------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------

Module 5: Managing User Desktops with Group Policy

------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------

Gestion de Escritorios usando GPOs :

Plantillas administrativas:

Las plantillas administrativas hacen cambios directamente sobre el registro de windows. Por esto suelen llamarse

Tambien Registry-based Policies.

Como cualquier politica, tenemos plantillas administrativas en configuracion de usuario y en configuracion de

equipo:

- Configuracion de equipo: HKEY_LOCAL_MACHINE

- Configuracion de usuario: HKEY_CURRENT_USER

Si una misma setting la tenemos en configuracion de equipo y en configuracion de usuario, tiene prioridad la

configuracion de equipo. Por ejemplo, si instalamos Skype, apareceria en las 2 configuraciones.

Dos tipos de plantillas administrativas:

ADM:

- Mas antiguas

- Usan un lenguaje propietario, por lo que son mas dificiles de crear.

- Se guardan en %SystemRoot%\Inf

- Son dependientes del idioma. Por cada idioma tenemos una plantilla completa.

- Se copia a SYSVOL. Cada una ocupa alrededor de 3MB.

ADMX:

- Mas nuevas

- Usan extandar XML. Cualquier fabricante puede crear plantillas para sus productos

- Windows Server 2008 y windows vista

- %Systemroot%\PolicyDefinitions

- Son independientes del idioma. Las caracterisitcas propias de cada region se almacenan en archivos

ADML

- Se leen directamente de %SystemRoot%\PolicyDefinitions

- Se almacenan en local en cada maquina, pero tambien podemos guardarlas en una localizacion

centralizada. Central Store. Se crea este almacen copiando la carpeta %SystemRoot%\PolicyDefinitions a

SYSVOL\sysvol\dominio.com\Policies

Si tenemos Plantillas administrativas ADM y ADMX y tienen ambas la misma configuracion, las ADMX tienen

prioridad frente a las ADM.

Podemos mejorar el rendimiento del AD migrando todas las plantillas ADM a ADMX. Para esto usamos la

herramienta de migracion ADMX Migration Tool

Para instalar ADMX Migration Tool

Hay que entrar en modo prueba de fallos

CMD

msiexec /unregister

msiexec /regserver

asi se vacia la cache del msiexec para que no de fallos

se inicia en modo normal y ya se puede instalar

Las plantillas administrativas son extensibles. Podemos crear nuestras propias plantillas o descargar otras

desarrolladas por fabricantes. Por ejemplo, si adobe ofrece plantillas administrativas para acrobat Reader, podemos

establecer la configuracion de reader en todas las maquinas del dominio de forma centralizada.

Tenemos plantillas administrativas para muchos productos de Microsoft, por ejemplo, Office 2013

Redireccion de carpetas y scrips:

El objetivo de Folder Redirection es que los usuarios “Vean” que sus directorias estan en su maquina local, pero

realmente estan una localizacion compartida.

Esto tiene algunas ventajas:

- Facilita la administracion de Backups

- Facilita la movilidad de usuarios (Roaming Profiles)

- Acceder a una carpeta compartida puede hacer que sea mas lento, pero podemos combinar la

redireccion de carpeta con Offline files (cache carpeta compartida).

Redireccion de carpetas

En modo basico crear una carpeta para cada usuario

En modo avanzado podemos redirigir usuario y grupos a diferentes carpetas

Estas son las opciones de modo avanzado

Y estas las settings

Cuando al dejar de aplicar una GPO se mantiene el efecto de una setting, se llama “tatooing setting”

En fotos musica y videos aparece una opcion mas

Ejecucion de Scripts:

Antes de que apareciesen las preferencias en las GPOs, habia tareas que teniamos que configurar en scripts para que

se ejecutasen de forma automatica:

- Mapear una unidad de red

- Limpiar directorios temporales

- Limpiar los archivos de paginacion

Los scripts tendremos que seguir usandolos para maquinas que no soporten preferencias. Si estan soportadas, las

preferencias deben ser el metodo usado para estas tareas.

Podemos definir scripts en varios lenguajes de programacion:

- VBScript

- Microsoft Jscript

- Comandos de MS-Dos en un archivo .bat

- Powershell (desde Windows Server 2008 R2)

Estos scripts los podemos ejecutar en 4 situaciones:

- Cuando un usuario inicia sesion

- Cuando un usuario cierra sesion

- Cuando un equipo se reinicia

- Cuando un equipo se va a apagar

Los scripts de inicio deben encontrarse en una carpeta compartida. A esta carpeta compartida deben tener acceso

las cuentas de usuario o de equipo que los van a ejecutar.

El recurso compartido que se suele usar es Netlogon

\\LON-DC1.adatum.com\NETLOGON

C:\Windows\SYSVOL\sysvol\adatum.com\scripts

Mapeo de unidad por linea de comandos

Net use G: \\unidad

Ejecutar scrip de inicio de sesion:

Tiene que esta en una carpeta compartida y windows ya tiene una carpeta para este fin

Ahora creamos la GPO

Para que le refresque las politicas al equipo cliente

Invoke-GPUpdate -Computer LON-CL1

Preferencias:

Las tareas que hasta ahora teniamos que ejecutar mediante scripts, ahora podemos aplicarlas usando preferencias

en las GPOs.

Estan disponibles desde windows Server 2008. En clientes windows vista SP2 o superior.

Si descargamos e instalamos las CSE (Client Side Extensions) de preferences, podemos usarlas en:

- Windows Server 2003

- Windows XP SP3

- Windows Vista SP1

En las preferencias tenemos 4 opciones:

- Create: Crear una nueva setting de preferencias para el usuario o el equipo

- Replace: elimina la preferencia y vuelve a crear una nueva con la nueva configuracion

- Update: Modifica alguna setting de la preferencia

- Delete: Borra una setting de preferencias para el usuario o el equipo

Mapeo de unidad por preferencias:

Marcar el reconnect es por si el usuario la desconecta se vuelva a conectar

Crear un acceso directo en el escritorio a notepad

Opciones Common de Preferences

1- Si alguna falla detiene la ejecucion de las siguientes

2- Indica si se va a ejecutar la preferencia con el usuario que inicia sesion. Si no se marca se ejecutara con el

usuario LOCAL SYSTEM.

3- Eliminar preferencia cuando no se aplique por gpo igual a una setting gestionada

4- Aplica una sola vez si el usuario la elimina o modifica no se vuelve a aplicar

5- Elegir a quien se le va a aplicar la preferencia (combinacion de WMI filters y Security filters)

Ejercicio: Para todos los usuarios del departamento ventas es fundamental contar con un directorio en C: que se

llame C:\Informes (No es carpeta comparitida)

Este directorio debe crearse de forma automatica en todos los equipos 8.1 y solo para usuario del grupo sales, pero

no asi para los usuarios de Salesadmin.

Si algun usuario borra el directorio debe crearse de nuevo en el siguiente inicio de sesion.

Gestion de Software usando GPOs:

Usando GPOs podemos gestionar practicamente todo el diclo de vida de una aplicación

1. Instalacion

2. Actualizacion

3. Desinstalacion

Ventajas:

- Podemos hacer la instalacion de forma centralizada. No necesitamor ir a cada uno de los equipos o

instalar la aplicación para cada uno de los usuario.

- Si un usuario es movil, cambia de equipo, podemos hacer que la aplicación “le siga”, Instalandose en el

nuevo equipo

- No tiene costes adicionales, la infraestructura de GPOs viene con Windows Server y con los equipos

cliente.

En los clientes ya tenemos el CSE (Client Side Extension) necesario para la instalacion y desinstalacion de

software.

Inconvenientes:

- El conjunto de caracteristicas y configuraciones de instalacion es reducido: No podemos elegir el orden

de instalacion cuando desplegamos multiples aplicaciones, no hay metodo directo para especificar fecha

y hora para la instalacion, no hay muchas posibilidades de personalizacion de la instalacion de

aplicaciones.

- No tenemos una herramienta que nos de informes detallados de las instalaciones, actualizaciones y

desinstalaciones hechas.

- Solo funciona con paquetes MSI (Microsoft installer) o MSU (Microsoft Update). Si la aplicación a instalar

no cuenta con el paquete MSI, podemos usar aplicaciones de terceros para construirlo.

Si estas limitaciones son un problema, podemos usar software como System Center Configuration Manager (SCCM).

El despliegue de software con GPOs se basa en el servicio Windows Installer

El servicio Windows Installer se ejecuta con privilegios elevados en cada maquina (Local System), Por lo que no

necesitamos que el usuario para el que vamos a instalar la aplicación cuente con esos privilegios.

El paquete MSI o MSU estara en una carpeta compartida y lo unico que necesitamos es que el usuario tenga permiso

READ en esa carpeta.

Windows Installer se encarga del proceso de instalacion, mantenimiento (incluyendo la reparacion y actualizacion) y

desinstalacion. Si una aplicación esta corrupta, Windows Installer puede reinstalarla o repararla. Esto se suele

denominar aplicaciones Resilientes (tolerancia a fallos)

A la hora de instalar aplicaciones usando GPOs tenemos 3 opciones:

- Asignar

- Publicar

- Avanzada: Permite personalizar un poco el proceso de instalacion.

Asignar:

Tanto la asignacion como la publicacion pueden configurarse para usuarios y para equipos.

Si usamos la configuracion de equipos, la aplicación se asigna o se publica para todos los usuarios que inicien sesion

en el equipo.

Si usamos la configuracion de usuarios, la aplicación se asigna o se publica solo para ese usuario,

independientemente del equipo en el que inicie sesion. La aplicación instalada mediante configuracion de usuarios

no se comparte entre los usuarios de la maquina.

Si ASIGNAMOS una aplicación a un equipo, la aplicación se instala en el equipo y estara disponible para todos los

usuarios del mismo. La instalacion se hace efectiva la proxima vez que el equipo se inicie.

Si ASIGANAMOS una aplicación a un usuario, en el menu de inicio se avisa al usuario de la disponibilidad de la

aplicación y esta se instala cuando el usuario pulsa en ella, o cuando el usuario abre un archivo relacionado con la

aplicacion

Publicacion:

En la publicacion, la aplicación no se instala por defecto, sino que aparece en el panel de control, en Programas y es

el usuario el que tiene que instalarla

La publicacion no esta disponible para equipos.

Asigancion de aplicación por GPO:

Primero copiamos el msi en una carpeta compartida

Invoke-gpuptade –computer nombreequipo –force –boot -logoff

Ejercicio: las politicas de gestion de nuestra empresa establecen que la aplicación 7-zip debe estar disponible para

todos los usuarios que quieran instalarla. No debe preinstalarse esta aplicación, pero tenemos que hacer que este

disponible para todos de forma centralizada.

Ejercicio:

Las politica de la empresa obligan a desintalar aplicaciones que no estan actualizadas. Tenemos xlm notepad 2007

que entra dentro de este grupo instalada en 1000 hosts. Se nos pide desintalar de forma centralizada.

Modificamos la GPO con esta opcion

Esperamos que se replique a los clientes

Cuando se haya aplicado a todos los clientes desenlazamos la GPO y se desinstalara sola