PERFILES MÓVILES

Cuando creamos un perfil móvil, permitimos que los usuarios mantengan una experiencia coherente a lo largo de los equipos del dominio. Para ello tenemos que tener los siguientes elementos:

  • Una carpeta compartida en un servidor de archivos, con permisos totales para el grupo de usuarios cuyos perfiles móviles se vayan a almacenar.
  • Añadir una al perfil del usuario en Active Directory.
  • Reiniciar sesión con el usuario.

Supongamos que la carpeta compartida tiene como ruta UNC \\SRV\perfilmovil\. Para indicarle al cliente la ruta al perfil haremos lo siguiente:

Abrir la consola de "Usuarios y equipos de Active Directory". Dirigirse al usuario o usuarios cuyo perfil queremos hacer móvil, y hacer clic con el botón derecho del ratón. Abrir la pestaña "Perfil", añadir en la entrada de texto "Ruta de acceso al perfil" lo siguiente:

\\SRV\perfilmovil\%username%

Haciendo estos cambios, la próxima vez que iniciemos sesión, el usuario tendrá un perfil móvil.

Actividad 1. Para hacer esta práctica necesitarás:

  • tener una carpeta compartica en el controlador de dominio
  • un nuevo usuario llamado "usuariomovil"

Asigna al usuario "usuariomovil" un perfil móvil. Después inicia sesión con dicho usuario y comprueba que en la carpeta compartida ha aparecido una nueva carpeta con el perfil del usuario.

Toma una captura con el nombre Act1.1-gpo2.png donde se pueda ver la configuración del perfil. Después, toma otra captura llamada Act1.2-gpo2.png donde se pueda ver la carpeta que se ha creado en el servidor, durante el inicio de sesión del usuario.

EJECUTAR SCRIPTS MEDIANTE DIRECTIVAS DE GRUPO

Podemos ejecutar scritps de inicio y de apagado así como scripts de inicio y cierre de sesión, tal como hicimos en sistemas standalone, con una característica llamada WSH (Windows Script Host).

Para hacerlo, haremos lo siguiente:

  1. Desde la consola de administración de directivas de grupo, editamos la directiva a la que deseamos adjuntar un script.
  2. Nos dirigimos al nodo "Configuración del equipo\Directivas\Configuración de Windows\Scripts".
  3. Para trabajar con scripts de inicio, hacemos clic derecho sobre "Inicio" y elegimos "Propiedades". Si queremos trabajar con scripts de apagado, lo haremos sobre "Apagado".
  4. Hacemos clic sobre "Mostrar archivos". Entonces se abrirá el explorador de Windows en la carpeta donde deben alojarse los scripts para esta directiva. Podemos copiar a dicha carpeta el script deseado. Una vez copiado el script a dicha ubicación, podemos cerrar el explorador de Windows y podemos seguir con la ventana "Propiedades de inicio".
  5. Hacemos clic en "Agregar", y seleccionamos el script deseado. En el cuadro de texto "Nombre del script", escribimos el nombre del script.

En lo sucesivo se ejecutará el script durante el inicio.

Para borrar el script, segimos los siguientes pasos, pero en el paso 5. seleccionamos el script y elegimos el botón "Quitar".

Para que los scripts se ejecuten durante el inicio o cierre de sesión de todos los usuarios, haremos lo siguiente:

  1. Desde la consola de administración de directivas de grupo, editamos la directiva a la que deseamos adjuntar un script.
  2. Nos dirigimos al nodo "Configuración del usuario\Directivas\Configuración de Windows\Scripts".
  3. Para trabajar con scripts de inicio de sesión, hacemos clic derecho sobre "Iniciar sesión" y elegimos "Propiedades". Si queremos trabajar con scripts de apagado, lo haremos sobre "Cerrar sesión".
  4. Hacemos clic sobre "Mostrar archivos". Entonces se abrirá el explorador de Windows en la carpeta donde deben alojarse los scripts para esta directiva. Podemos copiar a dicha carpeta el script deseado. Una vez copiado el script a dicha ubicación, podemos cerrar el explorador de Windows y podemos seguir con la ventana "Propiedades de iniciar sesión" (o "Propiedades de cerrar sesión" en su caso).
  5. Hacemos clic en "Agregar", y seleccionamos el script deseado. En el cuadro de texto "Nombre del script", escribimos el nombre del script.

Actividad 2. Para montar una carpeta remotamente desde Windows, se puede usar el siguiente comando:

net use x: \\servidor\carpeta

En un tema anterior, creaste varias carpetas compartidas. Una de ellas se llamaba "Expedientes". Ahora supón que deseas que todos los usuarios de la OU "Contabilidad" tengan automáticamente montada la carpeta "Expedientes" como una unidad en red llamada T:. Implementa esta acción en AD mediante un script.

CAPTURA:

  1. Toma una captura llamada Act2.1-gpo2.png del script almacenado en su carpeta correspondiente del DC.
  2. Toma una captura llamada Act2.2-gpo2.png donde se pueda ver la unidad compartida montada en la cuenta del usuario.

INSTALACIÓN DE SOFTWARE A TRAVÉS DE DIRECTIVAS DE GRUPO

Instalar software en sistemas stand-alone es tedioso, tanto que el proceso nunca termina. Como ya vimos en su momento, los paquetes MSI permiten su instalación de manera desatendida. Para poder "desplegar" (del inglés "software deployment") el software tienen que cumplirse los siguientes requisitos:

  1. Una carpeta compartida (con los permisos adecuados) que contenga el software (paquetes msi necesarios).
  2. Una directiva aplicada a la OU o al dominio sobre el que se quiere desplegar el software.

Suponiendo que cumplimos ambas condiciones, el proceso a seguir es el siguiente:

  1. En la consola de administración de directivas de grupo, editamos la directiva a la que queremos asociar la instalación.
  2. Accedemos al nodo "Configuración del equipo\Directivas\Configuración de software\Instalación de software", y hacemos clic derecho sobre él y elegimos "Nuevo paquete".
  3. En el diálogo que aparece, accedemos a través de la ruta UNC a la carpeta compartida donde está el paquete MSI, y lo elegimos.
  4. Aparecerá un diálogo "Implementar software". Elegimos la opción "Avanzada". Comprobamos las opciones por defecto, aceptamos.
  5. Dentro del editor de directiva de grupo, expandimos el nodo "Configuración de usuario\Directivas\Configuración de software\Instalación de software". Hacemos clic derecho sobre él, y elegimos "Nuevo Paquete", y finalmente elegimos el paquete msi desde la ruta UNC (tal como hicimos en el paso 3).
  6. Debemos asegurarnos que el paquete aparece con el estado de implementación "Publicado".

Actividad 3. Puede que conserves alguno de los archivos MSI que creaste en el tema correspondiente. Realiza su publicación en la OU "Contabilidad" desde AD.

Toma una captura llamada Act3-gpo2.png donde se pueda ver el paquete de instalación listo para instalar en red.

REFRESCO DE LA DIRECTIVA DE GRUPO

Las directivas de grupo se aplican cuando una máquina renicia, y las directivas de usuario se aplican cuando un usuario inicia sesión. El perido de refresco para los controladores de dominio es de 5 minutos. Para el resto de máquinas, el periodo de refresco es cada 90 minutos, con hasta 30 minutos de variación para evitar sobrecarga en el controlador de dominio, con numerosas peticiones al mismo tiempo.

Podemos cambiar el periodo de refresco si se desea. La directiva asociada está en "Configuración del equipo\Plantillas administrativas\Sistema\Directiva de grupo", en concreto en la directiva "Intervalo de actualización de la directiva de grupo para equipos" e "Intervalo de actualización de la directiva de grupo para controladores de dominio".

Durante el refresco de la directiva de grupo, el cliente contacta con un DC disponible y comprueba si hubo cambios en las directivas. Si detecta algún cambio (lo que comprueba comparando el número de versión de cada directiva aplicable), deberán procesarse todas las directivas de nuevo, debido las relaciones de herencia e interdependencia entre directivas.

Las directivas de seguridad son refrescadas cada 16 horas.

COMPROBAR LAS DIRECTIVAS APLICABLES Y EL ÚLTIMO REFRESCO

Podemos comprobar las GPOs que se aplican a una máquina, a un usuario, y la última vez que se produjo un refresco. Para hacer esto, debemos ejecutar el asistente de resultados de directivas de grupo:

  1. Iniciamos la consola de administración de directivas de grupo. En el panel derecho, hacemos clic derecho sobre "Resultados de directivas", y elegimos la opción "Asistente para Resultados de directivas de grupo...".
  2. En el asistente, la primera pregunta es el equipo sobre el que queremos recabar información. Elegimos un equipo perteneciente al dominio.
  3. En el siguiente paso se nos pregunta por el usuario cuyas directivas queremos consultar. Elegimos uno de ellos.
  4. Finalmente, se nos muestra un resumen, tras el que podemos aceptar para generar el informe.

SI EL FIREWALL TE DA PROBLEMAS EN EL PASO ANTERIOR CON RPC...

Para que el DC pueda recoger información sobre la aplicación de las directivas de grupo, debe poder contactar con el servidor RPC del cliente. Para ello, debemos habilitar una regla en el firewall de windows que permita la administración remota via RPC.

El primer impulso de un usuario acostumbrado a los sistemas stand-alone, sería irse al firewall del cliente y configurarlo desde allí (lo cual no es una mala idea). Sin embargo, gracias a las GPO, podemos configurar el firewall de Windows del cliente desde el DC, a través de una GPO. Para hacer esto, podemos ir a una directiva aplicada al equipo objetivo, y seguimos los siguientes pasos:

  1. Editamos la directiva.
  2. Desplegamos el nodo "Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Firewall de Windows con seguridad avanzada\Firewall de Windows con seguridad avanzada\Reglas de entrada", y hacemos clic derecho sobre él y elegimos "Nueva regla".
  3. Elegimos la regla predefinida "Administración remota". A continuación vamos aceptando, asegurándonos de permitir las conexiones.
  4. Finalmente aparecerán las reglas en el panel derecho del editor de la directiva.
  5. Puesto que puede que la directiva tarde un poco en refrescarse, podemos hacer dos cosas: a) ir a prepararnos un cafelito y cuando volvamos reiniciar. b) Ejecutar en un símbolo del sistema elevado en el cliente el comando "gpupdate".
  6. Después de esto, deberíamos poder ver los resultados de directivas de grupo sin problemas.

NOTA: Si estás usando como cliente Windows XP, ejecuta este comando:

Netsh firewall set service RemoteAdmin

Fin.