GPO: GPO en detalle

Los permisos son concesiones sobre los derechos. Una GPO es un contenedor de configuraciones de seguridad

  • GPE se considera a los asignamos localmente (las políticas locales de maquina) à
    GPEDIT.msc
  • GPO asignados en este orden Local Group
    à
    Site
    à Domainà OU . Lo ejecuta à
    GPMC.msc


  • Las directivas a nivel Site las ponemos que abarquen a más de un dominio.
  • Las directivas a nivel Site afectaría al dominio que este en el sitio y a las OU del dominio

Se aplica la directivas se aplican la GPO más cercana al objeto. Por ejemplo si deniego a nivel de Site el no usar el entorno de red, y en la OU lo permito, prevalecerá la que permite, es decir la OU

Si yo aplico una GPO a una OU, le estoy dando potestad para que se gestione el mismo, omitiendo los niveles por encima (dominio y sitio)

Si quiero forzar que se aplique la GPO a nivel superior (dominio o sitio) sobre lo que dice la GPO de OU, se usa el enforce


La de mayor prioridad (la 1) se ejecuta la última, por los que las de menor prioridad (2) se procesaran antes.

Podemos poner prioridades dentro de la GPO asignadas a OU, y prioridades en GPO asignadas a sitios y dominios

En caso de haber forzadas a nivel de sitio y OU, manda la que está por encima, es decir la de sitio


Por lo que aunque forcemos a una OU para que no tenga contraseña, como la Default Domain Policy esta forzada, en caso de haber forzadas, manda la del nivel superior

 

 

LOCAL GPOs

Es la que se aplican a equipos que no están en dominio o localmente. Sin embargo tienen prioridad la GPO del dominio que la gpolocal

En win XP, 2003 y W2000 solo había una sola GPO que afectaba a todos. A partir de Windows Vista en adelante (win 7, 2008 en adelante) tenemos mutiples GPO locales

Por defecto tenemos lo típico, el nodo computer y nodo users que afecta a todos los usuarios del equipo que se loga, pero tenemos dos nuevas GPO: administrators y Non-Administrators que afecta a los usuarios que sean o no miembro del grupo Administradores del equipo local

Desee el equipo local, abrimos MMC y agregamos “Group Policy Object editor”


Nos dice si conectarnos a la GPO local de esta maquina, o a la de otro equipo. Le damos a browse


 

En la pestaña users no aparece esas nuevas GPO, seleccionamos por ejemplo Non-Administrator


Vemos que nos abrirá la consola para usuario


 

Vemos que vamos a agregar la consola para los Non-administrators, Finish


 

 


 

DOMAIN-BASED GPOs

Estas GPO se almacenan en el directorio acctivo

Existen 2 GPO por defecto


  • Default Domain Policy: su ID es {31B….}: Es una política que esta forzada por defecto, aunque no lo ponga. Solo vienen configurado las políticas de cuenta (complejidad, longitud, historial, caducidad). Obviamente debe forzar al resto por si alguien pone en una OU una GPO que ponga sin contraseñas

    No es recomendable cambiar nada de estas políticas, salvo las que están habilitadas (la de la contraseña)

    La Default Domain Policy afecta a los Domain Controller

    En caso de errores, se puede borrar esta carpeta

     

  • Default Domain Controllers policy: {6AC…}: Esta GPO esté enlazada a la OU Domain controllers de User and computers de AD cuando se mete promociona un 2008.

Contiene las opciones de seguridad de Local settings (quien puede acceder a un DC) y directivas de auditoria



    Esta GPO tiene por defecto que solo puedan iniciar sesión local en un DC los administradores


 

GPO STORE

Lo que vulgarmente llamamos GPO son realmente 2 componentes que se almacenan en sitios distintos

  • Goup policy container
  • Group policy Template

 

 

  1. Group Policy Container ( GPC )

Es un objeto en Active Directory almacenado en el contaimer “group policy object” dentro del domain naming context

Como cualquier otro objeto de AD, cada GPC tienen un atributo GUID único que le identifica en el directorio Activo.


El GPC define atributos básicos de la GPO pero no tienen ninguna configuración, ya que esta configuración está en la GPT

 

  1. Group Policy Templates (GPT)

Contiene la configuración de las GPO y se guarda en cada \\shared\sysvol de los controladores de dominio, replicándose entre ellos

Cuando hacemos cambios en una GPO se guarda en el GPT del dominio en el que lo hicimos y luego se replica.

El Group Policy Client de todos los Windows detecta una actualización de GPO ya que vga GPO tieien un numero de versión que cambia con cada actualización. Este numero es guardado com un atributo de GPContainer y un archivo de texto, GPT.ini, el la carpeta GPT

Las GPT sstán en c:\windows\SYSVOL\sysvol\<dominio>\Policies\<GPOGUID>


  • Desde W2000 el identificador 31B…. corresponden a las GPO Default Domain Policy
  • El Identificador 6AC corresponden a las GPO Default Domain Controller policy

 

Si abrimos una GPT, vemos el contenido. El fichero GPT.ini, tiene el número de versión, y las configuraciones de usuario


Para ver la correlación de UID con GPO, lo veríamos en las propiedades de la GPO


 

Replicación de las GPO

Las GPC y GPT se replican ambas entre todos los Domain Controlleres, pero tienen distinto mecanismo

Las GPC utiliza la topología generada por el KCC

GPT se repica por FRS (file replication service) con W2000,2003 y 2008, o también por DFSR, si los domain controller son 2008 o superior. Esto hay que configurarlo

Primero se replica las GPC a otros Domain Controller. Estos DC identifican que ha cambiado en su lista una GPO e intentara bajar la GPT del Controlador de dominio donde se cambió la GPO

 

 

ICONOS GPO

Las GPO a nivel local de maquina solo se podrá modificar si no están en la estructura Site > Domain > OU


Como vemos en la imagen arriba los iconos que son dos servidores , son las aplicadas por GPO, y las que tienen el icono de un fichero binario, son las editables localmente

Si abrimos con GDEdit.msc (en modo local) al abrir una política, vemos que no es editable, porque esta aplicada por GPO, si quisiéramos cambiarlo, seria a través de Default Domain Controller Policy


 

La carpeta Group Policy object, corresponde al contenido en c:\windows\sysvol\sysvol\<domain>\policies


 

GPO HERENCIA (inheritance) y PRECEDENCIA (precedence)

Inheritance:

La herencia implica que se van acumulando los links de GPO en el orden Local à Site à Domian àOU à OU… Esto quiere decir que la primera en ejecutarse seria a nivel local y la ultima la de las OU, y en caso de de conflicto manda la última que se ha aplicado, es decir , la de la OU, a no ser que se hubiera forzado una GPO

Lo podemos ver en pestaña Group Policy Inheritance de una OU, en este caso, SEV


Vemos en que orden se aplican

  1. la primera que se aplicara será la 7 (default Domain Policy) ya que está en un nivel más alto que la OU,
  2. luego se ejecutara las de la OU “computersmad” (6-5-4) ya que esta OU está por encima de la UO SEV.
  3. Luego se ejecutan las GPO de la OU de Sevilla (3-2) que es la que está más abajo en el nivel
  4. Finalmente se ejecuta la GPO 1, que esta forzada, y aunque esta en u nivel superior (nivel dominio), respecto a nuestra Ou SEV, al estar forzada es la última que se ejecuta y es la que más prioridad tiene, y en caso de conflicto, mandara lo que ponga esta GPO

 

Precedencia

Lo define un número y la me mayor precedencia es el número más bajo (1) y una menor precedencia es un mayor número (2). En la imagen anterior vimos en la pestaña herencia, en qué orden se ejecutaban (columna precedencia). Esta pestaña pone las cosas automáticas basándose en la herencia.

Nosotros en un OU, dominio, podemos elegir, en el caso de que hubiera linkada más de una GPO, el orden en el que se ejecutaran dentro de la OU, lo cual afectara luego a la herencia

Seleccionando una OU, en la pestaña “Linked Group Policy ogjects” vemos el orden en el que se ejecutan (3 à 2 à 1) pero con las flechas, podremos cambiar el orden


 

Bloqueo de herencia

Hace que no se ejecuten las GPO de nivel superior, excepto las que están forzadas). Al Bloquear, aparecerá un icono azul de admiración

OU SEV: su nivel superior es la OU ComputersMAD à dominio à sitio

Antes de aplicar bloqueo de herencia: se ejecutan las del nivel superior y las suyas

Despues de aplicar bloqueo de herencia: solo se aplican sus GPO y las forzadas

 

Enforced GPO

Cuando forzamos una GPO ésta toma el más alto nivel de precedencia, es decir, un numero bajo (1), no obstante si tenemos forzadas GPO que están en distintos niveles (una en un dominio y otra en una OU), la que tendrá mayor precedencia será la del nivel dominio, por lo que la GPO forzada de la OU tendrá un numero 2, y la GPO forzada a nivel dominio, tendrá un 1

Vemos en la imagen como en la OU ComputerMAD, tenemos forzada un GPO, pero tiene menor precedencia que la GPO 6425C que es a nivel de dominio. Primero se ejecutara la 2 y luego la 1

 


También importante es que una GPO forzada se aplicara aunque en un nivel inferior se aplique un bloqueo de herencia, aunque vemos que la GPO 5 ya no aparece, porque se ha bloqueado, y como no está forzada, esta si la ha bloqueado


 

Delegacion de GPO

Vieja forma de delegación

Desde usuarios y equipos de Active directory, tenemos una forma antigua de delegar permisos a una OU, y es con el asistente de delegación de permisos. En el cual damos permisos a un usuario y le damos una tarea delegada, entre la que se encuentra la “Manage Group Policy links” además de generar RSoP


No es recomendable usar este método, ya que es difícil determinar que se hizo

Si vamos a los permisos de la OU vemos que se ha aplicado unos permisos especiales a la OU


Y se ha reflejado en LA GPO. Como veremos, es mas fácil hacerlo desde GPMC y aplicarle el permiso ahí


 

Nueva forma de dar delegación

 

Delegación a nivel de dominio

La creación de GPO a nivel de dominio. Esto significa que podemos crear GPO a nivel de dominio o no podemos crear nada. GPMC nos proporciona una capa de delegación más clara de quien puede crear GPO en el dominio. Lo podemos ver en la pestaña delegación seleccionando el dominio, y en ella veremos los usuarios que pueden crear GPO en el dominio. Usuario que añadamos aquí, podrá crear en todo lo que está bajo su nivel, es decir en todas las OU


Los permisos son


 

Delegación a nivel de OU

Podemos delegar permisos también a través de la OU, y podrán aplicar GPO, RSoP alos usuarios/grupos que estén aquí, tanto solo al contenedor, como a sus hijos


 

Permisos a GPO

Es diferente a los dos anteriores, son los permisos a la GPO en sí. Cuando creamos una GPO por defecto se crea un permiso de lectura a los Authenticated users, para que todo el mundo pueda leerla y procesarla si le atañe. También vemos que los Admins pueden editarla y nodificarla.

Si queremos que algún usuario pueda modificar una GPO en concreto, le añadiríamos aquí, el permiso de edición. También si quitamos a Authenticated Users, y esta GPO no la podría procesar nadie que o fuera los administradores, que si están en los permisos


 

ACL

Cada GPO tiene un ACL que define los permisos a la GPO; Allow Read y Apply Group Policy, tanto para los usuarios como computers. Este ACL se puede modificar en pestaña delegación > botos avanzado, y aquí para evitar que se aplique una GPO a un usuario o grupo ponemos en DENY el permiso Apply group Policy

Por ejemplo tenemos una GPO a la que solo se le aplique a grupo AD_Kiosk_Deploy, pero denegar a un usuario que se le aplique esta GPO, que además este usuario forma parte del grupo AD_Kiosk_Deploy

 

 

  1. Agregar el grupo AD_Kiosk_Deploy en la pestaña Scope > Security filtering

     


     

  2. Quitar los permisos a authenticated users, ya que es por defecto a todos. Lo podemos hacer de 2 formas.
    1. Eliminando el grupo de “security Filtering
    2. Editando el ACL (delegation > advanced) de “Authenticated users” y desmarcar el permiso Apply group Policy (que no ponerlo en DENY)


 

  1. Ahora para evitar que a un usuario, que además es de este grupo se le aplique la GPO, editaríamos el ACL de la GPO- Vamos a la pestaña delegación > advanced


Le ponemos el permiso “Apply Group policy” en DENY. De esta forma, no se aplicara


 

Evitar a usuarios/grupos que se le aplique GPO

Como vemos esta GPO la podrán leer usuarios authenticados y los miembros del grupo “AD_Client_Deploy”, que fue los que añadimos en el scope., pero si pinchamos en el botón avanzado vemos los permisos que se les aplica; read y apply group po-licy


Desde aquí podemos acotar más permisos, y hacer que a un usuario no le afecte esta GPO, aunque este en el grupo con permisos. Solamente añadiendo el usuario/grupo y denegándole Apply group policy, a este usuario no se le aplicara.

La mejor practica Realmente lo mejor es crear un grupo que en el que meteremos los usuarios que no queramos que se apliquen las GPO, de esta forma basta con añadir el usuario a este grupo par ue la GPO no se aplique

PDC Emulator

El GPMC y GPME se conectan al controlador de dominio que tienen el rol PDC, y lo hace para evitar que una única GPO pueda ser cambiada en 2 Domain Controller, por lo que solo habrá un punto de replicación

 

 

 

Managing Site-Domian-OU GPO

Las GPO se aplican a Sitios, Dominio y OU, y seleccionando alguno de estos podemos ver el orden de cómo se ejecutan y delegar permisos para la creación de GPO. Por ejemplo seleccionamos la OU “Domain Controllers”. También aplicable si seleccionamos el dominio


  • Linked Group Policy Objects: Nos muestran en que orden se apicaran las GPO que están en esta OU, y el orden. La que tiene más prioridad será la”1″, y se ejecutara al final, es decir, primero la 2 y luego la 1


  • Group Policy Inheritance: es el orden en el que se aplicaran todas las GPO que hereda, y que de alguna manera, actuara soble esta OU. va desde la última a la primera. la cual tendrá mayor prioridad, es decir, primero la “2” y luego la “1”.

    El bloquear la herencia, bloquea las GPO que vienen del nivel de arriba, pero si una GPO esta forzada, esta no se puede bloquear

 


  • Delegation: quien puede crear GPO. Lo suyo es ponerlo a nivel de dominio. Aquí vemos los usuarios que tiene permisos para crear GPO


Los permisos son los siguientes, que se muestran, y si queremos que otros usuarios o grupos tengan permisos para crear GPO lo añadimos conADD

 


 

 

Managing GPO individuales

Estas son las opciones disponibles cuando seleccionamos una OU

  • Scope: a quien se aplica la GPO. Authenticated Users implica que se aplica a usuarios y maquinas de AD, ya que “Authenticated Users” son todos los objetos de Active Directory


  • Detalles: vemos el UID de la GPO


 

  • Setting: Podemos ver que es lo que hace y a que afec ta la GPO


  • Delegation: quien puede acceder a la GPO y dar permisos para editar esta GPO en concreto


    

 

RSOP

RSoP (Resultant Ser Of Policy) es una coleccion de herramientas que ayuda a evaluar y solucionar problemas de aplicaciones de GPO.

RSoP puede consultar una maquina local o remota y determinar que GPo se han aplicado a usuarios o equipos. A continuación mostramos las herramientas de RSoP

 

GROUP POLICY RESULT

Las GPO se actualizan cada 90-120 minutos. Esta opción vale para saber que directivas se aplicar a un objeto, y de donde viene esa herencia.

Hace una consulta WMI a las maquinas remotas, por lo que necesita estos requerimientos

  • Tener permisos administrativos en la computadora destino
  • El servicio WMI debe estar arrancado en el equipo destino
  • El equipo destino debe ser mínimo un XP
  • Se debe permitir el acceso al equipo remoto por WMI, lo que implica que el equipo tiene que estar conectado, conectado a la red y accesible a través de puerto 135 y 445 (WMI)
  • El usuario se debe haber logado al menos una vez, per no es necesario que el usuario este logado cuando se hace la consulta

 

Para crearla:


 

Nos sale el asistente, seleccionamos la maquina a la que conectarnos


Elegimos el usuario a evaluar


Nos genera el informe


  • summary: Muestra el status del ultimo refresco, las GPO aplicadas denegadas, filtros WMI y el status de CSE
  • setting: El conjunto resultante de las policy aplicadas a computadoras o usuarios. Vemos lo que realmente se le ha aplicado al usuario
  • Policy events: muestra los eventos concernientes a las Group Policy

 

Podemos salvar el reporte, o ver una vista avanzada que nos muestra el GPMeditor con las settings que tiene aplicado

 


 

Gpresult.exe

El comando gpresult es la versión de línea de comandos del asistente “Group Policy Results“.

La sintaxis:

Gpresult <parámetros>

  • /s <computer> debe ir acompañada de r,z, v
  • /SCOPE <user | computer>
  • /r : muestra un resumen de RSoP
  • /v: modo verbose
  • /z: modo superverbose
  • /USER [domain\user] : especifica el nombr de usuario para el cual se aplicara el RSoP
  • /X <file>: exporta el resultado en formato xml
  • /H <file>: exporta el resultado en formato HTML

     

GPUPDATE

La sintaxis es gpupdate [/target:{computer | user]

Con GPUpdate /force analiza la máquina y usuario desde que le actualizo y NOS AVISA si tenemos que reiniciar para que se apliquen, mientras que con GPUPDATE a secas, no nos informa. Solo lo puede ejecutar el administrador

GROUP POLICY MODELING

Si movemos un usuario o equipo entre sitios, domino, OU, el ámbito de la GPO cambiara. El “groip policy modeling” noss permite emular el impacto permitiéndome modificar los atributos de los objetos. Lo que nos mostraría un RSoP por adelantado


Seleccionamos un DC


Seleccionamos por ejemplo una OU, o usuarios, así evaluara como quedaría en esa OU


 

Especificamos si queremos simular un loopback procesing y su modo, simular una red lenta y el Sitio


Seleccionamos los grupos de seguridad para el usuario y computadora


Elegimos si deseamos que filtro WMI aplicar a la simulación del usuario o computadora


 

Empezara a procesar y nos saldrá el reporte como el otro wizard


 

Logs Policy Events

Microsoft también nos proporciona los logs de eventos que atañen a las GPO. tenemos

  • system log para buscar información de GPO, incluyendo errores creados por el Group Policy Client


  • Application Log: captura eventos grabados por CES (client side extensions)


  • Operational: es nuevo log, que tiene información sobre Group Policy Processing

 


Implementación de Software por GPO

  • Asignar: se instala de forma forzosa (opción disponible a Computers o users)
  • Publicar: el usuario lo podrá ejecutar cuando quiera (solo opción de usuario)

Podemos instalar la aplicación al hacer clic en un fichero de esa aplicación, no es necesario que se instale en el inicio del sistema. Los MSI se pueden crear con la aplicación “msiexec

También podemos instalar aplicaciones con los scritps (bat, cmd, EXE y cualquier ejecutable)


Los ejecutable iría a la politica.es script name pondremos el .bat,.exe


Vemos que ese guarda en la GPO


Anteriormente con Netlogon podíamos cargar scripts que, permita CMD, bat, vbs y que se guardan en el recurso compartido NETLOGON y corresponde a la pestaña del usuario



 

EXPLORANDO GROUP POLICY SETTING

La Group Policy Setting, conocidas como directivas están dentro de las GPO y se modifican con GPME y tiene 2 categorias

  • Nodo Computer Configuration: se aplican a computadoras al arrancar y pasados 90-120 minutos
  • Nodo User configuration: se aplica al hacer logon y pasados 90-120 minutos

Software setting:

Nos permite instalar aplicaciones msi en nuestro entorno


Windows Setting


  • Name resolution policy : configuración de DNS SEC, el del DNS setting para Direct Access


  • Scripts extensión: permite los scriots de startup y shutdown en coomputers, y logon/logoff en el nodo de usuarios. Cuando un equipo se apaga, el CSE aplica primero es script log-off y luego el script shut-down


  • Security setting: Para configurar la seguridad; directivas de cuenta, accesos, NAP. Firewall


  • Policy-Based QoS: Para administrar el trrafico de red. Podemos asignar a una aplicación más ancho de banda


 

Administratives Templates:

Son las políticas basada en el registro. Nos sirven para configurar el entorno del usuario y equipo

 


 

PREFERENCIAS


Las preferencias son nuevas en W2008 y tienen un mecanismo llamado “ítem-level targeting” que hace que podemos tener varias preferencias en una GPO

Al igual que WMI requiere el CSE ejecute una query para determinar si aplica o no la GPO, por lo que consume recursos, sobre todo las consultas LDAP

Por ejemplo si creamos un Drive maps, en las propiedades podemos activar el ítem level que hace que solo se aplique la preferencia a quien cumpla algunos


Para ello creamos un ítem de CPU speed y hará que la preferencia de mapear una unidad de red solo se aplique a equipos cuyo procesador sean mayor de 1 Ghz


 

Por ejemplo podemos crear una preferencia con un ítem_level targering, para que cree una “Folder option” con una configuración a un grupo llamado “AD_Client_deploy” y otra configuración para otro Grupo


 

Estos serian las opciones a configurar creariamo 2 opciones dentro de Folder Option, cada una con su configuración y en ítem, targering pondríamos un grupo u otro


 

Para el grupo AD-Client


Para el otro grupo


 

Consejos

Si una GPO solo se aplica por ejemplo a usuarios, es conveniente que detalles > GPO estatus desactivemos la configurfacion de comoputers, ya que como no hay ninguna configuración, evitamos que el Group Policy client intente procesarlo durante ela directiva de refrsco, asi nos ahorramos algunos ciclos de reloj


 

Por defecto vista,XP y windows 7 relaizan refrescos en backgrouund durante el startup y el Logon, con lo que el cliente arrancar, que no se haya cargado la red, y por lo tanto no reciba las ultimas directivas desde el dominio, ya que lo ha cargado el background y al no haber red no las detecta.

Para solucionar este problema es muy aconsejable cambir este comportamiento y activar la configuración Always wait for network al computer startup and logon que se encuentra en Computer configuration > Policies > administrative templates\system\logon


Esta directiva no afecta a computadoras que están desconectadas de la red. Si la computadora detecta que no está desconectada, no espera a la configuración del sistema de red

 

 

WMI FILTERS

El Filtro WMI es capaz de filtrar basándose en características como RAM, procesador, IP, capacidad del disco, Sistema operativo, Service pack. Para añadir un filtro WMI, nos vamos al contenedor correspondiente


En el botón ADD añadimos la sentencia. Es similar a T-SQL y salvamos


Ahora nos vamos a una GPO y le aplicamos el filtro


Los filtros WMI no se ejecutan en W2000 server, Tienen un alto coste de rendimiento el procesamiento de estos filtros WMI

 

Para saber todas las opciones WMI que hay

http://www.computerperformance.co.uk/powershell/powershell_wmi.htm

  • Get-WmiObject – List


Para acotar y buscar más

  • Get-WmiObject –List | where-object {$_.Name –like “Win*”}
  • Get-WmiObject –List | where-object {$_.Name –match “Win32”}

     


Para mostrar todas las propiedades den un nombre

  • Get-WmiObject Win32_Computersystem


Filtrar

  • Get-WmiObject Win32_LogicalDisk -filter “DeviceID = ‘c:’ 



 

Para sacar un listado

Get-WmiObject -List | Out-File WmiObject.txt

 


 

 

LOOPBACK POLICY PROCESSING

Por defecto la configuración de una GPO de usuario se le aplica al usuario, independientemente de la maquina en la que esté conectado

Puede ser que queramos configurar un entorno de usuario diferentemente, dependiendo de a que computadora está conectada. Por ejemplo que Pepe su configuración de usuario habitual si está en su máquina de trabajo u otra distinta si está por ejemplo logado en una sala de formación

Lo que hace es intentar mantener la configuración de una computadora (user & computer setting) independientemente de quien se loguee.

Estas opción loopback policy processing es apropiada en entornos como classroom, áreas de recepción, laboratorios. Ya que debemos tener control sobre su configuración independientemente del usuario que se logue

Pasos:

  1. Creamos una OU llamada “Clases-pc” que tendrán los equipos de las clases, laboratorios, etc.
  2. En esta OU creamos una GPO llamada “Aulas” > activamos la opción loopback policy processing.
    1. luego dentro de la misma GPO creamos las “user settings” y “computer setting“, que queramos para las aulas. Las “user settings” funcionaran, ya que aunque en la OU “Clases-PC” no hay usuarios, cuando un usuario se logue en estos equipo, gracias a la loopback policy processing, se va a cargar las “user settings” de esta GPO, y

      opcionalmente, según este el modo, se mezclaran con las “user settings” normales del usuario


Lo activamos y elegimos el modo

  • Replace mode: discrimina a favor de la “user setting” creadas para la máquina, y no funcionaran las “user setting” normales del usuario. Útil en escenarios como aulas de formación, en las que queremos el mismo entorno para todos
    • Merge: Se mezclan las 2 user settings, y si hay se duplican algunas directivas, obviamente manda la de las loopback policy processing


Lo habitual es poner las máquinas de aulas en una OU y por ejemplo, en ella creamos una directiva de usuario que deshabilite mi pc y mismo sitios de red.

A parte, el usuario tendrá su configuración de GPO de user setting habitual, que se mezclara a esta GPO para las máquinas de clases, al cual le habremos creado su configuración de equipo y además una configuración de usuario que también afectara a los usuarios que se conecten

Al logarse los usuarios, se aplicaran la user settings definida en la OU de las aulas

 

Como se procesan las GPO

Este es el proceso más detallado

  1. Arrancamos el equipo, arranca la red y arranca los procesos RPCSS y MUP
  2. Arranca el Group policy Client que tienen todos los Windows.
  3. El Group Policy Client obtiene una lista ordenada (Local gpo à sitioàdomainàOUà Enforced) de GPO que afectan a la computadora y las procesa
  4. Cada GPO la procesa basándose en el status (enabled|disabled) de la GPO de computadoras y si la computadora tiene permisos de “Allow Group Policy” y si hay filtro WMI
  5. Si la GPO debe ser aplicada al sistema, el CSE (client side extensión) procesa la GPO
  6. Cuando el usuario se loga se sigue el mismo proceso. El GPC obtiene una lista ordenada de GPO que afectan al usuario y las procesa determinando si se le aplica o no
  7. Cada 90-120 minutos después del arranque del equipo se realiza un refresco para ver si hay políticas y se realiza el proceso anterior
  8. Cada 90-120 minutos después del logon, equipo se realiza un refresco para ver si hay políticas y se realiza el proceso anterior

Slow Links and Disconnected system

El Group policy Client determina si el enlace al dominio debe considerarse lento, para evitar por ejemplo que se aplique una GPO de instalación de software.

Esta determinación es determinada por cada CSE (client side extensión) para decidir si se aplica la GPO o no. Para la extensión de software el umbnral es de 500 Nbps

  • A nivel de configuración de equipo está en Computer Configuration\Administrative Templates\System\Group Policy\Group Policy slow link detection policy
    • A nivel de roaming profiles: Computer Configuration\Administrative Templates\System\User Profiles\Slow network connection timeout for user profiles


Ponemos el tamaño en KB


Este es el comportamiento de las CSE


Si un cliente esta desconectado de la red la configuración aplicada anteriormente pos la group policy es la que se aplica, por lo que el usuario no se da cuenta si está o no en red. Cuando se conecta a la red el Group Policy Cliente se levanta y empieza el proceso de refresco de GPO

CIFRADO DE DATOS

El certificado con el que se cifra datos se crea la primera vez que se cifra datos (usa valores como hora, minuto, segundo, passwrd) para crearse

Todo usuario que cifre datos y cambie la password , no podrá acceder a esos datos.

Con un agente de certificación en una GPO, cuando un usuario cifre datos, se cifrara con el usuario y con el agente de recuperación, que es una clave maestro

 

Para solicitar un agente de recuperación

Desde la maquina del usuario que se permitirá cifrar y como administrador ejecutamos

  • cipher /R c:\ruta (generara dos archivos de agente de recuperación “cer” y “pfx”). el CER es el agente de recuperación. El PFX (el certificado de clave privada)

 

Si estamos en grupo de trabajo, a nivel de maquina agregaríamos el certificado. Una vez agregado el agente de recuperación, todo lo que se cifre el administrador puede acceder


A nivel de dominio, el administrador del dominio puede descifrar si tener agente de recuperación. Un dato cifrado en una maquina en dominio, la única forma es hacer un backup de sus datos (con windows server backup) , y restaurarlos en un controlador de dominio.

Si en mi dominio nadie ha cifrado datos y hemos instalado una CA, el administrador pasa ser agente de recuperación y las maquinas no solicitan certificados

En un dominio por defecto el usuario no puede usar EFS. Tipos de certificado

  • usuario: se instalan en IExplorer
  • maquina: se instalan con la consola mmc
  • servicios


Desde aqui puedo verlos y solicitarlos

Con una CA en dominio, podre tener certificados nivel maquina de muchas cosas (web, VPN, etc..)

Be the first to comment

Leave a Reply