70-411 - Modulo 5€¦ · Podemos definir scripts en varios lenguajes de programacion: ... -...
Transcript of 70-411 - Modulo 5€¦ · Podemos definir scripts en varios lenguajes de programacion: ... -...
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
Module 5: Managing User Desktops with Group Policy
------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------------
Gestion de Escritorios usando GPOs :
Plantillas administrativas:
Las plantillas administrativas hacen cambios directamente sobre el registro de windows. Por esto suelen llamarse
Tambien Registry-based Policies.
Como cualquier politica, tenemos plantillas administrativas en configuracion de usuario y en configuracion de
equipo:
- Configuracion de equipo: HKEY_LOCAL_MACHINE
- Configuracion de usuario: HKEY_CURRENT_USER
Si una misma setting la tenemos en configuracion de equipo y en configuracion de usuario, tiene prioridad la
configuracion de equipo. Por ejemplo, si instalamos Skype, apareceria en las 2 configuraciones.
Dos tipos de plantillas administrativas:
ADM:
- Mas antiguas
- Usan un lenguaje propietario, por lo que son mas dificiles de crear.
- Se guardan en %SystemRoot%\Inf
- Son dependientes del idioma. Por cada idioma tenemos una plantilla completa.
- Se copia a SYSVOL. Cada una ocupa alrededor de 3MB.
ADMX:
- Mas nuevas
- Usan extandar XML. Cualquier fabricante puede crear plantillas para sus productos
- Windows Server 2008 y windows vista
- %Systemroot%\PolicyDefinitions
- Son independientes del idioma. Las caracterisitcas propias de cada region se almacenan en archivos
ADML
- Se leen directamente de %SystemRoot%\PolicyDefinitions
- Se almacenan en local en cada maquina, pero tambien podemos guardarlas en una localizacion
centralizada. Central Store. Se crea este almacen copiando la carpeta %SystemRoot%\PolicyDefinitions a
SYSVOL\sysvol\dominio.com\Policies
Si tenemos Plantillas administrativas ADM y ADMX y tienen ambas la misma configuracion, las ADMX tienen
prioridad frente a las ADM.
Podemos mejorar el rendimiento del AD migrando todas las plantillas ADM a ADMX. Para esto usamos la
herramienta de migracion ADMX Migration Tool
Para instalar ADMX Migration Tool
Hay que entrar en modo prueba de fallos
CMD
msiexec /unregister
msiexec /regserver
asi se vacia la cache del msiexec para que no de fallos
se inicia en modo normal y ya se puede instalar
Las plantillas administrativas son extensibles. Podemos crear nuestras propias plantillas o descargar otras
desarrolladas por fabricantes. Por ejemplo, si adobe ofrece plantillas administrativas para acrobat Reader, podemos
establecer la configuracion de reader en todas las maquinas del dominio de forma centralizada.
Tenemos plantillas administrativas para muchos productos de Microsoft, por ejemplo, Office 2013
Redireccion de carpetas y scrips:
El objetivo de Folder Redirection es que los usuarios “Vean” que sus directorias estan en su maquina local, pero
realmente estan una localizacion compartida.
Esto tiene algunas ventajas:
- Facilita la administracion de Backups
- Facilita la movilidad de usuarios (Roaming Profiles)
- Acceder a una carpeta compartida puede hacer que sea mas lento, pero podemos combinar la
redireccion de carpeta con Offline files (cache carpeta compartida).
Redireccion de carpetas
En modo basico crear una carpeta para cada usuario
En modo avanzado podemos redirigir usuario y grupos a diferentes carpetas
Estas son las opciones de modo avanzado
Y estas las settings
Cuando al dejar de aplicar una GPO se mantiene el efecto de una setting, se llama “tatooing setting”
En fotos musica y videos aparece una opcion mas
Ejecucion de Scripts:
Antes de que apareciesen las preferencias en las GPOs, habia tareas que teniamos que configurar en scripts para que
se ejecutasen de forma automatica:
- Mapear una unidad de red
- Limpiar directorios temporales
- Limpiar los archivos de paginacion
Los scripts tendremos que seguir usandolos para maquinas que no soporten preferencias. Si estan soportadas, las
preferencias deben ser el metodo usado para estas tareas.
Podemos definir scripts en varios lenguajes de programacion:
- VBScript
- Microsoft Jscript
- Comandos de MS-Dos en un archivo .bat
- Powershell (desde Windows Server 2008 R2)
Estos scripts los podemos ejecutar en 4 situaciones:
- Cuando un usuario inicia sesion
- Cuando un usuario cierra sesion
- Cuando un equipo se reinicia
- Cuando un equipo se va a apagar
Los scripts de inicio deben encontrarse en una carpeta compartida. A esta carpeta compartida deben tener acceso
las cuentas de usuario o de equipo que los van a ejecutar.
El recurso compartido que se suele usar es Netlogon
\\LON-DC1.adatum.com\NETLOGON
C:\Windows\SYSVOL\sysvol\adatum.com\scripts
Mapeo de unidad por linea de comandos
Net use G: \\unidad
Ejecutar scrip de inicio de sesion:
Tiene que esta en una carpeta compartida y windows ya tiene una carpeta para este fin
Ahora creamos la GPO
Para que le refresque las politicas al equipo cliente
Invoke-GPUpdate -Computer LON-CL1
Preferencias:
Las tareas que hasta ahora teniamos que ejecutar mediante scripts, ahora podemos aplicarlas usando preferencias
en las GPOs.
Estan disponibles desde windows Server 2008. En clientes windows vista SP2 o superior.
Si descargamos e instalamos las CSE (Client Side Extensions) de preferences, podemos usarlas en:
- Windows Server 2003
- Windows XP SP3
- Windows Vista SP1
En las preferencias tenemos 4 opciones:
- Create: Crear una nueva setting de preferencias para el usuario o el equipo
- Replace: elimina la preferencia y vuelve a crear una nueva con la nueva configuracion
- Update: Modifica alguna setting de la preferencia
- Delete: Borra una setting de preferencias para el usuario o el equipo
Mapeo de unidad por preferencias:
Marcar el reconnect es por si el usuario la desconecta se vuelva a conectar
Crear un acceso directo en el escritorio a notepad
Opciones Common de Preferences
1- Si alguna falla detiene la ejecucion de las siguientes
2- Indica si se va a ejecutar la preferencia con el usuario que inicia sesion. Si no se marca se ejecutara con el
usuario LOCAL SYSTEM.
3- Eliminar preferencia cuando no se aplique por gpo igual a una setting gestionada
4- Aplica una sola vez si el usuario la elimina o modifica no se vuelve a aplicar
5- Elegir a quien se le va a aplicar la preferencia (combinacion de WMI filters y Security filters)
Ejercicio: Para todos los usuarios del departamento ventas es fundamental contar con un directorio en C: que se
llame C:\Informes (No es carpeta comparitida)
Este directorio debe crearse de forma automatica en todos los equipos 8.1 y solo para usuario del grupo sales, pero
no asi para los usuarios de Salesadmin.
Si algun usuario borra el directorio debe crearse de nuevo en el siguiente inicio de sesion.
Gestion de Software usando GPOs:
Usando GPOs podemos gestionar practicamente todo el diclo de vida de una aplicación
1. Instalacion
2. Actualizacion
3. Desinstalacion
Ventajas:
- Podemos hacer la instalacion de forma centralizada. No necesitamor ir a cada uno de los equipos o
instalar la aplicación para cada uno de los usuario.
- Si un usuario es movil, cambia de equipo, podemos hacer que la aplicación “le siga”, Instalandose en el
nuevo equipo
- No tiene costes adicionales, la infraestructura de GPOs viene con Windows Server y con los equipos
cliente.
En los clientes ya tenemos el CSE (Client Side Extension) necesario para la instalacion y desinstalacion de
software.
Inconvenientes:
- El conjunto de caracteristicas y configuraciones de instalacion es reducido: No podemos elegir el orden
de instalacion cuando desplegamos multiples aplicaciones, no hay metodo directo para especificar fecha
y hora para la instalacion, no hay muchas posibilidades de personalizacion de la instalacion de
aplicaciones.
- No tenemos una herramienta que nos de informes detallados de las instalaciones, actualizaciones y
desinstalaciones hechas.
- Solo funciona con paquetes MSI (Microsoft installer) o MSU (Microsoft Update). Si la aplicación a instalar
no cuenta con el paquete MSI, podemos usar aplicaciones de terceros para construirlo.
Si estas limitaciones son un problema, podemos usar software como System Center Configuration Manager (SCCM).
El despliegue de software con GPOs se basa en el servicio Windows Installer
El servicio Windows Installer se ejecuta con privilegios elevados en cada maquina (Local System), Por lo que no
necesitamos que el usuario para el que vamos a instalar la aplicación cuente con esos privilegios.
El paquete MSI o MSU estara en una carpeta compartida y lo unico que necesitamos es que el usuario tenga permiso
READ en esa carpeta.
Windows Installer se encarga del proceso de instalacion, mantenimiento (incluyendo la reparacion y actualizacion) y
desinstalacion. Si una aplicación esta corrupta, Windows Installer puede reinstalarla o repararla. Esto se suele
denominar aplicaciones Resilientes (tolerancia a fallos)
A la hora de instalar aplicaciones usando GPOs tenemos 3 opciones:
- Asignar
- Publicar
- Avanzada: Permite personalizar un poco el proceso de instalacion.
Asignar:
Tanto la asignacion como la publicacion pueden configurarse para usuarios y para equipos.
Si usamos la configuracion de equipos, la aplicación se asigna o se publica para todos los usuarios que inicien sesion
en el equipo.
Si usamos la configuracion de usuarios, la aplicación se asigna o se publica solo para ese usuario,
independientemente del equipo en el que inicie sesion. La aplicación instalada mediante configuracion de usuarios
no se comparte entre los usuarios de la maquina.
Si ASIGNAMOS una aplicación a un equipo, la aplicación se instala en el equipo y estara disponible para todos los
usuarios del mismo. La instalacion se hace efectiva la proxima vez que el equipo se inicie.
Si ASIGANAMOS una aplicación a un usuario, en el menu de inicio se avisa al usuario de la disponibilidad de la
aplicación y esta se instala cuando el usuario pulsa en ella, o cuando el usuario abre un archivo relacionado con la
aplicacion
Publicacion:
En la publicacion, la aplicación no se instala por defecto, sino que aparece en el panel de control, en Programas y es
el usuario el que tiene que instalarla
La publicacion no esta disponible para equipos.
Asigancion de aplicación por GPO:
Primero copiamos el msi en una carpeta compartida
Invoke-gpuptade –computer nombreequipo –force –boot -logoff
Ejercicio: las politicas de gestion de nuestra empresa establecen que la aplicación 7-zip debe estar disponible para
todos los usuarios que quieran instalarla. No debe preinstalarse esta aplicación, pero tenemos que hacer que este
disponible para todos de forma centralizada.
Ejercicio:
Las politica de la empresa obligan a desintalar aplicaciones que no estan actualizadas. Tenemos xlm notepad 2007
que entra dentro de este grupo instalada en 1000 hosts. Se nos pide desintalar de forma centralizada.
Modificamos la GPO con esta opcion
Esperamos que se replique a los clientes
Cuando se haya aplicado a todos los clientes desenlazamos la GPO y se desinstalara sola