Archivos de la categoría: GPO

Cuentas con privilegios locales en productos de System Center

Hola Mundo:
Los productos de System Center están orientados, principalmente, a la administración. Por lo tanto,
es necesario que estas herramientas tengan los privilegios adecuados, ni más ni menos, para poder realizar operaciones propias de la administración con ellas.
Es el caso de System Center Operations Manager en el que la plataforma debe tener acceso  a la máquina que será monitoreada para la instalación del agente, ya sea en cualquier plataforma, o bien, para la ejecución de procesos propios del monitoreo. Esta cuentas son las Action Account y RunAs Accounts. También existen otras cuentas de mantenimiento que no serán tocadas en este artículo.
Por su parte, System Center Configuration Manager, tiene que ser capaz de realizar la instalación del agente, Client Push Installation Account, o poder subir a la máquina al dominio, en caso de estar ejecutando un Task Sequence de distribución de sistemas operativos que incluya esa tarea.

En muchos casos, también se debe configurar una cuenta para que la máquina pueda acceder a los recursos en red para la obtención de un paquete. En los dos últimos casos, esta cuenta se llama Network Access Account.
Es una muy buena práctica y altamente recomendado que las cuentas a configurar no tengan privilegios sobre el dominio. Solo deben poder autenticarse. Es un riesgo innecesario que las cuentas tengan privilegios de administrador de dominio. 
La creación de una cuenta que tenga permisos de administración local de las máquinas administradas no es proceso distinto a como cuando se crea una cuenta de usuario en Active Directory.  
Lo que si es necesario es la configuración de una política de dominio para que esta cuenta se miembro del  grupo de administradores de la máquina.
Para crear esta política ir a la herramienta de administración de políticas de grupo (se requiere permisos sobre el dominio para llevar a cabo esta acción). Idealmente, esta cuenta no debe expirar. En el caso de cambio de contraseña, actualizar las configuraciones realizadas en la plataforma.
Crear una nueva política y asignarle un nombre descriptivo.
En el editor de políticas, navegar hacia: Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Groups
Crear una nueva definición de grupo. Tener muy en cuenta que la acción Update no quitará los otros miembros que ya forman parte del grupo de administradores local de las máquinas. El ámbito de esta configuración solo aplica a nivel local de las máquinas clientes.
En el combo box se debe seleccionar el grupo Administrators (built-in)
En la última porción del cuadro, se debe agregar los miembros. Aquí es donde se agrega la cuenta que se creó para este propósito. La acción debe ser  Add to this group.
Así se verá el cuadro una vez que se hayan realizado las configuraciones necesarias
Dándole OK a todos los cuadros, la política queda lista para ser enlazada a una OU de computadores y las cuentas listas para ser configuradas.
Sobre los detalles de cuentas de SCCM y SCOM visitar los enlaces:
Espero que sea de su utilidad.

Problema: Falta de configuración de Sufijo DNS

Hola Mundo:

En todas las organizaciones que cuentan  con el servicio de Active Directory y DNS para la
administración de objetos de equipos, cuentas y políticas, las máquinas pueden tener conectividad a otras máquinas solo usando el nombre, siendo no necesario usar el FQDN.

Por ejemplo:

En ambos casos se ve que el ping funciona correctamente. La otra máquina responde indistintamente si se llama a través de su nombre de máquina o de su FQDN.
Esto se debe al sufijo DNS. Cuando se invoca a una máquina solo por el nombre, la configuración de sufijo de DNS agrega el nombre de dominio como sufijo. En el ejemplo, el sufijo está configurado como bluesolutions.cl.
En el caso que no esté configurado, se puede configurar a través de una GPO:
Una vez esto, desplegar la política a las OU correspondientes y forzar la actualización de polítvas en los clientes.

Agregar reloj a escritorios de Terminal Services

Hola gente, en este post bien cortito, explicare una problematica y su solucion.
Para los que han trabajado con Microsoft Terminal Services y con este sirven a cientos de escritorios para clientes flacos, se han dado cuenta que los mismos usuarios tienen que aregar el reloj a la barra de tareas, ya que por politicas propias de Terminal Services deshabilita el reloj, porque produce retardos en la conexion y bla bla bla.
La solucion para por modificar una clave en el Registro de Windows. Para esto:

GPMC->User Configuration -> Windows Settings -> Preferences -> Registry

Dentro de eso, nos vamos a: New->Registry Item y seteamos la siguiente ruta:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerStuckRects2

Vamos a encontrar un valor mas o menos asi:
28 00 00 00 FF FF FF FF 8A 00 00 00 03 00 00 00 3C 00 00 00 1E 00 00 00 FE FF FF FF 3C 02 00 00 22 03 00 00 5A 02 00 00
Y lo cambiaremos, cosa que quede asi
28 00 00 00 FF FF FF FF 02 00 00 00 03 00 00 00 3C 00 00 00 1E 00 00 00 FE FF FF FF 3C 02 00 00 22 03 00 00 5A 02 00 00

Guardamos, cerramos e iniciamos sesion como un usuario comun y corriente y veremos el reloj 😀