OneNote Online

Page 1 of 14

Mdulo 5: 70-411 Managing User Desktop with Group

Policy
jueves, 4 de diciembre de 2014 12:34

Gestin de Escritorio usando GPOs.

Plantillas Administrativas.

Las plantillas administrativas hacen cambios directamente sobre el registro de Windows. Por esto suelen llamarse tambin RegistryBased Policies.
Como en cualquier poltica, tenemos plantillas administrativas en Configuracin de Usuario y en Configuracin de Equipos:
Configuracin de equipo: HKEY_LOCAL_MACHINE
Configuracin de usuario: HKEY_CURRENT_USER

Si una misma setting la tenemos en Configuracin de Equipo y en Configuracin de Usuario, tiene prioridad la Configuracin de Equipo.
Por ejemplo, si instalamos Skype, aparecer en las 2 configuraciones.
Dos tipos de Plantillas Administrativas:
ADM:
Mas antiguas
Usan un lenguaje propietario, por lo que son mas difciles de crear.
Se guardan en %SystemRoot%\Inf = C:\Windows\Inf
Son dependientes del idioma. Para cada idioma tenemos una plantilla completa
Se copian a SYSVOL. Cada una ocupa alrededor de 3 MB
ADMX:
Usan el estndar XML. Cualquier fabricante puede crear plantillas para sus productos.
Windows Server 2008 y Windows Vista
%SystemRoot%\PolicyDefinitions = C:\Windows\PolicyDefinitions
Son independientes del idioma. Las caractersticas propias de cada regin se almacenan en archivos ADML
Se leen directamente de %SystemRoot%\PolicyDefinitions
Se almacenan en local en cada mquina, pero tambin podemos guardarlas en una localizacin centralizada. Central Store.
Se crea este almacn copiando la carpeta %SystemRoot%\PolicyDefinitions a SYSVOL.
Las plantillas administrativas ADMX se guardan aqu:

Las plantillas administrativas se copian a la siguiente ruta para que se replique a todo el dominio.

Si tenemos plantillas administrativas ADM y ADMX y tiene ambas la misma configuracin , las ADMX tienen prioridad frente a las
ADM
Podemos mejorar el rendimiento del AD migrando todas las plantillas ADM a ADMX. Para esto usamos la herramienta ADMX
Migration Tool.
Al instalar el paquete da error, por lo que hay que entrar en "Modo a prueba de fallos" y ejecutar:

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 2 of 14

Las Plantillas Administrativas son extensibles. Podemos crear nuestras propias plantillas o descargar otras desarrolladas por
fabricantes.

Por ejemplo, si Adobe ofrece plantillas administrativas para Acrobat Reader, podemos establecer la configuracin de Acrobat
Reader en todas las mquinas del dominio de forma centralizada.
Tenemos Plantillas Administrativas para muchos productos de Microsoft, por ejemplo Office 2013.

Nos hemos descargado las plantillas administrativas de Microsoft, pero para que funcionen tienen que estar todas ubicadas en la
raz del directorio:
Redireccin de Carpetas y Scripts.

El objetivo de Folder Redirection es que los usuarios "vean" que sus directorios estn en su mquina local, pero realmente estn en una
localizacin compartida.
Esto tiene algunas ventajas:
Facilita la administracin de Backups
Facilita la movilidad de usuarios (Roaming Profiles)
Acceder a una carpeta compartida puede hacer que sea ms lento, pero podemos combinar la redireccin de carpetas con
Offline File (cach carpeta compartidas).

Si configuramos las carpetas compartidas como "Avanced" podemos especificar las rutas donde queremos que grupos de usuarios
guarden sus archivos. En este ejemplo hemos creado para el grupo de Sales, y otra para SalesAdmin.
En modo bsico crear una carpeta para cada usuario.
En modo avanzado podemos redirigir usuario y grupos a diferentes carpetas.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 3 of 14

Policy Removal:
Leave the folder.... --> Lo sigue guardando en la carpeta compartida si quitamos la GPO o la desenlazamos... se sigue haciendo la
redireccin compartida (es como una GPO no gestionada). Sigue funcionando con normalidad.
Redirect the folder.... --> Se devuelven a la maquina local y la GPO se "elimina"

Cuando al dejar de aplica una GPO se mantiene el efecto de una setting, se llama "tatooing setting"

En Fotos, Msica y Videos hay una opcin mas que guarda la carpeta, si por ejemplo tenemos "Msica" crea otra subcarpeta "Msica"
Va a guardar los archivos en la misma ruta.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 4 of 14

Ejecucin de Scripts

Antes de que apareciesen las Preferencias en las GPOs, haba tareas que tenamos que configurar en scripts para que se ejecutasen de
forma automtica:
Mapear una unidad de red.
Limpiar directorios temporales
Limpiar los archivos de paginacin.
Los scripts tendremos que seguir usndolos para maquinas que no soporten Preferencias. Si estn soportadas, las Preferencias deben
ser el mtodo usado para estas tareas.
Podemos definir scripts en varios lenguajes de programacin:
VBScript
Microsoft JScript
Comandos de MS-Dos en un archivo .bat
Poweshell (Desde Windows Server 2008 R2)
Estos scripts los podemos ejecutar en 4 situaciones:
Cuando un usuario inicia sesin.
Cuando un usuario cierra sesin.
Cuando un equipo se reinicia.
Cuando un equipo se va a apagar.

Los scripts deben encontrarse en una carpeta compartida. A esta carpeta compartida deben tener acceso las cuentas de usuario o de
equipo que los van a ejecutar.
El recurso compartido que se suele usar es Netlogon.
Primero hacemos un mapeo de red en LON-CL1

Si cerramos sesin habra que volver a lazar el comando, y queremos que se lance automticamente cada vez que se inicia sesin.
Entramos en LON-DC1.

Y lo guardamos como .bat (en el escritorio por ejemplo aunque luego hay que llevarlo a una ubicacin compartida.)

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 5 of 14

Y lo movemos a:

Creamos una GPO que se llama Mapeo de Red

Y la Editamos.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 6 of 14

Ya tenemos es script de inicio y ahora hay que enlazarlo al dominio.

Y hacemos que se aplique a LON-CL1 sin esperar a que se replique automticamente.

Entramos en LON-CL1 e iniciamos la sesin y miramos si se ha aplicado.

Preferencias.

Las tareas que hasta ahora tenamos que ejecutar mediante scripts, ahora podemos aplicarlas usando Preferencias en las GPOs.
Estn disponibles desde Windows Server 2008. En clientes el sistema operativo debe ser Windows Vista SP2 o superior.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 7 of 14

Si descargamos e instalamos las CSE (Client Side Extensions) de Preferences, podemos usarlas en:
Windows Server 2003
Windows XP Service Pack 3
Windows Vista SP 1
Desde LON-DC1 creamos una GPO y la editamos

En las Preferencias tenemos 4 opciones:

Crear: Crea una nueva setting de preferencias para el usuario o el equipo.
Remplazar: Elimina la preferencia y la vuelve a crear con la nueva configuracin.
Actualizar: Modifica alguna setting de la preferencia.
Borrar: Borrar una setting de preferencias para el usuario o el equipo.

Marcar "Reconnect" es por si el usuario la desconecta se vuelva a conectar.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 8 of 14

Ejercicio
-----------------------------------------------------------------------------------------------------------------------------------------------Usar las preferencias para que los usuarios tengan un acceso directo al Bloc de Notas en el Escritorio

------------------------------------------------------------------------------------------------------------------------------------------------

Con la opcin:
Stop processing --> Si alguna falla detiene la ejecucin de las siguientes.
Run in logged... --> Para que se ejecute cada vez que iniciamos la mquina.
Remove this item.... --> Cuando se desenlaza la preferencia y deja de aplicarse.
Apply once.... --> Si el usuario hace cambios no se vuelve a aplicar. Por ejemplo creamos una unidad de red, G:\ y el usuario
decide desconectarla, no le vuelve a aparecer la unidad de red.
Item-level targeting: --> Se decide a quien se le va a aplicar la preferencia.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 9 of 14

En este caso por ejemplo, solo le aparecera a los usuario de Sales.

Ejercicio.
------------------------------------------------------------------------------------------------------------------------------------------------

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 10 of 14

Para los usuario del departamento de ventas es fundamental contar con un directorio en C: que se llama c:\Informes (no es una carpeta
compartida, es un directorio local).
Este directorio debe crearse de forma automtica en todos los equipos Windows 8.1 y slo para los usuarios del grupo Sales, pero no as
para los usuarios de SalesAdmin. Si algn usuario borra el directorio, debe crearse de nievo en el siguiente inicio de sesin.
Desde aqu se dice que sea solo para los usuarios de Sales y Windows 8.1

-----------------------------------------------------------------------------------------------------------------------------------------------da 4/12/2014
Gestin de Software usando GPOs.

Usando GPOs podemos gestionar prcticamente todo el ciclo de vida de una aplicacin.
1.- Instalacin.
2.- Actualizacin.
3.- Desinstalacin.

Ventajas:
Podemos hacer la instalacin de forma centralizada. No necesitamos ir a cada uno de los equipos o instalar la aplicacin para
cada uno de los usuarios.
Si un usuario es mvil, cambia de equipo, podemos hacer que la aplicacin "le siga", instalndose en el nuevo equipo.
No tiene costes adicionales, la infraestructura de GPOs viene con Windows Server 2012 R2 y con los equipos clientes. En los
clientes ya tenemos el CSE (Client Side Extension) necesario para la instalacin y desinstalacin de software.

Inconvenientes:
El conjunto de caractersticas y configuraciones de instalacin es reducido: No podemos elegir el orden de instalacin cuando
despliganos mltiples aplicaciones, no hay un mtodo directo para especificar fecha y hora para la instalacin, no hay muchas
posibilidades de personalizacin de la instalacin de aplicaciones.
No tenemos una herramienta que nos d informes detallados de las instalaciones, actualizaciones y desinstalaciones hechas.
Slo funciona con paquetes MSI (Microsoft Installer) o MSU (Microsoft Update).Si la aplicacin a instalar no cuenta con el
paquete MSI, podemos usar aplicaciones de terceros para construirlo.
Si estas limitaciones son un problema, podemos usar software como System Center Configuration Manager (SCCM)
El despliegue de software con GPOs se basa en el servicio Windows Installer.

El servicio Windows Installer se ejecuta con privilegios elevados en cada mquina (Local System), por lo que no necesitamos que el
usuario para el que vamos a instalar la aplicacin cuente con esos privilegios. El paquete MSI o MSU estar en una carpeta compartida
y lo nico que necesitamos es que el usuario tenga permiso READ en esa carpeta.
Windows Installer se encarga del proceso de instalacin, mantenimiento (incluyendo la reparacin y actualizacin) y la desinstalacin.
Si una aplicacin est corrupta, Windows Installer puede repararla o reinstalarla. Esto se suele denominar Aplicaciones Resilientes
(resistente a fallos).
A la hora de instalar aplicaciones usando GPOs tenemos 3 opciones:
Asignar.
Publicar.
Avanzada: Permite personalizar un poco el proceso de instalacin.
Asignar.

Tanto la asignacin como la publicacin pueden configurarse para Usuarios y para Equipos.

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 11 of 14

Si usamos Configuracin de Equipos, la aplicacin se asigna o se publica para todos los usuarios que inicien sesin en el equipo.
Si usamos Configuracin de Usuarios, la aplicacin se asigna o se publica slo para ese usuario, independientemente del equipo en el
que inicie sesin. La aplicacin instalada mediante Configuracin de Usuarios no se comparte entre los usuarios de la mquina.

Si ASIGNAMOS una aplicacin a un equipo, la aplicacin se instala en el equipo y estar disponible para todos los usuarios del mismo.
La instalacin se hace efectiva la prxima vez que el equipo se inicie.

Si ASIGNAMOS una aplicacin a un usuario, en el men de Inicio se avisa al usuario de la disponibilidad de la aplicacin y sta se instala
cuando el usuario pulsa en ella, o cuando el usuario abre un archivo relacin con la aplicacin.
Publicacin.

En la publicacin, la aplicacin no se instala por defecto, sino que aparece en el Panel de Control, en Programas y es el usuario el que
tiene que instalarla.
La Publicacin no est disponible para Equipos, solo para usuarios.

Practica:
-----------------------------------------------------------------------------------------------------------------------------------------------Asignacin de aplicacin por GPO.
Creamos una carpeta compartida en LON-DC1.
Comprobamos que desde LON-CL1 tenemos acceso a esa carpeta
Creamos una GPO y la editamos.

Cuando le decimos que paquete queremos instalar hay que hacerlo a travs de la red, es decir: \\LON-DC1\Software

Y aparece el paquete que vamos a desplegar

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 12 of 14

Hay que enlazarla a nivel de dominio por ejemplo y despus con Reiniciar LON-CL1 debera estar listo.
Si no se lanza un gpupdate /force y ya aparece.

Ejercicio.
-----------------------------------------------------------------------------------------------------------------------------------------------Las polticas de gestin de nuestra empresa establecen que la aplicacin 7-zip debe estar disponible para todos los usuarios que quieran
instalarla. No debe preinstalarse esta aplicacin, pero tenemos que hacer que est disponible para todos de forma centralizada.
Creamos la GPO 7-zip y la editamos.

Publicar.
Y la enlazamos a nivel de dominio
Con estos comandos le decimos que invoque la GPO y si necesita reiniciar, reinicie LON-CL1 sin preguntar.

Dentro de Panel de Control de LON-CL1 estara el instalador (usuario SALES1)

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 13 of 14

Instalamos la aplicacin y cerramos sesin para ver si Sales2 tiene el 7-zip instalado.
No aparece porque la publicacin es solo a nivel de usuario no de equipo.
-----------------------------------------------------------------------------------------------------------------------------------------------Ejercicio
------------------------------------------------------------------------------------------------------------------------------------------------

Las polticas de empresa obligan a desinstalar aplicaciones que no estn actualizadas. Tenemos XML Notepad 2007 que entra dentro de
este grupo instalada en 1000 hosts. Se nos pide desinstalar de forma centralizada XML Notepad 2007 de todos los hosts.
Dentro de la misma GPO entramos en propiedades y marcamos esa opcion.
Luego la desenlazamos y se aplica.

-----------------------------------------------------------------------------------------------------------------------------------------------La pregunta est mal 6, la respuesta correcta es la c) The Administrative Templates (pdf 5)

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016

OneNote Online

Page 14 of 14

Modulo 3 pregunta 3 D
Modulo 4 pregunta 8 creator owner

https://onenote.officeapps.live.com/o/onenoteframe.aspx?edit=0&ui=es%2DES&rs=e... 13/01/2016