-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Module 4: Implementing a Group Policy Infrastructure

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Implementar una infraestructura de GPOs:

El objetivo de usar GPOs es tener la posibilidad de una gestion centralizada.

Las GPOs se almacenan en el directorio activo, asi que podemos configurarlas desde cualquier DC dentro de la
estructura de replicacion multimaster.

Los componentes de una GPO son:

-

Settings: cada uno de los parametros que podemos configurar en una GPO.
Plantillas de GPO: Definen todos los settings disponibles en una GPO. Tenemos 2 tipos:
o .adm: Antiguas y dependientes del idioma
o .admx: Nuevas, en archivos xml e independientes del idioma. Por cada idioma tenemos un
pequeo archivo .adml
Las platillas administrativas se guardan en SYSVOL
Las settings que estan configuradas para una GPO en particular se almacenan en el AD
La plantilla contiene todos los settings y se almacenan en SYSVOL, las GPOs solo tienen los settings que
estan configurados se almacenan en el AD

Scope: Usuarios y equipos a los que se aplicaba la GPO

Aplicacin: El mecanismo que se encarga de aplicar la GPO a usuarios y equipos. GPC (Group Policy
Client). GPC se conecta con el servidor de GPOs (el directorio activo), Comprueba si hay GPOs nuevas o
modificadas, las descarga y las aplica.

Plantillas administrativas: Son directivas de configuracion del entorno del usuario. Son OBLIGATORIAS y el usuario no
las puede cambiar.

Preferencias: Configuracion del entorno del usuario pero el las puede cambiar

Plantillas administrativas:
-

Gestionadas: Cuando desenlazamos la GPO del contenedor, dejan de aplicarse a los objetos de ese
contenedor.
No Gestionadas: Cuando desenlazamos la GPO del contenedor, Se siguen aplicando a los objetos de ese
contenedor.

Las configuraciones de seguridad del visor de eventos en como una gestionada

Ejercicio: Para optimizar el proceso de backup, se nos pide configurar la redireccion de carpetas de usuario de forma
que las carpetas documents de los usuarios de la OU sales se almacenen en LON-DC2. Una vez configurado,
programaremos un backup periodico de las carpetas de usuarios de LON-DC2. Hacemos la prueba con LON-CL1, que
debera estar en la OU Sales.

Herrmienta de Backup

Symantec NetBackup
O Bacula (Freeware)

System Center Data Protection Manager

NUEVO EN WINDOWS SERVER 2012

Programar backup a unidad de RED

La limitacion es que cuando guarda en red solo almacena 1 copia de seguridad

Aplicacin de GPOs:

Orden de aplicacin:
1 locales
2 Sitio
3 Dominio
4 OU
Si no usamos el forzado (enforced) de GPOs

En cada GPO tenemos:

1 Computer Configuration
2 User Configuration
Si no usamos Loopback Procesing mode

El GPC (Group policy client) Se conecta con el servidor de GPOs, comprueba si hay GPOs nuevas o modificadas y las
descarga.

Quien aplica finalmente estas directivas son las Client Side Extension (CSE). Tenemos multiples CSEs:
-

Folder Redirection CSE: Solo se encarga de la aplicacin de settings de redireccion de carpetas.

Aplication control policies CSE: solo se encarga de la aplicacin de settings de applocker.
Office CSE: Podemos descargar plantillas administrativas para office y necesitaremos que los clientes
tengan el CSE para office

Cada 90-120 minutos, el GPC se conecta al servidor en busca de GPOs nuevas o modificadas. Si no hay cambios, no
descarga nada. Pero las directivas de seguridad, las vuelve a aplicar cada 16 horas incluso si no ha habido cambios en
las GPOs.

Ejercicio queremos aplicar la GPO de redireccion de carpetas del ejerccio anterior al dominio de contoso.
Cual es la mejor opcion:
-

Backup/restore: Cuando no hay relacion de confianza

Copy/Paste (arrastrar): cuando hay relacion de confianza

Por defecto, los dominios de un mismo bosque tienen relacion de confianza entre ellos.

Desde la consola de GPMC

Arrastramos de un group folder a otro

Cuando forzamos una politica el orden de aplicacin se invierte ya que si forzamos una GPO linkada al dominio y hay
otra GPO forzada en una OU se aplica antes la del dominio
El forzado de politicas se salta el bloqueo de herencia

La aplicacin de politicas que sean iguales dependeran del link order cuanto mas arriba mas prioridad

La herencia se bloquea a nivel de OU

Ejemplo aplicar politicas a una OU menos a un usuario

Al denegarle los permisos de lectura de la GPO al usuario sales1 no puede leer la politica y no se le aplica

No se pueden usar grupos domain local solo globales y universales

WMITools para crear filtros WMI

Deshabilitar partes de una GPO

Por defecto, un enlace de 500 kbps o inferior se considera Slow Link.

Podemos usar GPOs para instalar aplicaciones de forma centralizada. Instalar una aplicacin con un archivo muy
pesado puede no ser adecuado para un Slow Link

Forzar actualizacion de politicas solo a nivel de OU

RSoP:

RsoP: Resultant set of policies

Para obtener un RsoP tenemos 3 herramientas:

-

Gpresult (gpresult /r)

Asistente group policy modelling

Asistente group policy result

Es necesario que el equipo sobre el que queremos hacer el analisis este iniciado. Tambien debemos tener privilegios
de administrador en la maquina. Otro Requisito es que el servicio WMI este iniciado (net start wmimgmt). El usuario
objeto del analisis debe haber iniciado sesion alguna vez, aunque no es necesario que actualmente tenga una sesion
abierta

Group Policy Result

Simulacion de politicas Modeling

En el visor de eventos tiene un apartado para politicas

Ejercicio: Nuestra empresa tiene 2 localizaciones, madrid y barcelona. El dominio adatum.com esta en madrid y el
dominio contoso.com esta en barcelona.
Las dos localizaciones estan unidas por un enlace de alta latencia.
En madrid tenemos las subred 192.168.10.0/24 y en barcelona tenemos la subred 192.168.20.0/24
Debemos tener conectividad completa entre las maquinas del bosque.
Se nos pide disear la topologia logica que tenga en cuenta esa topologia fisica
La replicacion entre dcs de un dominio tendra una frecuencia por defecto y entre DC de distintos dominios sera de 6
horas

El fondo de pantalla de los equipos windows 8.1 debe ser homogeneo en todo el bosque. Esto debe hacerse con el
minimo esfuerzo posible. Minimo esfuerzo administrativo.

Configurar la replicacion de las zonas DNS a todo el bosque para que resuelvas maquinas de otros dominios

Repadmin para comprobar replicaciones

Filtro WMI selecciona solo sistema operativo 8.1

SELECT * FROM Win32_OperatingSystem WHERE CAPTION LIKE "Microsoft Windows 8.1%" AND PRODUCTTYPE="1"

WQL idioma parecido a sql, sistemas de monitorizacion lo utilizan:

-

Nagios (Centreon)
Pandora FMS

Soportan SNMP y Netflow

Para actualizar politicas desde el servidor

Get-ADComputer Filter * | Foreach {invoke-GPUpdate computer $_.name}