jueves, 30 de junio de 2022

Habilitar el modo Internet Explorer en Edge mediante GPO

 Bienvenidos a 2022. Todo Internet está plagado de webs compatibles con Webkit. ¿Todo? ¡No! Unas webs diseñadas con compatibilidad para IE6 resiste, todavía y siempre, al invasor. Y la vida no es fácil para los desarrolladores que trabajan con Chrome, Firefox, Brave, e incluso Edge.

Y esto es un serio problema para esas webs, puesto que Internet Explorer ha dejado, por fin, de recibir soporte el 15 de Junio de 2022. Por suerte, Microsoft deja un "Modo Internet Explorer" en su navegador Edge para soportar estas antiguas webs. Este modo sustituye a la aplicación Internet Explorer 11 de forma oficial, y tiene soporte por lo menos hasta 2029, siguiendo el ciclo de vida de los sistemas operativos de Microsoft. Y aun así, en 2028, irá comunicando el fin del soporte de este modo, con un año de antelación.

Microsoft nos deja esta Guia de Introduccion para el cambio, aunque realmente debería llamarse guía de configuración, puesto que nos informa de todos los pasos a realizar en nuestros sistemas para que no impacte al usuario.

Pero para resumiros la lectura del manual, aunque aconsejo encarecidamente que le echéis un ojo, las buenas practicas de Microsoft recomiendan una re-dirección de las paginas web de IE a Edge en modo compatibilidad IE, via GPO. Para ello, los pasos a seguir son los siguientes:

  • Descargar la ultima versión de los .admx de Microsoft Edge. Los podéis encontrar AQUI.
  • Abrimos la GPO donde queramos realizar el cambio, o creáis una nueva, a vuestras necesidades (de nuevo, las buenas practicas indican que cuantas menos GPOs al inicio, mejor) y vamos a User o Computer configuration > Administrative templates > Microsoft Edge.

  • Tendremos un parámetro con el nombre Configure Internet Explorer Integration, que marcaremos en Enabled. 

Eso nos desbloquea un cuadro de opciones:

  1. Internet Explorer 11: Es la opción de modo de compatibilidad, y la que deberemos escoger si queremos seguir abriendo paginas web desarrolladas para Internet Explorer
  2. Internet Explorer Mode: Aunque esta opción esté en la GPO de Edge, lo que hace es enviaros a Internet Explorer, ¡que precisamente ha dejado de funcionar, para esto es este post!
  3. None: Si quieres impedir que los usuarios puedan configurar el modo IE a traves de Edge, podemos fijarlo en None.

Si dejas la política en Disabled, implica que el modo IE está deshabilitado.

Con esto, dejamos configurado Edge. Ahora vamos con IE, a deshabilitarlo del todo ya que pasa a ser un problema de seguridad. Para ello, seguimos los siguientes pasos:

  • Lo primero de todo, nos aseguramos de tener igualmente el ultimo ADMX disponible para Internet Explorer. Puede descargarse de AQUI. Este paquete es bastante completo, así que recomiendo instalarlo con cuidado, porque lleva un pack bastante extenso de archivos admx, de manera que mejor extraerlo en un sitio seguro, ya que para IE, solo necesitaremos reemplazar los archivos inetres.admx y los inetres.adml de los idiomas que tengamos, en las rutas de las GPOs.
  • Bien, una vez tenemos las ultimas plantillas de políticas, editamos nuestra GPO, como anteriormente, pero esta vez nos dirigimos a Computer configuration > Administrative templates > Windows Components > Internet Explorer.
  • Aqui podemos ver que tenemos la opción "disable Internet Explorer as Standalone browser". Hacemos doble click sobre ella, y marcamos "enable"

Como pasaba con Edge, tenemos 3 opciones distintas, pero esta vez para notificar al usuario del comportamiento de Internet Explorer:

  1. Never, para no notificar a los usuarios que está deshabilitado. Es lo ideal en nuestro caso, porque deberan ser redirigidos a Edge.
  2. Always, si quieres notificarlos siempre de la redireccion.
  3. One per user, que lo que hace es notificarles solo la primera vez que se produce esta redirección.

Recomiendo marcar "never"

Técnicamente, estos son los pasos para realizar esta redireccion de forma automática. Pero queda notificar convenientemente a los usuarios, pues son muchos años de uso de IE, y en muchos casos por necesidad, debido a aplicaciones web que sólo funcionan con este navegador.

¡Espero que os sirva de ayuda! Si te ha gustado el articulo, puedes invitarme a un café  ;)

miércoles, 22 de junio de 2022

Configuracion del proceso de bucle invertido (loopback processing mode) de las GPOs

 Un punto delicado de entender en las GPOs es, ademas de las herencias de políticas y la jerarquía de aplicación, es la opción de proceso de bucle invertido, o loopback processing mode, que ademas se encuentra "escondida", sobre todo si la comparamos con los permisos y jerarquías de aplicación, más accesibles.


Este parámetro de las GPOs lo encuentras en Computer Configuration/Administrative Templates/System/Group Policy/Configure user Group Policy loopback processing mode.

Para entender la importancia del loopback processing mode hay que entender cómo funciona una GPO para una computadora y un usuario, y para ello partimos de lo basico: una GPO se compone de dos partes, usuario y computadora. La parte "computer" de la GPO se aplica a la computadora, a pesar del usuario conectado, y la parte usuario de la GPO, al usuario, a pesar de la computadora a la que se conecte.



Tomemos como ejemplo un dominio con un par de OUs, a las que llamamos Blue y Brown. En Blue tenemos un equipo con la GPO1, y en Brown metemos un usuario con la GPO2. 
Tal y como está, el equipo aplica la parte de computer de la GPO1 de la OU Blue, y el usuario recibe la parte de User de la GPO2 de la OU Brown. Asi que si el usuario de la OU Brown hiciera login en el equipo de la OU Blue, normalmente se aplicarian las GPOs de la siguiente manera:
Como vemos en el dibujo, el usuario aplica su configuración de GPO de usuario de la OU en la que se encuentra, y en la maquina se aplica la configuración de la GPO de computer de la GPO de su OU. Esto es una situación en la que no se aplica el loopback processing mode.

Pongamos que habilitamos el loopback processing mode. Tenemos dos formas de aplicarlo, en "merge" o "replace" Supongamos que aplicamos la opcion "replace" para la GPO1, la que aplica la computadora. Obtendríamos este resultado:
Como se ve en el dibujo, la GPO1 de la OU Blue prevalece para user, en lugar de ser reemplazada por la GPO2, que traería el usuario. 
Ahora pongamos que activamos el loopback mode en modo Merge. Esto, lo que hace es combinar las GPOs de usuario, aplicando ambas simultáneamente:
Eso si, en caso de conflicto, la GPO predominante seria la GPO1 sobre la 2.

La utilidad del loopback processing mode se aplica, mas que a entornos de OUs de usuarios, a OUs de servidores o similares, donde si un usuario tiene permisos para hacer login, seguramente no interese que pueda acceder desde ahí a determinados recursos como carpetas de red que pueda tener habilitadas por OU, mas que nada por motivos de seguridad. Igualmente puede ser útil para OUs donde se encuentren equipos con función de terminales de servicio.

Si te ha gustado el articulo, puedes invitarme a un café ;)