none
Filtrar política por IP RRS feed

  • Pregunta

  • Buenas,

    Estoy en el caso de una empresa grande que tiene pequeñas oficinas con 10 pcs, por lo que no es interesante ponerles un servidor de dominio pero tampoco puedo pedirles que se cojan los datos (distribución de software) de mi oficina central por su lenta conexión. Por ejemplo ahora estoy valorando distribuir el reader que ocupa 100 megas, y esas pequeñas oficinas tienen adsl de 2 megas o cosas parecidas.

    Para la actualización de los antivirus tengo un equipo de distribución allí instalado que hace de repositorio del antivirus y así dejo más libre la salida a internet. De pasó aproveché el equipo para distribuir las aplicaciones que teniamos por script (a los usuarios de la oficina les creé un script particular que montaba una unidad particular).

    El problema es que ahora la distribución la hago por site, y así conseguir que el resto de centros (100-150 usuarios) que tienen su propio servidor instalen la versión de su servidor, pero los equipos que no estan en su site logan contra los Servicios Centrales y por mucho que he buscado no veo una opción de filtrar WMI por IP (que creo que habría sido la opción más sencilla) y así conseguir una solución más limpia.

    Mi pregunta es como haríais para distribuir a los equipos de esas oficinas más pequeñas para que se actualicen del equipo de distribución que tenemos allí.

    Muchas gracias
    lunes, 30 de marzo de 2009 13:33

Respuestas

  • Si creas un sitio para las oficinas pequeñas y le asocias la subred, algún controlador de dominio se va a anotar para cubrir ese sitio. Va a depender del costo del Link que pongas, ya que lo hará el de menor costo.

    Muy importante a tener en cuenta es que si el enlace es lento, por omisión hay partes de la GPO que no aplicará, entre ellas justamente la de instalación de aplicaciones, ya que eso no es conveniente.
    En la propia GPO puedes definir "qué es lento", por omisión toma 500Kbps, pero hay que ver qué sucede cuando son varios equipos que se conectan simultánemente.

    Este valor de 500kbps es configurable, lo mismo que las partes de la GPO que aplicará.

    Raro que siendo una organización grande, con varios sitios, el primer nivel de OUs no sean los sitios

    Para automatizar que los usuarios no sean administradores locales, revisa la opción Restricted Groups de la GPO. Todo usuario que *no esté incluido* automáticamente lo removerá ;-)

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    • Marcado como respuesta Bolita martes, 7 de abril de 2009 10:23
    miércoles, 1 de abril de 2009 21:43
    Moderador

Todas las respuestas

  • No comprendo bien el escenario, pero se me ocurren dos ideas.

    Una es que enlaces las GPOs a Sitios, indicando que vayan al servidor local para la instalación.

    La otra es montar DFS que replique. Aunque la ventaja de esto depende de varios factores, por ejemplo, no es lo mismo W2003 que W2003R2, ya que este último usa copia diferencial. También depende si lo normal, es actualizar archivos o son archivos nuevos.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    martes, 31 de marzo de 2009 17:28
    Moderador
  • Hola Guillermo,

    Ya hago la distribución por site (hice tres GPOs por site (una para los XP, otra para los Vista y otra para ambos sistemas para evitar que se aplique a los servidores)). El problema es que los equipos que se encuentran en oficinas pequeñas (10-15 pcs, con conexiones adsl 2 megas) se logan contra el site principal, supongo que esos equipos ejecutaran la GPO del site principal. Si fueran solo políticas normales no pasa nada, pero cuando voy a distribuir el software (ahora estoy planteando pasar el acrobat reader a todo el dominio y son 100 megas) pues esas pequeñas conexiones se saturaran.

    En esas oficinas pequeñas tengo un pequeño ordenador que usaba/uso para pasarles los programas que instalamos y el antivirus (como repositorio), y así sobrecargar menos la red.
    Hasta ahora lo que hacía era en Usuarios y Equipos les montaba las unidades genéricas a su carpeta de distribución que replicaba a ese pc de su oficina con un script particular para ellos y después lanzaba las actualizaciones hacia esa ruta.

    Mover los equipos de una OU a otra es una locura, como organismo grande que somos ya me resulta muy difícil tener a la gente bien organizada por lo que mover los equipos es imposible a corto plazo (si consigo que esté todo bien arregladito podré dedicarle tiempo a esa faceta), antes me gustaría poder arreglar el tema de los usuarios administradores que considero fundamental, de ahí que tenga que ir arreglando el AD y poder quitarles ese poder.

    Muchas gracias,
    Lucía
    miércoles, 1 de abril de 2009 7:20
  • Se nos acaba de ocurrir otra idea que podría complementar muy muy bien. Para llegar a todas las oficinas pequeñas y muy pequeñas (1-2 equipos) es crear un site solo para las ips que no sean de ningun otro site. Eso nos permitiría poder pasar a todos esos equipos que casi nos resulta imposible acceder, pequeñas distribuciones, wsus y ramas de politicas imprescindibles para nuestro centro.

    Ahora solo falta plantear un poco el escenario. Y ponernos con eso. Aunque me seguiría interesando algun filtro para poder aprovechar esos pcs de distribución que tenemos en nuestras oficinas medianas.

    Muchas gracias,
    Lucia
    miércoles, 1 de abril de 2009 7:44
  • Si creas un sitio para las oficinas pequeñas y le asocias la subred, algún controlador de dominio se va a anotar para cubrir ese sitio. Va a depender del costo del Link que pongas, ya que lo hará el de menor costo.

    Muy importante a tener en cuenta es que si el enlace es lento, por omisión hay partes de la GPO que no aplicará, entre ellas justamente la de instalación de aplicaciones, ya que eso no es conveniente.
    En la propia GPO puedes definir "qué es lento", por omisión toma 500Kbps, pero hay que ver qué sucede cuando son varios equipos que se conectan simultánemente.

    Este valor de 500kbps es configurable, lo mismo que las partes de la GPO que aplicará.

    Raro que siendo una organización grande, con varios sitios, el primer nivel de OUs no sean los sitios

    Para automatizar que los usuarios no sean administradores locales, revisa la opción Restricted Groups de la GPO. Todo usuario que *no esté incluido* automáticamente lo removerá ;-)

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    • Marcado como respuesta Bolita martes, 7 de abril de 2009 10:23
    miércoles, 1 de abril de 2009 21:43
    Moderador
  • No me fio :-)
    Aunque quizás...

    Revisa la contestación anterior
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    miércoles, 1 de abril de 2009 21:44
    Moderador