GROUP POLICIES: Las GPOs (Group Policies Objetcs) son

Transcripción

GROUP POLICIES: Las GPOs (Group Policies Objetcs) son
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Module 11: Implementing Group Policy
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GROUP POLICIES:
•
Las GPOs (Group Policies Objetcs) son conjuntos de configuraciones que podemos aplicar tanto a usuarios
como a equipos dentro del dominio.
Prácticamente cualquier configuración que queremos establecer en la organización, puede hacerse con GPOs:
•
•
•
•
•
•
Desplegar aplicaciones
Activar o desactivar servicios.
Crear objetos.
Redireccionar carpetas de usuarios.
Establecer características de seguridad.
…
Cuando trabajamos con GPOs, estamos modificando entradas en el registro de Windows. En lugar de hacerlo de
forma local con regedit.exe, lo hacemos de forma centralizada.
Una GPO es un conjunto de configuraciones y cada configuración por separado se denomina Group Policy Setting.
Ejemplos de Group Policy Settings:
•
•
•
•
Establecer una longitud mínima para la contraseña.
Impedir el acceso al Panel de Control.
Establecer un fondo de Pantalla.
Bloquear o permitir el acceso a Internet Explorer.
Una GPO agrupa varias de estas Settings. Normalmente se incluyen en una GPO las Settings que están relacionadas
con un aspecto concreto. Por ejemplo, creamos una GPO con las siguientes Settings:
•
•
•
Longitud mínima de contraseña: 10 caracteres.
Caducidad de la contraseña: 25 días.
Complejidad de la contraseña.
El contenido de una GPO está organizado en dos secciones principales:
•
•
Computer Configuration: Settings que se aplican a los equipos independientemente quien sea el usuario que
inicie sesión con él.
User Configuration: Settings que se aplican a los equipos independientemente del equipo que inicia la sesión.
Cuando hay conflictos entre dos Settings, una para Computer y otra para User, por defecto tiene prioridad la de
User.
Tenemos dos juegos de GPOs:
• Locales: Se aplican solo a la máquina y a los usuarios locales a esa máquina. No existen en los DCs.
•
De Domino: Se aplican a todas las máquinas y a todos los usuarios del dominio, incluyendo los DCs.
Ante un conflicto, las GPOs locales tienen MENOS prioridad que las de Dominio. Si una máquina está en grupo de
trabajo, solo se le aplican las GPOs locales.
o
o
Las GPOs locales se almacenan en la propia máquina.
Las GPOs de dominio se almacenan en SYSVOL y en el AD.
Cuando creamos una GPO, todas las Settings están sin configurar. Cuáles son, como se organizan y donde se
encuentran viene determinado por una plantilla (Template) de GPO. Las plantillas se almacenan en SYSVOL.
La información sobre las Settings modificadas y con qué valor, se almacena en el AD y se denomina Contenedor GPO.
Cada GPO tiene un GUID (Global Unique Identifier). Asocia la plantilla con el contenedor en el AD. Además, cada
contenedor tiene otras características:
•
•
Numero de versión.
Enlaces(donde esta aplicada la GPO).
Consola para poder crear GPOs.
Todas las GPOs en el dominio.
nueva politica.
Cuando desenlazamos una GPO, las directivas dejan de aplicase. Por ejemplo, si hemos configurado el Setting
"mínimum password lenght" a un valor de 12, cuando desenlazamos la GPO, la contraseña ya no tiene por qué ser
de un mínimo de 12 caracteres.
Las preferencias no se fuerzan, el usuario puede cambiarlas. Cuando desenlazamos una GPO, no dejan aplicarse.
Para aplicar una GPO tenemos que enlazarla. Podemos enlazar una GPO a 3 niveles:
Sitio
Dominio
Unidad organizativa
El procesamiento de GPOs sigue el siguiente orden:
1. Locales
2. Sitio
3. Dominio
4. Unidad organizativa
Teniendo prioridad la ultima que se aplica.
Se inicia en los clientes no en el servidor de dominio.
Editor de directivas locales. Solo se aplican los equipos locales.
Ejercicio:
Crear una GPO que prohiba el acceso al panel de control para todos los usuarios de logistica. El resto de usuarios del dominio si
deben poder acceder al panel de control.
Starter GPO
Crear nueva starter
WMI: Windows Management instrumentation. Para los filtros en GPO por hardware.
Asignar gpo por hardware
Un filtro WMI es diferente de un security filter
WMI nos permite filtar por caracteristicas hardware de la maquina: sistema operativo instalado, memoria RAM, espacio en disco
disponible.
Security filters: Filtrar por usuarios equipos y grupos.
Delegacion de GPOs
Filtros:
Filtros de seguridad
Filtros WMI
Antes de aplicar un filtro WMI hay que crearlo en su folder
Despues de crearla ya se puede aplicar desde aquí
Crear GPO desde powershell
Aplicación de GPOs
Las settings de configuracion de equipos se aplican cuando el equipo se iniciar. O bien de forma periodica cada 90 minutos.
Excepto en DCs, en los que que se refresca cada 10 minutos.
Las settings de configuracion de usuarios se aplican cuando el usuario inicia sesion. O bien de forma periodica cada 90 min.
Forzar actualizacion de politicas.
De forma local
Gpupdate /force
Remoto
Invoke-GPUpdate –Computer
Busca todas las maquinas del dominio y le manda actualizar las politicas
Get-ADComputer –Filter * | Invoke-GPUpdate
Cuando hay varias GPOs al mismo nivel la prioridad de cual se va a aplicar depende del link order
Multiple local GPOs:
Nueva caracteristica en windows server 2012 y windows 8
Hasta ahora, las politicas locales se aplicaban por igual a todos los usuarios que iniciaban sesion en una maquina.
Con MLGPOs podemos tener diferentes GPOs locales para diferentes usuarios o grupos en una maquina.
Crear MLGPOs
Esta pestaña es NUEVA
Asi queda para editar la gpo a nivel local de todos los usuarios que no sean administradores
Plantillas Administrativas:
Son conjuntos de configuraciones organizadas y que podemos aplicar tanto a usuarios como a grupos.
Son extensibles. Cualquier fabricante puede crear plantillas administrativas para sus productos y aplicaciones. Por ejemplo,
podemos decargar plantillas administrativas para gestionar el paquete de office.
Hay 2 tipos de plantillas administrativas: .ADM y .ADMX
ADM: Son las mas antiguas. Dependen del idioma del sistema operativo. Para trabajar con diferentes idiomas
necesitamos una ADM por cada uno de ellos.
ADMX: Son las nuevas y en XML. Son independientes del idioma. Para disitinguir entre idiomas usa archivos ADML
Estan aquí almacenadas
Filtrar en GPOs
Managed y Unmanaged Settings:
En GPOs tenemos un servicio que se denomina GPO service que controla las settings que se aplican dentro de las GPOs, pero
solo las “managed”.
Si una setting es “managed”, al desenlazar una GPO de su contenedor, el GPO Service la desactiva en todos los usuarios y
equipos afectados.
Si una setting es “unmanaged”, al enlazar la GPO a un contenedero empieza a aplicarse, pero si desenlazamos la GPO no deja de
aplicarse, se mantiene.
Si una setting es “managed”, el usuario no puede modificar esa caracteristica, se bloquea la interfaz de usuario correspondiente
Si una setting es “unmanaged”, aunque establece una configuracion, el usuario puede cambiarla, no se bloquea la interfaz de
usuario.
Las plantillas administrativas estan en
Y se instalan con el sistema operativo.
Las plantillas administrativas que encontramos en un windows 7 son diferentes de las que tenemos en un windows 8 o un
windows server 2012. Dependiendo del equipo desde el que estamos administrando las GPOs, podriamos tener o no una
plantilla administrativa concreta
Para resolver este problema, creamos un “Central Store” para plantillas administrativas.
Desde windows vista, cuando abrimos el group policy objects editor, busca las plantillas en un almacen cetral, y si no las
encuentra, usa el almacen local de la maquina (C:\Windows\PolicyDefinitions).
Almacen central de plantillas del dominio
\\Dominio\sysvol
En el group policy management editor vemos si el equipo esta cojiendo politicas del local o del almacen central
La carpeta sysvol esta replicada en todo el dominio en todos los DC
Crear almacen centralizado de Plantillas
La pegamos en esta ruta del DC
Y ahora desde el cliente ya nos aparece que esta cojiendo las plantillas del almacen central

Documentos relacionados