-seleccionar-usuarios-grupo-equipo.png

 

Pulsamos Aceptar y se desplegará la siguiente ventana donde debemos definir el tipo de rol que cumplirá el usuario o grupo. Una vez definido el rol pulsamos Aceptar.

 

28-funcion-agpm.png

 

Podemos ver que el usuario ha sido agregado correctamente.

 

29-cambiar-control-directivas-de-grupo.png

 

 

Editar una GPO controlada
Este es quizás uno de los aspectos más interesantes de AGPM es la seguridad al editar una GPO controlada. Para editar una GPO controlada debemos dar clic derecho sobre la GPO y seleccionar Editar pero veremos lo siguiente, la opción Editar se encuentra deshabilitada por defecto.

 

30-editar-agpm.png

 

Para habilitar la edición de la GPO controlada debemos dar clic en el botón Desproteger y se desplegará la siguiente ventana donde debemos explicar el porqué de la desprotección de la GPO.

 

31-despoteger-gpo.png

 

Pulsamos Aceptar e iniciará el proceso de desprotección.

 

32-proceso-desproteccion-agpm.png

 

Ahora si damos clic derecho nuevamente sobre la GPO podremos ver que se ha habilitado la edición de la misma. (Estado Desprotegida).

 

33-estado-desprotegida-gpo.png

 

Si pulsamos en Editar podremos hacer los ajustes necesarios a la GPO. Una vez concluidos los cambios podemos pulsar el botón Proteger para evitar la edición de la misma.

 

34-editor-de-adminsitracion configuracion de-directivas-de-grupo.png

 

 

Como vemos con AGPM tenemos a mano una herramienta poderosa para la administración centralizada de todas las GPOs de la organización y tener un control más específico sobre los accesos y permisos de las mismas. Para conocer más acerca de AGPM podemos visitar el siguiente enlace.

 


Tutoriales Relacionados


1 Comentarios


Francisco Lara
nov 07 2016 16:59

No la conocía y es una herramienta muy muy potente a tener en cuenta en los Windows Server. Me he tirado un rato leyendolo, anotado queda. muy completo por cierto.

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!
10
VOTA
5
100%
4
0%
3
0%
2
0%
1
0%

  Información

  •   Publicado nov 07 2016 16:03
  •   Actualizado nov 07 2016 16:27
  •   Visitas 3.5K
  •   Nivel
    Profesional