Gpo
description
Transcript of Gpo
-
GPOs
-
Group Policy Management Console Cuando tengamos configurado nuestro AD y hagamos verificado que los
servicios de infraestructura estn funcionando correctamente, e importado los usuarios de nuestro AD.
Vamos a comenzar a agregar polticas de AD, en las mquinas y en los usuarios.
Toda la administracin de las polticas de AD la vamos a manejar desde una consola.
Dentro del Forest tenemos nuestro dominio cibertecsoa.local, tenemos el contenedor de sitio, donde nos van a ir apareciendo todos los sitios de AD, para nosotros poder aplicar polticas a nivel de sitio. Si abrimos el dominio cibertecsoa.local, vamos a saber que significan esos contendedores: Son los mismos OUs que tenemos definidos dentro de
nuestro AD, se tiene el Domain Controllers OU, UsuariosImportados que se borrar, PE de Per, US de EEUU, el Group Policy Objects donde se van a ir almacenando todas las polticas en nuestro dominio, los filtros WMI, que son los filtros que podemos utilizar para aplicar polticas de manera selectiva, Starter GPOs son plantillas de polticas que podemos aplicar nosostros, para tomar como base en caso que queramos configurar las mquinas de nuestro dominio, y hay varios niveles de seguridad que nosotros podemos tomar como base.
-
Si abro Roles y Active Directory Users and
Computer tengo las mismas unidades
organizacionales en Group Policy Management
lo nico que no va a aparecer son los
contenedores Bultin que no son OUs
-
El primer tab Scope o Alcance, nos dice a que OU se encuentra vinculada esta poltica y a que grupo de seguridad
le est aplicando, en este caso Default Domain Controllers Policy se encuentra vinculada al OU de Domain
Controllers. El link Enabled Yes significa que s est activado porque yo puedo tener una poltica, es una forma de
apagar la poltica, la opcin Enforced es si yo tengo una poltica en un nivel superior y alguien aplica una poltica en
un nivel inferior de un OU y lo que est aplicando contradice lo que yo quiero aplicar, si yo coloco Enforced Yes
quiere decir que esta poltica va a sobrescribir a las dems poltica que estn en los OUs que hay por debajo de
ella. Tratar de no usarlo en lo posible
Las polticas se aplica en orden descendiente, y la poltica que gana es la ltima que se aplica.
Si abro Roles y Active Directory Users and Computer tengo las mismas unidades organizacionales en Group Policy
Management lo nico que no va a aparecer son los contenedores Bultin que no son OUs
-
Todas las polticas tienen dos contenedores principales, uno que son parmetros de computadoras (Computer Configuration) y otros que son parmetros de usuario (User Configuration). Cuando yo modifico algo a nivel de computadora. En detalles (grfico anterior) computer versin va ir aumentando, y luego va a replicar esa poltica en el sysvol que es la carpeta que replican todo los controladores de dominio. De esta manera va a tener sincronizada la versin que est en una mquina con lo que est en el sysvol. La idea que estos nmeros esten iguales, y cada vez que se hace un cambio ese nmero se va incrementando.
-
Si vemos dentro de Settings, se observa que dentro de User Configuration no hay nada definido y
dentro de Computer Configurations si .
-
Aplicacin de las Polticas Vamos a dar un ejemplo de como se aplican las polticas, a nivel de los OU cuando
tenemos una jerarqua, en este caso el OU de Lima.
Vamos a suponer que dentro de Lima, hay un administrador y este Administrador va a definir una nueva poltica. Clic derecho al OU Lima, y selecciono Crear un GPO en este dominio y vincularla aqu.
Se puede hacer tambin en dos pasos en: Group Policy Objects clic derecho New, y luego voy a Lima y selecciono Link an Existing GPO, donde se vincula una poltica ya existente.
Vamos a realizarlo en un solo paso creamos: PE-Configuracin-General. Aqu va estar toda las configuraciones que van a tener de Lima.
-
Aplicacin de las Polticas Nos va a aparecer la poltica y el link en este OU, cuando selecciono en Lima PE-Configuracin-
General, me va a salir una advertencia, que yo estoy modificando un GPO que est vinculado a
este OU, y si lo cambio y este GPO est vinculado a otro OU voy a modificar lo que est afectando
en los dems OU.
-
Aplicacin de las Polticas Vamos a suponer que el Administrador de Lima dentro de esta poltica PE-Configuration le da
clic derecho a Editar y se abre la venta: Group Policy Management Editor
-
Aplicacin de las Polticas Vamos dentro de User Configuration Policies Windows Settings y seleccionan la opcin
Internet Explorer Maintenance. Y doble clic en Browser Title
En Browser establece que el ttulo que va a tener IE diga, Poltica Lima, quiere decir que cuando un
usuario que est dentro de los niveles que estn abajo del OU de Lima, le va a salir en el titulo del IE
Poltica Lima.
-
Aplicacin de las Polticas Si cerramos el editor y seleccionamos en la poltica de Lima PE-Configuracin-General
Y selecciono en Detalles, refrescamos, nos aparece el User Version en 1 y el sysvol en 1.
Como no hicimos ningn cambio en Computer sigue estando en 0 Y no afectar.
-
Creamos un Usuario en Lima Dentro del OU de LIMA est los OU de usuarios, computadoras,, Vamos a dar un ejemplo dentro
del OU de Usuarios de Lima voy a crear un usuario adicional.
Creo el usuario Milton ChinchayCelada, con su username mchinchaycelada, su contrasea, deshabilito porque no quiero que me vuelva a pedir que cambie la clave. En una situacin real si es necesario para que el usuario cambie y coloque su clave personal. Finalizamos.
-
Creamos un Usuario en Lima Ejemplo podemos sobre escribir una poltica de nivel superior A una poltica de nivel inferior.
Aplicamos al OU de Lima pero lo estamos sobre escribiendo dentro del OU de Per.
Cuando se aplican las poltica se hacen desde afuera hacia adentro y La ultima es la que va a ganar el de Lima.
Si el Administrador de Per no quiere que se realice cambio a su poltica por uno de nivel inferior debera prender la opcin de Enforced a Yes para que no se modifique y quede como un candado para que no se realice un cambio.
Hay un comando para poder forzar a que las polticas se lean nuevamente, puedes reiniciar y cuando
inicies sesin se va aplicar las polticas, sino cmd y se ejecuta: gpupdate /force, ahora a ver en el IE.