Category: Group Policy


En este Post veremos Un VB Script, el cual deben guardarlo como *.vbs, deben colocarlo por gpo como logon Script. El mismo permite,
• Mapear la home folder de cada usuario,
•Mapear una carpeta publica
•Dependiendo a que grupo pertenezca le creara una unidad de red. Por ejemplo si un usuario pertenece al grupo ventas, le mapeara una unidad de red definida en el Script
•Segun el grupo de Pertenencia le mapeara una Impresora.

—————————————————————————————————————————————————–

' Se debe cambiar cn=ventas por el grupo de AD al que pertenece el usuario.

' Obtener informacion del usario:

Set ADSysInfo = CreateObject("ADSystemInfo")

Set CurrentUser = GetObject("LDAP://" & ADSysInfo.UserName)

strGroups = LCase(Join(CurrentUser.MemberOf))

' Mapear la Home folder de cada usuario.

Set wshNetwork = CreateObject("WScript.Network")

wshNetwork.MapNetworkDrive "H:", "\\servidor\homefolders\" & wshNetwork.UserName

'Mapeo de Share publico:

wshNetwork.RemoveNetworkDrive "P:"

wshNetwork.MapNetworkDrive "P:", \\servidor\Public

'Mapeo segun Grupo de pertenencia

If InStr(strGroups, "cn=Ventas,") Then

wshNetwork.MapNetworkDrive "V:", \\servdidor\ventas

End if

If InStr(strGroups, "cn=rrhh,") Then

wshNetwork.MapNetworkDrive "R:", \\servidor\RRHH

End if

'Mapeo de Impresora segun grupo de pertenencia mapea y pone 'como impresora por default la printer1

If InStr(strGroups, ventas) Then

wshNetwork.AddWindowsPrinterConnection "\\printserver\printer1"

wshNetWork.SetDefaultPrinter "\\printserver\printer1"

End if

 

Si les da el siguiente error, cuando intentan mapear una unidad de red que ya esta en uso:

The local device name is already in use.

Se debe utilizar la siguiente condicion:

Dim objFSO, strDrive, strShare
Set objFSO = CreateObject(“Scripting.FileSystemObject”)
strDrive = “H:”
strShare = “\\fileserver\novellmain”
If objFSO.DriveExists(strDrive) = True Then
objNetwork.RemoveNetworkDrive strDrive
End If
objNetwork.MapNetworkDrive strDrive, strShare

 

En este post veremos, como redireccionar a una especifica OU, a las nuevas computadoras incorporadas al dominio.

Esto es  de gran utilidad, ya que  en el contenedor de default, no se pueden linkear group policies. Con este metodo , toda nueva computadora ,podra tener una gpo basica, hasta que se lo redirrecione (o no) a una OU definida.

Laboratorio:

DC: Windows Server 2008 R2

DOminio: morettimaxi.local

  1. Lo primero que tenemos que hacer es crear una OU,
  2. Luego saber el Distingueshed Name, el mismo lo encontramos en el “atribute Editor”

Luego abrimos un CMD, y colocamos la siguiente linea:

redircmp.exe “OU=Computers,OU=morettimaxi,DC=morettimaxi,DC=local”

De esta manera, todas las computadoras que agreguemos iran a la OU predefinida, donde por GPO, cumplira con los requisitos de seguridad de la empresa.

En este post veremos una solucion, para una empresa que esta implementando politicas de seguridad y entre ellas se encuenta bloquear el uso de USB de almacenamientos, pendrives por ejemplo. Pero que a la vez no bloquear otros dispositivos usb como pueden ser un telcado o mousse.

Para esto modificaremos por gro el  registro:

Crearemos una GPO llamada “bloquear usb almacenamiento”
Abrimos la pestaña de “Configuracion de usuario\Preferencias\Configuracion de windows\registro”. Una vez ahi pulsaremos boton derecho sobre registro, seleccionaremos “nuevo” y dentro de nuevo “Asistente para registro”

Nos saldra un “Explorador de registro”, seleccionamos equipo local y le damos a siguiente
Al pasar a la siguiente ventana nos aparece un explorador de registro, tenemos que navegar hasta la siguiente clave “ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor””
En el panel de detalles, haga doble clic en Start.En el cuadro Información del valor, escriba 4, haga clic en Hexadecimal (si aún no se ha seleccionado esa opción) y, a continuación, haga clic en Aceptar.

El uso adeacuado de las group policies esta sujeto  a que tan bueno es el diseño del Active Directory. Muchas veces nos encontramos el error de que estos estan diseñados siguiendo el ornanigrama de la empresa. La manera mas eficiente es armarlo a base del funcionamiento de la empresa.  Si ha impelentado los  sitios, dominios y unidades organizativas de la manera incorrecta, las directivas de grupo serán difíciles de utilizar y mucho mas poder  resolver problemas.  Por lo tanto el primer paso sera planificar el Active directory, no hay una modelo, esta sujeto al funcionamiento de la empresa en la cual se va a implementar. Algunas de las preguntas que deben hacerse son las suiguientes:  ¿Cuantos bosques/forest se va a implementar (uno o varios)? ¿Cuántos árboles de dominio? Habrá dominios secundarios? ¿Qué tipo de estructura de unidades organizativas tendra  cada dominio  Y así sucesivamente. Cada una de estas decisiones debe hacerse siempre por la pregunta: ¿Qué impacto tendrá mi decisión tiene sobre la directiva de grupo se lleva a cabo en mi empresa? Veamos algunas pautas que pueden ayudarle a diseñar Active Directory con eficacia en cuanto a la directiva de grupo se refiere

K.I.S.S. “Keep It Simple, Stupid ” 🙂

En el contexto de la planificación de directiva de grupo, esto significa dos cosas::

Si un dominio único se reunirán todas las necesidades de su empresa, a continuación, utilizar un solo dominio. La razón es simplemente que el número de objetos de directiva de grupo (GPO) que tendrá que crear es aproximadamente proporcional al número de dominios que tienen en el bosque. Para vincular un GPO mientras residen en un dominio a un contenedor (dominio, sitio o unidad organizativa) en un dominio diferente reduce el número total de GPO que necesita para implementar, puede tener un impacto en el rendimiento y por lo general no se debe hacer.

Mantener su estructura de unidades organizativas relativamente sencillas, por ejemplo dos o tres niveles de unidades organizativas en la mayoría. La razón es similar aquí por qué usted debe tener su número de dominios de lo más bajo posible: los gastos administrativos.
Así que vamos a decir de comenzar el diseño de Active Directory con la decisión que nos van a un único dominio (ver Figura 1) con dos o quizás tres niveles de unidades organizativas dentro de ella. Eso es un buen lugar para empezar. ¿Qué sigue?


OU servidor

Directiva de grupo no es sólo para la administración de escritorios, es también excelente para el bloqueo de los servidores para garantizar que son seguros y funcionan correctamente. Y por los servidores me refiero tanto a los servidores miembros (que incluyen los servidores de archivos, servidores de impresión, servidores web, servidores DHCP, etc) y los controladores de dominio. La mejor manera de bloquear los controladores de dominio es dejarlos en la unidad organizativa controladores de dominio predeterminada y configurar un GPO vinculado a esa unidad organizativa. Hay dos maneras para hacer esto:

  1. Configurar los ajustes en el controladores de dominio predeterminada.

Crear un nuevo GPO, vincularla a la unidad organizativa de controladores de dominio, y configurarlo.
¿Qué enfoque es mejor? Algunos expertos recomiendan dejar el GPO predeterminado tocar y el crear un nuevo GPO y moverlo a la parte superior de la orden de enlace para los GPO vinculados a la OU. De esta manera si algo sale mal después por lo menos tener la GPO predeterminado en su lugar y sin tocar. pero hay varias opciones

¿Qué pasa con los demas servidores ? El truco aquí es darse cuenta de que las funciones de miembro de diferentes servidores son, básicamente, de forma incremental diferente de una línea de base servidor miembro. Así que un buen enfoque es crear un alto nivel de unidad organizativa Servidores miembro y luego por debajo de él añadir las unidades organizativas adicionales para cada función


Figure 2: OU structure for member servers.

La ventaja de este enfoque es que ahora se puede crear una base de servidores miembro GPO que generalmente asegura cualquier servidor miembro y enlace a la unidad organizativa Servidores miembro. De esta forma todos los servidores miembro en unidades organizativas secundarias heredarán automáticamente esta política. A continuación, puede crear una impresión Servidores GPO y vincularlo a la unidad organizativa Servidores de impresión, servidores de un archivo de GPO y vincularlo a la unidad organizativa de servidores de archivos, y así sucesivamente. Estas diferentes GPO vinculados a unidades organizativas secundarias de la UO Servidor miembro se puede utilizar para endurecer la seguridad incremental para cada función de servidor en la base endurecimiento facilitada por los servidores de GPO.

Escritorio del usuario y las unidades organizativas

La estructura de unidades organizativas a planificarpuede depender de varias cosas incluyendo el organigrama de la empresa, sucursales, número de departamentos, y así sucesivamente. No hay un modelo de diseñar las unidades organizativas de un dominio, pero los siguientes consejos pueden ayudarle a evitar problemas en el futuro cuando se inicia la creación de GPO para bloquear los usuarios y sus computadoras de escritorio.

En primer lugar, sólo se debe crear una unidad organizativa, si hay alguna razón de peso para que exista. Por ejemplo, si los usuarios de las Ventas, Marketing, y los departamentos de referencia tienen necesidades similares en cuanto a la seguridad va, el grupo de sus cuentas en una única unidad organizativa en lugar de tres. Entonces, si los usuarios de ventas tienen algunas diferencias menores en los requisitos de seguridad de los otros dos departamentos, se puede crear y vincular otro GPO a la OU y el uso de filtrado de seguridad para garantizar sólo los miembros del grupo de ventas tienen que establecer GPO se aplica a ellos.

A continuación,se debe tratar de crear unidades organizativas a lo largo de las líneas departamentales en lugar de la ubicación geográfica. De esa manera se  puede hacer un uso más eficaz de la delegación cuando se necesita para usarlo. Si se debe tener las unidades organizativas geográfica, hacen de las unidades organizativas de nivel superior y luego crear unidades organizativas secundarias por debajo de ellos por cada división o departamento (Figura 3):

A continuación, crear unidades organizativas independientes para las cuentas de equipo y cuentas de usuario (Figura 4). De esta manera puede utilizar unidades organizativas independientes para bloquear los ajustes de la máquina y la configuración del usuario. Por supuesto, se puede lograr lo mismo por agrupar las cuentas de equipo y de usuario en una única unidad organizativa, que une dos GPO a la OU, y la desactivación de la configuración de la máquina en una unidad organizativa y la configuración del usuario en la OU otros. Sin embargo, mantener el equipo y las cuentas de usuario en unidades organizativas independientes, será más fácil para solucionar problemas de directiva de grupo

Figure 4: separadas ou para usuarios y computers

Además, trate de evitar el uso de bloqueo,” force Loopback” , y otras formas de modificar la directiva de grupo predeterminada para la herencia. Eso es porque el uso de estas características puede hacer que sea muy difícil de averiguar por qué la directiva de grupo no está haciendo lo que quieres que deberia . Ses absolutamente necesario utilizar estas características en el diseño de la directiva de grupo, es probable que no se haya diseñado una estructura de Active Directory de forma ordenada . La única excepción a esta regla es el filtrado de seguridad, que es una poderosa herramienta que puede ayudar a hacer una selección más precisa GPO sin complicar el diseño.

Por último, evitar hacer cambios en la directiva de dominio predeterminada. En su lugar, crear un nuevo GPO, vincularla con el dominio, y configurar sus parámetros, según sea necesario. Pero tenga mucho cuidado con lo que configurar en cualquier GPO vinculado a un dominio, ya que todos los ajustes que configure será heredado por todas las computadoras y cuentas de usuario en todas las unidades organizativas en el dominio. Siempre que sea posible configurar la política en el nivel de unidad organizativa y no en el nivel de dominio y uso de dominio GPO sólo para objetos del dominio.