Group Policy Preferences - Parte 3/3 | Diego Cabai

Group Policy Preferences - Parte 3/3

Publicado el 19 December, 2007 | por Diego Cabai | Leído 647 veces

Continuando con la serie de artículos sobre las Group Policy Preferences comienza esta tercera parte donde se basa en los features que podemos configurar desde la GPO. En la Parte 2 ya había comentado algunos, pero todavía queda mucho camino por recorrer.

Los temas que vimos en las partes anteriores son una introducción a las Group Policy Preferences, Item-Level Targeting, Opciones Comunes y cuándo se deben utilizar. También vimos las diferencias con las Group Policy Settings. (Es un poco largo, perdón por eso)

Siguiendo con Windows Settings

Carpeta (Folder)

Es muy similar al feature de Archivo pero en este caso con carpeta. Nos permite crear, eliminar, actualizar o reemplazar una carpeta. No soporta wildcards como * pero si soporta variables de entorno como %TempDir%.

Una gran utilización de este feature es eliminar el contenido del directorio Temporal de los usuarios regularmente.

Este feature se encuentra disponible tanto para User como para Computer.

Archivos INI (ini Files)

Este feature es muy útil para standarizar configuraciones que se realicen a través de archivos .ini. Podemos crear, actualizar, reemplazar y hasta borrar archivos *.ini que nosotros especifiquemos. Ponemos la ruta, la sección, la propiedad y el valor.

Este feature se encuentra disponible tanto para User como para Computer.

Registry
A través del feature de edición del Registro de Windows podemos administrar de una forma centralizada las configuraciones de las PCs/Servidores. Hay 3 formas de configurarlo:
Registry Item: Se genera un nuevo ítem del Registro que puede crear, actualizar, borrar, etc.
Collection Item: Se generan carpetas para la administración de grupos de configuración del registro. Se administra de una forma muy parecida al registro de Windows pero permite que hagamos nuestro propio órden.
Registry Wizard: Importa uno o mas seteos del registro local del equipo.

Nuevamente esta herramienta reemplaza todas las tareas del registro que hacíamos a través de los scripts de inicio.
Está disponible tanto para User como para Computer.

Directorio Compartido (Network Share)

Si bien no podemos administrar los directorios compartidos de múltiples PCs centralizadamente, a través de este feature podemos configurar los shares de determinadas PCs, utilizando Item-Level Targeting, e incluso configurar ABE (Access Based Enumeration). Este último previene ver los subfolders si es que no tiene permisos.

Este feature está disponible sólo para Computer.

Acceso Directo (Shortcuts)

Excelente feature desde el que podemos crear, actualizar, reemplazar o borrar todo tipo de acceso directo de los equipos utilizando el editor de target.
Podemos manejar:
File System Object: Es el acceso directo tradicional que podemos ubicarlo en cualquier parte del equipo, incluso en Start Menu.
URL: Son accesos directos a URLs como por ejemplo para poner en Favoritos.
Shell Object: Accesos directos de por ejemplo Control Panel.
Disponible tanto para User como para Computer.

En los primeros posts habíamos comentado que las extensiones se dividían en Windows Settings y Control Panel Settings, hasta acá venía comentando las de Windows Settings, ahora comenazamos con la siguiente sección.

Control Panel Settings

Data Source

Cuántas veces tuviste que enviar parámetros de ODBC a las PCs a través de entradas en registry por script de inicio? Ahora podes configurar los ODBC Data Sources una sola vez correctamente y enviar los parámetros a las PCs sin esfuerzo alguno. De esta manera las aplicaciones corporativas estarán correctamente configuradas en los equipos.

Este feature está disponible tanto para Computer como para User.

Dispositivos (Devices)

Muchas veces nos piden que deshabilitemos el acceso a ciertos dispositivos para algunos usuarios. A través de esta extensión podemos deshabilitar el uso de algún dispositivo instalado. Ojo, esta no bloquea la instalación de nuevos dispositivos pero si podemos deshabilitar algunos de una forma sencilla. Después mediante GPO deshabilitamos la instalación y listo, ambiente seguro.

Disponible tanto para Computer como para User.

Opciones de Carpeta (Folder Options)

Acá tenemos dos tipos de opciones, las de Computer podemos configurar las extensiones y con qué programa queremos que se abra. Es muy útil nuevamente para standarizar PCs. Por otro lado, desde User, podemos configurar las opciones de carpeta tal cual vemos en la imagen con todos sus ítems. Esto está disponible para XP y Vista con menús diferentes.

Opciones de Internet (Internet Options)

Al margen de que ciertas de estas configuraciones podían realizarse a través de GPO, muchas otras no venían por defecto. Ahora tenemos una interfaz idéntica a la del Internet Explorer y podemos modificar todos los seteos que necesitemos. Lo bueno es que al no ser "forzado" los usuarios pueden modificarlo pero aún así configurarse nuevamente para facilitarle el uso.

Sólo disponible para User.

Usuarios y Computadores Locales (Local Users and Computers)

Nos permite configurar las cuentas de usuarios locales y los grupos locales de las PCs, sin necesidad de forzar o deshabilitarlo por medio de GPO. Antes si enviábamos el contenido de un grupo por GPO éste pisaba lo que existía quitando tal vez accesos que configure el usuario para su PC local. Ahora podemos agregar administradores o soportes sin modificar lo que realice el usuario.

Este feature está disponible tanto para User como para Computer.

Opciones de Red (Network Options)

Configurar conexiones Dial-Up o VPNs a las PCs nunca fue tan sencillo. Podemos armar las diferentes conexiones que los usuarios deben tener para conectarse al trabajo, internet, etc. y luego enviarlas a través de una GPO a las PCs que lo requieran utilizando los diferentes Targeting.

Disponible tanto para User como para Computer.

Opciones de Energía (Power Options)

Se encuentra disponible para Windows XP la configuración de los perfiles de energía de las portátiles por GPO. De esta manera podemos garantizar le mejor performance y utilización de la batería a los usuarios configurando de manera ideal el perfil de energía. Nuevamente el usuario podrá modificarlo según su conveniencia.

Se puede configurar tanto para User como para Computer.

Impresoras (Printers)

Nuevamente al igual que con las unidades mapeadas, las impresoras eran configuradas a través de scripts de inicio. Ahora podemos configurar no sólo impresoras compartidas de red, sino que también podemos configurar impresoras instaladas localmente al puerto LPT o bien impresoras instaladas localmente a un puerto TCP/IP. A través del Targeting podemos enviar las impresoras según el grupo al que pertenecen.Disponible tanto en User como en Computer. Para Computer no se encuentra la impresora compartida el resto si.

Opciones Regionales (Regional Options)

Creo que es uno de los ítems que mas vamos a amar los administradores jaja, poder configurar las opciones regionales de los equipos de manera centralizada y no editando el registro directamente. Sabemos que estas opciones afectan directamente a las aplicaciones, conexiones, etc. modificando esto centralizadamente podemos controlar cómo trabajarán los usuarios o bien los servidores.

Disponible únicamente por User.

Tareas Programadas (Scheduled Tasks)

Ahora podemos crear, modificar, actualizar o eliminar tareas programadas en los equipos. Antes esto debía hacerse a través de scripting enviado por GPO para que se ejecute con privilegios elevados. Ahora de manera simple y sencilla podemos crearlas con la misma interfaz que la que usamos para crearla localmente y podemos enviarla utilizando el Targeting. También disponible para XP como Tarea Inmediata.

Disponible para User como Computer.

Servicios (Services)

Antes podíamos manejar los servicios por GPO para decirle si debía estar Automatic, Disabled, Manual y configurar su Seguridad. Esa configuración iba forzada a los usuarios sin posibilidad de modificarlo localmente. Ahora podemos configurar si se debe ejecutar con una cuenta específica, con System Account y también podemos configurar el Recovery del mismo para asegurarnos de lo que hará ante algún inconveniente.

Disponible únicamente para Computer.

Menú Inicio (Start Menu)

Por último, podíamos configurar a nivel de seguridad el menú inicio de si los íconos o accesos iban a estar disponibles. Ahora podemos modificar la configuración del menú inicio a tal nivel como si estuviésemos configurandolo localmente en nuestros equipos. El nivel de detalle es máximo, tenemos todas las opciones que vemos cuando lo modificamos en nuestros equipos y este feature es soportado tanto para XP como para Vista.

Disponible únicamente para User.

Se que este post fue algo largo y pido disculpas por eso, pero la idea era mostrar las extensiones que quedaban y qué es lo que podemos configurar por GPO con Windows Server 2008 ya que las posibilidades ahora son infinitas.