meta data de esta página
, , ,

GPOs para entornos VDI

Cuando desplegamos un pool con escritorios windows en dominio, podemos notar que las directivas no se aplican instantáneamente, esto es debido al tiempo de refresco de políticas que tiene Windows por defecto. En los entornos VDI donde las maquinas no persisten en el tiempo, necesitamos aplicar las políticas de manera rápida ya que las maquinas serán destruidas una vez que el usuario cierre su sesión. 

Por ello la recomendación es aplicar directivas locales a las configuraciones del equipo y directivas de dominio a las configuraciones para los usuarios.

Crear una OU (organization unit) en el AD para almacenar todas los ordenadores VDI y sub-ou para cada versión distinta de escritorio. Sobre cada una de esas OU se aplicaran las distintas GPO

Crear dos GPO distintas; una especifica para definir las políticas sobre la máquina y otra específica sólo para todos los usuarios.

Siempe hay que procurar no definir políticas de dominio para la máquina, ya que esas configuraciones es mejor definirlas como políticas locales en la plantilla

Directivas locales

Ejecutamos en la plantilla maestra el archivo GPEDIT.MSC

Directivas locales genéricas

Elemento Ruta Explicación
Reporte de erroresPlantillas Administrativas → Componentes de Windows →Informe de errores de Windows
Desactivar el informe de errores de Windows: Habilitado 		Desactiva el envío de informes de errores a Microsoft. Conviene desactivarlo a menos que haya que realizar troubleshooting de alguna aplicación
WindowsUpdatePlantillas Administrativas →Componentes de Windows →WindowsUpdate
Configurar actualizaciones automáticas: Deshabilitado 		Las actualizaciones de Windows se deben realizar sobre la plantilla maestra
Restauración del sistemaPlantillas Administrativas →Sistema →Restaurar sistema
Desactivar restaurar sistema: Habilitado 		No es necesario ya que los escritorios virtuales van a estar basados en una plantilla maestra

Directivas locales para escritorios no permanentes

Elemento Ruta Explicación
Tiempo de actualización de políticas Configuracion de equipo → plantillas administrativas → sistema → Directiva de grupo
establecer tiempo de update de policys

DESACTIVAR EL SERVER MANAGER EN EL LOGON

  • Path → Configuración del Equipo→Plantillas Administrativas →Sistema →Administrador del Servidor
  • Directiva→ No mostrar el Administrador del servidor automáticamente al iniciar sesión
  • Estado→ Habilitar

DESACTIVAR EL EVENT TRACKER EN WINDOWS SERVER 

  • Policy: Display Shutdown Event Tracker 
  • Category path: Computer configuration\Administrative Templates\System\
  • State: Disabled 

DESACTIVAR EL FIRST RUN DE WINDOWS MEDIA PLAYER 

  • Policy: Do Not Show First Use Dialog Boxes 
  • Category Path: Computer Configuration\Administrative Templates\Windows Components\Windows media player\ 

DESACTIVAR EL FIRST RUN POP UP DE INTERNET EXPLORER 

  • Policy:  Prevent performance of First Run Customize Settings 
  • Category Path:   Configuration\Policies\Administrative Templates\Policy definitions\Windows Components \Internet Explorer\ 

GPOs de Dominio

Elemento Ruta Explicación
Salvapantallas Plantillas Administrativas →Panel de Control →Personalización→
Activar salvapantallas: Habilitado
Prevenir cambios en el salvapantallas: Habilitado
Salvapantallas con protección por contraseña: Habilitado
Tiempo de activación de salvapantallas: 600 s
Forzar salvapantallas específico: scrnsave.scr 		Se define el salvapantallas básico para asegurar el escritorio virtual sin consumir recursos

Plantillas Administrativas

Tiempo de carga de las GPOs

Ejecutando como administrador una consola de comandos y ejecutando 

gpresult /h c:\temp\gpreport.html
podemos comprobar si tenemos algún problema con alguna política y los tiempo de carga de las mismas

Referencias