GPO: GPO en detalle

josemct.com/blog/2016/07/02/gpo-gpo-en-detalle/

josemct

Los permisos son concesiones sobre los derechos. Una GPO es un contenedor de
configuraciones de seguridad

GPE se considera a los asignamos localmente (las políticas locales de maquina) à

GPEDIT.msc
GPO asignados en este orden Local Group
à
Site à Domainà OU . Lo ejecuta à
GPMC.msc

Las directivas a nivel Site las ponemos que

abarquen a más de un dominio.
Las directivas a nivel Site afectaría al dominio
que este en el sitio y a las OU del dominio

Se aplica la directivas se aplican la GPO más cercana

al objeto. Por ejemplo si deniego a nivel de Site el no
usar el entorno de red, y en la OU lo permito,
prevalecerá la que permite, es decir la OU

Si yo aplico una GPO a una OU, le estoy dando

potestad para que se gestione el mismo, omitiendo
los niveles por encima (dominio y sitio)

Si quiero forzar que se aplique la GPO a nivel superior (dominio o sitio) sobre lo que dice la
GPO de OU, se usa el enforce

La de mayor prioridad (la 1) se

ejecuta la última, por los que las de
menor prioridad (2) se procesaran
antes.

Podemos poner prioridades dentro

de la GPO asignadas a OU, y
prioridades en GPO asignadas a
1/51
sitios y dominios

En caso de haber forzadas a nivel de sitio y OU, manda la que está por encima, es decir la de
sitio

Por lo que aunque forcemos a una OU para que no tenga contraseña, como la Default
Domain Policy esta forzada, en caso de haber forzadas, manda la del nivel superior

LOCAL GPOs

Es la que se aplican a equipos que no están en dominio o localmente. Sin embargo tienen
prioridad la GPO del dominio que la gpolocal

En win XP, 2003 y W2000 solo había una sola GPO que afectaba a todos. A partir de
Windows Vista en adelante (win 7, 2008 en adelante) tenemos mutiples GPO locales

Por defecto tenemos lo típico, el nodo computer y nodo users que afecta a todos los
usuarios del equipo que se loga, pero tenemos dos nuevas GPO: administrators y Non-
Administrators que afecta a los usuarios que sean o no miembro del grupo Administradores
del equipo local

Desee el equipo local, abrimos MMC y agregamos “Group Policy Object editor”

2/51
Nos dice si conectarnos a la GPO local de esta maquina, o a la de otro equipo. Le damos a
browse

En la pestaña users no aparece esas nuevas GPO, seleccionamos por ejemplo Non-
Administrator

3/51
Vemos que nos abrirá la consola para usuario

Vemos que vamos a agregar la consola para los Non-administrators, Finish

4/51
DOMAIN-BASED GPOs

Estas GPO se almacenan en el

directorio acctivo

Existen 2 GPO por defecto

Default Domain Policy: su ID es

{31B….}: Es una política que esta
forzada por defecto, aunque no lo
ponga. Solo vienen configurado las
políticas de cuenta (complejidad,
longitud, historial, caducidad). Obviamente debe forzar al resto por si alguien pone en
una OU una GPO que ponga sin contraseñas
No es recomendable cambiar nada de estas políticas, salvo las que están habilitadas
(la de la contraseña)

La Default Domain Policy afecta a los Domain Controller

En caso de errores, se puede borrar esta carpeta

Default Domain Controllers policy: {6AC…}: Esta GPO esté enlazada a la OU Domain
controllers de User and computers de AD cuando se mete promociona un 2008.

Contiene las opciones de seguridad de Local settings (quien puede acceder a un DC) y
directivas de auditoria

5/51
 Esta GPO tiene por defecto que solo
puedan iniciar sesión local en un DC los
administradores

GPO STORE

Lo que vulgarmente llamamos GPO son realmente 2 componentes que se almacenan en

sitios distintos

Goup policy container

Group policy Template

1. Group Policy Container ( GPC )

Es un objeto en Active Directory almacenado en el contaimer “group policy object” dentro

del domain naming context

6/51
Como cualquier otro objeto de AD, cada GPC tienen un atributo GUID único que le identifica
en el directorio Activo.

El GPC define atributos básicos de la GPO pero no tienen ninguna configuración, ya que esta
configuración está en la GPT

1. Group Policy Templates (GPT)

Contiene la configuración de las GPO y se guarda en cada \\shared\sysvol de los

controladores de dominio, replicándose entre ellos

Cuando hacemos cambios en una GPO se guarda en el GPT del dominio en el que lo
hicimos y luego se replica.

El Group Policy Client de todos los Windows detecta una actualización de GPO ya que vga
GPO tieien un numero de versión que cambia con cada actualización. Este numero es
guardado com un atributo de GPContainer y un archivo de texto, GPT.ini, el la carpeta GPT

Las GPT sstán en c:\windows\SYSVOL\sysvol\<dominio>\Policies\<GPOGUID>

Desde W2000 el identificador 31B…. corresponden a las GPO Default Domain Policy
El Identificador 6AC corresponden a las GPO Default Domain Controller policy
7/51
Si abrimos una GPT, vemos el contenido. El fichero GPT.ini, tiene el número de versión, y las
configuraciones de usuario

Para ver la correlación de UID con GPO, lo veríamos en las propiedades de la GPO

Replicación de las GPO

Las GPC y GPT se replican ambas entre todos los Domain Controlleres, pero tienen distinto
mecanismo

Las GPC utiliza la topología generada por el KCC

GPT se repica por FRS (file replication service) con W2000,2003 y 2008, o también por DFSR, si
los domain controller son 2008 o superior. Esto hay que configurarlo

Primero se replica las GPC a otros Domain Controller. Estos DC identifican que ha cambiado
en su lista una GPO e intentara bajar la GPT del Controlador de dominio donde se cambió la
GPO

8/51
ICONOS GPO

Las GPO a nivel local de maquina solo se podrá modificar si no están en la estructura Site >
Domain > OU

Como vemos en la imagen arriba los iconos que son dos servidores , son las aplicadas
por GPO, y las que tienen el icono de un fichero binario, son las editables localmente

Si abrimos con GDEdit.msc (en modo local) al abrir una política, vemos que no es editable,
porque esta aplicada por GPO, si quisiéramos cambiarlo, seria a través de Default Domain
Controller Policy

La carpeta Group Policy object, corresponde al contenido en c:\windows\sysvol\sysvol\

<domain>\policies

9/51
GPO HERENCIA (inheritance) y
PRECEDENCIA (precedence)

Inheritance:

La herencia implica que se van acumulando

los links de GPO en el orden Local à Site à
Domian àOU à OU… Esto quiere decir que la
primera en ejecutarse seria a nivel local y la
ultima la de las OU, y en caso de de conflicto
manda la última que se ha aplicado, es decir ,
la de la OU, a no ser que se hubiera forzado una GPO

Lo podemos ver en pestaña Group Policy Inheritance de una OU, en este caso, SEV

Vemos en que orden se aplican

1. la primera que se aplicara será la 7 (default Domain Policy) ya que está en un nivel
más alto que la OU,
2. luego se ejecutara las de la OU “computersmad” (6-5-4) ya que esta OU está por
encima de la UO SEV.
3. Luego se ejecutan las GPO de la OU de Sevilla (3-2) que es la que está más abajo en el
nivel
4. Finalmente se ejecuta la GPO 1, que esta forzada, y aunque esta en u nivel superior
(nivel dominio), respecto a nuestra Ou SEV, al estar forzada es la última que se ejecuta
y es la que más prioridad tiene, y en caso de conflicto, mandara lo que ponga esta
GPO

10/51
Precedencia

Lo define un número y la me mayor precedencia es el número más bajo (1) y una menor
precedencia es un mayor número (2). En la imagen anterior vimos en la pestaña herencia,
en qué orden se ejecutaban (columna precedencia). Esta pestaña pone las cosas
automáticas basándose en la herencia.

Nosotros en un OU, dominio, podemos elegir, en el caso de que hubiera linkada más de una
GPO, el orden en el que se ejecutaran dentro de la OU, lo cual afectara luego a la herencia

Seleccionando una OU, en la pestaña “Linked Group Policy ogjects” vemos el orden en el
que se ejecutan (3 à 2 à 1) pero con las flechas, podremos cambiar el orden

Bloqueo de herencia

Hace que no se ejecuten las GPO de nivel superior, excepto las que están forzadas). Al
Bloquear, aparecerá un icono azul de admiración

OU SEV: su nivel superior es la OU ComputersMAD à dominio à sitio

Antes de aplicar bloqueo de herencia: se Despues de aplicar bloqueo de

ejecutan las del nivel superior y las suyas herencia: solo se aplican sus GPO y las
forzadas

11/51
Enforced GPO

Cuando forzamos una GPO ésta toma el más alto nivel de precedencia, es decir, un numero
bajo (1), no obstante si tenemos forzadas GPO que están en distintos niveles (una en un
dominio y otra en una OU), la que tendrá mayor precedencia será la del nivel dominio, por
lo que la GPO forzada de la OU tendrá un numero 2, y la GPO forzada a nivel dominio,
tendrá un 1

Vemos en la imagen como en la OU ComputerMAD, tenemos forzada un GPO, pero tiene

menor precedencia que la GPO 6425C que es a nivel de dominio. Primero se ejecutara la 2 y
luego la 1

12/51
También importante es que una GPO forzada se aplicara aunque en un nivel inferior se
aplique un bloqueo de herencia, aunque vemos que la GPO 5 ya no aparece, porque se ha
bloqueado, y como no está forzada, esta si la ha bloqueado

Delegacion de GPO

Vieja forma de delegación

Desde usuarios y equipos de Active

directory, tenemos una forma antigua de
delegar permisos a una OU, y es con el
asistente de delegación de permisos. En
el cual damos permisos a un usuario y le
damos una tarea delegada, entre la que se encuentra la “Manage Group Policy links”
además de generar RSoP

13/51
No es recomendable usar este método, ya que es difícil determinar que se hizo

Si vamos a los permisos de la OU vemos que se ha aplicado unos permisos especiales a la

OU

14/51
Y se ha reflejado en LA GPO. Como veremos, es mas fácil hacerlo desde GPMC y aplicarle el
permiso ahí

Nueva forma de dar delegación

Delegación a nivel de dominio

15/51
La creación de GPO a nivel de dominio. Esto significa que podemos crear GPO a nivel de
dominio o no podemos crear nada. GPMC nos proporciona una capa de delegación más
clara de quien puede crear GPO en el dominio. Lo podemos ver en la pestaña delegación
seleccionando el dominio, y en ella veremos los usuarios que pueden crear GPO en el
dominio. Usuario que añadamos aquí, podrá crear en todo lo que está bajo su nivel, es decir
en todas las OU

Los permisos son

Delegación a nivel de OU

Podemos delegar permisos también a través de la OU, y podrán aplicar GPO, RSoP alos
usuarios/grupos que estén aquí, tanto solo al contenedor, como a sus hijos

16/51
Permisos a GPO

Es diferente a los dos anteriores, son los permisos a la GPO en sí. Cuando creamos una GPO
por defecto se crea un permiso de lectura a los Authenticated users, para que todo el
mundo pueda leerla y procesarla si le atañe. También vemos que los Admins pueden
editarla y nodificarla.

Si queremos que algún usuario pueda modificar una GPO en concreto, le añadiríamos aquí,
el permiso de edición. También si quitamos a Authenticated Users, y esta GPO no la podría
procesar nadie que o fuera los administradores, que si están en los permisos

ACL

Cada GPO tiene un ACL que define los permisos a la GPO; Allow Read y Apply Group Policy,
tanto para los usuarios como computers. Este ACL se puede modificar en pestaña
delegación > botos avanzado, y aquí para evitar que se aplique una GPO a un usuario o
grupo ponemos en DENY el permiso Apply group Policy

17/51
Por ejemplo tenemos una GPO a la que solo se le aplique a grupo AD_Kiosk_Deploy, pero
denegar a un usuario que se le aplique esta GPO, que además este usuario forma parte del
grupo AD_Kiosk_Deploy

1. Agregar el grupo AD_Kiosk_Deploy en la pestaña Scope > Security filtering

2. Quitar los permisos a authenticated users, ya que es por defecto a todos. Lo podemos
hacer de 2 formas.
1. Eliminando el grupo de “security Filtering”
2. Editando el ACL (delegation > advanced) de “Authenticated users” y desmarcar el
permiso Apply group Policy (que no ponerlo en DENY)

1. Ahora para evitar que a un

usuario, que además es de este
grupo se le aplique la GPO,
editaríamos el ACL de la GPO-
Vamos a la pestaña delegación >
advanced

18/51
Le ponemos el permiso “Apply Group policy” en DENY. De esta forma, no se aplicara

Evitar a usuarios/grupos que se le aplique

GPO

Como vemos esta GPO la podrán leer usuarios

authenticados y los miembros del grupo
“AD_Client_Deploy”, que fue los que añadimos
en el scope., pero si pinchamos en el botón
avanzado vemos los permisos que se les aplica;
read y apply group po-licy

Desde aquí podemos acotar más permisos, y

hacer que a un usuario no le afecte esta GPO,
aunque este en el grupo con permisos.
Solamente añadiendo el usuario/grupo y
denegándole Apply group policy, a este usuario no se le aplicara.

La mejor practica Realmente lo mejor es crear un grupo que en el que meteremos los
usuarios que no queramos que se apliquen las GPO, de esta forma basta con añadir el
usuario a este grupo par ue la GPO no se aplique

PDC Emulator

El GPMC y GPME se conectan al controlador de dominio que tienen el rol PDC, y lo hace
para evitar que una única GPO pueda ser cambiada en 2 Domain Controller, por lo que solo
habrá un punto de replicación
19/51
Managing Site-Domian-OU GPO

Las GPO se aplican a Sitios, Dominio

y OU, y seleccionando alguno de
estos podemos ver el orden de
cómo se ejecutan y delegar
permisos para la creación de GPO.
Por ejemplo seleccionamos la OU
“Domain Controllers”. También
aplicable si seleccionamos el
dominio

Linked Group Policy Objects: Nos muestran en que orden se apicaran las GPO que
están en esta OU, y el orden. La que tiene más prioridad será la”1″, y se ejecutara al
final, es decir, primero la 2 y luego la 1

20/51
 Group Policy Inheritance: es el orden en el que se aplicaran todas las GPO que
hereda, y que de alguna manera, actuara soble esta OU. va desde la última a la
primera. la cual tendrá mayor prioridad, es decir, primero la “2” y luego la “1”.
El bloquear la herencia, bloquea las GPO que vienen del nivel de arriba, pero si una
GPO esta forzada, esta no se puede bloquear

Delegation: quien puede crear GPO. Lo suyo es ponerlo a nivel de dominio. Aquí
vemos los usuarios que tiene permisos para crear GPO

Los permisos son los siguientes, que se muestran, y si queremos que otros usuarios o
grupos tengan permisos para crear GPO lo añadimos conADD

21/51
Managing GPO individuales

Estas son las opciones disponibles cuando seleccionamos una OU

Scope: a quien se aplica la GPO. Authenticated Users implica que se aplica a usuarios y
maquinas de AD, ya que “Authenticated Users” son todos los objetos de Active
Directory

Detalles: vemos el UID de la GPO

22/51
Setting: Podemos ver que es lo que hace y a que afec ta la GPO

Delegation: quien puede acceder a la GPO y dar permisos para editar esta GPO en
concreto

23/51
RSOP

RSoP (Resultant Ser Of Policy) es una coleccion de herramientas que ayuda a evaluar y
solucionar problemas de aplicaciones de GPO.

RSoP puede consultar una maquina local o remota y determinar que GPo se han aplicado a
usuarios o equipos. A continuación mostramos las herramientas de RSoP

GROUP POLICY RESULT

Las GPO se actualizan cada 90-120 minutos. Esta opción vale para saber que directivas se
aplicar a un objeto, y de donde viene esa herencia.

Hace una consulta WMI a las maquinas remotas, por lo que necesita estos requerimientos

Tener permisos administrativos en la computadora destino

El servicio WMI debe estar arrancado en el equipo destino
El equipo destino debe ser mínimo un XP
Se debe permitir el acceso al equipo remoto por WMI, lo que implica que el equipo
tiene que estar conectado, conectado a la red y accesible a través de puerto 135 y 445
(WMI)
El usuario se debe haber logado al menos una vez, per no es necesario que el usuario
este logado cuando se hace la consulta

24/51
Para crearla:

Nos sale el asistente, seleccionamos la maquina a la que conectarnos

Elegimos el usuario a evaluar

25/51
Nos genera el informe

summary: Muestra el status del ultimo refresco, las GPO aplicadas denegadas, filtros
WMI y el status de CSE
setting: El conjunto resultante de las policy aplicadas a computadoras o usuarios.
Vemos lo que realmente se le ha aplicado al usuario
Policy events: muestra los eventos concernientes a las Group Policy

26/51
Podemos salvar el reporte, o ver una vista avanzada que nos muestra el GPMeditor con las
settings que tiene aplicado

Gpresult.exe

El comando gpresult es la versión de línea de comandos del asistente “ Group Policy Results“.

La sintaxis:

Gpresult <parámetros>

/s <computer> debe ir acompañada de r,z, v

/SCOPE <user | computer>
/r : muestra un resumen de RSoP
/v: modo verbose
/z: modo superverbose
/USER [domain\user] : especifica el nombr de usuario para el cual se aplicara el RSoP
/X <file>: exporta el resultado en formato xml
/H <file>: exporta el resultado en formato HTML

GPUPDATE

La sintaxis es gpupdate [/target:{computer | user]

27/51
Con GPUpdate /force analiza la máquina y usuario desde que le actualizo y NOS AVISA si
tenemos que reiniciar para que se apliquen, mientras que con GPUPDATE a secas, no nos
informa. Solo lo puede ejecutar el administrador

GROUP POLICY MODELING

Si movemos un usuario o equipo entre sitios, domino, OU, el ámbito de la GPO cambiara. El
“groip policy modeling” noss permite emular el impacto permitiéndome modificar los
atributos de los objetos. Lo que nos mostraría un RSoP por adelantado

Seleccionamos un DC

Seleccionamos por ejemplo una OU, o usuarios, así evaluara como quedaría en esa OU

28/51
Especificamos si queremos simular un loopback procesing y su modo, simular una red lenta
y el Sitio

Seleccionamos los grupos de seguridad para el usuario y computadora

29/51
Elegimos si deseamos que filtro WMI aplicar a la simulación del usuario o computadora

Empezara a procesar y nos saldrá el reporte como el otro wizard

30/51
Logs Policy Events

Microsoft también nos proporciona los logs de eventos que atañen a las GPO. tenemos

system log para buscar información de GPO, incluyendo errores creados por el Group
Policy Client

Application Log: captura eventos grabados por CES (client side extensions)

31/51
 Operational: es nuevo log, que tiene información sobre Group Policy Processing

Implementación de Software por GPO

Asignar: se instala de forma forzosa (opción disponible a Computers o users)

Publicar: el usuario lo podrá ejecutar cuando quiera (solo opción de usuario)

Podemos instalar la aplicación al hacer clic en un fichero de esa aplicación, no es necesario

que se instale en el inicio del sistema. Los MSI se pueden crear con la aplicación “msiexec”

También podemos instalar aplicaciones con los scritps (bat, cmd, EXE y cualquier ejecutable)

Los ejecutable iría a la politica.es script name pondremos el .bat,.exe

32/51
Vemos que ese guarda en la GPO

Anteriormente con Netlogon podíamos cargar scripts que, permita CMD, bat, vbs y que se
guardan en el recurso compartido NETLOGON y corresponde a la pestaña del usuario

33/51
EXPLORANDO GROUP POLICY SETTING

La Group Policy Setting, conocidas como directivas

están dentro de las GPO y se modifican con GPME y
tiene 2 categorias

Nodo Computer Configuration: se aplican a

computadoras al arrancar y pasados 90-120
minutos
Nodo User configuration: se aplica al hacer
logon y pasados 90-120 minutos

Software setting:

Nos permite instalar aplicaciones msi en nuestro entorno

Windows Setting

Name resolution policy :

configuración de DNS SEC, el del
DNS setting para Direct Access

34/51
Scripts extensión: permite los scriots de startup y shutdown en coomputers, y
logon/logoff en el nodo de usuarios. Cuando un equipo se apaga, el CSE aplica
primero es script log-off y luego el script shut-down

Security setting: Para configurar la seguridad; directivas de cuenta, accesos, NAP. Firewall

35/51
 Policy-Based QoS: Para administrar el
trrafico de red. Podemos asignar a una
aplicación más ancho de banda

Administratives Templates:

Son las políticas basada en el registro. Nos sirven para configurar el entorno del usuario y
equipo

36/51
PREFERENCIAS

Las preferencias son nuevas en W2008 y tienen un mecanismo llamado “ítem-level

targeting” que hace que podemos tener varias preferencias en una GPO

37/51
Al igual que WMI requiere el CSE ejecute una query para determinar si aplica o no la GPO,
por lo que consume recursos, sobre todo las consultas LDAP

Por ejemplo si creamos un Drive maps, en las propiedades podemos activar el ítem level
que hace que solo se aplique la preferencia a quien cumpla algunos

Para ello creamos un ítem de CPU speed y hará que la preferencia de mapear una unidad
de red solo se aplique a equipos cuyo procesador sean mayor de 1 Ghz

38/51
Por ejemplo podemos crear una preferencia con un ítem_level targering, para que cree una
“Folder option” con una configuración a un grupo llamado “AD_Client_deploy” y otra
configuración para otro Grupo

Estos serian las opciones a configurar creariamo 2 opciones dentro de Folder Option, cada
una con su configuración y en ítem, targering pondríamos un grupo u otro

39/51
Para el grupo AD-Client

Para el otro grupo

40/51
Consejos

Si una GPO solo se aplica por ejemplo a usuarios, es conveniente que detalles > GPO estatus
desactivemos la configurfacion de comoputers, ya que como no hay ninguna configuración,
evitamos que el Group Policy client intente procesarlo durante ela directiva de refrsco, asi
nos ahorramos algunos ciclos de reloj

Por defecto vista,XP y windows 7 relaizan refrescos en backgrouund durante el startup y el

Logon, con lo que el cliente arrancar, que no se haya cargado la red, y por lo tanto no reciba
las ultimas directivas desde el dominio, ya que lo ha cargado el background y al no haber
red no las detecta.

41/51
Para solucionar este problema es muy aconsejable cambir este comportamiento y activar la
configuración Always wait for network al computer startup and logon que se encuentra en
Computer configuration > Policies > administrative templates\system\logon

Esta directiva no afecta a computadoras que están desconectadas de la red. Si la

computadora detecta que no está desconectada, no espera a la configuración del sistema
de red

WMI FILTERS

El Filtro WMI es capaz de filtrar basándose en características como RAM, procesador, IP,
capacidad del disco, Sistema operativo, Service pack. Para añadir un filtro WMI, nos vamos
al contenedor correspondiente

42/51
En el botón ADD añadimos la sentencia.
Es similar a T-SQL y salvamos

Ahora nos vamos a una GPO y le aplicamos el filtro

43/51
Los filtros WMI no se ejecutan en W2000 server, Tienen un alto coste de rendimiento el
procesamiento de estos filtros WMI

Para saber todas las opciones WMI que hay

http://www.computerperformance.co.uk/powershell/powershell_wmi.htm

Get-WmiObject – List

44/51
Para acotar y buscar más

Get-WmiObject –List | where-object {$_.Name –like “Win*”}

Get-WmiObject –List | where-object {$_.Name –match “Win32”}

Para mostrar todas las propiedades den un nombre

Get-WmiObject Win32_Computersystem

Filtrar

Get-WmiObject
Win32_LogicalDisk -
filter “DeviceID = ‘c:’

Para sacar un listado

Get-WmiObject -List | Out-File WmiObject.txt

45/51
LOOPBACK POLICY PROCESSING

Por defecto la configuración de una GPO de usuario se le aplica al usuario,

independientemente de la maquina en la que esté conectado

Puede ser que queramos configurar un entorno de usuario diferentemente, dependiendo

de a que computadora está conectada. Por ejemplo que Pepe su configuración de usuario
habitual si está en su máquina de trabajo u otra distinta si está por ejemplo logado en una
sala de formación

Lo que hace es intentar mantener la configuración de una computadora (user & computer
setting) independientemente de quien se loguee.

Estas opción loopback policy processing es apropiada en entornos como classroom, áreas
de recepción, laboratorios. Ya que debemos tener control sobre su configuración
independientemente del usuario que se logue

Pasos:

1. Creamos una OU llamada “Clases-pc” que tendrán los equipos de las clases,
laboratorios, etc.
2. En esta OU creamos una GPO llamada “Aulas” > activamos la opción loopback policy
processing.
1. luego dentro de la misma GPO creamos las “user settings” y “computer setting“,
que queramos para las aulas. Las “user settings” funcionaran, ya que aunque en
la OU “Clases-PC” no hay usuarios, cuando un usuario se logue en estos equipo,
gracias a la loopback policy processing, se va a cargar las “user settings” de esta
GPO, y
opcionalmente, según este el modo, se mezclaran con las “user settings”
normales del usuario

46/51
Lo activamos y elegimos el modo

Replace mode: discrimina a favor de la “user setting” creadas para la máquina, y no

funcionaran las “user setting” normales del usuario. Útil en escenarios como aulas de
formación, en las que queremos el mismo entorno para todos
Merge: Se mezclan las 2 user settings, y si hay se duplican algunas directivas,
obviamente manda la de las loopback policy processing

Lo habitual es poner las máquinas de aulas en una OU

y por ejemplo, en ella creamos una directiva de
usuario que deshabilite mi pc y mismo sitios de red.

A parte, el usuario tendrá su configuración de GPO de

user setting habitual, que se mezclara a esta GPO para
las máquinas de clases, al cual le habremos creado su
configuración de equipo y además una configuración
de usuario que también afectara a los usuarios que se
conecten

Al logarse los usuarios, se aplicaran la user settings definida en la OU de las aulas

Como se procesan las GPO

Este es el proceso más detallado

1. Arrancamos el equipo, arranca la red y arranca los procesos RPCSS y MUP

47/51
 2. Arranca el Group policy Client que tienen todos los Windows.
3. El Group Policy Client obtiene una lista ordenada (Local gpo à sitioàdomainàOUà
Enforced) de GPO que afectan a la computadora y las procesa
4. Cada GPO la procesa basándose en el status (enabled|disabled) de la GPO de
computadoras y si la computadora tiene permisos de “Allow Group Policy” y si hay
filtro WMI
5. Si la GPO debe ser aplicada al sistema, el CSE (client side extensión) procesa la GPO
6. Cuando el usuario se loga se sigue el mismo proceso. El GPC obtiene una lista
ordenada de GPO que afectan al usuario y las procesa determinando si se le aplica o
no
7. Cada 90-120 minutos después del arranque del equipo se realiza un refresco para ver
si hay políticas y se realiza el proceso anterior
8. Cada 90-120 minutos después del logon, equipo se realiza un refresco para ver si hay
políticas y se realiza el proceso anterior

Slow Links and Disconnected system

El Group policy Client determina si el enlace al dominio debe considerarse lento, para evitar
por ejemplo que se aplique una GPO de instalación de software.

Esta determinación es determinada por cada CSE (client side extensión) para decidir si se
aplica la GPO o no. Para la extensión de software el umbnral es de 500 Nbps

A nivel de configuración de equipo está en Computer Configuration\Administrative

Templates\System\Group Policy\Group Policy slow link detection policy
A nivel de roaming profiles : Computer Configuration\Administrative
Templates\System\User Profiles\Slow network connection timeout for user
profiles

48/51
Ponemos el tamaño en KB

Este es el comportamiento de las CSE

Si un cliente esta desconectado de la red la configuración aplicada anteriormente pos la

group policy es la que se aplica, por lo que el usuario no se da cuenta si está o no en red.
Cuando se conecta a la red el Group Policy Cliente se levanta y empieza el proceso de
refresco de GPO

CIFRADO DE DATOS
49/51
El certificado con el que se cifra datos se crea la primera vez que se cifra datos (usa valores
como hora, minuto, segundo, passwrd) para crearse

Todo usuario que cifre datos y cambie la password , no podrá acceder a esos datos.

Con un agente de certificación en una GPO, cuando un usuario cifre datos, se cifrara con el
usuario y con el agente de recuperación, que es una clave maestro

Para solicitar un agente de recuperación

Desde la maquina del usuario que se permitirá cifrar y como administrador ejecutamos

cipher /R c:\ruta (generara dos archivos de agente de recuperación “cer” y “pfx”). el

CER es el agente de recuperación. El PFX (el certificado de clave privada)

Si estamos en grupo de trabajo, a nivel de maquina agregaríamos el certificado. Una vez

agregado el agente de recuperación, todo lo que se cifre el administrador puede acceder

A nivel de dominio, el administrador del dominio puede descifrar si tener agente de

recuperación. Un dato cifrado en una maquina en dominio, la única forma es hacer un
backup de sus datos (con windows server backup) , y restaurarlos en un controlador de
dominio.

50/51
Si en mi dominio nadie ha cifrado datos y hemos instalado una CA, el administrador pasa
ser agente de recuperación y las maquinas no solicitan certificados

En un dominio por defecto el usuario no puede usar EFS. Tipos de certificado

usuario: se instalan en IExplorer

maquina: se instalan con la consola mmc
servicios

Desde aqui puedo verlos y solicitarlos

Con una CA en dominio, podre tener certificados nivel maquina de muchas cosas (web,
VPN, etc..)

51/51