Uso_Avanzado_de_GPOs_en_Windows_Server_2003.ppt
- 1. Ramon Jiménez, PMP MCSE 2000/2003, CCA, ITIL MVP Windows Server System – Infrastructure Architect rjimenezm@hotmail.com Uso Avanzado de Directivas de Grupo en Windows 2003
- 2. Agenda • Conceptos básicos de Directivas de Grupo • Gestión avanzada de GPO’s • Despliegue de software • Resolución de problemas
- 3. Requisitos • Experiencia previa con servidores Windows • Experiencia con redes en entornos Microsoft • Conocimientos básicos de Directorio Activo • Conocimientos básicos de Directivas de Grupo
- 4. Conceptos básicos • Estructura de Unidades Organizativas • Perfiles de Usuarios y máquinas • Gestión de Directivas de Grupo
- 5. Diseño de Unidades Organizativas
- 6. Política local Sitio Dominio UO’s superiores UO’s Inferiores Orden de precedencia
- 7. Cuándo se aplican? Arranque y apagado Al Iniciar y finalizar sesión A intervalos definidos Forzándolas con GPUpdate.exe
- 9. GPMC y Escenarios Comunes • GMPC – Interfaz común para gestionar todas las GPO’s – Edición, copias de seguridad, migración – Listados, resolución de problemas, modelado • Escenarios comunes para estaciones – Poco gestionada – Móvil – MultiUsuario – Estación de aplicaciones – Estación de Tareas – Quiosco
- 10. Demo Unidades Organizativas y Gestión básica de GPO’s. Entorno de test y producción. Iniciación a GPMC Demo
- 11. Uso avanzado (1) • Directivas de seguridad de Dominio • Directivas de restricción de software • Gestión de escritorios usuarios • Filtrado y herencia • Distribución de Software • Resolución de problemas
- 12. Configuraciones de seguridad a nivel de dominio • Directivas de cuentas de usuario • Directivas locales y Kerberos • Directivas IPSec • Directivas de Seguridad de Registro y sistema de ficheros
- 13. Tipos Políticas restrictivas de uso de software Aplicación a ejecutar Hash Certificado Path Zona Internet
- 14. Directivas restrictivas de uso de software Rehla Tipo de regla Descripción Valor 1 Hash Hash of pagefileconfig.vbs No permitido 2 Certificate IT management certificate Permitido 3 Path rule %windir%system32*.vb s Permitido 4 Path rule *.vbs No permitido 5 Path rule %windir% Permitido
- 15. Demo Directivas de Dominio. Cómo restringir el uso de software. Gestión de escritorios Demo
- 16. Filtrado de GPO’s • Filtrado de seguridad – Podemos definir a qué usuarios y máquinas se les aplicará/denegará la GPO • Filtrado WMI – Según atributos hardware (consultas WSQL) podemos definir sub- grupos de máquinas por atributos hardware (portátil, memoria) Buena práctica: Si denegamos una GPO a un usuario, deshabilitar también el derecho de lectura. Así evitaremos su proceso
- 17. Herencia de Directivas de Grupo • Orden de enlace • Bloqueo de herencia • Forzado (“No override”) • Estado de enlace
- 19. Demo Filtrado y herencia. Distribución de software Demo
- 20. Resolución de problemas ¿Los resultados del listado son los esperados? Sí No ¿Está mi parámetro listado? ¿Está en lista de GPO’s denegadas? 1. Herencia 2. Asíncrono 3. Loopback 1. Replicación 2. Refresco 3. Enlace lento 1. Filtado 2. GPO no habilitada 3. Filtro WMI 1. Ámbito 2. Refresco 3. Red Sï No Sí No
- 22. Uso avanzado (y 2) • Plantillas administrativas • Scripting • Modelado • Procesado de Bucle inverso • Migración de GPO’s entre entornos
- 23. Plantillas administrativas • Basadas en claves de registro • Gestión de múltiples aplicaciones (Resource Kit de Office 2003)
- 24. Scripting de GPO’s GPMC Interfaz COM Scripts de ejemplo Respaldo de GPOs Crear una GPO nueva Creación de entorno usando XML Importar una GPO Listar GPOs deshabilitadas Listar información de GPO
- 25. Modelado y Resultados • Asistente para modelado…¿qué pasaría si...? • Asistente para resultados…¿por qué no me aplica la configuración? • HTML Reports
- 26. Procesado de Bucle inverso • Cambia el orden de procesado de GPOs’ • Procesa sólo parámetros de máquina • Permite fusionar configuración de usuario • Apropiado para entornos Terminal Server o laboratorios/clases de informática.
- 27. Copia de GPO’s entre entornos • Entorno de Test y entorno de Producción – Dominio dedicado a test – Bosque separado con relaciones de confianza – Bosque separado • Tablas de migración necesarias para asegurar que las identidades de seguridad administrativas y los GUID’s son correctamente migrados
- 29. ¿Preguntas?
- 30. • Windows Server 2003 Group Policy Infrastructure • GPMC (Disponible en Español) • Administering Group Policy with GPMC • GPMC Scripting; Automate GPO management tasks • Windows 2003 Technical Reference: Group Policy Collection • Group Policy Settings Reference • Group Policy ADM Files • Using Administrative Template Files with Registry-Based Group Policy • Administrative Templates Extension Technical Reference Enlaces útiles (1)
- 31. • Implementing Common Desktop Management Scenarios with the Group Policy Management Console (Whitepaper) • Group Policy Common Scenarios Using GPMC (Ejemplos y Plantillas) • Introduction to Server and Domain Isolation with Microsoft Windows • Server and Domain Isolation Using IPsec and Group Policy • Troubleshooting Group Policy in Microsoft® Windows® Server • Enterprise Logon Scripts • Group Policy Inventory (GPInventory.exe) • Herramientas de terceros para gestión de Directivas de Grupo Enlaces útiles (2)
- 32. • Comportamiento de la plantilla de directiva de grupo en Windows Server 2003 • Recommendations for managing Group Policy administrative template (.adm) files • CÓMO: Utilizar Directiva de grupo para auditar claves del Registro en Windows Server 2003 • Cómo bloquear una sesión de Windows Server 2003 o Windows 2000 Terminal Server Enlaces útiles (3) – Articulos KB
- 33. Webcast en su versión grabada de Directorio Activo • Active Directory - Usos y conceptos básicos del Directorio Activo • Active Directory - Conceptos Avanzados de Directorio Activo • Active Directory - La importancia del DNS para el Directorio Activo • Active Directory - Replicación del Directorio Activo
- 34. Más Acciones de Directorio Activo • Active Directory - Mejores Practicas para un buen diseño del Directorio Activo. 27 de Febrero. • Active Directory - Chequeo de salud del directorio Activo.13 de Marzo. • Active Directory - Mejores practicas en las operaciones de Directorio Activo.23 de Marzo. • Active Directory - Migración desde Windows NT a Directorio Activo. 6 de Abril. • Active Directory - Uso avanzado del sistema de archivos distribuido (DFS). 20 de Abril • Active Directory - Gestión de Identidades (ADAM, MIIS) • Para información adicional y registro: – http://www.microsoft.com/spain/technet/jornadas/webcast s/default.asp
- 35. Más Acciones desde TechNet • Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: – http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant. asp • Para información y registro de Futuros Webcast de éste y otros temas diríjase a: – http://www.microsoft.com/spain/technet/jornadas/webcasts/default.asp • Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: – http://www.microsoft.com/spain/technet/boletines/default.mspx • Para estar informado sobre novedades vea nuestros It´s Showtime en: – http://www.microsoft.com/spain/technet/itsshowtime/default.aspx • Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: – http://www.microsoft.com/spain/technet/recursos/cd/default.mspx