Instale el agente de PAM360 en endpoints mediante objetos de políticas de grupos (GPO) de Windows

En este documento se detallan los pasos necesarios para instalar el agente de PAM360 en varios endpoints utilizando objetos de políticas de grupos (GPO) de Windows. Haga clic aquí para descargar el archivo zip del script para el agente de PAM360. Descomprima el archivo, extraiga el archivo PAM360AgentInstallationScript.ps1 y los archivos PAM360AgentUninstallationScript.ps1.

Prerrequisitos

• Consulte los pasos detallados en esta página de ayuda, descargue el archivo comprimido de instalación para el agente de PAM360 de la interfaz de PAM360 y copie la clave del agente. Guarde la clave en una ubicación segura, esta debe añadirse después al script de PowerShell para PAM360.
• Si ya tiene agentes instalados en los endpoints, siga estos pasos para desinstalar los agentes de forma masiva usando el script de desinstalación. Este script desinstalará todos los agentes C++ y C.
• Cree un dominio con todos los equipos que necesitan ser incluidas en el GPO, para ser los endpoints en donde se instalará el agente.

Pasos para crear un GPO en el dominio y añadir los equipos deseados

1. Abra Server Manager. En la esquina superior derecha, haga clic en Herramientas >> Gestión de políticas de grupos.
2. Haga clic derecho sobre el nombre del dominio y haga clic en la opción Crear un GPO en este dominio y vincularlo aquí.
   
3. Ingrese un nombre para el nuevo GPO y guarde - AgentGPO. Proporcione un nombre para el nuevo GPO, por ejemplo: AgentGPO. Ahora, haga clic en el GPO recién creado. En Alcance >> Filtrado de seguridad, haga clic en Añadir. En la ventana Seleccionar usuario, equipo o grupo, ingrese los nombres de los equipos deseados, el del grupo que contiene todos los endpoints deseados o de los equipos deseados individualmente y haga clic en Aceptar.
   
4. Cambie a la pestaña Delegaciones. Haga clic derecho sobre el grupo que añadió y dele pleno permiso de acceso como se muestra a continuación.
   Ha creado correctamente una Política de grupo y añadido los equipos deseados en los que se debe instalar el agente de PAM360.

Pasos para añadir el script de instalación y el archivo zip de instalación de agentes en el GPO

1. Ahora haga clic derecho en el nombre del GPO desde el panel izquierdo y haga clic en Editar parámetros, eliminar, modificar seguridad. Se abrirá la ventana del editor de Gestión de política de grupos.
   
2. Expanda las carpetas Políticas >> Parámetros de Windows. Haga doble clic en Scripts. En la ventana Scripts, haga clic en Inicio y luego clic en Propiedades.
   
3. Cambie a la pestaña Scripts de PowerShell y haga clic en Mostrar archivos. Se abrirá el directorio de red. Copie la ruta de la ubicación de la red.
   
4. Open the extracted PAM360AgentInstallationScript.ps1 file and do the steps as follows:
   1. Agregue la ruta de ubicación de red copiada en el paso anterior como variable de origen. por ejemplo: "\\zylker.com \SysVol\zylker.com\Policies\{33A6F6BE-4A9E-4CCA-AB5A-7C96E14F2ACB}\Machine\Scripts\Startup\PAM360_WindowsAgent_CS.zip".
   2. Agregue la ruta de destino deseada, por ejemplo, c:\Program Files. Esta es la ubicación donde se instalará el agente en los puntos finales de destino, así que asegúrese de que esta ruta esté disponible en todas las máquinas de destino.
   3. Agregue los siguientes datos al lado de "./AgentInstaller.exe install $args" según sea necesario:
      1. Si está instalando el agente como un servicio para administración de contraseñas, elevación de privilegios de autoservicio e implementación de confianza cero, ingrese 1,2,3. Por ejemplo, ./AgentInstaller .exe instalar $args 1,2,3
      2. Si está instalando el agente como un servicio para la administración de contraseñas, ingrese 1. Por ejemplo, ./AgentInstaller.exe instala $args 1
      3. Si está instalando el agente como un servicio para elevación de privilegios de autoservicio, ingrese 2. Por ejemplo, ./AgentInstaller.exe instala $args 2
      4. Si está instalando el agente como un servicio para la implementación de confianza cero, ingrese 3. Por ejemplo, ./AgentInstaller.exe instala $args 3.
         También puede ingresar una combinación diferente según los requisitos de instalación de su agente.
5. Ahora pegue el archivo del script de PowerShell para el agente de PAM360 y el archivo zip de instalación del agente en la ubicación de red del GPO.
   

6. Haga clic en Añadir, añada el nombre de archivo 'PAM360AgentInstallationScript' bajo Nombre de script y la clave de instalación del agente copiada de PAM360 bajo Parámetros de scripts. Haga clic en Aplicar y Aceptar de nuevo para guardar los ajustes.
7. En el editor del GPO, expanda Plantillas administrativas en el panel izquierdo. Expanda la carpeta Sistema bajo ella y abra Política de grupos.
8. Bajo la carpeta Política de grupos haga clic derecho en Especificar el tiempo de espera para la conectividad del espacio de trabajo para el procesamiento de la política.
   
9. En esta ventana haga clic en la opción Habilitado. Ingrese, la cantidad de tiempo que deberá esperar es de 120 segundos. Haga clic en Aplicar y en Aceptar para guardar los ajustes.
   
10. Se aplicará el GPO. Una vez reinicie los endpoints deseados, se invocará el script de PowerShell para el agente de PAM360 y se instalará el agente en los equipos deseados.
11. Luego de la instalación correcta del agente, deshabilite el script de inicio para el GPO que creó (AgentGPO en este ejemplo). Esto garantizará que el script no se invocará cada vez que se reinicien los equipos deseados.

Pasos para la resolución de problemas

Asegúrese de que AgentGPO tiene una precedencia mayor que los otros GPO. Esto es para garantizar que los otros GPO no anulan los permisos de AgentGPO.

Para verificar esto, haga clic en el nombre de GPO, clic derecho en la opción Aplicado y verifique que se haya instalado.