Gestión de Políticas de Grupo (GPOs) en Windows Server 2003
Políticas de Grupo Hacer más con el menor esfuerzo Usado para configurar y mantener las necesidades de computación de una compañía La nueva herramienta Group Policy Management Console (GPMC) hace la administración mucho más fácil Active Directory Nueva Política Administrator
Gestión basada en políticas Qué puedo hacer con políticas de grupo Free Seating Mis datos y mi configuración me siguen Consistencia entre equipos Muy útil para call centers, laboratorios, etc. Datos seguros, disponibilidad Almacenar centralmente documentación Usuarios tienen accesos desde cualquier sitio Recuperación de desastres Configuración de Sistema Operativo: Ejemplos: Configuración de red, panel de control, asistencia remota, cuotas de disco, Internet Explorer (IE) Sistemas más estables Gestión de cambios continuada
¿Qué puedo controlar? Plantillas Administrativas Configuración basada en el registro A nivel local, de dominio y red Administración central de instalación de software De inicio y de apagado de máquina y de inicio y cerrado de sesión Almacena carpetas de usuario en la red Administrar IE después del despliegue Plantillas Administrativas Seguridad Instalación de Software Scripts Redirección de carpetas Mantenimiento de Internet Explorer Extensiones de terceros Se mejora la extensibilidad
Beneficios Reduce costes de administración, soporte y formación Incrementa la productividad del usuario Permite personalizaciones masivas: escalabilidad sin sacrificar la flexibilidad para personalizar Permite una gestión continuada Informática sin sobresaltos
Escenarios Servidores Puestos Gestión de componentes del sistema operativo Especialmente para gestionar seguridad Ejemplos: terminal servers, Web servers Puestos Entornos muy administrados o nada Usuarios móviles Entornos públicos
Historial Gestión basada en políticas de grupo en Windows Microsoft Windows NT 4.0 Mínima (sólo políticas de sistema), prácticamente nada Microsoft Windows 2000 Introducimos las políticas de grupo basadas en Directorio Activo No necesita despliegue adicional Herramientas de gestión limitadas Microsoft Windows Server 2003 Gran mejora de las herramientas de gestión para los administradores Las políticas de grupo han llegado a forzar un despliegue de Directorio Activo
Mejoras de Políticas de grupo en Windows Server 2003 GPMC: Nueva herramienta de administración de políticas de grupo Descargable en la web de Microsoft GPMC con Service Pack 1 – Español Resultant set of policy (RSoP) Filtros WMI Herramientas de línea de comando Nuevas entradas en las políticas
GPMC Mejoras de administración: Interfaz mejorada Reporting Basada en cómo los clientes usan las políticas Gestión de seguridad mejorada Reporting Integración de RSoP Nuevas capacidades para un despliegue rápido Copia de seguridad/Restauración, importación/copia Scripts Permite personalización y automatización Soporte para despliegue en etapas Primero crearlo en entorno de pruebas Replicar a producción Conclusión: Las Políticas de grupo es la mejor parte de Directorio Activo
Nuevos escenarios con GPMC Acceso de solo lectura a los objetos de las políticas de grupo (GPOs) Documentando las GPOs en el dominio Copia de seguridad de GPOs Crear y desplegar rápidamente configuraciones Planificación y resolución de problemas Despliegue por etapas, de pruebas a producción
RSoP Muestra conflictos de resolución de configuración de políticas Planificar y resolver problemas de despliegue de políticas fácilmente Ejemplo: GPO A y GPO B se aplica al mismo usuario: GPO A wallpaper: Desierto rojo GPO B wallpaper: Bliss RSOP le indica: Que configuración gana Que GPO es la que tiene la configuración que ha ganado
RSOP en GPMC Todas las capacidades de RSoP están en GPMC GPMC es el acceso recomendado para usar RSoP Snap-in de RSoP disponible GPMC tiene presentación HTML de los datos de RSOP Más fácil de ver los datos de RSOP RSoP tiene otros nombres en GPMC Group Policy Modeling: planning mode Group Policy Results: logging mode
Group Policy Results Antes conocido como RSoP – logging mode Representa lo que se ha aplicado en un equipo Consulta la máquina cliente para recoger la información Soportado por clientes Windows XP y superior Nota: Para delegar de forma efectiva necesita tener el esquema Windows Server 2003
Group Policy Modeling Antes conocido como RSoP - planning mode Simulación de qué puede ser que sea aplicado Escenarios basados en cambios hipotéticos a: Usuarios, localización del equipo Pertenencia a grupo de seguridad Simulación realizada en el DC usando Windows Server 2003 Despliegue fácil de políticas porque puede hacer una simulación antes de desplegar Simula políticas para clientes con Windows 2000
Group Policy Results
GPOs: Copiar e Importar Permite transferir la configuración de GPOs Puede ser de en el mismo dominio, de dominio a dominio o de bosque a bosque De Dominio a dominio y de bosque a bosque usando tablas de migración Para importar no se necesitan relaciones de confianza entre dominios Se pueden hacer plantillas basadas en configuraciones
Despliegue de Pruebas a Producción Objetivo Configurar la política en entorno de pruebas Después de probado, replicar a producción Eficientemente Sin errores Antes de GPMC era muy difícil Con GPMC se puede: Importar y copiar eficientemente GPMC provee de herramientas para crear un entorno de despliegue en etapas
Copiar GPOs
Scripting para GPMC Puede escribir scripts para GPMC Scripts vía Objetos COM La interfaz gráfica de GPMC lo utiliza No puede cambiar la configuración de las GPO GPMC incluye unos 30 scripts de ejemplo Beneficios: Automatización Personalización
Scripts de GPMC
Filtros WMI Qué son: Cómo funcionan: Aplicar filtros basados en atributos WMI incluido inventario de software, hardware configuraciones, etc Igual que filtrar por grupos de seguridad Cómo funcionan: Un filtro WMI consiste en una o más consultas WQL Vincula un filtro a un una GPPO El filtro WMI es ejecutado en el equipo cliente durante el procesamiento de la GPO Si todas las consultas WQL son verdaderas, se aplicará la GPO Nota: Los filtros WMI son ignorados por los clientes con Windows 2000 La GPO se aplica siempre Beneficio: Incrementa el control y los equipos a los que se aplican
Uso de los filtros WMI Use los filtros WMI para gestionar excepciones Muy potente pero penaliza rendimiento Se aplica a toda la política. No es efectivo para instalar software basado en inventario Ejemplos – basados en objetivo: Tarjeta de red Nivel de Sistema Operativo
Herramientas de línea de comandos GPUpdate.exe Actualiza las políticas Se tiene que ejecutar desde el equipo cliente GPResult.exe RSoP en línea de comandos DCGPOFix.exe Herramienta de recuperación de desastres para volver a crear las GPOs por defecto Para copias de seguridad usar GPMC Scripts de GPMC Más de 30 scripts que ejecutan varias tareas de administración
Nuevas políticas configurables Nuevas políticas configurables Más de 200 nuevas entradas configurables desde Windows 2000 La mayoría, pero no todas estaban en Windows XP Configurar éstas entradas para versiones anteriores de Windows no causa ningún problema. Son ignoradas por el Sistema Operativo. Herramienta del kit de recursos: ADMX.exe para volcar a .csv el contenido de un .adm y compararlos
Recursos Group Policy Management Console with Service Pack 1 - Español http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=es Administering Group Policy with the GPMC http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx