none
Consolidación de GPO RRS feed

  • Pregunta

  • Buenas tardes.

    Quisiera su apoyo con algunas dudas que tenga respecto al coorecto uso de GPO y a la restructuración/consolidación:

    -En el caso de eliminar una GPO; las politicas que se aplicaron en el usuario/equipo, se revierten y vuelven a la configuración predeterminada? o hay que crear una GPO adicional para revertir a los valores predeterminados??

    -En que casos se debe tener multiples GPOs?? o con una sola GPO puedo aplicar las configuraciones que se requieran sobre un mismo objeto? cual es la mejor estrategia.

    -La GPO default domain o default domain controllers; se deben tocar o es mejor crear otra GPO si se requiere hacer cambios como por ejemplo politicas de contraseña??

    -Existe algún método para consolidad GPOs?

    Y si tuviesen algunos links de ayuda; se los agradecería.

    Gracias.


    OrlandoP


    • Editado OrlandoP jueves, 22 de enero de 2015 21:16
    jueves, 22 de enero de 2015 20:07

Respuestas

  • Hola OrlandoP,

    El tema de las GPO digamos que es un asunto delicado, existen unas prácticas recomendadas en su uso y configuración, aunque lo que comento siempre es que cada entorno es un mundo, y lo que puede ser muy bueno para mi entorno, quizás no aporte nada de mejora en otro.

    Lo que está claro es que tus preguntas son muy acertadas, ya que las GPOs son muy importantes, tanto para securizar como para configurar los objetos (user/computer) de nuestro entorno, una mala gestión de ellas puede afectar muy negativamente al rendimiento de nuestro dominio en lineas generales.

    Contestando a tus preguntas:

    • Yo utilizo las Default Domain controllers para las configuraciones de Domain Controllers, y la default domain policy para establecer la politica de contraseñas de todo el dominio, y la configuración de seguridad. Luego si quiero establecer GPOs para configuraciones específicas de distribución de Software, Internet Explorer, Firewall ... no se cualquier otra cosa, si que utilizo una GPO específica y la enlazo a la OU que corresponda.
    • Consolidar GPOs ... eso requiere analisis, si ves que tienes 10 GPOs aplicando sobre elementos comunes como una OU específica puedes valorar el unificarlas o simplificar lo máximo posible.
    • Mi punto de vista es tener las mínimas GPOs posibles, pero también te digo que prefiero evitar los filtros de seguridad en la medida de lo posible, y los filtros WMI, salvo que sea necesario.  Soy partidario de aplicar la GPO sobre donde se va a utilizar, antes que enlazarla a nivel de dominio y restringir su aplicación con filtros, eso no es una buena práctica.
    • Hay algunas configuraciones que cuando las tocas por GPO se quedan de manera permanente, como algunas a nivel de computer, si la política local de máquina no escriba en esa configuración se suele quedar, un buen método para saber que se aplica en cada equipo es la herramienta Resultant Set of Policy RSOP.MSC te muestra todas las configuraciones que se aplican y a través de que ...si es por GPO o Local Policy.

    Te dejo unos cuantos links para que sigas leyendo y ver si te son de ayuda:

    http://www.grouppolicy.biz/2010/07/best-practice-group-policy-design-guidelines-part-2/

    https://technet.microsoft.com/en-us/library/cc779168(v=ws.10).aspx

    http://www.grouppolicy.biz/best-practices/

    http://blogs.technet.com/b/grouppolicy/archive/2010/01/25/gp-editorial-group-policy-best-practices.aspx

    https://technet.microsoft.com/en-us/library/cc754948(WS.10).aspx



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Propuesto como respuesta Moderador M viernes, 23 de enero de 2015 19:34
    • Marcado como respuesta Moderador M lunes, 26 de enero de 2015 15:21
    viernes, 23 de enero de 2015 8:46