Cuando hablamos de tecnología siempre pensamos en el mercado de consumo, ya que es donde más nos afecta a nosotros en nuestro día a día, pero hay algunas partes de la tecnología que nos influyen mucho en nuestro puesto de trabajo y no se conocen tanto. La configuración y el mantenimiento corren a cargo de administradores de sistemas para intentar lograr distintos objetivos:
- Cumplir normativas legales.
- Cumplir normativas corporativas.
- Maximizar la seguridad.
- Reducir el número de incidencias.
Microsoft tiene distintas tecnologías que nos ayudan a lograr estos objetivos y voy a intentar explicaros algunas de ellas.
Políticas de grupo
Las políticas de grupo, o más conocidas como GPO (Group Policy Object), son un mecanismo que tienen los sistemas operativos de escritorio y servidor de Microsoft para aplicar configuraciones y restricciones en Windows. Las podemos encontrar en dos instancias distintas, las GPO locales y las GPO de dominio.
A muchos no se os escapará que toda la configuración de Windows se realiza y se almacena en el registro, las políticas de grupo lo que hacen es editar un área del registro que está especialmente dedicada a este fin, y las políticas son las únicas que pueden editar ese área.
Las políticas locales son independientes en cada PC y son útiles en escenarios muy pequeños donde no exista un dominio de Active Directory. Las GPO de dominio se configuran en los dominios de Active Directory que hay configurados en las redes en cuanto tengan una dimensión mayor y son una de las grandes ventajas que proporciona este sistema.
Estas políticas de grupo nos permiten configurar de manera masiva los Windows de nuestra organización permitiéndonos elegir entre una gran variedad de configuraciones, unos pocos ejemplos:
- Hacer que los equipos se bloqueen tras un periodo de inactividad.
- Configurar cualquier plan de energía en los equipos.
- Personalizar el fondo de pantalla o el protector de pantalla.
- Impedir el acceso a las herramientas de administración (panel de control, RegEdit…)
- Impedir que se pueda usar almacenamiento extraíble, o bien obligar a que este cifrado con BitLoker antes de que se pueda copiar información.
- Configurar impresoras.
- Instalar software.
En el momento de configurarlo se distinguen las políticas de usuario de las políticas de equipo, cuando ponemos una configuración al usuario esta configuración se aplica independientemente del equipo al que se dirige pero si se la ponemos en el equipo solo afectará a aquellos usuarios que usen ese ordenador.
Estas particularidades sumadas a que podemos tener tantas GPOs como necesitemos hacen que tengamos una gran versatilidad para poder cubrir casi cualquier situación que se nos presente, aunque esto también hace que si no somos muy meticulosos se nos complique bastante.
Como veis las políticas de grupo son un mecanismo potente y versátil para configurar los Sistemas Operativos de Microsoft.
Software específico
Existe software que nos permite hacer también configuraciones centralizadas en los equipos corporativos. La mayoría de antivirus empresariales, por ejemplo, tienen ciertas configuraciones que se pueden aplicar. Suelen ser menos opciones, aunque son las más usadas y normalmente son más sencillas de poner. Por el contrario, al ser un software añadido, el consumo para realizar estas labores es superior.
Otro ejemplo son las herramientas de distribución de software como SCCM (System Center Configuration Manager) esta herramienta es muy potente para distribuir software, además que no solo funciona para Windows si no que es multiplataforma siendo capaz de trabajar con Linux, Mac, y cualquier dispositivo ActiveSync. Además si lo conectamos con Microsoft Intune se sumaran todas sus capacidades a SCCM.
Una de las carencias de las GPOs es que no tienen retorno de información, con lo que no puedes saber cuántos equipos han aplicado una GPO (ni si quiera las de instalación). Esta carencia se puede cubrir con SCCM si usamos una característica llamada Compliance Management, con esta tecnología podremos comprobar si el equipo cliente tiene una configuración especifica que nosotros queramos.
Si a esto sumamos el inventariado de software y hardware que es capaz de recoger, se convierte en una gran fuente de información de nuestro parque informático facilitando tanto la resolución de incidencias como una mejor gestión de compras. La desventaja es que desde SCCM tenemos muchísimas menos posibilidades de configuración que distribuir a nuestros equipos clientes.
Para finalizar, como podéis ver tenemos una gran variedad de posibilidades además de otras que siempre se quedan el tintero, lo mejor es combinar nuestras opciones y aprovechar el máximo de cada una de ellas, aunque no siempre se dispone de recursos para usar soluciones como SCCM.
