{{tag> gpo vdi directivas políticas}}
===== GPOs para entornos VDI =====
Cuando desplegamos un pool con escritorios windows en dominio, podemos notar que las directivas no se aplican instantáneamente, esto es debido al tiempo de refresco de políticas que tiene Windows por defecto. En los entornos VDI donde las maquinas no persisten en el tiempo, necesitamos aplicar las políticas de manera rápida ya que las maquinas serán destruidas una vez que el usuario cierre su sesión.
Por ello la recomendación es aplicar directivas locales a las configuraciones del equipo y directivas de dominio a las configuraciones para los usuarios.
Crear una OU (organization unit) en el AD para almacenar todas los ordenadores VDI y sub-ou para cada versión distinta de escritorio. Sobre cada una de esas OU se aplicaran las distintas GPO
Crear dos GPO distintas; una especifica para definir las políticas sobre la máquina y otra específica sólo para todos los usuarios.
Siempe hay que procurar no definir políticas de dominio para la máquina, ya que esas configuraciones es mejor definirlas como políticas locales en la plantilla
==== Directivas locales ====
Ejecutamos en la plantilla maestra el archivo GPEDIT.MSC
=== Directivas locales genéricas ===
^Elemento ^Ruta ^Explicación ^
|Reporte de errores|Plantillas Administrativas -> Componentes de Windows ->Informe de errores de Windows \\ Desactivar el informe de errores de Windows: **Habilitado** | Desactiva el envío de informes de errores a Microsoft. Conviene desactivarlo a menos que haya que realizar troubleshooting de alguna aplicación|
|WindowsUpdate|Plantillas Administrativas ->Componentes de Windows ->WindowsUpdate \\ Configurar actualizaciones automáticas: **Deshabilitado** | Las actualizaciones de Windows se deben realizar sobre la plantilla maestra |
|Restauración del sistema|Plantillas Administrativas ->Sistema ->Restaurar sistema \\ Desactivar restaurar sistema: **Habilitado** |No es necesario ya que los escritorios virtuales van a estar basados en una plantilla maestra |
=== Directivas locales para escritorios no permanentes ===
^ Elemento ^ Ruta ^ Explicación ^
| Tiempo de actualización de políticas | Configuracion de equipo -> plantillas administrativas -> sistema -> Directiva de grupo \\ establecer tiempo de update de policys | |
=== DESACTIVAR EL SERVER MANAGER EN EL LOGON ===
* Path -> Configuración del Equipo->Plantillas Administrativas ->Sistema ->Administrador del Servidor
* Directiva-> No mostrar el Administrador del servidor automáticamente al iniciar sesión
* Estado-> Habilitar
=== DESACTIVAR EL EVENT TRACKER EN WINDOWS SERVER ===
* Policy: Display Shutdown Event Tracker
* Category path: Computer configuration\Administrative Templates\System\
* State: Disabled
=== DESACTIVAR EL FIRST RUN DE WINDOWS MEDIA PLAYER ===
* Policy: Do Not Show First Use Dialog Boxes
* Category Path: Computer Configuration\Administrative Templates\Windows Components\Windows media player\
=== DESACTIVAR EL FIRST RUN POP UP DE INTERNET EXPLORER ===
* Policy: Prevent performance of First Run Customize Settings
* Category Path: Configuration\Policies\Administrative Templates\Policy definitions\Windows Components \Internet Explorer\
==== GPOs de Dominio ====
^ Elemento ^ Ruta ^ Explicación ^
| Salvapantallas | **Plantillas Administrativas ->Panel de Control ->Personalización->** \\ __Activar salvapantallas:__ Habilitado\\ __Prevenir cambios en el salvapantallas:__ Habilitado \\ __Salvapantallas con protección por contraseña:__ Habilitado\\ __Tiempo de activación de salvapantallas:__ 600 s \\ __Forzar salvapantallas específico:__ scrnsave.scr | Se define el salvapantallas básico para asegurar el escritorio virtual sin consumir recursos |
==== Plantillas Administrativas ====
* Para windows 2012 R2 -> https://www.microsoft.com/es-ES/download/confirmation.aspx?id=41193
* https://blog.soporteti.net/plantillas-administrativas-gpos-office-chrome-mas/
==== Tiempo de carga de las GPOs ====
Ejecutando **como administrador ** una consola de comandos y ejecutando gpresult /h c:\temp\gpreport.html podemos comprobar si tenemos algún problema con alguna política y los tiempo de carga de las mismas
==== Referencias ====
* https://www.maquinasvirtuales.eu/hardening-citrix-xenapp/
* https://www.maquinasvirtuales.eu/deshabilitar-acceso-a-consola-cmd-o-powershell-a-usuarios-citrix/
* https://www.maquinasvirtuales.eu/hardening-editar-settings-ctrlaltsupr/
* https://www.maquinasvirtuales.eu/hardening-systemsettings-exe/
* https://www.carlstalhood.com/group-policy-objects-vda-computer-settings/
* https://itadmins.es/group-policies-entendiendo-loopback/
* http://woshub.com/troubleshoot-slow-gpo-processing-and-login-speed-impact/