1. Ramon Jiménez, PMP
MCSE 2000/2003, CCA, ITIL
MVP Windows Server System – Infrastructure Architect
rjimenezm@hotmail.com
Uso Avanzado de
Directivas de Grupo en
Windows 2003
2. Agenda
• Conceptos básicos de Directivas de Grupo
• Gestión avanzada de GPO’s
• Despliegue de software
• Resolución de problemas
3. Requisitos
• Experiencia previa con servidores Windows
• Experiencia con redes en entornos Microsoft
• Conocimientos básicos de Directorio Activo
• Conocimientos básicos de Directivas de
Grupo
4. Conceptos básicos
• Estructura de Unidades Organizativas
• Perfiles de Usuarios y máquinas
• Gestión de Directivas de Grupo
9. GPMC y Escenarios Comunes
• GMPC
– Interfaz común para gestionar todas las GPO’s
– Edición, copias de seguridad, migración
– Listados, resolución de problemas, modelado
• Escenarios comunes para estaciones
– Poco gestionada
– Móvil
– MultiUsuario
– Estación de aplicaciones
– Estación de Tareas
– Quiosco
11. Uso avanzado (1)
• Directivas de seguridad de Dominio
• Directivas de restricción de software
• Gestión de escritorios usuarios
• Filtrado y herencia
• Distribución de Software
• Resolución de problemas
12. Configuraciones de seguridad a
nivel de dominio
• Directivas de cuentas de usuario
• Directivas locales y Kerberos
• Directivas IPSec
• Directivas de Seguridad de Registro y sistema
de ficheros
14. Directivas restrictivas de uso de
software
Rehla Tipo de regla Descripción Valor
1 Hash Hash of
pagefileconfig.vbs
No permitido
2 Certificate IT management
certificate
Permitido
3 Path rule %windir%system32*.vb
s
Permitido
4 Path rule *.vbs No permitido
5 Path rule %windir% Permitido
16. Filtrado de GPO’s
• Filtrado de seguridad
– Podemos definir a qué usuarios y máquinas se les aplicará/denegará la
GPO
• Filtrado WMI
– Según atributos hardware (consultas WSQL) podemos definir sub-
grupos de máquinas por atributos hardware (portátil, memoria)
Buena práctica: Si denegamos una GPO a un usuario,
deshabilitar también el derecho de lectura. Así evitaremos su
proceso
17. Herencia de Directivas de Grupo
• Orden de enlace
• Bloqueo de herencia
• Forzado (“No override”)
• Estado de enlace
20. Resolución de problemas
¿Los resultados
del listado son los
esperados?
Sí No
¿Está mi
parámetro
listado?
¿Está en
lista de
GPO’s
denegadas?
1. Herencia
2. Asíncrono
3. Loopback
1. Replicación
2. Refresco
3. Enlace lento
1. Filtado
2. GPO no habilitada
3. Filtro WMI
1. Ámbito
2. Refresco
3. Red
Sï No Sí No
25. Modelado y Resultados
• Asistente para modelado…¿qué pasaría si...?
• Asistente para resultados…¿por qué no me
aplica la configuración?
• HTML Reports
26. Procesado de Bucle inverso
• Cambia el orden de procesado de GPOs’
• Procesa sólo parámetros de máquina
• Permite fusionar configuración de usuario
• Apropiado para entornos Terminal Server o
laboratorios/clases de informática.
27. Copia de GPO’s entre entornos
• Entorno de Test y entorno de Producción
– Dominio dedicado a test
– Bosque separado con relaciones de confianza
– Bosque separado
• Tablas de migración necesarias para asegurar que las
identidades de seguridad administrativas y los GUID’s son
correctamente migrados
30. • Windows Server 2003 Group Policy Infrastructure
• GPMC (Disponible en Español)
• Administering Group Policy with GPMC
• GPMC Scripting; Automate GPO management tasks
• Windows 2003 Technical Reference: Group Policy Collection
• Group Policy Settings Reference
• Group Policy ADM Files
• Using Administrative Template Files with Registry-Based Group Policy
• Administrative Templates Extension Technical Reference
Enlaces útiles (1)
31. • Implementing Common Desktop Management Scenarios with the Group Policy
Management Console (Whitepaper)
• Group Policy Common Scenarios Using GPMC (Ejemplos y Plantillas)
• Introduction to Server and Domain Isolation with Microsoft Windows
• Server and Domain Isolation Using IPsec and Group Policy
• Troubleshooting Group Policy in Microsoft® Windows® Server
• Enterprise Logon Scripts
• Group Policy Inventory (GPInventory.exe)
• Herramientas de terceros para gestión de Directivas de Grupo
Enlaces útiles (2)
32. • Comportamiento de la plantilla de directiva de grupo en Windows Server 2003
• Recommendations for managing Group Policy administrative template (.adm) files
• CÓMO: Utilizar Directiva de grupo para auditar claves del Registro en Windows
Server 2003
• Cómo bloquear una sesión de Windows Server 2003 o Windows 2000 Terminal
Server
Enlaces útiles (3) – Articulos KB
33. Webcast en su versión grabada de
Directorio Activo
• Active Directory - Usos y conceptos básicos
del Directorio Activo
• Active Directory - Conceptos Avanzados de
Directorio Activo
• Active Directory - La importancia del DNS
para el Directorio Activo
• Active Directory - Replicación del Directorio
Activo
34. Más Acciones de Directorio Activo
• Active Directory - Mejores Practicas para un buen diseño del Directorio
Activo. 27 de Febrero.
• Active Directory - Chequeo de salud del directorio Activo.13 de Marzo.
• Active Directory - Mejores practicas en las operaciones de Directorio Activo.23
de Marzo.
• Active Directory - Migración desde Windows NT a Directorio Activo. 6 de Abril.
• Active Directory - Uso avanzado del sistema de archivos distribuido
(DFS). 20 de Abril
• Active Directory - Gestión de Identidades (ADAM, MIIS)
• Para información adicional y registro:
– http://www.microsoft.com/spain/technet/jornadas/webcast
s/default.asp
35. Más Acciones desde TechNet
• Para ver los webcast grabados sobre éste tema y otros temas, diríjase a:
– http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.
asp
• Para información y registro de Futuros Webcast de éste y otros temas
diríjase a:
– http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp
• Para mantenerse informado sobre todos los Eventos, Seminarios y webcast
suscríbase a nuestro boletín TechNet Flash en ésta dirección:
– http://www.microsoft.com/spain/technet/boletines/default.mspx
• Para estar informado sobre novedades vea nuestros It´s Showtime en:
– http://www.microsoft.com/spain/technet/itsshowtime/default.aspx
• Para acceder a toda la información, betas, actualizaciones, recursos, puede
suscribirse a Nuestra Suscripción TechNet en:
– http://www.microsoft.com/spain/technet/recursos/cd/default.mspx