Hoy vamos a ver la segunda y ultima parte de la nota sobre Políticas Grupo, con el objetivo de conocer a fondo qué son las políticas de grupo, para qué sirven y cómo se aplican.
Como dijimos anteriormente, las políticas de grupo son una de las herramientas incluidas en los sistemas operativos de Microsoft. Este instrumento sirve para administrar entornos de usuarios y máquinas, aplicar políticas de IT, simplificar tareas administrativas e implementar configuraciones de seguridad.
Para tener en cuenta
Algunas de las políticas que se utilizan con mayor frecuencia son:
-
Dentro de Software Settings: se puede publicar o asignar aplicaciones a equipos dentro de un dominio y a los usuarios.
-
Dentro de Security Settings: se puede cambiar las configuraciones de seguridad del sistema operativo. Algunas de las características más significativas son: habilitar la auditoría del sistema operativo, habilitar una política de passwords (bloqueo ante una cantidad de ingresos fallidos del password, tipo de longitud del password y cada cuánto tiempo hay que cambiarlo) y configurar el tamaño de los logs del sistema (los eventos de aplicación, seguridad y sistema).
-
Dentro de Administrative Templates: contiene las configuraciones que son guardadas en la registry del equipo, incluyen aquellas que controlan su funcionamiento y configuración de los componentes utilizados por las políticas. Aquí se encuentran configuraciones correspondientes a elementos de Windows, de sistema, de redes e impresoras (en lo referido a Computer configuration) y a User Profiles, Scripts, y opciones de inicio (logon) entre otras configuraciones disponibles en lo que refiere a User Configuration.
Publicar vs. Asignar una aplicación
Publicar una aplicación consiste en facilitarle al usuario la posibilidad de instalar una aplicación. En este proceso no se automatiza ninguna acción en el equipo, la lista de aplicaciones publicadas aparecerán automáticamente en el Panel de Control del equipo, en la sección Agregar o Quitar Programas, y desde ahí pueden ser instaladas.
Asignar consiste en disponer una aplicación en el desktop del usuario sin la necesidad de que sea instalada por un administrador. Al realizar esto, se hacen las modificaciones en el registro y cuando el usuario la ejecuta por primera vez se instala automáticamente.
Dentro de las recomendaciones para el uso de políticas, hay algunas reglas básicas a tener en cuenta, debido a la gran cantidad de parámetros configurables nos basaremos en las mas significativas.
La administración de las políticas puede llegar a ser muy engorrosa y complicada. Afortunadamente existe una aplicación disponible a tal fin: “Group Policy Management console” (ver Figura 03). La misma consiste en una consola con interfaces programables: combina la funcionalidad de componentes múltiples en una sola interfaz de usuario. En ella podemos ver todas las políticas que existen en el sistema y a qué Organization Unit aplica cada una y ver reportes detallados con las configuraciones modificadas. Además proporciona herramientas que anteriormente no se encontraban disponibles en versiones anteriores, ya que ahora podemos realizar:
-
Back up y restore de GPOs.
-
Copiar e importar GPOs.
-
Usar filtros Windows Management Instrumentation (WMI).
-
Generar reportes de GPO y RSoP.
-
Búsqueda para GPOs.
Aquí vemos la herramienta “Group Policy Management console” en ella observamos todas las políticas generadas en el dominio radians.com.ar
Dentro de las recomendaciones, también se encuentra la clasificación de usuarios y equipos, a tal fin debemos tener organizado nuestro Active Directory con una serie de Organization Units. Esto nos simplifica la tarea al seleccionar la política que aplica a cada grupo.
Tampoco debemos tener una gran cantidad de políticas asociadas a nuestra organización, ya que estas afectan los tiempos de inicio de los equipos: hay que tratar de conseguir las configuraciones optimas con la menor cantidad de políticas posibles. No abusar del uso de las opciones “No reemplazar” y “Bloquear la herencia” ya que su utilización hace mas complicada la administración.
Como hemos desarrollado en este articulo, la utilización de políticas en entornos productivos es muy importante, ya que de ella depende la seguridad de nuestro ambiente de trabajo. Realmente hay muchas opciones de configuración en el campo de las políticas de grupo, y el objetivo de este artículo fue reflejar la importancia y la utilidad de las mismas. Para aquellos que les interese el tema les recomiendo la lectura adicional propuesta donde podrán encontrar infinidad de información.
Con esta explicación, damos por finalizada la primera parte. El día viernes estaré publicado la segunda. Espero que les sirva para aclarar algunos conceptos. Saludos, Roberto Di Lello.
buenas tardes, hola roberto me podrias hacer el favor de decirme cual es la mejor forma de hacerle Backup al Exchange 2010 y como se podria restaurar en casos de perdida o fallas en el sistema.
tengo la siguiente solucion implementada:
Un servidor 2008 r2, el cual es mi controlador de domio principal, en el esta un File Server, un print Server.
Otro servidor 2008 r2, que es mi controlador de dominio segundario, en el tengo instalado un Exchange 2010.
en lo que me gustaria que me ayudaras es en la mejor forma de hacerle backup a cada sistema y poder recuperarlos en caso de fallas en el sistema.
te agradeceria la mejor orientacion que me puedas brindar con respecto a este tema.
gracias.
Iver, gracias por participar nuevamente.
Te cuento que en principio no es muy recomendable poner un AD con exchange; pero bueno no siempre se puede. Esto es a causa que el Exchange tarda mas que el AD en cerrarse, entonces pueden corromperse las DBs en caso de un mal apagado.
Por el tema de los backups, te paso unos links:
* Server Backup Feature: Como respaldar y restaurar nuestro Active Directory (Disaster Recovery) {ScreenCast}http://www.radians.com.ar/blog/?p=999
Eso es sobre AD. Sobre exchange es recomendable hacer un backup de los buzones y/o de las dbs de exchange, podes optar por estas opciones. Despues bueno hacer un backup de las colas de impresion y de los files que correspondan del File Server.
Espero que te aclare un poco el panorama.
Best Regards | Saludos
Buenas noches roberto solo felicitarte por el sitio me sirvio de mucho, tengo una pregunta tengo unas maquinas que quiero dejar que ejecunte ciertas aplicaciones y ademas que no puedan quitar las configuraciones del active directory tendras alguna recomendacion de que politicas puedo aplicar de antemano te agradesco por tu ayuda
Elias, lo primero que deberias hacer es que los usuarios no sean administradores locales. Luego planificar bien que es lo que queres limitar, te paso el link con las guias de referencias de todo lo que podes modificar segun el SO (son muchas asique planifica bien lo que quieres hacer): Group Policy Settings Reference for Windows and Windows Server http://www.microsoft.com/download/en/details.aspx?id=25250
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Espero te sean de utilidad. Buen comienzo de año. Saludos!