GPO Logon Script | Aplicar GPO´s y Scripts de inicio en Server 2016

Vamos a ver cómo aplicar un GPO Logon Script (Directivas de Grupo con Scripts de inicio) a grupos de seguridad en Windows Server 2016.

 
Una GPO (Group Policy Object) o Directiva de Grupo, es un conjunto de configuraciones que definen cómo funcionará un sistema Windows y cómo se comportará para un grupo definido de usuarios. Es especialmente útil y aplicado en servidores Windows integrados en un dominio de Active Directory.

 
Si creamos una GPO (Group Policy ObjectDirectiva de Grupo) podremos configurar cientos de opciones muy interesantes en nuestro server.
 
En este caso vamos a configurar un Script de inicio (Logon Script) para un grupo de usuarios contenidos en una Unidad Organizativa (UO).
 


Este Script de Inicio lo crearemos en una Directiva de Grupo, asignada a la UO deseada; La Directiva comenzará a actuar y el script se encargará de realizar las tareas que hayamos configurado en el script;
 


en nuestro caso nuestro script de inicio se encargará de conectar automáticamente a ciertas unidades de red existentes en este servidor (o en otro de la red).

 

En este artículo:

 

 

1. CREANDO UNA UNIDAD ORGANIZATIVA (UO) EN ACTIVE DIRECTORY

 
Para utilizar el script de inicio, ha de existir una GPO o Directiva de grupo, que se aplicará a una Unidad Organizativa o Grupo de seguridad de usuarios en nuestro dominio de Active Directory.

  • Primero, en Usuarios y equipos de Active Directory, creamos una nueva Unidad Organizativa (UO).
  • El nombre de la nueva UO será Test.
    • Para crear la UO, abrimos el Administrador del Servidor Windows Server 2016, y en la parte superior de la pantalla veremos la opción “Herramientas“. Lo desplegamos y pulsamos sobre “Usuarios y equipos de Active Directory“.

usuarios y equipos de active directory 2016

 

  • Se abrirá el panel de Active Directory Users and Computers
    • Y crearemos una nueva Unidad Organizativa (UO) que incluirá ciertos usuarios y grupos de usuarios, para después aplicarle a esa UO una GPO con un Logon Script (Script de Inicio).

crear nueva unidad organizativa windows server 2016
 

 

2. CREAMOS UN GRUPO DE SEGURIDAD Y USUARIOS EN AD

 

  • Tras lo anterior, creamos un grupo de seguridad dentro de la Unidad Organizativa “Test” , y un usuario, y lo asignamos a dicho grupo de seguridad.

 

En este caso creamos el usuario “testuser“, y el grupo de seguridad con el nombre “GrupoTest” :

crear grupo de seguridad y usuario de grupo de seguridad windows server 2016

 
 

  • Después vamos a Tools (Herramientas) / Group Policy Management

group policy management - windows server 2016

Si nuestro Server 2016 está en español, hemos de buscar “Administración de Directivas de grupo“.

 

 

3. CREACIÓN DE NUEVA GPO (Directiva de Grupo) PARA APLICAR A GRUPO DE SEGURIDAD DE ACTIVE DIRECTORY.

 

  • Creamos una nueva GPO (Directiva de Grupo), pulsando click derecho sobre el grupo de seguridad “Test“, y seleccionando la opción:
    • Create  a GPO in this domain, and link it here…

 

create a gpo | windows server 2016

 

 

  • Damos un nombre a la nueva GPO que se aplicará en el Grupo de SeguridadTest“.

new gpo - windows server 2016
 

 

  • Vemos que se ha creado un enlace de la nueva GPO (llamada “GPO – Test“), a la nueva UO “Test

enlace de la nueva gpo a la unidad organizativa win server 2016
 

 

  • Y ya podemos editar la nueva GPO creada, con clik derecho/Edit (Editar)

edit gpo - win server 2016
 

 

4. EDITAR GPO Y CONFIGURAR LOGON SCRIPTS

 

  • Abrimos la GPO con editar, y vamos a configurar los Logon Scripts (Scripts de inicio).
    • Nos movemos a: User Configuration/ Windows Settings / Scripts (Logon/Logoff)
    • Pulsamos sobre Logon (accedemos a Scripts de Inicio)
    • Pulsamos sobre Add (para añadir Logon Scripts)

     gpo logon scripts - win server

  •  

     

    • Después de Add, pulsamos Browse, para navegar y encontrar el script deseado:

    logon scripts browse
     

     

    • En la ubicación que se abre (el directorio de Logon Scripts de esta GPO), creamos y editamos un archivo .bat, configurando que conecte a ciertas unidades de red al inicio:

    gpo scripts logon bat file
     

     

    4.1 Configurar Script/batch de Inicio (Logon Script)

     

    • El archivo test.bat realizará lo siguiente:

    bat para conectar a unidad de red al inicio - windows server

     

    Este archivo .bat actuará como script de inicio, y realizará las acciones:

    net use s: /delete

    Borrará la unidad de red s:
     

    net use t: \\192.168.***.***\test

    Conectará a la unidad de red “test” situada en el server 192.168.***.***

     

     

    • Finalmente ejecutamos gpupdate /force para actualizar la configuración del server y la nueva directiva de grupo (GPO) comenzará a actuar.

    gpupdate /force

     

    Y tras toda esta configuración, al iniciar sesión con el usuario creado, se aplicará la directiva GPO creada para ese grupo, y por tanto el Logon Script (Script de Inicio) configurado en la Directiva de Grupo (GPO), y se conectará a las unidades de Red especificadas en el script (usando el comando net use) al iniciar sesión el usuario y validarse contra el Servidor de Dominio de Active Directory.
     

     

    4.1.2 Info sobre el comando net use

    net use | windows
     
    Más info sobre el comando net use