DIRECTIVA DE GRUPODefinición

DEFINICIÓN Las directivas de grupo permiten establecer diversas configuraciones que afectan al usuario

que accede al sistema o al equipo desde el cual está accediendo dicho usuario.

Entre las directivas que pueden especificarse, podemos citar las relativas a los programas instalados en los equipos del dominio, la configuraciones de perfil de los usuarios, las opciones de navegación, etc.

Antes de iniciar, definiremos términos que se utilizarán a lo largo de este capitulo:

Sitio: Es una organización formada por un conjunto de equipos en redes IP, habitualmente representan la estructura física de la red.

Dominio: Es el nombre único que nos permite el acceso a las cuentas de usuario y de equipo del directorio activo, de modo que cada dominio dispone de sus propias directivas y relaciones de seguridad con otros dominios, representando el limite de seguridad en una red con un servidor Windows Server 2008; los dominios representan la estructura lógica de la organización.

Unidad Organizativa: Es un objeto contenedor del Directorio Activo que se utiliza en los dominios como contenedores lógicos en los que pueden colocarse usuarios, grupos, equipos y otras unidades organizativas.

UNIDADES ORGANIZATIVA Primeramente crearemos las unidades organizativas donde ubicaremos a

los equipos del dominio, lanzando usuarios y equipos de AD, desde las herramientas administrativas, nos situaremos en el dominio “cecna.com”, pulsando clic derecho seleccionaremos la opción nuevo, y posteriormente “unidad organizativa”

En la caja de texto, escribiremos el nombre que queremos aplicar, en este caso “Equipos de W7”

Tras ello añadiremos colgando directamente en el dominio, dos unidades organizativa que contendrán a los usuarios de nuestra organización “jefes” y “empleados”

Una vez hayamos creado las unidades organizativas especificadas, el siguiente paso consistirá en mover los equipos y usuarios a las unidades organizativas correspondientes-.

La máquina cliente se asignará a la unidad organizativa “W7”. Los usuarios “Javier” y “Susana”, se situaran en la unidad organizativa “jefes” y “Bruno y Gabriela” en la unidad organizativa empleado.

Tras completar el proceso anterior, y con la configuración realizada, las directivas de grupo que asociaremos en el dominio cecna.com, no solo se aplicarían a los equipos clientes del dominio, sino que también aplicarían al servidor WS, pues dicho equipo pertenece al dominio, y está ubicada en la unidad organizativa “Domain Controllers” bajo el dominio “cecna.com”

Para evitar lo indicado, deberemos bloquear la herencia de directivas, en la unidad organizativa “Domain Controllers”, a fin de evitar que el controlador de dominio “Server” se le aplique a través de la herencia de directivas, las directivas de grupo de equipo de instalación de software que definamos posteriormente en el dominio “cecna.com”, para lo cual seguiremos los siguientes pasos:

En primer lugar, procederemos a cerrar la ventana de “usuarios y equipos” y lanzaremos “administración de directivas de grupo” para situarnos sobre la unidad organizativa “domain controllers” del dominio “cecna.com” del bosque del mismo nombre, y una vez allí pulsar sobre la misma con el botón derecho del ratón, para elegir finalmente la opción “bloquear herencia” en el desplegable correspondiente.

Comprobar que la herencia sobre la unidad organizativa “domain controllers” ha sido bloqueada, situándonos sobre dicha unidad organizativa, y pulsando a continuación sobre la pestaña “herencia de directiva de grupo” situada en la zona superior derecha de la ventana mostrada, asegurándonos de que la única GPO que se muestra en dicha pestaña es Default domain controllers policy, tal y como vemos en la imagen

DIRECTIVA DE EQUIPO Y DE USUARIO Según lo expuesto en el apartado anterior, asignaremos directivas de

grupo de primer nivel en el domain “cecna.com” para que sean aplicadas a todos los usuarios y equipos del dominio y luego indicaremos en las unidades organizativas “equipos W7” las directivas de quipo que aplicaremos a cada equipo en función del sistema operativo, indicando además en las unidades organizativas “jefes” y “empleados”, las idrectivas de usuario que aplicaremos respectivamente a los jefes de departamento y a los empleados.

Las directivas se crean empezando de lo más global a lo más especifico, además considerar que en el dominio ya existe un objetivo directiva de grupo que podremos aprovechar para llevar a caba las configuraciones globales denominado “default domain policy”

Asignaremos las configuracioens de directivas globales sobre la directiva de grupo “default domain policy del siguiente modo:

En primer lugar, de la herramienta Administración de directivas de grupo, nos situaremos sobre la directiva “default domain policy” del dominio cecna.com del bosque del mismo nombre, pulsando sobre ella con el boton derecho para elegir editar en el desplegado adjunto

Tras lo definido en el párrafo anterior, nos situaremos en el apartado configuración del equipo, y directivas de grupo para los usuarios del dominio en el apartado “configuración de usuario”, en este instante procederemos a configurar directiva de grupo del equipo “configuración del equipo -> directivas -> plantillas administrativas -> componentes de Windows -> Windows Messenger -> No permitir que se ejecute Windows Messenger, haciendo doble clic sobre la misma

La directiva d egrupo anterior será la única directiva de grupo de equipo que configuraremos en la directiva de grupo global “default domain policy”, pasando en este instante a configurar en la misma directiva de grupo global, diversas configuraciones de usuario, comenzando por la relativa al titulo del explorador internet explorer, que podremos configurar en configuración de usuario -> directivas -> configuración de Windows -> Mantenimiento de internet explorer -> interfaz de usuario del explorador -> titulo del explorador

En l anueva ventana mostrada personalizaremos el titulo del explorador, activando la casilla “personalizar barras de titulo”, y posteriormente tecleando en la caja de texto correspondiente la cadena “cecna.com”, para que cuando un usuario del dominio cargue el navegador IE desde un equipo cliente, en la barra del titulo del navegador le sea mostrado en el texto “IE proporcionado por cecna.com”

Otra directiva de usuario que podremos configurar es la relativa a la configuración del proxy en el navegador del cliente, si es que disponemos de un porxy en nuestra organización, para configurar esta directiva de grupo nos ubicaremos en configuración de usuario -> directvia-> configuración de Windows -> mantenimiento de IE -> conexión -> configuración de lo servidores proxy

Tambien podremos definir los favoritos y los vínculos que deseamos sean añadidos a los navegadores de los usuarios del dominio de nuestra organización, mediante la directiva de grupo ubicada en “configuración de usuario ->directivas -> configuración de Windows -> mantenimiento de internet explorer ->direcciones URL ->favoritos y vínculos añadiendo en la misma las direcciones URL que deseamos que sean mostradas “favoritos”

Finalmente podremos configurar una nueva directiva ubicada en “configuración de usuario -> directivas -> configuración de Windows ->mantenimiento de IE -> Direcciones URL -> direcciones URL importantes para especificar la página de inicio que deseamos sea mostrada por defecto en los navegadores de los usuarios del dominio cuando inicie IE

Una vez finalizado la configuración global, procederemos a directiva de grupo que serán aplicadas con carácter particular a los equipos del dominio y usuarios del dominio.

Las directivas para equipos se tratarán más adelante en la sección de instalación de software, por lo cual solo definiremos a directiva de grupo de usuarios del dominio de la siguiente manera:

Daremos clic en la herramienta Administración de directivas de grupo, pasando a ser mostrada la siguiente ventana, en la que nos situaremos sobre la unidad organizativa “jefes” del dominio “cecna.com”, del bosque del mismo nombre, para pulsar sobre ella con el botón derecho y elegir en el desplegable la opción “crear un GPO en este dominio y vincularlo aquí”, tal y como vemos en la imagen

En la nueva ventana mostrada, teclearemos el nombre de la nueva directiva de grupo en este caso “Jefes de departamento” tal y como vemos en la imagen

Una vez creado, daremos clic derecho en la opción editar en la directiva jefes departamento

Como resultado de la acción anterior pasará a ser mostrada la ventana del editor de “Administración de directiva de grupo”, para configurar a través de la misma las directivas de grupo deseadas en el objeto directiva de grupo “jefes departamento” del dominio cecna.com, que actualmente no tendrá configurada ninguna directiva de grupo.

Para nuestro caso, los jefes tendrá un tamaño máximo para el perfil, configuración de usuario ->directivas -> plantillas administrativas ->sistema -> perfiles de usuario ->limitar el tamaño del perfil, haciendo doble clic sobre la misma

Activaremos la casilla y definiremos el tamaño de perfil

A continuación deberemos personalizar la directiva de grupo que serán aplicados a los empleados de nuestra organización, por lo cual crearemos un nuevo objeto directiva de grupo de nombre “empleados” sobre la unidad organizativa “empleados”, siguiendo los pasos anteriormente para crear el GPO “jefes departamento”

Una vez creado el GPO empleados pulsaremos sobre el mismo con el botón derecho del ratón para elegir la opción “editar” en el desplegable adjunto

A continuación pasará a ser mostrada la ventana de edición del objeto directiva de grupo “empleados, en la cual nos situaremos sobre “configuración de usuario” -> directivas -> plantillas administrativas ->menú inicio y barra de tareas -> bloquear la barra de tareas, haciendo doble clic sobre dicha directiva, para activar el radio boton “habilitada” en la nueva ventana mostrada, y lograr así el bloqueo del abarra de tareas de los empleados de nuestra organización.

DIRECTIVAS DE INSTALACIÓN DE SOFTWARE Definición:

Las directivas de grupo de instalación de software son unas directivas muy importantes a las cuales vamos a dedicar un apartado completo en este capitulo dedicado a las directivas de grupo.

Estas directivas de instalación de software permiten utilizar paquetes “MSI” para utomatizar la instalación de las aplicaciones software en los equipos

Las directivas de grupo de instalación de software permiten instalar aplicaciones deseadas sin necesidad de indicar en el proceso instalación las configuraciones típicas de dicho proceso, es decir el número de serie del producto, la ruta de instalación del producto, los accesos directos a la aplicación que deben ser creado, etc, pues toda información que la apliación precisa para ser instalada está contenida el fichero MSI correspondiente

Los archivos de paquete MSI contienen una base de datos con todas las instrucciones y los datos requeridos para llevar a cabo el proceso de instalación de la aplicación correspondiete, de modo que el instalador encarga de modo automatico de llevar a cabo todos los procesos para completar la instalación satisfactoriamente, desde copiar los archivos al disco, hasta realizar las modificaciones oportunas de registros

INSTALACIÓN DE PAQUETES Concretamente en nuestro caso nos centraremos en la asignación de paquetes “MSI” a

los equipos del dominio, debido a que habitualmente todos los empleados utilizaran las mismas aplicaciones, independientemente del equipo desde el cual puedan iniciar sesión en cada instante, así pues parece mejor instalar el software asociado a los equipo de la organización en vez de publicarlo para los usuarios del dominio

En primer lugar crearemos una carpeta de nombre “software” en la unidad E, del servidor, carpeta donde centralizaremos todo el software que vayamos a distribuir mediante directivas de grupo.

Tras crearla, compartiremos la carpeta, y en pemisos asignaremos “leer” para el grupo todos, y pulsaremos en agregar para añadir a continuación el grupo administradores.

En la nueva ventana mostrada como resultado dela acción anterior, teclearemos la cadena de texto “Administradores” para agregar a dicho grupo entre ellos de los que disponen de acceso remoto a esta carpeta, y tras ello le asignaremos a dicho grupo los permisos “control total”, “cambiar” y “leer”

Necesitamos ubicar nuestros paquetes “MSI” en el servidor Widnows Server, por lo cual crearemos una carpeta dentor de software que contendrá el paquete MSI, crearemo suna carpeta de nombre office

El siguiente paso que deberemos dar consiste en abrir la carpeta office y copiar en ella todos los ficheros

Llegado a este punto, el siguiente paso que deberemos llevar a cabo consistirá en configurar una directiva de grupo de equipo para asignar el paquete data1.msi correspondiente a la aplicación MS office, ubicaremos esta directiva de grupo de equipo para la instalación de software sobre el objeto directiva de grupo “DDP” del dominio cecna.com porque deseamos que dicha directiva sea aplicada a todos

Como resultado de la acción anterior, pasará a ser mostrada la siguiente ventana, en la que nos situaremos sobre la directiva de grupo ubicada en “configuración de equipo ->directivas ->configuración de software ->instalación de software, pulsando sobre ella con el botón derecho del ratón para elegir en el desplegable correspondiente la opción “nuevo”, y posteriormente “paquete”, para indicar que deseamos definir un nuevo paquete de instalación de software sobre este objeto directiva de grupo

Tras completarse la acción anterior, pasará a ser mostrado un cuadro de diálogo en el cual deberemos de asociar la rta de acceso al paquete “MSI” que vamos a asociar a través de esta directiva de grupo

Tras completarse la acción anterior, pasará a ser mostrado un cuadro de diálogo en el cual deberemos indicar la ruta de acceso al paquete MSI que vamos asociar a través de esta directiva de grupo, debiendo especificar la ruta de red de accesoa l paquete, nunca la ruta local del servidro; así pues indicaremos la ruta \\Server\software\office\ … en la que seleccionaremos primeramente el MSI de MS Word

Luego se indicará el modo en que se llevará a cabo la distribución del paquete MSI a través de la directiva de grupo de equipo que estamos configurando, seleccionando en el caso que nos ocupa la opción “avanzada”

Luego ir a configurar el inicio de sesión esperar que esté habilitada la red

Al iniciar sesión veremos como están los software instalados

CREACIÓN DE PAQUETES En el apartado anterior llevamos a cabo la instalación desatendida de

adobe y Windows maker a partir de un paquete MSI, pero lamentablemente no todas las aplicaciones disponen de un paquete MSI para poder llevar a cabo su instalación mediante GPO

Para solventar el problema que se plantea, podremos utilizar aplicaciones que nos permitan generar paquetes MSI, a partir de aplicaciones que no dispongan de dicho tipo de ficheros. Para esta practica se utilizara WinInstall LE ya que es gratuito

Primeramente instalemos la herramienta

Una vez haya sido instalado, procederemos a cambiar la dirección del paquete que se creara a la carpeta compartida, por lo cual debemos de crear una carpeta en este caso la llamaremos herramienta1

Lo siguiente a realizar es crear el paquete, la cual llamaremos herramienta2 y escribiremos una descripción

Ejecutaremos Run Discovery y daremos clic en ok

Especificaremos el nombre del paquete MSI

Seleccionaremos la unidad a ser escaneada, luego clic en siguiente, hasta llegar a la opción finalizar

Una vez haya finalizado instalaremos power iso

Una vez haya finalizado, clic en cancelar, correremos nuevamente la herramienta run discovery

Seleccionaremos la opción número 1 de perform, y cuando finalice clic en close

DESINTALACIÓN DE PAQUETES En ocasiones puede ocurrir que deseemos desinstalar aplicaciones que

hayan sido distribuidas en los equipos clientes del dominio mediante una GPO de instalación de software, supongamos que en su momento era útil, pero que ahora ha dejado de serlo, por lo cual deseamos desintalarla de los equipos clientes del dominio pues ha perdido su funcionalidad y está ocupando espacio en el disco duro de los equipos clientes de modo innecesario

Para ello