--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

----------------------------------------------------------------------------------------------------------------------

Module 11: Implementing Group Policy

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

----------------------------------------------------------------------------------------------------------------------

GROUP POLICIES:

• Las GPOs (Group Policies Objetcs) son conjuntos de configuraciones que podemos aplicar tanto a usuarios

como a equipos dentro del dominio.

Prácticamente cualquier configuración que queremos establecer en la organización, puede hacerse con GPOs:

• Desplegar aplicaciones

• Activar o desactivar servicios.

• Crear objetos.

• Redireccionar carpetas de usuarios.

• Establecer características de seguridad.

• …

Cuando trabajamos con GPOs, estamos modificando entradas en el registro de Windows. En lugar de hacerlo de

forma local con regedit.exe, lo hacemos de forma centralizada.

Una GPO es un conjunto de configuraciones y cada configuración por separado se denomina Group Policy Setting.

Ejemplos de Group Policy Settings:

• Establecer una longitud mínima para la contraseña.

• Impedir el acceso al Panel de Control.

• Establecer un fondo de Pantalla.

• Bloquear o permitir el acceso a Internet Explorer.

Una GPO agrupa varias de estas Settings. Normalmente se incluyen en una GPO las Settings que están relacionadas

con un aspecto concreto. Por ejemplo, creamos una GPO con las siguientes Settings:

• Longitud mínima de contraseña: 10 caracteres.

• Caducidad de la contraseña: 25 días.

• Complejidad de la contraseña.

El contenido de una GPO está organizado en dos secciones principales:

• Computer Configuration: Settings que se aplican a los equipos independientemente quien sea el usuario que

inicie sesión con él.

• User Configuration: Settings que se aplican a los equipos independientemente del equipo que inicia la sesión.

Cuando hay conflictos entre dos Settings, una para Computer y otra para User, por defecto tiene prioridad la de

User.

Tenemos dos juegos de GPOs:

• Locales: Se aplican solo a la máquina y a los usuarios locales a esa máquina. No existen en los DCs.

• De Domino: Se aplican a todas las máquinas y a todos los usuarios del dominio, incluyendo los DCs.

Ante un conflicto, las GPOs locales tienen MENOS prioridad que las de Dominio. Si una máquina está en grupo de

trabajo, solo se le aplican las GPOs locales.

o Las GPOs locales se almacenan en la propia máquina. o Las GPOs de dominio se almacenan en SYSVOL y en el AD.

Cuando creamos una GPO, todas las Settings están sin configurar. Cuáles son, como se organizan y donde se

encuentran viene determinado por una plantilla (Template) de GPO. Las plantillas se almacenan en SYSVOL.

La información sobre las Settings modificadas y con qué valor, se almacena en el AD y se denomina Contenedor GPO.

Cada GPO tiene un GUID (Global Unique Identifier). Asocia la plantilla con el contenedor en el AD. Además, cada

contenedor tiene otras características:

• Numero de versión.

• Enlaces(donde esta aplicada la GPO).

Consola para poder crear GPOs.

Todas las GPOs en el dominio.

nueva politica.

Cuando desenlazamos una GPO, las directivas dejan de aplicase. Por ejemplo, si hemos configurado el Setting

"mínimum password lenght" a un valor de 12, cuando desenlazamos la GPO, la contraseña ya no tiene por qué ser

de un mínimo de 12 caracteres.

Las preferencias no se fuerzan, el usuario puede cambiarlas. Cuando desenlazamos una GPO, no dejan aplicarse.

Para aplicar una GPO tenemos que enlazarla. Podemos enlazar una GPO a 3 niveles:

- Sitio

- Dominio

- Unidad organizativa

El procesamiento de GPOs sigue el siguiente orden:

1. Locales

2. Sitio

3. Dominio

4. Unidad organizativa

Teniendo prioridad la ultima que se aplica.

Se inicia en los clientes no en el servidor de dominio.

Editor de directivas locales. Solo se aplican los equipos locales.

Ejercicio:

Crear una GPO que prohiba el acceso al panel de control para todos los usuarios de logistica. El resto de usuarios del dominio si

deben poder acceder al panel de control.

Starter GPO

Crear nueva starter

WMI: Windows Management instrumentation. Para los filtros en GPO por hardware.

Asignar gpo por hardware

Un filtro WMI es diferente de un security filter

WMI nos permite filtar por caracteristicas hardware de la maquina: sistema operativo instalado, memoria RAM, espacio en disco

disponible.

Security filters: Filtrar por usuarios equipos y grupos.

Delegacion de GPOs

Filtros:

Filtros de seguridad

Filtros WMI

Antes de aplicar un filtro WMI hay que crearlo en su folder

Despues de crearla ya se puede aplicar desde aquí

Crear GPO desde powershell

Aplicación de GPOs

Las settings de configuracion de equipos se aplican cuando el equipo se iniciar. O bien de forma periodica cada 90 minutos.

Excepto en DCs, en los que que se refresca cada 10 minutos.

Las settings de configuracion de usuarios se aplican cuando el usuario inicia sesion. O bien de forma periodica cada 90 min.

Forzar actualizacion de politicas.

De forma local

Gpupdate /force

Remoto

Invoke-GPUpdate –Computer

Busca todas las maquinas del dominio y le manda actualizar las politicas

Get-ADComputer –Filter * | Invoke-GPUpdate

Cuando hay varias GPOs al mismo nivel la prioridad de cual se va a aplicar depende del link order

Multiple local GPOs:

Nueva caracteristica en windows server 2012 y windows 8

Hasta ahora, las politicas locales se aplicaban por igual a todos los usuarios que iniciaban sesion en una maquina.

Con MLGPOs podemos tener diferentes GPOs locales para diferentes usuarios o grupos en una maquina.

Crear MLGPOs

Esta pestaña es NUEVA

Asi queda para editar la gpo a nivel local de todos los usuarios que no sean administradores

Plantillas Administrativas:

Son conjuntos de configuraciones organizadas y que podemos aplicar tanto a usuarios como a grupos.

Son extensibles. Cualquier fabricante puede crear plantillas administrativas para sus productos y aplicaciones. Por ejemplo,

podemos decargar plantillas administrativas para gestionar el paquete de office.

Hay 2 tipos de plantillas administrativas: .ADM y .ADMX

- ADM: Son las mas antiguas. Dependen del idioma del sistema operativo. Para trabajar con diferentes idiomas

necesitamos una ADM por cada uno de ellos.

- ADMX: Son las nuevas y en XML. Son independientes del idioma. Para disitinguir entre idiomas usa archivos ADML

Estan aquí almacenadas

Filtrar en GPOs

Managed y Unmanaged Settings:

En GPOs tenemos un servicio que se denomina GPO service que controla las settings que se aplican dentro de las GPOs, pero

solo las “managed”.

Si una setting es “managed”, al desenlazar una GPO de su contenedor, el GPO Service la desactiva en todos los usuarios y

equipos afectados.

Si una setting es “unmanaged”, al enlazar la GPO a un contenedero empieza a aplicarse, pero si desenlazamos la GPO no deja de

aplicarse, se mantiene.

Si una setting es “managed”, el usuario no puede modificar esa caracteristica, se bloquea la interfaz de usuario correspondiente

Si una setting es “unmanaged”, aunque establece una configuracion, el usuario puede cambiarla, no se bloquea la interfaz de

usuario.

Las plantillas administrativas estan en

Y se instalan con el sistema operativo.

Las plantillas administrativas que encontramos en un windows 7 son diferentes de las que tenemos en un windows 8 o un

windows server 2012. Dependiendo del equipo desde el que estamos administrando las GPOs, podriamos tener o no una

plantilla administrativa concreta

Para resolver este problema, creamos un “Central Store” para plantillas administrativas.

Desde windows vista, cuando abrimos el group policy objects editor, busca las plantillas en un almacen cetral, y si no las

encuentra, usa el almacen local de la maquina (C:\Windows\PolicyDefinitions).

Almacen central de plantillas del dominio

\\Dominio\sysvol

En el group policy management editor vemos si el equipo esta cojiendo politicas del local o del almacen central

La carpeta sysvol esta replicada en todo el dominio en todos los DC

Crear almacen centralizado de Plantillas

La pegamos en esta ruta del DC

Y ahora desde el cliente ya nos aparece que esta cojiendo las plantillas del almacen central