Workflow - Best Practise - Gruppenrichtlinien editieren

Autor: Mark Heitbrink - vom 18.01.2015 - Kategorie(n): Anleitungen

Sobald man mit Richtlinien angefangen hat, stellen sich irgendwann die Fragen:

Wie kann ich eine Richtlinie ändern ohne großen Einfluss auf die vorhandene Umgebung?
Wie kann ich sie vorher testen?
Wie kann ich gewährleisten, das erst die Version online geht, die die Finale ist und nicht ein "mittendrin"?
Wie kann ich die Änderung rückgängig machen, wenn es nicht geklappt hat?
usw.

Die Antworten lauten:
Arbeitsanweisungen, Workflow, konsequentes Einhalten und ein bischen mehr klicken, vor dem loslegen.

Oder man verwendet ein Produkt wie AGPM - Advanced Group Policy Management. AGPM ist Bestandteil des MDOP - Microsoft Desktop Optimization Pack und leider gibt es das nur für Software Assurance Kunden. 

Schauen wir uns an, was jeder im eigenen Unternehmen realisieren kann. Mit ein wenig Struktur und minimalem Aufwand kann jeder das tun, was AGPM über ein Frontend erzwingt. Der Vorteil von AGPM ist nicht die grundsätzliche Technik, sondern der Zwang, der durch das Plugin und dessen Oberfläche integriert ist. Man kann garnicht anders arbeiten, als es das Produkt vorgibt.

Der Workflow ist wohl nur für Firmen realistisch, die max. 2 oder 3 Personen haben, die Gruppenrichtlinien editieren.

Voraussetzung:
Ihr habt in eurer produktiven Umgebung ein 100% identisches Abbild eurer AD Struktur in einer eigenen TestOU. Alle GPOs, Verlinkungen, Reihenfolgen sind dort wie in der Prod. Erstellung einer Testumgebung als Abbild der Produktiven,  Alternativ, kann man sowas auch manuell zusammenstellen.
Es existiert ein definierter UNC Pfad mit einem Backup Ordner (GPOBackup) in dem alle Gruppenrichtlinien grundsätzlich gesichert werden.

Ziel:
- wir haben vor jeder Version und Änderung ein Backup, sodass wir leicht auf den alten Stand zurückkommen
- wir editieren die Richtlinien Offline, die Änderung findet nicht in der produktiven Umgebung statt
- wir gewinnen Zeit zum Testen

Erster Schritt:

  1. Alle produktiven Gruppenrichtlinien sichern


Workflow - Fall 1: neue Richtlinien erstellen

  1. neue GPO erstellen, eventuell mit Namenskonvention für Test und in der TestOU entsprechend verlinken, Filter einstellen wenn notwendig und an die richtige Stelle der Reihen-/Rangfolge verschieben.
  2. Testkonto verwenden, das in der TestOU in dir richtigen OU liegt und testen.
  3. Sobald der Test erfolgreich ist, wird die TestGPO in der Prod identisch verlinkt, umbenannt und jetzt im GPOBackup Ordner gesichert.


Workflow - Fall 2: vorhandene Richtlinie bearbeiten

  1. ihr erstellt eine Kopie der zu ändernden Richtlinie
  2. in der TestOU wird die originale Richtlinie deaktiviert, der Link bleibt erhalten und die Kopie wird in der TestOU anstelle dieser verlinkt.
  3. Testen!
  4. Sobald der Test erfolgreich ist erstellen wir ein Backup der Kopie, danach kann die Kopie gelöscht werden.
  5. die deaktivierte Richtlinie in der TestOU wird wieder aktiviert
  6. jetzt importieren wir in die original Richtlinie, das Backup der Kopie und damit die Änderungen an der originale Richtlinie, der Import Assistent fragt ob die GPO gesichert werden soll und das ist ein klares JA! 
  7. Die Sicherung erfolgt im GPOBackup Ordner


Das ist praktisch der manuelle Vorgang, den AGPM vor dem editieren der Richtlinien erzwingt:

auschecken - es wird eine Kopie der Original Richtlinie erstellt

bearbeiten - es wird immer nur die Kopie editiert, nie das Original

einchecken - die Kopie wird gesichert und gelöscht

bereitstellen - der Inhalt der Kopie wird in die Originale importiert