Ramon Jiménez, PMPRamon Jiménez, PMPMCSE 2000/2003, CCA, ITILMCSE 2000/2003, CCA, ITILMVP Windows Server System – Infrastructure ArchitectMVP Windows Server System – Infrastructure Architectrjimenezm@hotmail.comrjimenezm@hotmail.com

Uso Avanzado de Uso Avanzado de Directivas de Grupo en Directivas de Grupo en Windows 2003Windows 2003

AgendaAgenda

• Conceptos básicos de Directivas de GrupoConceptos básicos de Directivas de Grupo

• Gestión avanzada de GPO’sGestión avanzada de GPO’s

• Despliegue de softwareDespliegue de software

• Resolución de problemasResolución de problemas

RequisitosRequisitos

• Experiencia previa con servidores WindowsExperiencia previa con servidores Windows

• Experiencia con redes en entornos MicrosoftExperiencia con redes en entornos Microsoft

• Conocimientos básicos de Directorio ActivoConocimientos básicos de Directorio Activo

• Conocimientos básicos de Directivas de GrupoConocimientos básicos de Directivas de Grupo

Conceptos básicosConceptos básicos

• Estructura de Unidades OrganizativasEstructura de Unidades Organizativas

• Perfiles de Usuarios y máquinasPerfiles de Usuarios y máquinas

• Gestión de Directivas de GrupoGestión de Directivas de Grupo

Diseño de Unidades OrganizativasDiseño de Unidades Organizativas

Política local

Sitio

Dominio

UO’s superiores

UO’s Inferiores

Orden de precedencia Orden de precedencia

Cuándo se aplican?Cuándo se aplican?

Arranque y apagadoArranque y apagado

Al Iniciar y finalizar sesiónAl Iniciar y finalizar sesión

A intervalos definidosA intervalos definidos

Forzándolas con GPUpdate.exeForzándolas con GPUpdate.exe

Procesado de GPO’sProcesado de GPO’s

SíncronoSíncrono

AsíncronoAsíncrono

GPMC y Escenarios ComunesGPMC y Escenarios Comunes

• GMPCGMPC– Interfaz común para gestionar todas las GPO’sInterfaz común para gestionar todas las GPO’s– Edición, copias de seguridad, migraciónEdición, copias de seguridad, migración– Listados, resolución de problemas, modeladoListados, resolución de problemas, modelado

• Escenarios comunes para estacionesEscenarios comunes para estaciones– Poco gestionadaPoco gestionada– MóvilMóvil– MultiUsuarioMultiUsuario– Estación de aplicacionesEstación de aplicaciones– Estación de TareasEstación de Tareas– QuioscoQuiosco

DemoDemo

Unidades Organizativas y Gestión básica de GPO’s. Entorno de test y producción. Iniciación a GPMC

Demo

Uso avanzado (1)Uso avanzado (1)• Directivas de seguridad de DominioDirectivas de seguridad de Dominio

• Directivas de restricción de softwareDirectivas de restricción de software

• Gestión de escritorios usuariosGestión de escritorios usuarios

• Filtrado y herenciaFiltrado y herencia

• Distribución de SoftwareDistribución de Software

• Resolución de problemasResolución de problemas

Configuraciones de seguridad a Configuraciones de seguridad a nivel de dominionivel de dominio

• Directivas de cuentas de usuarioDirectivas de cuentas de usuario

• Directivas locales y KerberosDirectivas locales y Kerberos

• Directivas IPSecDirectivas IPSec

• Directivas de Seguridad de Registro y sistema Directivas de Seguridad de Registro y sistema

de ficherosde ficheros

Tipos

Políticas restrictivas de uso de Políticas restrictivas de uso de softwaresoftware

Aplicación a ejecutar

Hash

Certificado

Path

Zona Internet

Directivas restrictivas de uso de Directivas restrictivas de uso de softwaresoftware

RehlaRehla Tipo de reglaTipo de regla DescripciónDescripción ValorValor

11 HashHash Hash of Hash of pagefileconfig.vbspagefileconfig.vbs

No permitidoNo permitido

22 CertificateCertificate IT management IT management certificatecertificate

PermitidoPermitido

33 Path rulePath rule %windir%\system32\%windir%\system32\*.vbs*.vbs

PermitidoPermitido

44 Path rulePath rule *.vbs*.vbs No permitidoNo permitido

55 Path rulePath rule %\windir%%\windir% PermitidoPermitido

DemoDemo

Directivas de Dominio. Cómo restringir el uso de software. Gestión de escritorios

Demo

Filtrado de GPO’sFiltrado de GPO’s

• Filtrado de seguridadFiltrado de seguridad

– Podemos definir a qué usuarios y máquinas se les aplicará/denegará la Podemos definir a qué usuarios y máquinas se les aplicará/denegará la

GPOGPO

• Filtrado WMIFiltrado WMI

– Según atributos hardware (consultas WSQL) podemos definir sub-Según atributos hardware (consultas WSQL) podemos definir sub-

grupos de máquinas por atributos hardware (portátil, memoria)grupos de máquinas por atributos hardware (portátil, memoria)

Buena práctica: Si denegamos una GPO a un usuario, deshabilitar también el derecho de lectura. Así evitaremos su proceso

Buena práctica: Si denegamos una GPO a un usuario, deshabilitar también el derecho de lectura. Así evitaremos su proceso

Herencia de Directivas de GrupoHerencia de Directivas de Grupo

• Orden de enlaceOrden de enlace

• Bloqueo de herenciaBloqueo de herencia

• Forzado (“No override”)Forzado (“No override”)

• Estado de enlaceEstado de enlace

Distribución de softwareDistribución de software

DemoDemo

Filtrado y herencia.Distribución de software

Demo

Resolución de problemasResolución de problemas

¿Los resultados del listado son los esperados?

Sí No¿Está mi parámetro listado?

¿Está en lista de GPO’s

denegadas?

1. Herencia2. Asíncrono3. Loopback

1. Replicación2. Refresco3. Enlace lento

1. Filtado2. GPO no habilitada3. Filtro WMI

1. Ámbito2. Refresco3. Red

Sï No Sí No

HerramientasHerramientas

>> GPResult.exeGPResult.exe

>> GPMonitor.exeGPMonitor.exe

>> GPOTool.exeGPOTool.exe

>> ADDiag.exeADDiag.exe

Uso avanzado (y 2)Uso avanzado (y 2)

• Plantillas administrativasPlantillas administrativas

• ScriptingScripting

• ModeladoModelado

• Procesado de Bucle inversoProcesado de Bucle inverso

• Migración de GPO’s entre entornosMigración de GPO’s entre entornos

Plantillas administrativasPlantillas administrativas

• Basadas en claves de registroBasadas en claves de registro

• Gestión de múltiples aplicaciones (Resource Kit Gestión de múltiples aplicaciones (Resource Kit

de Office 2003) de Office 2003)

Scripting de GPO’sScripting de GPO’s

GPMC

Interfaz

COM

Scripts de

ejemplo

Respaldo de GPOs

Crear una GPO nueva

Creación de entorno usando XML

Importar una GPO

Listar GPOs deshabilitadas

Listar información de GPO

Modelado y ResultadosModelado y Resultados

• Asistente para modelado…¿qué pasaría si...?Asistente para modelado…¿qué pasaría si...?

• Asistente para resultados…¿por qué no me Asistente para resultados…¿por qué no me

aplica la configuración? aplica la configuración?

• HTML ReportsHTML Reports

Procesado de Bucle inversoProcesado de Bucle inverso

• Cambia el orden de procesado de GPOs’Cambia el orden de procesado de GPOs’

• Procesa sólo parámetros de máquinaProcesa sólo parámetros de máquina

• Permite fusionar configuración de usuarioPermite fusionar configuración de usuario

• Apropiado para entornos Terminal Server o Apropiado para entornos Terminal Server o

laboratorios/clases de informática.laboratorios/clases de informática.

Copia de GPO’s entre entornosCopia de GPO’s entre entornos

• Entorno de Test y entorno de ProducciónEntorno de Test y entorno de Producción

– Dominio dedicado a testDominio dedicado a test

– Bosque separado con relaciones de confianzaBosque separado con relaciones de confianza

– Bosque separadoBosque separado

• Tablas de migración necesarias para asegurar que las Tablas de migración necesarias para asegurar que las

identidades de seguridad administrativas y los GUID’s son identidades de seguridad administrativas y los GUID’s son

correctamente migradoscorrectamente migrados

DemoDemo

ADM’s. Scripting. Modelado

demo

¿Preguntas?¿Preguntas?

• Windows Server 2003 Group Policy InfrastructureWindows Server 2003 Group Policy Infrastructure

• GPMCGPMC (Disponible en Español) (Disponible en Español)

• Administering Group Policy with Administering Group Policy with GPMCGPMC

• GPMCGPMC ScriptingScripting; ; AutomateAutomate GPOGPO managementmanagement taskstasks

• Windows 2003 Technical Windows 2003 Technical ReferenceReference: : GroupGroup PolicyPolicy CollectionCollection

• GroupGroup PolicyPolicy SettingsSettings ReferenceReference

• GroupGroup PolicyPolicy ADMADM Files Files

• Using Administrative Template Files with Registry-Based Group PolicyUsing Administrative Template Files with Registry-Based Group Policy

• Administrative Templates Extension Technical ReferenceAdministrative Templates Extension Technical Reference

Enlaces útiles (1)Enlaces útiles (1)

• Implementing Common Desktop Management Scenarios with the Group Policy ManaImplementing Common Desktop Management Scenarios with the Group Policy Management Console (Whitepaper)gement Console (Whitepaper)

• Group Policy Common Scenarios Using Group Policy Common Scenarios Using GPMCGPMC ( (EjemplosEjemplos y y PlantillasPlantillas))

• Introduction to Server and Domain Isolation with Microsoft WindowsIntroduction to Server and Domain Isolation with Microsoft Windows

• Server and Domain Isolation Using Server and Domain Isolation Using IPsecIPsec and Group Policy and Group Policy

• Troubleshooting Group Policy in Microsoft® Windows® ServerTroubleshooting Group Policy in Microsoft® Windows® Server

• Enterprise Logon ScriptsEnterprise Logon Scripts

• Group Policy Inventory (Group Policy Inventory (GPInventory.exeGPInventory.exe))

• Herramientas de terceros para gestión de Directivas de GrupoHerramientas de terceros para gestión de Directivas de Grupo

Enlaces útiles (2)Enlaces útiles (2)

• Comportamiento de la plantilla de directiva de grupo en Windows Server 2003Comportamiento de la plantilla de directiva de grupo en Windows Server 2003

• Recommendations for managing Group Policy administrative template (.Recommendations for managing Group Policy administrative template (.admadm) files) files

• CÓMO: Utilizar Directiva de grupo para auditar claves del Registro en Windows ServCÓMO: Utilizar Directiva de grupo para auditar claves del Registro en Windows Server 2003er 2003

• Cómo bloquear una sesión de Windows Server 2003 o Windows 2000 Terminal ServCómo bloquear una sesión de Windows Server 2003 o Windows 2000 Terminal Serverer

Enlaces útiles (3) – Articulos KBEnlaces útiles (3) – Articulos KB

Webcast en su versión grabada de Webcast en su versión grabada de Directorio ActivoDirectorio Activo

• Active Directory - Usos y conceptos básicos Active Directory - Usos y conceptos básicos del Directorio Activodel Directorio Activo

• Active Directory - Conceptos Avanzados de Active Directory - Conceptos Avanzados de Directorio ActivoDirectorio Activo

• Active Directory - La importancia del DNS Active Directory - La importancia del DNS para el Directorio Activopara el Directorio Activo

• Active Directory - Replicación del Directorio Active Directory - Replicación del Directorio ActivoActivo

Más Acciones de Directorio ActivoMás Acciones de Directorio Activo

• Active Directory - Mejores Practicas para un buen diseño del Directorio Active Directory - Mejores Practicas para un buen diseño del Directorio Activo. 27 de Febrero.Activo. 27 de Febrero.

• Active Directory - Chequeo de salud del directorio Activo.13 de Marzo.Active Directory - Chequeo de salud del directorio Activo.13 de Marzo.• Active Directory - Mejores practicas en las operaciones de Directorio Activo.23 Active Directory - Mejores practicas en las operaciones de Directorio Activo.23

de Marzo.de Marzo.• Active Directory - Migración desde Windows NT a Directorio Activo. 6 de Abril.Active Directory - Migración desde Windows NT a Directorio Activo. 6 de Abril.

• Active Directory - Uso avanzado del sistema de archivos distribuido Active Directory - Uso avanzado del sistema de archivos distribuido (DFS). 20 de Abril(DFS). 20 de Abril

• Active Directory - Gestión de Identidades (ADAM, MIIS)Active Directory - Gestión de Identidades (ADAM, MIIS)• Para información adicional y registro:Para información adicional y registro:

– http://www.microsoft.com/spain/technet/jornadas/http://www.microsoft.com/spain/technet/jornadas/webcasts/default.aspwebcasts/default.asp

Más Acciones desde TechNetMás Acciones desde TechNet

• Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:

– http://www.microsoft.com/spain/technet/jornadas/webcasts/http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspwebcasts_ant.asp

• Para información y registro de Futuros Webcast de éste y otros temas Para información y registro de Futuros Webcast de éste y otros temas diríjase a:diríjase a:

– http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asphttp://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp

• Para mantenerse informado sobre todos los Eventos, Seminarios y webcast Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección:suscríbase a nuestro boletín TechNet Flash en ésta dirección:

– http://www.microsoft.com/spain/technet/boletines/default.mspxhttp://www.microsoft.com/spain/technet/boletines/default.mspx

• Para estar informado sobre novedades vea nuestros It´s Showtime en: Para estar informado sobre novedades vea nuestros It´s Showtime en:

– http://www.microsoft.com/spain/technet/itsshowtime/default.aspxhttp://www.microsoft.com/spain/technet/itsshowtime/default.aspx

• Para acceder a toda la información, betas, actualizaciones, recursos, puede Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en:suscribirse a Nuestra Suscripción TechNet en:

– http://www.microsoft.com/spain/technet/recursos/cd/default.mspxhttp://www.microsoft.com/spain/technet/recursos/cd/default.mspx