Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
Module 4: Implementing a Group Policy Infrastructure
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
Implementar una infraestructura de GPOs:
El objetivo de usar GPOs es tener la posibilidad de una gestion centralizada.
Las GPOs se almacenan en el directorio activo, asi que podemos configurarlas desde cualquier DC dentro de la
estructura de replicacion multimaster.
Los componentes de una GPO son:
- Settings: cada uno de los parametros que podemos configurar en una GPO.
- Plantillas de GPO: Definen todos los settings disponibles en una GPO. Tenemos 2 tipos:
o .adm: Antiguas y dependientes del idioma
o .admx: Nuevas, en archivos xml e independientes del idioma. Por cada idioma tenemos un
pequeño archivo .adml
Las platillas administrativas se guardan en SYSVOL
Las settings que estan configuradas para una GPO en particular se almacenan en el AD
La plantilla contiene todos los settings y se almacenan en SYSVOL, las GPOs solo tienen los settings que
estan configurados se almacenan en el AD
- Scope: Usuarios y equipos a los que se aplicaba la GPO
- Aplicación: El mecanismo que se encarga de aplicar la GPO a usuarios y equipos. GPC (Group Policy
Client). GPC se conecta con el servidor de GPOs (el directorio activo), Comprueba si hay GPOs nuevas o
modificadas, las descarga y las aplica.
Plantillas administrativas: Son directivas de configuracion del entorno del usuario. Son OBLIGATORIAS y el usuario no
las puede cambiar.
Preferencias: Configuracion del entorno del usuario pero el las puede cambiar
Plantillas administrativas:
- Gestionadas: Cuando desenlazamos la GPO del contenedor, dejan de aplicarse a los objetos de ese
contenedor.
- No Gestionadas: Cuando desenlazamos la GPO del contenedor, Se siguen aplicando a los objetos de ese
contenedor.
Las configuraciones de seguridad del visor de eventos en como una gestionada
Ejercicio: Para optimizar el proceso de backup, se nos pide configurar la redireccion de carpetas de usuario de forma
que las carpetas documents de los usuarios de la OU sales se almacenen en LON-DC2. Una vez configurado,
programaremos un backup periodico de las carpetas de usuarios de LON-DC2. Hacemos la prueba con LON-CL1, que
debera estar en la OU Sales.
Herrmienta de Backup
Symantec NetBackup
O Bacula (Freeware)
System Center Data Protection Manager
NUEVO EN WINDOWS SERVER 2012
Programar backup a unidad de RED
La limitacion es que cuando guarda en red solo almacena 1 copia de seguridad
Aplicación de GPOs:
Orden de aplicación:
1 locales
2 Sitio
3 Dominio
4 OU
Si no usamos el forzado (enforced) de GPOs
En cada GPO tenemos:
1 Computer Configuration
2 User Configuration
Si no usamos Loopback Procesing mode
El GPC (Group policy client) Se conecta con el servidor de GPOs, comprueba si hay GPOs nuevas o modificadas y las
descarga.
Quien aplica finalmente estas directivas son las Client Side Extension (CSE). Tenemos multiples CSEs:
- Folder Redirection CSE: Solo se encarga de la aplicación de settings de redireccion de carpetas.
- Aplication control policies CSE: solo se encarga de la aplicación de settings de applocker.
- Office CSE: Podemos descargar plantillas administrativas para office y necesitaremos que los clientes
tengan el CSE para office
Cada 90-120 minutos, el GPC se conecta al servidor en busca de GPOs nuevas o modificadas. Si no hay cambios, no
descarga nada. Pero las directivas de seguridad, las vuelve a aplicar cada 16 horas incluso si no ha habido cambios en
las GPOs.
Ejercicio queremos aplicar la GPO de redireccion de carpetas del ejerccio anterior al dominio de contoso.
Cual es la mejor opcion:
- Backup/restore: Cuando no hay relacion de confianza
- Copy/Paste (arrastrar): cuando hay relacion de confianza
Por defecto, los dominios de un mismo bosque tienen relacion de confianza entre ellos.
Desde la consola de GPMC
Arrastramos de un group folder a otro
Cuando forzamos una politica el orden de aplicación se invierte ya que si forzamos una GPO linkada al dominio y hay
otra GPO forzada en una OU se aplica antes la del dominio
El forzado de politicas se salta el bloqueo de herencia
La aplicación de politicas que sean iguales dependeran del link order cuanto mas arriba mas prioridad
La herencia se bloquea a nivel de OU
Ejemplo aplicar politicas a una OU menos a un usuario
Al denegarle los permisos de lectura de la GPO al usuario sales1 no puede leer la politica y no se le aplica
No se pueden usar grupos domain local solo globales y universales
WMITools para crear filtros WMI
Deshabilitar partes de una GPO
Por defecto, un enlace de 500 kbps o inferior se considera Slow Link.
Podemos usar GPOs para instalar aplicaciones de forma centralizada. Instalar una aplicación con un archivo muy
pesado puede no ser adecuado para un Slow Link
Forzar actualizacion de politicas solo a nivel de OU
RSoP:
RsoP: Resultant set of policies
Para obtener un RsoP tenemos 3 herramientas:
- Gpresult (gpresult /r)
- Asistente group policy modelling
- Asistente group policy result
Es necesario que el equipo sobre el que queremos hacer el analisis este iniciado. Tambien debemos tener privilegios
de administrador en la maquina. Otro Requisito es que el servicio WMI este iniciado (net start wmimgmt). El usuario
objeto del analisis debe haber iniciado sesion alguna vez, aunque no es necesario que actualmente tenga una sesion
abierta
Group Policy Result
Simulacion de politicas Modeling
En el visor de eventos tiene un apartado para politicas
Ejercicio: Nuestra empresa tiene 2 localizaciones, madrid y barcelona. El dominio adatum.com esta en madrid y el
dominio contoso.com esta en barcelona.
Las dos localizaciones estan unidas por un enlace de alta latencia.
En madrid tenemos las subred 192.168.10.0/24 y en barcelona tenemos la subred 192.168.20.0/24
Debemos tener conectividad completa entre las maquinas del bosque.
Se nos pide diseñar la topologia logica que tenga en cuenta esa topologia fisica
La replicacion entre dcs de un dominio tendra una frecuencia por defecto y entre DC de distintos dominios sera de 6
horas
El fondo de pantalla de los equipos windows 8.1 debe ser homogeneo en todo el bosque. Esto debe hacerse con el
minimo esfuerzo posible. Minimo esfuerzo administrativo.
Configurar la replicacion de las zonas DNS a todo el bosque para que resuelvas maquinas de otros dominios
Repadmin para comprobar replicaciones
Filtro WMI selecciona solo sistema operativo 8.1
SELECT * FROM Win32_OperatingSystem WHERE CAPTION LIKE "Microsoft Windows 8.1%" AND PRODUCTTYPE="1"
WQL idioma parecido a sql, sistemas de monitorizacion lo utilizan:
- Nagios (Centreon)
- Pandora FMS
Soportan SNMP y Netflow
Para actualizar politicas desde el servidor
Get-ADComputer –Filter * | Foreach {invoke-GPUpdate –computer $_.name}