módulo 5 - managing user desktop with group policy

7/25/2019 Mdulo 5 - Managing User Desktop With Group Policy

1/14

Gestin de Escritorio usando GPOs.

Plantillas Administrativas.

Las plantillas administrativas hacen cambios directamente sobre el registro de Windows. Por esto suelen llamarse tambin Registry-

Based Policies.

Como en cualquier poltica, tenemos plantillas administrativas en Configuracin de Usuario y en Configuracin de Equipos:

Configuracin de equipo: HKEY_LOCAL_MACHINE

Configuracin de usuario: HKEY_CURRENT_USER

Si una misma setting la tenemos en Configuracin de Equipo y en Configuracin de Usuario, tiene prioridad la Configuracin de Equipo.

Por ejemplo, si instalamos Skype, aparecer en las 2 configuraciones.

Dos tipos de Plantillas Administrativas:

ADM:

Mas antiguas

Usan un lenguaje propietario, por lo que son mas difciles de crear.

Se guardan en %SystemRoot%\Inf = C:\Windows\Inf Son dependientes del idioma. Para cada idioma tenemos una plantilla completa

Se copian a SYSVOL. Cada una ocupa alrededor de 3 MB

ADMX:

Usan el estndar XML. Cualquier fabricante puede crear plantillas para sus productos.

Windows Server 2008 y Windows Vista

%SystemRoot%\PolicyDefinitions = C:\Windows\PolicyDefinitions

Son independientes del idioma. Las caractersticas propias de cada regin se almacenan en archivos ADML

Se leen directamente de %SystemRoot%\PolicyDefinitions

Se almacenan en local en cada mquina, pero tambin podemos guardarlas en una localizacin centralizada. Central Store.

Se crea este almacn copiando la carpeta %SystemRoot%\PolicyDefinitions a SYSVOL.

Las plantillas administrativas ADMX se guardan aqu:

Las plantillas administrativas se copian a la siguiente ruta para que se replique a todo el dominio.

Si tenemos plantillas administrativas ADM y ADMX y tiene ambas la misma configuracin , las ADMX tienen prioridad frente a las

ADM

Podemos mejorar el rendimiento del AD migrando todas las plantillas ADM a ADMX. Para esto usamos la herramienta ADMX

Migration Tool.

Al instalar el paquete da error, por lo que hay que entrar en "Modo a prueba de fallos" y ejecutar:

Mdulo 5: 70-411 Managing User Desktop with Group

Policyjueves, 4 de diciembre de 2014 12:34

Page 1 of 14OneNote Online

13/01/2016https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e...


2/14

Las Plantillas Administrativas son extensibles. Podemos crear nuestras propias plantillas o descargar otras desarrolladas por

fabricantes.

Por ejemplo, si Adobe ofrece plantillas administrativas para Acrobat Reader, podemos establecer la configuracin de AcrobatReader en todas las mquinas del dominio de forma centralizada.

Tenemos Plantillas Administrativas para muchos productos de Microsoft, por ejemplo Office 2013.

Nos hemos descargado las plantillas administrativas de Microsoft, pero para que funcionen tienen que estar todas ubicadas en la

raz del directorio:

Redireccin de Carpetas y Scripts.

El objetivo de Folder Redirection es que los usuarios "vean" que sus directorios estn en su mquina local, pero realmente estn en una

localizacin compartida.

Esto tiene algunas ventajas: Facilita la administracin de Backups

Facilita la movilidad de usuarios (Roaming Profiles)

Acceder a una carpeta compartida puede hacer que sea ms lento, pero podemos combinar la redireccin de carpetas con

Offline File (cach carpeta compartidas).

Si configuramos las carpetas compartidas como "Avanced" podemos especificar las rutas donde queremos que grupos de usuarios

guarden sus archivos. En este ejemplo hemos creado para el grupo de Sales, y otra para SalesAdmin.

En modo bsico crear una carpeta para cada usuario.

En modo avanzado podemos redirigir usuario y grupos a diferentes carpetas.




3/14

Policy Removal:

Leave the folder.... --> Lo sigue guardando en la carpeta compartida si quitamos la GPO o la desenlazamos... se sigue haciendo la

redireccin compartida (es como una GPO no gestionada). Sigue funcionando con normalidad.

Redirect the folder.... --> Se devuelven a la maquina local y la GPO se "elimina"

Cuando al dejar de aplica una GPO se mantiene el efecto de una setting, se llama "tatooing setting"

En Fotos, Msica y Videos hay una opcin mas que guarda la carpeta, si por ejemplo tenemos "Msica" crea otra subcarpeta "Msica"

Va a guardar los archivos en la misma ruta.




4/14

Ejecucin de Scripts

Antes de que apareciesen las Preferencias en las GPOs, haba tareas que tenamos que configurar en scripts para que se ejecutasen de

forma automtica:

Mapear una unidad de red. Limpiar directorios temporales

Limpiar los archivos de paginacin.

Los scripts tendremos que seguir usndolos para maquinas que no soporten Preferencias. Si estn soportadas, las Preferencias deben

ser el mtodo usado para estas tareas.

Podemos definir scripts en varios lenguajes de programacin:

VBScript

Microsoft JScript

Comandos de MS-Dos en un archivo .bat

Poweshell (Desde Windows Server 2008 R2)

Estos scripts los podemos ejecutar en 4 situaciones:

Cuando un usuario inicia sesin.

Cuando un usuario cierra sesin. Cuando un equipo se reinicia.

Cuando un equipo se va a apagar.

Los scripts deben encontrarse en una carpeta compartida. A esta carpeta compartida deben tener acceso las cuentas de usuario o de

equipo que los van a ejecutar.

El recurso compartido que se suele usar es Netlogon.

Primero hacemos un mapeo de red en LON-CL1

Si cerramos sesin habra que volver a lazar el comando, y queremos que se lance automticamente cada vez que se inicia sesin.

Entramos en LON-DC1.

Y lo guardamos como .bat (en el escritorio por ejemplo aunque luego hay que llevarlo a una ubicacin compartida.)




5/14

Y lo movemos a:

Creamos una GPO que se llama Mapeo de Red

Y la Editamos.




6/14

Ya tenemos es script de inicio y ahora hay que enlazarlo al dominio.

Y hacemos que se aplique a LON-CL1 sin esperar a que se replique automticamente.

Entramos en LON-CL1 e iniciamos la sesin y miramos si se ha aplicado.

Preferencias.

Las tareas que hasta ahora tenamos que ejecutar mediante scripts, ahora podemos aplicarlas usando Preferencias en las GPOs.

Estn disponibles desde Windows Server 2008. En clientes el sistema operativo debe ser Windows Vista SP2 o superior.




7/14

Si descargamos e instalamos las CSE (Client Side Extensions) de Preferences, podemos usarlas en:

Windows Server 2003

Windows XP Service Pack 3

Windows Vista SP 1

Desde LON-DC1 creamos una GPO y la editamos

En las Preferencias tenemos 4 opciones:

Crear: Crea una nueva setting de preferencias para el usuario o el equipo.

Remplazar: Elimina la preferencia y la vuelve a crear con la nueva configuracin.

Actualizar: Modifica alguna setting de la preferencia.

Borrar: Borrar una setting de preferencias para el usuario o el equipo.

Marcar "Reconnect" es por si el usuario la desconecta se vuelva a conectar.




8/14

Ejercicio

------------------------------------------------------------------------------------------------------------------------------------------------

Usar las preferencias para que los usuarios tengan un acceso directo al Bloc de Notas en el Escritorio

------------------------------------------------------------------------------------------------------------------------------------------------

Con la opcin:

Stop processing --> Si alguna falla detiene la ejecucin de las siguientes.

Run in logged... --> Para que se ejecute cada vez que iniciamos la mquina.

Remove this item.... --> Cuando se desenlaza la preferencia y deja de aplicarse.

Apply once.... --> Si el usuario hace cambios no se vuelve a aplicar. Por ejemplo creamos una unidad de red, G:\ y el usuario

decide desconectarla, no le vuelve a aparecer la unidad de red.

Item-level targeting: --> Se decide a quien se le va a aplicar la preferencia.




9/14

En este caso por ejemplo, solo le aparecera a los usuario de Sales.

Ejercicio.

------------------------------------------------------------------------------------------------------------------------------------------------




10/14

Para los usuario del departamento de ventas es fundamental contar con un directorio en C: que se llama c:\Informes (no es una carpeta

compartida, es un directorio local).

Este directorio debe crearse de forma automtica en todos los equipos Windows 8.1 y slo para los usuarios del grupo Sales, pero no as

para los usuarios de SalesAdmin. Si algn usuario borra el directorio, debe crearse de nievo en el siguiente inicio de sesin.

Desde aqu se dice que sea solo para los usuarios de Sales y Windows 8.1

------------------------------------------------------------------------------------------------------------------------------------------------

da 4/12/2014

Gestin de Software usando GPOs.

Usando GPOs podemos gestionar prcticamente todo el ciclo de vida de una aplicacin.

1.- Instalacin.

2.- Actualizacin.

3.- Desinstalacin.

Ventajas: Podemos hacer la instalacin de forma centralizada. No necesitamos ir a cada uno de los equipos o instalar la aplicacin para

cada uno de los usuarios.

Si un usuario es mvil, cambia de equipo, podemos hacer que la aplicacin "le siga", instalndose en el nuevo equipo.

No tiene costes adicionales, la infraestructura de GPOs viene con Windows Server 2012 R2 y con los equipos clientes. En los

clientes ya tenemos el CSE (Client Side Extension) necesario para la instalacin y desinstalacin de software.

Inconvenientes:

El conjunto de caractersticas y configuraciones de instalacin es reducido: No podemos elegir el orden de instalacin cuando

despliganos mltiples aplicaciones, no hay un mtodo directo para especificar fecha y hora para la instalacin, no hay muchas

posibilidades de personalizacin de la instalacin de aplicaciones.

No tenemos una herramienta que nos d informes detallados de las instalaciones, actualizaciones y desinstalaciones hechas.

Slo funciona con paquetes MSI (Microsoft Installer) o MSU (Microsoft Update).Si la aplicacin a instalar no cuenta con el

paquete MSI, podemos usar aplicaciones de terceros para construirlo.

Si estas limitaciones son un problema, podemos usar software como System Center Configuration Manager (SCCM)

El despliegue de software con GPOs se basa en el servicio Windows Installer.

El servicio Windows Installer se ejecuta con privilegios elevados en cada mquina (Local System), por lo que no necesitamos que el

usuario para el que vamos a instalar la aplicacin cuente con esos privilegios. El paquete MSI o MSU estar en una carpeta compartida

y lo nico que necesitamos es que el usuario tenga permiso READ en esa carpeta.

Windows Installer se encarga del proceso de instalacin, mantenimiento (incluyendo la reparacin y actualizacin) y la desinstalacin.

Si una aplicacin est corrupta, Windows Installer puede repararla o reinstalarla. Esto se suele denominar Aplicaciones Resilientes

(resistente a fallos).

A la hora de instalar aplicaciones usando GPOs tenemos 3 opciones:

Asignar.

Publicar.

Avanzada: Permite personalizar un poco el proceso de instalacin.

Asignar.

Tanto la asignacin como la publicacin pueden configurarse para Usuarios y para Equipos.




11/14

Si usamos Configuracin de Equipos, la aplicacin se asigna o se publica para todos los usuarios que inicien sesin en el equipo.

Si usamos Configuracin de Usuarios, la aplicacin se asigna o se publica slo para ese usuario, independientemente del equipo en el

que inicie sesin. La aplicacin instalada mediante Configuracin de Usuarios no se comparte entre los usuarios de la mquina.

Si ASIGNAMOS una aplicacin a un equipo, la aplicacin se instala en el equipo y estar disponible para todos los usuarios del mismo.

La instalacin se hace efectiva la prxima vez que el equipo se inicie.

Si ASIGNAMOS una aplicacin a un usuario, en el men de Inicio se avisa al usuario de la disponibilidad de la aplicacin y sta se instala

cuando el usuario pulsa en ella, o cuando el usuario abre un archivo relacin con la aplicacin.

Publicacin.

En la publicacin, la aplicacin no se instala por defecto, sino que aparece en el Panel de Control, en Programas y es el usuario el que

tiene que instalarla.

La Publicacin no est disponible para Equipos, solo para usuarios.

Practica:

------------------------------------------------------------------------------------------------------------------------------------------------

Asignacin de aplicacin por GPO.

Creamos una carpeta compartida en LON-DC1.

Comprobamos que desde LON-CL1 tenemos acceso a esa carpeta

Creamos una GPO y la editamos.

Cuando le decimos que paquete queremos instalar hay que hacerlo a travs de la red, es decir: \\LON-DC1\Software

Y aparece el paquete que vamos a desplegar




12/14

Hay que enlazarla a nivel de dominio por ejemplo y despus con Reiniciar LON-CL1 debera estar listo.

Si no se lanza un gpupdate /force y ya aparece.

Ejercicio.

------------------------------------------------------------------------------------------------------------------------------------------------

Las polticas de gestin de nuestra empresa establecen que la aplicacin 7-zip debe estar disponible para todos los usuarios que quieran

instalarla. No debe preinstalarse esta aplicacin, pero tenemos que hacer que est disponible para todos de forma centralizada.

Creamos la GPO 7-zip y la editamos.

Publicar.

Y la enlazamos a nivel de dominio

Con estos comandos le decimos que invoque la GPO y si necesita reiniciar, reinicie LON-CL1 sin preguntar.

Dentro de Panel de Control de LON-CL1 estara el instalador (usuario SALES1)




13/14

Instalamos la aplicacin y cerramos sesin para ver si Sales2 tiene el 7-zip instalado.

No aparece porque la publicacin es solo a nivel de usuario no de equipo.

------------------------------------------------------------------------------------------------------------------------------------------------

Ejercicio

------------------------------------------------------------------------------------------------------------------------------------------------

Las polticas de empresa obligan a desinstalar aplicaciones que no estn actualizadas. Tenemos XML Notepad 2007 que entra dentro de

este grupo instalada en 1000 hosts. Se nos pide desinstalar de forma centralizada XML Notepad 2007 de todos los hosts.

Dentro de la misma GPO entramos en propiedades y marcamos esa opcion.

Luego la desenlazamos y se aplica.

------------------------------------------------------------------------------------------------------------------------------------------------

La pregunta est mal 6, la respuesta correcta es la c) The Administrative Templates (pdf 5)




14/14

Modulo 3 pregunta 3 D

Modulo 4 pregunta 8 creator owner


módulo 5 - managing user desktop with group policy

Documents