Gestión de Políticas de Grupo (GPOs) Gestión de Políticas de Grupo (GPOs) en Windows Server 2003en Windows Server 2003

Políticas de GrupoPolíticas de GrupoHacer más con el menor esfuerzoHacer más con el menor esfuerzo

Active Active DirectoryDirectory

AdministratorAdministrator

Nueva PolíticaNueva Política

Usado para configurar y Usado para configurar y mantener las necesidades de mantener las necesidades de computación de una computación de una compañíacompañía

La nueva herramienta Group La nueva herramienta Group Policy Management Console Policy Management Console (GPMC) hace la (GPMC) hace la administración mucho más administración mucho más fácilfácil

Gestión basada en políticasGestión basada en políticasQué puedo hacer con políticas de grupoQué puedo hacer con políticas de grupo Free SeatingFree Seating

Mis datos y mi configuración me siguenMis datos y mi configuración me siguen Consistencia entre equiposConsistencia entre equipos Muy útil para call centers, laboratorios, etc.Muy útil para call centers, laboratorios, etc.

Datos seguros, disponibilidadDatos seguros, disponibilidad Almacenar centralmente documentaciónAlmacenar centralmente documentación Usuarios tienen accesos desde cualquier sitioUsuarios tienen accesos desde cualquier sitio

Recuperación de desastresRecuperación de desastres Configuración de Sistema Operativo:Configuración de Sistema Operativo:

Ejemplos: Configuración de red, panel de control, Ejemplos: Configuración de red, panel de control, asistencia remota, cuotas de disco, Internet Explorer (IE)asistencia remota, cuotas de disco, Internet Explorer (IE)

Sistemas más establesSistemas más estables Gestión de cambios continuadaGestión de cambios continuada

¿Qué puedo controlar?¿Qué puedo controlar?

Configuración basada en el registroConfiguración basada en el registro

A nivel local, de dominio y redA nivel local, de dominio y red

Administración central de Administración central de instalación de softwareinstalación de software

De inicio y de apagado de máquina De inicio y de apagado de máquina y de inicio y cerrado de sesióny de inicio y cerrado de sesión

Almacena carpetas de usuario en la Almacena carpetas de usuario en la redred

Administrar IE después del Administrar IE después del desplieguedespliegue

Plantillas Plantillas AdministrativasAdministrativas

SeguridadSeguridad

Instalación de Instalación de SoftwareSoftware

ScriptsScripts

Redirección de Redirección de carpetascarpetas

Mantenimiento de Mantenimiento de Internet ExplorerInternet Explorer

Extensiones de Extensiones de tercerosterceros

Se mejora la extensibilidadSe mejora la extensibilidad

BeneficiosBeneficios

Reduce costes de administración, soporte y Reduce costes de administración, soporte y formaciónformación

Incrementa la productividad del usuarioIncrementa la productividad del usuario Permite personalizaciones masivas: Permite personalizaciones masivas:

escalabilidad sin sacrificar la flexibilidad escalabilidad sin sacrificar la flexibilidad para personalizarpara personalizar

Permite una gestión continuadaPermite una gestión continuada Informática sin sobresaltosInformática sin sobresaltos

EscenariosEscenarios

ServidoresServidores Gestión de componentes del sistema Gestión de componentes del sistema

operativooperativo Especialmente para gestionar seguridadEspecialmente para gestionar seguridad Ejemplos: terminal servers, Web serversEjemplos: terminal servers, Web servers

PuestosPuestos Entornos muy administrados o nadaEntornos muy administrados o nada Usuarios móvilesUsuarios móviles Entornos públicosEntornos públicos

HistorialHistorialGestión basada en políticas de grupo en WindowsGestión basada en políticas de grupo en Windows

Microsoft Windows NT 4.0Microsoft Windows NT 4.0 Mínima (sólo políticas de sistema),Mínima (sólo políticas de sistema),

prácticamente nadaprácticamente nada

Microsoft Windows 2000Microsoft Windows 2000 Introducimos las políticas de grupo basadas en Introducimos las políticas de grupo basadas en

Directorio ActivoDirectorio Activo No necesita despliegue adicionalNo necesita despliegue adicional Herramientas de gestión limitadasHerramientas de gestión limitadas

Microsoft Windows Server 2003Microsoft Windows Server 2003 Gran mejora de las herramientas de gestión para Gran mejora de las herramientas de gestión para

los administradoreslos administradores Las políticas de grupo han llegado a forzar un Las políticas de grupo han llegado a forzar un

despliegue de Directorio Activodespliegue de Directorio Activo

Mejoras de Políticas de grupo Mejoras de Políticas de grupo en Windows Server 2003en Windows Server 2003 GPMC:GPMC:

Nueva herramienta de administración de políticas Nueva herramienta de administración de políticas de grupode grupo

Descargable en la web de Microsoft GPMC con Descargable en la web de Microsoft GPMC con Service Pack 1 – EspañolService Pack 1 – Español

Resultant set of policy (RSoP)Resultant set of policy (RSoP) Filtros WMIFiltros WMI Herramientas de línea de comandoHerramientas de línea de comando Nuevas entradas en las políticasNuevas entradas en las políticas

GPMCGPMC Mejoras de administración:Mejoras de administración:

Interfaz mejoradaInterfaz mejorada Basada en cómo los clientes usan las políticasBasada en cómo los clientes usan las políticas Gestión de seguridad mejoradaGestión de seguridad mejorada

ReportingReporting Integración de RSoPIntegración de RSoP Nuevas capacidades para un despliegue rápidoNuevas capacidades para un despliegue rápido

Copia de seguridad/Restauración, importación/copiaCopia de seguridad/Restauración, importación/copia ScriptsScripts

Permite personalización y automatizaciónPermite personalización y automatización Soporte para despliegue en etapasSoporte para despliegue en etapas

Primero crearlo en entorno de pruebasPrimero crearlo en entorno de pruebas Replicar a producciónReplicar a producción

Conclusión: Las Políticas de grupo es la mejor parte de Conclusión: Las Políticas de grupo es la mejor parte de Directorio ActivoDirectorio Activo

Nuevos escenarios con Nuevos escenarios con GPMCGPMC Acceso de solo lectura a los objetos de Acceso de solo lectura a los objetos de

las políticas de grupo (GPOs)las políticas de grupo (GPOs) Documentando las GPOs en el dominioDocumentando las GPOs en el dominio

Copia de seguridad de GPOsCopia de seguridad de GPOs Crear y desplegar rápidamente Crear y desplegar rápidamente

configuracionesconfiguraciones Planificación y resolución de problemasPlanificación y resolución de problemas Despliegue por etapas, de pruebas a Despliegue por etapas, de pruebas a

producciónproducción

RSoPRSoP Muestra conflictos de resolución de Muestra conflictos de resolución de

configuración de políticasconfiguración de políticas Planificar y resolver problemas de Planificar y resolver problemas de

despliegue de políticas fácilmentedespliegue de políticas fácilmente Ejemplo:Ejemplo:

GPO A y GPO B se aplica al mismo usuario:GPO A y GPO B se aplica al mismo usuario: GPO A wallpaper: Desierto rojoGPO A wallpaper: Desierto rojo GPO B wallpaper: BlissGPO B wallpaper: Bliss

RSOP le indica:RSOP le indica: Que configuración ganaQue configuración gana Que GPO es la que tiene la configuración que Que GPO es la que tiene la configuración que

ha ganadoha ganado

RSOP en GPMCRSOP en GPMC Todas las capacidades de RSoP están Todas las capacidades de RSoP están

en GPMCen GPMC GPMC es el acceso recomendado para usar GPMC es el acceso recomendado para usar

RSoPRSoP Snap-in de RSoP disponibleSnap-in de RSoP disponible

GPMC tiene presentación HTML de los GPMC tiene presentación HTML de los datos de RSOPdatos de RSOP Más fácil de ver los datos de RSOPMás fácil de ver los datos de RSOP

RSoP tiene otros nombres en GPMCRSoP tiene otros nombres en GPMC Group Policy Modeling: planning modeGroup Policy Modeling: planning mode Group Policy Results: logging modeGroup Policy Results: logging mode

Group Policy ResultsGroup Policy Results Antes conocido como RSoP – logging mode Antes conocido como RSoP – logging mode Representa lo que se ha aplicado en un Representa lo que se ha aplicado en un

equipoequipo Consulta la máquina cliente para recoger la Consulta la máquina cliente para recoger la

informacióninformación Soportado por clientes Windows XP y Soportado por clientes Windows XP y

superiorsuperior

Nota: Para delegar de forma efectiva necesita tener Nota: Para delegar de forma efectiva necesita tener el esquema Windows Server 2003el esquema Windows Server 2003

Group Policy ModelingGroup Policy Modeling Antes conocido como RSoP - planning modeAntes conocido como RSoP - planning mode Simulación de qué puede ser que sea Simulación de qué puede ser que sea

aplicado aplicado Escenarios basados en cambiosEscenarios basados en cambios

hipotéticos a:hipotéticos a: Usuarios, localización del equipoUsuarios, localización del equipo Pertenencia a grupo de seguridadPertenencia a grupo de seguridad

Simulación realizada en el DC usando Simulación realizada en el DC usando Windows Server 2003Windows Server 2003

Despliegue fácil de políticas porque puede Despliegue fácil de políticas porque puede hacer una simulación antes de desplegarhacer una simulación antes de desplegar

Simula políticas para clientes conSimula políticas para clientes conWindows 2000Windows 2000

Group Policy ResultsGroup Policy Results

GPOs: Copiar e ImportarGPOs: Copiar e Importar

Permite transferir la configuración de Permite transferir la configuración de GPOsGPOs

Puede ser de en el mismo dominio, de Puede ser de en el mismo dominio, de dominio a dominio o de bosque a dominio a dominio o de bosque a bosquebosque De Dominio a dominio y de bosque a De Dominio a dominio y de bosque a

bosque usando tablas de migraciónbosque usando tablas de migración Para importar no se necesitan relaciones Para importar no se necesitan relaciones

de confianza entre dominiosde confianza entre dominios

Se pueden hacer plantillas basadas en Se pueden hacer plantillas basadas en configuracionesconfiguraciones

Despliegue de Pruebas a ProducciónDespliegue de Pruebas a Producción ObjetivoObjetivo

Configurar la política en entorno de pruebasConfigurar la política en entorno de pruebas Después de probado, replicar a producciónDespués de probado, replicar a producción

EficientementeEficientemente Sin erroresSin errores

Antes de GPMC era muy difícilAntes de GPMC era muy difícil Con GPMC se puede:Con GPMC se puede:

Importar y copiar eficientementeImportar y copiar eficientemente GPMC provee de herramientas para crear GPMC provee de herramientas para crear

un entorno de despliegue en etapasun entorno de despliegue en etapas

Copiar GPOsCopiar GPOs

Scripting para GPMCScripting para GPMC Puede escribir scripts para GPMCPuede escribir scripts para GPMC

Scripts vía Objetos COMScripts vía Objetos COM La interfaz gráfica de GPMC lo utilizaLa interfaz gráfica de GPMC lo utiliza

No puede cambiar la configuración de No puede cambiar la configuración de las GPO las GPO

GPMC incluye unos 30 scripts de GPMC incluye unos 30 scripts de ejemploejemplo

Beneficios:Beneficios: AutomatizaciónAutomatización PersonalizaciónPersonalización

Scripts de GPMCScripts de GPMC

Filtros WMIFiltros WMI Qué son:Qué son:

Aplicar filtros basados en atributos WMI incluido inventario Aplicar filtros basados en atributos WMI incluido inventario de software, hardware configuraciones, etcde software, hardware configuraciones, etc

Igual que filtrar por grupos de seguridadIgual que filtrar por grupos de seguridad

Cómo funcionan:Cómo funcionan: Un filtro WMI consiste en una o más consultas WQLUn filtro WMI consiste en una o más consultas WQL Vincula un filtro a un una GPPOVincula un filtro a un una GPPO El filtro WMI es ejecutado en el equipo cliente durante el El filtro WMI es ejecutado en el equipo cliente durante el

procesamiento de la GPOprocesamiento de la GPO Si todas las consultas WQL son verdaderas, Si todas las consultas WQL son verdaderas,

se aplicará la GPOse aplicará la GPO Nota: Los filtros WMI son ignorados por los clientes con Nota: Los filtros WMI son ignorados por los clientes con

Windows 2000Windows 2000 La GPO se aplica siempreLa GPO se aplica siempre

Beneficio: Incrementa el control y los equipos a los Beneficio: Incrementa el control y los equipos a los que se aplicanque se aplican

Uso de los filtros WMIUso de los filtros WMI

Use los filtros WMI para gestionar Use los filtros WMI para gestionar excepcionesexcepciones Muy potente pero penaliza rendimientoMuy potente pero penaliza rendimiento Se aplica a toda la política. No es efectivo Se aplica a toda la política. No es efectivo

para instalar software basado en inventariopara instalar software basado en inventario

Ejemplos – basados en objetivo:Ejemplos – basados en objetivo: Tarjeta de redTarjeta de red Nivel de Sistema OperativoNivel de Sistema Operativo

Herramientas de línea de Herramientas de línea de comandoscomandos GPUpdate.exeGPUpdate.exe

Actualiza las políticasActualiza las políticas Se tiene que ejecutar desde el equipo clienteSe tiene que ejecutar desde el equipo cliente

GPResult.exeGPResult.exe RSoP en línea de comandosRSoP en línea de comandos

DCGPOFix.exeDCGPOFix.exe Herramienta de recuperación de desastres para Herramienta de recuperación de desastres para

volver a crear las GPOs por defectovolver a crear las GPOs por defecto Para copias de seguridad usar GPMCPara copias de seguridad usar GPMC

Scripts de GPMCScripts de GPMC Más de 30 scripts que ejecutan varias tareas de Más de 30 scripts que ejecutan varias tareas de

administraciónadministración

Nuevas políticas Nuevas políticas configurablesconfigurables

Más de 200 nuevas entradas configurables Más de 200 nuevas entradas configurables desde Windows 2000desde Windows 2000

La mayoría, pero no todas estaban enLa mayoría, pero no todas estaban enWindows XPWindows XP Configurar éstas entradas para versiones anteriores Configurar éstas entradas para versiones anteriores

de Windows no causa ningún problema. Son de Windows no causa ningún problema. Son ignoradas por el Sistema Operativo.ignoradas por el Sistema Operativo.

Herramienta del kit de recursos: ADMX.exe para volcar a Herramienta del kit de recursos: ADMX.exe para volcar a .csv el contenido de un .adm y compararlos.csv el contenido de un .adm y compararlos

 

RecursosRecursos Group Policy Management Console with Service Group Policy Management Console with Service

Pack 1 - EspañolPack 1 - Español http://www.microsoft.com/downloads/details.aspx?Fahttp://www.microsoft.com/downloads/details.aspx?Fa

milyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&dmilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=esisplaylang=es

Administering Group Policy with the GPMCAdministering Group Policy with the GPMC http://www.microsoft.com/windowsserver2003/gpmc/http://www.microsoft.com/windowsserver2003/gpmc/

gpmcwp.mspxgpmcwp.mspx