Uso Avanzado de

Directivas de Grupo en
Windows 2003

Ramon Jiménez, PMP

MCSE 2000/2003, CCA, ITIL
MVP Windows Server System – Infrastructure Architect
rjimenezm@hotmail.com
Agenda

• Conceptos básicos de Directivas de Grupo

• Gestión avanzada de GPO’s
• Despliegue de software
• Resolución de problemas
Requisitos

• Experiencia previa con servidores Windows

• Experiencia con redes en entornos Microsoft
• Conocimientos básicos de Directorio Activo
• Conocimientos básicos de Directivas de
Grupo
Conceptos básicos
• Estructura de Unidades Organizativas
• Perfiles de Usuarios y máquinas
• Gestión de Directivas de Grupo
Diseño de Unidades Organizativas
Orden de precedencia

UO’s Inferiores

UO’s superiores

Dominio

Sitio

Política local
Cuándo se aplican?

Arranque y apagado

Al Iniciar y finalizar sesión

A intervalos definidos

Forzándolas con GPUpdate.exe

Procesado de GPO’s
Síncrono

Asíncrono
GPMC y Escenarios Comunes
• GMPC
– Interfaz común para gestionar todas las GPO’s
– Edición, copias de seguridad, migración
– Listados, resolución de problemas, modelado

• Escenarios comunes para estaciones

– Poco gestionada
– Móvil
– MultiUsuario
– Estación de aplicaciones
– Estación de Tareas
– Quiosco
Demo

Demo
Unidades Organizativas y Gestión
básica de GPO’s. Entorno de test
y producción. Iniciación a GPMC
Uso avanzado (1)

• Directivas de seguridad de Dominio

• Directivas de restricción de software
• Gestión de escritorios usuarios
• Filtrado y herencia
• Distribución de Software
• Resolución de problemas
 Configuraciones de seguridad a
nivel de dominio
• Directivas de cuentas de usuario
• Directivas locales y Kerberos
• Directivas IPSec
• Directivas de Seguridad de Registro y sistema
de ficheros
Políticas restrictivas de uso de
software
Tipos

Hash

Certificado

Aplicación a Path
ejecutar

Zona Internet
Directivas restrictivas de uso de
software
Rehla Tipo de regla Descripción Valor
1 Hash Hash of No permitido
pagefileconfig.vbs

2 Certificate IT management Permitido

certificate

3 Path rule %windir%\system32\*.vb Permitido

s

4 Path rule *.vbs No permitido

5 Path rule %\windir% Permitido
Demo

Demo
Directivas de Dominio. Cómo
restringir el uso de software.
Gestión de escritorios
Filtrado de GPO’s

• Filtrado de seguridad
– Podemos definir a qué usuarios y máquinas se les aplicará/denegará la
GPO

Buena práctica: Si denegamos una GPO a un usuario,

deshabilitar también el derecho de lectura. Así evitaremos su
proceso

• Filtrado WMI
– Según atributos hardware (consultas WSQL) podemos definir sub-
grupos de máquinas por atributos hardware (portátil, memoria)
Herencia de Directivas de Grupo

• Orden de enlace

• Bloqueo de herencia

• Forzado (“No override”)

• Estado de enlace
Distribución de software
Demo

Demo
Filtrado y herencia.
Distribución de software
Resolución de problemas
¿Está mi Sí No ¿Está en
parámetro lista de
listado? GPO’s
¿Los resultados denegadas?
del listado son los
esperados?

Sï No Sí No

1. Herencia 1. Replicación 1. Filtado 1. Ámbito

2. Asíncrono 2. Refresco 2. GPO no habilitada 2. Refresco
3. Loopback 3. Enlace lento 3. Filtro WMI 3. Red
Herramientas

> GPResult.exe

> GPMonitor.exe

> GPOTool.exe

> ADDiag.exe
Uso avanzado (y 2)

• Plantillas administrativas
• Scripting
• Modelado
• Procesado de Bucle inverso
• Migración de GPO’s entre entornos
Plantillas administrativas

• Basadas en claves de registro

• Gestión de múltiples aplicaciones (Resource

Kit de Office 2003)
Scripting de GPO’s

Respaldo de GPOs

Crear una GPO nueva

Creación de entorno usando XML

GPMC
Importar una GPO

Listar GPOs deshabilitadas

Interfaz Scripts Listar información de GPO

de
COM
ejemplo
Modelado y Resultados

• Asistente para modelado…¿qué pasaría si...?

• Asistente para resultados…¿por qué no me

aplica la configuración?

• HTML Reports
Procesado de Bucle inverso

• Cambia el orden de procesado de GPOs’

• Procesa sólo parámetros de máquina

• Permite fusionar configuración de usuario

• Apropiado para entornos Terminal Server o

laboratorios/clases de informática.
Copia de GPO’s entre entornos

• Entorno de Test y entorno de Producción

– Dominio dedicado a test

– Bosque separado con relaciones de confianza

– Bosque separado

• Tablas de migración necesarias para asegurar que las

identidades de seguridad administrativas y los GUID’s son
correctamente migrados
Demo

demo
ADM’s. Scripting. Modelado
¿Preguntas?
Enlaces útiles (1)
• Windows Server 2003 Group Policy Infrastructure

• GPMC (Disponible en Español)

• Administering Group Policy with GPMC
• GPMC Scripting; Automate GPO management tasks
• Windows 2003 Technical Reference: Group Policy Collection

• Group Policy Settings Reference

• Group Policy ADM Files
• Using Administrative Template Files with Registry-Based Group Policy
• Administrative Templates Extension Technical Reference
Enlaces útiles (2)
• Implementing Common Desktop Management Scenarios with the Group Policy Manage

• Group Policy Common Scenarios Using GPMC (Ejemplos y Plantillas)

• Introduction to Server and Domain Isolation with Microsoft Windows

• Server and Domain Isolation Using IPsec and Group Policy

• Troubleshooting Group Policy in Microsoft® Windows® Server

• Enterprise Logon Scripts

• Group Policy Inventory (GPInventory.exe)

• Herramientas de terceros para gestión de Directivas de Grupo

Enlaces útiles (3) – Articulos KB
• Comportamiento de la plantilla de directiva de grupo en Windows Server 2003

• Recommendations for managing Group Policy administrative template (.adm) files

• CÓMO: Utilizar Directiva de grupo para auditar claves del Registro en Windows Server

• Cómo bloquear una sesión de Windows Server 2003 o Windows 2000 Terminal Server
Webcast en su versión grabada de
Directorio Activo
• Active Directory - Usos y conceptos básicos
del Directorio Activo
• Active Directory - Conceptos Avanzados de
Directorio Activo
• Active Directory - La importancia del DNS
para el Directorio Activo
• Active Directory - Replicación del Directorio
Activo
Más Acciones de Directorio Activo

• Active Directory - Mejores Practicas para un buen diseño del Directorio

Activo. 27 de Febrero.
• Active Directory - Chequeo de salud del directorio Activo.13 de Marzo.
• Active Directory - Mejores practicas en las operaciones de Directorio Activo.23
de Marzo.
• Active Directory - Migración desde Windows NT a Directorio Activo. 6 de Abril.
• Active Directory - Uso avanzado del sistema de archivos distribuido
(DFS). 20 de Abril
• Active Directory - Gestión de Identidades (ADAM, MIIS)
• Para información adicional y registro:
– http://www.microsoft.com/spain/technet/jornadas/
webcasts/default.asp
Más Acciones desde TechNet
• Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:
– http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.asp
• Para información y registro de Futuros Webcast de éste y otros temas
diríjase a:
– http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp
• Para mantenerse informado sobre todos los Eventos, Seminarios y webcast
suscríbase a nuestro boletín TechNet Flash en ésta dirección:
– http://www.microsoft.com/spain/technet/boletines/default.mspx
• Para estar informado sobre novedades vea nuestros It´s Showtime en:
– http://www.microsoft.com/spain/technet/itsshowtime/default.aspx
• Para acceder a toda la información, betas, actualizaciones, recursos, puede
suscribirse a Nuestra Suscripción TechNet en:
– http://www.microsoft.com/spain/technet/recursos/cd/default.mspx