------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------

Module 4: Implementing a Group Policy Infrastructure

------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------

Implementar una infraestructura de GPOs:

El objetivo de usar GPOs es tener la posibilidad de una gestion centralizada.

Las GPOs se almacenan en el directorio activo, asi que podemos configurarlas desde cualquier DC dentro de la

estructura de replicacion multimaster.

Los componentes de una GPO son:

- Settings: cada uno de los parametros que podemos configurar en una GPO.

- Plantillas de GPO: Definen todos los settings disponibles en una GPO. Tenemos 2 tipos:

o .adm: Antiguas y dependientes del idioma

o .admx: Nuevas, en archivos xml e independientes del idioma. Por cada idioma tenemos un

pequeño archivo .adml

Las platillas administrativas se guardan en SYSVOL

Las settings que estan configuradas para una GPO en particular se almacenan en el AD

La plantilla contiene todos los settings y se almacenan en SYSVOL, las GPOs solo tienen los settings que

estan configurados se almacenan en el AD

- Scope: Usuarios y equipos a los que se aplicaba la GPO

- Aplicación: El mecanismo que se encarga de aplicar la GPO a usuarios y equipos. GPC (Group Policy

Client). GPC se conecta con el servidor de GPOs (el directorio activo), Comprueba si hay GPOs nuevas o

modificadas, las descarga y las aplica.

Plantillas administrativas: Son directivas de configuracion del entorno del usuario. Son OBLIGATORIAS y el usuario no

las puede cambiar.

Preferencias: Configuracion del entorno del usuario pero el las puede cambiar

Plantillas administrativas:

- Gestionadas: Cuando desenlazamos la GPO del contenedor, dejan de aplicarse a los objetos de ese

contenedor.

- No Gestionadas: Cuando desenlazamos la GPO del contenedor, Se siguen aplicando a los objetos de ese

contenedor.

Las configuraciones de seguridad del visor de eventos en como una gestionada

Ejercicio: Para optimizar el proceso de backup, se nos pide configurar la redireccion de carpetas de usuario de forma

que las carpetas documents de los usuarios de la OU sales se almacenen en LON-DC2. Una vez configurado,

programaremos un backup periodico de las carpetas de usuarios de LON-DC2. Hacemos la prueba con LON-CL1, que

debera estar en la OU Sales.

Herrmienta de Backup

Symantec NetBackup

O Bacula (Freeware)

System Center Data Protection Manager

NUEVO EN WINDOWS SERVER 2012

Programar backup a unidad de RED

La limitacion es que cuando guarda en red solo almacena 1 copia de seguridad

Aplicación de GPOs:

Orden de aplicación:

1 locales

2 Sitio

3 Dominio

4 OU

Si no usamos el forzado (enforced) de GPOs

En cada GPO tenemos:

1 Computer Configuration

2 User Configuration

Si no usamos Loopback Procesing mode

El GPC (Group policy client) Se conecta con el servidor de GPOs, comprueba si hay GPOs nuevas o modificadas y las

descarga.

Quien aplica finalmente estas directivas son las Client Side Extension (CSE). Tenemos multiples CSEs:

- Folder Redirection CSE: Solo se encarga de la aplicación de settings de redireccion de carpetas.

- Aplication control policies CSE: solo se encarga de la aplicación de settings de applocker.

- Office CSE: Podemos descargar plantillas administrativas para office y necesitaremos que los clientes

tengan el CSE para office

Cada 90-120 minutos, el GPC se conecta al servidor en busca de GPOs nuevas o modificadas. Si no hay cambios, no

descarga nada. Pero las directivas de seguridad, las vuelve a aplicar cada 16 horas incluso si no ha habido cambios en

las GPOs.

Ejercicio queremos aplicar la GPO de redireccion de carpetas del ejerccio anterior al dominio de contoso.

Cual es la mejor opcion:

- Backup/restore: Cuando no hay relacion de confianza

- Copy/Paste (arrastrar): cuando hay relacion de confianza

Por defecto, los dominios de un mismo bosque tienen relacion de confianza entre ellos.

Desde la consola de GPMC

Arrastramos de un group folder a otro

Cuando forzamos una politica el orden de aplicación se invierte ya que si forzamos una GPO linkada al dominio y hay

otra GPO forzada en una OU se aplica antes la del dominio

El forzado de politicas se salta el bloqueo de herencia

La aplicación de politicas que sean iguales dependeran del link order cuanto mas arriba mas prioridad

La herencia se bloquea a nivel de OU

Ejemplo aplicar politicas a una OU menos a un usuario

Al denegarle los permisos de lectura de la GPO al usuario sales1 no puede leer la politica y no se le aplica

No se pueden usar grupos domain local solo globales y universales

WMITools para crear filtros WMI

Deshabilitar partes de una GPO

Por defecto, un enlace de 500 kbps o inferior se considera Slow Link.

Podemos usar GPOs para instalar aplicaciones de forma centralizada. Instalar una aplicación con un archivo muy

pesado puede no ser adecuado para un Slow Link

Forzar actualizacion de politicas solo a nivel de OU

RSoP:

RsoP: Resultant set of policies

Para obtener un RsoP tenemos 3 herramientas:

- Gpresult (gpresult /r)

- Asistente group policy modelling

- Asistente group policy result

Es necesario que el equipo sobre el que queremos hacer el analisis este iniciado. Tambien debemos tener privilegios

de administrador en la maquina. Otro Requisito es que el servicio WMI este iniciado (net start wmimgmt). El usuario

objeto del analisis debe haber iniciado sesion alguna vez, aunque no es necesario que actualmente tenga una sesion

abierta

Group Policy Result

Simulacion de politicas Modeling

En el visor de eventos tiene un apartado para politicas

Ejercicio: Nuestra empresa tiene 2 localizaciones, madrid y barcelona. El dominio adatum.com esta en madrid y el

dominio contoso.com esta en barcelona.

Las dos localizaciones estan unidas por un enlace de alta latencia.

En madrid tenemos las subred 192.168.10.0/24 y en barcelona tenemos la subred 192.168.20.0/24

Debemos tener conectividad completa entre las maquinas del bosque.

Se nos pide diseñar la topologia logica que tenga en cuenta esa topologia fisica

La replicacion entre dcs de un dominio tendra una frecuencia por defecto y entre DC de distintos dominios sera de 6

horas

El fondo de pantalla de los equipos windows 8.1 debe ser homogeneo en todo el bosque. Esto debe hacerse con el

minimo esfuerzo posible. Minimo esfuerzo administrativo.

Configurar la replicacion de las zonas DNS a todo el bosque para que resuelvas maquinas de otros dominios

Repadmin para comprobar replicaciones

Filtro WMI selecciona solo sistema operativo 8.1

SELECT * FROM Win32_OperatingSystem WHERE CAPTION LIKE "Microsoft Windows 8.1%" AND PRODUCTTYPE="1"

WQL idioma parecido a sql, sistemas de monitorizacion lo utilizan:

- Nagios (Centreon)

- Pandora FMS

Soportan SNMP y Netflow

Para actualizar politicas desde el servidor

Get-ADComputer –Filter * | Foreach {invoke-GPUpdate –computer $_.name}