Al mover los Group Policy Objects (GPOs en adelante) entre dominios o bosques de dominios, debemos asegurarnos que sus datos específicos se mantengan independientemente de su ubicación.
Para ello, hablamos de mantener tablas de migración, estas tablas permiten alterar referencias cuando movemos un GPO de un dominio a otro o de un bosque a otro. Este caso puede darse por ejemplo, cuando estamos migrando un GPO para hacer un deploy de un software y debemos cambiar la ruta de la carpeta compartida donde tenemos los instaladores de dicho software, de forma tal que siga siendo válido y relevante para el controlador de dominio objetivo.
Podemos abrir la Migration Table Editor (MTE en adelante) haciendo click derecho en dominios en el GPMC y haciendo click en abrir editor de tabla de migración.
Cuando utilizamos el MTE podemos elegir llenarlo con un GPO que ya exista en el dominio o podemos llenarlo con un GPO que hayamos respaldado previamente, las configuraciones que se cargan pertenecen al ámbito local, por lo que si no se muestran configuraciones quiere decir que no hay elementos que hagan referencia a dicho ámbito local en el GPO que vamos a migrar.
Delegación de la administración de los GPO
Cuando existe una gran organización con una gran cantidad de dominios y de equipos, muchas veces nos encontramos que la responsabilidad de la administración del sistema recae en varias personas o técnicos IT; por lo tanto la delegación es la forma que tenemos de dar permisos a usuarios y grupos específicos para que realicen una o varias tareas puntuales.
Algunas de las tareas que podemos delegar son las siguientes:
Los usuarios que pertenecen a los grupos Domain Admins y Enterprise Admins pueden realizar todas las tareas de administración de los GPOs, los usuarios pertenecientes al grupo de dominio Group Policy Creator Owners pueden crear GPOs, así como también pueden editar y remover los GPOs que ellos mismos hayan creado.
Podemos hacer la delegación directamente en el GPMC como vemos a continuación.
Delegar Creación de GPO
Para delegar la creación de los GPOs debemos seguir los siguientes pasos.
Delegar Edición de GPO
Para darle permisos a un usuario o grupo de editar los GPOs debemos realizar lo siguiente:
Para ello, hablamos de mantener tablas de migración, estas tablas permiten alterar referencias cuando movemos un GPO de un dominio a otro o de un bosque a otro. Este caso puede darse por ejemplo, cuando estamos migrando un GPO para hacer un deploy de un software y debemos cambiar la ruta de la carpeta compartida donde tenemos los instaladores de dicho software, de forma tal que siga siendo válido y relevante para el controlador de dominio objetivo.
Podemos abrir la Migration Table Editor (MTE en adelante) haciendo click derecho en dominios en el GPMC y haciendo click en abrir editor de tabla de migración.
Cuando utilizamos el MTE podemos elegir llenarlo con un GPO que ya exista en el dominio o podemos llenarlo con un GPO que hayamos respaldado previamente, las configuraciones que se cargan pertenecen al ámbito local, por lo que si no se muestran configuraciones quiere decir que no hay elementos que hagan referencia a dicho ámbito local en el GPO que vamos a migrar.
Delegación de la administración de los GPO
Cuando existe una gran organización con una gran cantidad de dominios y de equipos, muchas veces nos encontramos que la responsabilidad de la administración del sistema recae en varias personas o técnicos IT; por lo tanto la delegación es la forma que tenemos de dar permisos a usuarios y grupos específicos para que realicen una o varias tareas puntuales.
Algunas de las tareas que podemos delegar son las siguientes:
- Creación de GPO
- Modificación de GPO
- Enlazar los GPOs a ciertas ubicaciones o unidades organizacionales.
Los usuarios que pertenecen a los grupos Domain Admins y Enterprise Admins pueden realizar todas las tareas de administración de los GPOs, los usuarios pertenecientes al grupo de dominio Group Policy Creator Owners pueden crear GPOs, así como también pueden editar y remover los GPOs que ellos mismos hayan creado.
Podemos hacer la delegación directamente en el GPMC como vemos a continuación.
Delegar Creación de GPO
Para delegar la creación de los GPOs debemos seguir los siguientes pasos.
- Debemos abrir el GPMC en el menú de herramientas en el administrador de servidor.
- Expandimos el dominio en el que queremos delegar la posibilidad de crear GPOs, hacemos click en Group Policy Objects y nos dirigimos a la pestaña de delegación.
- Hacemos click en Add, y adicionamos los grupos o usuarios a los que queramos delegar esta función en el dominio.
Delegar Edición de GPO
Para darle permisos a un usuario o grupo de editar los GPOs debemos realizar lo siguiente:
- Hacer click en el GPO en el GPMC.
- Hacer click en la pestaña de delegación.
- Hacer click en Add, para agregar los usuarios o grupos de usuarios que deben tener permiso para editar los GPOs, entonces debemos especificar los permisos que debe tener. Podemos elegir los siguientes permisos disponibles:
- Lectura
- Edición de configuración
- Edición de configuración, borrar, modificar la seguridad
