Administración Remota mediante Política de Grupo

Para permitir la administración remota a equipos dentro del dominio podemos definir una Política de Grupo:

Configuración del Equipo – Directivas – Plantillas administrativas – Componentes de Windows – Administración remota de Windows (WinRM) – Servicio WinRM

 

Configuración del equipo – Directivas – Plantillas administrativas – Red – Conexiones de red – Firewall de Windows – Perfil de dominio

Habilitamos «Firewall de Windows: Permitir excepción de administración remota entrante» e indicamos la IP desde la que se puede gestionar o asterisco «*» para cualquiera

Por último añadimos una regla en el firewall: Configuración del equipo – Configuración de Windows – Configuración de seguridad – Firewall de Windows con Seguridad Avanzada – Reglas de entrada

Añadimos una nueva predefinida: «Administración remota de windows»

Configuración de equipo – Preferencias – Configuración del Panel de control – Servicios

Nos aseguramos que «WinRM» se inicie con el sistema:

Almacén central de políticas de grupo

Los controladores de Directorio activo de forma prederminada no replican el contenido de la carpeta de definición de políticas de grupo para Windows c:\Windows\PolicyDefinitions Esta carpeta contine los ficheros necesarios para crear políticas de grupo de acuerdo al nivel funcional del dominio.

Si queremos ampliar estas características con más plantillas o actualizaciones de las mismas, por ejemplo administrar una nueva característica de Windows 10 desde un directorio con nivel funcional Windows Server 2012, debemos mantener actualizada esta carpeta en todos los servidores.

Debemos copiar (importante COPIAR, no mover) desde el directorio predeterminado del servidor a la carpeta SYVOL disponible y sincronizada

Copiamos la carpeta C:\Windows\PolicyDefinitions al nuevo destino: C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions

De tal manera que seguiremos disponiendo de los plantillas actuales, a las que podremos añadir nuevas ADMX para gestionar software nuevo o actualizado:

Con los ficheros ADMX de Office 2016 dentro de nuestra carpeta compartida nos aparecerían las nuevas opciones de administración:

Con los ficheros ADMX para Google Chrome:

Asignación de permisos sobre carpetas mediante políticas de grupo

Dentro de un contexto de seguridad restringido/limitado, en ocasiones es necesario asignar permisos adicionales sobre algunas carpetas. Por ejemplo con directorios temporales, carpetas de fuentes… con los usuarios de un dominio podemos realizado mediante la política de grupo (GPO) siguiente:

Configuración del equipo / Directivas / Configuración de Windows / Configuración de seguridad / Sistema de archivos

Con el botón derecho agregamos una nueva carpeta o fichero, en este caso hemos optado por el directorio temporal de Windows, de forma predeterminada rescata los permisos actuales permitiendo propagar o reemplazar los cambios que necesitemos.

Ocultar unidades de Mi PC

En ocasiones por seguridad y/o dificultar el acceso no autorizado a ciertos accesos es conveniente no mostrar algunas de las unidades. En este caso mostraremos como mediante política de grupo, aplicar esta restricción.

Creamos una nueva directiva:

Configuración de usuario -> Directivas -> Plantillas administrativas -> Componentes de Windows -> Explorador de archivos

Seleccionamos la opción «Ocultar estas unidades especificadas en Mi PC»

Podemos elegir entre diferentes opciones. Recordar que aunque no se muestren es posible acceder dependiendo del resto de directivas y acceso a programas, lo que no invalida tener que aplicar los permisos limitados a las carpetas, programas, configuraciones…