Uso Avanzado de Directivas de Grupo en Windows 2003

Ramon Jimnez, PMP MCSE 2000/2003, CCA, ITIL MVP Windows Server System Infrastructure Architect rjimenezm@hotmail.com

Agenda
Conceptos bsicos de Directivas de Grupo Gestin avanzada de GPOs Despliegue de software Resolucin de problemas

Requisitos
Experiencia previa con servidores Windows Experiencia con redes en entornos Microsoft Conocimientos bsicos de Directorio Activo Conocimientos bsicos de Directivas de Grupo

Conceptos bsicos
Estructura de Unidades Organizativas Perfiles de Usuarios y mquinas Gestin de Directivas de Grupo

Diseo de Unidades Organizativas

Orden de precedencia

UOs Inferiores UOs superiores Dominio Sitio Poltica local

Cundo se aplican?
Arranque y apagado Al Iniciar y finalizar sesin A intervalos definidos Forzndolas con GPUpdate.exe

Procesado de GPOs
Sncrono

Asncrono

GPMC y Escenarios Comunes

GMPC
Interfaz comn para gestionar todas las GPOs Edicin, copias de seguridad, migracin Listados, resolucin de problemas, modelado

Escenarios comunes para estaciones

Poco gestionada Mvil MultiUsuario Estacin de aplicaciones Estacin de Tareas Quiosco

Demo

Demo
Unidades Organizativas y Gestin bsica de GPOs. Entorno de test y produccin. Iniciacin a GPMC

Uso avanzado (1)

Directivas de seguridad de Dominio Directivas de restriccin de software Gestin de escritorios usuarios Filtrado y herencia Distribucin de Software Resolucin de problemas

Configuraciones de seguridad a nivel de dominio

Directivas de cuentas de usuario Directivas locales y Kerberos Directivas IPSec Directivas de Seguridad de Registro y sistema de ficheros

Polticas restrictivas de uso de software

Tipos Hash Certificado
Aplicacin a ejecutar

Path Zona Internet

Directivas restrictivas de uso de software

Rehla 1 2 3 4 5 Hash Certificate Path rule Path rule Path rule Tipo de regla Descripcin Hash of pagefileconfig.vbs Valor No permitido

IT management certificate Permitido %windir%\system32\*.vbs Permitido *.vbs %\windir% No permitido Permitido

Demo

Demo
Directivas de Dominio. Cmo restringir el uso de software. Gestin de escritorios

Filtrado de GPOs
Filtrado de seguridad
Podemos definir a qu usuarios y mquinas se les aplicar/denegar la GPO
Buena prctica: Si denegamos una GPO a un usuario, deshabilitar tambin el derecho de lectura. As evitaremos su proceso

Filtrado WMI
Segn atributos hardware (consultas WSQL) podemos definir subgrupos de mquinas por atributos hardware (porttil, memoria)

Herencia de Directivas de Grupo

Orden de enlace Bloqueo de herencia Forzado (No override) Estado de enlace

Distribucin de software

Demo

Demo
Filtrado y herencia. Distribucin de software

Resolucin de problemas
Est mi parmetro listado? S Los resultados del listado son los esperados? No Est en lista de GPOs denegadas?

S 1. Herencia 2. Asncrono 3. Loopback

No 1. Replicacin 2. Refresco 3. Enlace lento

No

1. Filtado 1. mbito 2. GPO no habilitada 2. Refresco 3. Filtro WMI 3. Red

Herramientas
> GPResult.exe > GPMonitor.exe > GPOTool.exe > ADDiag.exe

Uso avanzado (y 2)
Plantillas administrativas Scripting Modelado Procesado de Bucle inverso Migracin de GPOs entre entornos

Plantillas administrativas
Basadas en claves de registro Gestin de mltiples aplicaciones (Resource Kit de Office 2003)

Scripting de GPOs
Respaldo de GPOs Crear una GPO nueva Creacin de entorno usando XML GPMC Importar una GPO Listar GPOs deshabilitadas Interfaz COM Scripts de ejemplo Listar informacin de GPO

Modelado y Resultados
Asistente para modeladoqu pasara si...? Asistente para resultadospor qu no me aplica la configuracin? HTML Reports

Procesado de Bucle inverso

Cambia el orden de procesado de GPOs Procesa slo parmetros de mquina Permite fusionar configuracin de usuario Apropiado para entornos Terminal Server o laboratorios/clases de informtica.

Copia de GPOs entre entornos

Entorno de Test y entorno de Produccin
Dominio dedicado a test Bosque separado con relaciones de confianza Bosque separado

Tablas de migracin necesarias para asegurar que las identidades de seguridad administrativas y los GUIDs son correctamente migrados

Demo

demo
ADMs. Scripting. Modelado

Preguntas?

Enlaces tiles (1)

Windows Server 2003 Group Policy Infrastructure GPMC (Disponible en Espaol) Administering Group Policy with GPMC GPMC Scripting; Automate GPO management tasks Windows 2003 Technical Reference: Group Policy Collection Group Policy Settings Reference Group Policy ADM Files Using Administrative Template Files with Registry-Based Group Policy Administrative Templates Extension Technical Reference

Enlaces tiles (2)

Group Policy Common Scenarios Using GPMC (Ejemplos y Plantillas) Introduction to Server and Domain Isolation with Microsoft Windows Server and Domain Isolation Using IPsec and Group Policy Troubleshooting Group Policy in Microsoft Windows Server Enterprise Logon Scripts Group Policy Inventory (GPInventory.exe) Herramientas de terceros para gestin de Directivas de Grupo

Implementing Common Desktop Management Scenarios with the Group Policy Manag

Enlaces tiles (3) Articulos KB

Comportamiento de la plantilla de directiva de grupo en Windows Server 2003 Recommendations for managing Group Policy administrative template (.adm) files

CMO: Utilizar Directiva de grupo para auditar claves del Registro en Windows Server Serve

Cmo bloquear una sesin de Windows Server 2003 o Windows 2000 Terminal Serve

Webcast en su versin grabada de Directorio Activo

Active Directory - Usos y conceptos bsicos del Directorio Activo Active Directory - Conceptos Avanzados de Directorio Activo Active Directory - La importancia del DNS para el Directorio Activo Active Directory - Replicacin del Directorio Activo

Ms Acciones de Directorio Activo

Active Directory - Mejores Practicas para un buen diseo del Directorio Activo. 27 de Febrero. Active Directory - Chequeo de salud del directorio Activo.13 de Marzo.
Active Directory - Mejores practicas en las operaciones de Directorio Activo.23 de Marzo. Active Directory - Migracin desde Windows NT a Directorio Activo. 6 de Abril.

Active Directory - Uso avanzado del sistema de archivos distribuido (DFS). 20 de Abril Active Directory - Gestin de Identidades (ADAM, MIIS) Para informacin adicional y registro:

http://www.microsoft.com/spain/technet/jornadas/webcasts/def

Ms Acciones desde TechNet

Para ver los webcast grabados sobre ste tema y otros temas, dirjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.asp Para informacin y registro de Futuros Webcast de ste y otros temas dirjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscrbase a nuestro boletn TechNet Flash en sta direccin: http://www.microsoft.com/spain/technet/boletines/default.mspx Para estar informado sobre novedades vea nuestros Its Showtime en: http://www.microsoft.com/spain/technet/itsshowtime/default.aspx Para acceder a toda la informacin, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripcin TechNet en:

http://www.microsoft.com/spain/technet/recursos/cd/default.mspx