320 likes | 602 Vues
Group Policy Objects. Marc Salvador MVP Windows Server – Directory Services MCSA / MCSE 2003 MCTS: Windows Server 2008 marcs@mvps.org. ¿Qué es una Group Policy Object (GPO)?
E N D
Group Policy Objects Marc Salvador MVP Windows Server – Directory Services MCSA / MCSE 2003 MCTS: Windows Server 2008 marcs@mvps.org
¿Qué es una GroupPolicyObject(GPO)? Esunacolección de políticasque se aplican de modocentralizado a objetos del DirecotrioActivotales comoequipos, aplicaciones y/o usuarios ¿Para qué sirven? Sirven para crear, mantener y establecer diferentes configuraciones y comportamientos sobre los objetos del Directorio Activo sobre los que aplicamos esas GPOs. ¿Cómo las usamos? Esta es la gran pregunta. Y no tiene una única respuesta pero se puede resumir en «depende» GroupPolicyObjects
Toda GPO está basada en unos valores por defecto, configurados. Existen también unas «Plantillas administrativas» donde se establecen la gran mayoría de configuraciones. Estas plantillas son personalizables, Por defecto, hay dos GPOs aplicadas: La Default DomainPolicy, que viene por defecto y se crea al crear el dominio. La Default DomainControllersPolicy, que está aplicada sobre la OU «DomainControllers» Estructura de una GPO
En versiones anteriores de Windows 2008: Son archivos de texto de extensión .adm. Se guardan dentro de %SystemRoot%\Inf Son complicados de entender y gestionar A partir de Windows 2008: Son archivos XML de extenxion .admx y .adml Se facilita su comprensión al separar la política en sí (.admx) del idioma de la misma (.adml) Los .admx, se guardan en %SystemRoot%\policyDefinitions Los .adml, en %SystemRoot%\PolicyDefinitions\[MUICulture] Estructura de una GPO
Archivos .adm Estructura de una GPO
Archivos .admx y .adml . Estructura de una GPO
¿Dónde y cómo se aplican? • Las GPOs se pueden aplicar sobre los siguientes objetos del Directorio Activo • Usuarios • Equipos • La aplicación de las mismas se hace «linkandolas» sobre el dominio directamente, sobre el site o sobre Unidades Organizativas (OUs). • No es posible aplicar una GPO sobre un grupo, pero sí usar grupos para definir alcances y filtrados de las mismas. • El orden de aplicación de las GPOs es: • Primero las locales, seguidas de las de Site, Dominio y finalmente, OUs
¿Dónde y cómo se aplican? • Se puede configurar cómo se comportan las GPOs una vez implantadas: • No override: CualquierGPO puedeestablecersecomo “No Override”, estoes, que no sobreescriba los valores de otras GPOs aplicadas en sumismonivel. • Block policyinheritance: Si se activa esta propiedad, se bloquea la aplicación de cualquier GPO de nivel superior y sólo es afectiva la última aplicada. Si hay más de una, la suma de las últimas. Las GPOs configuradas con «No override» se siguen aplicando. • Loopbackprocessing: Literalmente, procesamiengo inverso de las GPOs. Casi imprescindible en entornos de Terminal Services, pero no exclusivo. Funcionan en modo «Merge» o «Replace»
¿Dónde y cómo se aplican? • El resultado de la aplicación de mútiplesGPOs en diferentes niveles: • Un valor de GPO (Enabled o Disabledconfigurado en una OU “padre”, y el mismo valor sin configurar en las OUs “hijas” hacequeéstasheredenese valor. • Un valor de GPO (Enabled o Disabledconfigurado en una OU “padre”, y el mismo valor configuradoen las OUs “hijas” hacequeéstassobreescribanese valor. • Si unapolítica no estádefinida o configurada, no se hereda. • Diferentesvalores compatibles en diferentes GPOs configurados en una UO “padre” y una OU “hija” provocaquesusvalores se sumen. SI no lo son, no se heredan.
Gestión de GPOs • ¿Qué herramientas tenemos para la gestión de las GPOs? • Muchas y varias: GPMC, GPResult, GPUpdate, RSoP… • Hagamos un poco de historia • ¿Cómo se gestionaban en Windows 2000 Server? • ¿Y en Windows Server 2003 / R2? • Las novedades de Windows Server 2008 • Las mejoras de Windows Server 2008 R2
Windows 2000 Server • El inicio de todo. Bueno, en NT4 existía «PolEdit» pero no era lo mismo. • La no-consola de Administración. • En efecto, no existía una consola donde se centralizara la gestión y creación de GPOs • ¿Cómo se hacía, entonces?: Sencillo, usando el método tradicional: papel y bolígrafo • Es decir, era complicado saber qué GPOs estaban aplicando y cómo
Windows 2000 Server • El número de parámetros configurables en Windows 2000 era de unos 400/450. • Era difícil diseñarlas y mantenerlas. • Para refrescar y/o forzar la aplicación de nuevas GPOs, se usa el comando: • secedit /refreshpolicy
Windows Server 2003 / R2 • Hereda todo lo bueno de Windows 2000 Server… • … y se añaden del orden de 1.200 «settings» a configurar, teniendo del orden de 1.600 posibles valores por GPO. Sin contar con el resto de «Administrativetemplates» que es posible añadir, como los de Office. • También se añaden más herramientas para el control y el modelaje: • La administración mejora con la incorporación de la GroupPolicy Management Console, aka GPMC 1.1, de descarga separada y gratuita. • Se añade la opción de «backup/restore» de GPOs
Gestión: Windows Server 2003 • Otras cosas interesantes: • Se posibilida la importación/exportación, el Copiar/Pegar de las GPOs y se integran con Windows Management Instrumentation (WMI) parafiltrar la aplicación y alcance • Se simplifica la administración de las GPOs en cuanto a lasconfiguracionesrelacionadas con la seguridad. • Desde la GPMC, esposibleobtener un resumen de la GPO en formato HTML. • Tambiéndesde la GPMC, esposible saber cuálserá el resultado de aplicación de la GPO (RSoP) antes de aplicarlasobre un objeto.
Gestión: Windows Server 2003 • Más mejoras • Microsoft publica una herramienta para inventariar las GPOs: GPInventory • El comando «secedit» es substituido por «gpudate» • Existe la opción de comprobar y arreglar GPOs corruptas con «dcgpofix», incluso la Default DomainPolicy • Se añade texto descriptivo en cada GPO para facilitar su comprensión y los efectos de activar/desactivar sus parámetros
Gestión: Windows Server 2003 • Una imagen de la GMPC
Gestión: Windows Server 2008 • También hereda todo lo bueno de Windows 2003 Server… • … y se añaden del orden de 800 «settings» a configurar, teniendo del orden de casi 2.500 valores por GPO. • El editor de GPOs cambia, integrando de modo nativo el «PolicyMaker», una versión mucho más sencilla, fácil y potente. • La GPMC viene de serie, pero en versión 2.0
Gestión: Windows Server 2008 • Una de las grandes novedades: las StarterGPOs • Una «Starter GPO» es una GPO «especial» de «Sólo lectura» que deriva de una GPO «normal» y que contiene las configuraciones base para un escenario concreto. Son GPOs «pre-definidas» • Tienen la limitación de que sólo es posible configurar parámetros del apartado «AdministrativeTemplates» • La gran ventajaesque se puedenusarcomoplantillasparacrear de modorápidounaserie de GPOs dondesólovaríanunospocoparámetrosespecíficos.
Windows Server 2008 • Una de las grandes novedades de 2008: las StarterGPOs • Una «Starter GPO» es una GPO «especial» de «Sólo lectura» que deriva de una GPO «normal» y que contiene las configuraciones base para un escenario concreto. Son GPOs «pre-definidas» • Son exportables entre dominios y bosques. • Esposibleañadircomentarios a las GPOs, a modo de textodescriptivo
Windows Server 2008 • Tienen la limitación de que sólo es posible configurar parámetros del apartado «AdministrativeTemplates»
Windows Server 2008 • La gran ventajaesque se puedenusarcomoplantillasparacrear de modorápidounaserie de GPOs dondesólovaríanunospocoparámetrosespecíficos.
Windows Server 2008 • Desde la GPMC es posible realizar búsquedas de GPOs, filtrando por diferentes criterios: • Tipos de GPO • Por palabras • Por requerimientos de la GPO
Windows Server 2008 • Ejemplo de búsqueda por Requeimiento de la GPO
Windows Server 2008 • GroupPolicyPreferences, o cómo simplificar la vida a los administradores. • Las GP Preferences permiten: • Asignarrecursoscompartidos y/o impresoras a usuarios o grupos • Tareas de copias de archivos • Accesosdirectos en el Escritorio • Creación de enlaces ODBC • Y, muyinteresante, creación de valores en lasramas de registroparaaplicaciones no administrables via GPOs
Windows Server 2008 • Consola de GroupPolicyPreferences
Gestión: Windows Server 2008 • Consola de GroupPolicy Management Editor
Gestión: Windows Server 2008 R2 • La versión R2 de Windows Server 2008 introduce las SystemStarterGPOs • Una «SystemStarter GPO» también es una GPO «especial» de «Sólo lectura» que deriva de una Starter GPO y que también contiene las configuraciones base para un escenario concreto. • También introduce la opción de administrarlas a travésalgunos de los 25 cmdlets de PowerShell v2.0 • Creación, eliminación, backup e importación
Gestión: Windows Server 2008 R2 • PowerShel 2.0 • Asociar GPOs con contenedores de Active Directory: creación de links, actualización y eliminación. • Gestión de la herencia entre OUs • Configuración de Group Policy Preferences • Creación y edición de Starter GPOs
Gestión: Windows Server 2008 R2 • Se añaden nuevas funcionalidades a las GroupPolicyPreferences, tales como: • Control de la Gestión de energía • Control de las Tareas programadas • Control de la personalización de Internet Explorer 8 • Control sobre las Tareas imediatas
Turno de preguntas y respuestas Es el momento de las dudas y aclaraciones. Adelante, pues