Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración Introducción
Views 185 Downloads 0 File size 17MB
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
Introducción 1. Prólogo
13
1.1 Un poco de historia... 1.2 ... y de futuro 1.3 ¿ Quién se beneficia de las directivas de grupo ?
13 14 15
2. Introducción
16
3. Consejos de utilización de este libro
17
3.1 El entorno técnico usado para este libro 3.2 La organización de la información 3.3 A qué público va dirigido 4. Las nuevas funcionalidades de las directivas de grupo 4.1 Novedades principales de Windows Server 08 y 08 R2 4.1.1 La GPMC integrada (GPMC 2.0) 4.1.2 Group Policy es ahora un servicio 4.1.3 Las GPO de inicio 4.1.4 Las preferencias de directiva y las extensiones del lado cliente 4.1.5 La detección de enlaces lentos con NLA (Network Location Awareness) 4.1.6 La gestión de logs mediante GPDBPA 4.1.7 El formato ADMX 4.1.8 La delegación de la instalación de los drivers de impresora a los usuarios 4.1.9 La consola de administración avanzada de las GPO 4.2 Utilización de los diferentes tipos de directivas de grupo 4.2.1 Las directivas locales en un Workgroup 4.2.2 Las GPO en un dominio Active Directory
18 18 19 20 20 20 21 21 21 21 21 21 22 22 22 23 24
GPO, AD y los procesos de aplicación 1. Introducción
www.ediciones-eni.com
25
© Ediciones ENI
1/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
2. Active Directory, un paso primordial
26
3. Aplicación de las directivas sobre los puestos de trabajo
29
3.1 Niveles de aplicación en Active Directory 3.2 Orden de aplicación 3.3 Jerarquía de aplicación
29 30 31
4. Las GPO en un entorno multibosque
32
5. Active Directory, una organización hecha para durar
32
5.1 Modelo de estructura de las Unidades Organizativas 6. Creación y ciclo de vida de una directiva de grupo 6.1 Localización de las GPO 6.2 Permisos y derechos de acceso a las GPO 6.2.1 Creación de las GPO 6.2.2 Consultar y modificar las autorizaciones 6.2.3 El contenedor Policies en Active Directory 6.2.4 El contenedor GPC 6.2.5 El contenedor GPT 6.3 Sincronización de los elementos GPC y GPT 7. Proceso de aplicación de las directivas
34 37 37 39 39 40 41 42 43 44 45
7.1 Comprender cómo se aplican las GPO 45 7.2 Principios generales de aplicación de las GPO 46 7.2.1 Proceso de aplicación 47 7.2.2 Proceso de aplicación inicial para las versiones Windows 2000, Server 2003, Server 2008 y 2008 R2 48 7.2.3 Proceso de aplicación inicial para las versiones Windows XP y Vista 49 7.2.4 El Fast Boot 51 7.3 Aplicar las GPO manualmente 51 7.3.1 Comandos de Windows 2000 52
www.ediciones-eni.com
© Ediciones ENI
2/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
7.3.2 Comandos de Windows XP y versiones siguientes 7.4 Forzar las GPO 7.4.1 Entorno Windows 2000 7.4.2 Entorno Windows XP y superiores
52 53 53 53
8. Aplicación cuando intervienen conexiones remotas y enlaces lentos
53
8.1 Detección de conexiones lentas en Windows 8.1.1 Windows 2000 y XP 8.1.2 Windows Vista 8.1.3 Parámetros aplicados a través de conexiones lentas 9. Conclusión y comentarios
54 54 55 55 56
Administrar las directivas con GPMC 2.0 1. Introducción
59
2. Administrar y gestionar las GPO
60
3. Administrar las GPO con la consola de administración de directivas de grupo - GPMC 2.0 61 3.1 Implementar la consola GPMC 2.0 3.1.1 Instalación de la funcionalidad Administración de directivas de grupo 3.2 Funcionalidades de la consola GPMC 2.0 3.2.1 Creación y modificación de directivas de grupo 3.2.2 Vincular objetos directiva de grupo 3.2.3 Utilizar la opción Exigido 3.2.4 Gestionar la precedencia de las directivas 3.2.5 Gestionar las herencias de directivas 3.2.6 Forzar las directivas en la GPMC 3.2.7 Buscar directivas 3.3 Configuración de los parámetros de directivas 3.3.1 Configuración del equipo 3.3.2 Configuración de usuario
www.ediciones-eni.com
© Ediciones ENI
61 62 63 63 71 74 77 79 81 82 85 87 89
3/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
3.3.3 Generación de informes 3.4 Seguridad y delegación 3.5 Copia de seguridad y restauración de las directivas 3.5.1 Hacer copia de seguridad de una directiva 3.5.2 Restaurar una directiva 3.5.3 Importar parámetros 4. Nuevas funcionalidades de la GPMC 2.0 4.1 Las GPO de inicio (GPO Starter) 4.1.1 Crear el directorio GPO de inicio 4.1.2 Crear un objeto GPO de inicio 4.1.3 Iniciar una directiva a partir de una GPO de inicio 4.1.4 Intercambiar las GPO de inicio 4.2 Las nuevas funcionalidades de los filtros 4.2.1 Utilizar los filtros 4.3 La utilización de las herramientas de comentarios
90 92 96 96 100 104 110 110 111 112 114 117 117 117 122
Las preferencias de directiva de grupo 1. Introducción
125
2. Explorar las preferencias
126
2.1 Lista de parámetros de preferencias 2.1.1 Configuración del equipo - Configuración de Windows 2.1.2 Configuración de usuario - Configuración de Windows 2.2 Creación de un objeto de preferencia 2.2.1 Configuración de un objeto de preferencia 2.2.2 Determinar la acción que la preferencia debe efectuar 3. Configuración de los objetos de preferencias
128 128 129 130 130 132 133
3.1 Configuración de las preferencias del contenedor Configuración de Windows 133 3.1.1 Parámetros de preferencias comunes a los equipos y a los usuarios 133 3.1.2 Parámetros de preferencias de los usuarios 143 3.2 Configuración de las preferencias del contenedor Configuración del panel de control
www.ediciones-eni.com
© Ediciones ENI
4/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
3.2.1 Parámetros de preferencias comunes a los equipos y a los usuarios 3.2.2 Parámetros de preferencias de los usuarios 3.3 Las opciones de la pestaña Comunes 3.4 Las opciones de objetos de preferencias existentes 4. Arquitectura y funcionamiento de las preferencias de directiva
144 144 163 170 172 174
4.1 Administrar las preferencias 174 4.2 Aplicar las preferencias 175 4.3 Instalación de las extensiones del lado cliente sobre los equipos 175 4.3.1 Windows Server 2008 y 2008 R2 176 4.3.2 Windows Server 2003, Windows XP 176 4.3.3 Windows Vista 176 4.3.4 Windows 7 176 4.3.5 Instalación de las CSE 176 4.4 Gestionar los componentes de preferencias sobre los puestos de administración 177 4.4.1 Administrar las preferencias de directiva desde un equipo Windows Vista o 7 177 4.4.2 Administrar las preferencias de directiva desde un servidor Windows Server 2008 o 2008 R2 177 5. Enlaces y descarga
178
6. Conclusión y comentarios
178
ADMX, ADML y los filtros WMI 1. Introducción
183
2. Los archivos ADM y ADMX
184
2.1 Los entornos mixtos
185
3. ADMX y ADML
www.ediciones-eni.com
186
© Ediciones ENI
5/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
3.1 Requisitos previos para la creación de archivos ADMX 3.2 Estructura de los archivos ADMX 3.2.1 Esquema del archivo 3.2.2 Estructura básica del archivo 3.3 Estructura de los archivos ADML 3.3.1 Esquema del archivo 3.3.2 Estructura básica del archivo 3.4 Archivo básico ADMX personalizado 3.5 Comentarios 4. El almacén central
194
4.1 Crear el almacén central 4.2 Aumentar el almacén central
194 196
5. Fuentes externas de plantillas administrativas 5.1 Descarga de archivos ADMX de una fuente externa 5.2 Plantillas administrativas para Microsoft Office 6. ADMX Migrator
196 196 197 197
6.1 Escenario ideal de uso de los archivos ADMX 6.2 Enlaces y descargas 7. Seleccionar el objetivo de las GPO con la ayuda de los filtros WMI 7.1 La sintaxis de los filtros WMI 7.1.1 Sintaxis WMI básica 7.1.2 Ejemplo de petición WMI 7.2 Crear un filtro WMI 7.3 Asociar un filtro WMI 7.4 Importar y exportar los filtros WMI 7.4.1 Importar un filtro 7.4.2 Exportar un filtro 8. Enlaces y descargas
www.ediciones-eni.com
188 188 189 190 190 191 192 192 193
198 198 198 200 200 201 201 204 205 205 207 208
© Ediciones ENI
6/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
9. Conclusión y comentarios
209
Directivas de grupo y seguridad 1. Introducción
211
2. Creación del dominio y directivas por defecto
212
2.1 La directiva Default Domain Policy 213 2.1.1 Los parámetros de directiva de dominio 214 2.1.2 Modificar la Default Domain Policy o crear una nueva 214 2.2 Directiva Default Domain Controllers Policy 215 2.3 Reparar las directivas por defecto (Default Domain Policy y Default Domain Controllers Policy) 215 3. Configurar la Default Domain Policy
217
3.1 Configuración de la Directiva de contraseñas 3.2 Configuración de la Directiva de bloqueo de cuenta 3.3 Configuración de la Directiva Kerberos 4. Seguridad y contraseñas
223
4.1 Preparar la implementación de FGPP 4.1.1 Crear un PSO 4.1.2 Asignar un PSO 4.1.3 PSO y Active Directory 4.2 Conclusión y comentarios 4.2.1 Utilizar Specops 5. Aumentar el nivel de seguridad con las herramientas de auditoría 5.1 Utilizar las directivas de grupo para auditar 5.1.1 Los diferentes parámetros de auditoría 5.1.2 Auditar las directivas de grupo con una directiva de grupo
www.ediciones-eni.com
220 221 222
© Ediciones ENI
224 225 234 237 239 241 241 241 242 244
7/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
5.1.3 Auditar las modificaciones de objetos 5.1.4 Directory service changes 5.1.5 Activar Directory service changes 5.1.6 Auditar un objeto específico 5.1.7 Auditar los accesos a los ficheros en la red 5.2 Conclusión y comentarios 6. Directiva de restricción de software
244 249 250 250 254 254 255
6.1 Crear una directiva con una regla suplementaria 6.2 ¿ Cómo y cuándo aplicar las GPO de restricción ? 6.3 Depurar las directivas de restricción 6.3.1 Verificar manualmente el registro 6.3.2 Crear un registro de eventos 7. Directiva de seguridad con Internet Explorer 7.1 Parámetros de directiva de Internet Explorer 7.1.1 Configurar el navegador Internet Explorer 7.2 Mantenimiento de Internet Explorer 7.2.1 Personalización del navegador 7.2.2 Configurar los parámetros de conexión 7.2.3 Gestionar las URL 7.2.4 Seguridad de Internet Explorer 7.2.5 Parámetros de programas 8. Conclusión y comentarios
261 263 264 264 264 265 266 266 269 270 271 271 271 271 272
Corregir errores de las directivas de grupo 1. Introducción
273
2. Metodología
274
2.1 Elementos de búsqueda 2.1.1 Las exigencias ligadas a la infraestructura
www.ediciones-eni.com
© Ediciones ENI
275 275
8/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
2.1.2 Los entornos mixtos 2.1.3 Las autorizaciones 2.1.4 El dominio Active Directory 2.1.5 La conectividad con la red 2.1.6 Las directivas aplicadas a enlaces lentos 2.1.7 Los servidores DNS 2.1.8 El volumen compartido SYSVOL 2.1.9 La replicación Active Directory y FRS 2.1.10 Las directivas por defecto 2.1.11 En la GPMC 2.2 Organizar los permisos 3. Las herramientas de diagnóstico
280
3.1 GPOTool 3.1.1 Preparar la utilización de GPOTool 3.1.2 Utilizar GPOTool 3.1.3 Aislar los errores de replicación 3.2 Determinar un conjunto resultante de directivas RsOP 3.2.1 Resultados de directivas de grupo 3.2.2 Modelado de directivas de grupo 3.2.3 GPResult 3.3 GPDBPA 3.3.1 Condiciones de uso de GPDBPA 3.3.2 Utilizar GPDBPA 3.4 Dcgpofix 3.5 Gpupdate 3.6 Replmon 4. Los registros de eventos
280 281 281 283 284 285 294 302 304 305 305 305 306 306 306
4.1 El visor de eventos de Windows Vista 4.1.1 Visor de eventos en modo normal 4.1.2 Visor de eventos en modo avanzado 4.1.3 El visor de eventos en los controladores de dominio 5. Conclusión y comentarios
www.ediciones-eni.com
275 276 276 276 277 277 277 278 278 278 279
307 307 311 315 319
© Ediciones ENI
9/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
Casos de estudio 1. Introducción
321
2. Casos prácticos
322
2.1 Directivas de la Configuración del equipo 323 2.1.1 Caso 1 - Configurar el cortafuegos de Windows mediante directivas de grupo 323 2.1.2 Caso 2 - Configurar las directivas de red inalámbrica de forma centralizada 332 2.1.3 Caso 3 - Poner a punto una directiva de clave pública 339 2.1.4 Caso 4 - Desplegar las aplicaciones con las directivas de grupo 365 2.2 Directivas de la Configuración de usuario 369 2.2.1 Caso 5 - Configurar el escritorio ideal para sus usuarios 369 2.2.2 Caso 6 - Restringir el acceso al panel de control 371 2.3 Directivas de preferencias 373 2.3.1 Caso 7 - Gestionar los usuarios y grupos locales de los puestos de trabajo desde la GPMC 374 2.3.2 Caso 8 - Conectar las unidades compartidas de red gracias a las preferencias 376 2.3.3 Caso 9 - Facilitar el acceso a las aplicaciones de los usuarios 378 2.3.4 Caso 10 - Permitir que su empresa ahorre energía 378 3. Conclusión y comentarios
378
GPO, Cloud computing y clientes ligeros 1. Nube privada y Nube pública
381
2. Las arquitecturas basadas en clientes ligeros
383
2.1 Un modelo de estructura Active Directory para RDS 2.2 Securizar y estabilizar los perfiles de Escritorio remoto de los usuarios
www.ediciones-eni.com
© Ediciones ENI
383 385
10/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2 Implementación, funcionalidades, depuración
3. GPO y Cloud
403
3.1 GPO, puestos de trabajo Windows y servidores alojados en Cloud 3.2 GPO, puestos RDS y servidores de Escritorio remoto alojados en Cloud 4. Conclusión
404 404 405
Conclusión 1. Conclusión
407
2. Los sitios Internet
408
3. Los foros
409
índice
411
www.ediciones-eni.com
© Ediciones ENI
11/11
Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2
Julien BENICHOU
Resumen Este libro sobre las directivas de grupo se dirige principalmente a arquitectos, administradores e ingenieros de sistemas, proponiéndoles una inmersión en el mundo de las directivas de grupo (GPO) en entornos Windows Server 2008 y 2008 R2. El lector avanza entre los principios teóricos y las aplicaciones prácticas de los diferentes componentes que constituyen las directivas de grupo, la única herramienta capaz de configurar los equipos en profundidad a nivel del sistema. La información indispensable para el dominio de esta herramienta, como los procesos de tratamiento y aplicación de las GPO o su estrecha colaboración con Active Directory, le permitirán la puesta en práctica de todo tipo de políticas de directiva de grupo en su empresa. Además, los elementos relacionados con la planificación y la organización necesarios para la elaboración de una infraestructura basada en la implementación de directivas de grupo, acompañan al lector a lo largo de los diferentes capítulos del libro. El autor emplea su extensa experiencia en muchas infraestructuras de contextos distintos e internacionales para centralizar y difundir los aspectos más importantes que permitirán al lector orientarse en las soluciones técnicas usadas más frecuentemente en las empresas.
Los capítulos del libro: Introducción – GPO, AD y los procesos de aplicación – Administrar las directivas con GPMC 2.0 – Las preferencias de directiva de grupo – ADMX, ADML y los filtros WMI – Directivas de grupo y seguridad – Corregir errores de las directivas de grupo – Casos de estudio – GPO, Cloud computing y clientes ligeros – Conclusión
El autor Consultor informático especializado en arquitectura y mantenimiento de Sistemas de Información, Julien Benichou ha participado en numerosos proyectos, en contextos internacionales, en los dominios de la arquitectura de red, las migraciones de sistemas, la puesta en marcha de herramientas Cloud o la organización y mantenimiento de sistemas informáticos. Uno de sus objetivos al escribir este libro fue que su significativa experiencia ayude al lector a hacerse con el mundo de las directivas de grupo para reducir los fallos y permitir la puesta a punto de nuevas soluciones, cada vez más adaptadas a las necesidades de las empresas.
Este libro ha sido concebido y se difunde respetando los derechos de autor. Todas las marcas citadas han sido registradas por su editor respectivo. Reservados todos los derechos. El contenido de esta obra está protegido por la Ley, que establece penas de prisión y/o multas, adamás de las correspondientes indemnizaciones por daños y perjuicios, para quienes reprodujeren, plagiaren, distribuyeren o comunicaren públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación, interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la preceptiva autorización. Este libro digital integra varias medidas de protección, entre las que hay un marcado con su identificador en las imágenes principales
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Prólogo 1. Un poco de historia… Fue la empresa Microsoft quien, durante los años 2000, introdujo por primera vez el concepto de directivas de grupo, también denominadas GPO (Group Policy Object). En concreto, la primera aparición de este término se produjo con la salida al mercado de Windows 2000 Server. La expresión en inglés de la que se deriva el término, Group Policy, significa literalmente ’política de grupo’. Este nombre tiene perfecto sentido si se tiene en cuenta el objetivo de partida de las directivas de grupo, ya que una parte de su misión sería, efectivamente, agrupar la configuración de varios parámetros para poder aplicarlos de forma conjunta sobre un cierto número de ordenadores objetivo. La segunda revolución en materia de gestión de directivas de grupo se produjo con la aparición del sistema operativo Windows Server 2003, en el que Microsoft introdujo una consola de administración de directivas de grupo, denominada comúnmente GPMC (Group Policy Management Console). Esta herramienta permitió extender considerablemente la potencia de las directivas de grupo, facilitando su administración y despliegue. En la actualidad es común el uso de las directivas de grupo en todo tipo de organizaciones. Tanto las grandes como las pequeñas empresas, o las instituciones, emplean con regularidad las directivas de grupo para personalizar sus redes de equipos, o también para restringir los accesos considerados como sensibles.
2. … y de futuro La centralización de los recursos técnicos se convierte en una etapa inevitable cuando se constata la evolución de las nuevas tecnologías. La globalización de los métodos para el intercambio de información es un fenómeno cuyo crecimiento parece permanente y, además, se produce a un ritmo exponencial. De esta realidad y de las reflexiones iniciales con las que nace la escritura de este libro surge una cuestión de partida, para la que finalmente no se ha podido encontrar una respuesta categórica y definitiva. Se podría formular así : ’¿Qué es la información?’. A partir de esta pregunta se derivarían infinitas de otras, de entre las que ha sido necesario considerar tan sólo las más razonables, teniendo en cuenta el objetivo de esta obra. Una vez se tiene una definición somera sobre la naturaleza de la información, podemos preguntarnos ¿para qué sirve?, o ¿por qué nos resulta tan necesaria?, y ¿a partir de qué criterios podríamos establecer una escala para su valor? Hay quien defiende que la posesión de información es una de las formas de detentar el poder. Otros piensan que la posesión de información es uno de los factores y fuerzas que empujan una economía creciente. Por estos motivos, y en un mundo basado ampliamente en la utilización de las nuevas tecnologías (a su vez en constante evolución), es importante la gestión óptima de la información. Para el propósito de esta obra, las directivas de grupo de Windows Server 2008 y 2008 R2, consideraremos que dominar los principios de funcionamiento de las directivas de grupo permite, al menos en parte, gestionar óptimamente la información y su circuito de difusión en el seno de una empresa. Del hecho mismo de que las empresas se hagan más grandes y se fusionen, se sigue un crecimiento a nivel mundial de las relaciones de colaboración entre éstas. Las empresas que desean intercambiar y compartir su información con la máxima fiabilidad y seguridad, necesitan de las directivas de grupo. La orientación dada al desarrollo de esta herramienta viene ligada al funcionamiento de las empresas y la evolución seguida por éstas en los procesos básicos de información, colaboración y de acceso, necesarios en toda progresión. Los administradores del mañana serán aquéllos que hayan tomado conciencia de su rol, de importancia creciente, como garantes de la validez de los circuitos de intercambio de información entre las diferentes entidades de la organización. Además, se verán fuertemente implicados en la forma en que esta información se gestione y se aprovisione. En consecuencia, su puesto les exigirá garantizar la integridad de la información, manteniendo el nivel más alto de seguridad. Finalmente, el uso de las directivas de grupo permite un alto nivel de control sobre los intercambios de
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
información en el seno de la empresa. Se propone al lector, en esta obra, un recorrido detallado sobre qué elementos permiten administrar en las mejores condiciones una infraestructura basada en la implementación de las directivas de grupo.
3. ¿Quién se beneficia de las directivas de grupo? En una empresa, ¿a quiénes conciernen las directivas de grupo? Desde una perspectiva individual, los administradores de redes se benefician de poderosas herramientas que les permiten evolucionar la red de equipos de la que son responsables mediante las técnicas más recientes disponibles. De esta manera la ejecución de tareas informáticas está cada vez más automatizada, centralizada y es cada vez más precisa. En el otro extremo de la cadena, los usuarios se benefician de las ventajas de las directivas de grupo para estabilizar su entorno de trabajo. La actividad de los usuarios dependerá en gran medida de la fiabilidad de las herramientas que se pongan a su disposición. Esta actividad se ve cada vez menos interrumpida, y el número de errores disminuye de manera constante. Las directivas de grupo permiten anticiparse a los errores más frecuentes que se puedan dar en los puestos de trabajo y, de esta manera, impedirlos. Por tanto, considerándolo desde una perspectiva más amplia, las ventajas que se obtienen de la utilización de directivas de grupo redundan en provecho de la productividad global de la empresa.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Introducción ¡Bienvenido al mundo de las directivas de grupo en Windows Server 2008 y 2008 R2! Actualmente, la complejidad creciente de los sistemas de información de las empresas orienta los métodos de gestión hacia una centralización de la información. La evolución en las tecnologías conlleva, inevitablemente, cambios en los procedimientos de trabajo. A este respecto, Windows ha evolucionado considerablemente las técnicas de administración de las directivas de grupo desde la primera versión servidor de Windows que permitía el despliegue de directivas de grupo: Windows Server 2000. Con Windows Server 2003 se incorporaron mejoras sustanciales en las herramientas de gestión de las directivas de grupo. El número de utilidades a disposición de los administradores se ha incrementado paulatinamente con las versiones sucesivas de Windows Server. Son precisamente estas herramientas cada vez más poderosas, pero también más complejas, el objeto de este libro. Las GPO se han impuesto como una herramienta indispensable para simplificar la administración de las redes Microsoft. Modelar las configuraciones, desplegar las aplicaciones y sus actualizaciones, definir las políticas de seguridad de la empresa, uniformizar los servidores y puestos de trabajo, se han convertido en tareas que pueden realizarse desde un puesto de trabajo de administrador, o desde el propio servidor. Las nuevas herramientas para manipular las directivas son numerosas, eficaces, y resultan indispensables para los administradores que desean hacer de la red un espacio de trabajo ideal. Con Active Directory y las directivas de grupo, la administración de la red está cada vez más centralizada y estructurada. Este libro trata de las GPO en las versiones Server 2008 y 2008 R2 de Windows, de sus principios de funcionamiento, de las novedades que incorporan y del abanico de posibilidades que ofrecen.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Consejos de utilización de este libro Para facilitar la comprensión de la materia presentada en este libro se presentarán a continuación algunos consejos para su uso y unas cuantas ideas generales que permitirán superar ciertas confusiones o dudas. Esta obra se sumerge en el mundo de las directivas de grupo de las dos últimas versiones de las ediciones Server de Microsoft, Windows Server 2008 y 2008 R2. Las directivas de grupo existen desde Windows Server 2000, y aun cuando su funcionamiento actual es diferente, los principios son similares. En cuanto a cuál es la utilidad de las directivas de grupo: se trata principalmente de desplegar configuraciones y parametrizaciones sobre los puestos de trabajo en red, desde los servidores que estén autorizados y habilitados para hacerlo. Las directivas de grupo funcionan en las diferentes versiones de Windows a partir de las tecnologías Windows 2000 y son compatibles con el uso de entornos de trabajo heterogéneos (p.e. un entorno con puestos XP, Vista y Windows 7). Este libro trata diferentes elementos relativos al funcionamiento de una infraestructura de red basada en el despliegue de directivas de grupo. Se abordarán temas tales como los componentes de arquitectura indispensables para la implementación de las directivas de grupo y el funcionamiento de éstas; así como el trabajo minucioso que supone la planificación y puesta en marcha de este tipo de infraestructura. Se realizará también un análisis técnico en profundidad de las herramientas, comandos y funcionalidades vinculadas al funcionamiento de las directivas de grupo.
1. El entorno técnico usado para este libro La mayor parte de la información contenida en este libro es relativa a los entornos Windows Server 2008 y 2008 R2 para los servidores, y Windows Vista y 7 para los puestos de trabajo. La estructura de funcionamiento de las directivas de grupo no ha experimentado modificaciones sustanciales a partir de Windows Server 2003, a diferencia del paso de Windows 2000 a Windows Server 2003, en el que se incorporó como principal novedad la GPMC. Existen, no obstante, novedades notables e interesantes. Se dedicará un capítulo a la consola de administración de las directivas de grupo (GPMC 2.0), elemento central de su puesta a punto y de su funcionamiento. Windows 2000 no cuenta con la consola de administración de las directivas de grupo, que apareció con Windows Server 2003. La consola GPMC no es una característica nativa en Windows Server 2003, por lo que debe descargarse previamente a su utilización (esta descarga desde el sitio web de Microsoft es gratuita). En Windows Server 2008 y 2008 R2 la consola de administración de las directivas de grupo viene incluida con la instalación del sistema operativo.
2. La organización de la información La terminología empleada en este capítulo en cuanto a los nombres de los objetos directiva de grupo es exhaustiva y no es representativa de la que se emplearía en una empresa. En realidad los nombres son generalmente más cortos y tienen como único fin designar el rol de la directiva en cuestión. No es obligatorio que lleve a cabo cada manipulación sobre las directivas de grupo de forma idéntica a como se describe en el libro para conseguir una buena comprensión de su funcionamiento. Los ejemplos de directivas de grupo elegidos por el autor son fruto de su experiencia y su preferencia personal. No obstante, los lectores que deseen recorrer esta obra realizando las operaciones técnicas mostradas una a una, deben tener presente que éstas siguen una cierta lógica temporal que se debe respetar. Es decir, en ciertos puntos de los diferentes capítulos se proponen manipulaciones que se apoyan sobre otras presentadas © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
anteriormente.
3. A qué público va dirigido Este libro está dirigido a personas que desarrollen un puesto de arquitecto, administrador de red o jefe de proyecto, o a personas que deseen desarrollar estas funciones en el futuro. Su alcance técnico y organizacional se centra en el campo de las directivas de grupo con Windows Server 2008 y 2008 R2 en el ámbito de la empresa. Para comprender el contenido de esta obra el lector deberá aprender e interiorizar un cierto número de principios técnicos de funcionamiento. Las directivas de grupo son de interés para la gestión de redes informáticas, en particular para el personal de servicios informáticos. La potencia de esta herramienta simplifica las tareas administrativas, permitiendo ahorrar tiempo: desaparecen las instalaciones individuales en cada puesto, desaparecen las modificaciones de parámetros aquí y allá, desaparece el tener que desplazarse de manera repetitiva para efectuar las mismas tareas. Todas las operaciones pueden realizarse desde servidores habilitados para ello o desde puestos de administración, y se aplican sobre la totalidad de la red. A pesar de todo, la herramienta tiene limitaciones. Las GPO no se pueden aplicar sobre las versiones 95, 98 y NT de Windows Server y Workstation. Funcionan perfectamente a partir de Windows 2000, incluido, esto es: Windows 2000 (Server y Workstation), Windows XP, Windows Server 2003 (como cliente), Windows Vista o Windows 7 y Windows Server 2008 y 2008 R2 (como cliente). La implementación de directivas de grupo adecuadas potencia la productividad, la seguridad y la estabilidad de la red de la empresa. La puesta en práctica de una política de directivas de grupo puede contribuir a disminuir el coste total de propiedad de una empresa. Esto significa que se pueden reducir los presupuestos informáticos de varias formas y que, por tanto, el uso de las GPO contribuye al crecimiento de la empresa.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Las nuevas funcionalidades de las directivas de grupo Se ha incorporado un cierto número de modificaciones al funcionamiento de las GPO en Windows Server 2008 y 2008 R2. A modo de ejemplo de las notables mejoras aportadas desde la versión anterior se pueden citar: el comportamiento de las directivas y la forma en la que se aplican, las nuevas opciones y funcionalidades integradas en Windows Server 2008 y 2008 R2, la extensión en las posibilidades para Windows Vista y 7. La siguiente sección enumera las principales novedades, explicando brevemente en qué radica su utilidad. El funcionamiento básico de las directivas de grupo de Windows Server 2008 y 2008 R2 es muy similar al de Windows Server 2003. Sobre este funcionamiento, sin embargo, se han aplicado varias actualizaciones, cuyo grado de importancia puede ser distinto en función de cada organización y de criterios de evaluación personales.
1. Novedades principales de Windows Server 2008 y 2008 R2 Se presenta, a continuación, una lista de las novedades incorporadas en Windows Server 2008 y 2008 R2 para la administración de las directivas de grupo.
a. La GPMC integrada (GPMC 2.0) Anteriormente la GPMC estaba disponible como una descarga aparte, que debía ser instalada manualmente. Desde la versión 2003 de Windows Server, está disponible como una característica nativa.
b. Group Policy es ahora un servicio Anteriormente a Windows Vista, las directivas de grupo se aplicaban mediante un servicio Winlogon. Ahora Group Policy es un servicio independiente, aumentando con ello su eficacia.
c. Las GPO de inicio Como parte de las novedades aparecen las GPO de inicio. Utilizando únicamente el contenedor Plantillas administrativas, es posible crear una estructura de partida sobre la que se apoyarán las nuevas GPO del dominio.
d. Las preferencias de directiva y las extensiones del lado cliente Antiguamente era preciso emplear scripts para satisfacer las exigencias asociadas a los entornos de usuario. Ahora es posible realizar estas configuraciones gracias a las preferencias de directiva. Sin olvidar las nuevas extensiones del lado cliente para Windows Vista y 7 que permiten procesar un número mayor de parámetros que antes.
e. La detección de enlaces lentos con NLA (Network Location Awareness) Incluso cuando se detectan enlaces de red excesivamente lentos, una parte de los parámetros de las GPO se aplican en cualquier caso. Esto permite que al menos funcionen los objetos de directiva prioritarios cuando la red no puede dar soporte a la totalidad de GPO.
f. La gestión de logs mediante GPDBPA Con GPDBPA (Group Policy Diagnostics Best Practices Analyzer) es posible supervisar el conjunto de las directivas de grupo y obtener informes detallados sobre los errores más frecuentes.
g. El formato ADMX © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Los archivos ADMX (ADMinistrative XML) corresponden a la nueva versión de los archivos ADM. Este formato reciente de archivo permite el despliegue centralizado de los modelos de administración.
h. La delegación de la instalación de los drivers de impresora a los usuarios A partir de Windows Server 2008 y 2008 R2, los administradores pueden delegar la instalación de los drivers de impresora mediante las directivas de grupo. Esta funcionalidad ayuda a mantener la seguridad, al limitar la difusión de los datos de identificación de los administradores.
i. La consola de administración avanzada de las GPO La consola AGPM (Advanced Group Policy Management), componente insignia de MDOP (Microsoft Desktop Optimization Pack), complementa las funciones de la GPMC. Este sistema de gestión avanzada de las GPO ofrece numerosas opciones de configuración y administración, si bien persiste el inconveniente de que es de pago.
2. Utilización de los diferentes tipos de directivas de grupo Es posible distinguir dos categorías en el sistema de directivas de grupo: las directivas locales y las directivas de dominio. Las directivas de dominio son indispensables para poder configurar un parque de equipos cliente en redes de ordenadores de gran tamaño. Cuando se desea un enfoque individualizado de los puestos de trabajo, se emplean directivas locales. Hay dos formas de enfocar la gestión de las directivas de grupo dentro de las diferentes arquitecturas Microsoft. Si los administradores desean utilizar las GPO dentro de una arquitectura de tipo descentralizada (comúnmente denominado Workgroup), la única forma consiste en configurar una o varias directivas locales sobre cada puesto de trabajo. A pesar de que este método es más sencillo genera mucho trabajo para los responsables de mantener la infraestructura informática. Cuando la arquitectura es centralizada y se gestiona mediante Active Directory, se puede disponer de las GPO de dominio, siendo su uso prácticamente indispensable. El despliegue de las directivas de dominio a través de la red es el tipo de gestión que mejor pone de manifiesto la potencia de este mecanismo.
a. Las directivas locales en un Workgroup El uso de directivas locales permite diseñar una configuración a un nivel muy fino de detalle para los puestos de trabajo Windows. En los sistemas operativos Windows, muchas opciones ya están disponibles en los menús de configuración del propio Windows. Pero la comprensión del conjunto de elementos de configuración disponibles no está necesariamente al alcance de los usuarios finales. Dicho de otro modo, el nivel de configuración requerido para un puesto de trabajo conlleva frecuentemente más investigación que el simple uso de los menús clásicos de Windows, del tipo ’panel de configuración’. Para estos escenarios en los que se necesita un enfoque particularmente minucioso de la configuración de Windows, la solución es el uso de directivas locales. El editor de objetos de directivas de grupo, que es un complemento de la consola MMC (Microsoft Management Console), posibilita este tipo de trabajo. Por medio de este editor se pueden configurar cientos de parámetros correspondientes a los diferentes sistemas y aplicaciones de Windows
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
La consola GPEDIT distingue entre dos categorías principales: el nodo Configuración del equipo y el nodo Configuración de usuario. Los objetos de directiva modificados en el contenedor Equipos son de aplicación sobre el puesto de trabajo, sea cual sea el usuario y los objetos modificados en el contenedor Usuarios son de aplicación tan solo para el usuario que esté conectado.
b. Las GPO en un dominio Active Directory Para que las directivas de grupo se hagan efectivas deben poder desplegarse en un dominio Microsoft. Y para poder aprovechar las ventajas y últimas novedades que incorporan, debe existir en la red al menos un controlador de dominio en versión Windows Server 2008 o 2008 R2. Una vez que se ha promovido al rango de controlador de dominio un servidor Windows Server2008 o 2008 R2, es posible empezar a usar las directivas de grupo. Las GPO de dominio, en ese momento, se vuelven accesibles desde la GPMC. Desde esta consola se crean y gestionan las directivas, teniendo como apoyo la estructura y arquitectura de los dominios Active Directory del bosque. Porque, efectivamente, la consola de administración de directivas de grupo se apoya para su funcionamiento sobre la arquitectura Active Directory del dominio. En consecuencia, las directivas de grupo se agrupan sobre una entidad única e identificable en la red. La creación, la gestión y la supervisión de los objetos GPO se convierten en tareas administrativas cada vez más interesantes. El alcance de las capacidades de gestión proporcionadas por la consola de administración de GPO es amplísimo. Por ejemplo, un usuario que posea las autorizaciones y permisos necesarios, puede observar todos los dominios aprobados por el dominio al que pertenece, en todos los bosques. De esta manera, podría gestionar las directivas de grupo desplegadas en su organización y además también las desplegadas en las diferentes filiales de la empresa, y todo ello a partir de los servidores de ésta.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Introducción Para explotar plenamente las directivas de grupo, es necesario hacerlo en un entorno Active Directory. Evidentemente, siempre es posible utilizar directivas locales sobre un parque informático compuesto por equipos asociados a un Workgroup. Sin embargo, el uso de las directivas de grupo en un entorno Active Directory representa el caso más corriente entre las empresas que disponen de una arquitectura Microsoft. Gestionar las directivas locales de cada puesto de trabajo de una organización exige mucho trabajo, y una gestión descentralizada de la información. Cuando se realiza una modificación sobre las políticas de directiva de grupo, es necesario efectuar la actualización correspondiente sobre cada puesto de trabajo involucrado. Si el Workgroup se compone de un número elevado de equipos, el trabajo de los administradores requiere tanto tiempo dedicado a tareas repetitivas que deja de tener interés. Por esta razón la utilidad de desplegar las GPO en un dominio Active Directory es incomparablemente mayor que sobre un Workgroup. Cuando la empresa conecta sus equipos a través de un dominio, las GPO se apoyan para su funcionamiento en Active Directory y la consola de administración de las directivas de grupo. En este caso, las directivas se almacenan en un mismo sitio y se aplican en función de la estructura Active Directory de la empresa. La supervisión y la evolución de las directivas de grupo se vuelven así más eficaces y eficientes. Las GPO de dominio funcionan a partir de un solo servidor controlador de dominio (Windows Server 2003, 2008 o 2008 R2) y un puesto de trabajo (Windows 2000, XP, Vista o 7). En este capítulo se profundizará en la comprensión de las directivas de grupo en el ámbito de las redes profesionales, en las que la infraestructura respeta el sistema piramidal de bosque y de dominio Active Directory.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Active Directory, un paso primordial El funcionamiento de las directivas de grupo guarda una estrecha relación con Active Directory. Es al Active Directory donde quedan vinculadas las GPO para su posterior aplicación sobre los puestos cliente. La estructura del Active Directory de una empresa, y en particular la estructura de sus Unidades Organizativas, define la forma en que se podrán gestionar las GPO. La constitución de la arquitectura Active Directory determina la lógica de creación de las directivas de grupo. Es interesante disponer de un Active Directory compartimentado y organizado en concordancia con los diferentes sectores de actividad de la empresa. Cuando esto es así, es más sencillo generar directivas de grupo orientadas a las necesidades de los usuarios y vincularlas a las Unidades Organizativas correspondientes. Se recomienda igualmente mantener la simplicidad en la organización de las Unidades Organizativas. Una estructura simple y comprensible facilita la gestión de las directivas de grupo. En el momento de la creación de una nueva organización Active Directory es necesario planificar los pasos y anticipar su evolución a largo plazo. El crecimiento de la empresa tiene una influencia preponderante en todo lo que concierne a Active Directory: el número de usuarios aumenta, las cuentas de equipo se multiplican, quizás se prevé la apertura de nuevas sucursales… Todos estos factores tienen un efecto inmediato sobre el Active Directory y la estructura de Unidades Organizativas y, en consecuencia, sobre la forma en que se podrán gestionar las directivas de grupo. El Active Directory contiene todas las Unidades Organizativas de una empresa, ya sea grande o pequeña. Pero el tamaño de la organización no cambia el hecho de que sea de vital importancia definir una estructura de Unidades Organizativas que permita una gestión óptima de las directivas de grupo y de red. Al crear la estructura sobre Active Directory se deberá conocer el número de sitios web, de dominios padre y de dominios hijos que van a existir. Además, se deberá saber si hay previstas relaciones de aprobación entre diferentes dominios, dentro de una misma estructura Active Directory. La consola de administración de las directivas de grupo permite visualizar todos los dominios presentes en el Active Directory y, de igual manera, aplicar las directivas de grupo a las unidades organizativas de cada uno de esos dominios. En las organizaciones que ya disponen de una estructura Active Directory existente, la implementación de una política de GPO de gran envergadura conlleva generalmente la modificación de la misma. Las directivas de grupo se crean y modifican en la consola de administración de directivas de grupo, interactuando ésta directamente sobre el Active Directory en el momento de su aplicación. Una vez creadas las directivas de grupo, éstas deben quedar vinculadas a los nodos de Active Directory sobre los que se supone van a influir. Estos nodos son el sitio, dominio o Unidades Organizativas en el bosque o bosques Active Directory del dominio o dominios involucrados. Por tanto, las políticas de directivas de grupo dependen directamente de la forma en que las Unidades Organizativas están estructuradas en el Active Directory. Si la arquitectura de las Unidades Organizativas está optimizada, los problemas y bloqueos que puedan darse en el futuro serán menos que en una estructura que tienda a ser cerrada y restrictiva. Los ejemplos tomados de casos reales revelan la dificultad para anticipar las modificaciones futuras necesarias en una red en constante evolución. Es prácticamente imposible configurar la arquitectura del Active Directory para ser compatible con todos los escenarios de evolución posibles. De igual manera, es muy difícil imaginar, en el momento de su creación, todos los motivos que en el futuro puedan conducir a modificaciones. Prestando especial atención durante la etapa de modificación de Active Directory, previa a la integración de las directivas de grupo, se puede compensar de alguna manera las futuras pérdidas de tiempo. Una preparación cuidadosa de esta etapa puede evitarnos chocar a posteriori contra los límites en la implementación de las políticas de grupo. Cuanto más se tengan en cuenta las directivas de grupo a la hora de diseñar la estructura de las Unidades Organizativas más posibilidades habrá de conseguir los objetivos prefijados. Las GPO pueden ofrecer una capacidad de administración muy amplia, pero para ello es imprescindible crear la arquitectura en la que pueda
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
resultar eficaz. Toda la empresa depende de las políticas de directivas de grupo: la seguridad de los puestos de trabajo, el acceso a los datos y a las configuraciones de los puestos de trabajo y los servidores, el acceso a todo o parte de Internet, la utilización de discos intercambiables o sus restricciones son ejemplos sencillos de lo que se puede hacer con las GPO. De esta forma, es posible gestionar, modificar, restringir, autorizar y auditar todos los aspectos de la red informática. Se puede supervisar el conjunto de todas las operaciones desde los puestos de administrador, o desde los servidores. Active Directory contiene los ordenadores, servidores, grupos y usuarios de la red. Cuando desee desplegar una o varias políticas de directiva de grupo en su organización, es importante llevar a cabo una planificación. Establecer una lista con: las directivas que hay que poner en funcionamiento, cómo, para quién, ayudará a crear la arquitectura Active Directory adecuada para la red en cuestión. Las redes evolucionan con el tiempo y no siempre es posible rectificar o modelar el Active Directory existente para darle la forma ideal. Estos casos ocurren a menudo y exigen de los intervinientes una gran reactividad y capacidad de adaptación. No importa cuál sea la forma en que esté configurada la estructura del Active Directory, siempre es posible implementar las GPO. No obstante, un buen dominio de los principios de funcionamiento del repositorio Active Directory nos permitirá utilizar las directivas de grupo de la mejor manera posible.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Aplicación de las directivas sobre los puestos de trabajo Para garantizar el funcionamiento de las GPO en los puestos de los usuarios finales, se deben aplicar según ciertas reglas establecidas y respetar una jerarquía bien definida. En la arquitectura de una red, hay varios niveles sobre los que se pueden aplicar las directivas de grupo. El orden de aplicación es el siguiente: directivas locales, directivas a nivel del sitio web, directivas a nivel del dominio y directivas a nivel de las unidades organizativas. En este libro nos centraremos en la gestión de directivas de grupo en un dominio Active Directory. Para este caso, el orden de aplicación tiene efecto a partir del nivel de sitio web.
1. Niveles de aplicación en Active Directory Podemos considerar tres niveles de aplicación diferentes en Active Directory:
●
1 Sitio
●
2 Dominio
●
3 UO (Unidad Organizativa)
●
GPO activa a nivel de sitio
Las directivas asociadas al nivel de sitio en Active Directory afectan a los usuarios en función del lugar de conexión. Los usuarios se encuentran definidos en otra parte del Active Directory, pero obtienen los parámetros GPO a partir de Sitios y Servicios de Active Directory. Para poder reconocer el sitio desde el que los usuarios se conectan, la aplicación verifica la subred a la que pertenece el ordenador en el momento de obtener su dirección IP.
●
GPO activa a nivel de dominio
Cuando una directiva está asociada al nivel de dominio, ésta afecta a todos los usuarios y ordenadores del dominio, todas las UO y todos los subcontenedores UO.
●
GPO activa a nivel de UO
Las directivas aplicadas al nivel de Unidad Organizativa afectan a los usuarios y ordenadores presentes en la UO así como a los objetos creados en las UO hijas.
2. Orden de aplicación Las directivas de grupo se aplican en el orden siguiente: 1. Directivas locales 2. Sitio 3. Dominio 4. UO
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
3. Jerarquía de aplicación Cuando una GPO está configurada en un lugar del Active Directory, los niveles siguientes o "por debajo" heredan los parámetros de directiva provenientes del nivel superior. Las directivas tienen un efecto acumulativo siempre que los objetos de directiva modificados no entren en conflicto. Los conflictos de directivas se producen cuando dos objetos iguales de directiva se modifican desde dos GPO diferentes. En este caso, la directiva ganadora es la última que se aplique. Por ejemplo, si una GPO de dominio entra en conflicto con una GPO de Unidad Organizativa, es la directiva a nivel de UO la que resulta efectiva. Esto es así tanto para la configuración del equipo como para la del usuario.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Las GPO en un entorno multibosque Windows Server 2003 hizo aparecer la noción de relaciones de aprobación multibosque. Consiste en vincular los dominios padre de varios bosques que no están asociados entre ellos con una relación de aprobación. Una vez se ha establecido este vínculo, cada dominio hijo de cada uno de los bosques es aprobado automáticamente por dicho vínculo de aprobación. Para poder definir estos vínculos, los niveles funcionales de los dominios deben ser como mínimo los de Windows Server 2003 y la modalidad de autentificación debe extenderse al bosque. Las directivas de grupo se comportan de forma regular en un entorno multibosque. La consola de administración de directivas de grupo GPMC permite ver la totalidad de la estructura del Active Directory. El principio de delegación de control otorga o deniega los derechos de administración sobre ciertas entidades del Active Directory. Sólo los administradores que dispongan de "superpoderes" pueden intervenir sobre todos los niveles del Active Directory, es decir, los Administradores de dominio y de la empresa. Los dominios aprobados son visibles y gestionables desde una misma entidad. Las operaciones de creación, de modificación y de aplicación de las GPO se realizan de la misma forma que en una arquitectura clásica. Cuando el modo de autentificación es selectivo, no todos los parámetros se aplican de la misma manera. Cuando entra en actividad una GPO que atraviesa una relación de aprobación, tan sólo los parámetros del equipo se aplican como parámetros de usuario. Este funcionamiento se denomina Group Policy Loopback Replace mode.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Active Directory, una organización hecha para durar La estructura Active Directory es el punto de partida de muchos aspectos de la red. La aplicación permite que un servidor se convierta en controlador de dominio, almacenar las cuentas de usuario y ordenadores de la red, así como los grupos de seguridad. De hecho, estos elementos ofrecen la posibilidad de definir los niveles de acceso de cada usuario sobre la red. El proceso de creación de un repositorio Active Directory requiere la puesta a punto de un servidor DNS (Domain Name System) promovido al rango de controlador de dominio. Al término de estas operaciones, se puede bien instalar o bien utilizar directamente la consola de administración de las directivas de grupo, en función de la versión del servidor instalada. Windows Server 2003 requiere la instalación manual de la consola de administración de directivas de grupo. Windows Server 2008 y 2008 R2 instalan este componente al mismo tiempo que se realiza la promoción del servidor a controlador de dominio, tras la instalación del sistema operativo. La implementación de Active Directory proporciona una estructura por defecto para el repositorio, pero corresponde a los administradores el crear su propia estructura según las necesidades de la empresa. La puesta a punto de esta organización requiere que se establezca una metodología sólida siempre que los objetivos perseguidos sean los de la densidad, coherencia y estabilidad de Active Directory. Si se prevé implementar una política de directivas de grupo desde el momento de la creación del dominio, es imprescincible tener presente que las GPO se apoyan sobre Active Directory para su funcionamiento. Cuanto mejor se haya pensado y organizado la estructura de Active Directory en función de las necesidades de la empresa, más acogedora resultará la puesta en marcha de las directivas de grupo que se precisen. La forma de organizar Active Directory depende del tamaño de la empresa y de su organización. Se recomienda encarecidamente planificar un proyecto de este tipo antes de su arranque, con esto se evitan numerosas complicaciones futuras. A modo de ilustración de lo expuesto en esta parte del capítulo, véase a continuación un ejemplo de una estructura flexible de Active Directory para la integración de las directivas de grupo.
1. Modelo de estructura de las Unidades Organizativas Las estructuras Active Directory varían de una organización a otra. A continuación se ilustra mediante un esquema un ejemplo de modelo de estructura ampliamente adaptada al despliegue de directivas de grupo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
El modelo en detalle La estructura Active Directory del modelo presenta las características de un directorio con muchos objetos. El dominio Empresa.local contiene la Unidad Organizativa de la filial España, cuyo nombre es Empresa_España.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Dentro de la Unidad Organizativa Empresa_España la organización sigue una lógica de clasificación de las cuentas objeto de Active Directory por departamento y por actividad. Cada departamento de la empresa posee una Unidad Organizativa que a su vez contiene subcategorías destinadas a albergar las cuentas de usuario, usuarios externos y los equipos que pertenezcan a ese departamento. Existe una Unidad Organizativa específica para los Grupos, al mismo nivel jerárquico que las Unidades Organizativas de departamentos.
A la escala de la empresa Para entender el interés de una organización como ésta para el despliegue de las directivas de grupo, necesitaremos entrar a examinar las Unidades Organizativas de departamentos. Para ello, no debemos olvidar que las directivas de grupo de dominio están ligadas al dominio, en nuestro ejemplo, el dominio Empresa.local. Además, las directivas de grupo asociadas únicamente a la filial están ligadas al contenedor Empresa_España. Estudiemos ahora las Unidades Organizativas de los departamentos Dirección y Marketing en nuestro ejemplo. Obviamente una empresa típica tendría más departamentos que Dirección y Marketing, pero la estructura de cada contenedor adicional sería conforme a las de Dirección o Marketing, según se muestra en la figura. Como es lógico, cada departamento posee particularidades técnicas en función de su actividad. Los diseñadores gráficos no tienen las mismas necesidades de recursos del sistema que los miembros del personal administrativo. Para los usuarios de los diferentes departamentos, las aplicaciones empleadas y los datos a los que acceden serán diferentes. Para los administradores, la empresa ya no es un único conjunto en el que se mezclan las cuentas de usuario y todos los equipos, sino que ahora es una agrupación de los diferentes departamentos que la constituyen. Se puede ofrecer a cada departamento la posibilidad de tener en cuenta todas sus particularidades y necesidades en términos de configuración. A escala de la empresa, las directivas pueden ser concebidas, personalizadas y desplegadas en función de la actividad de los usuarios y de su pertenencia a un departamento de la empresa.
Dentro de los diferentes departamentos Estudiemos ahora la estructura de las Unidades Organizativas que componen los departamentos. Cada departamento se compone de varios contenedores. Las UO de departamento albergan las cuentas de usuario, las cuentas de usuarios externos y las cuentas de equipos. La Unidad Organizativa de las cuentas de equipos se divide en dos subcategorías con el objetivo de separar los ordenadores portátiles de los ordenadores fijos. Siendo esto así, sería posible ligar directivas de grupos diferentes para los usuarios del departamento por una parte y por otra para los usuarios externos que accedan mediante conexiones lentas. Del mismo modo se podría aplicar directivas a todos los ordenadores del departamento, únicamente a los ordenadores portátiles, o bien solamente a los ordenadores fijos. La compartimentación de la estructura de Active Directory es de una gran relevancia en la medida en que, en parte, condiciona la forma en que se podrán implementar las directivas de grupo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Creación y ciclo de vida de una directiva de grupo 1. Localización de las GPO Antes de verificar la presencia de las directivas de grupo en la consola GPMC, es importante conocer que éstas existen dentro de los servidores desde su creación, ya que los archivos que constituyen las directivas de grupo se almacenan en varios lugares de los servidores controladores de dominio. Cada vez que se crea una nueva directiva en la consola de administración de las directivas de grupo, se sucede una secuencia de eventos:
●
●
●
Se le asigna a la GPO un identificador único global GUID. Se crea un contenedor de directiva de grupo GPC (Group Policy Container) en la partición de dominio de Active Directory. Se crea un contenedor de modelos de administración GPT (Group Policy Template) en el directorio SYSVOL\Policies del controlador de dominio emulador PDC (Primary Domain Controller).
Así, una directiva de grupo se identifica por el GUID asignado en el momento de su creación. Un ejemplo de GUI obtenido para una de las GPO de dominio sería:
Este número de identificación único garantiza la identidad de la GPO en el dominio. A continuación, la directiva de grupo se divide en dos partes distintas, los GPC y GPT, que se almacenan en dos lugares diferentes del controlador de dominio. La GPC se almacena en el contenedor System/Policies del Active Directory. Para acceder al contenedor Policies es necesario mostrar las funcionalidades avanzadas en Active Directory. La siguiente ilustración muestra el contenido del directorio Policies. Se puede comprobar que los diferentes GPO aparecen listados mostrando el GUID que les ha sido asignado durante su creación, y su valor GPC.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
El GPT de cada GPO se almacena en el directorio SYSVOL\Policies del controlador de dominio principal. Las directivas se listan siguiendo su identificador GUID, como en el caso de los GPC. En la figura, podemos visualizar el GPT de nuestra directiva gracias a su GUID.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
2. Permisos y derechos de acceso a las GPO a. Creación de las GPO Para crear una directiva de grupo se debe disponer de las autorizaciones necesarias. Por defecto, los usuarios o grupos que están capacitados para crear objetos GPO son los miembros de los grupos Administradores, Administradores de dominio y Administradores de empresas. El grupo Propietarios del creador de directivas de grupo forma parte de uno de los grupos de seguridad que se crean por defecto durante la instalación de Active Directory. Este grupo permite a sus miembros modificar las directivas de grupo de dominio. Tras la creación de la directiva de grupo, el único usuario que posee las autorizaciones necesarias para su modificación (escritura y borrado) es el propietario del objeto. En general este usuario es el creador de la directiva. Sin embargo, los administradores del dominio y de la empresa tienen permisos específicos que les autorizan a modificar los objetos directiva de grupo sin autorización previa de su propietario. Sus derechos sobre la totalidad del dominio son los más altos.
b. Consultar y modificar las autorizaciones Los permisos que conciernen a las directivas de grupo se pueden gestionar de varias maneras. Los derechos de acceso por defecto se definen al crear la directiva y son consultables y modificables de diversas formas. La consola de administración de directivas de grupo permite modificar las autorizaciones de los objetos de las directivas de grupo de manera uniforme entre los diferentes elementos que la constituyen. Es posible hacer consultas específicas sobre los permisos de los contenedores GPC y/o GPT.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Atención: Microsoft recomienda utilizar exclusivamente la consola de administración de directivas de grupo para modificar los permisos relativos a una directiva de grupo. Es prácticamente seguro que cualquier modificación de los permisos efectuada directamente sobre los contenedores GPC o GPT de una directiva provoque que ésta deje de funcionar. No obstante, siempre es interesante conocer los diferentes métodos para consultar y modificar los contenedores GPC y GPT de forma independiente.
c. El contenedor Policies en Active Directory El contenedor System/Policies del directorio Active Directory almacena los datos de GPC de las diferentes directivas de grupo del dominio. Los permisos de este directorio permiten verificar y determinar qué usuarios o grupos de seguridad disponen de autorizaciones de escritura. Al editar los datos de seguridad de este objeto, se puede ver la presencia de los grupos Administradores, Administradores de dominio, Administradores de empresas y Propietarios del creador de directiva de grupo. La siguiente figura muestra los datos de seguridad del contenedor Policies en Active Directory.
Los Propietarios del creador de directivas de grupo disponen únicamente de derechos de creación de objetos hijo. Estos derechos sobre este directorio permiten almacenar la parte GPC de los objetos directiva de grupo creados en el GPMC. Solamente los Administradores tienen posibilidad de modificar el contenido del directorio.
d. El contenedor GPC Es posible acceder a los permisos del contenedor GPC desde el directorio Active Directory. Los GPC de las
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
diferentes directivas están localizados en el contenedor System/Policies de Active Directory. Es posible obtenerse los datos de seguridad del objeto mediante la edición de las propiedades de uno de los GPC. La siguiente figura muestra las propiedades de seguridad de nuestra directiva de grupo identificada por su GUID.
Para esta GPC, sólo los administradores de dominio y de la empresa tienen derechos de lectura, escritura y modificación. Los usuarios autentificados poseen únicamente derechos de lectura que les permiten ejecutar y aplicar los parámetros de la directiva sobre los puestos cliente. Es posible añadir o suprimir usuarios y grupos desde la pestaña Seguridad. Es importante recordar que estas modificaciones no se replican sobre el objeto GPT correspondiente.
e. El contenedor GPT La consulta de los permisos se basa en los métodos habituales de modificación de las autorizaciones para la compartición de archivos. Así, el contenedor GPT es uno más de los subdirectorios del recurso compartido SYSVOL de los controladores de dominio y funciona de la misma manera que un directorio normal. Es posible editar las propiedades del directorio y consultar o modificar los datos de seguridad. La figura muestra los permisos del GPT de nuestra directiva de grupo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
3. Sincronización de los elementos GPC y GPT Los elementos GPC y GPT son las dos partes que componen una directiva de grupo. La parte GPC de la directiva emplea la replicación Active Directory mientras que la parte GPT utiliza la replicación FRS (File Replication System). Las directivas de grupo aplicadas a Windows 2000 y las que se aplican a Windows XP, Vista o 7 no tienen en cuenta los mismos parámetros de sincronización para los elementos GPC y GPT. Cada objeto directiva de grupo posee un número de versión. Este número de versión se incrementa con cada actualización de la directiva de grupo. El sistema operativo Windows 2000 presenta ciertos límites al no aplicar las GPO hasta que los dos elementos GPC y GPT están sincronizados y utilizan el mismo número de versión. Como consecuencia, es imprescindible que los dos sistemas de replicación (Active Directory y FRS) estén funcionando y lo hagan de forma coordinada para que las directivas de grupo se apliquen correctamente sobre los puestos cliente que ejecuten Windows 2000. Los equipos con XP, Vista y 7 funcionan de manera diferente. Si la replicación Active Directory no está programada al mismo tiempo que la replicación FRS, los datos GPC y GPT de los controladores de dominio podrían no corresponderse durante el intervalo de tiempo entre las dos replicaciones. Este fenómeno no impide el tratamiento de las directivas sobre los equipos cliente con XP, Vista y 7, ya que son capaces de aplicar los parámetros contenidos en el GPC y en el GPT aun cuando sus números de versión no se correspondan. Cuando las diferentes replicaciones han actualizado los múltiples controladores de dominio y los números de versión han cambiado, Windows detecta las modificaciones realizadas en la GPO y aplica los nuevos parámetros de configuración.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Los números de versión se guardan en caché en Windows y sirven como referencia para las modificaciones de los parámetros de directiva. En el momento de la aplicación de una directiva de grupo, un número de versión idéntico al de la caché será indicativo de que no se ha realizado ninguna modificación sobre la GPO. En ese caso, el equipo no aplica la GPO, ya que los últimos parámetros aplicados todavía son válidos. Un número de versión diferente indica al equipo que se han realizado cambios sobre la directiva y es necesario descargarlos y aplicarlos. En los puestos cliente de red, los números de versión son indispensables para señalar las modificaciones llevadas a cabo sobre las directivas de grupo. Microsoft exige ciertas condiciones para asegurar un funcionamiento y aplicación con todas las garantías de las directivas de grupo sobre los puestos de trabajo:
●
●
Los elementos GPC y GPT de una misma directiva deben estar presentes en los controladores de dominio sobre los que se autentifiquen los equipos. Si el número de versión registrado en la directiva de grupo es diferente del que se conserva en el registro de la caché del puesto de trabajo, Windows considera que la directiva ha sido actualizada y procede a realizar su procesamiento.
Windows 2000 no es capaz de procesar una GPO que contenga elementos GPC y GPT cuyos números de versión no sean coincidentes, mientras que Windows XP, Vista y 7 sí poseen esta capacidad.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Proceso de aplicación de las directivas 1. Comprender cómo se aplican las GPO Las directivas de grupo están sujetas a su particular ciclo de procesamiento. Hay un cierto número de eventos que se suceden desde la creación de una GPO hasta que sus efectos se hacen visibles sobre un puesto de trabajo. El lugar de almacenamiento de las GPO, la parte que las vincula a Active Directory y el camino que siguen hasta llegar a aplicarse sobre un puesto de trabajo son elementos constitutivos del funcionamiento general de las directivas de grupo. Cuando se crea o modifica una GPO, ésta no se aplica inmediatamente sobre los puestos de los contenedores Active Directory a los que está ligada. Los equipos cliente lanzan peticiones varias veces al día con el objetivo de obtener los parámetros de GPO que les están destinados, procesarlos y aplicarlos. Y las GPO se distribuyen en momentos concretos, según criterios que pueden variar. Según las versiones de Windows empleadas en un entorno (Windows 2000, XP, Vista, 7, Windows Server 2003, 2008 y 2008 R2), los procesos de aplicación y recuperación de las GPO son diferentes, por lo que los mecanismos de aplicación pueden prestarse a confusión. Las reglas de aplicación de las GPO respetan una metodología estricta y están definidas por paramétros registrados por defecto. No obstante, es posible modificar ciertos aspectos de este proceso. Los tiempos de espera entre los ciclos de aplicación de las directivas de grupo pueden acortarse, y se pueden utilizar los filtros WMI (Windows Management Instrumentation) para filtrar los equipos objetivo de acuerdo a condiciones precisas. Las directivas de grupo pueden, a su vez, atravesar los bosques en los entornos multibosque. Es importante analizar las posibilidades de modificación que se nos ofrecen. En esta parte del capítulo, abordaremos los principios de aplicación de las directivas de grupo, los diferentes escenarios, y profundizaremos en la comprensión de la cadena de eventos desde la creación de la GPO hasta su difusión a un puesto de trabajo.
2. Principios generales de aplicación de las GPO Es importante recordar que las GPO funcionan de la manera siguiente:
●
Creación de la directiva en el servidor.
●
Petición de obtención de los parámetros de la directiva desde el puesto de trabajo.
En ningún caso es posible forzar la aplicación de las GPO sobre los puestos cliente desde el servidor sin la intervención de terceras partes.
a. Proceso de aplicación Aplicación inicial en la apertura de la sesión Las versiones Windows 2000, Windows Server 2003, Windows Server 2008 y 2008 R2 obtienen los parámetros de directiva en el momento de la apertura de la sesión.
Aplicación en segundo plano para los equipos miembros del dominio Las versiones Windows 2000, Windows Server 2003, Windows Server 2008 y 2008 R2, XP, Vista y 7 obtienen © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
los parámetros de directiva aproximadamente 90 minutos después de la apertura de la sesión.
Este parámetro se puede modificar a través de una directiva de grupo.
Aplicación en segundo plano para los controladores de dominio Los controladores de dominio obtienen los parámetros de directiva cada 5 minutos, una vez se ha efectuado la replicación Active Directory.
Aplicación de las directivas de seguridad Los parámetros de seguridad se aplican cada 16 horas independientemente de la versión de Windows. Si no se efectúa ninguna modificación sobre los parámetros de seguridad, el intervalo de tiempo para la aplicación de directivas se mantiene.
Atención: cuando se mueve un equipo o un usuario de una Unidad Organizativa a otra, los procesos de aplicación de GPO no se activan en tiempo real. Active Directory requiere un margen de tiempo antes de detectar las modificaciones y aplicarlas.
Es posible identificar varias categorías básicas de "tipo de comportamiento" en cuanto a los principios de aplicación de las directivas de grupo. Estas categorías se establecen en función del sistema operativo y de la forma en la que éste tiene programada la obtención de las GPO. Los comportamientos relativos a la aplicación de las directivas de grupo han evolucionado desde Windows 2000. Sin embargo, el funcionamiento en Windows 2000 ha inspirado el de las versiones posteriores de Windows. Para comprender mejor la forma en que se aplican las GPO actualmente, resulta interesante repasar algunos conceptos básicos de Windows 2000.
b. Proceso de aplicación inicial para las versiones Windows 2000, Server 2003, Server 2008 y 2008 R2 Las directivas de grupo se dividen en dos partes bien diferenciadas, la configuración del equipo y la configuración del usuario. La configuración del equipo se aplica en el arranque de la máquina, antes de que se solicite la apertura de sesión. Los párrafos siguientes describen el orden de las operaciones desde el arranque del equipo hasta la petición de apertura de la sesión de usuario. En el momento del arranque del equipo, se realiza una petición DNS (Domain Name System) para encontrar el nombre de un controlador de dominio sobre el que el equipo pueda autentificarse. Una vez se ha encontrado el controlador de dominio, éste indica al equipo cuál es el sitio Active Directory al que pertenece, en qué dominio está autentificado y, finalmente, en qué Unidad Organizativa está almacenado. La configuración del equipo se obtiene en este orden, antes de la petición de apertura de sesión. Una vez se ha aplicado la directiva, se muestra la ventana [Ctrl][Alt][Supr]. Después de que la autentificación del usuario haya sido validada por Active Directory, la parte de configuración de usuario de la GPO se obtiene siguiendo el mismo orden que antes: Sitio, Dominio y Unidad Organizativa.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Recordatorio: en el capítulo Introducción ya se ha tratado el orden de aplicación de las GPO, que es Sitio, Dominio y Unidad Organizativa.
Todas las GPO de usuario que afecten al cliente actual se aplican en este momento. El escritorio del usuario se muestra únicamente después de este proceso. El orden del procedimiento de aplicación de las GPO: Sitio, Dominio y UO se denomina proceso sincronizado.
c. Proceso de aplicación inicial para las versiones Windows XP y Vista En el siguiente caso, supondremos que el puesto de trabajo acaba de integrarse en el dominio. Es la primera vez que la cuenta de equipo y la cuenta de usuario van a autentificarse en el dominio. El proceso de aplicación de las GPO seguirá los pasos del proceso sincronizado, descrito en la sección anterior. En el arranque del equipo, las configuraciones del equipo se aplican antes de la apertura de la sesión y las configuraciones de usuario después de la apertura de sesión, justo antes de que se muestre el escritorio. El orden de aplicación Sitio, Dominio y Unidad Organizativa se mantiene. Para el caso de equipos ya activos en el dominio, el procedimiento de aplicación de las directivas de grupo es diferente. Tras cada intervalo de 90 minutos transcurrido, comenzando el primero tras la apertura de la sesión, se descargan las GPO y se aplican en segundo plano, hasta el cierre de la sesión. Los sistemas Windows XP, Vista y 7 conservan los últimos parámetros de la directiva de equipo utilizada y los aplican desde el momento del arranque de los equipos, incluso si la red todavía no ha sido detectada. Cuando aparece la ventana de comando [Ctrl][Alt][Supr], todas las nuevas directivas de grupo se descargan sobre el equipo para ser aplicadas algo más tarde, tras la apertura de la sesión. Una vez se ha autentificado al usuario, los nuevos elementos o las modificaciones todavía no están activos. Microsoft decidió configurar los sistemas XP, Vista y 7 de esta manera para reducir el tiempo de espera. El arranque del equipo y la apertura de la sesión de usuario son más rápidos puesto que emplean las últimas GPO utilizadas, mostrando así un comportamiento similar a una caché. Esto quiere decir que las GPO se aplican de forma asíncrona para los entornos XP, Vista y 7. Existen, sin embargo, particularidades, como los parámetros de seguridad y las plantillas de administración (archivos que actualizan el registro), que se descargan y aplican algunos minutos después de la autentificación del usuario. En terminología de Microsoft esta forma de proceder se denomina Fast Boot. Para evitar confusiones, veamos un resumen de las etapas del proceso de aplicación de las GPO en los entornos XP, Vista y 7: Primer arranque:
●
●
Primer arranque del equipo tras su integración en el dominio: aplicación de los parámetros de la directiva de equipo de forma sincronizada. Primer logon del usuario en el dominio: aplicación de los parámetros de la directiva de usuario de forma sincronizada.
Para el resto de los arranques:
●
A partir del segundo arranque del equipo en el dominio: aplicación de los últimos parámetros de directiva de equipo empleados antes de la detección de la red (procedimiento de puesta en caché). © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
●
A partir de la segunda autentificación del usuario en el dominio: descarga de los nuevos parámetros de directiva y aplicación de forma asíncrona.
d. El Fast Boot El Fast Boot permite ganar tiempo durante el arranque del equipo y la apertura de la sesión de usuario, pero también conlleva algunas desventajas. La aplicación de las GPO de forma asíncrona significa que los cambios no son visibles en tiempo real. Varios tipos de modificaciones requieren que se rearranque el equipo para que los cambios surtan efecto. En ocasiones puede ser necesario reiniciar el equipo varias veces para algunos tipos específicos de modificaciones (despliegue de software y redirección de directorios). El tiempo ganado en el arranque queda lastrado por los reinicios que requiere ese tipo de modificaciones. Las modificaciones de las GPO de usuario también requieren renovar la apertura de sesión, y esto una o dos veces en función de los cambios (directorio Home, scripts de apertura de sesión, perfiles itinerantes). Se puede desactivar el Fast Boot en los equipos Windows XP, Vista y 7 para que se comporten de la misma forma que los entornos Windows 2000, Server 2003, 2008 y 2008 R2 (aplicación de las GPO de forma sincronizada).
Con ello se perderán los ahorros de tiempo durante el arranque del puesto y durante la autentificación del usuario. Microsoft, sin embargo, recomienda esta forma de proceder ya que se facilita la detección de errores y su resolución.
Para desactivar el Fast Boot y forzar la aplicación de las GPO de forma sincronizada es preciso crear una directiva de grupo. Una directiva de ese tipo obligará a los equipos a detectar y descargar las GPO y a aplicarlas antes del comando de apertura de sesión [Ctrl][Alt][Supr].
3. Aplicar las GPO manualmente Para casos de urgencia en los que no hay tiempo para esperar a que las modificaciones de algunos parámetros de directivas surtan efecto por sus propios mecanismos, es posible emplear comandos que permiten forzar las directivas de grupo sobre los puestos cliente. En este caso se está obligado a estar físicamente ante el puesto afectado por las modificaciones urgentes. Esta parte del capítulo enumera los comandos, así como las acciones correspondientes. Para poder ejecutar los comandos que sirven para forzar las GPO es imprescindible disponer de derechos de administración sobre el equipo. Los comandos se envían desde la ventana de edición de comandos DOS (Inicio/Ejecutar/cmd.exe).
a. Comandos de Windows 2000 Secedit /refreshpolicy user_policy Este comando actualiza las directivas del usuario en curso. Secedit /refreshpolicy machine_policy Este comando actualiza las directivas del equipo en curso.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
b. Comandos de Windows XP y versiones siguientes Gpupdate Este comando actualiza consecutivamente las directivas del usuario y del equipo en curso. Gpupdate /Target:Computer Este comando actualiza las directivas del equipo en curso. Gpupdate /Target:User Este comando actualiza las directivas del usuario en curso. Gpupdate /Logoff Este comando permite verificar si los parámetros de directivas modificadas requieren una reapertura de la sesión de usuario para surtir efecto. Gpupdate /Boot Este comando permite verificar si los parámetros de directivas modificadas requieren un rearranque del equipo para surtir efecto.
4. Forzar las GPO Hay una manera de forzar las GPO para que se apliquen los parámetros sin tener que esperar los intervalos de actualización de Active Directory (cada 16 horas).
a. Entorno Windows 2000 Secedit /refreshpolicy user_policy /enforce Fuerza la aplicación de una GPO para la parte usuario. Secedit /refreshpolicy machine_policy /enforce Fuerza la aplicación de los parámetros del nodo configuración de equipo.
b. Entorno Windows XP y superiores GPUPDATE /FORCE Fuerza la aplicación de parámetros para los nodos Equipos y Usuarios. Cuando un objeto al que se aplica una GPO se transfiere de una Unidad Organizativa a otra, éste continua aplicando las directivas ligadas a su antigua UO durante un periodo de 30 minutos. A esto hay que añadir el tiempo de replicación de Active Directory si el objeto está sobre un sitio remoto. El comando GPUPDATE /FORCE obtiene inmediatamente los parámetros de directiva de la nueva Unidad Organizativa.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Aplicación cuando intervienen conexiones remotas y enlaces lentos Este capítulo aplica, por ejemplo, al caso de un usuario itinerante. Supongamos un vendedor que tiene que desplazarse con frecuencia por razones profesionales. Dispone de un ordenador portátil y una conexión VPN (Virtual Private Network) que le permite acceder a la red interna de la empresa a partir de cualquier conexión a Internet. Durante sus desplazamientos fuera de la red de la empresa utiliza el acceso VPN para conectarse de forma remota a los servidores. Se autentifica en Active Directory y puede acceder a los datos de la red y utilizar la mensajería Exchange. Todas las versiones de Windows realizan una detección de la velocidad de las conexiones de red y determinan a partir del resultado si las directivas de grupo pueden descargarse o no. Según sea la versión de Windows instalada, esta detección se hace de forma diferente, los protocolos empleados no son los mismos, por lo que los resultados pueden variar. Los subapartados contenidos en esta sección presentan las diferentes formas de detectar las conexiones lentas y describen las situaciones que pueden producirse según el escenario de partida.
1. Detección de conexiones lentas en Windows a. Windows 2000 y XP Los equipos con Windows 2000 y XP que utilicen TCP/IP para conectarse al servicio RAS (Remote Access Service) están programados para descargar las GPO a partir de una velocidad de 500 kbps (kilobits por segundo). Windows 2000 y XP emplean el protocolo ICMP (Internet Control Message Protocol) para detectar la velocidad de conexión entre el puesto de trabajo y la red remota. ICMP emplea el sistema de ping para averiguar la velocidad de la conexión. Es frecuente que los administradores tengan este protocolo desactivado en la configuración de los firewalls. Si el protocolo está desactivado, los controladores de dominio no responden y la descarga de las GPO se cancela automáticamente.
b. Windows Vista Windows Vista cuenta con otros sistemas de detección de conexiones lentas, el protocolo NLA o NLA 2 (Network Location Awareness). NLA detecta inicialmente si la conexión es lenta o no sin emplear el protocolo ICMP. En un segundo paso, el protocolo NLA envía una petición para encontrar un controlador de dominio. Si la respuesta es positiva, las directivas de grupo se descargan, en caso contrario, no se descargan.
c. Parámetros aplicados a través de conexiones lentas Si la detección de la velocidad de conexión da como resultado que ésta es adecuada, sólo una parte de las directivas de grupo será aplicada sobre los puestos de trabajo remotos. No obstante, si la velocidad de conexión es considerada demasiado lenta, todavía se aplica una parte de las directivas. He aquí la lista de los elementos descargados sin importar cuál sea la velocidad de la conexión remota:
●
Parámetros de registro
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
●
Parámetros de seguridad
●
Parámetros de restricción de software (para las versiones XP y superiores)
●
Parámetros de obtención de archivos EFS (Encrypting File System)
●
Parámetros IPSec
●
Plantillas de administración
●
GPO de preferencias
Cuando se detecta una conexión lenta, los siguientes elementos pueden aplicarse a pesar de todo, pero esto precisa de una configuración particular. He aquí la lista de los parámetros aplicables opcionalmente para el caso de una conexión a la red lenta:
●
Configuración inalámbrica
●
Programador de paquetes QoS
●
Asignaciones de zona de Internet Explorer
●
Mantenimiento de IE
●
Windows Search
●
Directiva de grupo 802.3
●
Archivos sin conexión de Microsoft
La aplicación de las directivas de grupo depende del tipo de conexión remota empleada. Los parámetros de seguridad y las plantillas de administración de la configuración del equipo se aplican después de la autentificación del usuario cuando la conexión RAS empleada se haya establecido antes de la apertura de la sesión (authentificación dialup). Cuando la conexión RAS se efectúa tras la autentificación del usuario (VPN), los parámetros de directiva se aplican entre 90 a 120 minutos después de la apertura de sesión. Es posible modificar la velocidad mínima a partir de la que se aplicarán estas directivas. La velocidad por defecto está establecida en 500 kpbs pero puede aumentarse o disminuirse de manera independiente de la configuración de equipo y usuario.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Conclusión y comentarios Active Directory y las directivas de grupo trabajan en estrecha colaboración. Este capítulo ha centrado su atención sobre la implementación de una infraestructura basada sobre el despliegue de GPO. Conocer y tener en cuenta la forma en que se efectúa el procesamiento de las directivas, ya sea en los servidores o en los puestos de trabajo, facilita la puesta a punto de una infraestructura compatible con las directivas de grupo. Comprender y asimilar la importancia de la infraestructura Active Directory permite preparar el despliegue de las directivas de grupo en las mejores condiciones. La integración del proceso de aplicación de las directivas de grupo permite extender la facultad de identificar y detectar errores, así como malfuncionamientos que aparecen en producción. La parte de este capítulo dedicada a Active Directory prepara y facilita la comprensión del capítulo Administrar las directivas con la consola GPMC 2.0 Administrar y gestionar las GPO. Efectivamente, dominar las diferentes opciones disponibles en la consola de administración de las directivas de grupo es un recurso fundamental para garantizar el funcionamiento de las directivas de grupo. No obstante, después de una breve exploración de la consola GPMC, nos podemos dar cuenta rápidamente de que toda la interfaz gráfica se apoya directamente sobre la aplicación Usuarios y equipos de Active Directory. Cuando la estructura Active Directory está implementada en conformidad con lo esperado en materia de despliegue de directivas de grupo, ya no se hace necesario volver atrás una vez iniciado el trabajo con la consola de administración de directivas de grupo. Es posible arrancar inmediatamente la puesta en marcha de las directivas más adecuadas para la organización que nos planteemos como objetivo. La implementación de las directivas de grupo permite centralizar las configuraciones de los diferentes elementos de los puestos de trabajo de la empresa. En cuanto Ud. ponga las directivas de grupo en funcionamiento sobre la red, se verá confrontado con problemas e incidencias ligadas a éstas. Con un buen dominio del proceso de aplicación dispondrá de los elementos necesarios para realizar un análisis eficaz de las causas de un mal funcionamiento. Le resultará más fácil orientar sus búsquedas en la buena dirección y resolver rápidamente los problemas.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Introducción Con objeto de gestionar las directivas de grupo en un entorno Windows Server 2008 y 2008 R2, Microsoft incorpora la consola de administración de directivas de grupo o GPMC. Esta herramienta apareció al mismo tiempo que Windows Server 2003 ofreciendo un enfoque novedoso para su tiempo. Ha permitido el desarrollo de directivas de grupo en la empresa de forma acentuada. Los servidores instalados con Windows 2000 obligaban a conocer el emplazamiento exacto de una directiva en Active Directory para poder modificarla. Desde su llegada con Server 2003, la consola de administración de directivas de grupo permite la centralización de los datos relativos a las GPO que anteriormente estaban diseminados a través de la red. Este capítulo presenta de forma detallada la nueva consola de administración de directivas de grupo de Windows Server 2008 y 2008 R2, conocida como GPMC 2.0. En comparación con las versiones precedentes, la administración de las directivas de grupo parece simplificarse en Server 2008 y 2008 R2. Efectivamente, la consola de administración de directivas de grupo necesitaba anteriormente una descarga e instalación manual sobre los servidores o los puestos de trabajo del administrador y gestor de las directivas de grupo. Recientemente, Microsoft ha elegido incorporar la GPMC 2.0 en las últimas versiones de Windows Server: 2008 y 2008 R2. Podemos considerar la consola de administración de directivas de grupo como el punto de acceso que permite entrar en materia sobre el tema de las directivas de grupo. La interfaz de la aplicación se presenta bajo la forma de una consola MMC (Microsoft Management Console) clásica. Una parte de la interfaz gráfica de GPMC se basa en la aplicación de administración de objetos Active Directory (Usuarios y Equipos Active Directory). Entre las ventajas de la consola de administración de directivas de grupo, se pueden citar la eficiencia y el nivel de eficacia de la administración de las GPO, así como el alto nivel de control de estas últimas dentro del dominio. Para comenzar, descubriremos la herramienta GPMC 2.0, abordando a continuación sus funcionalidades así como sus novedades. Nuestro recorrido nos llevará a manipular las diferentes opciones disponibles en la GPMC y a explicar su papel así como su importancia.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Administrar y gestionar las GPO La administración de las directivas de grupo dentro de una infraestructura Microsoft representa uno de los ejes principales de la gestión y del mantenimiento de la arquitectura de la red. El despliegue masivo de las directivas de grupo tiene muchas consecuencias. Efectivamente, la totalidad de la cadena informática está impactada, desde los servidores hasta los puestos de trabajo. Son varios los medios de que se dispone para realizar las tareas de administración relativas a las directivas de grupo. Uno de los métodos que se pueden plantear es la conexión directa a uno de los controladores de dominio de red. En este caso es posible crear y gestionar las directivas a partir de la GPMC instalada en ellos. Es perfectamente posible explotar los puestos de trabajo con XP o Vista instalado para administrar la red de la misma forma. Si los administradores eligen emplear este método, se debe tener en cuenta cierto número de prerrequisitos técnicos. La consola de administración de directivas de grupo es una herramienta nativa de los sistemas operativos Windows Server 2008 y 2008 R2. No se precisa ninguna instalación adicional cuando se emplea un controlador de dominio bajo Server 2008 o 2008 R2 para administrar o gestionar las directivas de grupo. Si se administran los servidores a partir de puestos con Vista o 7, es necesario instalar el Service Pack 1 así como el pack RSAT (Remote Server Administration Tool), que está disponible para su descarga en el sitio de Microsoft.
Windows Vista dispone de forma nativa de la consola GPMC, pero ésta desaparece tras la instalación del Service Pack 1.
Para Windows 7 es necesario descargar el pack RSAT, al igual que para Windows Vista. El pack está disponible en la dirección: http://www.microsoft.com/downloads/eses/details.aspx?familyid=7d2f6ad7656b4313a005 4e344e43997d
Windows 7 debe estar en la versión SP1 para poder instalar el pack RSAT.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Administrar las GPO con la consola de administración de directivas de grupo GPMC 2.0 1. Implementar la consola GPMC 2.0 Según la versión de Windows Server que esté instalada en los controladores de dominio, la utilización de la GPMC está sujeta a condiciones. Los servidores sobre Windows Server 2008 y 2008 R2 edición Estándar requieren la instalación de la funcionalidad Administración de directivas de grupo. Los servidores que cuenten con la version Enterprise de Windows Server 2008 y 2008 R2 pueden sacar partido de la consola de administración de directivas de grupo desde la promoción del servidor al rango de controlador de dominio.
a. Instalación de la funcionalidad Administración de directivas de grupo La instalación de nuevas funcionalidades puede hacerse desde la aplicación Administrador del servidor de Windows Server 2008 y 2008 R2. Una vez en el Administrador del servidor, sitúese en el nivel Resumen de características y después haga clic en Agregar características.
A continuación, escoja la característica Administración de directivas de grupo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Haga clic en Siguiente. La consola de administración de directivas de grupo está ahora instalada sobre el servidor. Para abrir la GPMC, vaya al menú Inicio Herramientas administrativas Administración de directivas de grupo.
2. Funcionalidades de la consola GPMC 2.0 a. Creación y modificación de directivas de grupo La totalidad de las directivas de grupo del dominio se almacena en el contenedor Objetos de directiva de grupo de la consola de administración de las directivas de grupo. Hay dos directivas por defecto creadas al mismo tiempo que el directorio base de Active Directory: las directivas Default Domain Controllers Policy y Default Domain Policy. Éstas se aplican sobre los controladores de dominio y sobre el dominio, respectivamente. Tras la apertura de la consola GPMC, es interesante analizar su arquitectura. La estructura en árbol tiene como nivel raíz el del bosque Active Directory, siguiendo con el nivel de dominio. La estructura de la consola GPMC es idéntica a la de la consola Usuarios y Equipos Active Directory, salvo por los contenedores Builtin, Computers y Users, que no son Unidades Organizativas y por tanto no se les puede asociar directivas de grupo. Los directorios suplementarios como Objetos de directiva de grupo, Filtros WMI, GPO de inicio tan sólo están disponibles en la consola de administración de directivas de grupo.
Creación de la primera GPO En este momento, estamos preparados para crear la primera directiva de grupo del dominio Empresa, que pertenece al bosque Empresa.local. Para crear una nueva directiva de grupo, despliegue el menú contextual sobre la parte vacía del contenedor Objetos de directiva de grupo y seleccione Nuevo.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Le aparecerá una ventana solicitando un nombre para la directiva. Este paso es esencial porque el nombre es parte de los datos de identificación en la red de los objetos de directiva. No debe pasarse por alto este paso, cuya utilidad se pone de manifiesto en las redes que contienen un gran número de GPO. Cuando se quiere identificar una directiva rápidamente, el nombre dado al objeto constituye uno de los primeros criterios de búsqueda. Introduzca un nombre para la directiva.
Haga clic en Aceptar para crear la nueva GPO. Una vez creado el nuevo objeto de directiva, aparece una GPO disponible en el contenedor Objetos de directiva de grupo. Sin embargo, su contenido está vacío ya que todavía no se ha modificado ningún parámetro en esta directiva. En este momento es necesario editar el objeto y modificarlo en función de las tareas que la directiva deba cumplir. Para facilitar la comprensión de este libro se ilustrará el caso simplificado en que se modifica un único parámetro, por más que en un caso más general una sola directiva puede cubrir varias funciones. Más adelante en un segundo ejemplo completaremos la directiva modificando varios criterios. Para editar la directiva, despliegue el menú contextual de la Primera directiva de grupo y escoja la opción Editar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Al escoger Editar aparece una nueva consola: Editor de administración de directivas de grupo. Este editor permite acceder a los parámetros de configuración de las directivas de grupo y su modificación de acuerdo a las necesidades identificadas. El editor de administración de directivas de grupo se presenta bajo la forma de una consola MMC. No hay ninguna forma alternativa de efectuar las diferentes configuraciones de las directivas de grupo.
En el marco de nuestro primer ejemplo, modificaremos un parámetro de seguridad en la Configuración del
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
equipo. En la parte izquierda del editor, despliegue el menú jerárquico del nodo Configuración del equipo. Seleccione el directorio en la ruta Directivas Configuración de Windows Configuración de seguridad Directivas locales Directiva de auditoría.
En la parte derecha, haga doble clic en Auditar la administración de cuentas. De entre las opciones disponibles, seleccione Definir esta configuración de directiva, Correcto y Error.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Haga clic en Aceptar. En este ejemplo, la directiva Primera directiva de grupo contiene un único parámetro modificado. Esta directiva se aplicará sobre las diferentes operaciones hechas sobre las cuentas de equipo o de usuarios (modificación de una contraseña, asignación de derechos de administrador a una cuenta local...) que, en adelante, serán auditadas. Esta auditoría está activa tanto en caso de éxito como de fracaso. Para hacer el ejemplo más próximo a uno real (múltiples parámetros), podemos completar el objeto GPO Primera directiva de grupo de la siguiente forma. Vuelva al Editor de administración de directivas de grupo al nivel Configuración del equipo Directivas Configuración de Windows Configuración de seguridad Directivas locales Directiva de auditoría. Defina los parámetros a incluir en la GPO y configúrelos. Puede tomar como ejemplo el parámetro de directiva Auditar eventos de inicio de sesión.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Con el parámetro Auditar eventos de inicio de sesión activado, los administradores podrán supervisar qué usuarios se han autentificado sobre un equipo con o sin éxito.
Atención: cuanto mayor es la complejidad de las directivas, más difíciles resultan de aplicar, de depurar sus errores o simplemente de comprender.
Tomemos el ejemplo del método de securización de las contraseñas. Esta configuración generalmente es parte de las modificaciones de parámetros de la Default Domain Policy. En apariencia es sencilla, sin embargo esta operación origina generalmente numerosos incidentes para el equipo de soporte técnico. El hecho de tener en cuenta varios parámetros al mismo tiempo para un mismo objeto puede convertirse en una fuente de confusión para algunos usuarios. En esta sección del capítulo, hemos creado y modificado un objeto GPO. Esta operación es siempre idéntica para cualquier tipo de directiva creada en el dominio. Las necesidades de su empresa le llevarán a modificar los diferentes parámetros de directiva contenidos en las numerosas categorías del Editor de administración de directiva de grupo.
b. Vincular objetos directiva de grupo Para que una directiva de grupo esté operativa, debe desplegarse sobre la red para que los puestos cliente la puedan procesar y aplicar. Una vez la GPO está configurada y activa, es necesario vincularla al nivel deseado (Sitio, Dominio o UO) para ponerla en funcionamiento. Hay varios métodos para vincular una GPO a uno de los niveles Sitio, Dominio o Unidad Organizativa. Detallaremos a continuación el método ”clásico” de enlazar una nueva directiva a una Unidad Organizativa.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
Antes de empezar con los pasos para enlazar la directiva, es preciso decidir a qué Unidad Organizativa se la quiere asignar. En nuestro ejemplo, emplearemos la Unidad Organizativa Empresa_España. Haga clic con el botón derecho sobre la UO escogida y seleccione la opción Vincular un GPO existente.
También es posible vincular los objetos GPO empleando drag & drop. Cuando se muestre una ventana de diálogo como la de la figura, seleccione en la lista el objeto de directiva de grupo deseado.
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Haga clic en Aceptar para confirmar la selección. Una vez vinculado, el objeto GPO se mostrará bajo la Unidad Organizativa correspondiente en la parte izquierda de la pantalla.
Haciendo doble clic en una Unidad Organizativa podrá ver cuantos objetos de directiva tiene vinculados. Despliegue los subnodos bajo el contenedor Empresa_España para mostrar el número de objetos de directiva de grupo que tiene vinculados.
Podemos comprobar que, de momento, existe un único objeto de directiva ligado a la Unidad Organizativa Empresa_España: Primera directiva de grupo.
c. Utilizar la opción Exigido A partir de Windows Server 2003, la opción Exigido permite forzar la aplicación de una directiva de grupo sobre los objetos de los contenedores hijos del contenedor al que está vinculada. Cuando se activa la función Exigido sobre una de las GPO vinculadas a un contenedor de Active Directory, los parámetros modificados se aplican incluso aunque alguno de los contenedores hijo bloquee las herencias.
La opción Exigido ya existía en Windows 2000 sin la herramienta GPMC; el equivalente era No reemplazar. Para emplear la opción Exigido, despliegue el menú contextual de la directiva que desee forzar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
Seleccione la opción Exigido. Cuando esta opción queda activada, podemos comprobar que la GPO aparece como aplicada en la parte derecha de la pantalla, entre Ubicación y Vínculo habilitado. Además, podemos verificar si una directiva está aplicada desplegando simplemente su menú contextual.
Cuando se ha aplicado la GPO, aparece un pequeño candado a la izquierda de la directiva aplicada cuando se la visualiza dentro del contenedor al que está vinculada.
- 10 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Podemos comprobar que la directiva Primera directiva de grupo está vinculada a la Unidad Organizativa Empresa_España con la opción Exigido activada. Esto quiere decir que cada Unidad Organizativa hija de la UO Empresa_España heredará los parámetros de directiva de Primera directiva de grupo. Los parámetros de una directiva de grupo en la que la opción Exigido está activada se impondrán sobre los parámetros de cualquier objeto hijo en caso de conflicto. Los parámetros se aplicarán, del mismo modo, a las Unidades Organizativas para las que la opción Bloquear herencia esté activada.
d. Gestionar la precedencia de las directivas Hasta ahora hemos visto el orden de aplicación de las directivas de grupo que sigue la cadena nivel del Sitio, nivel del dominio y nivel de las UO. Cuando hay varias directivas vinculadas a una Unidad Organizativa común, el orden de aplicación funciona de abajo a arriba. La directiva situada al final de la lista se aplicará en primer lugar y así sucesivamente hasta la primera de la lista. Para ilustrar los principios de funcionamieno de la precedencia de directivas, hemos creado un ejemplo con dos GPO ficticias: GPO Ejemplo 1 y GPO Ejemplo 2. Las dos están asociadas a la Unidad Organizativa Empresa/Empresa_España/Usuarios. Según las reglas de precendencia de las directivas de grupo, podemos comprobar que la GPO Ejemplo 1 se aplica antes que la GPO Ejemplo 2. El objeto de directiva de grupo con el orden de vinculación más bajo se procesa en último lugar y, como consecuencia, tiene la prioridad más alta.
Las flechas a la izquierda de la lista permiten modificar el orden en el que se desea aplicar las directivas de grupo en el dominio. Haga clic en la flecha que apunta hacia arriba o hacia abajo para cambiar el orden de la lista. Atención: recuerde que la aplicación se hace en orden inverso al de aparición. En la siguiente figura, la GPO Ejemplo 2 se aplica antes que la GPO Ejemplo 1.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
Los parámetros de las directivas de grupo se acumulan, pero si hay parámetros que entran en conflicto, los de la directiva de grupo cuyo orden de vinculación es más bajo son los prioritarios.
e. Gestionar las herencias de directivas En el capítulo anterior hemos mencionado la noción de directivas acumulativas. Este término quiere decir, en parte, que una directiva vinculada al nivel de Sitio de Active Directory se aplicará a los niveles siguientes, que son Dominio y Unidades Organizativas. Continuando con este proceso, una directiva vinculada al nivel de dominio se aplicará a todas las Unidades Organizativas hijas del dominio. Y, finalmente, una directiva vinculada a una de las Unidades Organizativas se aplicará a cada una de sus Unidades Organizativas hijas. El concepto de transmisión de parámetros de directivas desde un contenedor de jerarquía superior a otro se denomina herencia de las directivas. La herencia de directivas está activada por defecto. Desde el momento en que se crea una directiva y ésta se vincula a un contenedor Active Directory, los contenedores hijos deben recibir los parámetros de las directivas y aplicarlos. Algunos casos requieren el bloqueo de las herencias de directivas de grupo. Para los casos en que no se desee conservar la herencia, la consola de administración de directivas de grupo permite bloquear las herencias al nivel que se requiera. Para ilustrar esto, en nuestro caso de ejemplo hemos modificado la estructura Active Directory del grupo Empresa. Todas las filiales de Empresa están ahora agrupadas bajo una Unidad Organizativa: Grupo_Empresa. Se ha configurado una nueva directiva de grupo y se ha vinculado a la Unidad Organizativa Grupo_Empresa. Esta directiva, llamada Directiva de seguridad filial, se aplica a todos los contenedores hijos de la Unidad Organizativa Grupo_Empresa. En otras palabras, la directiva se aplica a todas las filiales del grupo. Ahora, nuestra tarea principal es bloquear la herencia de directivas a partir de la Unidad Organizativa Empresa_España. Despliegue el menú contextual de la Unidad Organizativa Empresa_España y seleccione la opción Bloquear herencia.
- 12 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
El icono
indica que la herencia está bloqueada a partir de esta UO.
En nuestro caso, en cuanto se activa la opción Bloquear herencia sobre la UO Empresa_España, los parámetros de directivas de grupo vinculados al dominio y a la UO Grupo_Empresa no se aplicarán a los usuarios y equipos de la UO Empresa_España.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
f. Forzar las directivas en la GPMC Respecto a la utilización de la opción Bloquear herencia, es importante considerar que todas las GPO vinculadas a niveles superiores se verán igualmente bloqueadas. Con el objetivo de mantener la coherencia de la arquitectura de red, se hace necesario emplear la opción Exigido para aquellas directivas que deban transmitirse más allá de los bloqueos de herencia. Windows 2000 Server incluía la opción No reemplazar para permitir el bloqueo en la aplicación de parámetros de directivas heredados. Cuando se activa la opción Exigido sobre una directiva de grupo, ésta se fuerza a partir del contenedor al que esté vinculada.
Los parámetros de esta directiva de grupo se aplicarán incluso si la opción Bloquear herencia está activa sobre una UO hija. Atención, algunos parámetros quedarán bloqueados a pesar de todo.
g. Buscar directivas En una red de gran tamaño que contenga numerosas directivas de grupo, puede ser fácil perderse. El tiempo dedicado a la búsqueda de información puede alcanzar proporciones desmesuradas. La consola de administración de directivas de grupo permite realizar búsquedas de objetos directiva de grupo, facilitando así el trabajo a los administradores. Cuando una directiva debe modificarse urgentemente, la herramienta de búsqueda multicriterio permite encontrarla de forma rápida y simple. Despliegue el menú contextual del contenedor a partir del que desee lanzar la búsqueda y después haga clic en Buscar. En nuestro caso, la búsqueda se realiza sobre la totalidad del dominio empresa.local.
Al hacer clic en Buscar, se abre una ventana de diálogo de búsqueda que permite introducir los criterios de dirección de la búsqueda.
- 14 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Supongamos que nuestro problema nos lleva a buscar la o las directivas que guarden relación con las filiales del grupo Empresa.local. Será basándonos en los datos de identificación nominativos de la directiva como realizaremos la búsqueda. Introduzca el valor ”filial” en el campo Valor.
Una vez haya dado valor a los campos, haga clic en Agregar y después en Buscar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 15 -
Según el número de objetos presentes en la red, la búsqueda mostrará los resultados más o menos rápidamente. Una vez se ha encontrado un objeto, éste se puede modificar, o se puede guardar el resultado de la búsqueda para usarlo posteriormente.
3. Configuración de los parámetros de directivas Para poder ser operativas, las directivas de grupo deben configurarse para que algunos de los parámetros disponibles sean modificables en el editor de objetos de directiva de grupo. Les diferentes categorías que, en conjunto, constituyen una directiva de grupo no varían de una directiva local a una directiva de dominio. La estructura de una directiva de grupo se compone de los nodos Configuración del equipo y Configuración de usuario. Los parámetros modificados en el nodo Configuración del equipo impactan únicamente a la configuración del puesto de trabajo. Los parámetros modificados en el nodo Configuración de usuario impactan únicamente a la configuración de los perfiles de usuario del puesto de trabajo. Cuando se tiene abierto el editor de administración de directiva de grupo, las dos categorías Configuración del equipo y Configuración de usuario aparecen como nodos raíz en la parte izquierda de la consola.
- 16 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
¿Por qué modificar la Configuración de usuario o la Configuración del equipo o las dos a la vez? Para empezar, las dos categorías no muestran un conjunto de parámetros idéntico entre un nodo y otro. Algunas configuraciones son relativas exclusivamente a los equipos y otras a los usuarios. Si el mismo parámetro se configura a la vez en Configuración del equipo y en Configuración de usuario, entonces el parámetro que se aplica es el de Configuración del equipo. La siguiente figura permite distinguir las diferencias que existen entre los subcontenedores de Configuración del equipo y los de Configuración de usuario.
Existen diferencias entre los parámetros de directiva ligados a la seguridad entre las plantillas administrativas, y las preferencias de directivas disponibles no son las mismas. Las políticas de empresa definen la forma en la que se deben configurar las directivas. Estas últimas deben respetar los criterios de seguridad, las restricciones y especificidades relativas a las necesidades de la empresa. En su mayoría, los criterios de configuración de directivas de grupo se definen en función de la actividad de la
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 17 -
empresa o de sus usuarios. El uso de la Configuración del equipo sólo permite la parametrización de puestos de trabajo independientemente de los usuarios que se conectarán sobre ellos posteriormente. Por ejemplo, la configuración de los puestos cliente puede corresponder a los criterios mínimos de seguridad de la empresa mientras que la configuración de perfiles de usuarios puede depender de los roles y funciones de los usuarios en cuestión.
a. Configuración del equipo Hasta ahora, sabemos que la Configuración del equipo tan sólo impacta al puesto de trabajo sobre el que se aplica la directiva de grupo. Para comprender mejor los principios de funcionamiento y la utilidad de disponer de los nodos equipo y usuario, presentaremos a continuación una propuesta de configuración del nodo equipo en el marco de un despliegue de directivas de grupo en una arquitectura Microsoft. En la consola GPMC, cree un nuevo objeto de directiva de grupo llamado Directiva de configuración de puestos de trabajo. Modificaremos la directiva de grupo Directiva de configuración de puestos de trabajo para que responda a las necesidades del grupo Empresa/Empresa_España. Modifique la Directiva de configuración de puestos de trabajo usando la consola de administración de directivas de grupo. Puede referirse a la sección Administrar las GPO con la consola de administración de directivas de grupo GPMC 2.0, Funcionalidades de la consola GPMC 2.0 de este capítulo para la modificación de los parámetros de directiva. La Directiva de configuración de puestos de trabajo debe respetar los siguientes criterios.
El valor para cada parámetro de directiva debe ser Habilitada.
Componentes de Windows/Windows Messenger
●
No permitir que se ejecute Windows Messenger.
Componentes de Windows/Windows Media Center
●
No permitir que se ejecute Windows Media Center.
Panel de control/Cuentas de usuario
●
Aplicar la imagen de inicio de sesión predeterminada a todos los usuarios.
Panel de control/Configuración regional y de idioma
●
Limita los idiomas de la interfaz de usuario que Windows usa para todos los usuarios que hayan iniciado sesión.
Red/Archivos sin conexión
●
Prohibir la configuración del usuario de Archivos sin conexión.
Sistema/Acceso de almacenamiento extraíble
- 18 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
CD y DVD: denegar acceso de escritura.
●
CD y DVD: denegar acceso de lectura.
●
Unidades de disquete: denegar acceso de escritura.
●
Unidades de disquete: denegar acceso de lectura.
Sistema/Instalación de dispositivos/Restricciones de instalación de dispositivos
●
Impedir la instalación de dispositivos extraíbles.
Sistema/Instalación de controladores
●
Desactivar la intervención del usuario en búsquedas de controladores de dispositivo en Windows Update.
Sistema/Inicio de sesión
●
Asignar un dominio predeterminado para iniciar sesión.
●
Esperar siempre la detección de red al inicio del equipo y de sesión.
Sistema/Perfiles de usuario
●
Eliminar copias en caché de perfiles móviles.
Sistema/Cuota de disco
●
Habilitar cuotas de disco.
●
Aplicar un límite de cuota de disco.
●
Límite de cuota y nivel de aviso predeterminados 80 GB / 70 GB.
Sistema/Restaurar sistema
●
Desactivar Restaurar sistema.
Una vez haya configurado los parámetros de directiva, salga del Editor de administración de directiva de grupo y vuelva a la consola de administración de directivas de grupo. La Directiva de configuración de puestos de trabajo está ahora parametrizada y lista para entrar en actividad sobre la red.
b. Configuración de usuario Ahora, queremos completar la arquitectura con una directiva en la que la configuración impacte únicamente a los usuarios. En la GPMC, cree un nuevo objeto de directiva de grupo llamado Directiva de configuración de perfiles de usuario. Modifique la directiva en el Editor de administración de directiva de grupo y configure la directiva según los siguientes criterios. El estado de cada parámetro de directiva debe ser Habilitada.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 19 -
Escritorio
●
Ocultar el icono Ubicaciones de red del escritorio.
●
Quitar el Asistente para limpieza de escritorio.
●
Quitar del escritorio el icono de Papelera de reciclaje.
Escritorio/Active Desktop
●
Tapiz del escritorio \\SERV01\Ruta de acceso\logo.jpg.
Menu Inicio y barra de tareas
●
Quitar vínculos y accesos a Windows Update.
Panel de control/Agregar o quitar programas
●
Ocultar la página Agregar o quitar componentes de Windows.
Panel de control/Impresoras
●
Impedir la eliminación de impresoras.
Red/Conexiones de red
●
Prohibir la configuración TCP/IP avanzada.
Sistema/Perfiles de usuario
●
Limitar el tamaño del perfil 10 000 KB.
En este momento disponemos de una segunda directiva de grupo que afecta únicamente a los parámetros de los usuarios.
c. Generación de informes Verificar el contenido de una GPO puede llevar un tiempo considerable si cada parámetro debe controlarse manualmente. Para llevar a cabo una verificación manual, se debería entrar en modo edición en cada directiva y verificar el estado de cada parámetro disponible. Parece poco probable que los administradores elijan este método teniendo en cuenta el número tan elevado de objetos disponibles. Para evitar estas pérdidas de tiempo, la GPMC dispone de una funcionalidad que permite realizar este tipo de verificación. Con ella es posible generar un informe detallado de cada objeto de directiva creado en su dominio. En este informe se pueden consultar los datos relativos a los parámetros modificados por la directiva. Para editar y consultar un informe, entre en la GPMC y sitúese sobre el contenedor Objetos de directiva de grupo. Seleccione la directiva de la que desee analizar el contenido, en el ejemplo Directiva de configuración de puestos de trabajo, y haga clic en la pestaña Configuración en la parte derecha de la pantalla. - 20 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Espere a que termine de cargarse el informe detallado y haga clic en Show all para consultar los parámetros que tiene en cuenta la directiva.
Se muestra la totalidad de los parámetros modificados, permitiendo una visibilidad más o menos directa de las diferentes funciones atribuídas a la directiva y de su impacto sobre el dominio. Gracias a los informes detallados, resulta fácil saber si una directiva sigue estando al día o si ha quedado obsoleta. Esta funcionalidad permite a su vez comprender las razones del comportamiento de un equipo o cuenta de usuario particular en caso de que presente conflictos o un funcionamiento incorrecto.
4. Seguridad y delegación Las metodologías empleadas en relación con la jerarquización y la delegación de poderes administrativos en un dominio pueden ser diferentes. Las redes de grandes dimensiones eligen, en su mayoría, escalonar los poderes administrativos sobre la red. Por ejemplo, ciertas organizaciones prefieren delegar la administración de las Unidades Organizativas a los administradores locales de los sitios, y conservar los poderes de administración del dominio y de la empresa en el seno de la dirección informática. Otras organizaciones eligen uniformizar los niveles de poderes administrativos entre todos los administrativos. En el escenario de una jerarquía definida y en activo, la supervisión de las directivas de grupo es parte de los elementos de la red para los que debería definirse una habilitación específica. Cuando los administradores de dominio quieren que los administradores con capacidades más restringidas estén autorizados a modificar los elementos propios de las directivas de grupo, pueden hacer uso de la delegación de poder. Tan sólo los administradores de dominio pueden delegar el poder a la jerarquía inferior. En nuestro caso, imaginemos que deseamos delegar las autorizaciones de modificación de una sola directiva de grupo. Para hacer esto, estamos obligados a añadir un objeto en Active Directory. Este objeto grupo de seguridad nos permitirá identificar los intervinientes informáticos de la filial España del grupo Empresa.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 21 -
Delegaremos, a continación, los permisos de modificación de las directivas vinculadas a la Unidad Organizativa Empresa_España al grupo Equipo IT Local. Abra la aplicación Usuarios y equipos de Active Directory y cree un grupo de seguridad llamado Equipo IT Local en Empresa.local\Grupo_Empresa\Empresa_España\Grupos. Una vez haya finalizado la operación, vuelva al contenedor Objetos de directiva de grupo en la consola de administración de directivas de grupo. En este ejemplo, elegiremos la Primera directiva de grupo que está asociada a la Unidad Organizativa Empresa_España. Haga clic en la directiva que desee delegar, en nuestro caso Primera directiva de grupo, y después haga clic en la pestaña Delegación situada en la parte derecha de la consola.
Entre los datos que se pueden consultar en la pestaña Delegación figura la lista de autorizaciones de los Grupos y usuarios habilitados para modificar la directiva. A continuación, añadiremos un nuevo grupo de seguridad y le delegaremos las autorizaciones de control de esta directiva. Para añadir un nuevo objeto en la lista de miembros delegados, haga clic en el botón Agregar y teclee el nombre del usuario o grupo requerido. En nuestro caso, añadiremos el grupo de seguridad Equipo IT Local.
- 22 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Haga clic en Comprobar nombres para asegurarse de la disponibilidad del objeto en Active Directory.
Haga clic en Aceptar para completar la operación. Una vez Active Directory ha reconocido y validado el nombre, se muestra la siguiente ventana de diálogo.
Este diálogo permite elegir el nivel de control requerido para el grupo Equipo IT Local sobre la directiva Primera directiva de grupo. Escogeremos un nivel de control total para hacer que Equipo IT Local sea autónomo. Seleccione la opción Editar configuración, eliminar, modificar seguridad. Para terminar, haga clic en Aceptar. Una vez se ha añadido el grupo, éste queda visible en la GPMC al igual que las autorizaciones de las que dispone.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 23 -
5. Copia de seguridad y restauración de las directivas La copia de seguridad de datos informáticos es uno de los elementos más sensibles de un sistema de información. Datos cuyo valor se considera inestimable pueden desaparecer en muy poco tiempo y por diferentes razones, como por ejemplo por errores de manipulación, por daños materiales, o por averías procedentes del exterior de la red. Con objeto de preservar la integridad de datos en relación con la configuración de las directivas de grupo, la GPMC ofrece la posibilidad de realizar copias de seguridad y de restaurar las GPO.
a. Hacer copia de seguridad de una directiva El uso de las funciones de copia de seguridad de las directivas de grupo permite restablecer su configuración a un estado operativo después de una pérdida de datos o una anomalía que haya generado un mal funcionamiento de los objetos de directiva. Esta utilidad también resulta útil durante las migraciones de servidores para evitar tener que crear de nuevo el conjunto de directivas de dominio sobre los servidores migrados.
Para hacer una copia de seguridad de todas las directivas de grupo, haga clic con el botón derecho en Objetos de directiva de grupo y seleccione Hacer copia de seguridad de todo. Para realizar una copia de seguridad de una directiva, sitúese en el contenedor Objetos de directiva de grupo y haga clic con el botón derecho sobre la directiva a salvaguardar. En nuestro caso, haremos una copia de seguridad de Primera directiva de grupo. En el menú contextual de la GPO, haga clic en Hacer copia de seguridad.
- 24 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
La ventana de diálogo siguiente le pedirá que introduzca la ruta del directorio de copias de seguridad y, opcionalmente, una descripción.
Cuando haya introducido los datos, haga clic en Hacer copia de seguridad. Espere y supervise que el proceso de salvaguarda se desarrolle sin problemas.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 25 -
Haga clic en Aceptar para terminar la copia de seguridad. Para asegurarse de una correcta ejecución de la copia de seguridad, se recomienda encarecidamente verificar la presencia de archivos de directiva en el directorio de destino. Para realizar esta verificación, abra el explorador de Windows. Sitúese en el directorio de copias de seguridad y verifique que los archivos de directivas están presentes.
b. Restaurar una directiva Una vez que se ha hecho una copia de seguridad de la totalidad de las estrategias de grupo, puede iniciarse la migración. Cuando los servidores se hayan migrado, se podrán restaurar las directivas salvaguardadas.
- 26 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Para simular una situación adecuada para la operación, suprimiremos la directiva de grupo salvaguardada anteriormente: la Primera directiva de grupo. En la GPMC, sitúese en el contenedor Objetos de directiva de grupo y despliegue a continuación el menú contextual de la Primera directiva de grupo. En el menú contextual, escoga la opción Eliminar.
Haga clic en Sí cuando aparezca la petición de confirmación. Una vez se haya suprimido la directiva en el contenedor Objetos de directiva de grupo, sitúese en la parte derecha de la consola y haga clic con el botón derecho sobre cualquier espacio vacío. Escoja la opción Administrar copias de seguridad.
En la ventana de diálogo siguiente, podrá consultar la lista de todas las GPO salvaguardadas. En nuestro caso sólo aparece la Primera directiva de grupo. Seleccione la directiva que desee restaurar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 27 -
Haga clic en Restaurar. Espere y supervise la operación de restauración.
- 28 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Haga clic en Aceptar una vez la restauración haya terminado con éxito. Cierre la ventana de diálogo Administrar copias de seguridad y verifique la presencia de la GPO restaurada en el contenedor Objetos de directiva de grupo.
Atención: ¡Los vínculos de la GPO con los contenedores de Active Directory no se salvaguardan ni se restauran!
c. Importar parámetros Es posible que desee explotar la configuración de parámetros de una directiva salvaguardada previamente y que no fue creada sobre el servidor en el que ahora desea que se ejecute. En este caso, puede ahorrar tiempo utilizando la importación de parámetros de directivas. Esta operación evita a los administradores tener que configurar uno a uno los parámetros de directiva.
¡Cuidado con los parámetros personalizados que se repercutan sobre el sistema objetivo! Es preferible emplear esta funcionalidad únicamente en los casos de GPO cuya parametrización sólo modifica objetos estándar.
Para importar parámetros de directiva, debe disponer de una directiva salvaguardada en un directorio Windows sobre el que tenga los derechos de acceso suficientes para realizar la operación. En nuestro ejemplo, vamos a importar una GPO que configura el menú Inicio de los usuarios. En la GPMC, sitúese sobre el contenedor Objetos de directiva de grupo, después haga clic con el botón derecho sobre una parte vacía de la pantalla. En el menú contextual, seleccione Nuevo e introduzca un nombre para la nueva directiva que desea configurar. En nuestro ejemplo, la llamaremos Menú Inicio del usuario. En principio, se importan los parámetros de una directiva que ya hayan sido configurados, el nombre de la GPO estará por tanto en consonancia con su contenido. Haga clic con el botón derecho sobre la directiva que acaba de crear y seleccione la opción Importar configuración… © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 29 -
En la ventana siguiente, se le presentará un texto explicativo en relación con esta manipulación.
Haga clic en Siguiente. A continuación, puede hacer una copia de seguridad de su directiva antes de importar parámetros de una directiva existente. En nuestro caso, no es necesario hacer esto ya que tenemos como situación de partida una directiva vacía.
- 30 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Haga clic en Siguiente. En la ventana siguiente, debe introducir la ruta al directorio de almacenamiento de directivas salvaguardadas.
Una vez haya introducido la ruta correcta, haga clic en Siguiente. En la ventana siguiente, seleccione la directiva de origen a partir de la cual desea importar los parámetros.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 31 -
Seleccione la estrategia de origen y haga clic en Siguiente. Verifique que la operación se desarrolla sin problemas.
Haga clic en Siguiente. A continuación, verifique los parámetros del Resumen.
- 32 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Haga clic en Finalizar para confirmar la importación. En la ventana siguiente, supervise el procedimiento de importación de parámetros hasta su término.
Haga clic en Aceptar. Los parámetros se han importado correctamente.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 33 -
Nuevas funcionalidades de la GPMC 2.0 Desde Windows Server 2003, las directivas de grupo se administran mediante la GPMC. En Windows 2000, la administración de las directivas de grupo exigía una organización y una metodología minuciosa. Las facilidades aportadas por Windows 2003 y la GPMC han revolucionado las prácticas en materia de despliegue de directivas de grupo. Windows Server 2008 y 2008 R2 utilizan las bases del funcionamiento de la consola GPMC 1.0 y ofrecen funcionalidades suplementarias. En razón de sus novedades, la nueva consola de administración de directivas de grupo fue bautizada como GPMC 2.0. Entre las novedades de la GPMC 2.0, podemos citar las GPO de inicio, las nuevas posibilidades de los filtros WMI y de los comentarios, la presencia de cerca de 500 nuevas plantillas de administración destinadas a configurar los puestos de trabajo con Vista o 7 instalado. Además entre las mejoras notables podemos contar los nuevos formatos de constitución de las plantillas de administración: los archivos ADMX (ADMinistrativeXML template file) y ADML (ADMinistrative XMLtemplate file). Su gestión simplificada y centralizada reemplaza ventajosamente a sus predecesores: los archivos ADM (ADMinistrative template file). Sin olvidarnos de las preferencias de directivas de grupo, que indudablemente forman parte de las novedades más interesantes e innovadoras de la consola GPMC 2.0. En el próximo capítulo, enteramente dedicado a las preferencias de directivas de grupo, se explicará su funcionamiento y su utilidad.
1. Las GPO de inicio (GPO Starter) En las empresas que disponen de una arquitectura compleja, las directivas de grupo forman parte del área técnica de la que se responsabilizan únicamente los administradores de dominio o de la empresa. En cierta manera, tan sólo las personas situadas por encima en la jerarquía informática se ven involucradas en la definición de las políticas de directivas de grupo. Una vez las políticas de directivas de grupo han sido definidas, es necesario implementarlas en la red. Cuando los poderes administrativos se delegan, los administradores delegados tienen la posibilidad, y a veces la responsabilidad, de poner en marcha y mantener las directivas de grupo. En estos tipos de organización, las GPO de inicio son útiles porque permiten crear modelos de estructura de directivas de grupo que servirán como base estructural para las directivas futuras. De esta manera, los responsables de la coherencia entre las políticas de empresa y las directivas de grupo desplegadas proporcionan un modelo a sus subordinados conforme con las normas de la empresa. A partir del modelo GPO de inicio, los administradores delegados disponen de un grado de autonomía que les permite crear y desarrollar la infraestructura con nuevas directivas de grupo. Como conclusión, podemos decir que las GPO de inicio facilitan la cohesión de la infraestructura informática y permiten ganar tiempo.
a. Crear el directorio GPO de inicio Para crear una GPO de inicio, es necesario haber entrado en la consola de administración de directivas de grupo. El contenedor GPO de inicio está visible en la parte izquierda de la GPMC. Existen algunas condiciones técnicas de partida para la creación de un objeto de inicio de GPO. Antes de crear el primer iniciador de GPO, se debe crear el directorio GPO de inicio por primera vez. Para crear el directorio GPO de inicio, haga clic en el contenedor GPO de inicio en la parte izquierda de la pantalla. En la parte derecha de la pantalla, haga clic en el botón Crear carpeta de GPO de inicio.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Cuando se confirma la creación del directorio GPO de inicio éste se sitúa por defecto en la ruta Windows\SYSVOL\domain\StarterGPOs. Cada vez que se cree un nuevo objeto iniciador de directiva, éste se almacenará en el directorio Windows\SYSVOL\domain\StarterGPOs de los controladores de dominio del dominio involucrado. Cada objeto iniciador de directiva tiene asignado un identificador único GUID desde el momento de su creación, al igual que para los objetos ya conocidos de directiva de grupo.
b. Crear un objeto GPO de inicio Una vez se ha creado el directorio de almacenamiento de los iniciadores de directiva, se está preparado para crear un primer objeto GPO de inicio. Para crear una GPO de inicio, despliegue el menú contextual del contenedor GPO de inicio y escoja la opción Nuevo. La ventana de diálogo siguiente le solicita los datos relativos a la GPO de inicio.
Le puede atribuir un nombre y emplear el campo destinado a los comentarios. Tras introducir los datos requeridos, haga clic en Aceptar.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Una vez se ha creado el objeto iniciador de directiva, éste queda disponible en el directorio GPO de inicio de la consola de administración de directivas de grupo. Tras su creación, el objeto existe pero no tiene ningún parámetro configurado de momento. Para configurarlo, es necesario entrar en modo edición y modificar algunos de los parámetros disponibles en el editor de objetos de directiva de grupo. Para editar el iniciador de GPO, despliegue su menú contextual y seleccione la opción Editar (utilice el mismo método que para una GPO normal). Tras editar el objeto iniciador de directiva, comprobaremos que los contenedores de objetos de directiva de grupo raíces son idénticos que los de una directiva normal. Sin embargo, los subcontenedores de los nodos Configuración del equipo y Configuración de usuario son menos numerosos. Efectivamente, tan sólo los contenedores Plantillas administrativas están disponibles para la configuración de un objeto iniciador de directiva.
Recuerde: las GPO de inicio permiten únicamente configurar las Plantillas administrativas.
Los iniciadores de directiva no son sino directivas de grupo en las que únicamente se pueden configurar los objetos parámetros de las plantillas de administración. Si desea ejercitarse en la creación de objetos GPO de inicio, puede usar la sección Administrar las GPO con la consola de administración de directivas de grupo GPMC 2.0, Funcionalidades de la consola GPMC 2.0 de este capítulo para crear un modelo de directiva a su antojo.
c. Iniciar una directiva a partir de una GPO de inicio Cuando el o los modelos de directiva están creados y disponibles para su uso, Ud. puede emplearlos para la creación de directivas de grupo futuras. En ese momento, su estructura está dispuesta a emplear los iniciadores de directiva como modelos de configuración de las nuevas directivas de grupo del dominio. Para arrancar una directiva de grupo a partir de una GPO de inicio, despliegue el menú contextual del objeto GPO de inicio de su elección, en nuestro ejemplo GPO de inicio Empresa_España. Escoja a continuación Nuevo GPO a partir de GPO de inicio.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
En la ventana de diálogo siguiente, introduzca el nombre de la nueva directiva y haga clic en Aceptar. Podemos comprobar que, en el campo GPO de inicio de origen se nos informa del objeto GPO de inicio de origen.
Una vez guardada, la directiva se almacena con las otras GPO del dominio en el contenedor Objetos de directiva de grupo. Funcionalidades como la copia de seguridad, restauración y la delegación de control de los objetos GPO de inicio utilizan los mismos procedimientos que las directivas clásicas. Si desea efectuar una copia de seguridad o restaurar un iniciador de directiva, puede referirse a la sección Administrar las GPO con la consola de administración de directivas de grupo GPMC 2.0, Copia de seguridad y restauración de las directivas de este capítulo. Cuando Ud. decida crear una nueva directiva de grupo, tiene la posibilidad de utilizar la GPO de inicio de origen. Una ventana de diálogo le permite seleccionar un objeto iniciador de directiva origen. Para una mejor comprensión de este proceso, cree una directiva de grupo nueva. En la ventana de diálogo siguiente, escoja la GPO de inicio de origen apropiada.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Haga clic en Aceptar.
d. Intercambiar las GPO de inicio Los objetos iniciadores de directiva de grupo pueden salvaguardarse en un formato de archivo particular. La opción de exportación de las GPO de inicio permite salvaguardar los iniciadores como archivos .CAB (cabinet). Esto permite intercambiar los archivos .CAB entre los diferentes controladores de dominio. Esta funcionalidad es interesante cuando de lo que se trata es de intercambiar archivos .CAB que contengan GPOs de inicio entre los diferentes servidores de dominio. Efectivamente, la replicación del directorio SYSVOL permite la puesta a disposición de los iniciadores sobre todos los controladores de dominio de un mismo dominio.
2. Las nuevas funcionalidades de los filtros Con más de 2400 objetos parametrizables, es imposible conocer de memoria todos los objetos de directiva disponibles. La consola de administración de directivas de grupo ofrece una opción interesante: el filtrado de parámetros. A pesar de su gran utilidad y efectividad, el filtrado de parámetros trae consigo algunos límites a tener en cuenta. En realidad, el filtrado no es posible más que sobre los contenedores Plantillas administrativas de las dos categorías Configuración del equipo y Configuración de usuario.
a. Utilizar los filtros Al configurar una directiva de grupo, el administrador busca los parámetros que se corresponden con las aplicaciones o partes del sistema que desea configurar. En caso de que conciba una directiva adaptada a sus necesidades, pero no esté seguro de que existan los parámetros que le permitan ponerla en práctica, siempre puede contar con la opción de la búsqueda por filtros. Sin embargo, esta función se considera compleja. De entre todas las categorías y opciones de configuración de filtros disponibles, la mayoría no guardan relación con el caso típico de uso de filtros. Para utilizar los filtros es necesario modificar una directiva de grupo existente o crear una nueva. En nuestro ejemplo, emplearemos la directiva de dominio Directiva de seguridad filial. Despliegue el menú contextual de la directiva Directiva de seguridad filial y seleccione la opción Editar. En el Editor de administración de directivas de grupo, despliegue el menú contextual del directorio Plantillas administrativas en la Configuración del equipo o de usuario.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Escoja la función Opciones de filtro.
La ventana de diálogo de configuración de los filtros de búsqueda consta de tres secciones bien diferenciadas: Seleccione el tipo de configuración de directiva que se va a mostrar, Habilitar filtros de palabra clave y Habilitar filtros de requisitos.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Seleccione el tipo de configuración de directiva que se va a mostrar En el campo Administrado, la opción seleccionada por defecto es Sí. En un filtrado típico, se debe cambiar la opción a Cualquiera ya que esto favorece la extensión de la búsqueda y su efectividad. Habilitar filtros de palabra clave El filtrado por palabras clave funciona como todos los motores de búsqueda que utilizan el sistema de palabras clave. Introduzca una palabra que guarde relación con la configuración deseada y espere al resultado de la búsqueda. Recuerde que cuanto más preciso sea, mayores serán las probabilidades de éxito. Habilitar filtros de requisitos Los filtros de condiciones permiten realizar una búsqueda por tipo de plataforma soportada. Esta opción no es de uso obligado para realizar con éxito una búsqueda de parámetros. En el marco de nuestro ejemplo, imaginaremos que ha surgido la necesidad de crear una nueva directiva de grupo. Una parte de los usuarios de la filial Empresa_España son agentes comerciales con desplazamientos habituales. Utilizan sus puestos de trabajo para conectarse a los servidores del Grupo_Empresa desde sesiones de Escritorio remoto. Recientemente se han instalado en el dominio varios servidores dedicados a recibir estas conexiones. Ahora, se necesita configurar los servicios de Escritorio remoto de acuerdo con las normas de la empresa. Con este objetivo, se creará una nueva directiva de grupo llamada Directiva de configuración de servicios
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
RDS. Una vez haya creado y modificado la directiva, haga clic con el botón derecho sobre el directorio Configuración del equipo\Directivas\Plantillas administrativas y escoja Opciones de filtro. Configure los parámetros de filtros según la figura presentada anteriormente y marque la opción Habilitar filtros de palabra clave. Dado que la directiva que queremos crear está relacionada con los servicios RDS (Remote Desktop Services), haremos una búsqueda por palabras clave utilizando los términos Terminal Server en el campo Filtrar por las palabras. Deje la opción Habilitar filtros de requisitos sin marcar y haga clic en Aceptar.
Después de hacer clic en Aceptar, desaparece la ventana de diálogo y aparece el Editor de administración de directivas de grupo. En la parte afectada por la búsqueda, un icono gris en forma de filtro marca el contenedor a partir del cual el filtro está activo. El contenedor Todos los valores contiene todos los parámetros que guardan relación con las palabras clave del filtro. En este ejemplo, aparecerá listado en este contenedor todo componente configurable asociado a los servicios de Escritorio remoto (tan sólo del directorio Plantillas administrativas). De entre los parámetros, será
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
necesario escoger aquellos que correspondan a nuestras expectativas.
3. La utilización de las herramientas de comentarios El uso de los comentarios en informática es un medio de comunicación eficaz. Los desarrolladores son particularmente conscientes de la utilidad de este mecanismo cuando son varias las personas que se van dando el relevo durante el desarrollo de un programa. De la misma forma, los administradores pueden usar los comentarios para administrar la red y mantener la continuidad del servicio. De esta manera los equipos ganan tiempo cuando las personas en posesión de la información requerida no están disponibles o localizables. Por esta razón, y con el objetivo de garantizar la calidad del servicio, hay empresas que estimulan la aplicación de procedimientos estrictos. En esos casos, el añadir comentarios a las nuevas directivad de grupo es parte del trabajo del administrador. Para añadir comentarios, abra en el editor la directiva a comentar y haga clic con el botón derecho sobre la directiva Directiva de configuración de servicios RDS. Se desplegará su menú contextual. En el menu contextual, escoja la opción Propiedades.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
La ventana de diálogo siguiente le ofrecerá, de entre las diferentes opciones, una pestaña Comentario.
Haga clic en la pestaña Comentario e introduzca sus comentarios (véase en la figura un ejemplo de comentarios que pudieran resultar útiles). Se puede constatar la utilidad de los comentarios cuando alguno de los miembros del equipo IT consulta los datos adicionales de la directiva. Efectivamente, con ello quedará informado de forma detallada respecto a la organización y administración de las directivas de grupo de la red.
- 10 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Introducción Antes de la aparición de la consola de administración de directivas de grupo, las GPO se encontraban desperdigadas por toda la red. Cuando los administradores necesitaban localizarlas su única salida era memorizar el lugar de almacenamiento de la directiva en Active Directory, en especial el contenedor concreto al que estuviera vinculada la GPO que se deseaba modificar. Además, la administración de las directivas de grupo desde la versión Server 2000 hasta Server 2008 R2 ha evolucionado constantemente en la dirección de simplificar el trabajo de la administración de redes. Los hitos más notables de esta progresión son la aparición de la GPMC con Server 2003, y ahora con Server 2008 y 2008 R2 la nueva consola GPMC 2.0. En este capítulo estudiaremos una de las mejoras más destacadas de GPMC 2.0 que se denomina Preferencias de directiva de grupo. Las plataformas que soportan esta novedad son Windows XP, Vista y 7 para los puestos de trabajo y Windows Server 2003, 2008 y 2008 R2 para los servidores. Esta herramienta, que ahora es nativa en Windows Server 2008 y 2008 R2 (integrada en la GPMC 2.0), apareció en el mercado de forma independiente. DesktopStandard Corporation fue su creadora, y Microsoft es el dueño actual tras adquirir esta empresa. Microsoft incorporó las preferencias de directiva en Windows Server 2008 y 2008 R2 tras la compra de DesktopStandard. Desde entonces hasta hoy, han sido parte integrante de los parámetros de directivas disponibles en el editor de directivas de grupo. Incluso cuentan con su propio contenedor raíz en el editor de administración de directivas de grupo. Las preferencias de directiva funcionan de manera simple. Los parámetros numerosos y variados que ofrecen para su configuración son el origen de archivos DLL muy poderosos. Efectivamente, permiten configurar parámetros corrientes del puesto de trabajo que hasta ahora no estaban disponibles en los parámetros por defecto de directivas de grupo o plantillas de administración. Para que las preferencias de directiva funcionen correctamente en los puestos de trabajo, éstos deben disponder de una extensión del lado cliente llamada CSE (Client Side Extension). No todas las versiones de Windows incorporan las CSE por defecto. Windows Server 2008, 2008 R2 y Windows 7 son las versiones que disponen de parámetros de preferencias y de extensiones CSE por defecto. Respecto a las otras versiones de Windows, éstas precisan que se instalen las CSE sobre los puestos de trabajo. En este capítulo vamos a explorar las posibilidades y funcionalidades de las preferencias de directivas, cuáles son las diferentes formas de explotarlas y con qué finalidad. Explicaremos, a su vez, quién puede usar las preferencias y qué condiciones técnicas se deben dar para hacerlo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Explorar las preferencias Tras la adquisición de DesktopStandard, Microsoft decidió integrar las preferencias de directivas en el Editor de administración de preferencias de grupo con el fin de facilitar su configuración. Las preferencias disponen de iconos específicos que representan al componente que modifican. El estilo visual de los iconos está basado en el de Microsoft para mantener los hábitos y los puntos de referencia de los administradores. Para visualizar una preferencia de directiva y su contenido, es necesario modificar una GPO existente o bien crear una nueva. En la consola GPMC, cree una nueva directiva de grupo llamada Directiva de preferencias. A continuación, modifique la directiva desde el Editor de administración de directivas de grupo. Observará que los dos contenedores, Configuración del equipo y Configuración de usuario ofrecen un subcontenedor Preferencias. Este directorio contiene los elementos configurables de las preferencias de directivas.
Ambos nodos, Configuración del equipo y Configuración de usuario disponen de dos subcategorías. Estas categorías son el directorio Configuración de Windows y el directorio Configuración del Panel de control. Todos los objetos de parámetros de directivas de preferencias se guardan en estos contenedores. La lista de parámetros disponibles en los nodos Configuración del equipo y Configuración de usuario es diferente. No obstante, la mayoría de los parámetros son comunes a los dos contenedores.
1. Lista de parámetros de preferencias Hay muchas opciones de preferencias disponibles en los nodos Configuración del equipo y Configuración de usuario que son comunes. Ciertas preferencias sin embargo sólo están disponibles en el nodo Configuración de usuario. Para comprender la utilidad de las preferencias de directiva, puede ser interesante enumerar los objetos de directivas que es posible configurar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
No olvide que los parámetros encargados de tener un efecto sobre el equipo y los que lo tienen sobre el usuario, no tienen las mismas funciones.
a. Configuración del equipo Configuración de Windows La siguiente figura muestra una lista de los objetos que Ud. puede parametrizar en la Configuración del equipo.
Hay 16 objetos de preferencias configurables en la Configuración del equipo. Los apartados de este capítulo explican su utilidad y su configuración.
b. Configuración de usuario Configuración de Windows He aquí la lista de parámetros de preferencias disponibles en el nodo Configuración de usuario.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
2. Creación de un objeto de preferencia A la hora de configurar un objeto de preferencia, hay ciertas operaciones que son comunes a cada objeto de los nodos Configuración del equipo y Configuración de usuario. Este capítulo presenta un ejemplo de configuración para cada objeto de preferencias ofrecido por Windows Server 2008 y 2008 R2. Para evitar las repeticiones en las instrucciones de manipulación se presenta a continuación la estructura y la procedimiento común a cada objeto de preferencias.
a. Configuración de un objeto de preferencia Cuando desee crear un parámetro de preferencias, despliegue el menú contextual y haga clic en Nuevo. Según la preferencia que seleccione, podrá escoger entre una o varias categorías de objeto. Cuando la propuesta es múltiple, podrá elegir en función de criterios variables como la versión del sistema operativo objetivo, la configuración de los objetos locales o compartidos o incluso las versiones de las aplicaciones sobre las que se desea que tenga efecto. Para nuestro ejemplo, crearemos un objeto con elección única y un objeto con elección múltiple.
Configuración de un objeto con elección única Abra en modificación la directiva de grupo Directiva de preferencias. Despliegue los subnodos del nodo Configuración del equipo hasta mostrar Preferencias Configuración de Windows. Haga clic derecho sobre el objeto de preferencia Entorno y seleccione Nuevo Variable de entorno.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Configuración de un objeto con elección múltiple Abra en modificación la directiva de grupo Directiva de preferencias. Despliegue los subnodos del nodo Configuración del equipo hasta llegar a Preferencias Configuración del Panel de control. Haga clic derecho sobre el objeto de preferencia Usuarios y grupos locales y seleccione Nuevo Grupo local de entre las dos opciones.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Para facilitar su comprensión, es importante que recuerde que estas operaciones se repiten para cada parámetro de Preferencias.
b. Determinar la acción que la preferencia debe efectuar Para cada objeto de preferencia, deberá definir la acción a realizar sobre los puestos objetivo. Hay cuatro acciones posibles.
Lista de acciones para cada objeto ●
Actualizar un parámetro en el equipo o usuario objetivo.
●
Crear un parámetro en el equipo o usuario objetivo.
●
Reemplazar un parámetro en el equipo o usuario objetivo.
●
Suprimir un parámetro en el equipo o usuario objetivo.
Lista de las funciones de cada objeto ●
Actualizar: modifica un objeto existente en el equipo o usuario objetivo.
●
Crear: permite crear un nuevo objeto en el equipo o usuario objetivo.
●
●
Reemplazar: suprime y recrea un objeto en el equipo o usuario objetivo. Esta función reemplaza todos los parámetros existentes. Suprimir: permite suprimir un objeto existente en el equipo o usuario objetivo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Configuración de los objetos de preferencias El amplio abanico de parámetros de preferencias es suficiente para configurar el entorno de los usuarios y encargarse de la mayor parte de los objetos configurados hoy por los scripts de sesión de usuario. Para comprender mejor el interés y funcionamiento de los parámetros de preferencias, realizaremos un análisis de la función de cada uno de ellos. Esta parte del capítulo está organizada de forma que se eviten las repeticiones debidas a parámetros presentes en las dos categorías, Configuración del equipo y Configuración de usuario.
1. Configuración de las preferencias del contenedor Configuración de Windows a. Parámetros de preferencias comunes a los equipos y a los usuarios Entorno La opción Entorno permite parametrizar nuevas variables de entorno para los usuarios y para el sistema operativo. También es posible reemplazar las variables de ruta por defecto de Windows (System Path). En este ejemplo, crearemos una variable de sistema llamada NewVar que apuntará al directorio C:\NewVar. Cree un nuevo objeto Variable de entorno.
Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Actualizar. Introduzca el nombre de la variable en el campo Nombre (NewVar) y el valor en el campo Valor (C:\NewVar).
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Si activa el casilla PATH, la variable se añadirá como ruta de ejecución.
Archivos La opción Archivos le permite copiar un archivo de una ruta origen a una ruta de destino. Generalmente, esta preferencia se emplea para la copia de uno o varios archivos de la red a un directorio local en un puesto de trabajo. No obstante se puede configurar para copiar un archivo local a otro lugar en el disco local. En este ejemplo, escogeremos un archivo origen situado en el servidor de archivos y un archivo de destino situado en el directorio Temp de la unidad C: de los puestos de trabajo. Cree una nueva preferencia de Archivo. Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Actualizar. Seleccione el o los Archivos de origen así como el Archivo de destino.
Haga clic en Aceptar para terminar. Cuando se aplique la preferencia, el archivo origen Listadepersonal.xlsx del directorio compartido sobre la red sobreescribirá al archivo en local Listadepersonal.xlsx en el puesto de trabajo.
También es posible renombrar el archivo de destino cuando se crea la preferencia.
Carpetas La preferencia Carpetas le permite efectuar operaciones sobre los directorios de los puestos de trabajo. Es posible crear nuevos directorios, reemplazar directorios existentes, suprimir su contenido o el directorio completo. En este ejemplo, borraremos el contenido del directorio C:\Temp sirviéndonos de la acción Reemplazar. Cree una preferencia de Carpetas. - 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Reemplazar. Introduzca la ruta de acceso del directorio involucrado, en este caso: C:\Temp. De entre las opciones adicionales, seleccione las siguientes: Eliminar todos los archivos de las carpetas. Permitir eliminación de archivos o carpetas de sólo lectura. Omitir errores de archivos o carpetas que no pueden eliminarse.
Haga clic en Aceptar para terminar.
Archivos .ini Los archivos INI o INF son archivos de configuración cuya función es almacenar parámetros destinados a modificar la configuración de ciertas aplicaciones o del sistema operativo. Esta preferencia permite crear, reemplazar, actualizar o suprimir un archivo INI o INF en el sistema operativo de los puestos cliente. Es posible crear entradas tanto para un archivo nuevo como para uno existente. En este ejemplo, crearemos una preferencia de directiva cuyo papel será el de actualizar el valor de la propiedad aplname del archivo aplnegocio.ini. Cree una preferencia de Archivos .ini. Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Actualizar. Introduzca valores en los campos requeridos Nombre de sección, Nombre de propiedad y Valor de propiedad que se desea añadir al archivo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Haga clic en Aceptar para terminar.
Registro Este parámetro de los objetos de preferencia es especialmente interesante por su alcance. Efectivamente, permite modificar directamente el registro (registry) de los puestos cliente. Es imprescindible tomar el máximo de precauciones, como para todas las manipulaciones que se hagan sobre el registro. En efecto, cualquier operación descuidada es susceptible de causar un fallo irremediable en el sistema impactado. Cuando se modifica una preferencia de Registro se puede crear una clave nueva, modificar un valor, o suprimir una clave existente. La categoría adicional llamada Elemento de colección permite organizar las modificaciones por grupos. El filtrado tiene efecto a nivel de la colección, ya no es individual para cada modificación de clave. En este ejemplo, mediante una modificación del registro, definiremos el editor HMTL por defecto de la aplicación Internet Explorer.
¡El asistente permite modificar de una sola vez varios valores de un subárbol existente y guardarlo en una colección! Cree un nuevo archivo de registro ayudándose del Asistente para el registro. Cuando se emplea el Asistente, no se requiere ningún tipo de acción para esta directiva. Escoja el origen del que deberá extraerse el valor de registro.
- 4-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Para nuestro ejemplo, escoja Equipo local. Haga clic en Siguiente. Escoja en el registro local la clave que desee extraer y aplicar como preferencia sobre sus puestos de trabajo.
En el registro local, optaremos por el valor de registro que define el editor HTML por defecto de Internet Explorer. Seleccione la clave y haga clic en Finalizar. Ud. puede crear igualmente sus propios valores de registro como preferencias sin ayuda del Asistente para el
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
registro. En ese caso, es necesario dominar los principios de funcionamiento del registro de Windows.
Recursos compartidos de red Esta preferencia le permite compartir automáticamente un directorio con todos los equipos de la red. Es posible definir un límite para el número de accesos simultáneos al directorio compartido (por defecto este valor límite es de 10 para los puestos clientes) o activar o desactivar la función ABE (Access Based Enumeration) para ocultar los recursos compartidos de la red no accesibles a los usuarios. En este ejemplo, crearemos y compartiremos un directorio destinado a los miembros de un comité de empresa. Este directorio compartido se necesita mientras dure la fusión de dos organizaciones en proceso de asociarse. El acceso al directorio deberá estar restringido a los 5 miembros del comité de empresa. Cree un nuevo objeto de preferencia Recursos compartidos de red. Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Crear. Introduzca el Recurso compartido, seleccione la Ruta de acceso a la carpeta (directorio a compartir) y añada comentarios si fuese necesario.
Haga clic en Aceptar.
Accesos directos La preferencia Accesos directos permite crear accesos directos en el Escritorio a aplicaciones en los puestos objetivo. En este ejemplo, crearemos un acceso directo a la aplicación de negocio de los miembros del servicio de diseño gráfico en tres dimensiones. La aplicación se llama Design3D y debe estar accesible desde el Escritorio de los - 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
usuarios. Cree un nuevo objeto de preferencia Accesos directos. Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Crear. Escoja el Nombre y Ubicación de destino para el acceso directo y el Tipo de destino entre las diferentes opciones. Determine, a continuación, la Ruta de destino y los Argumentos del objeto, si los necesita. En la última sección, introduzca el directorio de arranque de la aplicación, un método abreviado de teclado si aplica, el tamaño de la ventana, un comentario así como la ruta de acceso a la imagen del icono.
Haga clic en Aceptar.
b. Parámetros de preferencias de los usuarios Aplicaciones Este objeto de preferencia permite configurar rápidamente aplicaciones Microsoft tales como el paquete Office, Outlook 2003 y 2007, Microsoft Visio o Project... El objeto de preferencia existe por defecto en la configuración de Windows Server 2008 pero su uso requiere que se instalen previamente las correspondientes extensiones de las aplicaciones.
Asignaciones de unidades Ya no es necesario modificar continuamente los scripts de inicio de sesión para asignar las nuevas unidades de lectura a los usuarios. Con esta preferencia es posible conectar y desconectar los volúmenes de red, y asignarles una letra de unidad de lectura.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
En este ejemplo, crearemos y daremos acceso a un volumen de red destinado a almacenar los archivos públicos de la empresa. El volumen se debe crear en el servidor de archivos, y la unidad debe tener asignada la letra P. Cree un nuevo objeto de preferencia Unidad asignada. Escoja el tipo de acción a efectuar. En nuestro caso, escoja Crear. Configure el volumen de red al que desea dar acceso con los parámetros adecuados. Si así lo desea, puede asignar una cuenta de usuario específica para conectarse al volumen. También puede personalizar las opciones de visualización de la unidad en el explorador de Windows objetivo.
Haga clic en Aceptar.
2. Configuración de las preferencias del contenedor Configuración del panel de control a. Parámetros de preferencias comunes a los equipos y a los usuarios Orígenes de datos El uso de bases de datos de tipo SQL Server, Oracle, Access, Excel y archivos CSV requiere la configuración de los correspondientes orígenes de base de datos. Esta preferencia permite configurar el origen de datos para una aplicación específica y escoger si se desea aplicar esta parametrización al sistema o a los usuarios, en función de lo que se necesite. En este ejemplo, actualizaremos la fuente de datos MS Access Database en el sistema objetivo. Supondremos que, al haber cambiado la contraseña de la cuenta AdminMDB, los equipos ya no tienen la autorización para conectarse a la base de datos Access. Cree un nuevo objeto de preferencia Origen de datos. Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Actualizar.
- 8-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Escoja el Nombre origen datos (DSN) y el Controlador que le corresponde utilizar de entre los disponibles. En este ejemplo, elegiremos MDB para las bases de datos Microsoft Access. En la sección correspondiente, tendremos que designar, a su vez, una cuenta (con su contraseña) con los permisos necesarios para realizar las conexiones.
Haga clic en Aceptar.
Dispositivos Es posible activar o desactivar ciertos dispositivos empleando una preferencia de directiva. Es posible desactivar un objeto de forma unitaria, o bien una clase de objetos. En este ejemplo, desactivaremos la clase de dispositivo del sistema de audio con el objetivo de impedir el funcionamiento de dispositivos de audio en los puestos cliente. No se podrá escuchar música sobre los puestos impactados por esta preferencia. Cree un nuevo objeto de preferencia Dispositivo. Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione No usar este dispositivo (deshabilitar).
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 9-
La ventana de diálogo Dispositivo parece mostrarse de forma errónea. En efecto, los botones de selección de Acción y de Clase de dispositivo no aparecen por completo. Para escoger la Acción, es necesario hacer clic en el campo directamente y para acceder al menú Clase de dispositivo, es necesario hacer clic en la parte del botón que se muestra. Escoja la Clase de dispositivo o el dispositivo individual que desee activar o desactivar.
Cuando haya escogido, haga clic en Seleccionar.
- 10 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Haga clic en Aceptar.
Opciones de carpeta La preferencia Opciones de carpeta del nodo Configuración del equipo permite asociar una extensión de nombre de archivo a un programa específico en Windows. Se puede igualmente asociar una extensión de archivo a una clase específica de archivo. En este ejemplo, crearemos una preferencia Opciones de carpeta que tendrá como objetivo asociar los archivos de imagen PNG con el programa Paintbrush de Windows. Cree un nuevo objeto de preferencia Opciones de carpeta Tipo de archivo. Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Actualizar. Introduzca el valor para Extensión archivo que desee asociar y el programa (Clase asociada) al que quedará asignado.
Haga clic en Aceptar.
Usuarios y grupos locales Este parámetro de directiva es de interés para todos los miembros del departamento informático. Gracias a las preferencias de directiva, es factible ahora modificar las cuentas locales de los puestos de trabajo. Renombrar, suprimir o modificar las autorizaciones de las cuentas locales de administradores o usuarios, cambiar la contraseña, incluso crear cuentas suplementarias, son desde ahora tareas sencillas. Las operaciones como la creación o supresión de los grupos locales, la adición o supresión de miembros de diferentes grupos locales son, igualmente, posibles. En este ejemplo, crearemos una cuenta de administrador local sobre los puestos de trabajo que servirá a los equipos técnicos durante una migración. El proyecto de migración debe haber concluido para finales de abril,
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 11 -
por lo que la cuenta está previsto que expire el 30/04/2013. Cree un nuevo objeto de preferencia Usuario local. Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Crear. Introduzca los datos de identificación de la cuenta así como la Contraseña correspondiente. Configure a continuación las opciones de la cuenta según sus necesidades.
Haga clic en Aceptar.
Opciones de red Esta preferencia es interesante para las organizaciones en las que los usuarios externos disponen de una configuración específica. Tanto más cuando, con mucha frecuencia, estas configuraciones son específicas y están securizadas, ya que deben dar acceso a la red local desde el exterior de la empresa. Las opciones de red le facilitan la tarea cuando se trata de crear y desplegar conexiones VPN (Virtual Private Network) o DUN (Dial Up Network). Entre los parámetros, es posible configurar las opciones de rellamada, el número de reintentos de conexión antes de abandonar, así como el intervalo entre éstos. La parte Seguridad le permite administrar los parámetros necesarios para la autentificación. Puede escoger entre protocolos estándar o protocolos avanzados en los que el nivel de seguridad es más elevado. En este ejemplo, crearemos una conexión VPN para los usuarios externos de la red. Cree un nuevo objeto de preferencia Opciones de red y escoja Conexión VPN. Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Crear. A continuación, configure los parámetros de conexión en función de su red.
- 12 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Haga clic en la pestaña Opciones.
Configure las opciones de llamada y rellamada para los reintentos de conexión VPN. Haga clic en la pestaña Seguridad para configurar las opciones de cifrado de datos, si es necesario.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
Haga clic en Aceptar.
Opciones de energía Sobre este objeto es posible encontrar numerosos artículos en varios sitios de internet especializados. Su tema central es ofrecer la configuración de las opciones de alimentación y su despliegue mediante directivas de grupo con el objetivo de reducir el consumo energético de la empresa. En primer lugar, es importante señalar que esta preferencia esta prevista para que funcione con Windows XP únicamente. Además, la preferencia de directiva Opciones de energía se divide en dos categorías distintas. En efecto, Ud. tiene posibilidad de gestionar independientemente las opciones de alimentación y el modo de gestión de la alimentación. Windows proporciona un cierto número de perfiles por defecto del modo de gestión de la alimentación. Si no son los que Ud. necesita, puede crear unos nuevos más adaptados a las necesidades de su organización. Finalmente, también tiene la posibilidad de configurar opciones de seguridad tales como la petición de contraseña tras el modo de espera de los puestos y la habilitación de la hibernación. En este ejemplo, configuraremos las opciones de alimentación de los puestos de trabajo y, a continuación, su modo de gestión. Escogeremos una configuración personalizada para las opciones de modo de espera, para seguir las normas de nuestra empresa. Cree un nuevo objeto de preferencia Opciones de energía (Windows XP). Marque las opciones Solicitar contraseña cuando el equipo se active tras el modo de espera y Habilitar hibernación. Escoja las opciones: Modo de espera Cuando cierre la tapa del equipo portátil, Preguntarme qué hacer Cuando presione el botón de encendido del equipo y Modo de espera Cuando presione el botón de suspensión del equipo.
- 14 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Haga clic en Aceptar. Ahora, configuraremos la preferencia Combinación de energía para definir en qué casos se debe activar el modo de espera. Cree un nuevo objeto de preferencia Combinación de energía (Windows XP). Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Actualizar. A continuación, defina el perfil que desea configurar con los intervalos de tiempo más convenientes para su organización.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 15 -
Haga clic en Aceptar. Atención, las opciones de alimentación tan sólo funcionan sobre sistemas operativos Windows XP.
Impresoras Las impresoras generalmente dan mucho trabajo a los equipos técnicos. Las necesidades de instalación o reinstalación de impresoras locales o compartidas en la red dan pie a numerosos desplazamientos. En su mayor parte, las intervenciones relacionadas con la instalación de impresoras o la actualización de sus controladores tienen lugar directamente sobre los equipos. Ahora, se puede emplear Windows Server 2008 y las preferencias de directiva para instalar impresoras locales o en red y desplegarlas desde la consola de administración de directivas de grupo. Esto permite evitar el uso de scripts y ofrece la posibilidad de realizar todas las operaciones desde los servidores. En este ejemplo, configuraremos una impresora de red que utiliza el protocolo TCP/IP para desplegarla sobre los puestos de trabajo de los diferentes departamentos que la emplearán. Cree un nuevo objeto de preferencia Impresoras y escoja Impresora TCP/IP para instalar una impresora de red. Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Crear. Indique la Dirección IP de la impresora, introduzca su nombre así como su ruta de acceso en red. Las secciones Ubicación y Comentario se pueden utilizar para localizar la impresora rápidamente.
- 16 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Para configurar las opciones relativas al puerto empleado por la impresora, haga clic en la pestaña Configuración de puerto.
Es posible escoger el protocolo utilizado por la impresora, así como el número de puerto. También se dispone de configuración para la gestión de colas y SNMP. Haga clic en Aceptar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 17 -
Después de varias pruebas realizadas en empresas, se puede concluir que este parámetro, si está permanentemente activado, puede ralentizar considerablemente los inicios de sesión.
Tareas programadas Este parámetro de preferencia permite crear tareas programadas o tareas urgentes, para las que la ejecución debe ser inmediata. Las opciones de las tareas programadas le permiten definir las fechas y horas a las que se deben ejecutar y asociarlas con las aplicaciones que permiten su ejecución. En este ejemplo, crearemos una tarea programada asociada a un script de ejecución cuya función es eliminar los archivos de log de una aplicación de negocio. Cree un nuevo objeto de preferencia Tarea programada y escoja la creación de una Tarea programada. Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Crear. Introduzca los parámetros de configuración de la tarea, su nombre, el script o la aplicación que debe arrancar, en que ruta, así como las autorizaciones necesarias para su ejecución.
Haga clic en la pestaña Programar para configurar los parámetros de la planificación. Defina la frecuencia de ejecución de la tarea y la hora a la que debe comenzar.
- 18 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Es posible configurar opciones complementarias en la pestaña Configuración si se desea aumentar el nivel de control sobre la tarea programada.
Haga clic en Aceptar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 19 -
Servicios Esta preferencia elimina la necesidad de scripts o del uso de la consola de recuperación para gestionar los servicios sobre los puestos de trabajo y los servidores. Ahora, es posible modificar las propiedades de los servicios escogiendo entre sus posibilidades de configuración, como pueden ser el tipo de arranque y de acción a realizar, y la cuenta que permite ejecutar las operaciones programadas. Es posible definir las configuraciones por defecto de los servicios y actualizar los puestos de trabajo con las preferencias de directiva. Además, puede resolver incidencias sobre la red, por ejemplo en las que un servicio se ve esporádicamente interrumpido sobre un conjunto de equipos. En este ejemplo, crearemos una preferencia de directiva de Servicios con el objetivo de desactivar el Terminal Server sobre ciertos puestos del dominio a los que el acceso está fuertemente restringido. Cree un nuevo objeto de preferencia Servicio. Escoja la forma de Inicio. En nuestro caso, seleccione Deshabilitado.
Haga clic en el botón al lado del campo Nombre de servicio para seleccionar el servicio que será desactivado.
- 20 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Una vez elegido el servicio, haga clic en Seleccionar. Haga clic en Aceptar.
b. Parámetros de preferencias de los usuarios Opciones de carpeta Los parámetros disponibles en esta preferencia permiten modificar las opciones de los directorios igual que con el menú ofrecido por el explorador de Windows. Se puede configurar la forma en que los directorios se muestran y organizan así como el nivel de detalle de los datos sobre los directorios y los archivos. En este ejemplo, escogeremos mostrar la ruta completa en la barra de título, mostrar los directorios ocultos y no mostrar las extensiones de los archivos de los que se conoce el tipo.
Atención: esta preferencia sólo es de aplicación en las versiones XP y Vista de Windows. Cree un nuevo objeto de preferencia Opciones de carpeta (Windows Vista). Modifique las opciones que le interesen en función de las necesidades de los usuarios.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 21 -
Haga clic en Aceptar.
Configuración de Internet Actualmente, Internet Explorer es el navegador empleado por defecto en gran número de empresas. La aplicación contiene numerosas opciones de configuración. En esta preferencia de directiva, los parámetros disponibles varían en función de las versiones de Internet Explorer instaladas. Por ejemplo, se tiene la posibilidad de configurar las zonas de seguridad, los sitios de confianza, o también activar los filtros antipopup y antiphishing. En este ejemplo, configuraremos la página de inicio por defecto así como el nivel de seguridad de la Zona Internet. Escogeremos la configuración de Internet Explorer 7 frente a la de las versiones 5 y 6 que están igualmente disponibles. Cree un nuevo objeto de preferencia Configuración de Internet y escoja Internet Explorer 7. Defina las opciones de Internet Explorer que desee activar sobre los puestos de trabajo y configure los parámetros de las pestañas que necesite. En nuestro caso, introduzca la URL por defecto para la página de inicio de los usuarios.
- 22 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
A continuación haga clic en la pestaña Seguridad y configure el nivel de seguridad de la Zona de Internet. En nuestro caso, el nivel de seguridad será Alto.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 23 -
Haga clic en Aceptar.
Configuración regional Este parámetro de preferencia le permite definir el idioma por defecto utilizado en el sistema operativo objetivo. La elección de país tiene un impacto sobre el formato con que se muestra la hora, las cifras, la fecha, las monedas y también el idioma del teclado. Existe la posibilidad de definir el país para que queden definidos automáticamente el resto de parámetros. Pero, si lo desea, también puede definir los valores de las otras pestañas de forma manual. En este ejemplo, crearemos un parámetro de preferencia Configuración regional cuya configuración estará basada en el país España. Modificaremos los parámetros de la pestaña Moneda para cambiar la moneda de euro a dólar. En efecto, los usuarios del departamento de Importación están constantemente realizando transacciones con Estados Unidos y compran su mercancía en dólares. Cree un nuevo objeto de preferencia Configuración regional. Configure las opciones regionales respecto a todos los criterios disponibles según sus necesidades. En nuestro caso, defina el país en la pestaña Configuración regional para que sea Español (España, internacional).
- 24 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Ahora, modificaremos la moneda empleada. Haga clic en la pestaña Moneda.
Haga clic en Aceptar.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 25 -
Menú Inicio Esta preferencia le permite configurar el menú Inicio. En primer lugar, puede escoger entre el menú de Windows XP y el de Windows Vista. Además, le permitirá crear los accesos directos que estime oportunos y que estarán solos en la barra de tareas del menú Inicio de Windows. Puede configurar el menú Inicio de los usuarios de forma personalizada y a imagen de su empresa. En este ejemplo, escogeremos un menú Inicio simplificado para los usuarios de la red. Cree un nuevo objeto de preferencia Menú Inicio y escoja el Menú Inicio Windows Vista.
Haga clic en Aceptar.
3. Las opciones de la pestaña Comunes Como habrá podido observar, cada una de las preferencias tiene una pestaña común llamada Comunes. Todas las opciones disponibles en el interior de esta pestaña son las mismas para cada objeto. En la siguiente figura la ventana de diálogo muestra las opciones de la pestaña Comunes seguidas de un texto descriptivo detallado para cada parámetro.
- 26 -
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Detener procesam. elementos en extensión si se produce un error Ya hemos visto que es posible efectuar varias acciones desde una misma GPO. Se impone la puesta en marcha de un sistema de gestión de errores. Si la primera acción de la GPO crea una nueva cuenta de usuario, la segunda modifica la contraseña, y la tercera y última añade la cuenta a un grupo, parece evidente que las dos últimas acciones tan sólo se pueden ejecutar si la cuenta ha sido creada con éxito. Seleccionando esta opción, el proceso de aplicación de los parámetros de la GPO se interrumpirá en caso de error. Se pasará a analizar la directiva siguiente. Ejecutar en contexto seg. usuario con sesión iniciada (dir. usuarios) La cuenta empleada por defecto para las preferencias de directiva es la cuenta Local System. Al seleccionar esta opción, las preferencias de directivas emplearán las credenciales de la cuenta de usuario. Quitar este elemento cuando ya no se aplique Esta opción permite suprimir los objetos creados por las preferencias de directiva cuando ya no están activos. Aplicar una vez y no volver a aplicar Seleccione esta opción si desea aplicar la directiva una sola vez. Por defecto, las directivas de preferencia se aplican cada 90 minutos, igual que las directivas de grupo normales. Destinatarios de nivel de elemento Establezca de forma precisa a qué usuarios y a qué equipos desea aplicar las preferencias. Active esta opción en primer lugar, después haga clic en el botón Destinatarios para escoger el destino de cada elemento gracias al Editor de destinatarios.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 27 -
4. Las opciones de objetos de preferencias existentes Cada parámetro de preferencia, ya sea recién creado o existente, dispone de ciertas opciones en el Editor de administración de directivas de grupo. Es posible efectuar operaciones tales como mostrar los datos del objeto en formato XML, exportar la lista a archivo de texto, o activar/desactivar objetos. Una vez se ha creado un objeto preferencia en el Editor de administración de directivas de grupo, seleccione el objeto en la parte derecha de la pantalla.
Tras efectuar la selección, la barra de menú situada encima y a la izquierda del objeto permite efectuar las operaciones siguientes:
- 28 -
●
Cortar, pegar, eliminar y modificar las propiedades de un objeto.
●
Imprimir y actualizar el objeto.
●
Exportar la lista de objetos a un archivo de texto.
●
Mostrar los datos XML de un objeto.
●
Desactivar o activar un objeto.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Arquitectura y funcionamiento de las preferencias de directiva Los apartados anteriores ponen de relieve que las preferencias de directiva son una de las principales innovaciones de Windows Server 2008 y 2008 R2. La configuración de estas directivas se define sobre los servidores o los puestos de administración que disponen de los componentes objetos de preferencias. Las modificaciones y las parametrizaciones se aplican sobre los puestos de trabajo cuando éstos disponen de las CSE (Client Side Extensions) de Windows. Es interesante recordar la composición básica de las extensiones del lado cliente que permiten ejecutar las peticiones de modificación de parámetros requeridos por las preferencias de directiva. Las CSE se apoyan sobre archivos DLL muy potentes capaces de tratar los cambios de configuración que las preferencias comportan.
1. Administrar las preferencias Para aplicar correctamente las preferencias de Windows Server 2008 y 2008 R2, un puesto de trabajo debe disponer de las CSE. En el momento actual, de las diferentes versiones de Windows anteriores a Windows 2008 y Vista ninguna incluye por defecto ni los componentes, ni las extensiones del lado cliente. Los sistemas que permiten la creación y la implementación de preferencias de directiva son necesariamente Windows Server 2008 o Windows Vista como estación de administración. Los componentes de preferencias se suministran con Windows Server 2008 y 2008 R2, tan sólo se precisa la instalación adicional del objeto Applications. Si los administradores desean administrar tanto las directivas de grupo como las preferencias desde un puesto Windows Vista o 7, es preciso que instalen los componentes adicionales que permiten realizar dichas operaciones.
2. Aplicar las preferencias Una vez se han definido y desplegado las preferencias, es necesario configurar los puestos clientes objetivo. Las preferencias de directiva de grupo tienen una serie de requisitos previos para poder funcionar sobre los puestos de trabajo. Ésta es la lista de los diferentes sistemas operativos con la configuración mínima requerida para procesar las preferencias:
●
Windows XP con Service Pack 2 instalado
●
Windows Server 2003 con Service Pack 1 instalado
●
Windows Vista con las CSE
●
Windows Server 2008
●
Windows Server 2008 R2
●
Windows 7.
3. Instalación de las extensiones del lado cliente sobre los equipos Para tener una visión de contexto sobre el modo de funcionamiento de las preferencias de grupo, recordaremos que éste consta de dos fases diferenciadas. La primera fase consiste en crear y configurar los objetos de preferencias sobre los servidores o los puestos de administración que dispongan de las herramientas adecuadas. La segunda fase consiste en aplicar estas parametrizaciones sobre los puestos de la red. En efecto, los equipos objetivo deben tener la capacidad para procesar las preferencias de directiva y para aplicar las modificaciones que éstas aportan. En este caso, todos los puestos objetivo tienen la obligación de disponer de las extensiones © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
del lado cliente.
a. Windows Server 2008 y 2008 R2 Windows Server 2008 y 2008 R2 están equipados por defecto con los componentes necesarios para el funcionamiento de las preferencias de directiva.
b. Windows Server 2003, Windows XP Para que Windows Server 2003 y Windows XP puedan aplicar las preferencias de la directiva, es imprescindible instalar las CSE sobre los equipos. En estas versiones de Windows es obligatoria la instalación de XMLlite previamente a la aplicación de los parches de preferencias. Podrá localizar los archivos de instalación en el sitio de Microsoft (http://www.microsoft.com) con la ayuda de su motor de búsqueda.
c. Windows Vista Windows Vista tan sólo requiere la descarga e instalación del parche .MSU (MicroSoft Update patch) desde el sitio de Microsoft. De esta forma, dispondrá de las extensiones del lado cliente para aplicar las preferencias.
d. Windows 7 Windows 7 no precisa de ninguna instalación suplementaria para poder procesar las preferencias.
e. Instalación de las CSE Las extensiones del lado cliente están contenidas en archivos ejecutables .EXE o .MSU. No es posible desplegarlos de forma masiva mediante directivas de grupo. Existe la posibilidad de utilizar un servidor WSUS (Windows Server Update Services) o una herramienta equivalente si la instalación manual no es posible. De no ser así, deberá realizar las instalaciones una a una sobre cada puesto cliente en el que desee poder aplicar las preferencias de directiva.
4. Gestionar los componentes de preferencias sobre los puestos de administración En este momento, los puestos clientes estarían listos. La elección de emplear una estación de administración de Windows Vista o 7, o directamente uno de los servidores para administrar e implementar las directivas de grupo forma parte de la política de empresa. Generalmente son los administradores quienes deciden cuáles son los medios técnicos más eficaces para administrar la red.
a. Administrar las preferencias de directiva desde un equipo Windows Vista o 7 Si ha escogido un puesto de trabajo para administrar las directivas de grupo, hay que configurarlo en consecuencia. Los componentes relacionados con las preferencias de directiva se instalan en dos tiempos:
●
●
- 2-
El paquete RSAT (Remote Server Administration Tool) está disponible para su descarga en el sitio de Microsoft. Contiene los principales componentes de las preferencias de directivas. Una herramienta adicional está igualmente disponible para su descarga en el sitio de Microsoft. Se trata del objeto de preferencia Aplicaciones que permite gestionar diferentes aplicaciones publicadas por Microsoft.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
b. Administrar las preferencias de directiva desde un servidor Windows Server 2008 o 2008 R2 Recuerde que los componentes de preferencias de directiva se suministran por defecto con Windows Server 2008 y 2008 R2. Los parámetros de preferencias están disponibles a través de la GPMC en los directorios Preferencias de los nodos Configuración de equipo y usuario. Nos centraremos en el nodo Configuración de usuario Preferencias Configuración de Windows. Este contenedor dispone del objeto de preferencia Aplicaciones, pero hay un detalle sutil a tener en cuenta. Efectivamente, le será posible crear este objeto, pero éste será inutilizable porque la ventana de diálogo no le permitirá seleccionar una aplicación en particular. Esta particularidad tiene su razón de ser en motivos legales difícilmente comprensibles. No obstante, es posible descargar el componente Aplicaciones (archivo DLL) desde el sitio de Microsoft e instalarlo siguiendo las instrucciones.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Enlaces y descarga Este enlace le permitirá acceder a la descarga de las extensiones del lado cliente para Vista: http://www.microsoft.com/downloads/details.aspx?FamilyID=ab60dc87884c46d582cd f3c299dac7cc&DisplayLang=es
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Conclusión y comentarios Las preferencias de directiva pueden considerarse una de las novedades más notables de Windows Server 2008 y 2008 R2. Desde su aparición hasta la fecha, el funcionamiento de las directivas de grupo ha sufrido muchas modificaciones. Algunas están relacionadas con su funcionamiento, otras con los parámetros de objetos disponibles y con las formas de aplicarlos en Active Directory. Las preferencias de directiva pueden verse como un resumen de las principales opciones de configuración de los perfiles de usuario de los puestos de trabajo en una red empresarial Microsoft. Las preferencias reemplazan la mayor parte del contenido de los scripts de inicio de sesión y de las parametrizaciones de los perfiles de usuario. Familiarizándose con las herramientas de preferencias de directivas y utilizándolas de manera óptima, se aligeran de forma considerable las tareas de administración de redes. No siempre es sencillo elegir entre usar las preferencias o usar las directivas de grupo. Como elementos a considerar en nuestra decisión, compararemos de forma noexhaustiva los modos de funcionamiento de cada una de las dos opciones. En primer lugar, las preferencias de directiva funcionan de forma diferente a las directivas de grupo normales. En efecto, podrá darse cuenta de que su apariencia en la consola de administración de directivas de grupo es diferente de la de las GPO estándar. Los iconos empleados, y la disposición de los diferentes objetos no se han concebido para que se correspondan con los otros tipos de parámetros del editor de administración de las directivas de grupo. Les preferencias de directivas constituyen una entidad autónoma considerada como una parte del sistema de administración de las políticas de directivas de grupo. Recordemos que los parámetros de preferencias se encuentran accesibles en el mismo lugar que los de las GPO. No obstante, sus funcionamientos respectivos son ligeramente diferentes. En efecto, cuando un parámetro de directiva de grupo se define y aplica sobre un puesto de trabajo, la sección del registro del equipo cliente impactada por la modificación de configuración queda protegida. Lo que esto quiere decir es que un usuario no tiene posibilidad de modificar el registro manualmente de tal forma que elimine los efectos de la directiva de grupo sobre su puesto. Los accesos a las claves del registro de las directivas de grupo quedan bloqueados para impedir la anulación de la aplicación de los parámetros por parte de los usuarios. Una vez escrito en el registro, un parámetro de configuración aplicado mediante una GPO queda inaccesible para los usuarios, salvo que dispongan de los permisos necesarios. Las preferencias tienen un funcionamiento algo distinto. De hecho, las preferencias no guardan sus parametrizaciones en las claves del registro (Policies keys) bloqueadas por el sistema operativo. Las aplicaciones impactadas por los parámetros de preferencias obtienen los datos de configuración de otro emplazamiento del registro, en el que los accesos no están restringidos.
Si las claves del registro correspondientes a parametrizaciones de preferencias estuviesen guardadas en el mismo sitio que las claves de registro de los parámetros de directiva de grupo, las preferencias sencillamente no podrían funcionar en los puestos de trabajo.
Por tanto, los archivos que contienen las configuraciones y parametrizaciones de preferencias pueden ser modificados y eliminados de los puestos de trabajo por parte de los usuarios. En Active Directory, cuando se mueve un objeto usuario o equipo de una unidad organizativa a otra, los parámetros de preferencias permanecen activos en el equipo. En efecto, las preferencias quedan registradas en el sistema cliente, donde persisten a pesar de esa modificación. Sin embargo, en el caso de una eliminación de una clave de registro que contenga un parámetro de preferencia,
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
éste será reescrito en el momento en que se aplique la directiva de grupo que lo contiene. Además, los parámetros de preferencias se aplican con la misma frecuencia y al mismo tiempo que los de las directivas de grupo. Si un usuario ha modificado uno de los parámetros aplicados como preferencia, éste se realineará automáticamente con la directiva desplegada en cuanto ésta se vuelva a aplicar. Por ejemplo, imaginemos una preferencia de directiva cuyo papel sea crear el acceso a un volumen compartido en la red en el puesto de trabajo de un usuario. Y que el usuario, intencionadamente o no, desconecta la unidad asociada. En ese caso, en la siguiente aplicación de las directivas de grupo y de las preferencias, la unidad de red se reconectará automáticamente en el perfil del usuario. Existen diferentes maneras de aplicar los parámetros de preferencias, según se ha visto en la sección Configuración de los objetos de preferencias Las opciones de la pestaña Comunes. Hemos constatado que ciertos parámetros de GPO y de preferencia se refieren a los mismos objetos. También, durante la administración, nos pueden surgir dudas sobre si se debe parametrizar cierto objeto con los objetos de parámetros de directivas de grupo estándar, o con los de las preferencias. Aunque hay similitudes, son más las diferencias. Así, los parámetros de directiva vendrían a complementar las funcionalidades de sus homónimos disponibles en las directivas de grupo. Es primordial recordar que las preferencias actúan como parametrizaciones personalizadas con el objetivo de mejorar el día a día de los usuarios. Son diferentes en cuanto a su propósito y funcionamiento de las políticas de directiva aplicadas. Los parámetros y opciones sobre los que las preferencias actúan pueden modificarse por parte de los usuarios. Los parámetros de directiva definidos por las directivas de grupo son algo impuesto, que los usuarios no pueden modificar. Las GPO estándar tienen un carácter obligatorio mientras que las preferencias se parecerían más a sugerencias. En caso de conflicto entre una directiva de grupo y una preferencia de directiva, es la directiva de grupo la que resulta efectiva.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Introducción En las versiones anteriores a Windows Server 2008/2008 R2 y Vista/7, los archivos ADM eran la base de las plantillas administrativas configurables en las directivas de grupo. Los modificaciones de los valores del registro hechas mediante los archivos ADM tenían una sintaxis difícil de comprender y modificar. Cuando los administradores querían personalizar valores de registro adicionales a los que Windows proporciona por defecto (los archivos ADM estándar), era preciso crear un archivo ADM personalizado, lo que requería el aprendizaje de la sintaxis de su lenguaje de programación. Un archivo ADM quedaba almacenado en el directorio de la directiva de grupo en el que se creaba, con lo que añadía al tamaño de este directorio unos 4 MB. La replicación de los controladores de dominio se veía sensiblemente ralentizada por este comportamiento, generando un problema comúnmente conocido como Sysvol bloat. A partir de Windows Server 2008 y Windows Vista, aparece una novedad en el ámbito de la gestión de las plantillas administrativas: los archivos con formato ADMX y ADML. Los archivos ADMX son los sucesores de los archivos ADM presentes en las versiones anteriores de Windows. Es en estos archivos, programados en lenguaje XML, en los que se basan las opciones que componen las plantillas administrativas. Al igual que los archivos ADM, los formatos ADMX afectan a la configuración del registro de los puestos objetivo. Las modificaciones de los objetos de directiva de grupo se realizan desde la interfaz de la consola de administración de directivas de grupo, de forma idéntica a como se configura una GPO estándar. Los archivos ADMX definen los parámetros de registro que serán activados, desactivados o modificados en los puestos de trabajo objetivo. Para profundizar en la gestión y la depuración de las directivas de grupo es preciso estudiar la estructura de los archivos ADMX. La administración de las directivas de grupo adquiere así una dimensión más amplia. En este capítulo presentaremos los formatos de archivo ADMX, ADML y compararemos sus funcionalidades con las de sus predecesores. Para terminar, daremos un repaso a las diferentes herramientas adicionales, como el ADMX Migrator.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Los archivos ADM y ADMX Los archivos ADM tienen como objetivo generar las modificaciones de registro requeridas para la parametrización de las plantillas administrativas en las directivas de grupo. Su gestión individual representa mucho trabajo para los administradores si debe identificar uno, localizarlo y después replicarlo sobre los puestos de trabajo. Los archivos ADMX son los sucesores de los archivos ADM, su estructura ha cambiado así como sus métodos de gestión.
1. Los entornos mixtos Se puede plantear el uso sobre un entorno mixto de las nuevas funcionalidades proporcionadas por Windows Server 2008 y 2008 R2 para la gestión de las directivas de grupo. No obstante, es importante saber que el único medio de aprovechar todas las nuevas funcionalidades de Windows Server 2008 y 2008 R2 es migrar todos los puestos de trabajo hasta, como mínimo, Windows Vista, o cualquier versión posterior. En efecto, un gran número de los parámetros nuevos está previsto para que funcione con un nivel funcional de dominio Server 2008 o 2008 R2. Además, la mayor parte de las nuevas funcionalidades aportadas por la GPMC 2.0 sólo se pueden explotar si los puestos cliente están en Vista o 7, como mínimo. Windows Vista y 7 contienen cerca de 700 objetos de directiva para parametrizar, mientras que Windows XP tan sólo posee 200. Cuando un administrador modifica o crea una directiva de grupo, los parámetros disponibles en el contenedor Plantillas administrativas en los nodos Configuración del equipo y Configuración de usuario se reparten entre aquellos que aplican para Vista o 7 y aquellos que aplican para las versiones anteriores. En un entorno que incluya versiones mixtas de Windows, la parametrización de las GPO, en particular de las plantillas administrativas, se deberá hacer en función de las versiones de Windows.
La consola de administración de directivas de grupo de Windows Server 2003 no contiene los mismos parámetros que la GPMC 2.0 (Windows Server 2008 y 2008 R2). Ciertas novedades solo están accesibles con Windows Server 2008 y 2008 R2.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
ADMX y ADML Los archivos ADMX son los elementos que contienen los parámetros de directiva por definir en la consola de administración de directivas de grupo bajo el nodo Configuración del equipo y de usuario Plantillas administrativas. Cada archivo ADMX se corresponde con un parámetro de directiva para una aplicación específica. Los archivos ADMX que contienen los parámetros de configuración del registro se almacenan en el directorio % systemroot%\PolicyDefinitions (C:\Windows\PolicyDefinitions) de los controladores de dominio y de los puestos de trabajo.
Cada archivo ADMX implica la creación de un archivo ADML. Los archivos ADML se almacenan en las subcategorías del directorio principal de destino C:\Windows\PolicyDefinitions, en el directorio del idioma correspondiente (es ES para el español).
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
En las versiones anteriores de Windows, los archivos ADM no tenían en cuenta el idioma. Ahora, los archivos ADMX cuentan con su archivo ADML que especifica el idioma. Las plantillas administrativas se construyen a partir de archivos ADMX y su archivo de idioma correspondiente ADML.
Nuevas funcionalidades de los archivos ADMX y ADML Funcionalidad
Detalle
Ventajas
Archivo de directiva en lenguaje XML
Funcionalidad multi idioma y versionado
Mejora la gestión de los entornos multi idioma. Se muestran los parámetros de directiva en el idioma del sistema operativo.
Almacén central
Centralización de los archivos ADMX y ADML a nivel del dominio
No sobrecarga los directorios SYSVOL de los controladores de dominio. Permite evitar el «SYSVOL bloat».
1. Requisitos previos para la creación de archivos ADMX El lenguaje de programación de los archivos AMDX es el XML. Para comprender la composición de un archivo ADMX, hay que conocer su construcción. La creación de archivos ADMX implica el conocimiento del lenguaje de programación XML. Para crear archivos ADMX válidos, hay que conocer los elementos siguientes:
- 2-
●
Definición de un documento XML bien formado.
●
Los elementos XML.
●
Los atributos XML.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
●
Los espacios de nombre XML.
Atención: el lenguaje XML distingue entre mayúsculas y minúsculas.
2. Estructura de los archivos ADMX La estructura de un archivo ADMX se compone de dos categorías principales. Cada una define un conjunto de parámetros relativos al propio archivo o a los parámetros de directivas que modifica. Entre estas categorías, la declaración XML y PolicyDefinitions están al mismo nivel jerárquico, mientras que las cinco categorías restantes son categorías hijas de PolicyDefinitions. Es perfectamente posible crear uno mismo sus propios archivos ADMX y los archivos ADML asociados siempre que se respeten ciertos principios de funcionamiento. En primer lugar, es importante precisar que la creación de archivos ADMX y ADML aplica exclusivamente a Windows Server 2008 en lo referente a la infraestructura. Estos archivos se convertirán en las plantillas administrativas desplegadas por las directivas de grupo, procesadas y después aplicadas por las extensiones del lado cliente de los equipos que ejecuten Windows Vista.
a. Esquema del archivo El esquema siguiente representa un archivo ADMX dividido en sus diferentes categorías.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
b. Estructura básica del archivo ●
●
●
●
●
●
La Declaración XML: elemento indispensable para especificar que el archivo se basa en el lenguaje XML. El Elemento PolicyDefinitions contiene todas las categorías hija que constituyen el archivo .admx. El Elemento PolicyNameSpaces define el espacio de nombres único del archivo .admx. Contiene a su vez la correspondencia de los espacios de nombre de archivos externos cuando estos tienen referencias a elementos categoría definidos en otro archivo .admx. El Elemento Resources (.admx) indica las condiciones requeridas para los recursos específicos al idioma. El Elemento SupportedOn hace referencia a las cadenas de texto localizadas cuyo papel es definir los sistemas operativos o las aplicaciones impactadas por un parámetro de directiva. El Elemento Categories establece las categorías en las que el parámetro de directiva debe mostrarse en la consola de administración de directivas de grupo o el editor de directiva de grupo.
Cuando se usa un nombre de categoría igual a otro contenido en otro archivo ADMX, se genera un nodo duplicado. Microsoft tiene disponible en Internet información relativa a listas de nombres de categorías para evitar la aparición de nodos duplicados.
●
- 4-
El Elemento Policies contiene las definiciones de cada parámetro de directiva individual. © ENI Editions - All rights reserved - Sergio Ramirez Ramirez
3. Estructura de los archivos ADML Los archivos ADML contienen los recursos de idioma de los parámetros de directiva contenidos en el archivo ADMX. Esto permite que la consola de administración de directivas de grupo o el editor de directiva de grupo muestren un parámetro de directiva en el idioma deseado. El archivo ADML posee una estructura básica formada por dos categorías principales, la Declaración XML y la PolicyDefinitionResources, que a su vez contiene un subelemento Resources (.adml). Las categorías StringTable y PresentationTable son propiamente los subelementos de la categoría PolicyDefinitionResources.
a. Esquema del archivo El archivo ADML está construido según se ilustra en el siguiente esquema:
b. Estructura básica del archivo ●
Declaración XML: elemento imprescindible para especificar que el archivo se basa en el lenguaje XML.
●
El Elemento PolicyDefinitionResources contiene todas las categorías hijas que constituyen el
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
archivo .adml. ■
■
El Elemento Resources (.adml): es un elemento hijo de la categoría PolicyDefinitionResources y contiene a su vez dos subelementos. Los elementos StringTable y PresentationTable permiten definir un idioma concreto. Se debe respetar el orden de su definición en el archivo ADML, el elemento StringTable debe preceder al elemento PresentationTable. Cuando se invierte el orden, el analizador de las herramientas de administración de directivas de grupo señala un error.
4. Archivo básico ADMX personalizado En ocasiones, los administradores de red desean crear archivos .admx para que se muestren bajo un nodo de categoría única en el editor de directiva de grupo de la consola de administración de directivas de grupo. En ese caso, lo interesante es crear un archivo básico ADMX personalizado. Un único archivo básico personalizado que integre varias categorías predefinidas así como texto definido por el elemento SupportedOn, puede reutilizarse desde varios archivos .admx. Tomemos como ejemplo la creación de un archivo básico personalizado para la organización Grupo_Empresa. Los administradores del Grupo_Empresa quieren crear varios archivos ADMX personalizados agrupados bajo un nodo de categoría única llamado Grupo_Empresa. Este nodo estará visible como contenedor en la consola de administración de directivas de grupo, en particular en el editor de administración de directivas de grupo durante la creación o modificación de una directiva. La creación de un archivo básico ADMX personalizado permite definir la categoría central Grupo_Empresa en el editor de administración de directivas de grupo. Todos los archivos ADMX que modifican parámetros personalizados se almacenan en esta categoría. La creación de un archivo básico ADMX personalizado conlleva la creación del modelo ADML asociado.
5. Comentarios Un archivo ADMX siempre va acompañado de su archivo ADML asociado. Los archivos ADMX definen los parámetros de directiva a modificar en el registro. El archivo ADML asociado define los parámetros de idioma del archivo ADMX. El editor de directiva de grupo espera encontrar un archivo .adml con el mismo nombre que el del archivo .admx. Cuando esto no es así, el editor de objetos de directiva muestra un mensaje de error. Existe una cierta cantidad de archivos ADMX disponibles por defecto en Windows Server 2008 y 2008 R2 o Windows Vista y 7. E igualmente se pueden descargar archivos ADMX de Internet e integrarlos en el almacén central con el propósito de que estén disponibles en la consola de administración de directivas de grupo. Como última opción puede generar estos archivos Ud. mismo si ninguno de los archivos predeterminados o disponibles para descargar satisface sus necesidades o sus expectativas. La oportunidad de generar uno mismo sus archivos ADMX extiende considerablemente las posibilidades de personalización de la red. Los administradores pueden definir cuáles son las necesidades de creación en materia de plantillas administrativas y, así, hacer lo necesario para desplegarlas sobre los puestos de trabajo. Para la creación de archivos ADMX, hay que conocer los principios básicos de las estructuras de archivos XML así como el esquema de construcción de los archivos ADMX y ADML. Una vez se han creado y probado estos archivos, se deben integrar en el almacén central para aumentar el conjunto de plantillas administrativas disponibles.
- 6-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
No dude en crear un archivo básico personalizado siempre que su empresa tenga desplegadas múltiples plantillas administrativas personalizadas.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 7-
El almacén central El almacén central (Central store) es una de las novedades más interesantes de Windows Server 2008 y 2008 R2 relativas a la gestión de plantillas administrativas. Este directorio es el lugar de almacenamiento común para los archivos ADMX y ADML en los controladores de dominio. En efecto, las plantillas administrativas usadas por las directivas de grupo proceden del almacén central. Además, cada una de las GPO que contiene archivos ADMX accede al almacén central para obtener la última versión de cada plantilla de administración desplegada. La puesta al día regular del almacén central garantiza la puesta al día de los objetos de parámetros modificados por la directiva sobre los clientes. No obstante, el almacén central hay que crearlo antes de poder emplearlo. Microsoft recomienda la creación del almacén central sobre el controlador de dominio principal. La replicación de Active Directory se encarga de actualizar los controladores de dominio secundarios.
1. Crear el almacén central La creación del almacén central se debe efectuar de forma manual en el explorador de archivos del controlador de dominio principal. Para poder hacer esto es necesario conectarse al controlador con una cuenta habilitada para realizar este tipo de modificaciones. Conéctese al controlador de dominio principal con una cuenta de administrador de dominio y abra el explorador de Windows. Cree un nuevo directorio llamado PolicyDefinitions en el C:\Windows\SYSVOL\sysvol\nombre del dominio\Policies. En nuestro C:\Windows\SYSVOL\sysvol\empresa.local\Policies.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
directorio ejemplo,
- 1-
Los archivos de idioma ADML deben estar guardados en un subdirectorio de PolicyDefinitions. Existe una convención de nomenclatura para cada idioma. Para España, emplee esES. Dentro del nuevo directorio PolicyDefinitions, cree un nuevo directorio esES.
2. Aumentar el almacén central Una vez haya creado el almacén central, podrá albergar en él los archivos ADMX de los que disponga. Para aumentar y actualizar el almacén central, puede emplear varios métodos. Presentaremos, no obstante, uno de los métodos más simples y eficaces. Se trata simplemente de copiar los archivos ADMX directamente en el directorio del almacén central: SYSVOL\domain\Policies\PolicyDefinitions. No importa el método de copia que emplee, copia manual, por un script o cualquier otra, pero recuerde que debe copiar los archivos ADML en el directorio del idioma correspondiente al archivo ADMX.
- 2-
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
Fuentes externas de plantillas administrativas Los archivos ADMX corresponden a las plantillas administrativas disponibles en el editor de administración de directivas de grupo. Las plantillas administrativas suministradas por defecto con Windows Server 2008 son numerosas pero no cubren todas las posibilidades. Puede descargar plantillas ADMX desde otras fuentes externas, ajenas a Windows.
1. Descarga de archivos ADMX de una fuente externa Hay numerosos sitios Internet que proveen plantillas administrativas adicionales para la gestión de su red. Las fuentes de descarga son múltiples y es difícil asegurarse de manera cierta de la integridad de los archivos. Se recomienda probarlos antes de integrarlos en producción.
2. Plantillas administrativas para Microsoft Office Microsoft ofrece para su descarga numerosas plantillas administrativas cuyo objetivo es personalizar Microsoft Office para los usuarios de la red. Una vez se han descargado las plantillas administrativas sobre los servidores o sobre los puestos de administración, es suficiente con integrar estos archivos en el almacén central de los controladores de dominio para poder emplearlos.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
ADMX Migrator Ya sabemos que los archivos ADM se emplean con Windows XP mientras que los archivos ADMX se emplean con Windows Vista. El almacén central no incorpora funciones que permiten explotar los archivos ADM. Si, a pesar de todo, desea utilizar archivos ADM y utilizar los parámetros de directivas que modifican para incrementar el almacén central con antiguas plantillas administrativas, necesitará la utilidad ADMX Migrator. ADMX Migrator permite convertir todos los archivos ADM en archivos ADMX. Está disponible para su descarga en el sitio de Microsoft. Durante el proceso de conversión de un archivo ADM en un archivo ADMX, AMDX Migrator transforma el archivo ADM en dos archivos distintos: un archivo ADMX que contiene los parámetros de directiva y un archivo ADML que contiene los parámetros de idioma. Cuando ha terminado la conversión, los archivos transformados se pueden integrar en el almacén central o incorporarse directamente en un puesto de trabajo para probarlos. En versiones anteriores de la utilidad ADMS Migrator persistían algunos errores de conversión, pero a partir de la versión 1.2 éstos han sido corregidos. Si no emplea ADMX Migrator pero desea conservar las parametrizaciones de los archivos ADM, estará obligado a recrear todos los modelos de administración.
1. Escenario ideal de uso de los archivos ADMX Hay un escenario ideal de administración de archivos ADMX, pero trae consigo una serie de requisitos previos. Si Ud. sólo desea emplear los archivos ADMX y su almacén central, deberá migrar todos los puestos de administración de la red a Windows Vista o 7. Además, todos los servidores de dominio deben tener instalado Windows Server 2008 o 2008 R2. Respecto a las plantillas administrativas, la totalidad de los archivos ADM presentes en la red deben convertirse en archivos ADMX. Y, finalmente, no puede haber en ejecución en el dominio ninguna directiva de grupo destinada a puestos de trabajo con versiones de Windows instaladas anteriores a Vista. Si se cumplen todas estas condiciones, puede suprimir los archivos ADM de forma segura. En este caso, los archivos han quedado obsoletos y se puede liberar el espacio que ocupan en la red.
2. Enlaces y descargas Para descargar ADMX Migrator, utilice el enlace: http://www.microsoft.com/downloads/details.aspx? FamilyId=0F1EEC3D10C44B5F962597C2F731090C&displaylang=en
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Seleccionar el objetivo de las GPO con la ayuda de los filtros WMI Los filtros WMI (Windows Management Instrumentation) forman parte de las herramientas de selección de la GPMC. Son muy potentes, y permiten seleccionar los puestos clientes de una directiva de grupo con precisión. Las búsquedas de información ejecutadas mediante los filtros WMI pueden hacer uso de un sinnúmero de parámetros relativos a los puestos de trabajo. Los filtros de búsqueda pueden estar basados en el hardware que constituye el puesto de trabajo, la versión del sistema operativo instalada, las versiones de las aplicaciones instaladas o la configuración del sistema activa en el equipo. Los filtros WMI se pueden emplear sobre tecnologías Windows Server 2000, 2003, 2008 y 2008 R2 para los servidores y sobre Windows XP, Vista y 7 para los puestos de trabajo. Lo más frecuente es que una red Microsoft se componga de puestos cliente con diferentes versiones del sistema operativo Windows. De hecho, es probable que se puedan encontrar varios objetos equipo con versiones de sistema operativo diferentes en una misma Unidad Organizativa de Active Directory. Cuando se crea una directiva de grupo para aplicar a una Unidad Organizativa de ese tipo, es posible que los equipos cliente necesiten una configuración diferente en función de la versión de Windows instalada para que la directiva de grupo pueda funcionar. Tomemos como ejemplo el de una directiva de grupo vinculada a una UO que contiene un equipo con Windows XP y otro con Windows Vista o 7. La directiva de grupo debe modificar ciertos parámetros en función de la versión del sistema operativo de los puestos cliente. Debido a esto, se hace necesario configurar dos objetos de directiva de grupo. Un primer parámetro de directiva está destinado a la modificación de los puestos con XP y el segundo a la modificación de los puestos con Vista/7. En ese caso, se debe prestar atención para garantizar que se apliquen los parámetros de directiva tan sólo a los equipos adecuados. Es posible plantear varios métodos para llevar a cabo esta operación, entre ellos el uso de filtros de WMI. En efecto, los filtros WMI permiten distinguir los equipos según criterios relativos al sistema o a las aplicaciones. Además, el uso de filtros WMI permite mantener la organización de Active Directory a pesar de la diversidad de sistemas operativos en los puestos cliente. En otros términos, no es preciso poner a punto una estructura de Unidades Organizativas en función de las versiones de Windows desplegadas en el dominio. Durante la creación de una directiva de grupo, se puede añadir un filtro WMI al objeto de directivas de grupo para determinar los criterios indispensables para la aplicación de ésta sobre un puesto cliente.
Atención: los filtros WMI no funcionan en puestos con sistema operativo Windows 2000.
1. La sintaxis de los filtros WMI Los filtros WMI se basan en el lenguaje WQL (WMI Query Language), muy próximo al lenguaje de programación SQL (Structured Query Language). Hay varias formas de crear filtros WMI, ya sea con un programa especializado, o bien con la interfaz disponible para ello en la consola de administración de directivas de grupo. Por ejemplo, el programa Scriptomatic2 es bastante popular entre los programadores y está disponible en el sitio de Microsoft. Los filtros WMI son peticiones enviadas a los puestos de trabajo objetivo. Estas peticiones contienen parámetros que señalan al servidor que provee las directivas de grupo cuáles son los criterios de aplicación o noaplicación para cada una de las directivas de grupo.
© ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
a. Sintaxis WMI básica Cada petición WMI destinada a constituir un filtro debe tomar la forma básica siguiente:
SELECT * from Win32_{criterio de selección} WHERE {Variable} [=, >,