Best practices para las polticas y los perfiles

1
Best practices para las políticas y los perfiles

• AVANZADO II

2
Agenda

• Parte I
• Discusión sobre Perfiles
• CCS Best Practices
• Parte II
• Discusión sobre Políticas
• CCS Best Practices

3
Perfiles y PolíticasParte I
4
Visión General (Parte I)

• Qué es un perfil?
• Tipos disponibles de perfiles
• Estrategias de perfiles
• Preguntas

5
Qué es un perfil?

• Un perfil es una colección de los ajustes que
  contienen las preferencias del usuario y los
  ajustes de la configuración que ayudan a
  conformar el escritorio del usuario, las
  aplicaciones y los recursos disponibles.

6
Dónde están localizados los Perfiles?

• Se almacena localmente en tiempo de ejecución
• Windows 2000
• systemdrive
• \Documents and Settings
• \username
• NT 4.0 Domains
• systemroot
• \Profiles
• \username

7
Qué componentes tiene un perfil?

• Archivos y carpetas personales
• Cache
• Configuración
• Atajos
• Documentos
• Componentes del registro
• Ajustes del escritorio
• Ajustes de las aplicaciones
• Configuración de recursos
• Lockdowns de seguridad

8
Archivos de perfiles y carpetas

• Carpetas comunes de perfiles
• Temporary Internet Files
• Application Data
• My Documents
• Cookies
• Desktop
• Favorites
• Start Menu
• Recent
• Templates

9
Componentes del Registro

• Ntuser.dat
• Se guarda en formato binario
• HKEY_CURRENT_USER hive
• Key sections
• Control Panel
• Environment
• Software

10
Cómo se crea un perfil?
Se inicia el logon del usuario
Tiene el usuario un perfil que ya existe?
NO
SI
Default Profile se copia localmente
El perfil existente se copia localmente
Las carpetas de All Users se añaden
La copia local es activada


La copia local es activada
La User Shell se carga usando un loaded using
existing profile

La User Shell se carga usando un nuevo perfil
11
Asignar Perfiles

• Popularizar la ruta
• del perfil
• En Dominios NT 4.0 usar
• User Manager
• En Active Directory usar
• Active Directory Users and Groups
• Usar diferentes perfiles
• Workstations
• Terminal Services

12
Tipos disponibles de Perfiles

• Local Profiles
• Roaming Profiles
• Mandatory Profiles

13
Local Profiles
Los Local Profiles se almacenan
independientemente en cada servidor o sitio de
trabajo al que pueda acceder un usuario. Las
carpetas y los ajustes del registro son
específicos para cada servidor o sitio de trabajo.

• Ventajas
• Estable
• No configuración
• No tráfico de red
• Los ajustes personales se mantienen

• Desventajas
• No consistencia
• Consumo considerable de espacio en disco local

14
Roaming Profiles
Los Roaming Profiles se almacenan en un servidor
de ficheros central. Se descargan al dispositivo
local al hacer logon. Al hacer logoff, el
servidor de ficheros es actualizado con la copia
local.

• Desventajas
• Incrementa el tráfico de red
• Puede relentizar el tiempo de logon
• Control limitado del tamaño
• Susceptible a la corrupción

• Ventajas
• Mínima configuración
• Accesibilidad
• Los ajustes personales se mantienen
• Almacenamiento centralizado para facilitar el
  backup, la recuperación y la administration

15
Mandatory Profiles
Los Mandatory Profiles son perfiles de lectura
que se almacenan normalmente en un servidor de
ficheros central y se descargan al hacer logon.
Los múltiples usuarios pueden compartir el mismo
Mandatory Profile, ya que no se salva al hacer
logoff.

• Ventajas
• Se incrementa la consistencia
• Accesibilidad
• Pequeño tamaño
• Raramente se corrompe
• Más seguro

• Desventajas
• Ninguna persistencia

16
Estrategias de Perfiles
17
Análisis y Consideraciones

• Evitar Local Profiles
• Evaluar los requerimientos de las aplicaciones
• Necesitan diferentes ajustes?
• Evaluar los requerimientos de los usuarios
• Los ajustes cambian por usuario?
• Pueden guardarse?
• Plan para una expansión potencial
• Implementar una solución de perfil

18
Elegir la estrategia correcta

• Usar Mandatory Profiles si
• Los usuarios no necesitan ajustes personales
• La seguridad es una preocupación primaria
• Los tiempos de conexión o logon son clave
• El ancho de banda de la red es escaso
• Los perfiles no serán almacenados
• Si no
• Usar Roaming Profiles

19
CCS Best Practices

• Borrar los perfiles en caché local al hacer
  logoff
• Denegar la entrada o logon si el mandatory
  profile no está disponible
• Usar políticas para limitar el tamaño de los
  perfiles
• Usar la ruta del perfil
• \\FILESERVER\Profiles\username
• Más fácil para borrar perfiles
• Sólo requiere 1 punto compartido

20
Implementar un Mandatory Profile

• Obtener su fichero ntuser.man
• Comenzar con un archivo ntuser.dat preconfigurado
• Modificar como se desee usando regedt32.exe
• Renombrar como ntuser.man

21
Implementar un Mandatory Profile

• Almacenar de forma centralizada su perfil
• Colocarlo en un archivo read-only compartido
• Añadir la extensión .man a la carpeta
• Hace cumplir el mandatory profile

22
Preguntas?
23
Perfiles y PolíticasParte II
24
Visión General (Parte II)

• Qué son las Políticas?
• Tipos disponibles de Políticas
• Cómo se crean las políticas?
• Varias estrategias de políticas
• Preguntas

25
Qué son las Políticas?

• Las Políticas son las herramientas empleadas por
  Windows NT y Windows 2000 para configurar
  automáticamente los ajustes del usuario o del
  ordenador.
• Automatizan cambios a las secciones del usuario y
  de computadora del registro.

26
Por qué usar Políticas?

• Las políticas proporcionan una manera eficiente y
  automatizada de aplicar los ajustes de
  configuración a un gran número de servidores con
  una consistente base.
• Ayudan a restringir el acceso de usuario y a
  prevenir los daños intencionados o accidentales
  en los servidores MetaFrame Presentation.

27
Funciones comunes de las Políticas

• Restringir la actividad del usuario
• Denegar el acceso a Run y Control Panel
• Customizar los ajustes de las aplicaciones
• Desactivar AutoSave
• Estandarizar las sesiones de usuario
• Hacer cumplir las Preferencias corporativas
• Customizar los ajustes del servidor
• Establecer las propiedades Event Log

28
Tipos disponibles de Políticas

• Alcance
• La configuración del ordenador modifica HKLM
  hive
• La configuración del usuario modifica HKCU hive
• Plataformas
• Windows NT 4.0
• Policy Files
• Windows 2000
• Group Policy Objects

29
Políticas NT 4.0
30
Características Generales

• Creado/Modificado con System Policy Editor
• Contiene usuarios, ordenadores o grupos
• Asignado a
• NT 4.0 estaciones de trabajo y servidores
• Servidores Windows 2000 en dominios NT 4.0
• Guardados en ficheros .pol

poledit.exe
31
Aplicar las políticas por defecto de NT 4.0

• Default se guarda en NTCONFIG.POL
• Si existe, es usado por todos los servidores
• Se aplica a cada evento de logon interactivo

32
Windows 2000 Políticas de Grupo de objetos
33
Características Generales

• Group Policy Objects (GPOs) pueden
• Modificar los ajustes de registro
• Aplicar plantillas de seguridad
• Mejorar el rendimiento de las instalaciones de
  software
• Habilitar los scripts de logon y logoff
• Dos tipos
• Local Group Policies
• Active Directory Group Policies

34
GPOs Locales

• Cada servidor Windows 2000 tiene uno!
• Localización de la Política
• systemroot\system32\GroupPolicy
• Modificar usando gpedit.msc

35
Tenga cuidado!

• Las Políticas Locales se aplican por defecto a
  todos los usuarios. Esto puede prevenirse para
  ciertos grupos. Sin embargo, esto no está
  recomendado como best practice
• Para más información sobre este asunto, refiérase
  al artículo Q293655

36
Active Directory GPOs

• Solamente se aplica a servidores Windows 2000
• Reciben la más alta prioridad
• Creado/Modificado usando MMC snap-ins
• Active Directory Usuarios y Ordenadores
• Sites y Servicios
• Group Policy Editor
• Se almacenan de forma centralizada en AD
• Replicado via SYSVOL share
• Asignado a múltiples contenedores
• Sites
• Dominios
• OUs (Unidades de organización)

37
Orden y Herencia

• GPOs se aplican siguiendo un orden específico
• Si múltiples GPOs se asignan a uno de los
  contenedores de arriba, el GPO más alto en la
  lista toma precedencia

Site
Object OU
Domain
Parent OUs
38
Orden y Herencia

• Los contenedores Hijo heredan los ajustes del GPO
  de sus contenedores Padre
• Todos los GPOs que se aplican a un objeto
  determinan la Política Efectiva o Política
  Resultante
• Los ajustes de herencia pueden ser controlados
• Pueden ser evitados Block Inheritance
• Pueden ser forzados No Override
• No Override prevalece sobre Block Inheritance

Site GPO
Domain GPO

Resultant Policy
(No Run)
(No Help)
(No Run No Help)
39
Configurando sus GPOs

• Crear y editar usando MMC
• Active Directory Usuarios y Ordenadores
• AD Sites y Servicios
• Modificar permisos
• Usuarios
• Ordenadores
• Grupos
• Establecer el orden de GPO
• Habilitar, Deshabilitar o establecer los
  atributos de la política
• Configurar las reglas de Herencia

40
Proceso del Loopback

• Por defecto, los GPOs asociados con la
  localización del usuario son aplicados durante el
  logon a todas las estaciones de trabajo y
  servidores. Esto no es lo más óptimo para
  entornos con múltiples tipos de servidores.
• Sin embargo, el proceso de Loopback permite a los
  administradores asignar GPOs de usuarios
  específicos a servidores OUs para añadir
  flexibilidad.
• Dos métodos disponibles Merge o Replace

41
Proceso de Loopback en acción!
El usuario inicia su login
Site y el dominio GPOs son aplicados
Loopback habilitado?
NO
SI
Se aplican OU de las GPOs de usuarios
Modo Merge o Replace?
REPLACE
MERGE
Solo las GPOs de usuario se asocian con
servidores OUs y son aplicados
Los GPOs de usuario asociados con servidores OUs
y usuarios OUs son aplicados
Se lanza la User shell


Se lanza la User shell
Se lanza la User shell
42
GPOs contra Políticas NT 4.0

• GPOs
• Múltiples políticas pueden aplicarse a los
  contenedores
• Las políticas pueden ser combinadas
• Almacenadas y replicadas en AD
• Los ajustes no son permanentes
• Políticas NT 4.0
• Sólo una política por servidor
• Menos flexibilidad

43
Cómo se crean las Políticas?

• Las políticas se componen de múltiples plantillas
  administrativas que dictan atributos,
  descripciones, valores y la estructura de las
  políticas.

44
Plantillas ADM

• Clases
• Especificar la sección del registro a modificar

• Categorías
• Agrupaciones lógicas de la Política
• Representado por una carpeta

• Políticas
• Contiene agrupaciones de las modificaciones de
  registro

45
Varias estrategias de Políticas
46
Varias estrategias de Políticas

• Entorno NT 4.0 puro
• Deshabilita la política por defecto
  (ntconfig.pol)
• Crea un archivo separado de política para
  Terminal Servers
• Se guarda en netlogon share (si el archivo no se
  encuentra, el usuario entra sin ninguna política
  de restricción!)
• Entorno puro Windows 2000 AD
• Crea separados OUs para Terminal Servers
• Añade GPOs con el Loopback habilitado
• Entorno mixto
• Usuario de NT 4.0 con servidor Active Directory
• Servidor con NT 4.0 server con usuario Active
  Directory

47
CCS Best Practices

• GPOs separados del ordenador y del usuario
• Planear cuidadosamente la estructura de Unidades
  de Organización (OU)
• Añadir una Unidad de Organización Terminal Server
• Servidores de Grupo con roles similares en
  sub-OUs
• Habilitar el loopback
• Minimizar el tiempo de proceso
• Deshabilitar las porciones no usadas de las
  Políticas
• Borrar las plantillas ADM innecesarias
• Ejecutar el mínimo de GPOs
• Usar claves de registro de Políticas

48
Ejemplo de una estructura de Unidades de
Organización (OU)
49
Estructura GPO Terminal Server OU
At Startup
At Logon
50
Wrap-Up
51
Elementos que comunmente se pasan por alto

• Perfiles
• Fijar un perfil distinto del Terminal Server
• Hacer cumplir los Mandatory Profiles
• Habilitar la redirección de carpetas
• Políticas
• Políticas repetidas
• Herencia
• Permisos GPO
• Habilitar Loopback

52
Resumen

• Opciones discutidas de perfiles disponibles
• Estrategias favoritas de perfiles
• Hemos definido varios tipos de políticas
• Hemos analizado las plantillas ADM
• Hemos definido varias estrategias de políticas
• Hemos discutido sobre las Best Practices de CCS

53
Preguntas?