GPO Logon Script | Aplicar GPO´s y Scripts de inicio en Server 2016

Vamos a ver cómo aplicar un GPO Logon Script (Directivas de Grupo con Scripts de inicio) a grupos de seguridad en Windows Server 2016.

 
Una GPO (Group Policy Object) o Directiva de Grupo, es un conjunto de configuraciones que definen cómo funcionará un sistema Windows y cómo se comportará para un grupo definido de usuarios. Es especialmente útil y aplicado en servidores Windows integrados en un dominio de Active Directory.

 
Si creamos una GPO (Group Policy Object – Directiva de Grupo) podremos configurar cientos de opciones muy interesantes en nuestro server.
 
En este caso vamos a configurar un Script de inicio (Logon Script) para un grupo de usuarios contenidos en una Unidad Organizativa (UO).
 
Este Script de Inicio lo crearemos en una Directiva de Grupo, asignada a la UO deseada; La Directiva comenzará a actuar y el script se encargará de realizar las tareas que hayamos configurado en el script;
 
en nuestro caso nuestro script de inicio se encargará de conectar automáticamente a ciertas unidades de red existentes en este servidor (o en otro de la red).

En este artículo:

• 1. CREANDO UNA UNIDAD ORGANIZATIVA (UO) EN ACTIVE DIRECTORY
• 2. CREAMOS UN GRUPO DE SEGURIDAD Y USUARIOS EN AD
• 3. CREACIÓN DE NUEVA GPO (Directiva de Grupo) PARA APLICAR A GRUPO DE SEGURIDAD DE ACTIVE DIRECTORY.
• 4. EDITAR GPO Y CONFIGURAR LOGON SCRIPTS
  • 4.1 Configurar Script/batch de Inicio en GPO (GPO Logon Script)
    • 4.1.2 Info sobre el comando net use

1. CREANDO UNA UNIDAD ORGANIZATIVA (UO) EN ACTIVE DIRECTORY

 
Para utilizar el script de inicio, ha de existir una GPO o Directiva de grupo, que se aplicará a una Unidad Organizativa o Grupo de seguridad de usuarios en nuestro dominio de Active Directory.

• Primero, en Usuarios y equipos de Active Directory, creamos una nueva Unidad Organizativa (UO).
• El nombre de la nueva UO será Test.
  • Para crear la UO, abrimos el Administrador del Servidor Windows Server 2016, y en la parte superior de la pantalla veremos la opción “Herramientas“. Lo desplegamos y pulsamos sobre “Usuarios y equipos de Active Directory“.

• Se abrirá el panel de Active Directory Users and Computers
  • Y crearemos una nueva Unidad Organizativa (UO) que incluirá ciertos usuarios y grupos de usuarios, para después aplicarle a esa UO una GPO con un Logon Script (Script de Inicio).

2. CREAMOS UN GRUPO DE SEGURIDAD Y USUARIOS EN AD

• Tras lo anterior, creamos un grupo de seguridad dentro de la Unidad Organizativa “Test” , y un usuario, y lo asignamos a dicho grupo de seguridad.

En este caso creamos el usuario “testuser“, y el grupo de seguridad con el nombre “GrupoTest” :

• Después vamos a Tools (Herramientas) / Group Policy Management

Si nuestro Server 2016 está en español, hemos de buscar “Administración de Directivas de grupo“.

3. CREACIÓN DE NUEVA GPO (Directiva de Grupo) PARA APLICAR A GRUPO DE SEGURIDAD DE ACTIVE DIRECTORY.

• Creamos una nueva GPO (Directiva de Grupo), pulsando click derecho sobre el grupo de seguridad “Test“, y seleccionando la opción:
  • Create  a GPO in this domain, and link it here…

• Damos un nombre a la nueva GPO que se aplicará en el Grupo de Seguridad “Test“.

• Vemos que se ha creado un enlace de la nueva GPO (llamada “GPO – Test“), a la nueva UO “Test“

• Y ya podemos editar la nueva GPO creada, con clik derecho/Edit (Editar)

4. EDITAR GPO Y CONFIGURAR LOGON SCRIPTS

• Abrimos la GPO con editar, y vamos a configurar los Logon Scripts (Scripts de inicio).
  • Nos movemos a: User Configuration/ Windows Settings / Scripts (Logon/Logoff)
  • Pulsamos sobre Logon (accedemos a Scripts de Inicio)
  • Pulsamos sobre Add (para añadir Logon Scripts)

   

 

 

• Después de Add, pulsamos Browse, para navegar y encontrar el script deseado:


 

 

• En la ubicación que se abre (el directorio de Logon Scripts de esta GPO), creamos y editamos un archivo .bat, configurando que conecte a ciertas unidades de red al inicio:


 

 

4.1 Configurar Script/batch de Inicio (Logon Script)

 

• El archivo test.bat realizará lo siguiente:

 

Este archivo .bat actuará como script de inicio, y realizará las acciones:

net use s: /delete

Borrará la unidad de red s:
 

net use t: \\192.168.***.***\test

Conectará a la unidad de red “test” situada en el server 192.168.***.***

• Finalmente ejecutamos gpupdate /force para actualizar la configuración del server y la nueva directiva de grupo (GPO) comenzará a actuar.

Y tras toda esta configuración, al iniciar sesión con el usuario creado, se aplicará la directiva GPO creada para ese grupo, y por tanto el Logon Script (Script de Inicio) configurado en la Directiva de Grupo (GPO), y se conectará a las unidades de Red especificadas en el script (usando el comando net use) al iniciar sesión el usuario y validarse contra el Servidor de Dominio de Active Directory.
 

4.1.2 Info sobre el comando net use

 
Más info sobre el comando net use