Asignación unidades de red y impresoras por GPO

6 septiembre 2016
Josep Ma Solanes 0

Las GPOs permiten centralizar la configuración de los equipos y usuarios de la red. Son nuestro aliado en las configuraciones, ahorrando mucho trabajo. En el ámbito de la configuración de los usuarios y la red, ya se ha visto como redirigir las carpetas de usuario con el perfil móvil. Pero faltan las carpetas departamentales o de recursos y las famosas impresoras.

Las unidades de red es más un vestigio del pasado que una necesidad actual. Una herencia de Novell NetWare, en que los usuarios nos acostumbramos a tener unidades de discos con diferentes letras, donde encontrar y guardar la información. Microsoft Windows NT continuó esta herencia mediante la ejecución de scripts (batch o VisualBasic Script) cuando el usuario inicia la sesión y que llega a nuestros días.

Con el tema de las impresoras se complica un poco más. Cada equipo requiere de la instalación del propio controlador (driver). Si que se pueden establecer impresoras en red, pero cuando el usuario intenta “capturar” la impresora, si no tiene los privilegios correspondientes, no se realiza la carga del controlador y, por lo tanto, la impresora no se instala.

Con los “nuevos” sistemas operativos, hablo de Windows Vista hacia arriba, ya no hay que establecer la programación de las asignaciones con scripts. Se puede configurar cómodamente desde las propias GPOs del Active Directory, aplicando los filtros de los grupos de seguridad o consultas WMI.

 

Asignación unidades de red

La configuración se explica mediante un ejemplo para que sea más comprensible. Supongamos que tenemos una red con una zona de documentos comunes, pongamos por caso la carpeta General. Además, cada departamento necesita tener a mano la unidad de red del departamento. En el ejemplo se utiliza el departamento de Finanzas y el de Recursos Humanos. Se pretende que cuando un usuario del departamento de Finanzas inicie sesión, su unidad V corresponda a Finanzas y la unidad W a la carpeta General. En el caso del usuario del departamento de Recursos Humanos, su unidad V tiene que corresponder a Recursos Humanos y su unidad W a la carpeta General.

Para empezar se tiene que disponer de las carpetas en el servidor de archivos creadas con los permisos correspondientes y compartidas. Se utilizan los permisos de grupos de seguridad, NO de usuarios.

En el servidor de archivos, en la unidad de datos, crear una carpeta Departamentos mediante el Explorador de Windows. Con la carpeta creada, botón derecho, Propiedades. Seleccionar la pestaña Seguridad. La carpeta se ha creado con los permisos por defecto, hacer clic en el botón Opciones avanzadas.

assignaunitats-01

Hacer clic en el botón Deshabilitar herencia, para reescribir los permisos.

assignaunitats-02

A la pregunta que hace, se puede optar por hacer una copia de los permisos actuales o bien borrarlo todo para escribir desde 0. En el caso de las carpetas de archivos que no intervienen servicios de por medio, puede ser una opción adecuada. Pero recordar que puede haber servicios o aplicaciones que requieren acceso a las carpetas con el usuario SYSTEM para trabajar correctamente. Seleccionar Quitar todos los permisos heredados de este objeto.

assignaunitats-03

Fijarnos que sólo deja el grupo de usuarios Administradores locales con permisos de control total Sólo en la carpeta raíz. Aquí cada uno según su necesidad. Recordar la LOPD. Hacer clic en el botón Agregar para añadir el grupo Usuarios corporativos (un grupo de seguridad propio que contiene todos los usuarios físicos que tienen que acceder a los datos).

assignaunitats-04

Seleccionar el tipo Permitir y aplicado sólo a esta carpeta. Los permisos que necesitan son los de Lectura y ejecución, Mostrar el contenido de la carpeta y Lectura. Hacer clic en el botón Aceptar cuando esté todo correcto.

assignaunitats-05

Volver a hacer clic en el botón Aceptar, para validar las modificaciones de permisos de la carpeta y otra vez Aceptar para cerrar el cuadro de diálogo que queda abierto.

Acceder dentro de la carpeta y crear las tres carpetas necesarias: General, Finanzas y Recursos Humanos.

assignaunitats-06

Seleccionar la carpeta General, botón derecho, Propiedades. Hacer clic en la pestaña Compartir. Hacer clic en el botón Uso compartido avanzado para compartir la carpeta.

assignaunitats-07

Marcar la opción Compartir esta carpeta. Indicar el nombre con el que se comparte la carpeta: General.

assignaunitats-08

Hacer clic en el botón Permisos, para establecer los permisos del recurso compartir que se suman a los de seguridad. Personalmente, no me gusta controlar los permisos de las carpetas mediante el recurso compartido por lo que indico permiso a TODOS con Control Total. Hacer clic en el botón Aceptar.

assignaunitats-09

Como que no es una carpeta donde se tengan que poder utilizar los archivos sin conexión, para evitar que alguien haga uso, se desactiva esta característica. Hacer clic en el botón Caché, seleccionar Ningún archivo o programa de la carpeta compartida estará disponible sin conexión. Hacer clic en Aceptar dos veces para aceptar las modificaciones de la carpeta compartida.

assignaunitats-10

Hacer clic en la pestaña Seguridad, botón Opciones avanzadas. Hacer clic en el botón Agregar.

assignaunitats-04

Indicar el grupo de seguridad Usuarios corporativos. Tipo Permitir y se aplica a Esta carpeta, subcarpetas y archivos. En cuanto a permisos, reservo el derecho de establecer permisos en los archivos y carpetas que se puedan crear sólo a los administradores, por lo que sólo se asignan permisos de ModificarLectura y ejecución, Mostrar el contenido de la carpeta, Lectura y Escritura. No se asigna el de Control total para evitar que un usuario bloquee los permisos a los otros. Hacer clic en el botón Aceptar tres veces para guardar la configuración.

assignaunitats-11

Es importante establecer la configuración de permisos de las carpetas antes de poner los datos y asignar siempre los permisos a grupos de seguridad, no a usuarios. Con las carpetas llenas de datos y con permisos asignados a los usuarios es muy cargante modificar los permisos.

Repetir el proceso para las carpetas de Finanzas y Recursos Humanos, pero en vez de poner el grupo de seguridad usuarios corporativos, se asigna el grupo que le pertenece: finanzas y recursos humanos; respectivamente. Al final, al acceder por red al servidor de archivos, \\srvdc.laboratoris.local\ se pueden ver las carpetas compartidas de General, Finanzas y Recursos humanos, entre las otras que hay compartidas.

assignaunitats-12

Realizando la prueba de acceso desde un cliente, con uno de los usuarios, se puede comprobar que puede acceder a la carpeta General y Finanzas o Recursos Humanos, según el usuario pertenezca a un departamento o otro; y se deniega el acceso a la que no corresponde.

assignaunitats-13

El siguiente paso es conectar las unidades de red a estas carpetas. Se puede hacer manualmente en cada usuario, seleccionando la carpeta compartida del servidor, botón derecho, Conectar a unidad de red. Seleccionar la unidad que se quiere asignar, marcar que vuelva a conectar cuando el usuario vuelva a iniciar la sesión y hacer clic en Finalizar.

assignaunitats-14

Está bien para momentos o situaciones puntuales, pero cuando tienes una red desplegada, no hay nada como configurarlo desde el servidor para todos los usuarios.

Abrir el Administrador de directivas de grupo (Administrador del servidor > Herramientas). Desplegar el árbol hasta la carpeta Objetos de Directiva de Grupo, botón derecho, seleccionar Nuevo.

assignaunitats-15

Indicar un nombre descriptivo, Capturar unidad General. Hacer clic en el botón Aceptar.

assignaunitats-16

Botón derecho sobre la nueva directiva que se acaba de crear, seleccionar Editar.

assignaunitats-17

Se configura una directiva que afecta a los usuarios, no a los equipos. Por lo tanto, desplegar la carpeta Configuración de usuario > Preferencias > Configuración de Windows. Seleccionar Asignaciones de unidades.

assignaunitats-18

Por defecto muestra la pestaña Preferencias que facilita la comprensión de las directivas. Botón derecho en la zona en blanco, seleccionar Nuevo y Unidad asignada.

assignaunitats-19

  • Acción: Seleccionar Actualizar, porque cada vez que se  ejecute compruebe la conexión a esta unidad.
  • Ubicación: Indicar la ruta UNC de la carpeta compartida: \\srvdc.laboratoris.local\General
  • Etiquetar como: Nombre que aparecerá sobre la unidad, para hacerlo más comprensible al usuario se indica el nombre descriptivo General.
  • Letra de unidad: Marcar Usar la unidad…En el caso de la carpeta General hemos dicho que la asignaríamos a la unidad W.

El resto son opciones a marcar según convenga en cada caso

  • Conectar la unidad, pero con otro usuario
  • Esconder o enseñar esta unidad.
  • Esconder o enseñar el resto de unidades.

assignaunitats-21

En caso de marcar, esconder o enseñar el resto de unidades, esconde todas las otras unidades menos la seleccionada. El efecto es el que se muestra en la foto.

assignaunitats-33

Seleccionar la pestaña Comunes. Parar atención a Destinatarios de nivel de elemento. Marcar la opción y hacer clic en el botón Destinatarios…

assignaunitats-22

Esta opción permite filtrar la aplicación de la captura de la unidad según una consulta, por ejemplo, si tiene pertenencia a un grupo de seguridad o no; qué es el caso. Hacer clic en el botón Nuevo elemento.

assignaunitats-23

Seleccionar Grupo de seguridad.

assignaunitats-24

En Grupo, especificar el grupo Usuarios corporativos. Marcar la opción Usuario en Grupo. Hacer clic en el botón Aceptar.

assignaunitats-25

Hacer clic en el botón Aceptar para cerrar las propiedades de la captura.

Repetir el proceso de creación de una nueva asignación a la unidad V: para Finanzas y Recursos Humanos, definiendo a grupos de seguridad los correspondientes.

assignaunitats-27 assignaunitats-29 assignaunitats-30

Alerta en asignar una misma unidad a dos departamentos o recursos compartidos diferentes. Si un usuario pertenece a los dos departamentos la captura no se realiza correctamente, ya que una única unidad no puede apuntar a dos destinos.

Establecida la política, hay que aplicarla a la unidad organizativa donde están los usuarios. En este caso, seleccionar la unidad organizativa Empresa, botón derecho, hacer clic en Vincular una GPO existente.

assignaunitats-31

 

Seleccionar la política Capturar unidad General, hacer clic en el botón Aceptar.

En un cliente, comprobar las unidades de red asignadas. Si no se actualiza la política y se inicia de nuevo la sesión no aparecerán.

assignaunitats-32

Iniciando de nuevo la sesión, se asignan las unidades de red correspondientes al departamento:

Un usuario que pertenece al grupo de seguridad Finanzas:

assignaunitats-35

 

Un usuario que pertenece al grupo de seguridad Recursos Humanos:

 

assignaunitats-34

Y las impresoras?

Es una parte que muchas veces se obvia al principio y sólo nos acordamos de ella cuando el usuario tiene que imprimir y no encuentra la impresora. Soy partidario de tener las impresoras instaladas en un servidor de impresión. De esta manera, se controla la actualización de controladores, la configuración de las bandejas, memoria, dúplex, color, etc… sin tener que ir usuario a usuario a configurar los 30 parámetros de cada impresora.

En el servidor que corresponda, añadir y configurar las impresoras correspondientes mediante el Panel de control, opción Dispositivos e impresoras. Hacer clic en Agregar una impresora.

assignaunitats-36

Seleccionar la impresora que encuentra el buscador o bien, hacer clic en La impresora deseada no está en la lista. Hacer clic en el botón Siguiente.

assignaunitats-37

Para configurar una impresora de red en el servidor de impresión, indicar Agregar una impresora por medio de una dirección TCP/IP o un nombre de host. Hacer clic en Siguiente.

assignaunitats-38

Indicar el tipo de dispositivo (TCP/IP), la dirección IP de la impresora y el nombre que tendrá el puerto. Desmarcar el “checkbox” de consultar la impresora y seleccionar automáticamente el controlador de impresora que se debe usar, si no estamos seguros que la impresora esté encendida o queremos especificar manualmente el controlador. Hacer clic en Siguiente.

assignaunitats-39

El asistente intentará ponerse en contacto con la conexión TCP para determinar el tipo de controlador.

assignaunitats-40

Confirmar el controlador de red que corresponda. Hacer clic en el botón Siguiente.

assignaunitats-41

 

Especificar el modelo y controlador de la impresora, en el ejemplo una HP Color LaserJet 4600 PCL6. Hacer clic en el botón Siguiente.

assignaunitats-48

Indicar el nombre de la impresora. Hacer clic en el botón Siguiente.

assignaunitats-42

Compartir la impresora, indicar el nombre del recurso compartido y la ubicación, sobre todo en empresas grandes para no perdernos. Hacer clic en el botón Siguiente.

assignaunitats-43

Hacer clic en el botón Finalizar.

assignaunitats-44

Repetir el proceso para todas las impresoras necesarias. Siguiendo el ejemplo, se crea una impresora HP Color LaserJet 4730 PCL6 para Recursos Humanos.

assignaunitats-45

También se pueden crear más impresoras apuntando al mismo puerto de red y con el mismo controlador, pero con configuraciones diferentes. Me explico, se puede crear una impresora que por defecto imprima a doble cara, otra que lo haga sólo por la bandeja 3 o en negro, etc… porque el usuario cuando tenga que imprimir, si quiere hacer la doble cara sólo tenga que seleccionar la impresora de doble cara, o si tiene que imprimir con papel membrete, lo haga por la bandeja correcta.

Crear una nueva impresora para Finanzas, pero al iniciar el asistente, seleccionar la opción Agregar una impresora local o de red con configuración manual. Hacer clic en el botón Siguiente.

assignaunitats-46

Seleccionar el puerto que corresponde a la impresora de Finanzas. Hacer clic en el botón Siguiente.

assignaunitats-47

Seleccionar el controlador que corresponde a la impresora. Hacer clic en el botón Siguiente.

assignaunitats-48

Se advierte que el controlador ya está cargado. Marcar usar el controlador actualmente instalado. Hacer clic en el botón Siguiente.

Nombre descriptivo de la impresora. Hacer clic en Siguiente.

assignaunitats-49

Nombre con el que se compartirá la impresora en la red y su ubicación. Hacer clic en Siguiente.

assignaunitats-50

Hacer clic en el botón Finalizar para acabar el asistente.

assignaunitats-51

Aparentemente, parece que se haya dejado de crear la impresora, pero no es así, sino que ha agrupado bajo el mismo puerto las diferentes impresoras.

assignaunitats-52

Haciendo clic con el botón derecho sobre la impresora, se abre el menú de opciones con submenús. En los submenús indicamos las impresoras asociadas al mismo puerto. Seleccionar Propiedades de impresora y HP 4600 PCL6 Finanzas – Doble cara.

assignaunitats-67

Hacer clic en la pestaña Opciones avanzadas, hacer clic en el botón Valores de impresión para configurar las opciones predeterminadas de la impresora.

assignaunitats-53

Las opciones varían según el modelo y la configuración física de cada impresora. Configurar según corresponda. Para seguir el ejemplo, se marca que imprima a doble cara por defecto.

assignaunitats-54

Para evitar que usuarios de un departamento no impriman por la impresora de otro, en la pestaña Seguridad se pueden especificar estos permisos. Eliminar el grupo de seguridad Todos y añadir el grupo de seguridad del departamento con los permisos que corresponda.

assignaunitats-55

 

assignaunitats-56

En caso de distribuir las impresoras por directiva, es necesario que el equipo cliente tenga permiso sobre la impresora, por lo tanto, hay que añadir la cuenta de equipo o el grupo de seguridad Equipos del dominio para que funcione correctamente.

assignaunitats-68

Toca instalar las impresoras correspondientes a cada usuario o bien crear una política que lo haga por nosotros. Volviendo a la GPO de asignación de unidades de red, le podemos cambiar el nombre para Capturar unidades de red y impresoras y Editarla.

assignaunitats-57

Desplegar el árbol de opciones, seleccionar Configuración de usuario > Preferencias > Configuración del Panel de control > Impresoras.

assignaunitats-58

Sale una pantalla muy parecida a la de asignación de unidades de red. Botón derecho en la zona en blanco, seleccionar Nuevo y Impresora compartida.

assignaunitats-59

Marcar la acción Actualizar para que la deje siempre instalada y actualice los valores en caso que se haya modificado. Indicar la ruta UNC de la impresora: \\srvdc.laboratoris.local\HP 4600 Finances y si la impresora tiene que ser la predeterminada.

assignaunitats-60

Seleccionar la pestaña Comunes, marcar Destinatarios de nivel de elemento y hacer clic en el botón Destinatarios.

assignaunitats-61

Al igual que la asignación de unidades de red, indicar el grupo a quien tiene que capturar la impresora. Por ejemplo, Finanzas.

assignaunitats-62

Repetir el proceso para todas las impresoras.

assignaunitats-63

Comprobar el cliente antes de asignar la política, no tiene las impresoras asignadas.

assignaunitats-69

Al actualizar las políticas de red y iniciar la sesión de nuevo se instalan las impresoras asignadas.

assignaunitats-64

 

 

¿Y si no aparecen las impresoras?

Recordar que se pueden producir problemas de asignación de las impresoras si se restringen los grupos de seguridad. Comprobar mediante el visor de eventos en el apartado Aplicación que no se producen registros del tipo Acceso denegado.

assignaunitats-65

En caso que se haya eliminado el grupo de seguridad Todos de la impresora, hay que añadir la cuenta de equipo o el grupo de seguridad con los equipos donde iniciarán sesión los usuarios como se ha visto.

 

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author: