martes, 17 de marzo de 2020

XII - Servicios de Impresión

Windows Server 2008 permite compartir recursos de impresión en toda la red, de modo que clientes de una gran variedad de equipos y SO podrán enviar trabajos de impresión a impresoras conectadas localmente al servidor de impresión WS2008, a través de Internet, la red local o incluso otro servidor.

Cuando hablamos de impresoras, hemos de distinguir entre dispositivo de impresión o impresora física, que es el aparato físico (hardware) que proporciona la impresión, e impresora lógica, que es el modo en que esa impresora es reconocida por el SO que estemos utilizando, de modo tal que podríamos tener varias impresoras lógicas sobre una misma impresora física. Dicho de otra forma, la impresora física es el dispositivo que realiza la impresión real, y la impresora lógica es el interfaz de impresión en el servidor de impresión. Los trabajos se colocan en la cola de la impresora lógica antes de enviarse a la impresora física.

Es importante comprender que varias impresoras lógicas pueden corresponder con una sola impresora física lo que permite plantearnos la posibilidad de asignar prioridades en la cola de impresión de las impresoras sea cual sea el modo de compartición.

Para gestionar la impresión de los equipos se utilizan los servidores de impresión que abarcan cualquier dispositivo capaz de administrar trabajos de impresión. El servidor de impresión administra la configuración del controlador de impresión.

Hasta ahora los ordenadores clientes disponían de sus propios servidores de impresión, siendo el SO del equipo cliente el encargado de proporcionar dicho servicio y de gestionarlo y por supuesto como cualquier otro recurso también de compartirlo.

WS 2008 admite varias características avanzadas de impresión.

  • Administrar un servidor de impresión WS2008 que se encuentre en cualquier ubicación de la red.
  • Permitir que un equipo cliente pueda utilizar la impresora sin que sea necesario instalar de forma expresa un controlador para dicha impresora en el equipo cliente, sino que el controlador se descargará automáticamente cuando el cliente se conecte al servidor de impresión Windows Server 2008.

Modos de compartición

Se analizan 3 modos diferentes de compartir impresoras en un servidor WS2008, de modo que dichas impresoras estén disponibles para ser utilizadas por los clientes del dominio.
  • Servidor de impresión de una impresora localWS2008 dispondrá de una impresora conectada locamente, impresora que será instalada, configurada y posteriormente compartida en dicho equipo que hará de servidor de impresión de la misma.
  • Servidor de impresión de una impresora remota. WS2008 hará la función de servidor de impresión de una impresora que físicamente se encuentra instalada y compartida en otro equipo.
  • Servidor de impresión de una impresora de red. WS2008 hará la función de servidor de impresión de una impresora que dispone de un interface de red o de un dispositivo específico que realiza la función de servidor de impresión o print server (tal es el caso de un dispositivo jetdirect, por ejemplo).

Modos de conexión

Son las distintas maneras en que los equipos clientes de nuestra red se pueden conectar a las impresoras ofertadas en el AD de nuestro WS2008, y que se encuentran instaladas y accesibles por alguno de los 3 métodos indicados anteriormente.

Cuando se instala una impresora conectada directamente a la red mediante un adaptador de red o un servidor de impresión físico (print server), puede configurarse el acceso a la impresión en la misma de dos maneras:
  • Agregando la impresora directamente a cada equipo de cada usuario sin utilizar el equipo WS2008. En este caso, los clientes acceden directamente a la impresora de red o al servidor de impresión físico correspondiente, sin que el equipo "SERVIDOR" tenga conocimiento alguno de los procesos de impresión que así se ejecutan.

  • Agregando la impresora al servidor de impresión lógico de WS2008, y que posteriormente cada usuario pueda hacer uso de la impresora a través de dicho servidor de impresión lógico. Los equipos clientes tienen que conectarse al servidor de impresión lógico de WS2008 para imprimir.
Ejemplo de Print Server Wifi

Ventajas e inconvenientes

El segundo método, configurar al equipo WS2008 para que efectúe la labor de servidor de impresión ofrece ventajas evidentes respecto al primero.
  • Una única cola de impresión frente a una cola por cada equipo. La cola única permitirá a los usuarios comprobar dónde se encuentra su trabajo de impresión respecto al resto de los trabajos en espera y conocer el verdadero estado de la impresora. En múltiples colas sólo se mostrarán los trabajos de impresión enviados desde el equipo en cuestión, no siendo posible determinar dónde se encuentra el trabajo de impresión en relación con los demás, ni se podrán ver mensajes de error (atascos, bandeja vacía, etc.)
  • Parte del procesamiento se transferirá del equipo cliente al servidor de impresión y así el equipo cliente no asumirá toda la carga.
  • Puede ser establecido un registro único para aquellos administradores que deseen auditar los sucesos de la impresora.
La única desventaja que presenta el hecho de utilizar un servidor de impresión lógico es que se requiere un equipo que funcione como tal. Sin embargo, no es necesario que sea un equipo dedicado pues por lo general, los servidores de impresión se implementan en servidores que también realizan otras tareas, como será nuestro caso.


Configuración del cliente de impresión 

Se trata de configurar la conexión de un equipo cliente a una impresora gestionada por el servidor de impresión de WS2008. Desplegando el asistente para agregar impresoras se muestran tres opciones. Las dos primeras pueden ser utilizadas por un usuario del dominio, para que dicho usuario, agregue a su perfil móvil cualquiera de las impresoras disponibles a través del servidor de impresión. La tercera opción sólo esta accesible para el administrador del dominio y la instalación en un equipo a través de este método implica que la impresora se mostraría disponible a cualquier usuario que inicie sesión en el equipo. 

Sin embargo lo realmente interesante es que el administrador puede desplegar desde el servidor de impresión directivas para asignar (mapear) las impresoras que desee, sobre el dominio o sus unidades organizativas, automatizando todo el proceso. Se recomienda ver procedimiento al respecto

domingo, 8 de marzo de 2020

X - Directivas de Instalación de Software

Se trata de directivas que nos van a permitir que el servidor WS 2008 distribuya software a las estaciones de trabajo y/o usuarios del dominio.

El software se distribuye en forma de MSI, que son unos paquetes informáticos de instalación de Microsoft que contienen toda la información necesaria para automatizar la instalación del software correspondiente sin necesidad de intervención manual del usuario.

Windows Installer

Es la tecnología que permite realizar las instalaciones desatendidas. El nombre se debe al servicio de WS necesario para que funcione.

Se compone de dos partes: 
Servicio de instalador de cliente (Msiexec.exe) y un Archivo de paquete (.MSI).

  • El instalador realiza todas las tareas de la instalación: copiar archivos a un disco duro, realizar modificaciones de registro, crear accesos directos en el escritorio, etc.
  • El MSI contiene una base de datos que almacena todas las instrucciones y los datos requeridos para instalar y desinstalar el programa: número de serie del producto, lugar de instalación, etc.

Ventajas
  • Instalaciones y desinstalaciones desatendidas de software
  • Actualizaciones y modificaciones de los paquetes previamente instalados
  • Personalización de los paquetes mediante ficheros MST
Procedimiento

Tanto si distribuyo un paquete a un usuario o a un equipo a través de una directiva los pasos son similares
  • Compartir una carpeta en una unidad de red, ubicada normalmente en el Servidor y con permisos de lectura para los usuarios del dominio.
  • Crear una carpeta en la carpeta compartida anteriormente y copiar el MSI y el resto de ficheros que conforman el software que va a ser distribuido.
  • Crear una nueva directiva de grupo sobre el Dominio (a través de default domain policy si se desea) o sobre la UO destinataria del paquete.
  • Configurar el paquete a instalar a través de la nueva directiva de grupo creada.

Importante
: En este último paso dependiendo si la directiva se aplica a un usuario o equipo es cuando seleccionaremos el  tipo de instalación: Asignar a equipos o Asignar/Publicar a usuarios.

Selección del tipo de instalación

Asignar a equipos
La aplicación se anuncia e instala cuando es seguro hacerlo. Normalmente esto ocurre cuando el equipo se inicia, de manera que no hay procesos compitiendo en el equipo.


Asignar o Publicar a usuarios

Asignar
instalará la aplicación por primera vez cuando el usuario la active desde el menú de Inicio. Publicar requiere que el usuario la instale 
mediante Agregar o quitar programas en el Panel de control del equipo cliente.

Tanto asignar como publicar podrían desatar la instalación de la aplicación automáticamente si el usuario hace clic sobre un archivo asociado con dicha aplicación. Las aplicaciones publicadas almacenan sus atributos en AD.


Observaciones: 

Si por ejemplo distribuyo un programa a estaciones de trabajo del dominio, al integrar una nueva estación de trabajo en el dominio, etc., el programa se reinstalará de forma automática.

Si se produce un problema en un paquete MSI instalado en una estación de trabajo, el usuario podrá solventarlo reinstalando el paquete por medio de la opción de reparación del Panel de Control de su estación de trabajo.

Tipos de archivo


Finalmente indicaremos que para realizar una gestión centralizada de la instalación del software mediante directivas de grupo, podemos utilizar los siguientes tipos de archivo: 


Instalación (MSI)

Estos archivos los proporciona normalmente el distribuidor de software para facilitar la instalación de una aplicación concreta. Hay que mantener estos archivos, con cualquier otro archivo necesario, en el punto de distribución del software administrado.

Transformación (MST)

Estos archivos, también llamados modificaciones, personalizan la instalación de un paquete de Windows Installer al realizarse la asignación o publicación. Por ejemplo, pueden especificar un subconjunto de una serie de aplicaciones.


Revisión (MSP)

Se pueden distribuir de esta forma los archivos de solución de problemas, paquetes de servicio y otros archivos similares. Las revisiones no deben usarse para cambios importantes y sus efectos están limitados.


Archivos ZAP (ZAP)

Son similares a los archivos .INI, se crean con un editor de textos como el Bloc de notas. Sólo se pueden publicar (no asignar) y especifican un programa de instalación ejecutable que aparece en Agregar o quitar programas del Panel de control del usuario. El usuario que realice la instalación debe tener derechos administrativos para ello en el equipo local.

domingo, 1 de marzo de 2020

IX - Group Policy Objects (GPO)

Las políticas o directivas de grupo son un conjunto de reglas que controlan el entorno de trabajo de cuentas de usuario y de equipo cuando se accede de forma autenticada a un dominio. Permiten  gestionar de forma centralizada la configuración de Sistemas Operativos, Aplicaciones y Usuarios en un entorno de Active Directory.

Por ejemplo se puede bloquear el Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.

Las GPO se puede vincular a Sitios, Dominios y OU de Active Directory. 
  • Dentro de AD, un dominio representa el límite de seguridad en una red y tiene sus propias Directivas y Relaciones de Seguridad con otros dominios de AD.
  • Mientras que los dominios pueden abarcar más de una ubicación física y representan la estructura lógica de la organización, los sitios representan la estructura física de red y están formados por un conjunto de equipos en una o varias subredes IP.
  • A su vez las OU son los contenedores de menor nivel en AD y se usan para organizar equipos, usuarios, grupos y otras OU de acuerdo con las necesidades administrativas.

Aplicación de GPO. Herencia

Al igual que los permisos, las Políticas que apliquen a un contenedor superior serán también aplicadas a los contenedores inferiores siguiendo un mecanismo de herencia

Por ejemplo todas las GPO aplicadas a nivel de dominio aplicarán a las UO de dicho dominio. Todas las GPO aplicadas a nivel de UO principal aplicarán a también a sus UO secundarias y así sucesivamente.

Orden de aplicación entre contenedores
A un determinado usuario o equipo, se le pueden aplicar diferentes directivas de grupo a distinto nivel, de modo que si existen el orden en que éstas son aplicadas será el siguiente:  local, sitio, dominio, unidad organizativa principal, unidad organizativa secundaria, etc. siempre siguiendo el orden especificado administrativamente.

Recordar: Cuando existan directivas definidas en varios contenedores las GPO más cercanas al equipo destino tienen preferencia sobre las más alejadas en la estructura organizativa.
Si nos fijamos en un contenedor específico, lo fundamental es entender la manera que tiene WS de implementar el orden de procesamiento de las directivas: siempre desde abajo hacia arriba, es decir comenzando con  la directiva que tiene un mayor número de precedencia hasta llegar a la directiva con menor número de precedencia (el 1).

En el caso de que un contenedor tenga vinculada una lista de directivas, donde algunas de ellas se contradigan (incoherentes), prevalecerá la que esté más alta en dicha lista (menor número de precedencia). Si las directivas no se contradicen se irán acumulando.

Orden de precedencia de directivas

Nota-1: Pese a su nombre, directivas de grupo, no pueden ser vinculadas a grupos de usuarios o equipos, sino que deben ser aplicadas exclusivamente sólo a Sitios, Dominios o UO, afectando el resultado de su aplicación a los usuarios y a los equipos de Active Directory.

Nota-2: Las directivas de grupo tienen prioridad sobre las opciones de configuración del perfil del usuario en caso de que se cree un conflicto entre ambas configuraciones.

Exigir o Bloquear

Como hemos podido comprobar AD está estructurado jerárquicamente y si aplicamos una GPO en un contenedor (sitio, dominio y UO) se propagará a todos los elementos inferiores y se aplicará de forma predeterminada.

Existe la posibilidad de
Bloquear la herencia en un determinado contenedor, lo que implica que las GPO que se propaguen desde contenedores superiores no le afecten ni a él ni a ninguno de sus elementos descendientes si los tuviera. Un ejemplo común es impedir la aplicación de directivas del dominio por ejemplo a los Administradores.


Bloquear la herencia en un contenedor
También se puede Exigir la propagación de GPO's sobre un contenedor, lo que significará que se aplicarán a todos los contenedores inferiores de la jerarquía incluso si alguno trata de bloquear la herencia.

Exigir una directiva

Gpo de Inicio


Las starters o GPOs de inicio son unas directivas especiales que se crean previamente basadas en un conjunto de Plantillas Administrativas muy concretas y a las que luego podemos incorporar todas aquellas directivas que nos interesen.
Las Plantillas administrativas inicialmente se pueden basar en:
  • Equipo: Componentes de Windows, Impresoras, Panel de control, Red o Sistema.
  • Usuario: Escritorio Activo, Carpetas compartidas, Componentes de Windows, Menú inicio y barra de tareas, Panel de control, Red o Sistema.
Las GPOs de inicio se pueden guardar en archivos comprimidos .cab y se pueden importar en otro entorno diferente que requiera de las mismas características.

Existen una serie de GPOs de inicio de recomendación del fabricante, que pueden resultarnos bastante útiles para distintos clientes o entornos.



Starters recomendadas por Microsoft

Si necesitamos que un conjunto de equipos de nuestro AD posean una característica común, y esa característica puede ser establecida mediante una plantilla de GPO, podemos definir una GPO de inicio que incorpore dicha característica, probarla, ver que funciona correctamente y usarla para que sea la base de una GPO más completa a la que yo quiero que se vean sometidos, por ejemplo los equipos que pertenezcan a una UO concreta.



El uso de las GPOs de inicio se recomienda para crear por ejemplo un grupo de ajustes, quizás de seguridad, que afecten a un grupo concreto de equipos o de usuarios.

Filtros WMI
Son unas consultas en un lenguaje próximo a SQL (WQL) que nos van a permitir variar el ámbito de aplicación de las GPO's interactuando con los equipos a los que se apliquen las políticas

Por ejemplo, supongamos que generamos una directiva para instalar un Service Pack de Windows, asignamos el MSI a la misma y la aplicamos a toda la OU de equipos de nuestro entorno. Pero ¿qué pasa si tenemos equipos en nuestro entorno con poco espacio en disco C como para instalarse el Service Pack? No sería adecuado hacer la instalación. En ese caso podemos utilizar un filtro WMI que se fije el espacio en disco libre y solo si supera la cantidad que nosotros designemos se aplicará la política.

Una directiva solo puede tener un único filtro WMI asociado, sin embargo un filtro puede estar afectando a varias directivas. Los filtros pueden ser consultas sencillas o más complejas y además se pueden exportar e importar.

Algunos ejemplos de aplicación de filtros son los que se aplican en función de: Espacio libre en disco, tipo de Sistema Operativo, nombres de equipo, actualizaciones instaladas, marca y modelo del fabricante, etc.

Ejemplo Filtro WMI

WMI= Windows Management Instrumentation
Ver también WMI Code Creator