| |
|
|
| |
-
Windows Script Host - VBScript - Componentes - Objeto GPMC (Group Policy Management Console) – Componente
-
Las directrices de grupo es una herramienta para adaptar a Windows a las necesidades, así como para limitar los privilegios de los usuarios
en una red de Windows basado en active dorectory.
Con Windows Server 2003, Microsoft sacó una consola para administrar las directrices de grupo, la GPMC. Esta ofrece las siguientes funciones:
- asignación de directrices a unidades organizativas
- informes sobre las directrices y su configuración en formatos HTML, relativos a
unidades organizativas, usuarios o grupo
- salva y restablecimiento de objetos de directivas de grupo
- importar, exportar, copiar y pegar objetos de directivas de grupo
Las funciones GPMC pueden ser manejadas con un componente scripting. La creación de directrices no pertenece a esas funciones, las cuales deben
ser creadas desde el editor de directrices de grupo.
GPMC es un "Add-on" (gpmc.msi),
el cual puede bajarse desde Internet. Con su instalación, se instala tambien el componente scripting. Esta herramienta corre solo en sistemas
operativos a partir de Windows XP, en el cual esté instalado .NET Framework.
Tras su instalación, el sistema presentará las modificaciones siguientes:
- en la carpeta "administración", en el menú "inicio",
encontrará una nueva herramienta "administración
de directivas de grupo".
- el registro "directivas de grupo" en la consola MMC "usuarios y
computadores de active directory", no estará más
disponible. En su lugar encontrará la indicación que fue sustituido por GPMC.
- en el subdirectorio "/programas/GPMC/Script", encontrará un grupo de
ejemplos de scripts.
Clases
GPMC implementa muchas clases, las cuales conforman un modelo de objetos, los cuales se instacian con "CreateObject("GMPgmt.GPM")".
Los contenedores en active directory (Sites, Domains y unidades organizativas) son nombradas, en el componente GPMC, SOMs (Scopes of Management).
Un GUID (Global Unique Identifier) es una cifra, la cual tiene la propiedad de ser univoca, no obstante generarse descentralizadamente.
Las características del componente GPMC es el siguiente:
- con "GetDomain( )", se obtiene un objeto GPM del objeto GPMDomain
- el objeto GPMDomain ofrece, con "SearchGPOs( )", un listado de las directrices
de grupos representados por objetos GPMGPO
- los objetos "GPMDomain" brinda, además, sobre "SearchSOMs( )",
una lista de los contenedores "AD", en forma de un
objeto GPMSON
- un objeto GPMGPO puede, con GUID, utilizar directamente las directrices de grupo como
parámetro del método "GetGPO( )"
- un objeto GPMSON puede, con el contenedor del path LDAP, acceder directamente al método
"GetSOM( )" como parámetro
- cada objeto GPMSON tiene una "GPMGPOLinkCollection" con objetos individuales
"GPMPOLink", los cuales representan enlaces del contenedor
con las directrices de grupo
Un objeto "GPMGPOLink" contiene una referencia al objeto "GPMSON". Contrariamente, no la tiene con el objeto "GPMGPO". La
relación con el objeto de las directrices de grupo, se establece sobre los atributos "GPMDomain" y "GPOID". "GPMDomain"
contiene el FQDN (Fully Qualified Domain Name), o sea Nombre de dominio completamente calificado, como cadena de caracteres, GPOID el GUID del objeto de directrices
de grupo. Estas informaciones son suficientes para determinar los objetos "GPMGPO". El siguiente comando ofrece un objeto para "Default Domain
Controllers Policy" en el dominio "scrimdesign.net":
GPM.GetDomain("scrimdesign.net", " ",Constants.UseAnyDC). _
GetGPO("{78A671C3-0f62-325D-492E-00A05FC421E7}")
Las clases más importantes de GPMC
Clase
|
Acceso
|
Descripción |
GPM
|
CreateObject
("GPMgmt.GPM")
|
Objeto raiz del componente GPMC
|
GPMConstants
|
Sobre el método "GetConstants( )"
en una instancia
de la clase GPM
|
"GPMConstants" es un objeto, el cual resume las constantes más importantes para el trabajo con el
componete GPMC
|
GPMDomain
|
GPM.GetDomain
(nombre del dominio)
|
Un active directory de dominio
|
GPMGPO
|
Sobre el método "GetGPO(GUID)"
en una instancia de "GPMDomain" o sobre "GPMGPOCollection"
|
Un objeto de una directiva de grupo
|
GPMGPOCollection
|
Sobre el método "SearchGPOs( )"en una instancia de GPMDomain
|
Conjunto de objetos de todas las directrices de grupo en un dominio
|
GPMGPOLink
|
Sobre "GPMGPOLinksCollection"
|
Un enlace entre una directriz de grupo y un contenedor AD
|
GPMGPOLinksCollection
|
Sobre "GetGPOLinks( )"
en una instancia de "GPOSOM"
|
Conjunto de todos los enlaces de un contenedor AD con las directrices de grupo
|
GPMSON
|
Sobre el metodo "GetSOM(GUID)" en
una instancia de
"GPMDomain" o sobre GPMSOMCollection
|
Un contenedor de Active Directory
|
GPMSOMCollection
|
Sobre el metodo "SearchSOMs( )" en
una instancia de
"GPMDomain"
|
Conjunto de todos los contenedores Active Directory en un dominio
|
GPMBackupDir
|
"GetBackupDir("PATH")"
en una instancia de
"GPM"
|
Una carpeta en el sistema de archivos con una copia de seguridad de "GPOs"
|
GPMBackupCollection
|
"SearchBackup
(SearchCriteria)" en
una instancia de "GPMBackupDir"
|
Un conjunto de copias de seguridad de "GPOs" en una carpeta en el sistema
|
GPMBackup
|
Con "For . . . Each"
sobre una "GPMBackup
Collection"
|
Una copia de seguridad de una GPO
|
GPMSearchCriteria
|
"CreateSearch
Criteria( )" en
una instacia de
"GPM"
|
Una consulta, la cual es un parametro de los metodos "SearchBackups( )", "SearchGPOs( )"
o "SearchSOMs( )"
|
Medios auxiliares
Ayuda en el trabajo con el componente GPMC ofrece el interfase gráfico GPMC (MMC-Snap-In "Administración de directrices de grupo"),
así como las herramientas de linea de comandos "secedit.exe" (Windows 2000) y "gpupdate.exe" (Windows XP, 2003 y Vista).
MMC-Snap-In "Administración de directrices de grupo"
La MMC-Snap-In "Administración de directrices de grupo" es necesaria para crear objetos de las directrices de grupo y para observar los
resultados
de los scripts.
A partir de la instalación de GPMC, las directrices de grupo no podrán ser observadas en la consola "Active Directory-Usuarios y
computadoras",
si no serán depositadas en GPMC. Escoja la unidad organizativa o contenedor al cual desee establecer las directrices y en el menú contextual
"crear
y enlazar objeto directriz de grupo". Tras la concesión de un nombre, aparecerá la nueva directriz de grupo bajo la unidad organizativa.
Para modificar las directrices de grupo, escoja "Edición" en el menú contextual de la directriz. Así se abre el "Grup
Policy Object
Editor" (GPEdit.dll), el cual está incluido en Windows desde su versión 2000.
Un filtro WMI, es un WQL (WMI Query Language) es una expresión de consulta predeterminada. Filtros WMI pueden ser utilizados para ejecutar directrices
de grupo.
Un filtro WMI está compuesto por una o varias consultas WQL. Cuando se vincula una directriz de grupo a un filtro WMI, esta será ejecutada solo
cuando todas
las consultas WQL arrojen un resultado.
De esta manera puede establecerse la ejecución de una directriz de grupo en dependencia de una información en el WMI.Repository. Ejemplo, la
siguiente
consulta WQL arroja resultados solo cuando se ejecute en una computadora con Windows XP (Windows Build 2600):
SELECT *
FROM Win32_OperatingSystem
WHERE BuildNumber=2600
Vinculado este filtro WMI a una directriz de grupo es posible lograr que una directriz de grupo sea aplicada solo en una maquina donde corra Windows XP.
La función de filtro WMI es instalada solo en un Active Directory basada en Windows Server 2003.
La determinación de las directrices de un usuario o computadora en un ambiente active directory no es algo simple, dado que el contenedor de
directrices de grupo
pueden ser heredados a sub-contenedores y que a cada contenedor pueden vincularse cualquier cantidad de directrices de grupo.
Cuando se escoge una unidad organizativa, puede leerse en el registro "herencia de directrices de grupo", las directrices de grupo que inciden en
la unidad
organizativa a través del contenedor de herencia.
Es posible leer la configuración establecida para un determinado objeto a partir de la suma de las directrices de grupo. Este método es nombrado
RSoP (Resultant
Set of Policies).
De esta manera, se puede leer en el informe RSoP, a nivel de unidad organizativa, a nivel de usuarios o a nivel de grupos. De este ultimo, puede escogerse la
computadora de
la cual debe mostrarse el RSoP.
Actualizar las directrices de grupo
Normalmente, la actualización de las directrices de grupo ocurre en intervalos de tiempo relativamente largos (5 minutos en el controlador de dominio,
90 minutos + un
posible retraso de hasta 30 minutos a otra computadora). Este intervalo de tiempo (muy largo) puede disminuirse con la utilización de las herramientas
de línea
de comandos "secedit.exe" y "gpupdate.exe" o la reducción del intervalo de tiempo para la actualización.
La herramienta de línea de comandos "secedit.exe" (Windows 2000) y "gpupdate.exe" (Windows XP, 2003 y Vista) fuerzan una
actualización
inmediata de todas las directrices de grupo en un sistema. No existen un comando script para forzar la actualización de las directrices de grupo. Es
posible iniciar las
herramientas "secedit.exe" y "gpupdate.exe" desde un script como un proceso externo.
Actualización de las directrices de grupo en Windows 2000
|
Actualización de las directrices de grupo en Windows XP, 2003 y Vista
|
secedit / refreshpolicy user_policy / enforce
secedit / refreshpolicy machine_policy / enforce
|
Gpupdate / force
|
Una alternativa, en el caso de tratarse de directrices para usuarios, es reducir el intervalo de actualización. Es posible reducir el intervalo de
actualización a
pocos segundos, a través de "configuración de directrices de grupo/configuración de usuarios/administración de plantilla/system/Group
policy/Group
refresh intervalo for users".
Al cambiar el intervalo de actualización en el "Default Domain Policy", hece efecto en la actualización de todos las directrices de grupo.
 |
|
Ultima actualisación: Tue, 24 ▪ May ▪ 2011
|
|
|
|
