Una de las tareas fundamentales que realizamos de forma constante cuando usamos Windows Server 2012 o 2016 es controlar todos los objetos del dominio tales como usuarios y equipos y sabemos que una de las formas mas prácticas para realizar esta tarea es usar las políticas de grupo ya que estas nos permiten administrar de forma centralizada todos los parámetros y valores de estos objetos.
Con el avance de los Sistemas Operativos también las políticas de grupo han sido modificadas y hoy contamos con una herramienta muy poderosa llamada AGPM que hoy analizaremos de forma detallada en un entorno Windows Server 2016.
1. Términos relacionados con AGPM
Existen ciertos términos usados con frecuencia en AGPM, éstos son:
2. Requisitos para instalar AGPM en Windows Server 2016
Debemos cumplir una serie de requisitos para la instalación de AGPM en Windows Server 2016, éstos son:
Con estos requisitos en cuenta procedemos a instalar AGPM en Windows Server 2016.
3. Instalar AGPM en Windows Server 2016
Microsoft recomienda que AGPM sea instalado en un servidor miembro del dominio pero no en el controlador de dominio, pero si no contamos con más opciones es posible instalarlo allí.
AGPM puede ser descargado desde el siguiente enlace.Recordemos que AGPM requiere de grupos para la gestión del servicio, por ello vamos a ir a Usuarios y equipos de Active Directory y crearemos los grupos respectivos.
Hemos creado una OU llamada AGPM y allí debemos crear la cuenta para que el servicio de AGPM sea iniciado, para ello hemos creado los siguientes objetos:
- Usuario AGPM Solvetic
- Incluimos este usuario en el grupo Propietarios del creador de directivas de grupo
- Se crearon los siguientes grupos para las tareas de gestión de AGPM:
- Administradores AGPM
- Aprobadores AGPM
- Editores AGPM
- Revisores AGPM
Una vez definidos los grupos y usuarios procedemos con la instalación de AGPM ejecutando el archivo agpm_403_server_amd64 como administradores. Se desplegará el respectivo asistente de instalación.
En un punto determinado de la instalación debemos definir el usuario de servicio con el cual se ha de ejecutar el servicio AGPM, en este punto podemos crear un usuario específico para el servicio o si estamos en un controlador de dominio, como es el caso, seleccionamos la opción Sistema local.
En la siguiente ventana seleccionaremos la cuenta que tendrá permisos totales sobre el servicio, en este punto añadimos el grupo Administradores AGPM que hemos creado.
En la siguiente ventana configuramos el puerto por el cual AGPM recibirá las peticiones de los clientes, dejamos el que está por defecto que es el 4600.
Posteriormente definimos los lenguajes de AGPM y veremos que ya podemos iniciar la instalación pulsando el botón Instalar.
Podemos ver que inicia el proceso de instalación de AGPM y que tras unos segundos la instalación ha finalizado correctamente.
4. Instalar AGPM cliente en Windows Server 2016
Una vez haya concluido el proceso de instalación de AGPM Servidor debemos instalar el cliente para completar toda la estructura de AGPM. Para ello ejecutaremos como administrador el archivo agpm_403_client_amd64.
Pulsamos Siguiente y seguimos los pasos del asistente y podemos ver en un momento de la instalación que debemos definir el servidor que actuará como AGPM.
Podemos ver que inicia el proceso de instalación de AGPM Cliente. Tras unos segundos, la instalación finalmente ha concluido con éxito.
5. Opciones de la consola de AGPM
Como podemos ver cuando hemos instalado tanto el servidor como el cliente de AGPM no se ha creado ningún acceso directo ni añadido ninguna aplicación como tal, pero los cambios los veremos reflejados en la administración de directivas de grupo.
Para acceder a ellas podemos usar alguna de las siguientes opciones:
- Usar el comando Ejecutar e ingresar el comando gpmc.msc, pulsar Enter.
- Ingresar el término administración en el cuadro de búsqueda de Windows Server y seleccionar la opción adecuada.
Una vez abierto el administrador veremos la siguiente ventana.
La primera diferencia que notaremos comparado con las políticas de grupo tradicionales es en el momento de desplegar nuestro dominio, ahora veremos un nuevo contenedor llamado Cambiar control.
Al pulsar sobre Cambiar control podemos ver las siguientes opciones.
Las opciones básicas que tenemos son:
6. Tareas básicas en AGPM
Para tomar el control de estas GPOs seleccionaremos las GPOs que deseamos tener control y pulsamos clic derecho sobre ellas y seleccionamos la opción Control. Una vez seleccionemos la opción Control podemos ver el siguiente mensaje. Pulsamos Aceptar y veremos que estas GPOs pasan a la pestaña Controlado.
Podemos visualizar las GPOs sin control en la pestaña Contenido / Sin control
Veremos el siguiente asistente donde asignaremos un nombre a la GPO controlada. Pulsamos Aceptar y veremos nuestra GPO creada de manera correcta y podemos visualizar diversas opciones cuando damos doble clic sobre la GPO. 
Desde la ventana Contenido seleccionamos la opción Agregar ubicada en la parte inferior y se desplegará la siguiente ventana donde debemos ubicar el usuario o grupo a agregar. Pulsamos Aceptar y se desplegará la siguiente ventana donde debemos definir el tipo de rol que cumplirá el usuario o grupo. Una vez definido el rol pulsamos Aceptar. Podemos ver que el usuario ha sido agregado correctamente. 
Para habilitar la edición de la GPO controlada debemos dar clic en el botón Desproteger y se desplegará la siguiente ventana donde debemos explicar el porqué de la desprotección de la GPO. Pulsamos Aceptar e iniciará el proceso de desprotección. Ahora si damos clic derecho nuevamente sobre la GPO podremos ver que se ha habilitado la edición de la misma. (Estado Desprotegida). Si pulsamos en Editar podremos hacer los ajustes necesarios a la GPO. Una vez concluidos los cambios podemos pulsar el botón Proteger para evitar la edición de la misma. 
Como vemos con AGPM tenemos a mano una herramienta poderosa para la administración centralizada de todas las GPOs de la organización y tener un control más específico sobre los accesos y permisos de las mismas. Para conocer más acerca de AGPM podemos visitar el siguiente enlace.
No la conocía y es una herramienta muy muy potente a tener en cuenta en los Windows Server. Me he tirado un rato leyendolo, anotado queda. muy completo por cierto.