Simular Conjunto Resultante de Directivas Uso de Modelado de Directivas de Grupo

download Simular Conjunto Resultante de Directivas Uso de Modelado de Directivas de Grupo

of 49

Transcript of Simular Conjunto Resultante de Directivas Uso de Modelado de Directivas de Grupo

Simular Conjunto resultante de directivas Uso de Modelado de directivas de grupoEste tema an no ha sido calificado-Valorar este temaActualizado: 17 de abril 2012Se aplica a: Windows 8, Windows Server 2008 R2, Windows Server 2012Para simular Conjunto resultante de directivas mediante Group Policy Modeling1. Abra la Consola de administracin de directivas de grupo (GPMC).En el rbol de consola, haga doble clic en el bosque en el que desea crear una consulta de Modelado de directivas de grupo, haga clic enGroup Policy Modeling, y luego haga clic enAsistente para modelado de directivas de grupo.2. En elAsistente para modelado de directivas de grupo, haga clic enSiguientey, a continuacin, escriba la informacin adecuada.3. Cuando haya terminado, haga clicen Finalizar.4. Si desea imprimir o guardar el informe, haga clic en el informe los ajustes en el panel de detalles y realice una de las siguientes acciones: SeleccioneImprimirpara imprimir el informe. SeleccioneGuardar informepara guardar el informe.Consideraciones adicionales Para crear una consulta de Modelado de directivas de grupo, debe tener el permiso Realizar anlisis de Modelado de directivas de grupo en el dominio o la unidad organizativa que contiene los objetos en los que desea ejecutar la consulta. Modelado de directivas de gruposlo est disponible si al menos un controlador de dominio en el bosque se est ejecutando Microsoft Windows Server 2003. Si ejecuta Modelado de directivas de grupo en un entorno que apoye las preferencias de directivas de grupo, los siguientes requisitos deben cumplirse para que los valores Preferencias de directiva de grupo para aparecer en los resultados del informe: El equipo desde el que se ejecuta Modelado de directivas de grupo debe ejecutar Windows Server 2008 R2 o Windows Server 2008. En entornos mixtos que utilizan los controladores de dominio que ejecutan Windows Server 2008 R2 o Windows Server 2008 y los controladores de dominio que ejecutan Windows Server 2003, si se selecciona un controlador de dominio que ejecuta Windows Server 2003 cuando se ejecuta Modelado de directivas de grupo, asegrese de que la directiva de grupo extensiones del cliente de Preferencias (CSE) se instalan en el controlador de dominio.Para descargar las Preferencias CSE de directiva de grupo para Windows Server 2003 (x86), veahttp://go.microsoft.com/fwlink/?LinkId=111852.Para descargar las entidades centrales de almacenamiento para Windows Server 2003 (x64), veahttp://go.microsoft.com/fwlink/?LinkId=111863. Para personalizar la informacin que aparece en un informe, haga clic enMostraruocultarpara mostrar slo los datos que desea ver o imprimir. Dentro de la GPMC, no puede utilizar el teclado para desplazarse en el interior de un informe HTML.Para navegar dentro del informe HTML, guarde el informe en un archivo y luego usar Internet Explorer para ver el informe. Si abre una consola guardada anteriormente y desea guardar un informe Resultados de Modelado de directivas de grupo o Directiva de grupo en XML, vuelva a ejecutar el informe mediante elreestreno Queryopcin. Para ver un informe guardado en un navegador Web, debe utilizar Internet Explorer 6 o posterior.Referencias adicionales Utilizar Conjunto resultante de directivas para administrar la directiva de grupo

La Herramienta de Modelado de directivas de grupo en Windows Server 2008

Ladirectiva de grupo Modelado complementose puede utilizar para mostrar los ajustes de poltica eficaces para un usuario que inicia sesin en un servidor o estacin de trabajo despus de que se apliquen las polticas respectivas.Esta herramienta es buena para la identificacin de los que se tramiten las polticas y lo que la configuracin sea efectiva es.Para simular las polticas para un usuario, utilice la directiva de grupo Modelado complemento como se muestra a continuacin:1.Inicieel Administrador del servidoren un controlador de dominio.2.Ampliar elCaractersticascarpeta.3.Ampliar laConsola de administracin de directivas de grupo.4.Ampliar elBosquecarpeta.5.Seleccione ladirectiva de grupo Modelado complemento.6.SeleccionarAcciny luegoAsistente para modelado de directivas de grupopara ejecutar el asistente.7.Haga clicen Siguiente.8.Deje la seleccin controlador de dominio predeterminado, que elige cualquier controlador de dominio disponible.El controlador de dominio debe ser Windows Server 2003 o Windows Server 2008. Haga clicen Siguiente.9.Seleccione laopcin Usuariobotn de laInformacin del Usuariocuadro y haga clic. Navegar10.Escriba el nombre de un usuario para comprobar y haga clic en. AceptarHaga clic enSiguiente. aceptar el usuario y seleccin de equiposNOTA:En elAsistente para modelado de directivas de grupo, el efecto neto de las polticas de grupo puede ser modelado para usuarios especficos, equipos o todo contenedores para cualquiera de los objetos.Esto permite a un administrador para ver los efectos de los objetos individuales o de los objetos colocados dentro de los contenedores, por lo que la herramienta muy flexible.11.Haga clic enSiguienteen laopciones avanzadas de simulacinpgina.Las opciones avanzadas de simulacin permiten crear un modelo de conexiones de red lentas o sitios especficos.12.Haga clic enSiguientepara saltarse losCaminos anuncio alternativo.13.Elusuario Grupos de seguridadpgina muestra los grupos que el usuario es miembro de.Puede agregar grupos adicionales para ver los efectos de los cambios.La licencia como es y haga clic en. Siguiente14.Haga clic enSiguientepara saltarse losfiltros WMI para usuarios dela pgina.15.Haga clic enSiguientepara ejecutar la simulacin.16.Haga clicen Finalizarpara ver los resultados.17.Haga clic en el enlace Mostrar junto a objetos de directiva de grupo.18.Haga clic en el enlace Mostrar junto a GPO Denegado.Dentro de la consola, puede revisar cada ajuste en particular para ver si un ajuste se aplic o el ajuste deseado se sobrescribe con una poltica de ms alto nivel.El informe muestra por qu determinadosGPO (Objetos de directiva de grupo)se les neg.

CMO UTILIZAR EL ASISTENTE PARA RESULTADOS DE DIRECTIVAS DE GRUPO14 DE FEBRERO 2012PORADAM FIEBREDEJA TU COMENTARIOEl "Asistente para Resultados de directivas de grupo" es una excelente manera de ayudar a solucionar los problemas con objetos de directiva de grupo (GPO).As es como se ejecuta en Windows Server 2008 R2.1. Abrael Administrador de servidoresy expandaFunciones> Group Policy Management> Bosque.2. Haga clic derecho sobrelos Resultados de directivas de grupoy seleccioneResultados de directivas de grupo Asistente para, a continuacin, haga clic enSiguiente:

3. Seleccione el equipo requerido y haga clic enSiguiente:

4. Seleccione una cuenta de usuario y haga clic enSiguiente:

5. Confirme sus selecciones y haga clic enSiguiente:

6. El asistente entonces recopilar los datos necesarios y ya est:

7. Se le dar la oportunidad de cambiar el nombre del informe:

8. Los resultados ya pueden ser investigados por la inspeccin de laficha Resumen:

9. Ficha Configuracin:

10. yPoltica de Eventos Tab:

Usando el "Asistente para Resultados de directivas de grupo" debe ser la primera tarea de completar la hora de solucionar los GPO traviesos.Voy a publicar algunos otros mtodos en una fecha posterior.

Ejercicio 2: Utilice el Asistente para modelado de directivas de grupoAntes de poner en marcha el Polticas Sala GPO para uso en produccin, se desea evaluar el efecto que tendr en los usuarios que inician sesin en equipos de la sala de conferencias.En este ejercicio, utilizar el Asistente para modelado de directivas de grupo para modelar el conjunto resultante de las polticas aplicadas a un usuario, Mike Danseglio, si tuviera que iniciar sesin en un ordenador de la sala de conferencias, DESKTOP101.La tarea principal de este ejercicio es el siguiente:1. Realice resultados de directiva de grupo de modelado.Tarea 1: Realizar los resultados de directiva de grupo de modelado1. Cambie aHQDC01.2. En el rbol de la consola de administracin de directivas de grupo, expandaBosque: Contoso.comy, a continuacin, haga clic enGroup Policy Modeling.3. Haga clic con elmodelado de directivas de grupoy, a continuacin, haga clic enAsistente para modelado de directivas de grupo.ElAsistente para modelado de directivas de grupoaparece.1. Haga clic enSiguiente.1. En laseleccin del controlador de dominiode pgina, haga clic enSiguiente.1. En elusuario y Seleccin de equipopgina, en lainformacin del usuarioseccin, haga clic en elusuariobotn de opcin y, a continuacin, haga clicen Examinar.ElUsuario Selectaparece el cuadro de dilogo.1. EscribaMike.Danseglioy presione ENTRAR.1. En lainformacin de la computadorala seccin, haga clic en elordenadorbotn de opcin y, a continuacin, haga clicen Examinar.ElSeleccionar equipoaparece el cuadro de dilogo.1. EscribaDESKTOP101y presione ENTRAR.1. Haga clic enSiguiente.1. Poropciones avanzadas de simulacinpgina, seleccione elprocesamiento de bucle invertido decasilla de verificacin y haga clicen Combinar.A pesar de que laConferencia de Polticas HabitacinGPO especifica el procesamiento de bucle invertido, debe indicar alAsistente para modelado de directivas de grupopara considerar el procesamiento de bucle invertido en su simulacin.1. Haga clic enSiguiente.1. Poralternativo Active Directory Caminospgina, haga clic en elExaminarbotn situado junto ala ubicacin del ordenador.ElEscoja Computer ContainerAparecer el cuadro de dilogo.1. Expandircontoso.comyKioscosy, a continuacin, enlas salas de conferencias.Usted est simulando el efecto de DESKTOP101 como un ordenador de la sala de conferencias.1. Haga clic enAceptar.1. Haga clic enSiguiente.1. Porgrupos de seguridad del usuariola pgina, haga clic enSiguiente.1. En elComputer Security Grupospgina, haga clic enSiguiente.1. En losfiltros WMI para usuarios dela pgina, haga clic enSiguiente.1. En losfiltros WMI Computadoraspgina, haga clic en.Siguiente.1. Revise la configuracin en elResumen de las seleccionesde pgina y, a continuacin, haga clic enSiguiente.1. Haga clicen Finalizar.1. En elResumende tabulacin, desplazarse y ampliar, si es necesario,en Configuracin de usuario, objetos de directiva de grupo, yAplicada GPO.1. ElPolticas SalaGPO se aplican a Mike Danseglio como una directiva de usuario cuando inicia sesin en DESKTOP101 si DESKTOP101 est en las salas de conferencias OU?Si no es as, compruebe el alcance de laspolticas Salade GPO.Debe estar vinculado a laConferencia HabitacionesOU con filtrado de grupos de seguridad que se aplica el GPO alusuario autenticadola identidad especial.Puede hacer clic en la consulta de modelado para volver a ejecutar la consulta.Si el GPO est aplicando todava, intente eliminar y la construccin de la reGroup Policy Modelinginforme, y tener mucho cuidado de seguir cada paso con precisin.1. Haga clic en laconfiguracin dela pestaa.1. Desplcese a, y ampliar si es necesario, Configuracin de usuario, Directivas, Plantillas administrativas y Panel de control / Pantalla.1. Confirme que el tiempo de espera de protector de pantalla es de 2700 segundos (45 minutos), el ajuste configurado por laspolticas Salade GPO que invalida la norma 10 minutos configurada por laNormas ContosoGPO.Resultados:Despus de este ejercicio, se ha utilizado el Asistente para modelado de directivas de grupo para confirmar que las polticas Sala GPO sern de hecho aplicar su configuracin para los usuarios que inician sesin en equipos de la sala de conferencias ..

Objetos de directiva de grupo (GPO) se pueden aplicar en la unidad organizativa (OU), sitio y dominio niveles de Active Directory, as como el nivel de equipo local.Cuando un usuario inicia sesin, Windows combina todas las diferentes directivas de grupo que se aplican a la cuenta de usuario con los que se aplican a la computadora que el usuario est conectando.Si bien esto puede no parecer tan malo al principio, cada nivel de la jerarqua de directivas de grupo contiene muchos de los mismos valores.Eso significa que hay una posibilidad de que el personal administrativo para aplicar la configuracin de Directiva de grupo contradictorias.En las empresas ms pequeas, los administradores podran ser capaces de evitar contradicciones de directiva de grupo mediante el uso de un solo GPO, pero esto generalmente no es prctico en las organizaciones ms grandes.El problema no es realmente de los propios ajustes contradictorios.Windows utiliza un conjunto de reglas para determinar qu configuracin de directiva tiene prioridad en caso de una contradiccin.Lo quepuedeser un problema es saber cul es la poltica efectiva va a ser una vez que todos los distintos GPO se combinan y se est tratando con las contradicciones.He dirigido personalmente a situaciones en las que se estn aplicando las directivas de grupo completamente inesperados, y averiguar dnde esos ajustes vinieron de fue un verdadero desafo debido a la complejidad de la estructura directiva de grupo que se utiliza.Pro +CaractersticasDisfrute de los beneficios de la membresa Pro +,aprender ms y unirse. E-CaptuloLos complejos poderes de virtualizacin de red E-ManualSystem Center ayuda a TI a gestionar todo lo que la gestin E-ManualWindows Server 2012 estacin de la migracinAfortunadamente, ya no tiene que solucionar la configuracin de Directiva de grupo manualmente.En su lugar, puede utilizar una tcnica llamada directiva de grupo de modelado de objetos para solucionar los problemas de configuracin de forma rpida y sencilla.Ms importante, sin embargo, usted puede utilizar esta tcnica para probar la configuracin de Directiva de grupo antes de su aplicacin.De esa manera, usted sabe que los ajustes que estn a punto de poner en prctica tendrn el efecto deseado.Puede llevar a cabo el modelado GPO desde dentro del Grupo de Gestin de Polticas de Console (GPMC).Al abrir la consola, haga clic en el contenedor de Modelado de directivas de grupo y seleccione la opcin de directiva de grupo Asistente para modelado en el men contextual.Cuando se carga el asistente, haga clic en Siguiente para conseguir ms all de la pantalla de bienvenida.Esto te llevar a la pantalla de seleccin del controlador de dominio del mago, como se muestra en la figura A. Elija el dominio que desea ejecutar la simulacin en contra y elegir el Cualquier controlador de dominio con la opcin Ms adelante Windows Server 2003 o.Tambin puede elegir un controlador de dominio especfico dentro de su dominio seleccionado.Normalmente, la opcin Cualquier controlador de dominio disponible no tendrn ningn problema.El nico momento en que tendra que especificar un controlador de dominio en particular estara en situaciones en las que los pases en desarrollo estaban conectados por un enlace de red de baja velocidad o cuando un controlador de dominio estaba teniendo problemas de replicacin.Figura A (haga clic para agrandar)La siguiente pantalla le pedir que proporcione informacin sobre los objetos que desea ejecutar la simulacin en contra.Dado que las directivas de grupo se pueden aplicar a los objetos de usuario y objetos de equipo, debe especificar tanto el fin de aprender cmo la configuracin de Directiva de grupo se van a jugar fuera.Como alternativa, puede especificar el contenedor de Active Directory que almacena los objetos de usuario y de equipo que desea analizar.Figura B (haga clic para agrandar)

En la mayora de los casos, usted puede conseguir lejos con la especificacin de un usuario individual y de equipo.Esto es especialmente cierto si sus usuarios y los equipos estn configurados de manera uniforme.En las organizaciones ms grandes, sin embargo, puede tener varios contenedores de usuarios o varios contenedores de computacin dentro de Active Directory.En esas situaciones, especifique el nombre completo del contenedor que almacena los objetos de usuario o equipo que desea ejecutar la simulacin en contra.Por ejemplo, si desea ejecutar la simulacin contra el contenedor de usuarios en el dominio Contoso.com en la figura B, entonces el nombre completo de ese contenedor sera CN = Users, DC = Contoso, DC = com.Haga clic en Siguiente, y especificar si desea o no que la prueba de asumir que una conexin dial-up est en uso.Tambin puede optar por utilizar el procesamiento de bucle invertido.Asegrese de echar un vistazo a la lista desplegable de sitio, porque los GPO se puede aplicar a nivel de sitio, y usted no puede obtener resultados precisos a menos que seleccione el sitio de Active Directory correcto de la lista.Ms acerca de seguridad de Windows 2008Windows PowerShell:Una puerta trasera a malware?Aliviar las preocupaciones de seguridadcon Server Core para Windows 2008Network Access Protectionen Windows Server 2008: qu te importa?Incluso si usted no tiene ningn objeto de directiva de grupo asignados a nivel de sitio, prestar atencin a la configuracin del sitio.Los vnculos a sitios normalmente reflejan las conexiones de baja velocidad entre segmentos de red.Elegir el sitio correcto asegura que la prueba consulta un controlador de dominio en el sitio local en lugar de un sitio remoto.A continuacin, se le pedir que seleccione la pertenencia a grupos de seguridad que desea probar.El grupo Usuarios autenticados y el grupo Todos son sometidas a prueba por defecto, pero se puede probar ningn grupo de seguridad adicionales mediante su inclusin en la lista.Una vez que haya rellenado la lista de los grupos de seguridad, haga clic en Siguiente.Mientras la pantalla un principio parece ser un duplicado, mirar ms cerca.En realidad, le da la oportunidad de especificar ningn grupo de seguridad relacionados con la informtica que desea probar, mientras que la pantalla anterior se dedic a la pertenencia a grupos del usuario.Se le pedir que introduzca cualquier Windows Management Instrumentation (WMI) filtros que desea usar.Por lo general, usted no tendr que preocuparse acerca de los filtros de WMI para las pruebas en general, por lo que slo seguir adelante ms all de esta pantalla.Por ltimo, el asistente le lleva a una pantalla de resumen.Obtener resultados precisos depende de ingresar la informacin correcta, as que tome un momento para asegurarse de que todo est correcto.Haga clic en Siguiente, seguido en Finalizar para completar el proceso.Cuando haya terminado, Windows crear un recipiente debajo de la directiva de grupo objeto contenedor de modelado que lleva el nombre de los usuarios o equipos que est probando.Si hace clic en este contenedor, se puede ver los resultados de la consulta, como se muestra en la Figura C.Figura C (haga clic para agrandar)

La pantalla que se muestra en la Figura C que contiene informacin bsica resumida.Por ejemplo, se puede ver que se utilizaron la pertenencia a grupos de seguridad durante la simulacin.Esto es importante, porque es probable que haya algunos grupos de seguridad utilizadas, incluso si no se especifica ningn individualmente.La pestaa Resumen tambin muestra que se utilizaron determinados objetos de directiva de grupo en la elaboracin de la poltica eficaz.Preste atencin a que debido a que le permite verificar que est leyendo todos los GPO que se deben aplicar a la situacin.Si desea profundizar en la configuracin de directivas reales, en la ficha Configuracin le mostrar los ajustes de poltica eficaces y de dnde vinieron (ver figura D).En caso de que usted se est preguntando, la ficha Consulta est ah para recordarle los criterios utilizados para la consecucin de los resultados de las pruebas (por ejemplo, que los usuarios y equipos de las pruebas se basan en).Figura D (haga clic para agrandar)

Cuando Windows compila varios objetos de directiva de grupo, lo hace en un orden especfico, con un enfoque "ms victorias cambio reciente" para la resolucin de conflictos.Por ejemplo, si la poltica local y una poltica a nivel de dominio contienen ajustes contradictorios, a continuacin, la configuracin de nivel de dominio tendran prioridad debido a que la directiva de dominio se procesa despus en la secuencia de la poltica de seguridad local.En la figura D, se puede ver las diferentes polticas y sus correspondientes ajustes que se indican.La columna de "ganar" GPO le indica qu objeto directiva de grupo es responsable de la aplicacin de dichos ajustes.Tenga en cuenta que esto no siempre ser el ms alto en la jerarqua de GPO.Podra enumerar un menor nivel de directiva de grupo de objetos si se aplica un ajuste y ninguna de las polticas de alto nivel frente a ese entorno particular.

Group Policy Management Console (GPMC)porAmit Zinman[Publicado el14 de septiembre 2004/ ltima actualizacin el14 de septiembre 2004]9Descripcin general del Grupo de Gestin Poltica de la consola, nueva herramienta de Microsoft para la gestin de la configuracin del sistema operativo.Visin de conjuntoMicrosoft proporciona una gran cantidad de opciones de directiva para Windows 2000, y la lista se alarg con Windows XP/2003.Por supuesto, usted puede agregar ms polticas, por ejemplo, para configurar Office.Los profesionales de TI, con el deseo de implementar un sofisticado sistema de directivas de grupo, pronto se dieron cuenta de que la documentacin correcta y actualizada es esencial porque una sola configuracin incorrecta podra traer muchos estragos a da de trabajo 'un desprevenidos usuarios.Esto es especialmente cierto cuando se implementaron varias directivas en el mismo usuario o equipo.Incluso con la documentacin, averiguar qu configuracin provena de que la poltica no es una tarea sencilla en escenarios complejos donde algunas configuraciones pueden entrar en conflicto.Al principio, Microsoft corra unas pocas utilidades independientes, en su mayora de smbolo del sistema con base que se puede utilizar para, por ejemplo, hacer un listado de todas las polticas o averiguar qu polticas se hayan realizado efectivamente para un solo usuario en un equipo determinado.Ahora, Microsoft ha entregado GPMC como un add-on para Windows 2003 Server.Tambin funciona en equipos con Windows XP que tengan al menos el Service Pack 1 y el marco NET. Instalado.La buena noticia es que tambin se puede utilizar para administrar los controladores de dominio basado en Windows 2000 (aunque no se instala en uno).La mala noticia es que hay una cierta curva de aprendizaje para usarlo.La vieja manera de administrar las directivas de grupo fue tal vez carece de caractersticas, pero era fcil de implementar y sin experiencia especial.Simplemente haga clic derecho una unidad organizativa, crear la directiva y configurar los ajustes.Fue slo cuando tuviste problemas o conflictos en los que la poltica del grupo se convirti en una pesadilla.Configuracin de directivas de grupoCon GMPC al hacer clic derecho una OU todo lo que ves es lo siguiente:

Tambin puede ejecutar GPMC desde su acceso directo, disponible en Herramientas administrativas.

Como se puede ver, GPMC se parece mucho a una mejora de usuarios de Active Directory y la interfaz de Informtica.Dado que las polticas de grupo se pueden aplicar al dominio, unidades organizativas y sitios, todos ellos estn representados.Al abrir un objeto, se puede ver que las polticas de directiva de grupo estn vinculados a la misma.El "vinculados" medios aplicados?Por lo general, lo hace.Pero tambin se puede desactivar una poltica vinculada cuando sea necesario, sin necesidad de eliminar la poltica o desenlazarlo.Esto es til para el diagnstico de problemas.

Tambin puede controlar las nuevas caractersticas de directiva de grupo de Windows 2003 para el filtrado de la directiva mediante grupos o filtros WMI para que pudieras controlar realmente el que se aplican las polticas de dnde.La ficha Configuracin muestra la configuracin seleccionada en la poltica en una mirada agradable HTML que puede guardar y abrir en un procesador de texto o Internet Explorer.Puede ser frustrante al principio, pero por desgracia no se puede modificar la configuracin de aqu.

Para cambiar la configuracin de una poltica que haga clic derecho y elegir "Editar".A continuacin, aparecer el editor de directivas de grupo familiar.

Tambin puede ver una lista de objetos de directiva de grupo y filtros WMI en la parte inferior de cada dominio que usted puede copia de seguridad, importar, restaurar y guardar en un informe.Modelado de directivas de grupoModelado le permite planificar las directivas de grupo antes de implementarlos mediante la simulacin de cambios.Cada simulacin comprueba lo que un usuario entra en un equipo especificado.Para crear tal simulacin se ejecuta el Asistente para modelado de directivas de grupo haciendo clic derecho "modelado de directivas de grupo".

Como se puede ver, se puede proporcionar tanta informacin como desee y vaya hasta el final haciendo clic en "Ir a la ltima pgina".

Cada una de las siguientes capturas de pantalla muestra una forma en que el usuario se cambia de manera que se podran aplicar nuevas polticas.

Una vez que el asistente finalice, se puede ver qu ajustes se podran aplicar al usuario sobre la base de la informacin introducida.Resultados de directivas de grupoEl Asistente para resultados de Grupo es como una versin simplificada de la Asistente de modelado con menos cuadros de dilogo.Le permite conectarse a un equipo remoto y calcular la directiva de grupo que se aplica efectivamente al usuario que los inicios de sesin en ese equipo.Sepan que este asistente puede fallar si usted no tiene permisos administrativos en el equipo de destino, o si no hay conectividad RPC a esa mquina que puede ser causada por una instalacin de un servidor de seguridad personal, como la de Windows XP SP2 instalado.ConclusinGPMC es ms que una interfaz, que es una nueva forma de ver las directivas de grupo, pero despus de un poco de prctica y estudio de este Interfaces es una valiosa herramienta para el diseo y las polticas de grupo de solucin de problemas.

Modelado de directivas de grupo6 de 9 encontrado til-Valorar este temaActualizado: 07 de abril 2003Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 con SP1, Windows Server 2003 con SP2Windows Server 2003 tiene una nueva caracterstica potente gestin de la directiva de grupo que permite al usuario simular una implementacin de la poltica que se aplica a los usuarios y equipos antes de que realmente la aplicacin de las polticas.Esta caracterstica, conocida como Conjunto resultante de directivas (RSoP) - Modo de Planificacin en Windows Server 2003, se integra en GPMC como Group Policy Modeling.Esta funcin requiere un controlador de dominio que ejecuta Windows Server 2003 en el bosque, ya que la simulacin se realiza por un servicio que slo est presente en los controladores de dominio de Windows Server 2003.Sin embargo, con esta funcin, se puede simular el conjunto resultante de directivas para cualquier equipo del bosque, incluidos los que se ejecuta Windows 2000.En la Figura 25, tenga en cuenta que el bosque Contoso.com Windows Server 2003 tiene unModelado de directivas de grupode contenedores en el panel de rbol y el bosque Tailspintoys.com Windows 2000 no tiene este envase.

Figura 25La pestaa de contenido en elGroup Policy Modelingnodo muestra un resumen de toda Group Policy Modeling consultas que el usuario ha realizado.. Esto se muestra en la Figura 25 Para cada consulta, GPMC muestra los siguientes datos: Nombre - Este es el nombre proporcionado por el usuario de los resultados de los modelos. Usuario - Este es el objeto de usuario (o la unidad organizativa en la que se encuentra el objeto de usuario) que forma la base de la consulta de modelado. Informtica - Este es el objeto de equipo (o la unidad organizativa en la que se encuentra el objeto de equipo) que forma la base de la consulta de modelado. ltimo tiempo de refresco - Esta es la ltima vez que la consulta de planificacin se actualiza.El Asistente para modelado de directivas de grupo se puede abrir desde el contenedor de Modelado de directivas de grupo, el nodo de dominio, o de cualquier unidad organizativa.Cuando el Asistente para modelado de directivas de grupo se inici a partir de uno de los contenedores de SOM, el asistente pasa automticamente los datos SOM para el asistente y rellena previamente el usuario y la pgina Seleccin de equipo del asistente.Nota

Para los usuarios que estn familiarizados con la MMC RSoP en Windows Server 2003, el Asistente para modelado de directivas de grupo es una nueva versin del asistente RSoP, que se ejecuta en modo de planificacin.Debido a que toda la funcionalidad proporcionada por el RSoP MMC RSoP est incluido en GPMC, junto con nuevas funcionalidades tales como informes HTML de los datos de RSoP, se recomienda que los usuarios acceder a toda la funcionalidad de RSoP principalmente mediante GPMC, en lugar de la MMC de RSoP complemento independiente pulg

La figura 26 muestra el Resumen de Modelado Asistente de directiva de grupo del cuadro de dilogo Seleccin antes de ejecutar el anlisis de modelos.Los ajustes en el panel de resumen son las respuestas suministradas por el usuario mientras se ejecuta el asistente de modelado.

Figura 26Una vez que el usuario completa el Asistente para Modelacin de directivas de grupo, un nuevo nodo en la consola se ha creado para mostrar los resultados.Estos nodos son persistentes a travs de sesiones de consola de GPMC.El usuario debe eliminar manualmente los nodos de modelado de directivas de grupo que ya no se desea.Para una consulta Group Policy Modeling dado, el nodo contiene tres pestaas como se muestra en la Figura 27. Resumen - contiene un informe HTML de la informacin de resumen que incluye la lista de GPO, pertenencia a grupos de seguridad y filtros WMI. Configuracin - esta contiene un informe HTML de la configuracin de directiva simulados que se aplicaran en esta simulacin. Pregunta - esta lista los parmetros que se utilizaron para generar la consulta.Utilizando el men contextual de este nuevo nodo, el usuario es capaz de: Guarde el informe de resultados al sistema de archivos.Esto guarda el contenido tanto del Resumen y Ajustes pestaas como un solo archivo (HTML o XML). Vuelva a ejecutar la consulta.Elegir la opcin de volver a ejecutar la consulta se volver a ejecutar la simulacin y volver a generar los datos que aparecen en el informe. Cree una nueva consulta con el original como una plantilla. Inicie el MMC RSoP, eligiendo la opcin "Advanced View".El complemento RSoP incluye los mismos datos que se muestra en el informe HTML, sino que tambin muestra informacin precedencia.Por ejemplo, si tres GPO establecer la misma configuracin, slo 1 GPO realmente establecer esa configuracin.El HTML le dir el valor final y que GPO realmente lo puso, mientras que el tradicional RSoP tambin identificar todos los GPO que intentaron establecer esta configuracin y el valor correspondiente de ese ajuste.Esto se muestra en la pestaa de precedencia cuando se hace doble clic en una opcin de la MMC RSoP.La ficha de resumen (que se muestra en la Figura 27) muestra un resumen de los datos de RSoP para la configuracin de la configuracin del usuario y el ordenador.Para ambas secciones, la siguiente informacin se muestra: Informacin general, incluido el nombre del usuario, el ordenador y / o SOM para el que se recogen los datos RSOP. Una lista de los GPO que estn en el mbito para el usuario dado, el ordenador, el ordenador y / o contenedor, y el SOM a la que se vincul cada GPO.Esto incluye una lista de GPO que se aplican, as como los GPO que se encontraban en su alcance, pero no se aplicara en el objetivo. Simulacin de seguridad del grupo de miembros de usuario y / o equipo de destino. Lista de filtros WMI que estn vinculados a los GPO y si se asume que en la consulta para ser verdad o no.

Figura 27La pestaa de configuracin (que se muestra en la Figura 28) muestra un informe del valor final de todas las configuraciones de directiva que se aplicaran, y la GPO (por ejemplo, "Ganar GPO") que sera responsable de establecer cada valor.

Figura 28La ficha de consulta muestra los parmetros de la consulta introducidos por el usuario que se utiliza para generar los datos.Esta ficha incluye datos que el usuario introduce en el asistente para generar la consulta, tales como: La ltima vez que la consulta haya sido recreado. Controlador de dominio en el que se ejecut la simulacin. Nombre de usuario o nombre de SOM para la configuracin del usuario. Nombre del equipo o nombre de SOM para la configuracin del equipo. Si se simul el procesamiento de vnculo lento. El sitio que el equipo se supone que es, por esta simulacin. Ya sea que se asumi el procesamiento de bucle invertido, y si es as, el modo ("ninguno", "modo de fusin", o "modo de reemplazo"). Ubicacin alternativa de usuario simulado. Ubicacin del equipo alternativo simulado. Simulacin de seguridad del grupo de miembros del objeto de usuario. Simulacin de seguridad del grupo de miembros del objeto de equipo. Filtros WMI que se supona ser cierto para el objeto de equipo Filtros WMI que se supona ser cierto para el objeto de usuario

Uso de Modelado de directivas de grupo y Resultados de directivas de grupo para evaluar la configuracin de directiva de grupo5 de 5 lo han encontrado til-Valorar este temaActualizado: 28 de marzo 2003Se aplica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 con SP1, Windows Server 2003 con SP2Antes de implementar la solucin de directiva de grupo, es fundamental que evaluar para determinar los efectos de la aplicacin de las distintas configuraciones de directiva que seleccione, de forma individual y en combinacin.El mecanismo principal para la evaluacin de la implementacin de la directiva de grupo es crear un entorno de ensayo e inicie sesin con una cuenta de prueba.Esta es la mejor manera de entender el impacto y la interaccin de todos los ajustes de GPO aplicados.Puesta en la implementacin de directivas de grupo es fundamental para la creacin de un entorno gestionado con xito.Para obtener ms informacin, consulte "Puesta en implementaciones de Directiva de grupo"en este libro.Para las redes de Active Directory con al menos un controlador de dominio de Windows Server 2003, puede utilizar el modelado de directivas de grupo en GPMC para simular el despliegue de GPO a cualquier ordenador de destino que ejecuta Windows 2000 Server o Professional, Windows XP Professional o Windows Server 2003. La principal herramienta para la visualizacin de la aplicacin real de GPO es mediante el uso de resultados de directiva de grupo en GPMC.Modelado de directivas de grupo se llamaba anteriormente Conjunto resultante de directivas (RSoP) Modo de planificacin y resultados de directiva de grupo se llam previamente el modo de registro RSoP.Uso de Modelado de directivas de grupo para simular Conjunto resultante de directivasEl Asistente de modelado integrado de directiva de grupo calcula el efecto neto simulada de GPO.Modelado de directivas de grupo tambin puede simular cosas tales como la pertenencia a grupos de seguridad, evaluacin filtro WMI, y los efectos de mover objetos de usuario o equipo a un contenedor de Active Directory diferente.La simulacin se realiza por un servicio que se ejecuta en los controladores de dominio que ejecutan Windows Server 2003. Estos valores calculados se presentan en HTML y se muestran en GPMC en laconfiguracin dela pestaa del panel de detalles para el GPO seleccionado.Para expandir y contraer los ajustes correspondientes a cada tema, haga clic enocultaromostrar todospara que puedas ver todas las opciones, o slo unos pocos.Para realizar un anlisis de Modelacin de directivas de grupo, debe tener al menos un controlador de dominio que ejecuta Windows Server 2003, y debe tener elRealice Modelado de directivas de grupode permisos en el dominio o la unidad organizativa que contiene los objetos en los que desea ejecutar la consulta .Para ejecutar el asistente, haga clic enGroup Policy Modeling(o un contenedor de Active Directory) y, a continuacin, haga clic enAsistente para modelado de directivas de grupo.Si se ejecuta desde un contenedor de Active Directory, el asistente rellena loscontenedorescampos para el usuario y el ordenador con el LDAP nombre completo de ese contenedor.Cuando haya respondido a todas las preguntas en el asistente, se muestran sus respuestas como si fueran de un solo GPO.Tambin se guardan como una consulta representada por un nuevo punto bajo elGroup Policy Modelingartculo.La pantalla tambin muestra qu GPO es responsable de cada ajuste, bajo el encabezadoGPO prevalente.Tambin puede ver informacin ms detallada prioridad (por ejemplo, que los GPO intent establecer la configuracin, pero no tuvo xito).Para ello, haga clic en el elemento y, a continuacin, haga clic enAvanzada.Esto inicia el tradicional RSoP complemento.Cada ajuste tiene unaPrioridadpestaa.Tenga en cuenta que el modelo no incluye la evaluacin de cualquier LGPO.Debido a esto, en algunos casos, es posible que vea una diferencia entre la simulacin y los resultados reales.Para guardar los resultados de la modelacin, haga clic en la consulta y, a continuacin, haga clic enGuardar informe.Uso de los resultados de directiva de grupo para determinar Conjunto resultante de directivasUtilice el Asistente para resultados de directiva de grupo para ver qu opciones de directiva de grupo se encuentran actualmente en vigor para un usuario o equipo mediante la recopilacin de datos de RSoP desde el equipo de destino.A diferencia de Modelado de directivas de grupo, Resultados de directivas de grupo revela la configuracin de directiva de grupo reales que se aplican al equipo de destino.El destino debe ejecutar Windows XP Professional o posterior.Los ajustes se registran en HTML y se muestran en una ventana del navegador GPMC en elResumenyAjustespestaas en el panel de detalles para el GPO seleccionado.Puede expandir y contraer los ajustes correspondientes a cada elemento haciendo clic enocultaromostrar todospara que puedas ver todas las opciones, o slo unos pocos.Para acceder remotamente grupo de datos de resultados de directiva para un usuario o un equipo, debe tener lapoltica de acceso remoto de Grupo Resultados de datosde permisos en el dominio o la unidad organizativa que contiene el usuario o equipo, o debes ser miembro del grupo de administrador local en el equipo adecuado y debe tener conectividad de red al ordenador de destino.Delegar Resultados de directivas de grupo, lo que necesita el esquema de Windows Server 2003 en el entorno de Active Directory.Para actualizar el esquema, ejecuteadprep / forestprepen el controlador de dominio con las operaciones de esquema funcin de maestro.Para ejecutar el asistente, haga clic en elResultados de directivas de grupode contenedores,y luego haga clic enAsistente para Resultados de directivas de grupo.Cuando haya respondido a todas las preguntas en el asistente, GPMC crea un informe que muestra el conjunto resultante de directivas para el usuario y el ordenador que ha introducido en el asistente.La pantalla muestra el GPO es responsable de todos los ajustes de laconfiguracin depestaa, bajo el ttuloGPO prevalente.Puede guardar los resultados haciendo clic derecho en la consulta y elegirGuardar informe.Usando Gpresult.exe para Evaluar la configuracin de DirectivaPuede ejecutar Gpresult.exe en la lnea de comandos de cualquier ordenador remoto dentro del mbito de su gestin para obtener la misma informacin se puede obtener mediante el uso de GPMC Resultados de directivas de grupo.Por defecto, Gpresult.exe devuelve valores que estn activos en el equipo en que se ejecuta.Para Windows Server 2003 y Windows XP Professional, Gpresult.exe utiliza la siguiente sintaxis:

Gpresult [/ s Equipo [/ udomain \ usuario / ppassword]] [/ userTargetUserName] [/ alcance {user | equipo}] [/ v] [/ z]Tabla 2.8 describe los parmetros para Gpresult.exe.Tabla 2.8 Parmetros Gpresult.exeParmetroDescripcin

/ SequipoEspecifica el nombre o la direccin IP de un equipo remoto.(No utilice barras invertidas.) El valor predeterminado es el equipo local.

/ Udominio \ usuarioEjecuta el comando con los permisos de cuenta del usuario especificado por usuario o dominio \ usuario.El valor predeterminado son los permisos del usuario que inici la sesin actual en el equipo que emite el comando.

/ PcontraseaEspecifica la contrasea de la cuenta de usuario especificada en el parmetro / u.

/ UserTargetUserNameEspecifica el nombre de usuario del usuario cuyos datos RSoP se van a mostrar.

/ Alcance{user | equipo}Muestra de usuario o de resultados de la computadora.Los valores vlidos para el parmetro / scope son user o computadora.Si omite el parmetro / alcance, gpresult muestra la configuracin tanto de usuarios y equipos.

/ VEspecifica que el resultado se muestre informacin poltica detallado.

/ ZEspecifica que la salida de la pantalla toda la informacin disponible acerca de la directiva de grupo.Debido a que este parmetro produce ms informacin que el parmetro / v, redirija la salida a un archivo de texto cuando se utiliza este parmetro (por ejemplo, gpresult / z> directiva.txt).

/?Muestra Ayuda en el smbolo del sistema.

Para ejecutar Gpresult.exe en su ordenador1. Haga clicen Inicio, haga clicen Ejecutar, escribacmdy, a continuacin, presione ENTRAR.2. Escribagpresult / z> gp.txta escribir el resultado en un archivo de texto que se denomina gp.txt.3. Escribagp.txt bloc de notaspara abrir el archivo de texto.Tenga en cuenta que el uso de resultados de directiva de grupo se recomienda durante el uso de Gpresult.exe.GPResult.exe es principalmente til si desea la lnea de comandosde presentacindel conjunto resultante de datos de la poltica.Si necesita acceso de lnea de comandos a los datos RSoP pero no la presentacin de lnea de comandos de los datos, slo tiene que ejecutar un script basado en las interfaces de GPMC para generar un informe de RSOP en forma de un archivo htm..

Windows Server 2008 Active Directory GPO, Directivas ausuariosFiled under:Anexosby josephchans7k 11 comentariosmayo 22, 2011Analizaremos cinco directivas de las configuraciones de usuarios en lo que respecta a escritorio y sistema.1.-Debemos crear un GPO asi que nos ubicamos en la Unidad organizativa de los usuarios a los que queremos que las directivas sean aplicadas y hacemos click derecho,opcin crear un GPO en este dominio y vincularo aqu.

2.-Ponemos el nombre delnuevo GPOy aceptamos

3.-En Filtrado de seguridadagregamos a los usuarios.

4.-Losbuscamos y aceptamos

5.-Ahora hacemosclicderecho sobre el GPO yseleccionamoseditar

DIRECTIVA # 1En esta parte ensearemos como el servidor puede enviar un mensaje al cliente mediante un blog de nota y que se presente al momento del que cliente inicie sesin1.- Dentro deleditor de administracin de directivas de grupo, nos dirigimos aconfiguracion de usuario-> Directivas-> Plantilla administrativas-> Sistemas-> Inicio de sesion->Ejecutar estos programas cuando el usuario inicie la sesion.

2.-Hacemos click , habilitamos y vamos a mostrar

3.-Creamos una carpeta compartida donde guardamos todos los archivos y en nuestro caso sera crear un blog de nota con un mensaje interno para que este se pueda ver en todos los clientes

4.-Agregamos la direccin donde se encuentra el archivo que en este caso sera \\SERVER\Carpetas compartidas\mensaje.txt

5.-Luego aceptamos a todas las ventanas

6.-Vamos al cliente y lo reiniciamos, luego que se reinicie veremos que automticamente se abrir el blog de nota con el mensaje

DIRECTIVA # 2En ocasiones queremos q todas las maquinas de la red tengan como papel tapiz la imagen corporativa de la empresa, para esto aplicaremos la siguiente directiva.1.- Dentro deleditor de administracin de directivas de grupo, nos dirigimos aconfiguracion de usuario-> Directivas-> Plantilla administrativas-> Escritorio-> Escritorio->Tapiz del escritorio.

2.-Damos doble clic y configuramos la ruta donde est el wallpaper corporativo que queremos poner, es recomendable que est en una carpeta compartida en el servidor que los usuarios no tengan permiso de modificar, para queastodas las maquinas apegadas a la directiva encuentren el papel tapiz.

DIRECTIVA # 3En esta parte nos vamos a enfocar cmo hacer para que nuestros usuarios solo puedan acceder a programas o aplicaciones que yo como administrador quiero que accedan y que tengan permiso para ejecutar en el equipo.Dentro deleditor de administracin de directivas de grupo, nos dirigimos aconfiguracin de usuario,directivasy luegoplantillas administrativas, escogemos la parte desistemaescogemos la que diceejecutar solo aplicaciones especificas de Windows,tal como se muestra en la imagen.

Una vez encontrada la opcin antes mencionada le damos doble clic y nos aparecer la siguiente ventana, ponemos habilitar y luego agregamos solo las aplicaciones que deseamos que nuestros usuarios en cada uno de sus equipos los puedan utilizar o tcnicamente dicho ejecutar.Si habilitamos esta opcin, los usuarios que estn bajo o dentro de nuestro dominio slo podrn ejecutar los programas que yo como administrador en elserveragregue a la Lista de aplicaciones permitidas. La siguiente imagen muestra cmo hacerlo.

En la ventana que dicemostrar contenidoescogemos la opcinagregary describimos que programas deseamos ejecutar, en este ejemplo describimos:cmd.exe,Word,notepad.exey no permitiremos el resto de programas comoExcel.exedamos clic en aceptar y listo.

Como ven si se pudo abrirWord.exe; mientras al querer abrir la ventana deExcel.exeno se podr y la maquina nos lanzara un mensaje que dir, tal como muestra la imagen.

DIRECTIVA # 4- DIRECTIVA DE USUARIO:- PLANTILLAS ADMINISTRATIVAS- SISTEMA- OPCIONES CTRL + ALT + SUPREsta directiva de usuarioOPCIONES CTRL + ALT + SUPRse la configura para impedir que los usuarios puedan accesar al administrador de tareas y terminar la ejecucin de algn programa, tambin se la configura para que el usuario no pueda bloquear el equipo o cerrar la sesin esto es muy til si tenemos una mquina que requiera que este todo el tiempo encendida un ejemplo claro sera las computadoras que realizan monitoreo en un banco o las mquinas que estn en los aeropuertos las cuales indican los vuelos de llegada y los vuelos de salida y as se puede configurar esta directiva para muchos usosLa configuracin es muy sencilla y se la realiza de la siguiente manera:1.-No s ubicamos en la directiva que queremos configurarOpciones de Ctrl+Alt+Supr

2.-Habilitamos las opcionesQuitar Administrador de tareasQuitar Cerrar sesinQuitar el bloqueo de equipos

3.-Actualizamos las directivas en los clientes

4.-Listo ahora los usuarios estarn limitados a esta opcin

DIRECTIVA # 5Cmo impedir el acceso y edicin al Registro de Windows?CasoEl Registro de Windows es la base de datos, en forma de rbol, donde se almacena las configuraciones y opciones de todo el hardware, software, usuarios y preferencias del PC.ImportanciaCualquier cambio que se realice, no resulte ser el correcto se borre por error, algn valor o clave necesaria, afectar el buen funcionamiento del sistema.ProblemticaUn Pc_Cliente con permiso de Usuario agregado al Active Directory tiene acceso al Registro, en el cual existen sectores sensibles que no deben ser objeto de modificacin.SolucinAplicar la Directiva de Impedir el acceso al Registro de Windows.ImplementacinNos dirigimos al Editor de administracin de directivas de grupo, en:->Configuracin de Usuario>Directivas>Plantillas administrativas->Sistema

Hacemos doble click en: Impedir el acceso a herramientas de edicin del Registro.En la pestaa de Configuracin seleccionamos la opcin Habilitada, inmediatamente en Desea habilitar la ejecucin sin notificacin del regedit? Elegimos si.

Dar click en Aceptar y listoAhora vamos al PC_Cliente y cerramos sesin, cuando vuelva a ingresar, se aplica la poltica Tambin se puede ejecutar el siguiente comando en el Smbolo del Sistema sin cerrar la sesin:gpupdate /forcePor ejemplo, en Inicio/Ejecutar escribimos regedit, damos en aceptar

Nos desplegar un aviso que el administrador deshabilit la modificacin del registro.