presentacion politicas de grupo ( gpo )

1. Microsoft®
Official Course
Modulo 4
Implementar una infraestructura de
políticas de grupo

2. Presentación del modulo
• Introducción a las Group Policy
• Implementar y administrar GPOs
• Ámbito y procesamiento de las Group Policy
• Resolución de problemas con GPOs

3. Lección 1: Introducción a las Group Policy
• ¿Cómo se administran?
• Presentación de las Group Policies
• Beneficios de usar Group Policy
• Group Policy Objects
• Ámbito de las GPO
• Group Policy Cliente y extensiones Client-Side
• Demostración: Cómo crear y configurar una GPO

4. ¿Cómo se administran?
•La configuración de una GPO permite administrar
de forma centralizada uno o más usuarios
•Las claves de los elementos a configurar son:
• Configuración
• Ámbito
• Aplicación

5. Presentación de las Group Policies
El componente más granular de la directiva de
grupo se conoce como "política" y define un
cambio de configuración específica
La configuración de una política puede tener tres estados:
• Not Configured
• Enabled
• Disabled
•Algunas configuraciones son complejas, y el efecto
de habilitar o no habilitar no aparece tan obvio.

6. Beneficios de usar Group Policy
•Las Group Policies son poderosas herramientas
administrativas. Las puede utilizar para hacer
cumplir los distintos tipos de configuraciones para
un gran número de usuarios y equipos
•Habitualmente, las GPOs se usan en los siguientes
casos:
• Aplicar configuraciones de seguridad
• Administrar configuraciones de aplicaciones de escritorio
• Implementar aplicaciones de software
• Administrar re-direccionamiento de carpetas
• Configurar ajustes de red

7. Group Policy Objects
Una GPO es:
• Un contenedor para una o más configuraciones de políticas
• Administrada con la GPMC
• Almacenada en contenedores de GPOs
• Editada con la GPME
• Aplicada a niveles específicos en la jerarquía de AD DS

8. Ámbito de la GPO
•El ámbito de una GPO es una colección de
equipos y usuarios a los que se aplicará la
configuración de la GPO. Puede usar varios
métodos de ámbitos de una GPO:
• Vincular las GPO a contenedores, tales como una OU
• Filtrar usando grupos de seguridad
• Filtrar usando filtros WMI

9. Group Policy Client y Client-Side Extensions
1. Group Policy client solicita las GPOs
2. El cliente descarga y almacena las GPOs
3. CSEs (client side extension) procesa la configuración
• Las Policy settings se aplican en el equipo al inicio
y luego cada 90–120 minutos se refrescan
• La configuración de política de usuario se aplica al
validarse y luego cada 90–120 minutos se
refrescan

10. Lección 2: Implementar y administrar GPOs
• GPOs basada en el dominio
• Almacenar GPO
• Starter GPOs
• Tareas comunes de administración de GPO
• Delegar la administración de las Group Policies
• Administrar GPOs con Windows PowerShell

11. GPOs basada en el dominio

12. GPO Storage
GPO
• Contiene los valores de la Group
Policy
• Almacena el contenido en dos
ubicaciones
Group Policy Container
• Almacenada en AD DS
• Proporciona información de la
versión
Group Policy Template
• Almacenada en la carpeta
compartida SYSVOL
• Proporciona valores de la Group
Policy

13. Starter GPOs – GPO de Inicio
Exported to cab file
StarterGPO .cab File
Imported to GPMC
Load
.cab file
Una Starter GPO:
• Almacena los valores de las plantillas administrativas
en las cuales se basarán las nuevas GPOs
• Puede exportarse a archivos .cab
• Puede importarse dentro de otras áreas en la empresa

14. Tareas comunes de administración de GPOs
• GPMC proporciona múltiples opciones para administrar GPOs
Backup GPOs Restore GPOs
Import GPOs
Copy GPOs

15. Delegar la administración de Group Policies
•Delegar las tareas de las GPOs permite descargar a
otros administradores de estas tareas administrativas
•Se pueden delegar las siguientes tareas de Group
Policy:
• Crear GPOs
• Editar GPOs
• Administrar links de Group Policy para un sitio, dominio u OU
• Realizar análisis de una Group Policy
• Leer los resultados de una Group Policy
• Crear filtros WMI en un dominio

16. Administrar GPOs con Windows PowerShell
Además de usar la Group Policy Management console y el
Group Policy Management Editorpuede realizar tareas
administrativas de GPO usando Windows PowerShell
• Por ejemplo el siguiente comando crea una GPO llamada
Sales:
• New-GPO -Name Sales -comment "This the sales GPO"
• El siguiente comando importa la configuración de un
backup de la GPO Sales almacenada en la carpeta
C:Backups dentro de la GPO NewSales:
• import-gpo -BackupGpoName Sales -TargetName NewSales -path
c:backups

17. Lección 3: Ámbito y procesamiento de una Group Policy
• GPO Links
• Demostración: Como vincular GPOs
• Orden de procesado de una Group Policy
• Configurar la herencia y precedencia de la GPO
• Usar el filtrado de seguridad para fijar el ámbito
de la GPO
• ¿Qué son los filtros WMI?
• Demostración: Cómo filtrar políticas
• Habilitar y deshabilitar GPOs
• Procesamiento de bucle invertido
• Consideraciones para links lentos y desconexiones
• Identificar cuando se aplican los ajustes

18. GPO Links

19. Orden de procesamiento de la Group Policy
Site
GPO2
GPO3
GPO4
GPO5
GPO1
Local Policy
Domain
OU
OU
OU

20. Configurar herencia y precedencia de la GPO
1. Aplicar GPOs vinculadas a cada contenedor da como resultado un
efecto acumulativo llamado herencia (inheritance)
• Precedencia por defecto: Local  Site  Domain  OU  OU…
(LSDOU)
• Véase en la pestaña herencia (inheritance) de la Group Policy
2. Orden de vínculos (atributo de link de la GPO)
• Menor número  mayor en la lista  Precedencia
3. Bloquear herencia (atributo de la OU)
• Bloquea el procesado de la GPO desde arriba
4. Enforced (atributo del link de la GPO)
• Fuerza el bloqueo de herencia de las GPOs “blast through”
• Fuerza la aplicación de la GPO para evitar conflictos sobre GPOs
inferiores

21. Usar el filtrado de seguridad para el ámbito de la política
• Aplicar los permisos de la Group Policy
• La GPO tiene una ACL (Delegation tab  Advanced)
• Predeterminado: Authenticated Users
• El ámbito es aplicado a los grupos globales
• Remover los Authenticated Users
• Agregar los apropiados grupos globales
• Deben ser grupos globales (Las GPOs no tienen ámbito al dominio local)

22. ¿Qué son los filtros WMI?

23. Habilitar y deshabilitar GPOs

24. Procesamiento de bucle invertido

25. Consideraciones para links lentos y desconexiones

26. Identificar cuando se aplican los ajustes
• La replicación de la GPO debe suceder
• Los cambios deben replicarse
• El refresco de la Group Policy debe suceder
• El usuario debe cerrar o iniciar sesión, o debe
reiniciar el equipo
• Refrescar manualmente
• La mayoría de CSEs no reaplicarán GPOs sin
cambios

27. Consideraciones para administrar GPOs en un
entorno multidominio
• Se requiere confianza de dominio para simplificar
la administración de políticas de grupo en
multidominios
• Use las tablas de migración para automatizar las rutas
UNC
• Técnicas de administración de GPO comunes
válidas entre dominios
• Copiar GPOs (Copy-GPO)
• Importar GPOs (Import-GPO)
• Backing up y restoring (Backup-GPO, Restore-GPO)
• El entorno multi-dominio puede componerse de
un dominio de pruebas y uno de producción

28. Lección 4: Resolver problemas de aplicación de GPOs
• Refrescar GPOs
• Conjunto resultante de políticas
• Generar informes RSoP
• Demostración: como realizar un análisis de las
GPOs
• Examinar los eventos de las políticas

29. Refrescar GPOs
• Cuando aplique GPOs, recuerde que:
• Los valores de equipo de aplican en el inicio
• Los valores de usuario se aplican al validarse
• Las políticas se refrescan periódicamente, regulable
• La configuración de seguridad se refresca cada 16 horas
• Las políticas se refrescan manualmente:
• Con el comando Gpupdate
• El cmdlet Windows PowerShell Invoke-Gpupdate
• Con la nueva característica Remote Policy Refresh en
Windows Server 2012, puede refrescar políticas
remotamente

30. ¿Qué es RSoP? Conjunto resultante de políticas
Windows Server 2012 proporciona las siguientes herramientas para
realizar el análisis RSoP:
• El asistente Group Policy
Results
• El asistente Group Policy
Modeling
• GPResult.exe
Site
GPO2
GPO3
GPO4
GPO5
GPO1
Local
Domain
OU
OU
OU

31. Generar informes RSoP

32. Examinar los eventos de GPOs

33. Lab: Implementing a Group Policy Infrastructure
• Exercise 1: Creating and Configuring GPOs
• Exercise 2: Managing GPO Scope
• Exercise 3: Verifying GPO Application
• Exercise 4: Managing GPOs
Logon Information
Virtual machines: 20411D-LON-DC1,
20411D-LON-CL1
User name: AdatumAdministrator
Password: Pa$$w0rd
Estimated Time: 90 minutes

34. Lab Scenario
A. Datum Corporation is a global engineering and
manufacturing company with its head office in
London, England. An IT office and a data center
are located in London to support the London
office and other locations. A. Datum recently
deployed a Windows Server 2012 server and client
infrastructure.
You have been asked to use Group Policy to
implement standardized security settings to lock
computer screens when users leave computers
unattended for 10 minutes or more. You also have
to configure a policy setting that will prevent

35. Lab Scenario
access to certain programs on local workstations.
After some time, you have been made aware that a
critical application fails when the screens saver
starts, and an engineer has asked you to prevent
the setting from applying to the team of Research
engineers that uses the application every day. You
also have been asked to configure conference room
computers to use a 45-minute timeout.
After creating the policies, you need to evaluate the
RSoPs for users in your environment to ensure that
the Group Policy infrastructure is optimal and that
all policies apply as intended.

36. Lab Review
• Which policy settings are already being deployed
by using Group Policy in your organization?
• Many organizations rely heavily on security group
filtering to scope GPOs, rather than linking GPOs
to specific OUs. In these organizations, GPOs
typically are linked very high in the Active
Directory logical structure—to the domain itself or
to a first-level OU. What advantages do you gain
by using security group filtering rather than GPO
links to manage a GPO’s scope?

37. • Why might it be useful to create an exemption
group—a group that is denied the Apply Group
Policy permission—for every GPO that you create?
• Do you use loopback policy processing in your
organization? In which scenarios and for which
policy settings can loopback policy processing add
value?
• In which situations have you used RSoP reports to
troubleshoot Group Policy application in your
organization?
• In which situations have you used, or might you
anticipate using, Group Policy Modeling?
Lab Review

38. Module Review and Takeaways
• Review Question(s)
• Tools
• Common Issues and Troubleshooting Tips