docMódulo 5: 70-411
download 
Demanda Transcripción
Módulo 5: 70-411
Módulo 5: 70-411 jueves, 4 de diciembre de 2014 12:34 Gestión de Escritorio usando GPOs. Plantillas Administrativas. Las plantillas administrativas hacen cambios directamente sobre el registro de Windows. Por esto suelen llamarse también RegistryBased Policies. Como en cualquier política, tenemos plantillas administrativas en Configuración de Usuario y en Configuración de Equipos: • Configuración de equipo: HKEY_LOCAL_MACHINE • Configuración de usuario: HKEY_CURRENT_USER Si una misma setting la tenemos en Configuración de Equipo y en Configuración de Usuario, tiene prioridad la Configuración de Equipo. Por ejemplo, si instalamos Skype, aparecerá en las 2 configuraciones. Dos tipos de Plantillas Administrativas: • ADM: ○ Mas antiguas ○ Usan un lenguaje propietario, por lo que son mas difíciles de crear. ○ Se guardan en %SystemRoot%\Inf = C:\Windows\Inf ○ Son dependientes del idioma. Para cada idioma tenemos una plantilla completa ○ Se copian a SYSVOL. Cada una ocupa alrededor de 3 MB • ADMX: ○ Usan el estándar XML. Cualquier fabricante puede crear plantillas para sus productos. ○ Windows Server 2008 y Windows Vista ○ %SystemRoot%\PolicyDefinitions = C:\Windows\PolicyDefinitions ○ Son independientes del idioma. Las características propias de cada región se almacenan en archivos ADML ○ Se leen directamente de %SystemRoot%\PolicyDefinitions ○ Se almacenan en local en cada máquina, pero también podemos guardarlas en una localización centralizada. Central Store. Se crea este almacén copiando la carpeta %SystemRoot%\PolicyDefinitions a SYSVOL. Las plantillas administrativas ADMX se guardan aquí: Las plantillas administrativas se copian a la siguiente ruta para que se replique a todo el dominio. Si tenemos plantillas administrativas ADM y ADMX y tiene ambas la misma configuración , las ADMX tienen prioridad frente a la s MCSA 70-411 página 1 Si tenemos plantillas administrativas ADM y ADMX y tiene ambas la misma configuración , las ADMX tienen prioridad frente a la s ADM Podemos mejorar el rendimiento del AD migrando todas las plantillas ADM a ADMX. Para esto usamos la herramienta ADMX Migration Tool. Al instalar el paquete da error, por lo que hay que entrar en "Modo a prueba de fallos" y ejecutar: Las Plantillas Administrativas son extensibles. Podemos crear nuestras propias plantillas o descargar otras desarrolladas por fabricantes. Por ejemplo, si Adobe ofrece plantillas administrativas para Acrobat Reader, podemos establecer la configuración de Acrobat Reader en todas las máquinas del dominio de forma centralizada. Tenemos Plantillas Administrativas para muchos productos de Microsoft, por ejemplo Office 2013. Nos hemos descargado las plantillas administrativas de Microsoft, pero para que funcionen tienen que estar todas ubicadas en la raíz del directorio: Redirección de Carpetas y Scripts. El objetivo de Folder Redirection es que los usuarios "vean" que sus directorios están en su máquina local, pero realmente están en una localización compartida. Esto tiene algunas ventajas: • Facilita la administración de Backups • Facilita la movilidad de usuarios (Roaming Profiles) • Acceder a una carpeta compartida puede hacer que sea más lento, pero podemos combinar la redirección de carpetas con Offline File (caché carpeta compartidas). Si configuramos las carpetas compartidas como "Avanced" podemos especificar las rutas donde queremos que grupos de usuarios guarden sus archivos. En este ejemplo hemos creado para el grupo de Sales, y otra para SalesAdmin. - En modo básico crear una carpeta para cada usuario. - En modo avanzado podemos redirigir usuario y grupos a diferentes carpetas. MCSA 70-411 página 2 Policy Removal: • Leave the folder.... --> Lo sigue guardando en la carpeta compartida si quitamos la GPO o la desenlazamos... se sigue haciendo la redirección compartida (es como una GPO no gestionada). Sigue funcionando con normalidad. • Redirect the folder.... --> Se devuelven a la maquina local y la GPO se "elimina" MCSA 70-411 página 3 Cuando al dejar de aplica una GPO se mantiene el efecto de una setting, se llama "tatooing setting" En Fotos, Música y Videos hay una opción mas que guarda la carpeta, si por ejemplo tenemos "Música" crea otra subcarpeta "Música" Va a guardar los archivos en la misma ruta. Ejecución de Scripts Antes de que apareciesen las Preferencias en las GPOs, había tareas que teníamos que configurar en scripts para que se ejecutasen de forma automática: • Mapear una unidad de red. • Limpiar directorios temporales • Limpiar los archivos de paginación. Los scripts tendremos que seguir usándolos para maquinas que no soporten Preferencias. Si están soportadas, las Preferencias deben ser el método usado para estas tareas. Podemos definir scripts en varios lenguajes de programación: • VBScript • Microsoft JScript • Comandos de MS-Dos en un archivo .bat MCSA 70-411 página 4 • Comandos de MS-Dos en un archivo .bat • Poweshell (Desde Windows Server 2008 R2) Estos scripts los podemos ejecutar en 4 situaciones: • Cuando un usuario inicia sesión. • Cuando un usuario cierra sesión. • Cuando un equipo se reinicia. • Cuando un equipo se va a apagar. Los scripts deben encontrarse en una carpeta compartida. A esta carpeta compartida deben tener acceso las cuentas de usuario o de equipo que los van a ejecutar. El recurso compartido que se suele usar es Netlogon. Primero hacemos un mapeo de red en LON-CL1 Si cerramos sesión habría que volver a lazar el comando, y queremos que se lance automáticamente cada vez que se inicia sesión. Entramos en LON-DC1. Y lo guardamos como .bat (en el escritorio por ejemplo aunque luego hay que llevarlo a una ubicación compartida.) Y lo movemos a: Creamos una GPO que se llama Mapeo de Red MCSA 70-411 página 5 Y la Editamos. MCSA 70-411 página 6 Ya tenemos es script de inicio y ahora hay que enlazarlo al dominio. Y hacemos que se aplique a LON-CL1 sin esperar a que se replique automáticamente. Entramos en LON-CL1 e iniciamos la sesión y miramos si se ha aplicado. Preferencias. Las tareas que hasta ahora teníamos que ejecutar mediante scripts, ahora podemos aplicarlas usando Preferencias en las GPOs. Están disponibles desde Windows Server 2008. En clientes el sistema operativo debe ser Windows Vista SP2 o superior. Si descargamos e instalamos las CSE (Client Side Extensions) de Preferences, podemos usarlas en: • Windows Server 2003 • Windows XP Service Pack 3 • Windows Vista SP 1 Desde LON-DC1 creamos una GPO y la editamos MCSA 70-411 página 7 En las Preferencias tenemos 4 opciones: • Crear: Crea una nueva setting de preferencias para el usuario o el equipo. • Remplazar: Elimina la preferencia y la vuelve a crear con la nueva configuración. • Actualizar: Modifica alguna setting de la preferencia. • Borrar: Borrar una setting de preferencias para el usuario o el equipo. Marcar "Reconnect" es por si el usuario la desconecta se vuelva a conectar. MCSA 70-411 página 8 Ejercicio -----------------------------------------------------------------------------------------------------------------------------------------------Usar las preferencias para que los usuarios tengan un acceso directo al Bloc de Notas en el Escritorio ------------------------------------------------------------------------------------------------------------------------------------------------ Con la opción: Stop processing… --> Si alguna falla detiene la ejecución de las siguientes. • Run in logged... --> Para que se ejecute cada vez que iniciamos la máquina. • Remove this item.... --> Cuando se desenlaza la preferencia y deja de aplicarse. • Apply once.... --> Si el usuario hace cambios no se vuelve a aplicar. Por ejemplo creamos una unidad de red, G:\ y el usuario decide desconectarla, no le vuelve a aparecer la unidad de red. • Item-level targeting: --> Se decide a quien se le va a aplicar la preferencia. MCSA 70-411 página 9 En este caso por ejemplo, solo le aparecería a los usuario de Sales. MCSA 70-411 página 10 Ejercicio. -----------------------------------------------------------------------------------------------------------------------------------------------Para los usuario del departamento de ventas es fundamental contar con un directorio en C: que se llama c:\Informes (no es una carpeta compartida, es un directorio local). Este directorio debe crearse de forma automática en todos los equipos Windows 8.1 y sólo para los usuarios del grupo Sales, pero no así para los usuarios de SalesAdmin. Si algún usuario borra el directorio, debe crearse de nievo en el siguiente inicio de sesión. Desde aquí se dice que sea solo para los usuarios de Sales y Windows 8.1 -----------------------------------------------------------------------------------------------------------------------------------------------día 4/12/2014 Gestión de Software usando GPOs. Usando GPOs podemos gestionar prácticamente todo el ciclo de vida de una aplicación. 1.- Instalación. 2.- Actualización. 3.- Desinstalación. Ventajas: • Podemos hacer la instalación de forma centralizada. No necesitamos ir a cada uno de los equipos o instalar la aplicación para cada uno de los usuarios. • Si un usuario es móvil, cambia de equipo, podemos hacer que la aplicación "le siga", instalándose en el nuevo equipo. • No tiene costes adicionales, la infraestructura de GPOs viene con Windows Server 2012 R2 y con los equipos clientes. En los clientes ya tenemos el CSE (Client Side Extension) necesario para la instalación y desinstalación de software. MCSA 70-411 página 11 clientes ya tenemos el CSE (Client Side Extension) necesario para la instalación y desinstalación de software. Inconvenientes: • El conjunto de características y configuraciones de instalación es reducido: No podemos elegir el orden de instalación cuando despliéganos múltiples aplicaciones, no hay un método directo para especificar fecha y hora para la instalación, no hay much as posibilidades de personalización de la instalación de aplicaciones. • No tenemos una herramienta que nos dé informes detallados de las instalaciones, actualizaciones y desinstalaciones hechas. • Sólo funciona con paquetes MSI (Microsoft Installer) o MSU (Microsoft Update).Si la aplicación a instalar no cuenta con el paquete MSI, podemos usar aplicaciones de terceros para construirlo. Si estas limitaciones son un problema, podemos usar software como System Center Configuration Manager (SCCM) El despliegue de software con GPOs se basa en el servicio Windows Installer. El servicio Windows Installer se ejecuta con privilegios elevados en cada máquina (Local System), por lo que no necesitamos que el usuario para el que vamos a instalar la aplicación cuente con esos privilegios. El paquete MSI o MSU estará en una carpeta compartida y lo único que necesitamos es que el usuario tenga permiso READ en esa carpeta. Windows Installer se encarga del proceso de instalación, mantenimiento (incluyendo la reparación y actualización) y la desinstalación. Si una aplicación está corrupta, Windows Installer puede repararla o reinstalarla. Esto se suele denominar Aplicaciones Resilientes (resistente a fallos). A la hora de instalar aplicaciones usando GPOs tenemos 3 opciones: • Asignar. • Publicar. • Avanzada: Permite personalizar un poco el proceso de instalación. Asignar. Tanto la asignación como la publicación pueden configurarse para Usuarios y para Equipos. Si usamos Configuración de Equipos, la aplicación se asigna o se publica para todos los usuarios que inicien sesión en el equipo. Si usamos Configuración de Usuarios, la aplicación se asigna o se publica sólo para ese usuario, independientemente del equipo en el que inicie sesión. La aplicación instalada mediante Configuración de Usuarios no se comparte entre los usuarios de la máquina. Si ASIGNAMOS una aplicación a un equipo, la aplicación se instala en el equipo y estará disponible para todos los usuarios del mismo. La instalación se hace efectiva la próxima vez que el equipo se inicie. Si ASIGNAMOS una aplicación a un usuario, en el menú de Inicio se avisa al usuario de la disponibilidad de la aplicación y ésta se instala cuando el usuario pulsa en ella, o cuando el usuario abre un archivo relación con la aplicación. Publicación. En la publicación, la aplicación no se instala por defecto, sino que aparece en el Panel de Control, en Programas y es el usuario el que tiene que instalarla. La Publicación no está disponible para Equipos, solo para usuarios. Practica: -----------------------------------------------------------------------------------------------------------------------------------------------Asignación de aplicación por GPO. Creamos una carpeta compartida en LON-DC1. Comprobamos que desde LON-CL1 tenemos acceso a esa carpeta Creamos una GPO y la editamos. MCSA 70-411 página 12 Cuando le decimos que paquete queremos instalar hay que hacerlo a través de la red, es decir: \\LON-DC1\Software Y aparece el paquete que vamos a desplegar Hay que enlazarla a nivel de dominio por ejemplo y después con Reiniciar LON-CL1 debería estar listo. Si no se lanza un gpupdate /force y ya aparece. MCSA 70-411 página 13 Ejercicio. -----------------------------------------------------------------------------------------------------------------------------------------------Las políticas de gestión de nuestra empresa establecen que la aplicación 7-zip debe estar disponible para todos los usuarios que quieran instalarla. No debe preinstalarse esta aplicación, pero tenemos que hacer que esté disponible para todos de forma centralizada. Creamos la GPO 7-zip y la editamos. Publicar. Y la enlazamos a nivel de dominio Con estos comandos le decimos que invoque la GPO y si necesita reiniciar, reinicie LON-CL1 sin preguntar. Dentro de Panel de Control de LON-CL1 estaría el instalador (usuario SALES1) MCSA 70-411 página 14 Instalamos la aplicación y cerramos sesión para ver si Sales2 tiene el 7-zip instalado. No aparece porque la publicación es solo a nivel de usuario no de equipo. ------------------------------------------------------------------------------------------------------------------------------------------------ Ejercicio -----------------------------------------------------------------------------------------------------------------------------------------------Las políticas de empresa obligan a desinstalar aplicaciones que no están actualizadas. Tenemos XML Notepad 2007 que entra dentro de este grupo instalada en 1000 hosts. Se nos pide desinstalar de forma centralizada XML Notepad 2007 de todos los hosts. Dentro de la misma GPO entramos en propiedades y marcamos esa opcion. Luego la desenlazamos y se aplica. ------------------------------------------------------------------------------------------------------------------------------------------------ La pregunta está mal 6, la respuesta correcta es la c) The Administrative Templates (pdf 5) Modulo 3 pregunta 3 D Modulo 4 pregunta 8 creator owner MCSA 70-411 página 15
