Aprende Informatica Conmigo

Por Deja un comentario

Windows Server 2008 – Filtrar una GPO para excluir grupos

En este tutorial vamos a aplicar, al igual que en el anterior, una GPO a un grupo de usuarios, pero en este caso aplicaremos la GPO a todos los usuarios autentificados en el dominio excepto a los que pertenecen al grupo global «ventas«.

En primer lugar enlazamos la nueva GPO (excepto ventas) a la raiz del dominio «neointec.local«.

Recordad que por defecto, cuando enlazamos una GPO, se incluye el grupo «Authenticated users«.

En esta ocasión no vamos a tocar este grupo porque queremos que se les aplique la configuracion de la GPO.

Ahora lo que hacemos es movernos a la pestaña «Delegation«.

Añadimos el grupo «ventas» y para ello pulsamos sombre el boton «Add…».

El siguiente cuadro de dialogo ya lo conocemos.

Para resumir, escribimos «ventas» y pulsamos «Check Name«.

A continuacion nos muestra las dos coincidencias que ha encontrado.

A nosotros nos interesa el grupo «ventas«, asi que lo seleccionamos y pulsamos «OK«.

Volvemos a pulsar «OK».

Ahora ya disponemos del grupo «ventas». Lo seleccionamos en la parte superior y vemos los checks que tiene activados.

Nosotros queremos que a los miembros de este grupo no se le apliquen la configuracion de esta GPO.

Habilitamos unicamente el check que se corresponde con «Apply group policy«, pero en este caso bajo la columna «Deny«.

Pulsamos «Yes» al mensaje de advertencia siguiente:

Si volvemos a la pestaña «Scope» seguiremos viendo solo al grupo «Authentitated Users».

No os dejeis engañar o no os confundais. Para ver los diferentes permisos de usuario y grupos es mejor la pestaña «Delegation».

Hasta aqui llega esta tutorial.

Espero que os sirva.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por 1 comentario

Windows Server 2008 – Filtrar una GPO para aplicarla a grupos

Como ya sabremos, las GPOs solo se aplican a usuarios y/o equipos pero nos puede venir muy bien el poder filtrar la aplicacion de la GPO por grupos de usuarios o equipos, eso es lo que vamos a ver en este ejemplo

Para el ejemplo he creado la GPO «solo informatica«. Es una GPO ficticia que solo me sirve para el ejemplo y que lo veamos claro. Por supuesto, en este ejemplo queremos que solo se aplique a los usuarios de informatica. Esto lo podemos hacer de varias formas.

Una forma de hacerlo es enlazar la GPO a la OU donde estan ubicados los usuarios o equipos de informatica. Este seria el metodo normal.

Otra forma seria enlazar la GPO en un nivel superior del arbol de OUs, en este caso en la raiz del dominio «neointec.local» y realizar un filtro de manera que se aplique solo a los usuarios del grupo global «informatica» que ya tenemos creado y que contiene unicamente a los usuarios de ese departamento.

Una vez que tenemos esto claro, vamos vinculamos el GPO que he comentado (solo informatica) a la raiz del dominio «neointec.local«. Como podemos ver en la siguiente imagen:

En la proxima imagen vemos las propiedades o configuracion de la pestaña «ambito» de esta GPO. Podemos ver que en «Security Filtering» esta añadido el grupo «Authenticated Users«.

El grupo «Authenticated Users» lo incluira por defecto al crear una GPO. Incluso tendra permisos para leer y aplicar las GPOs.

Bueno, lo que haremos ahora es eliminar ese grupo para que no se aplique la GPO a todos los usuarios autentificados. Como de costumbre, lo seleccionamos, pulsamos boton derecho del raton y seleccionamos «delete«.

Como respuesta al cuadro de dialogo de advertencia, pulsamos el boton «Ok» indicando que si, que queremos elimarlo.

Confirmamos que en estos momentos no hay nada en la parte de «Security Filtering«:

Ahora añadimos el grupo «informatica«.

Este grupo contiene todas las cuentas de usuario de los usuarios de ese departamento.

Bien, confirmamos que se a añadido el grupo.

Ahora, para completar el proceso, nos dirigimos a la pestaña «Delegation«. Pulsamos el boton «advanced«

Teniendo seleccionado el grupo «Informatica«, comprobamos que tiene habilitados (Allow) los check correspondientes a «Read» y «Apply group policy«. Si no los tuviera activados, los activamos.

Esta es una de las formas de que disponemos para filtrar una GPO por grupos globales.

Recordad que la aplicamos solo al grupo «informatica» y hemos quitado a el grupo «Authenticated Users«.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Forzar enlaces de GPOs

Al igual que el bloqueo de herencia de GPOs, forzar enlaces tambien deberemos utilizarlo con mucho cuidado y sabiendo en todo momento el desenlace en cuanto a precedencia de aplicacion de las politicas.

En este ejempo vamos a forzar el enlace de GPO «Neointec base» que esta enlazado directamente de la raiz del dominio «Neointec.local». Ya se que no tiene mucho sentido hacer esto, pero se trata solamente de un ejemplo.

Seleccionamos el enlace de GPO, pulsamos boton derecho del raton y seleccionamos «Enforced».

La apariencia del icono ha cambiado. Ahora tiene un candado cerrado indicando que esta forzada.

Si seleccionamos, por ejemplo, la OU «informatica» en la parte derecha de la ventana, dentro de la pestaña «Goup Policy Inheritance», observamos que ha cambiado de como estaba antes de forzar el enlace. Ahora tiene precedencia la GPO «Neointec base».

Os recuerdo que hay que usar esta caracteristica con mucho cuidado porque puede producir resultado no deseados si no se utiliza correctamente.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Bloquear la herencia de GPOs

Puede darse el caso en el que necesitemos, por los motivos que sea, que no se apliquen las politicas de grupo en alguna ubicacion, pongamos una OU.

Bloqueando la herencia de directivas de grupo conseguimos en a partir de esa ubicacion no se aplique ninguna de las GPOs que se aplican en niveles superiores.

En este ejemplo lo que pretendemos es bloquear la herencia a partir de la OU «usuarios» y para ello, seleccionamos dicha OU, pulsamos en el boton derecho del raton y seleccionamos «Block Inheritance».

Vemos que ahora aparece un signo de exclamacion junto a la Unidad Organizativa «usuarios» para indicarnos que la herencia esta bloqueda.

Si pulsamos boton derecho sobre la OU en cuestion, observamos que tiene la marca indicando que el bloqueo de herencia esta activado.

Recordar que ahora mismo, si no tubieramos ninguna GPO enlazada a esta GPO, como es el caso, no se le aplica ninguna de las politicas que tengamos definidas.

El bloqueo de herencia es una herramienta con la que debemos trabajar con cuidado.

Es muy util en el caso de realizar pruebas de nuevas GPOs. Podemos bloquear la herencia en una OU, vincular la GPO que queremos probar y asi ver los resultados de manera mas limpia, sin intromision de alguna otra GPO.

Bueno, nos vemos en el siguiente.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Herencia y precedencia de GPOs

Simplemente para que sepamos que sepamos mirar la precedencia de las GPOs en una determinada ubicacion.

Desde el «Group Policy Management» nos posionamos en el dominio «Neointec.local«. En el panel de la derecha, dentro de la pestaña «Linked Group Policy Objects» podemos ver las GPOs que estan enlazadas a esta ubicacion e incluso si estan forzdas o habilitadas.

En la columna de la derecha se especifica un numero de precedencia para cada una de los enlaces:

El orden de los enlaces determina el orden de precedencia de la aplicacion de las GPOs.

A saber: Los enlaces con el numero menor tienen mayor precedencia.

En la pestaña «Group Policy Inheritance» observamos los enlaces con relacion a la herencia.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Eliminar o deshabilitar una GPO

En ciertas ocasiones, por no decir muchas, tendremos la necesidad de deshabilitar un enlace de GPO, una GPO o incluso eliminar cualquiera de estos dos.

Para empezar, en la imagen siguiente podemos ver los dos enlaces de la GPO «Neointec base» en las OUs de «administracion» e «informatica«, ambas bajo la OU «equipos«.

Suponed que queremos deshabilitar, que no borrar, el enlace de esta GPO a la OU «administracion«. Bien, para ello seleccionamos el enlace en cuestion, pulsamos boton derecho y seleccionamos «Link Enabled». Como estaba habilitado, al seleccionarlo de nuevo, se deshabilita.

Sabemos que un enlace esta deshabiliado o no enlazado porque el icono aparece mas tenue, como en la siguiente imagen.

Y si volvemos a pulsar boton derecho sobre dicho enlace comprobamos que ya no aparece el simbolo que aparecia antes indicando que el enlace estaba habilitado.

Ahora, para eliminar un enlace de GPO, seleccionamos el enlace que queremos eliminar, pulsamos boton derecho del raton y seleccionamos «Delete«.

Nos preguntara si estamos seguros de la operacion que vamos a realizar y pulsamos «OK«.

Ya no aparece el enlace de la GPO «Neointec base» bajo la OU «Informatica«.

Si selecionamos un enlace o la GPO en si misma, podemos ver dentro de la pestaña «scope» que el enlace de la OU «administracion» no esta habilitado.

Espero que os vayais poniendo al dia con las politicas de grupo porque es una herramienta muy util para todo administrador de sistemas.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Enlazar una GPO

Aunque ya lo realizamos en el primer articulo sobre GPOs, vamos a dejar claro los pasos a realizar para Enlazar una GPO a un dominio, sitio o Unidad Organizativa.

Para este ejemplo abrimos el «Group Policy Management«.

Seleccionamos, por ejemplo, la Unidad Organizativa «administracion» dentro de «equipos«.

Pulsamos el boton derecho del raton y seleccionamos «Link an Existing GPO…«.

En el cuadro de dialogo que aparece a continuacion, seleccionamos la GPO que queremos enlazar a esta OU.

Una vez hecho esto, vemos que la gpo «Neointec base» aparece enlazada a la OU «administracion«.

Y en las propiedades de la GPO, dentro de la seccion «links» de la pestaña «scope«, aparecen ahora dos ubicaciones: «administracion» y «neointec.local«.

Hasta la proxima.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Crear un repositorio central

En este articulo vamos a crear un repositorio central para almacenar la informacion sobre las politicas de grupo (GPOs).

Bien, en primer lugar vamos a ver la configuracion establecida hasta ahora y para ello ejecutamos el «Gestor de Politicas de Grupo» y seleccionamos la GPO «Neointec Base». Boton derecho y seleccionamos «Edit…»

En «User Configuration» –> «Administrative Templates«, vemos que al final de esta linea nos indica que las GPOs estan almacenadas en «local machine«.

Ahora vamos a crear el Repositorio Central.

Exploramos el directorio \\neointec.local\sysvol\neointec.local\policies

Creamos un nuevo directorio con el nombre de «PolicyDefinitions«.

Exploramos el directorio «%systemroot%\PolicyDefinitions«:

Copiamos el contenido de este ultimo directorio:

Ahora pegamos lo que hemos copiado en el directorio que habiamos creado antes dentro de «sysvol»:

Comprobamos de nuevo el el Editor de Politicas de Grupo que ahora se almacenan las politicas un un repositorio central (central store).

Hasta la proxima.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Moverse por GPOs

Para trabar con GPOs es imprescindible saber moverse por todo el sistema relacionado con este tema.

Para empezar, seleccionamos una GPO. Por ejemplo la que creamos el otro dia: «Neointec base».

En la imagen siguiente, en la parte derecha de la ventas he resaltado algunos apartados que debemos conocer.

Es el caso de la la pestaña «Scope» o «ambito» para nosotros. En esta pestaña tenemos la opcion de «Links» que se refiere a los lugares a los que esta enlazada esta GPO.

Mas abajo esta el apartado «Security Filtering» donde se definen los usuarios o grupos a los que se les va a aplicar la GPO. En este caso vemos que se aplicara a los «Usuarios Autentificados» en el dominio.

En la pestaña «Settings» podemos ver un resumen de las politicas que estan configuradas.

Si expandimos el arbol llegamos a la politica que tenemos configurada en esta GPO:

En la pesaña «Details» vemos los detalles de la GPO. Desde el nombre del dominio en el que esta creado, El identificador de la misma, si esta habilitada e incluso el comentario de la misma que introdujimos en otro articulo.

Ahora, nos fijamos en el identificador unico «Unique ID» y exploramos en el disco del servidor a el directorio que se observa en la siguiente imagen:

Exacto. Existe una carpeta cuyo nombre coincide con el identificador de la GPO.

Esto ocurre con todas las GPOs. Ya hablaremos mas sobre esto en proximos articulos.

Si accedemos a dicha carpeta podemos ver los ficheros que componen la configuracion de esta GPO:

Por ahora es suficiente, nos vemos en el siguiente articulo.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática

Por Deja un comentario

Windows Server 2008 – Comprobar los efectos de aplicar una GPO

En el articulo anterior sobre Windows Server 2008 creamos y vinculamos una GPO.

Bien, ahora vamos a comprobar que se aplica a todos los equipos del dominio.

Podemos reiniciar el servidor o equipo para que se aplique la nueva configuracion de politicas, pero tambien podemos ejecutar el siguiente comando para no tener que reiniciar el equipo:

gpupdate.exe /force /boot /logoff

Una vez ejecutado el comando anterior, abrimos la configuracion del Firewall desde el panel de control -> Check Firewall Status y comprobarmos en la pantalla siguiente que el firewall a nivel de dominio esta apagado. Es mas, podeis percataros de que incluso esta deshabilitado el posible cambio en ese apartado.

Esto quiere decir que lo hemos establecido por GPOs y que no podemos modificarlo desde aqui.


Algo sencillo pero imprescindible antes de aplicar una nueva GPO a todo el dominio o a una OU es realizar la prueba en un dominio de prueba. Tambien podemos tener una Unidad Organizativa, equipos y usuarios que no existen fisicamente para realizar estas tareas de pruebas antes de aplicarlas en produccion.

Saludos.

—–

Oscar Abad

http://www.xulak.com – Consultoría informática