por ·Sin comentarios

Hola a todos,

Recientemente he recibido varias consultas relacionadas con un problema a la hora de configurar un fondo de escritorio mediante GPO a máquinas Windows 8, y Windows 8.1.

En los foros de Microsoft TechNet también he contestado últimamente a consultas relacionadas con este problema.

https://social.technet.microsoft.com/Forums/es-ES/8ef62cfb-2922-42f0-a5de-4e38db72daa4/gpo-wallpaper-windows-8-y-81?forum=wsgpes

 

PROBLEMA:

Cuando desplegamos por medio de GPO un fondo de escritorio para equipos Windows 8, y WIndows 8.1, los equipos cliente procesan dicha GPO, pero aparece un fondo de pantalla negro, que no es el que hemos definido en la configuración de la GPO. Es muy frustrante pues es un comportamiento totalmente anómalo, los pasos siempre son los mismos, revisión de la GPO, que se aplique sobre la OU que debe, que el fondo de pantalla, en su ruta de red esté accesible para los usuarios que deben tenerlo, que se procese la GPO, en resumen se de administradores que han intentado durante días encontrar el fallo… Pero … ¿está el fallo en la GPO?

 

 

CAUSA:

Bien, en este punto no está muy clara la causa, pero sí que se sabe que hay un tipo de problema con sistemas Windows 7, 8, y 8.1 con esta configuración por GPO, no es algo que suceda en el 100% de los casos, pero en organizaciones con cientos de equipos basados en estos sistemas operativos es frustrante ver como no somos capaces de configurar algo tan básico, y sencillo como un fondo de escritorio corporativo.

Buscando información por la Technet, y otras fuentes, hay un sin fin de entradas relacionadas con este problema, y podemos encontrar muchas soluciones, demasiadas.

El problema está relacionado con una entrada del registry en los equipos cliente, dicha entrada es la siguiente HKEY_CURRENT_USER\Control Panel\Desktop\ Debe existir un registro del tipo REG_SZ llamado WallPaper que apunta a la ruta del wallpaper.

En los equipos afectados por el problema del fondo de pantalla en negro pueden suceder varias cosas:

  • No existe dicha entrada.
  • Existe pero hace mención a un fichero de fondo de pantalla que no es el que hemos definido, y la GPO no puede actualizar dicha información.

 

 

SOLUCION:

La solución que he encontrado, y ha funcionado en todos los casos es la siguiente:

1. Creamos la GPO que aplica el Wallpaper que deseamos sea el fondo de pantalla de los equipos. La configuración de la GPO en mi caso es básica solo quiero que una imagen que tengo en una unidad de red accesible en modo lectura por los usuarios que deben tener acceso, se configure como fondo de pantalla, para ello llamamos a la GPO Wallpaper_Corporativo, la editamos y vamos hasta la ruta donde se encuentra la configuración del Wallpaper, la ruta es la siguiente User Configuration > Policies > Administrative Templates > Desktop > Desktop

2015-02-18_10-15-30

Antes de aplicar la GPO sobre el usuario en cuestión vemos que fondo de escritorio tiene su PC sin la GPO.

2015-02-18_10-10-56

2. Una vez creada la GPO, la vinculamos a la OU donde se encuentra el usuario sobre el que queremos que se aplique. En mi caso utilizo una OU donde se encuentra el usuario sobre el que quiero se aplique el fondo de pantalla.

2015-02-18_10-49-15

3. Ahora accedemos a un PC con dicho usuario que es TEST1, si el fondo de pantalla aparece negro hay que seguir estos pasos:

  1. Crear una GPO para crear una clave de registry, a la que daremos la ruta del fondo de pantalla.

2015-02-18_10-59-19

  1. Vincularla también sobre la OU donde se encuentran los usuarios que queremos tengan ese fondo.
  2. Reiniciamos el PC, y en el siguiente reinicio aparecerá el fondo que hemos definido.

2015-02-18_11-01-51

En ocasiones tampoco funciona creando la clave del registry, por lo que primero debemos definir que se elimine la clave del registry que hace mención al Wallpaper, y luego crearla de nuevo con la GPO.

Como he dicho no sucede en todos los equipos, pero cuando ocurre genera muchos problemas.

Salu2!

Daniel Graciá

por ·Sin comentarios

Hola a todos,

Recientemente ha surgido en los foros Microsoft Technet https://social.technet.microsoft.com/Forums/es-ES/home?forum=wslegacyes una consulta que decía lo siguiente:

Quería que a través de GPO se mapearan unidades de red según el grupo al que pertenezcan las máquinas

Bien al principio creía que no se podría hacer, porque a nivel de GPO en la configuración de Computer Configuration no se puede hacer, luego pensando … recordé que las Group Policy Preferences permiten hacer cosas muy interesantes, y entre una de ellas nos permite hacer mapeos a nivel de máquina, o especificando un atributo LDAP, es algo muy versatil y que desgraciadamente no se le saca el potencial que tiene.

Para el caso que nos aplica, necesitamos primero comprender lo que se pretende hacer:

  • Mapear recurso de red a ciertas máquinas que pertenecen a un grupo específico, da igual quien se siente en dicha máquina.

¿Que necesitamos?

  • Identificar las máquinas sobre las que queremos que se haga el mapeo de red.
  • Crear un grupo de seguridad en AD e incluir dichas máquinas en el grupo.
  • Crear una GPO, y enlazarla a nivel de dominio, o a las OUs donde estén los usuarios de la organización, ya que la OU se configura a nivel de User Configuration.

En primer lugar he creado un grupo de seguridad. y he añadido la cuenta de máquina/s sobre las que quiero que se apliquen los mapeos, para mis pruebas he creado un grupo con dos cuentas de máquina.

image

Creamos una GPO con la siguiente configuración:

User Configurations\Preferences\Windows Settings\Drive Aquí con el botón derecho del ratón indicamos New Mapped Drive.

Indicamos Create, le damos la ruta del recurso de red que queremos hacer un mapeo, y una letra de unidad en mi caso la W. Aquí se puede indicar que el sistema escoja la primera letra disponible.

image

En la pestaña Common, tenemos las opciones para decir sobre que grupo de máquinas vamos a aplicar el mapeo, marcamos Item-level targeting, y hacemos click en Targeting

image

Dentro de targeting nos encontramos con todas las opciones disponibles, hacemos click sobre New Item, y como podéis observar existe una amplia variedad de opciones sobre las que aplicar el Targeting, en nuestro caso vamos a utilizar un Security Group de AD.Muy importante marcar Computer in Group.

image

image

Si vamos a crear varios mapeos se puede hacer dentro de la misma GPO.

image

Y con este procedimiento se mapearían unidades de red a máquinas mediante una GPO asignada a usuarios.

Lo más importante es tener claro que la GPO debe aplicarse sobre una OU de usuarios (los usuarios que van a hacer login en dichas máquinas), pero el filtro dentro de la GPO se hace en base a un Secutiry Group que contiene las máquinas sobre las queremos hacer el mapeo.

Como habéis podido observar en Targeting / New Item hay muchísimas posibilidades para hacer los mapeos, por una query LDAP, por nombre DNS, NetBIOS, etc …

Un saludo,

DGM

por ·Sin comentarios

>Windows Server 2008 R2’s AppLocker feature allows additional policy configuration for software use on servers. IT pro Rick Vanover provides an overview of this enhanced functionality.

Windows Server 2008 R2’s AppLocker feature allows additional policy configuration for software use on servers. IT pro Rick Vanover provides an overview of this enhanced functionality.

Starting with Windows Server 2008 R2 for server platforms and Windows 7 for desktop platforms, the Software Restrictions policies functionality has been replaced with AppLocker. With AppLocker and Group Policy, you can define what files to prohibit from being executed; this can include scripts, installation files, and standard executables.

The management goodness of AppLocker is that it can be applied via Group Policy locally or via a domain-based GPO. AppLocker exists in the Computer Configuration section of Group Policy under Windows Settings | Security Settings | Application Control Policies. From there, the AppLocker configuration provides an enhanced Group Policy configuration as shown in Figure A.

Figure A

Click the image to enlarge.

Within this section of Group Policy, you can craft myriad individual configurations, including policies that permit or deny users or groups the ability to run a file, an installation, or a script. Further, you can set this with exceptions and apply it in a granular fashion in Active Directory. If you don’t want a full deny, you can configure AppLocker to only audit the iteration of an installation file, a script, or a standard executable.

The AppLocker feature is new to Windows Server 2008 R2 and will not apply to operating systems older than Windows Server 2008 R2 or Windows 7. For older OSs, you can apply Software Restriction Policies via a separate group policy object.]

Visit Microsoft’s site for more information about AppLocker.

Stay on top of the latest Windows Server 2003 and Windows Server 2008 tips and tricks with our free Windows Server newsletter, delivered each Wednesday. Automatically sign up today!

AppLocker is what I would use. I would create a directory that’s «acceptable» like c:GoodCommands and put all the stuff allowed to run in there. Then, use AppLocker to specify that c:GoodCommands is an acceptable place to run. AppLocker’s «brain» does the rest, and everything else is prevented.