Vamos a ver cómo aplicar un GPO Logon Script (Directivas de Grupo con Scripts de inicio) a grupos de seguridad en Windows Server 2016.
Una GPO (Group Policy Object) o Directiva de Grupo, es un conjunto de configuraciones que definen cómo funcionará un sistema Windows y cómo se comportará para un grupo definido de usuarios. Es especialmente útil y aplicado en servidores Windows integrados en un dominio de Active Directory.
Si creamos una GPO (Group Policy Object – Directiva de Grupo) podremos configurar cientos de opciones muy interesantes en nuestro server.
En este caso vamos a configurar un Script de inicio (Logon Script) para un grupo de usuarios contenidos en una Unidad Organizativa (UO).
Este Script de Inicio lo crearemos en una Directiva de Grupo, asignada a la UO deseada; La Directiva comenzará a actuar y el script se encargará de realizar las tareas que hayamos configurado en el script;
en nuestro caso nuestro script de inicio se encargará de conectar automáticamente a ciertas unidades de red existentes en este servidor (o en otro de la red).
En este artículo:
1. CREANDO UNA UNIDAD ORGANIZATIVA (UO) EN ACTIVE DIRECTORY
Para utilizar el script de inicio, ha de existir una GPO o Directiva de grupo, que se aplicará a una Unidad Organizativa o Grupo de seguridad de usuarios en nuestro dominio de Active Directory.
- Primero, en Usuarios y equipos de Active Directory, creamos una nueva Unidad Organizativa (UO).
- El nombre de la nueva UO será Test.
- Para crear la UO, abrimos el Administrador del Servidor Windows Server 2016, y en la parte superior de la pantalla veremos la opción “Herramientas“. Lo desplegamos y pulsamos sobre “Usuarios y equipos de Active Directory“.
- Se abrirá el panel de Active Directory Users and Computers
- Y crearemos una nueva Unidad Organizativa (UO) que incluirá ciertos usuarios y grupos de usuarios, para después aplicarle a esa UO una GPO con un Logon Script (Script de Inicio).
2. CREAMOS UN GRUPO DE SEGURIDAD Y USUARIOS EN AD
- Tras lo anterior, creamos un grupo de seguridad dentro de la Unidad Organizativa “Test” , y un usuario, y lo asignamos a dicho grupo de seguridad.
En este caso creamos el usuario “testuser“, y el grupo de seguridad con el nombre “GrupoTest” :
- Después vamos a Tools (Herramientas) / Group Policy Management
Si nuestro Server 2016 está en español, hemos de buscar “Administración de Directivas de grupo“.
3. CREACIÓN DE NUEVA GPO (Directiva de Grupo) PARA APLICAR A GRUPO DE SEGURIDAD DE ACTIVE DIRECTORY.
- Creamos una nueva GPO (Directiva de Grupo), pulsando click derecho sobre el grupo de seguridad “Test“, y seleccionando la opción:
- Create a GPO in this domain, and link it here…
- Damos un nombre a la nueva GPO que se aplicará en el Grupo de Seguridad “Test“.
- Vemos que se ha creado un enlace de la nueva GPO (llamada “GPO – Test“), a la nueva UO “Test“
- Y ya podemos editar la nueva GPO creada, con clik derecho/Edit (Editar)
4. EDITAR GPO Y CONFIGURAR LOGON SCRIPTS
- Abrimos la GPO con editar, y vamos a configurar los Logon Scripts (Scripts de inicio).
- Nos movemos a: User Configuration/ Windows Settings / Scripts (Logon/Logoff)
- Pulsamos sobre Logon (accedemos a Scripts de Inicio)
- Pulsamos sobre Add (para añadir Logon Scripts)
- Después de Add, pulsamos Browse, para navegar y encontrar el script deseado:
- En la ubicación que se abre (el directorio de Logon Scripts de esta GPO), creamos y editamos un archivo .bat, configurando que conecte a ciertas unidades de red al inicio:
4.1 Configurar Script/batch de Inicio (Logon Script)
- El archivo test.bat realizará lo siguiente:
Este archivo .bat actuará como script de inicio, y realizará las acciones:
net use s: /delete
Borrará la unidad de red s:
net use t: \\192.168.***.***\test
Conectará a la unidad de red “test” situada en el server 192.168.***.***
- Finalmente ejecutamos gpupdate /force para actualizar la configuración del server y la nueva directiva de grupo (GPO) comenzará a actuar.
Y tras toda esta configuración, al iniciar sesión con el usuario creado, se aplicará la directiva GPO creada para ese grupo, y por tanto el Logon Script (Script de Inicio) configurado en la Directiva de Grupo (GPO), y se conectará a las unidades de Red especificadas en el script (usando el comando net use) al iniciar sesión el usuario y validarse contra el Servidor de Dominio de Active Directory.
4.1.2 Info sobre el comando net use
Más info sobre el comando net use