Windows Server 2012 R2 Active Directory: Implementación y gestión

Configuración de directivas de grupo en Active Directory

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Es la hora de establecer una política de grupo donde iremos configurando opciones que aplican a los equipos y usuarios que almacenaremos en una unidad organizativa. Veremos cómo filtrar y distinguir a qué equipos aplicamos la configuración que realizaremos.

Transcripción

Vamos a incidir en la creación de directivas de grupo y ver cómo aplican sobre equipos o usuarios. Veamos. Para crear directivas de grupo, tengo que abrir la consola Administrador del servidor e ir a Administrador de directivas de grupo. Aquí partimos de unas directivas de grupo que ya existen y que podéis ver la configuración yendo a Configuración. Como es una navegación HTML, al principio de todo deberéis aceptar que la web sea un miembro de confianza. Ya es un sitio de confianza, podemos ver la configuración de esta primera directiva de grupo. Posteriormente, vemos las directivas y las unidades organizativas que tenemos en nuestro entorno. Por ejemplo, por defecto, a los domain controllers, viene configurado a una directiva específica para los domain controllers. Esta unidad organizativa tiene bloqueadas las herencias y no se aplican las directivas que están más arriba. Como veis, tenemos una configuración propia para los propios usuarios de los domain controllers. Objetos y directivas de grupo es el almacén donde almacenamos todas nuestras directivas de grupo. Por ejemplo, yo tengo una personalizada, pero las otras son las que hay por defecto Esto no significa que la directiva esté ligada a ninguna unidad organizativa ni a ningún sitio ni nada. Solo tenemos aquí una base de datos de políticas de grupo. Esta, por ejemplo, no está aplicada a nada. Yo puedo arrastrarla y aplicarla a todos mis usuarios. También podría aplicarla a sitios. En la herencia, dependiendo del sitio donde lo apliquemos, irá teniendo mayor o menor importancia e impacto sobre equipos o usuarios. Si entramos dentro de la directiva, de una directiva cualquiera, veremos que tenemos dos apartados: Configuración de equipo y Configuración de usuario. Las opciones de equipo las vamos a encontrar aquí, y podemos navegar por ellas. Por ejemplo, en Configuración del Panel de control, veremos lo que normalmente vemos en local en los equipos: Dispositivos, Opciones de carpeta Usuarios locales, Grupos Opciones de red, etc. Y podríamos crear configuraciones que, luego, una vez apliquen y refresquen a los equipos, terminarán configurándose en local. Ya sabes que con esto, pues podemos configurar una conexión VPN en todo el universo de [inaudible] en nuestro equipo, y no tener que ir equipo por equipo. Impresoras igual, podemos crear nuevas impresoras y se instalarán en los equipos que aplique la directiva. Esto es a nivel de equipo. Algo que cabe destacar es que las directivas de nivel de equipo se aplican cada 90 minutos, mientras los equipos están encendidos. Pero para que sea aplicada realmente, la mayoría de las opciones requieren un reinicio del PC. Este reinicio no se fuerza, con lo cual, aunque publiquemos ahora mismo algo, y si ese algo es requerido un reinicio del equipo para que cambie, se aplicará cuando el equipo realmente cambie. Aunque, repito, se aplican cada 90 minutos. Podemos forzar también una directiva yendo a un equipo concreto, abriendo una consola CMD, Botón derecho Ejecutar como administrador, y el comando gpudpate. Ejecutar como administrador hace que se apliquen las de equipo. Si yo solo abriese la consola, haciendo un clic sin administrador, se aplicarán las de usuario, ya que para poder aplicar las de equipo requiere ser administrador. Un usuario, por ejemplo, no puede abrir un CMD como administrador y no puede forzar la ejecución de las directivas. Con este comando, se actualizarán las directivas y se aplicarán en el PC en el que he iniciado sesión. Al ser administrador, se aplicarán tanto las de usuario como las de equipo. Si alguno de los cambios aplicados requiriesen reinicio o cierre de sesión, porque son a nivel de usuario, y algunas Opciones de usuario se aplican cuando inicia sesión el usuario, aquí lo advierte y permite cerrar sesión o reiniciar el equipo. Las directivas pertenecientes a usuario las tenemos aquí. Y podemos configurar en el usuario, muchas veces mismas opciones pero que la diferencia está en que, por ejemplo, esta impresora será instalada cuando el usuario haga log on en un PC. Allá donde el usuario se siente, se crearán las impresoras y se crearán durante el log on. Llevad cuidado, porque ciertas veces alguna configuración retarda ese log on, ya que se están instalando impresoras o se están realizando tareas. Pero bueno, es diferente aplicarlo a nivel de usuario que a nivel de equipo. Las políticas a nivel de equipo se aplican antes del log on, por tanto, y si cogemos este ejemplo, la impresora estará instalada cuando al usuario ya se le pide usuario y contraseña. Y, en las directivas de usuario, la impresora se instalará después de introducir usuario y contraseña, con lo cual los tiempos varían. Muchísimas más opciones son las que podemos encontrar y son específicamente en este apartado aplicadas a usuarios. Por ejemplo, Directivas de contraseña no las vemos en el usuario. Las vemos en equipo. ¿Correcto? Las tenemos aquí. Por tanto, también es importante que sepáis dónde vamos a encontrar cada una de las opciones. Luego, estas directivas las aplicamos o bien a usuarios o bien a equipos. Es bueno saber en qué OU tenemos y dónde las tenemos, ya que una misma directiva tiene que albergar usuarios y equipos solo si dentro de la OU tenemos usuarios y equipos. Los ámbitos son importantes. Toda directiva que creemos se aplicará al 100 % de usuarios o de equipos que tenemos en la OU. Con la configuración que tenemos actualmente, por defecto, se aplica al 100 %, tanto usuarios y equipos aunque aquí no veáis a equipos. ¿Correcto? Si queremos realizar un filtro, debemos hacer los pasos siguientes: debemos eliminar los Usuarios autentificados. Yo tengo un grupo donde están los usuarios y los equipos de los financieros. Aquí está. Y para asegurarme que se aplica, ya no basta solo con realizar este cambio y digo ya, porque anteriormente sí que bastaba con realizar este cambio sino que tengo que asegurarme que los equipos tienen privilegios de lectura. Voy a hacer Opciones avanzadas en Delegación, voy a agregar equipos del dominio, y voy a asegurarme que solo tienen privilegios de lectura. Por un lado, todos los equipos del dominio pueden leer la directiva, cosa que es esencial. Y, segundo, un grupo de usuarios y equipos o usuarios o equipos es a quien se le va a aplicar. De tal forma que, aunque yo haya aplicado esto a la unidad organizativa usuarios, solo se aplicará dentro de esta OU a equipos y usuarios que pertenezcan a este grupo. Acabo de realizar un filtro. Podría realizar filtros WMI. Los filtros WMI me permiten, por ejemplo, solo aplicar esta directiva a usuarios y equipos del grupo financiero, pero que además tengan un Windows 7 y no un Windows 8 o que sean un Windows Server 2012 R2, pero no sea un Windows 8, un Windows 10 o un puesto cliente. Los filtros WMI la verdad es que son muy potentes. Aquí tenemos los detalles propios de la directiva. El Id. único es importante, ya que, luego, muchas veces tenemos que buscarla a nivel de ficheros. Y el estado de la GPO, si la tenemos habilitada, o si la tenemos deshabilitada. La Configuración propia de la directiva es donde nos aparece lo que hemos ido configurando en la directiva. En esta no tengo nada, pero en esta recordaréis que tengo la configuración propia de contraseñas. Y Delegación para si quiero que alguien que no es un Administrador del dominio pueda modificar esta directiva pudiendo darle acceso, delegándole el acceso realmente, podría administrar nuestra directiva un simple usuario o un administrador IT de una sucursal, donde gestiona sus propios usuarios, sus propios equipos.

Windows Server 2012 R2 Active Directory: Implementación y gestión

Aprende cómo se instala, crea y crece el Directorio Activo en Windows Server 2012, y cómo podemos integrar un nuevo dominio en un escenario con dominio o dominios ya existentes.

3:33 horas (44 Videos)
Actualmente no hay comentarios.
 
Fecha de publicación:25/07/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.