Group Policy Preferences - Parte 1/3
Como había comentado en un post anterior, la versión Release Candidate 1 de Windows Server 2008 ya incluye este nuevo feature de políticas llamado Group Policy Preferences. Pero algunos de los que no conocen estos features se preguntarán que son las Group Policy Preferences, en este primer post pretengo explicar un poco esto y el cómo funciona, en los próximos posts explicaré lo que se puede configurar a través de este nuevo feature.
Básicamente las Group Policy Preferences se utilizan para configurar parámetros que antes no era posible de realizar por política y los Administradores lo hacíamos por script, como por ejemplo unidades mapeadas, variables de entorno, etc. Estas configuraciones antes las hacíamos por script de inicio, ahora vamos a poder hacerlas por políticas y con lo que eso significa, el filtrado por grupos, targeting, etc.
Algunos se preguntarán qué diferencias existen entre Group Policy Preferences y Group Policy Settings. Hay una tabla en Microsoft que contiene esta información, la cual pego a continuación.
El punto mas importante de esta tabla es el primero y habla sobre “Enforcement” o para explicarlo de una mejor manera es que los parámetros que envíemos no son como las políticas donde los usuarios no pueden modificar lo que configuremos, sino que son beneficios al usuario que se le configuran al inicio y con cierto tiempo se vuelve a aplicar pero el usuario puede tranquilamente deconectar la unidad mapeada o cambiar las variables de entorno, etc. Los parámetros no se guardan dentro de la estructura de la Registry de las políticas, sino que escribe directamente en el lugar dónde el usuario lo configuraría. Se puede enviar hasta conexiones ODBC a los usuarios para dejarlos standarizados, pero éstos podrían modificarlas en caso de tener permisos.
Con Item-Level Targeting significa que podemos dentro de una misma política enviar diferentes parámetros a diferentes grupos de usuarios. Cuando uno filtra una GPO hoy en día por ejemplo por grupo o WMI, éste le dice si le debe aplicar o no la política entera. En cambio con Item-Level Targeting podemos diferencias los ítems uno por uno en caso de necesitarlo.
La decisión de si un parámetro lo envíamos por Policy Setting o Policy Preference debe pasar por la pregunta “Necesitamos que sea Enforce y que deshabilite la configuración al usuario?”. Si la respuesta es No usaremos Policy Preference.
Las Policy Preferences también se dividen por Computer o por User y las podemos ver dentro de la misma GPMC.
- Create: Crear un nuevo ítem en el equipo destino.
- Delete: Remover un ítem existente en el equipo destino.
- Replace: Remueve y Crea un ítem en el equipo destino. La GPO reemplaza todo lo existente respecto a ese ítem.
- Update: Modifica un ítem en el equipo destino.
Todos los ítems también incluyen configuración común donde se puede resaltar:
• Run in logged-on user’s security context (user policy option)
Por defecto las Group Policy Preferences se ejecutan con la cuenta local System. Para poder procesar ítems como unidades mapeadas por usuario se debe habilitar esta opción y se ejecutaría con la cuenta que está iniciando sesión.
• Apply once and do not reapply
Por defecto las GPO se reaplican cada 90 minutos, esto significa que si el usuario realiza algún cambio, éste se pisa a los 90 minutos con los parámetros que nosotros enviamos. Al seleccionar esta opción le decimos que no vuelva a aplicarse y de esta manera si el usuario hizo alguna modificación no va a perder los cambios.
• Item-level targeting
Item-Level Targeting es lo que comentaba antes de la posibilidad de enviar diferentes parámetros dentro de una misma GPO a grupos, usuarios o equipos diferentes. Se accede a través del botón “Targeting” y se configura como cualquier acceso.
Continúa…
Group Policy Preferences - Parte 2/3
Group Policy Preferences - Parte 3/3
Email
| 
Imprimir
| 
PDF
