[Articulo] Windows | Optimización de GPOs para Windows 10 con Active Directory Domain Services
Microsoft proporciona una gran cantidad de Objetos de política de grupo para administrar computadoras con Windows, y más especificamente equipos con Windows 10. Solo unos pocos, 12 para ser exactos, son específicos de Windows 10 Enterprise. Si bien el número parece chico, esas 12 GPO de Windows 10 permiten a un Equipo de IT gestionar de mejor manera los escritorios de los usuarios..
En esta publicación tevamos a presentar conceptualmente cuáles son esas políticas que deberías de tener en cuenta al momento de planear el despliegue de Windows 10 Enterprise en tu organización.
¡Esperamos que lo disfruten y estamos en contacto!
[toc]
Introducción
Objetivo y Alcance
Esta publicación tiene como objetivo presentar conceptualmente las GPOs que consideramos desde TecTimes que deberían ser tenidas en cuenta al momento de planear el despliegue de Windows 10 Enterprise en tu organización..
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Desarrollo
Vamos a recorrer las 12 políticas de grupo (GPOs) que están destinadas a Windows 10 Enterprise, y te vamos a contar como ellas pueden ayudarte a mejorar la administración de este sistema operativo en una organización.
CloudContent.admx template file
La ubicación de estas políticas están en: [scope] > Administrative Templates > Windows Components > Cloud Content
El archivo CloudContent.admx contiene varias políticas relacionadas principalmente con Windows Spotlight, una opción para mostrar diferentes imágenes de fondo en la pantalla de bloqueo y para mostrar automáticamente sugerencias sobre las características de Windows 10.
Configure Windows spotlight on lock screen
- Reference name: ConfigureWindowsSpotlight
- Scope: User
Implementa Windows Spotlight en la pantalla de bloqueo y evita que los usuarios modifiquen la pantalla de bloqueo. IT también puede configurar la pantalla de bloqueo para mostrar las comunicaciones internas.
Turn off all Windows Spotlight features
- Reference name: DisableWindowsSpotlightFeatures
- Scope: User
Apaga Windows Spotlight en la pantalla de bloqueo. También desactiva las características de consumo de Microsoft, consejos de Windows y otras características relacionadas.
Turn off Microsoft consumer experiences
- Reference name: DisableWindowsConsumerFeatures
- Scope: Machine
Impide que los usuarios reciban notificaciones sobre sus cuentas de Microsoft o recomendaciones personalizadas de Microsoft.
Do not show Windows Tips
- Reference name: DisableSoftLanding
- Scope: Machine
Impide que los usuarios reciban consejos de Windows, que son mensajes emergentes contextuales que explican cómo usar Windows.
ControlPanelDisplay.admx template file
La ubicación de estas políticas están en: [scope] > Administrative Templates > Control Panel > Personalization
El archivo ControlPanelDisplay.admx contiene una serie de políticas para administrar la configuración de personalización en el escritorio.
Do not display the lock screen
- Reference name: CPL_Personalization_NoLockScreen
- Scope: Machine
Permite a los usuarios ver sus mosaicos seleccionados después de bloquear sus PC, en lugar de ver la pantalla de bloqueo. Esta política solo se aplica a los usuarios que no tienen que presionar CTRL + ALT + SUPR cuando inician sesión.
Force a specific default lock screen and logon image
- Reference name: CPL_Personalization_ForceDefaultLockScreen
- Scope: Machine
TI puede especificar la imagen predeterminada que los usuarios ven en sus pantallas de bloqueo y de inicio de sesión. Al configurar esta política, TI debe proporcionar la ruta completa y el nombre de archivo de la imagen.
Logon.admx template file
La ubicación de estas políticas están en: [scope] > Administrative Templates > System > Logon
El archivo Logon.admx contiene una serie de políticas específicas para los usuarios que inician e inician sesión en sus sistemas. Aunque ninguno de estos son solo GPO de Windows 10, existe un problema importante que la TI debe tener en cuenta en relación con la política. Desactive las notificaciones de la aplicación en la pantalla de bloqueo.
Si TI habilita esta política y también habilita la política de seguridad local No requiere CTRL + ALT + DEL – en el nodo Configuración de Windows – Windows desactiva automáticamente las aplicaciones de la pantalla de bloqueo. Como resultado, TI no puede configurar el acceso asignado en el dispositivo, lo que limita a los usuarios a interactuar con una sola aplicación, algo que IT podría querer hacer al configurar un dispositivo en modo kiosco.
Turn off app notifications on the lock screen
- Reference name: DisableLockScreenAppNotifications
- Scope: Machine
Impide que las aplicaciones aparezcan en la pantalla de bloqueo. De lo contrario, los usuarios pueden elegir qué notificaciones aparecen en la pantalla de bloqueo.
Do not require CTRL+ALT+DEL
- Policy path: Computer Configuration > Windows Settings > Local Policies > Security Options
- Scope: Machine
La política no es parte del archivo de plantilla Logon.admx. Dicho esto, si TI lo permite, el usuario no tiene que presionar CTRL + ALT + SUPR al iniciar sesión. Esta política está deshabilitada de forma predeterminada en las computadoras controladas por dominio.
Search.admx template file
La ubicación de estas políticas están en: [scope] > Administrative Templates > Windows Components > Search
Las políticas en el archivo Search.admx le permiten a TI controlar las funciones relacionadas con la búsqueda en los escritorios de los usuarios.
Don’t search the web or display web results
- Reference name: DoNotUseWebResults
- Scope: Machine
Impide que la búsqueda consulte la Web e impide que la Búsqueda muestre resultados web.
StartMenu.admx template file
La ubicación de estas políticas están en: [scope] > Administrative Templates > Start Menu and Taskbar
The StartMenu.admx file includes a wide range of policies related to the Start menu, only one of which applies exclusively to Windows 10 Enterprise.
Start layout
- Reference name: LockedStartLayout
- Scope: User and Machine
TI puede especificar el diseño de Inicio para los dispositivos administrados y evitar que los usuarios modifiquen la configuración de Inicio. Primero debe generar los archivos XML necesarios para almacenar la configuración de diseño de inicio.
WindowsStore.admx template file
La ubicación de estas políticas están en: [scope] > Administrative Templates > Windows Components > Store
El archivo WindowsStore.admx incluye varias políticas relacionadas con la aplicación de la Tienda Windows y las actualizaciones de la aplicación.
Turn off the Store application
- Reference name: RemoveWindowsStore
- Scope: User and Machine
Impide que los usuarios accedan a la aplicación Windows Store. Se requiere acceso a la aplicación Windows Store para instalar actualizaciones de la aplicación.
Only display the private store within the Windows Store app
- Reference name: RequirePrivateStoreOnly
- Scope: User and Machine
Esta política impide que los usuarios vean el catálogo minorista en la aplicación de la Tienda Windows. No afecta la capacidad de los usuarios para ver aplicaciones en una tienda privada.
Conclusiones
Como hemos dicho al inicio, Microsoft proporciona una gran cantidad de Objetos de política de grupo para administrar computadoras con Windows, y solo 12 de ellas para ser exactos son específicos de Windows 10 Enterprise.
Si bien el número parece chico, esas 12 GPO de Windows 10 permiten a un Equipo de IT gestionar de mejor manera los escritorios de los usuarios.
En esta publicación te hemos presentado cuáles son esas 12 políticas, que pueden permitir que para equipos de la compañía y unidos al servicio de directorio de Active Directory Domain Services, se tenga una mejor y más controlada experiencia de administración.
Esperamos que esta publicación te haya resultado de interés. Saludos!
Acerca del Autor
Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Service Manager at Algeiba Dev (http://www.algeiba.com), providing services with the vision of create the best technology solutions to transform organizations around the world. I´m also Chief Communications Officer in vOpen (https://vopen.tech), an initiative that connect students, professionals and technology experts around the world to share knowledge, experiences and promote technological innovation. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.