Limitar acceso a internet mediante GPO

Limitar acceso a internet mediante GPO

Un pregunta recurrente en entornos corporativos e industriales, limitar el acceso a internet en puestos de trabajo concretos. En entornos Windows podemos aplicar infinidad de políticas de grupo para gestionar los permisos de todas las aplicaciones. Una manera rápida y efectiva es configurar un proxy local inexistente y añadir algunas excepciones. Esta es una forma sencilla y rápida pero no la única.

Leer más
Cierre del explorador con carpeta de red

Cierre del explorador con carpeta de red

Dentro de infraestructura de Microsoft, algunos usuarios indicaban problemas con el explorador abierto (durante largo tiempo) en carpetas o unidades de red, se les cerraban. Descartado problemas físicos de cableado, conectividad IP, fallos de interfaz silla-teclado… el problema parecía errático y aleatorio, dado que no a todo el mundo le sucedía o no lo reportaban..

Leer más

Sincronización horaria en Directorio Activo

En la instalación por defecto de Windows Server la sincronización horaria se realiza contra el reloj del propio servidor; para utilizar una origen externo NTP, en este caso utilizaremos el pool para España, de debemos ejecutar en el servidor principal:

net stop w32time
w32tm /config /syncfromflags:manual /manualpeerlist:"0.es.pool.ntp.org,1.es.pool.ntp.org,2.es.pool.ntp.org,3.es.pool.ntp.org"
w32tm /config /reliable:yes
net start w32time

w32tm /query /status

Para los equipos pertenecientes al dominio la sincronización se realiza contra la arquitectura de Directorio Activo mediante NT5DS es posible modificar mediante política de grupo (GPO):

Administración Remota mediante Política de Grupo

Para permitir la administración remota a equipos dentro del dominio podemos definir una Política de Grupo:

Configuración del Equipo – Directivas – Plantillas administrativas – Componentes de Windows – Administración remota de Windows (WinRM) – Servicio WinRM

 

Configuración del equipo – Directivas – Plantillas administrativas – Red – Conexiones de red – Firewall de Windows – Perfil de dominio

Habilitamos «Firewall de Windows: Permitir excepción de administración remota entrante» e indicamos la IP desde la que se puede gestionar o asterisco «*» para cualquiera

Por último añadimos una regla en el firewall: Configuración del equipo – Configuración de Windows – Configuración de seguridad – Firewall de Windows con Seguridad Avanzada – Reglas de entrada

Añadimos una nueva predefinida: «Administración remota de windows»

Configuración de equipo – Preferencias – Configuración del Panel de control – Servicios

Nos aseguramos que «WinRM» se inicie con el sistema:

Almacén central de políticas de grupo

Los controladores de Directorio activo de forma prederminada no replican el contenido de la carpeta de definición de políticas de grupo para Windows c:\Windows\PolicyDefinitions Esta carpeta contine los ficheros necesarios para crear políticas de grupo de acuerdo al nivel funcional del dominio.

Si queremos ampliar estas características con más plantillas o actualizaciones de las mismas, por ejemplo administrar una nueva característica de Windows 10 desde un directorio con nivel funcional Windows Server 2012, debemos mantener actualizada esta carpeta en todos los servidores.

Debemos copiar (importante COPIAR, no mover) desde el directorio predeterminado del servidor a la carpeta SYVOL disponible y sincronizada

Copiamos la carpeta C:\Windows\PolicyDefinitions al nuevo destino: C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions

De tal manera que seguiremos disponiendo de los plantillas actuales, a las que podremos añadir nuevas ADMX para gestionar software nuevo o actualizado:

Con los ficheros ADMX de Office 2016 dentro de nuestra carpeta compartida nos aparecerían las nuevas opciones de administración:

Con los ficheros ADMX para Google Chrome: