Les GPOs permeten centralitzar la configuració dels equips i usuaris de la xarxa. Són el nostre aliat en les configuracions, estalviant molta feina. En l’àmbit de configuració dels usuaris i la xarxa, ja s’ha vist com redirigir les carpetes d’usuari amb el perfil mòbil. Però falten les carpetes departamentals o de recursos i les famoses impressores.

Les unitats de xarxa és més un vestigi del passat que una necessitat actual. Una herència de Novell NetWare, en que els usuaris ens vam acostumar a tenir unitats de discs amb diferents lletres, on trobar i guardar la informació. Microsoft Windows NT va continuar aquesta herència mitjançant l’execució de scripts (batch o VisualBasic Script) quan l’usuari inicia la sessió i que arriba als nostres dies.

Amb el tema de les impressores es complica una mica més. Cada equip requereix de la instal·lació del propi controlador (driver). Si que es poden establir impressores en xarxa, però quan l’usuari intenta “capturar” la impressora, si no té els privilegis corresponents, no es realitza la càrrega del controlador i, per tant, la impressora no s’instal·la.

Amb els “nous” sistemes operatius, parlo de Windows Vista cap amunt, ja no cal establir la programació de les assignacions amb scripts. Es pot configurar còmodament des de les pròpies GPOs del Active Directory, aplicant els filtres dels grups de seguretat o consultes WMI.

Assignació unitats de xarxa

La configuració s’explica mitjançant un exemple perquè sigui més entenedor. Suposem que tenim una xarxa amb una zona de documents comuns, posem per cas la carpeta General. A més, cada departament necessita tenir a mà la unitat de xarxa del departament. En l’exemple s’utilitza el departament de Finances i el de Recursos Humans. Es pretén que quan un usuari del departament de Finances iniciï sessió, la seva unitat V correspongui a Finances i la unitat W a la carpeta General. En el cas de l’usuari del departament de Recursos Humans, la seva unitat V ha de correspondre a Recursos Humans i la seva unitat W a la carpeta General.

Per començar s’ha de disposar de les carpetes en el servidor de fitxers creades amb els permisos corresponents i compartides. S’utilitzen els permisos de grups de seguretat, NO d’usuaris.

En el servidor de fitxers, a la unitat de dades, crear una carpeta Departaments mitjançant l’Explorador de Windows. Amb la carpeta creada, botó dret, Propiedades. Seleccionar la pestanya Seguridad. La carpeta s’ha creat amb els permisos per defecte, clicar al botó Opciones avanzadas.

Clicar el botó Deshabilitar herencia, per reescriure els permisos.

A la pregunta que fa, es pot optar per fer una còpia dels permisos actuals o bé esborrar-ho tot per escriure des de 0. En el cas de les carpetes de fitxers que no intervenen serveis pel mig, pot ser una opció adequada. Però recordar que hi pot haver serveis o aplicacions que requereixin d’accés a les carpetes amb l’usuari SYSTEM per treballar correctament. Seleccionar Quitar todos los permisos heredados de este objeto.

Fixar-nos que només deixa el grup d’usuaris Administradors local amb permisos de control total Només a la carpeta arrel. Aquí cadascú segons la seva necessitat. Recordar la LOPD. Clicar el botó Agregar per afegir el grup Usuaris corporatius (un grup de seguretat propi que conté tots els usuaris físics que han d’accedir a les dades).

Seleccionar el tipus Permitir i aplicat només a aquesta carpeta. Els permisos que necessiten són els de Lectura y ejecución, Mostrar el contenido de la carpeta i Lectura. Clicar el botó Aceptar quan sigui correcte.

Tornar a clicar el botó Aceptar, per validar les modificacions de permisos de la carpeta i un altre cop Aceptar per tancar el quadre de diàleg que queda obert.

Accedir dins la carpeta i crear les tres carpetes necessàries: General, Finances i Recursos Humans.

Seleccionar la carpeta General, botó dret, Propiedades. Clicar a la pestanya Compartir. Clicar el botó Uso compartido avanzado per compartir la carpeta.

Marcar l’opció Compartir esta carpeta. Indicar el nom amb el què es comparteix la carpeta: General.

Clicar el botó Permisos, per establir els permisos del recurs compartir que es sumen als de seguretat. Personalment, no m’agrada controlar els permisos de les carpetes mitjançant el recurs compartit pel que indico permís a TOTS amb Control Total. Clicar el botó Aceptar.

Com que no és una carpeta on s’hagin de poder utilitzar els fitxers sense connexió, per evitar que algú en faci ús, es desactiva aquesta característica. Clicar el botó Caché, seleccionar Ningún archivo o programa de la carpeta compartida estará disponible sin conexión. Clicar Aceptar dos cops per acceptar les modificacions de la carpeta compartida.

Clicar a la pestanya Seguridad, botó Opciones avanzadas. Clicar el botó Agregar.

Indicar el grup de seguretat Usuaris corporatius. Tipus Permitir i s’aplica a Esta carpeta, subcarpetas y archivos. En quant a permisos, reservo el dret d’establir permisos als fitxers i carpetes que es puguin crear només als administradors, pel que només s’assignen permisos de Modificar, Lectura y ejecución, Mostrar el contenido de la carpeta, Lectura y Escritura. No s’assigna el de Control total per evitar que un usuari bloquegi els permisos als altres. Clicar el botó Aceptar tres cops per guardar la configuració.

És important establir la configuració de permisos de les carpetes abans de posar-hi les dades i assignar sempre els permisos a grups de seguretat, no a usuaris. Amb les carpetes plenes de dades i amb permisos assignats als usuaris és molt carregós modificar els permisos.

Repetir el procés per les carpetes de Finances i Recursos Humans, però en comptes de posar el grup de seguretat usuaris corporatius, s’assigna el grup que li pertoca: finances i recursos humans; respectivament. Al final, a l’accedir per xarxa al servidor de fitxers, \\srvdc.laboratoris.local\ es poden veure les carpetes compartides de General, Finances i Recursos humans, entre les altres que hi ha compartides.

Realitzant la prova d’accés des d’un client, amb un dels usuaris, es pot comprovar que pot accedir a la carpeta General i Finances o Recursos Humans, segons l’usuari pertanyi a un departament o altre; i es denega l’accés a la que no correspon.

El següent pas és connectar les unitats de xarxa a aquestes carpetes. Es pot fer manualment a cada usuari, seleccionant la carpeta compartida del servidor, botó dret, Conectar a unidad de red. Seleccionar la unitat que es vol assignar, marcar que torni a connectar quan l’usuari torni a iniciar la sessió i clicar a Finalitzar.

Està bé per moments o situacions puntuals, però quan tens una xarxa desplegada, no hi ha res com configurar-ho des del servidor per a tots els usuaris.

Obrir l’Administrador de directives de grup (Administrador del servidor > Herramientas). Desplegar l’arbre fins a la carpeta Objetos de Directiva de Grupo, botó dret, seleccionar Nuevo.

Indicar un nom descriptiu, Capturar unitat General. Clicar el botó Aceptar.

Botó dret damunt la nova directiva que s’acaba de crear, seleccionar Editar.

Es configura una directiva que afecta als usuaris, no als equips. Per tant, desplegar la carpeta Configuración de usuario > Preferencias > Configuración de Windows. Seleccionar Asignaciones de unidades.

Per defecte mostra la pestanya Preferencias que facilita la comprensió de les directives. Botó dret a la zona en blanc, seleccionar Nuevo i Unidad asignada.

• Acción: Seleccionar Actualizar, perquè cada vegada que s’executi comprovi la connexió a aquesta unitat.

• Ubicación: Indicar la ruta UNC de la carpeta compartida: \\srvdc.laboratoris.local\General

• Etiquetar como: Nom que apareixerà damunt la unitat, per fer-ho més entenedor a l’usuari s’indica el nom descriptiu General.

• Letra de unidad: Marcar Usar la unitat…En el cas de la carpeta General hem dit que l’assignaríem a la unitat W.

La resta són opcions a marcar segons convingui en cada cas

• Connectar la unitat, però amb un altre usuari

• Amagar o ensenyar aquesta unitat.

• Amagar o ensenyar la resta d’unitats.

En cas de marcar, amagar o ensenyar la resta d’unitats, amaga totes les altres unitats menys la seleccionada. L’efecte és el que es mostra en la foto.

Seleccionar la pestanya Comunes. Parar atenció a Destinatarios de nivel de elemento. Marcar l’opció i clicar el botó Destinatarios…

Aquesta opció permet filtrar l’aplicació de la captura de la unitat segons una consulta, per exemple, si té pertinença a un grup de seguretat o no; què és el cas. Clicar el botó Nuevo elemento.

Seleccionar Grupo de seguridad.

A Grupo, especificar el grup Usuaris corporatius. Marcar l’opció Usuari en Grup. Clicar el botó Aceptar.

Clicar el botó Aceptar per tancar les propietats de la captura.

Repetir el procés de creació d’una nova assignació a la unitat V: per a Finances i Recursos Humans, definint a grups de seguretat els corresponents.

Alerta en assignar una mateixa unitat a dos departaments o recursos compartits diferents. Si un usuari pertany als dos departaments la captura no es realitza correctament, ja que una única unitat no pot apuntar a dos destins.

Establerta la política, cal aplicar-la a la unitat organitzativa on hi ha els usuaris. En aquest cas, seleccionar la unitat organitzativa Empresa, botó dret, clicar a Vincular una GPO existente.

Seleccionar la política Capturar unitat General, clicar el botó Aceptar.

En un client, comprovar les unitats de xarxa assignades. Si no s’actualitza la política i s’inicia de nou la sessió no apareixeran.

Iniciant de nou la sessió, s’assignen les unitats de xarxa corresponents al departament:

Un usuari que pertany al grup de seguretat Finances:

Un usuari que pertany al grup de seguretat Recursos Humans:

I les impressores?

És una part que molts cops s’obvia al principi i només ens recordem d’ella quan l’usuari ha d’imprimir i no troba la impressora. Sóc partidari de tenir les impressores instal·lades en un servidor de impressió. D’aquesta manera, es controla l’actualització de controladors, la configuració de les safates, memòria, dúplex, color, etc…sense haver d’anar usuari a usuari a configurar els 30 paràmetres de cada impressora.

En el servidor que correspongui, afegir i configurar les impressores corresponents mitjançant el Tauler de control, opció Dispositivos e impresoras. Clicar a Agregar una impresora.

Seleccionar la impressora que troba el cercador o bé, clicar a La impresora deseada no está en la lista. Clicar el botó Siguiente.

Per configurar una impressora de xarxa en el servidor de impressió, indicar Agregar una impresora por medio de una dirección TCP/IP o un nombre de host. Clicar Siguiente.

Inidicar el tipus de dispositiu (TCP/IP), l’adreça IP de la impressora i el nom que tindrà el port. Desmarcar el “piscu“ de consultar la impresora y seleccionar automáticamente el controlador de impresora que se debe usar, si no estem segurs que la impressora estigui engegada o volem especificar manualment el controlador. Clicar Siguiente.

L’assistent intentarà posar-se en contacte amb la connexió TCP per determinar el tipus de controlador.

Confirmar el controlador de xarxa que correspongui. Clicar el botó Siguiente.

Especificar el model i controlador de la impressora, en l’exemple una HP Color LaserJet 4600 PCL6. Clicar el botó Siguiente.

Indicar el nom de la impressora. Clicar el botó Siguiente.

Compartir la impressora, indicar el nom del recurs compartit i la ubicació, sobretot en empreses grans per no perdre’ns. Clicar el botó Siguiente.

Clicar el botó Finalizar.

Repetir el procés per a totes les impressores necessàries. Continuant l’exemple, es crea una impresora HP Color LaserJet 4730 PCL6 per a Recursos Humans.

També es poden crear més impressores apuntant al mateix port de xarxa i amb el mateix controlador, però amb configuracions diferents. M’explico, es pot crear una impressora que per defecte imprimeixi a doble cara, una altre que ho faci només per la safata 3 o en negre, etc…perquè l’usuari quan ha d’imprimir, si vol fer la doble cara només hagi de seleccionar la impressora de doble cara, o si ha d’imprimir amb paper membrat, ho faci per la safata correcte.

Crear una nova impressora per Finances, però al iniciar l’assistent, seleccionar l’opció Agregar una impresora local o de red con configuración manual. Clicar el botó Siguiente.

Seleccionar el port que correspon a la impressora de Finances. Clicar el botó Siguiente.

Seleccionar el controlador que correspon a la impressora. Clicar el botó Siguiente.

S’adverteix que el controlador ja està carregat. Marcar usar el controlador actualmente instalado. Clicar el botó Siguiente.

Nom descriptiu de la impressora. Clicar Siguiente.

Nom amb el què es compartirà la impressora a la xarxa i la seva ubicació. Clicar Siguiente.

Clicar el botó Finalizar per acabar l’assistent.

Aparentment, sembla que s’hagi deixat de crear la impressora, però no és així, sinó que ha agrupat sota el mateix port les diferents impressores.

Clicant amb el botó dret damunt la impressora, s’obre el menú d’opcions amb submenús. En els submenús indiquem les impressores associades al mateix port. Seleccionar Propiedades de impresora i HP 4600 PCL6 Finances – Doble cara.

Clicar la pestanya Opciones avanzadas, clicar el botó Valores de impresión per configurar les opcions predeterminades de la impressora.

Les opcions varien segons el model i la configuració física de cada impressora. Configurar segons correspon. Per seguir l’exemple, es marca que imprimeixi a doble cara per defecte.

Per evitar que usuaris d’un departament no imprimeixin per la impressora d’un altre, a la pestanya Seguridad es poden especificar aquests permisos. Eliminar el grup de seguretat Todos i afegir el grup de seguretat del departament amb els permisos que correspongui.

En cas de distribuir les impressores per directiva, cal que l’equip client tingui permís sobre la impressora, per tant, cal afegir el compte d’equip o el grup de seguretat Equipos del dominio perquè funcioni correctament.

Toca instal·lar les impressores corresponents a cada usuari o bé crear una política que ho faci per a nosaltres. Tornant a la GPO d’assignació d’unitats de xarxa, li podem canviar el nom per Capturar unitats de xarxa i impressores i Editar-la.

Desplegar l’arbre d’opcions, seleccionar Configuración de usuario > Preferencias > Configuración del Panel de control > Impresoras.

Surt una pantalla molt semblant a la d’assignació d’unitats de xarxa.Botó dret a la zona en blanc, seleccionar Nuevo i Impresora compartida.

Marcar l’acció Actualizar perquè la deixi sempre instal·lada i actualitzi els valors en cas que s’hagi modificat. Indiciar la ruta UNC de la impressora: \\srvdc.laboratoris.local\HP 4600 Finances i si la impressora ha de ser la predeterminada.

Seleccionar la pestanya Comunes, marcar Destinatarios de nivel de elemento i clicar el botó Destinatarios.

A l’igual que l’assignació d’unitats de xarxa, indicar el grup a qui ha de capturar la impressora. Per exemple, Finances.

Repetir el procés per a totes les impressores.

Comprovar el client abans d’assignar la política, no té les impressores assignades.

A l’actualitzar les polítiques de xarxa i iniciar la sessió de nou s’instal·len les impressores assignades.

I si no apareixen les impressores?

Recordar que es poden produir problemes d’assignació de les impressores si es restringeixen els grups de seguretat. Comprovar mitjançant el visor d’esdeveniments a l’apartat Aplicació que no es produeixen registres del tipus Acceso denegado.

En cas que s’hagi eliminat el grup de seguretat Todos de la impressora, cal afegir el compte d’equip o el grup de seguretat amb els equips on iniciaran sessió els usuaris com s’ha vist.

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

• Microsoft SQL Server con SMB3
• Microsoft SQL Server amb SMB3
• Containers en Linux
• Containers amb Linux
• Migrar el servidor de archivos a Windows Server 2019
• Migrar el servidor de fitxers a Windows Server 2019
• Puerta enlace a Azure en el Windows Admin Center
• Porta enllaç a Azure en el Windows Admin Center
• Hola mundo! WordPress 5 y Gutenberg
• Hola món! WordPress 5 i Gutenberg