Migrar GPO entre dominios con GPMC

En este artículo vamos a ver cómo llevar GPO’s de un dominio de pruebas a un dominio de producción, o como migrar GPO´s de un dominio a otro. Lógicamente no se puede exportar una GPO de un dominio e importarla en otro directamente, ya que para empezar el dominio no coincide y ninguno de los objetos principales. Entonces ¿Qué hago?

Vamos a ver un paso a paso de cómo hacerlo. Para ello solo voy a utilizar la consola de Administración de Directivas de Grupo o GPMC. En mi laboratorio tengo dos dominios con un controlador cada uno de ellos.

Dominio origen – Controlador de dominio Origen

Lo primero que hacemos es un backup de las GPO’s a migrar en un controlador de dominio del dominio origen.

Continue reading “Migrar GPO entre dominios con GPMC”

Distribuir plantillas de ADRMS a clientes Outlook por GPO

Como sabéis muchos de vosotros las plantillas creadas en el ADRMS tienen que ser distribuidas a los clientes para que estos desde su outlook las puedan utilizar. Las plantillas se pueden pasar manualmente a cada equipo modificando el registro y copiando las al directorio AppData como aquí pero esa no es la mejor opcion cuando tienes que distribuirla en un dominio con cientos de equipo. Aquí entran las GPO y ya sabéis que las GPO sirven para todo.

Lo primero es descargar la plantillas de Office en mi caso 2010 y las descargas desde aquí.

El segundo paso es instalar el fichero, realmente es una extracción del contenido a una carpeta en mi caso C:PlantillasOffice

Continue reading “Distribuir plantillas de ADRMS a clientes Outlook por GPO”

Actualización remota de GPO

Una de las cosas por las que me gusta el nuevo Windows Server 2012 es por esta. Muchos administradores de sistemas Windows como yo se acuerdan de las GPO y la actualización de las mismas en los equipos cliente, forzándola con un gpupdate /force, seguro que alguno se acuerda de alguien cuando lo digo.

Bien, pues en el nuevo WS2012 podemos hacerlo sin levantarnos de la silla y directamente desde la consola de Administración de directivas de grupo o por Powershell.

Si lo hacemos desde la consola tenemos que tener en cuenta que no nos lo deja hacer a un equipo individual sino sobre una OU y o un subcontenedor. Otra consideración es que no vale para equipos anteriores a Windows Vista y Windows Server 2008.

Para ello creo lo único que tengo que hacer es desde la propia consola de Administración de directivas de grupo, hacer botón derecho sobre un contenedor y hacer click en Actualización de GPO

Continue reading “Actualización remota de GPO”

Preferencias GPO

Cuando hablamos de preferencias, nos referimos por ejemplo a la creación de una carpeta de usuario, creación de entradas de registro específicas, accesos directos en el escritorio u otras ubicaciones, configuración de la impresora predeterminada, etc.
Este tipo de configuración nos va a permitir desde crear, modificar o eliminar carpetas, archivos .ini, o entradas de registro, hasta configurar los perfiles de energía, impresoras u opciones regionales. Gracias a esto nos es posible configurar totalmente nuestro entorno desde el Directorio Activo, sin necesidad de crear complicados scripts de inicio de sesión.
En la consola de GPO, observaremos que existe una carpeta llamada Preferencias, tanto a nivel de usuario como a nivel de equipo. Dentro de la cual encontraremos los elementos, agrupados en Configuración de Windows y Configuración del panel de control.
Continue reading “Preferencias GPO”

Creando un contenedor central para las plantillas administrativas

Cuando agregamos nuevas plantillas administrativas a nuestros DC´s puede ser  interesante el crearles un contenedor central para no tener que instalar en cada uno de los DC´s las plantillas. Asi evitamos que en unos controladores tengamos unas plantillas y en otros otras.

El procedimiento es muy sencillo:

1- Creamos directorio PolicyDefinitions en la carpeta compartida \nombredominioFQDNsysvolnombredominioFQDNpolicies

2-Copiamos a ese directorio el contenido de directorio que se encuentra en %systemroot%PolicyDefinitions

Con esto esta, si quisieramos agregar nuevas plantillas lo hariamos en el directorio \nombredominioFQDNsysvolnombredominioFQDNpoliciesPolicyDefinitions y estas estarian en todos los DC`s

Bucle invertido al procesar la directiva de grupo

Directiva de grupo se aplica al usuario o al equipo de una manera que depende de dónde se encuentran los objetos de equipo y usuario en Active Directory. Sin embargo, en algunos casos, los usuarios pueden necesitar que la directiva se les aplique exclusivamente a ellos según la ubicación del objeto de equipo. Puede utilizar la característica de bucle invertido de Directiva de grupo para aplicar objetos de directiva de grupo (GPO) que dependan sólo del equipo en el que el usuario inicie sesión.

Para establecer la configuración del usuario para cada equipo, siga estos pasos:

  1. En el complemento Directiva de grupo de Microsoft Management Console (MMC), haga clic en Configuración del equipo.
  2. Busque Plantillas administrativas, haga clic en Sistema, haga clic en Directiva de grupo y habilite la opción Directiva de bucle invertido.

Esta directiva indica al sistema que aplique el conjunto de GPO del equipo a cualquier usuario que inicie sesión en un equipo afectado por esta directiva. Esta directiva está destinada a equipos con un uso especial en los que debe modificar la directiva de usuario en función del equipo en que se utilice. Por ejemplo, equipos de lugares públicos, laboratorios y aulas.

Nota
El bucle invertido sólo funciona en un entorno de Active Directory. Tanto la cuenta de equipo como la cuenta de usuario deben estar en Active Directory. Si un controlador de dominio basado en Microsoft Windows NT 4.0 administra alguna cuenta, el bucle invertido no funciona. El equipo cliente debe estar ejecutando uno de los sistemas operativos siguientes:

Windows XP Professional
Windows 2000 Professional
Windows 2000 Server
Windows 2000 Advanced Server
Windows Server 2003

Cuando los usuarios trabajan en sus propias estaciones de trabajo, puede ser aconsejable hacer que la configuración de directiva de grupo se aplique en función de la ubicación del objeto de usuario. Por tanto, se recomienda que configure las opciones de directiva según la unidad organizativa en la que resida la cuenta de usuario. Sin embargo, puede haber ocasiones en que un objeto de equipo resida en una unidad organizativa concreta y se deba aplicar la configuración de usuario de una directiva según la ubicación del objeto de equipo en lugar del objeto de usuario.

Nota
No puede filtrar la aplicación de la configuración del usuario denegando o quitando los derechos de lectura y AGP del objeto de equipo especificado para la directiva de bucle invertido.

El procesamiento normal de las directivas de grupo de usuario especifica que a los equipos que se encuentran en su unidad organizativa se les aplican los GPO en orden durante el inicio del equipo. A los usuarios de su unidad organizativa se les aplican los GPO en orden durante el inicio de sesión, independientemente del equipo en el que inician sesión.

En algunos casos, este orden de procesamiento puede no ser adecuado. Por ejemplo, cuando no desea que las aplicaciones que han sido asignadas o publicadas para los usuarios de su unidad organizativa se instalen mientras tienen iniciada una sesión en los equipos de una unidad organizativa concreta. Con la característica de compatibilidad de bucle invertido de la directiva de grupo puede especificar dos maneras de recuperar la lista de GPO para cualquier usuario de los equipos de esta unidad organizativa concreta:
Modo de combinación
En este modo, cuando el usuario inicia sesión, la lista de GPO del usuario suele recopilarse con la función GetGPOList. A continuación se vuelve a llamar a la función GetGPOList utilizando la ubicación del equipo en Active Directory. La lista de GPO para el equipo se agrega entonces al final de los GPO del usuario. Esto hace que los GPO del equipo tengan mayor prioridad que los del usuario. En este ejemplo, la lista de GPO del equipo se agrega a la lista del usuario.
Modo de reemplazo
En este modo, no se recopila la lista de GPO del usuario. Sólo se usa la lista de GPO según el objeto de equipo.

Fuente Microsoft