Implantación de políticas de restricción de software

1. Crear política de restricción de software
   
   
   
   
   
2. Cumplimiento - Establecer todos excepto admins
   
   
   
3. Niveles de seguridad - Ilimitado (Unrestridted) de momento
   
   
   
   
   
4. Monitorizar aplicaciones que se ejecutan durante el tiempo que creamos conveniente
   - Creamos en máquina a monitorizar dentro del registro en 

   Equipo\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers
   

   
   
   una clave (tipo cadena) llamada LogFileName que contendrá el nombre del fichero donde se nos guardará un registro de las aplicaciones cada vez que se ejecutan.
   
   
   
   
   
5. Una vez analizado el fichero podemos meter algunas reglas por defecto antes de activar la política, de todas formas siempre se puede activar y ver el visor de eventos en el entorno de pruebas con usuarios reales. De esta forma vamos analizando que es lo que se ejecuta y que errores da.
   
   
6. Activar la política es tan sencillo como ir al nivel de cumplimiento y cambiarlo por  el que necesitemos.
   
   
   
   
   
7. Pulsando en reglas adicionales vamos añadiendo las que queramos

Actualización y conversión de tipo de licencia de Windows Server

1. Ver  versión actual: 

    DISM /online /Get-CurrentEdition
   

2. Ver  posibilidades de actualización: 

    DISM /online /Get-TargetEditions 
   

3. Actualizar a nueva versión

   DISM /online /Set-Edition:<ID de edición> /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula 

En caso de que se produzca el error 1168 ( pasa con una licencia MAK por volumen) 

1. ejecutar con la key que corresponda n) de KMS client setup keys | Microsoft Docs, por ejemplo para un ServerStandard 2019:

   DISM /Online /Set-Edition:ServerStandard /ProductKey:N69G4-B89J2-4G8F4-WWYCC-J464C /AcceptEula 

2. Después cambiamos la key por la nuestra:

   
   slmgr /ipk <Clave producto>
   slmgr /ato
   

Referencias:

Upgrade and Conversion Options for Windows Server 2016 | Microsoft Docs

Office 365 en RDS

 1. Personalizar instalación en: https://config.office.com/deploymentsettings

2. Descargar herramienta de implementación de office (ODT):Centro de descargas de MS

3. Exportar XML (configuracion.xml en adelante)

4. Ejecutar setupodt.exe /configure configuracion.xml

Referencias:

https://docs.microsoft.com/es-es/deployoffice/overview-office-deployment-tool

https://docs.microsoft.com/es-es/deployoffice/deploy-microsoft-365-apps-remote-desktop-services

Desactivar WSUS

1. Registro  HKLM/Software/Policies/Microsoft/Windows/WindowsUpdate/AU/
2. Cambiar de1 a 0 en UseWUServer key. 1 usar  WSUS server y 0 para desactivar.

Reiniciar windows update service.

 

GPO para equipso RDSH

 Crear OU específica
Asociar GPO a OU en administración de GPO

Editar

Definir las siguientes directivas en Asignación de derechos de usuario

- Permitir inicio de sesión local (Administradores + Grupos que corresponda)

- Permitir inicio de sesión a través de Servicio de Escritorio Remoto (grupos que correspodna

En plantillas administrativas  -> sistema -> Directivas de Grupo 

Habilitar "Configurar el modo de procesamiento de bucle invertido de la directiva de grupo de usuario"

Sustituir: de esta forma la política establecida en la configuración de usuario de los objetos de la directiva de grupo del equipo reemplazan a la de los usuarios, esto nos permite configuraciones específicas para este tipo de hosts diferentes a las GPO de usuarios.