none
Puesta en común GPOs que usáis de forma corporativa RRS feed

  • Pregunta

  • Hola

    He querido abrir este hilo, con el fin de que los profesionales del sector, podamos tener "un rinconcito" con ideas de políticas de grupos corporativas que puedan hacer la vida "más dificil" a nuestros usuarios. La idea es poner que GPOs usamos y si alguien no sabe como hacerlo que se le asesore.

    Yo empezaré con las que utilizamos:

    - Instalación de software cuando se arranca un equipo de dominio: Adobe Acrobat y Parche de compatibilidad Office
    - Configurar automáticamente Proxy en IE
    - Fondo de escritorio fijo de logo corporativo
    - Fondo de un color determinado
    - Poner vista de Windows XP en modo clásico
    - Configuración WSUS
    - Mensaje corporativo al iniciar sesión de respeto de LOPD

    ¿Alguien sabe como deshabilitar todos los juegos de menú inicio de una vez?

    ¿Algún manual con ejemplos y "todo lo que hay que saber de las GPOs"? sea digital o escrito

    Saludos
    jueves, 20 de agosto de 2009 11:36

Respuestas

  • Hola GoldFran,

    Bueno vamos por partes

    - Instalación de software cuando se arranca un equipo de dominio: Adobe Acrobat y Parche de compatibilidad Office
    Tienes la opcion de generar tus prpios paquetes y aplicarlos via policy para el equipo en general o un usuario en particular.
    Personalmente utilizo un logon script que verifica si (por ejemplo) Acrobat Reader se encuentra instalado y en el caso que no se encuentre lo instale. Hay mucho trabajo por delante con esos scripts ya que cada version nueva significa un nuevo esfuerzo para que todo funcione.

    - Configurar automáticamente Proxy en IE
    Tambien tienes configuracion por equipo y/o usuario
    Por Equipo en plantillas administrativas (Internet Explorer)
    Por Usuario en Mantenimiento de Internet Explorer

    Para estos tres (temas - coloridos y fondo de pantalla) te sugiero generar un tema y guardarlo en un share , luego puedes aplicar la policy que se encuentra en la siguiente ruta:
    Configuracion de usuario/Plantillas administrativas/Panel de control/pantalla/Temas de escritorio/cargar un archivo especifico visual o forzar tema clasico.

    - Fondo de escritorio fijo de logo corporativo
    Por usuario en plantillas administrativas

    - Fondo de un color determinado
    Por usuario en plantillas administrativas

    - Poner vista de Windows XP en modo clásico
    Por usuario en plantillas administrativas - Menu inicio y barra de tareas - Forzar menu Clasico

    - Configuración WSUS
    Por Equipo en plantillas administrativas (Windows Update)

    - Mensaje corporativo al iniciar sesión de respeto de LOPD
    Inicio de sesión interactivo: Titulo / texto del mensaje para los usuarios que intentan iniciar una sesión (son 2 items)

    Por ultimo tienes una planilla de Excel para descargar desde el sitio de Microsoft con todas las politicas (en ingles)
    Por lo menos para tener una vision general de lo que puedes ir haciendo.

    http://www.microsoft.com/downloads/details.aspx?familyid=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en

    Saludos
    Juan Barles - SECT IT Global Services
    jueves, 20 de agosto de 2009 12:52

Todas las respuestas

  • Hola GoldFran,

    Bueno vamos por partes

    - Instalación de software cuando se arranca un equipo de dominio: Adobe Acrobat y Parche de compatibilidad Office
    Tienes la opcion de generar tus prpios paquetes y aplicarlos via policy para el equipo en general o un usuario en particular.
    Personalmente utilizo un logon script que verifica si (por ejemplo) Acrobat Reader se encuentra instalado y en el caso que no se encuentre lo instale. Hay mucho trabajo por delante con esos scripts ya que cada version nueva significa un nuevo esfuerzo para que todo funcione.

    - Configurar automáticamente Proxy en IE
    Tambien tienes configuracion por equipo y/o usuario
    Por Equipo en plantillas administrativas (Internet Explorer)
    Por Usuario en Mantenimiento de Internet Explorer

    Para estos tres (temas - coloridos y fondo de pantalla) te sugiero generar un tema y guardarlo en un share , luego puedes aplicar la policy que se encuentra en la siguiente ruta:
    Configuracion de usuario/Plantillas administrativas/Panel de control/pantalla/Temas de escritorio/cargar un archivo especifico visual o forzar tema clasico.

    - Fondo de escritorio fijo de logo corporativo
    Por usuario en plantillas administrativas

    - Fondo de un color determinado
    Por usuario en plantillas administrativas

    - Poner vista de Windows XP en modo clásico
    Por usuario en plantillas administrativas - Menu inicio y barra de tareas - Forzar menu Clasico

    - Configuración WSUS
    Por Equipo en plantillas administrativas (Windows Update)

    - Mensaje corporativo al iniciar sesión de respeto de LOPD
    Inicio de sesión interactivo: Titulo / texto del mensaje para los usuarios que intentan iniciar una sesión (son 2 items)

    Por ultimo tienes una planilla de Excel para descargar desde el sitio de Microsoft con todas las politicas (en ingles)
    Por lo menos para tener una vision general de lo que puedes ir haciendo.

    http://www.microsoft.com/downloads/details.aspx?familyid=7821C32F-DA15-438D-8E48-45915CD2BC14&displaylang=en

    Saludos
    Juan Barles - SECT IT Global Services
    jueves, 20 de agosto de 2009 12:52
  • Hola

    Pues tengo otro problemilla con una GPO

    Al instalar por ejemplo la compatibilidad con Office, cargo la GPO en la OU de equipos. Arranco el equipo y se empieza a instalar pero luego cuando se inicia sesión en panel de control no aparece y no puedo abrir documentos de office 2007

    En mi enterno de prueba tenía la OU aplicada a un usuario no a equipos... Y el usuario de pruebas era administrador de máquina, no se si influye algo de esto
    lunes, 24 de agosto de 2009 12:06
  • Hola,
    1) Descompacta el instalador de Office 2007 Compatibility Pack
    FileFormatConverters.exe /extract:C:\temp_dir
    2) Muevelo (todo los archivos q se descompactaron) a un share accesible para los equipos donde instalaras
    3) Carga la politica en la seccion de instalacion de software por equipo seleccionando el .msi que se encuentra dentro del share como asignada (valor por defecto para el equipo)
    COn eso deberia funcionar normalmente.

    Saludos
    Juan Barles - SECT IT Global Services
    lunes, 24 de agosto de 2009 14:09
  • Hola,
    1) Descompacta el instalador de Office 2007 Compatibility Pack
    FileFormatConverters.exe /extract:C:\temp_dir
    2) Muevelo (todo los archivos q se descompactaron) a un share accesible para los equipos donde instalaras
    3) Carga la politica en la seccion de instalacion de software por equipo seleccionando el .msi que se encuentra dentro del share como asignada (valor por defecto para el equipo)
    COn eso deberia funcionar normalmente.

    Saludos
    Juan Barles - SECT IT Global Services
    Hola

    Todo eso estaba echo, compartir en el sysbol creo o alguno de estos de active directory, osea accesible para todos, y desempaquetado claro...

    La GPO está asignada a una OU de equipo no de usuario... no se si es que tiene que estar en la OU de usuarios y de equipos o ser administradores...
    lunes, 24 de agosto de 2009 14:31
  • Hola,

    Tiene que estar en una OU donde alojas los equipos y la politica tiene que estar creada en la configuracion de equipo/instalacion de software.
    No te recomiendo que utilices los shares de Active Directory para realizar las instalaciones o para distribuir paquetes. Todo lo contrario, evita manosear esos shares, mejor utilizar algun share especifico dentro de algun file server para las instalaciones administrativas.

    Saludos
    Juan Barles - SECT IT Global Services
    lunes, 24 de agosto de 2009 15:55
  • Ok gracias

    Mañana miro que la política esté aprobada en la OU de equipos y no de usuarios y intento crear en el file server una carpeta compartida con permiso a usuarios de dominio y listo

    Influye lo de la instalación en que no sean usuarios administradores locales?
    lunes, 24 de agosto de 2009 16:15
  • Hola,

    No no influye, la politica se aplica con usuario de sistema.
    Para ver si realmente estan aplicadas y cual politica puedes utilizar el comando gpresult.exe desde la linea de comandos.
    http://www.microsoft.com/windowsxp/using/setup/expert/gpresults.mspx

    Tambien es interesante ya que puedes utilizarlo en forma remota para validar otros equipos en la red.

    Saludos
    Juan Barles - SECT IT Global Services
    lunes, 24 de agosto de 2009 16:25
  • Hola,

    No no influye, la politica se aplica con usuario de sistema.
    Para ver si realmente estan aplicadas y cual politica puedes utilizar el comando gpresult.exe desde la linea de comandos.
    http://www.microsoft.com/windowsxp/using/setup/expert/gpresults.mspx

    Tambien es interesante ya que puedes utilizarlo en forma remota para validar otros equipos en la red.

    Saludos
    Juan Barles - SECT IT Global Services
    Hola

    He probado el gpresult y si que dice que está cargada la política pero por alguna extraña razón no se aplica... Cuando enciendo el equipo dice instalando el paquete pero nada...

    Estoy por crear una carpeta compartida en el server file y agregar el MSI...

    - ¿Hay que compartir la carpeta o solo dar permisos en seguridad a usuarios de dominio?
    - ¿Los netlogon y sysbol no son replicados verdad? Es decir, el que esté activo, si se cae, no tiene el contenido de otro DC...
    - Es posible que para instalarse necesite tener algún permiso especial la carpeta compartida?

    Saludos
    martes, 25 de agosto de 2009 7:08
  • me da una serie de errores en el visor de eventos de los clientes

    iD suceso: 102
    Error de la instalación de la aplicación Paquete de compatibilidad para 2007 Office system de la directiva Office_2007-2003. El error fue: El origen de instalación para este producto no está disponible. Compruebe que el origen existe y que tiene acceso a él. .

    iD suceso: 108
    Error al aplicar cambios a la configuración de la instalación del software.  No se pueden aplicar los cambios al software. Debe existir una entrada previa del registro con detalles. El error fue: El origen de instalación para este producto no está disponible. Compruebe que el origen existe y que tiene acceso a él.

    iD suceso 185
    No se puede ejecutar la extensión del lado cliente de la Directiva de grupo Instalación de software. Busque cualquier error del que esta extensión haya informado anteriormente.
    martes, 25 de agosto de 2009 11:47
  • Hola,

    No no influye, la politica se aplica con usuario de sistema.
    Para ver si realmente estan aplicadas y cual politica puedes utilizar el comando gpresult.exe desde la linea de comandos.
    http://www.microsoft.com/windowsxp/using/setup/expert/gpresults.mspx

    Tambien es interesante ya que puedes utilizarlo en forma remota para validar otros equipos en la red.

    Saludos
    Juan Barles - SECT IT Global Services
    Hola

    He probado el gpresult y si que dice que está cargada la política pero por alguna extraña razón no se aplica... Cuando enciendo el equipo dice instalando el paquete pero nada...

    Estoy por crear una carpeta compartida en el server file y agregar el MSI...

    - ¿Hay que compartir la carpeta o solo dar permisos en seguridad a usuarios de dominio?
    - ¿Los netlogon y sysbol no son replicados verdad? Es decir, el que esté activo, si se cae, no tiene el contenido de otro DC...
    - Es posible que para instalarse necesite tener algún permiso especial la carpeta compartida?

    Saludos

    Hola,

    La carpeta compartida tiene que tener permisos NTFS (seguridad de archivos) para los Usuarios Autenticados o Authenticated Users, ese sos errores que se presentan abajo es porque la cuenta de MAQUINA no tiene permisos para leer el share, entonces agregando el permiso para el grupo Usuarios Autenticados en el share estarias agregando los permisos para las maquinas, ya que por defecto todos los objetos Computadoras son miembros de ese grupo, y la instalacion se hace con las credenciales del equipo durante el boot.

    De Netlogon y Sysvol, ellos se replican entre si por el servicio de replicacion de archivos. En forma independiente al share que estas creando.

    Como anegdota, una vez en una empresa muy muy grande y con mucha seguridad de por medio, los usuarios descubrieron que podian "escribir" en NETLOGON y SYSVOL y asi pasar archivos, peliculas y lo que te imagines de una localidad a otra con el costo del vinculo que los unia. Por eso siempre hay que prestar atencion a no manosear mucho los shares de sistema
    , en este caso se les escapo el tema de los permisos que venian en aquella epoca por defecto "todos leen / todos escriben" al levantar los Domain Controllers.
    Saludos
    Juan Barles - SECT IT Global Services
    martes, 25 de agosto de 2009 13:04
  • Hola

    Vamos a ver... he probado lo siguiente:

    - Creo una carpeta compartida
    - En la pestaña de seguridad (no en la de permisos) tengo usuarios autentificados donde doy todos los permisos escepto control total
    - hago la política de grupo apuntando a este enlace
    - creo una OU con el equipo de pruebas
    - En la máquina de prueba hago un gpupdate /force /boot

    Reinicia y pone "instalando paquete de compatibilidad...) pero luego no se instala nada

    Hay que cambiar también permisos o delegaciones en la GPO?
    martes, 25 de agosto de 2009 15:42
  • Hola,

    Intenta lo siguiente:

    Dentro de propiedades de la carpeta que estas shareando, ve a seguridad y agrega el equipo (donde dice tipo de objetos click en el boton para buscar tambien equipos), luego asignale el permiso de lectura al equipo con eso es suficiente.

    La GPO tuene que estar aplicada en la OU donde vas a instalar el paquete y tu equipo de pruebas dentro de esa OU, no es necesario modificar los valores por defecto.

    Verifica luego si tienes algun evento de Warning o Error en el System y Application log

    Veremos que sucede

    Saludos
    Juan Barles - SECT IT Global Services
    martes, 25 de agosto de 2009 15:49
  • nada, los mismos errores que cité arriba, de no tener acceso... es absurdo todo esto cuando el equipo en concreto tiene acceso de todo escepto control total
    martes, 25 de agosto de 2009 16:47
  • alguna idea? que desesperacion por favor :s
    jueves, 27 de agosto de 2009 7:00
  • Hola

    Ya está solucionado, problema de lo más estúpido como siempre:

    Según este manual: http://support.microsoft.com/default.aspx/kb/887405/es hay que crear la carpeta compartida con Administrador de dominio y agregar en permisos NTFS a usuarios autentificados, administradores y usuarios de dominio

    Yo no creé el recurso compartido con usuario Administrador

    Saludos
    jueves, 27 de agosto de 2009 12:25
  • Hola GoldFran,

    Me alegra se haya solucionado.
    Acabo de realizar un test en un equipo con el paquete .
    Mi share
    \\SISTE05\SOPORTE          D:\SOPORTE       -          Read

    Permisos NTFS:
    D:\SOPORTE\OFFICE\FileFormatConverters_ES\O12Conv.msi
    MYDOM\JBarles:F
    NT AUTHORITY\SYSTEM:F
    BUILTIN\Usuarios:R

    Verifique los sucesos y tambien el famoso agregar quitar programas y estaba todo correcto

    App Event ID 301 - Source: Application Management
    La asignación de la aplicación Paquete de compatibilidad para 2007 Office system de la directiva Software Install fue exitosa.

    Por ultimo no se si en tu busqueda, llegaste a pasar por este sitio muy completo de scrips para instalar los tipos de aplicaciones que te imagines http://www.appdeploy.com/


    Saludos


    Juan Barles - SECT IT Global Services
    jueves, 27 de agosto de 2009 13:45
  • Hola GoldFran,

    Me alegra se haya solucionado.
    Acabo de realizar un test en un equipo con el paquete .
    Mi share
    \\SISTE05\SOPORTE          D:\SOPORTE       -          Read

    Permisos NTFS:
    D:\SOPORTE\OFFICE\FileFormatConverters_ES\O12Conv.msi
    MYDOM\JBarles:F
    NT AUTHORITY\SYSTEM:F
    BUILTIN\Usuarios:R

    Verifique los sucesos y tambien el famoso agregar quitar programas y estaba todo correcto

    App Event ID 301 - Source: Application Management
    La asignación de la aplicación Paquete de compatibilidad para 2007 Office system de la directiva Software Install fue exitosa.

    Por ultimo no se si en tu busqueda, llegaste a pasar por este sitio muy completo de scrips para instalar los tipos de aplicaciones que te imagines http://www.appdeploy.com/


    Saludos


    Juan Barles - SECT IT Global Services

    Hola

    Si, es que yo creo que la clave a estado en que este tipo de cosas hay que hacerlas con usuario con permisos en dominio, no con un "vulgar" usuario. Una tontería como esta te complica la vida mucho. Ahora etngo un par de preguntillas:

    - Para aplicar el parche de Compatibilidad de Office, lo tengo que hacer en 3 sedes de casi 1.000 trabajadores, como aplicar toda la GPO sería un "suicidio", creo que lo suyo es aplicarlo con un intervalo de 1 semana por cada aplicación en una sede, y también colgar el MSI en cada servidor local para no saturar las comunicaciones ¿Que pensáis?

    Por otra parte...

    - Tengo una GPO que modifica que se quite el fondo de escritorio. Hay personas que quisieran cambiar ese color de fondo, y poner windows en vista clásica... Con "ejecutar como..." en el icono de pantalla pueden acerlo pero al reiniciar se le vuelvo a vista xp y color de fondo azul normal. ¿Que permisos necesitan esos usuarios para que se queden lso cambios guardados?
    viernes, 28 de agosto de 2009 6:40
  • Hola GoldFran,

    Puedes realizarlo de distintas formas dependiendo de como tienes organizadas tus OU, o si existe la posibilidad utilizar SMS Server que trabaja con el servicio BITS y no te provocaria una notoria baja en la performace de la red.
    De la forma que comentas puedes crear nuevas OU e ir moviendo clientes en base a la experiecia que obtengas de los primeros resultados.
    Por ejemplo:

    +DOM
    \Computadoras >>>> Aqui tienes los equipos actualmente
    \OU_GOLD_1(Creadas por ubicacion fisica o departamento) >>> Aqui van a parar los objetos computadoras de a grupos de xx cantidad
    \OU_GOLD_2
    \OU_GOLD_3

    En tu caso si moveria objetos y esperaria el resultado dado que vas a copiar por red 28GB aproximadamente en el horario en que ingresan a las oficinas los usuarios.
    Si tus links son todos 10/100, me arriesgaria a hacerlo de a grupos de 200 maquinas.

    Lo del color de fondo lo puedes solucionar creo yo si entendi con un filtro WMI. Si no estas dentro del lenguaje puedes bajarte la herramienta de Microsoft WMI Code Generator.

    El filtro seria algo como:
    root\CIMV2

    SELECT * FROM Win32_UserAccount WHERE Name = "name"

    o

    SELECT * FROM Win32_ComputerSystem WHERE UserName <> "domainName\UserName"

    Dependiendo como quieras filtrar.

    Saludos
    Juan Barles - SECT IT Global Services
    viernes, 28 de agosto de 2009 14:03
  • Hola

    Al final lo haremos de forma escalada sin ningún tipo de problemas.

    Por otra parte algunos equipos se me han desactivado el "cambio automático de verano", no se si es por culpa de políticas o no... ¿Os suena esto?

    La gestión de esto se hace a través de equipos entiendo
    lunes, 7 de septiembre de 2009 11:02
  • Hola

    Para crear mapeos de carpetas en el escritorio, ¿Se hace a través de script o de política?
    jueves, 17 de septiembre de 2009 7:36