Archivado en: ‘AD’ .

« Entradas anteriores
Entradas recientes »

Gestión de pertenecia a grupos locales por GPO de dominio.

5 Marzo, 2010

Como sabemos los grupos locales de las máquinas están predefinidos en una instalación de windows. Cuando metemos una máquina en dominio automáticamente se mete el grupo administradores de dominio dentro del grupo administradores locales de manera  que dichos administradores de dominio tengan privilegios administrativos en las máquinas cliente.

Imagen 13 300x156 Gestión de pertenecia a grupos locales por GPO de dominio.

Existe una manera de controlar esta pertenecia a grupos por medio de políticas ( GPOs ) de dominio. Imaginemos que queremos que un grupo determinado, por ejemplo un grupo de técnicos de soporte, sean administradores de todas las máquinas de forma local pero no tengan privilegios de administrador de dominio, esto es típico para el mantenimiento de los Pcs en una oficina o para segmentar los privilegios de administración mediante grupos de seguridad para la administración de servidores windows.

» Leer más: Gestión de pertenecia a grupos locales por GPO de dominio.

1 comentario »

Publicado enAD, Windows 7

Tags:

Herramientas de Administración del Directorio Activo

2 Marzo, 2010

Hay una serie de herramientas que se pueden usar para administrar el directorio activo y los servidores DNS.

Muchas de las herramientas que te muestro, también serán utilizadas para la administración del AD LDS o directorio ligero.

Active Directory Domains and Trust

Esta herramienta administra las relaciones de confianza entre dominios. Los niveles de funcionalidad del dominio y los sufijos principales.

Schema Snap-In de Directorio Activo

Modificación del esquema de Active Direcory o Light Active Directory.

Para que funcione y puedas agregarla en una mmc debes registrar la librería de system32 llamada Schmmgmt.dll

Active Directory Sites and Services

Puedes utilizarla para configurar y administrar los “scopes” y la replicación de los escenarios de tu infraestructura de directorio activo.

Active Directory Users and Computers

Configura y administra de forma centralizada las características y roles del dominio en cuanto a FSMO o RODC (Read Only Domain Controler)

» Leer más: Herramientas de Administración del Directorio Activo

2 comentarios »

Publicado enAD, Microsoft

Tags:

Filtros de seguridad en Directorio Activo para GPOs

25 Febrero, 2010

Imagína que tenemos una política aplicada y queremos que dicha política no se aplique a determinadas máquinas, por lo que necesitamos hacer un filtro y luego aplicar ese filtro de manera que a determinadas máquinas o usuarios no se les aplique.

En primer lugar creamos un grupo por ejemplo: excepcion_Standart_de_GPO1

Tenemos que meter en este grupo las máquinas o usuarios que queremos excluir en la aplicación de la política. Por lo tanto es a nivel de política de dominio, por lo que vamos a trabajar sobre esta:

default policy 259x300 Filtros de seguridad en Directorio Activo para GPOs

Ahora sobre la GPO de dominio nos vamos a la pestaña “Delegation” aquí damos al botón abajo a la derecha “Avanzadas” y agregamos el grupo que hemos creado. Marcaremos el check “Denegar” para la entrada de seguridad “Apply group Policy”.

denegar delegar 300x163 Filtros de seguridad en Directorio Activo para GPOs

La configuración de dengación es más restrictiva que la de lectura, es decir, que aunque haya un grupo en la pestaña “delegation” que permita aplicar la política a las máquinas, al existir uno más restrictivo, el resultado será DENEGACIÓN.

IvanZito

3 comentarios »

Publicado enAD, Microsoft, Windows

Tags:

Loopback Policies. Control de políticas locales

25 Febrero, 2010

Muchas veces nos encontramos en la obligación de tener que cambiar políticas locales de las máquinas y además tenemos que controlar estas desde el dominio, para que cuando un usuario no esté conectado al dominio  un portátil tenga una configuración especial.

Vamos a realizar un ejemplo típico donde nuestro usuario  está con el portátil desconectado e inicia sesión con su portátil, aquí se le muestra un fondo de escritorio que no es corporativo y nuestro usuario da una imagen ante nuestros clientes poco corporativa.

Deseamos que cuando utilice su portátil y no esté conectado al dominio, su escritorio no pueda tener ningún wallpapers o tenga uno corporativo.

Lo primero que hay que hacer es un grupo donde alberguemos todas las máquinas del departamento o por ejemplo como hemos realizado a continuación, meter todos los portátiles del departamento finanzas:

grupo 300x166 Loopback Policies. Control de políticas locales

Una vez que tenemos nuestro grupo preparado. Debemos crear la política que luego vamos a utilizar, para ello en el administrador de políticas GPMC creamos una nueva política para forzar el escritorio del usuario que queramos:

politica desktop 300x239 Loopback Policies. Control de políticas locales

Para nuestra configuración es necesario no sólo configurar la política del escritorio, tenemos que configurar una política llamada: “User Group Policy loopback Proccesing Mode”. Esta política hace que se haga un “merge” (una fusión) de la política de dominio con las políticas locales. Realizándose una mezcla de los dos scopes: Dominio y Local

loopback desktop 300x250 Loopback Policies. Control de políticas locales

La explicación de las opciones de la política sería la siguiente:

Replace: La configuración definida por el usuario en su máquina en los objetos de política o en su Shell, reemplaza la configuración de políticas que nosotros estamos aplicando en el dominio o las que normalmente se le aplica. Esto quiere decir que vale más lo que el usuario haya configurado que nuestra política de dominio.

Merge: La configuración final del usuario es una fusión de las políticas locales y las políticas de dominio. Cuando el usuario no está logado en el dominio se realiza la fusión o “merge” de dichas políticas. Si hay conflicto en las políticas  se aplica la configuración del usuario.

Este tipo de política se aplicará a cualquier usuario que haga logon en la máquina.

Configurarémos entonces: “User Group Policy loopback Proccesing Mode

Ahora asigna tú política a la OU donde están las máquinas o la unidad organizativa donde están las máquinas a las que quieres aplicar la política y abajo en Scope, selecciona el grupo que has creado con los portátiles, así sólo se aplicará a las máquinas del grupo y no a los demás:

scope sales 300x175 Loopback Policies. Control de políticas locales

IvanZito

Una vez que tenemos nuestro grupo preparado. Debemos crear la política que luego vamos a utilizar, para ello en el administrador de políticas GPMC creamos una nueva política para forzar el escritorio del usuario que queramos:

2 comentarios »

Publicado enAD, Microsoft, Windows

Tags:

Canales CSEs: Replicación de políticas GPOs.

21 Febrero, 2010

Canales CSEs ( Replicación de políticas  GPOs ) en dominio.

Cuando se crea o modifica una politica esta se refresca a las máquinas clientes, pero si la política no ha cambiado dicho cambio no se transmite lo que puede causar algún problema de replicación.

Las políticas se refrescan por grupos, siendo estas por ejemplo un grupo para las que tienen que ver con IP Security, otras con EFS, otras con carpetas y así sucesivamente hasta hacer el total de grupos que albergan todas las políticas.

Quiero  decir con esto que el proceso de replicación se produce no en una sola acción sino en varias que son administradas por el Cliente de Políticas de las máquinas.

Cada uno de estos procesos que se realiza de forma independiente y que sólo actualiza el grupo de politicas al que pertenece se llama CSE.

Digamos para entenderlo mejor, un CSE es un subconjunto de políticas del conjunto que alberga todas las GPOs. Las políticas se replican en varios procesos cada uno es una canal que sólo replica un subconjunto de todas las GPOs.

Así si quieres que un CSEs( Proceso por el cual se actualiza el grupo de políticas concreto) se replique aunque no haya habido cambios dentro de dicho grupo de políticas. En la GPO de dominio tienes que entrar en el CSEs correspondiente y seleccionar la opción que tienes en la imagen siguiente y se llama “ Process even if the Group Policy objetcs have not change”.

Imagen 11 300x186 Canales CSEs: Replicación de políticas GPOs.

Existe un servicio en las máquinas que se pone en funcionamiento para hacer gestionar dichos canales CSEs se llama Group Police Client es el encargado de poner en funcionamiento los canales de replicación de políticas y hacer que las máquinas clientes reciban las políticas por los diferentes canales CSE.

Es importate que sepas que estas políticas son reaplicadas cada 16 horas y no cada 90 o 120 minutos como las políticas que han sido creadas o modificadas. Una política que no ha sufrido cambios en la configuración pero tiene marcada esta opción hará su replica por medio de su canal correspondiente CSE cada 16 horas y las que han sido modificadas cada 90 ó 120 minutos.

2 comentarios »

Publicado enAD, Microsoft, Windows

Tags:


-->