Aplicando un simple filto WMI a una politica
Como sabemos, Active Directory es muy flexible en cuanto a la aplicación de política, y éstas, bien utilizadas pueden hacer que los administradores de red, una vez en la vida, puedan disfrutar un buen fin de semana.
Ahora bien, pueden darse situaciones donde las funciones "add-in" de las políticas no sean suficientes para lo que se quiere lograr, que el Block Inheritance o el Enfoce, no sea suficientes... digamos por ej. que cuando un usuario X se loguea en un servidor de terminal Y, no queremos que vea el disco D, pero solo en dicho caso...
Bueno, no hemos descubierto América, y si estuvieramos hablando de Active Directory de Windows 2000 ésto seria un gran problema, pero con Active Directory 2003 o superior, arribaron los filtros WMI
Que es WMI?
Para aquellos que no saben que es WMI, es un acrónimo de Windows Management Instrumentation.
Que es entonces un Filtro WMI?
Un filtro WMI es nada más ni nada menos que una consulta a WMI que se evalúa a Verdadero o Falso y en función de ello aplica o no un determinado gpo (Group Policy Object)
Desarrollando el Ejemplo
Para demostrar el uso de los WMI vamos a basarnos en el ejemplo que indicamos más arriba.
Definición: Necesitamos ocultar una serie de discos cuando el usuario se loguea a un equipo X.
Problema: La política "Hide these specified drives.." es parte de las politicas del usuario, por lo que si la aplicamos a nivel del usuario, el usuario no tendra disponible el disco oculto en NINGUNA pc a la que se loguee, y si se pudiera aplicar a nivel de equipo, tendriamos el problema que NINGUN USUARIO podría ver los drives ocultos en la PC en la que se aplique.
Solución: Crear una polítca con la configuración deseada a nivel de usuario pero solo se aplique cuando el usuario se loguee en la PC X. Para lograr esto, crearemos una política y un filtro WMI
Aplicación de la Solución
1) Creación del Filtro WMI: Lo primero que haremos es crear un nuevo filtro WMI. Ingresaremos a la GMPC (Group Policy Management Console), y navegaremos hasta WMI Filters (GPM -> Forest -> Domains -> NombreDelDominio -> WM Filters), allí, hacemos click con el botón derecho del mouse y seleccionamos New.
Indicamos un nombre para el nuevo filtro y una descripción, luego presionamos el botón "Add" para incorporar nuestra consulta.
En este caso, dado que queremos verificar que el logon se esta realizando en una determinada PC, indicaremos esto en la query, misma que quedaría de esta forma, suponiendo que la PC se llama "SATURNO"
SELECT * FROM Win32_ComputerSystem WHERE Name = 'SATURNO'
3) Creación de la Política: Una vez creado el filtro y disponible para ser utilizado en cualquier política, estamos en condiciones de crear la política. para ello recurriremos nuevamente a la GPMC (Group Policy Management Console) y nos ubicaremos en la OU que contiene al usuario, allí haremos click con el botón derecho del mouse y seleccionamos "Create and Link a GPO Here" e indicamos el nombre que deseamos para la polítca ej: gpoTSS
2) Customizamos la política con los valores que deseamos, en este caso navegaremos hasta User Configuration -> Administrative Templates -> Windows Components -> Windows Explorer -> "Hide These specified drives in my computer" y ocultaremos las unidades deseadas (Ej. A, B y C). Una vez customizada la política, cerramos el editor de la política (retornando asi a la GMPC) y seleccionamos la política en el panel izquierdo, de esta forma, en el panel derecho se habilitará la ventana que nos permitirá ligar nuestro filtro WMI con esta política (observese la parte inferior del panel derecho).
3) Finalización: Para asegurarnos que nuestra política se refleje lo más rápido posible podemos ejecutar un gpupdate.
Hecho esto, el funcionamiento será el siguiente
Situación A:
1.- El usuario se loguea en la PC SATURNO
2.- AD selecciona las políticas a aplicar a nivel de PC y de Usuario
3.- Al seleccionar las políticas de nivel de usuario, verifica que hay una política con filtro WMI y lo ejecuta, dado que la ejecución se evalúa a positivo (true), la política se aplica
4.- El usuario inicia la sesion con los discos ocultos.
Situación B:
1.- El usuario se loguea a cualquier otra PC
2.- AD selecciona las políticas a aplicar a nivel de PC y de Usuario
3.- Al seleccionar las políticas de nivel de usuario, verifica que hay una política con filtro WMI y lo ejecuta, dado que la ejecución se evalúa a negativo (false), la política NO se aplica
4.- El usuario inicia la sesion SIN los discos ocultos.
Conclusión: La extensibilidad que aportan los filtros WMI es enorme, por lo que es una herramienta que los administradores deberán conocer. Pero... siempre hay un pero... la documentación en el help es más que pobre, por lo que es necesario que el administrador se nutra de información sobre WMI por otras vias, aqui, algunos links.
|