Llegamos a ustedes gracias a:



Reportajes y análisis

Siete consejos para usar Group Policy en Windows 7

[11/07/2010] Windows 7 viene con una serie de nuevos atributos que simplifican enormemente las tareas de cada día. En un entorno corporativo, sin embargo, lo que menos quiere la gente de TI es que los usuarios tomen las riendas de estos recursos cuando Windows 7 se implementa en sus desktops.

Gracias a Group Policy, el conjunto de reglas que brindan control administrativo sobre los usuarios y sus computadoras en un entorno Active Directory, el departamento de TI puede usar la infraestructura Group Policy de la organización para implementar medidas de seguridad y parámetros de desktop que garanticen la adecuación con los estándares de la empresa.
Esta herramienta de configuración, una de las más robustas de su tipo en la infraestructura Windows, juega un rol determinante en la creación de un entorno de red seguro y apropiado; regulándolo todo, desde los procesos críticos del negocio y los parámetros de seguridad hasta las estaciones de trabajo individuales y las impresoras.
A continuación, siete consejos que pueden ayudarlo a aprovechar al máximo la política de grupos para reforzar la seguridad, automatizar las tareas y ahorrar dinero con Windows 7.
1. Use una máquina de administración Windows 7
Para sacarle el mayor provecho a la funcionalidad Group Policy, es necesario que la Group Policy Management Console (GPMC) corra en una máquina de administración; pero GPMC solo está disponible como parte de un paquete descargable llamado Remote Server Administration Toolkit (RSAT).
Así que el primer paso para crear una máquina de administración Windows 7 es descargar el RSAT e instalar el componente GPMC. Puede descargar el RSAT desde aquío hacer una búsqueda con la frase "Remote Server Administration Tools for Windows 7", que arrojará tanto versiones de  RSAT  tanto para 32-bit como para 64-bit, por lo que debe verificar bien que sea la versión correcta para su arquitectura.
Luego de instalar el RSAT, seleccione Remote Server Administration Tools dentro del Control Panel/Programs/Turn Windows Features on u off (panel de control/ programas/ atributos Windows apagado o encendido). Seguidamente, seleccione "Group Policy Management Tools" para instalar el GPMC, y "Active Directory Administrative Center" para agregar usuarios AD y computadoras y otras herramientas relacionadas al AD. Una vez instalado, el GPMC está disponible corriendo GPMC.MSC desde la señal de comando, o buscándola en el menú de Inicio.
2. Use los parámetros y controles de política de energía
Si quiere reducir los costos operacionales, use Group Policy para aprovechar los parámetros que reducen el consumo de energía de desktops y laptops. Mientras menor sea la huella energética, más dinero estaremos ahorrando: día a día, y año a año. Los parámetros relacionados al consumo de energía se pueden encontrar en Computer Configuration/Policies/Administrative Templates/System/Power Management. También es posible encontrar Group Policy Preferences for Windows 7 Power Plans - tanto para usuarios como para computadoras- en Computer Configuration/Preferences/Control Panel Settings/ Power Options (Configuración/preferencias/parámetros del panel de control/ opciones de energía) y User Configuration/Preferences/Control Panel Settings/Power Options (configuración de usuario/preferencias/ parámetros del panel de control/ opciones de energía).
La diferencia entre los parámetros de preferencias y los de gestión de energía de Group Policy consiste en que los usuarios pueden anular las preferencias en cualquier momento, mientras que la otra es ejecutada por el sistema y no puede ser esquivada por los usuarios. En cualquier caso, los parámetros de gestión de energía y/o los de preferencias, nos permitirán recuperar inmediatamente parte de los costos de implantación de Windows 7.
3. Use Group Policy para bloquear el hardware no deseado
Cuando se trata de seguridad, una de las prioridades de los administradores es impedir fugas de información. Las memorias USB, las cámaras y los teléfonos que usan tecnología media flash y otros equipos de hardware similar pueden representar un riesgo para la red, pero con Group Policy podemos mantenerlos a respetable distancia. Es posible vetar dispositivos específicos, de manera que nunca puedan ser usados, o aprobarlos en una lista blanca (whitelist), lo cual significa que un tipo específico de dispositivo no está permitido a menos que aparezca en la lista de aprobación.
Los parámetros para bloquear hardware se pueden encontrar en Computer Configuration/Policies/Administrative Templates/System/Device Installation/Device Installation Restrictions (configuración/políticas/plantillas administrativas/sistema/instalación de dispositivos/restricciones de instalación de dispositivos). Estos parámetros son válidos para Windows Vista en adelante, incluyendo Windows 7.
4. La opción Tarea inmediata ("Immediate Task") todavía no funciona
Aunque nos gustaría usar Group Policy para ejecutar el mismo comando en todas las máquinas al mismo tiempo, el mecanismo Group Policy no es inmediato. En el dominio de los controladores, el GPO contiene el "payload" de direcciones, y el cliente extrae los parámetros Group Policy de esa carga útil aproximadamente cada 90 minutos.
Si bien uno de los payloads puede ser una nueva instrucción llamada Tarea inmediata ("Immediate Task"), aparentemente esta opción no funciona en Windows 7 o Windows Server 2008/R2, lo cual significa que la máquina de destino ignora el tipo de ítem Immediate Task para Windows Vista y posteriores versiones. Este problema deber corregirse en el próximo hot fix o paquete de servicios.
Sin embargo, al parecer Windows 7 y Windows Server 2008/R2 sí procesan correctamente los ítems Scheduled Task.
La buena noticia es que Group Policy provee una manera uniforma de asignar tareas a todas nuestras máquinas: en vez de correr de una máquina a otra, usa Group Policy para realizar acciones consistentes y controladas en base a una política central. 
5. Use PowerShell para desplegar scripts
Aunque PowerShell se ha ido haciendo cada vez más popular entre los administradores, hasta hace poco no había un buen método in-the-box para enviar secuencias de comando PowerShell a las máquinas de destino. Ahora, en cambio, las máquinas Windows 7 y Windows Server 2008/R2 pueden aceptarlos a través de Group Policy.
La ventana de diálogo Logon Properties se encuentra en User Configuration/Policies/Windows Settings/Scripts (Logon/Logoff) (configuración usuario/políticas/parámetros Windows/scripts). También hay parámetros similares para la computadora en Computer Configuration/Policies/Windows Settings/Scripts (Startup/Shutdown) (configuración /políticas/parámetros Windows/scripts).
Las secuencias de comandos PowerShell se pueden usar para copiar archivos del cliente al servidor -reuniendo eventos en el event log y administrándolos centralmente- y para muchos otros fines. Sin embargo, siempre es necesario colocar los resultados en una ubicación estática: no deje nada de valor dentro de la burbuja PowerShell.
6. Use PowerShell para operaciones de programación Group Policy
También se puede usar PowerShell para programar políticas Group Policy que usualmente solo están disponibles dentro del GPMC. Podemos crear un nuevo GPO, recuperar los parámetros de un GPO anterior o vincular ese nuevo GPO a un OU.
Con el nuevo soporte a PowerShell que trae Windows 7, ya uno casi no tiene nada qué hacer. Primero, inicie una sesión PowerShell en la máquina de administración Windows 7, y escriba "import-module grouppolicy". Enseguida, puede agregar "–verbose" para ver qué cmdlets puede ejecutar el módulo Group Policy.
Si usamos PowerShell para programar operaciones Group Policy, podremos tener la certeza de que las tareas repetitivas se ejecutarán correctamente, sin intervención manual. Sin embargo, recuerde que estos cmdlets solo están disponibles con una máquina de administración Windows 7 o Windows Server 2008/R2.
7. Obtenga control de nivel de aplicación con AppLocker
Además de restringir el hardware no deseado (consejo No. 3), Group Policy también puede hacer lo mismo con el software. La opción por defecto de Windows permite que los usuarios corran cualquier aplicación sin obstáculo, pero se puede proteger la red de archivos peligrosos con AppLocker, de Microsoft, que constituye un salto evolutivo respecto al software de restricción precedente, Software Restriction Policies de Windows XP, y lo mejora en varios aspectos.
A través de la Regla de edición -que se crea explorando cualquier archivo de un autor (editor) determinado- podemos indicar qué software se correrá o no se correrá, además de escoger entre aceptar o rechazar tipos de software en base a diferentes criterios.
Asimismo, lo podemos usar en modo whitelist, es decir autorizando que corra solo el software con un nombre específico. El que no esté en la lista, no podrá correr.
AppLocker solo funcionará si la máquina de destino es Windows 7 o Windows Server 2008/R2. Sin embargo, solo está disponible para las versiones Enterprise y Ultimate de Windows 7 (y no para la Professional, que es más conveniente en términos de costo). No está disponible, ni se prevé una retroadaptación, para Windows XP.
Tenga presente que debido a la potencia de Windows 7 es especialmente importante usar un entorno de prueba, antes de pasar a la etapa de producción, para estar seguros de que nuestro Group Policy Objects trabaja tal como lo planeamos. Use una herramienta administrativa GPO para crear GPOs sin conexión, luego pruébelos en el laboratorio, y solo pase a producción cuando no haya duda de que funcionan como se debe. 
Jeremy Moskowitz, Network World (US)