Qu es una directiva de grupo?

Un objeto de directiva de grupo (GPO: Group Policy Object) es un

conjunto de una o ms polticas del sistema. Cada una de las
polticas del sistema establece una configuracin del objeto al que afecta.
Por ejemplo, tenemos polticas para:

Establecer el ttulo del explorador de Internet

Ocultar el panel de control
Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE
Establecer qu paquetes MSI se pueden instalar en un
equipo
Etc

Cules son los tipos troncales de directivas?

Podemos definir dos categoras de tipos troncales de directivas:
1. Segn su funcin
2. Segn su objeto de configuracin

Directivas segn su funcin

Hay dos tipos troncales de directivas segn su funcin:
1. Directivas de seguridad: Cuntos caracteres tiene una
contrasea? Cada cuanto tiempo debe ser cambiada sta?,
etc. Pueden ser aplicadas:
a. A nivel de dominio: Son aplicadas en todas las
mquinas del dominio.
b. A nivel de controladores de dominio: Se aplican tan
slo en los controladores de dominio, pero sin suplantar a
las del dominio (en caso de entrar en contradiccin una y
otra, se aplica la del dominio, no la de los controladores de
dominio).

2. Directivas de Entorno (GPO -> Group Policy Object): Quin

tiene acceso al panel de control? Cul es el tamao mximo
del archivo de registro de sistema? Pueden ser aplicadas:
a.
b.
c.
d.

A nivel de equipo local

A nivel de sitio
A nivel de dominio
A
nivel
de Unidad
-> Organizational Unit).

Organizativa

(OU

Directivas segn el objeto al que configuran

Respecto al objeto al que configuran tambin son dos:
e. Configuracin del equipo: que se divide en:
i. Configuracin de software
ii. Configuracin de Windows
iii. Plantillas administrativas
f.

Configuracin del usuario, que al igual que la de

Windows se divide en:
i. Configuracin de software
ii. Configuracin de Windows
iii. Plantillas administrativas

Aunque las configuraciones de equipo y usuario se dividan en las

mismas partes, dentro de stas son diferentes las polticas que se
encuentran.

Qu objetos son los contenedores de las GPOs?

Las GPOs pueden estar contenidas en cuatro tipos de objetos:
1. Equipos Locales: son aplicadas nicamente en el equipo
que las tiene asignadas independientemente del dominio al
que pertenezcan. Son modificadas con gpedit.msc. Estas
son las nicas polticas que se aplican a los equipos que no

estn
en
un
dominio,
como
servidores independientes(stand alone) o clientes en red
igual a igual (peer topeer).
2. Sitios de Active Directory: se aplican para todos los
equipos y/o usuarios de un sitio, independientemente del
dominio del mismo bosque al que pertenezcan.
3. Dominios de Active Directory: se aplican a todos los
equipos y/o usuarios de un dominio.
4. Unidades Organizativas de Active Directory: se aplican
nicamente a los equipos y/o usuarios que pertenezcan a la
propia unidad organizativa (OU).

Cmo se crea, quita o elimina una GPO?

Qu mejor forma de ver cmo se crea una GPO que poniendo un
caso prctico. Vamos a obligar a los usuarios del dominio a
hacer CTRL+ALT+SUPR para poder iniciar sesin. Para ello abrimos
Usuarios y Equipos de Active Directory. Hacemos clic derecho sobre
el nodo con el nombre del dominio y pulsamos Propiedades:

En la ventana que se abre pulsamos la pestaa Directiva de

Grupo:

Pulsando el botn Nueva se crear una

nueva GPO debajo de la Default Domain
Policy
a
la
que
llamaremos
Pulsar CTRL+ALT+SUPR
Si ahora
seleccionamos la
nueva GPO y
pulsamosSUPR en el
teclado podramos
quitar la GPO de la
lista o eliminarla de
Active Directory. Quitar
de la lista evita que se
aplique la GPO, pero
sigue existiendo en
Active Directory, de
forma que podr ser

utilizada ms adelante
o en otro contenedor;
eliminar hace que la
GPO sea eliminada de
Active Directory.
Pulsamos Cancelar

Ya tenemos creada la GPO; ahora debemos modificar la poltica

para
que
obligue
a
los
usuarios
del
dominio
a
hacer CTRL+ALT+SUPR para iniciar sesin en los equipos.

Cmo se definen polticas?

Si seleccionamos con el ratn la GPO que hemos creado y
pulsamos el botn Modificar se nos abrir una consola de directiva de
grupo:

Nos desplazamos en el rbol a Configuracin

equipo/Configuracin
de
Windows/Configuracin
seguridad/Directivas locales/Opciones de seguridad:

del
de

Hacemos doble click sobre la directiva Inicio de sesin interactivo: no

requerir
Ctrl.+Alt+Supr
y
podremos definir sta
poltica
como deshabilitada:

La casilla Definir esta configuracin de directiva tiene el efecto:

Marcada
Sin Marcar

La poltica quedar definida con el valor seleccionado en las

opciones de debajo.
La poltica hereda su definicin o no y si est habilitada o
no en caso de haber sido definida en un contenedor superior
(en nuestro ejemplo desde el propio equipo o el sitio, ya que
estamos a nivel de dominio).

A su vez, cuando la casilla est marcada podemos elegir entre las

opciones:

Habilitada

Deshabilitada

Hace que la poltica quede habilitada. Esto significa que se

realizar la configuracin que la propia poltica define
con su nombre y por tanto, en nuestro ejemplo, provoca
que
no
sea
necesario
que
el
usuario
pulse CTRL+ALT+SUPR para iniciar sesin.
Cuando se deshabilita la poltica, se impide que se realice
la configuracin que la propia poltica define con su
nombre. Por tanto, en el ejemplo, obliga al usuario a
pulsarCTRL+ALT+SUPR para iniciar sesin.

Cmo se vincula una poltica ya existente?

A pesar de que una GPO es creada en un contenedor, sto slo es
una apariencia. Realmente es creada alojndola en el dominio desde el
que es creada y vinculada al contenedor desde el que es creada. Esto
nos permite crear una sola GPO y aplicarla en cualquier parte del bosque
al que pertenece el dominio donde est alojada la GPO; es decir, a todos
los sitios, dominios y OUs del bosque. Imaginemos un bosque con tres
dominios; agregando a cada dominio la GPO que creamos antes,
obligaremos a pulsar CTRL+ALT+SUPR a los usuarios de los tres
dominios, habiendo creado una nica GPO.
Para vincular una poltica pulsamos Agregar en la pestaa
Directiva de grupo de las propiedades del contenedor (equipo, sitio,
dominio, OU) y nos aparece el siguiente dilogo:

Seleccionamos aqu la GPO que queremos vincular. Hay tres

formas de buscarlas, una por pestaa:
Pestaa
Muestra las GPOs
Dominios y OUs Que estn aplicadas en el dominio y sus UOs, vindose
las OUs como carpetas y las polticas con su icono
caracterstico. El desplegable Buscar en nos permite
alternar entre los dominios del bosque.
Sitios
Que estn aplicadas en un sitio. Con el desplegable
Buscar en podemos cambiar entre los sitios que integran
el bosque.
Toda
Que estn almacenadas en un dominio. Con el
desplegable Buscar en podemos alternar entre los
dominios del bosque.

Simplemente tendremos que sealar la GPO que queramos

vincular y pulsar Aceptar para hacerlo.

Cules son las propiedades de una GPO?

Accedemos a las propiedades de la GPO pulsando el botn
Propiedades de la pestaa Directiva de grupo de las propiedades

de un contenedor. En la ventana de propiedades encontramos tres

pestaas:

Pestaa
General

Vnculos

Seguridad

Funcin
Captura
Muestra informacin sobre la
GPO y permite deshabilitar toda
la rama de configuracin del
equipo y/o toda la rama de
configuracin de usuario. Esto
sirve para agilizar la aplicacin
de la GPO, mejorando el
rendimiento. Como en nuestro
caso la poltica que obliga a
hacerCTRL+ALT+SUPR para
iniciar
sesin
es
una
configuracin
de
equipo,
podremos marcar la casilla que
deshabilita los parmetros de
configuracin de usuario.
Permite buscar los sitios,
dominios y OUs en los que est
agregada la GPO. Con el
desplegable Dominio podemos
seleccionar el dominio del
bosque en el que buscamos.

Sirve para establecer los

permisos de la GPO. Podemos
asignar
permisos
a
los
siguientes objetos:
1. Usuarios
2. Equipos
3. Grupos
4. Principios de seguridad
incorporados

Filtro
WMI(slo
en
Windows
XP y
Windows
Server
2003 y con
al menos
un
controlador
de dominio
que sea
Windows
Server
2003)

Sirve para realizar bsquedas

basadas
en
WMI
de
caractersticas especficas de
los equipos a los que se aplica
la GPO. Estas caractersticas
pueden ser:
1. Un patrn de nombre de
equipo
2. Tipo
de
Sistema
Operativo
3. Nivel de Service Pack
4. Cualquier caracterstica
del equipo que podamos
consultar con WQL
Los
equipos
con
Windows 2000 ignoran este tipo
de
filtros
y
procesan
las GPOs sin tener en cuenta si
por sus caractersticas deberan
hacerlo o no. Por ello, una
forma de ejecutar polticas que
slo se apliquen a equipos con
Windows 2000 es filtrar con
WMI poniendo que el tipo de
SO es Windows 2000 o que el
tipo de SO no es Windows XP.
Si queremos aplicar polticas
con filtros WMI a equipos con
tan slo XP o 2003, ser
necesario que nos llevemos las
cuentas de los Windows 2000 a
otra
OU
en
la
que
no estaran vinculadas
esas GPOs.

Pestaa Seguridad
La pestaa Seguridad nos permite realizar dos tareas con las
GPOs:

1. Filtrar el alcance de la GPO, permitiendo que sea slo

aplicada a los usuarios, equipos, grupos y/o Principios de
seguridad incorporados (objetos Builtin, etc.).
2. Delegar el control de la GPO, permitiendo as la
modificacin, etc., a determinados usuarios, equipos, grupos
y/o Principios de seguridad incorporados.
Hay que tener en cuenta que esto se hace sobre toda la GPO, no
se puede especificar nicamente a algunas polticas de la GPO, si no
que se hace para todas las contenidas en la GPO.
Para realizar el filtrado del alcance y la delegacin del control se
utilizan permisos que se aplican a los objetos en que estn
especificados. Estos permisos pueden ser concedidos o denegados,
prevaleciendo la denegacin sobre la concesin. De forma
predeterminada estas son las entradas de seguridad de una GPO (se
indican aquellos permisos que estn, concedidos):
Grupo de seguridad
Usuarios autentificados
CREATOR OWNER
Administradores del Dominio
Administracin de empresas
SYSTEM

Configuracin predeterminada
Leer, aplicar directiva de grupo y permisos
adicionales
Permisos adicionales
Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundarios y permisos adicionales
Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundarios y permisos adicionales
Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundarios y permisos adicionales

Pestaa Filtro WMI

La pestaa Filtro WMI nos permite filtrar el alcance de la GPO en
funcin a caractersticas de los equipos que estn dentro del alcance de
la GPO. Para acceder a estas caractersticas se utilizan bsquedas
WQL, el lenguaje de bsqueda en WMI basado en SQL. Slo se puede
aplicar un filtro WMI a una GPO, filtro WMI que consiste en una o ms
bsquedas WQL. Al igual que pasaba con los permisos establecidos en

la pestaa seguridad, el filtro es aplicado a toda la GPO, no se puede

aplicar a determinadas directivas solamente.
Para establecer los filtros WMI (aplicables slo en Windows XP y
Windows Server 2003; adems, es necesario que al menos un
controlador de dominio sea un Windows Server 2003) se hace desde la
pestaa Filtro WMI, marcamos la opcin Este filtro y pulsamos el
botn Examinar/administrar, apareciendo el cuadro de dilogo
Administrar filtros WMI, donde podremos crear filtros, modificarlos,
eliminarlos, importar/exportar y seleccionar el que queramos aplicar. Para
crear, modificar y eliminar deberemos hacer click sobre el botn
Avanzadas >> con lo que el cuadro de dilogo queda as:

Los botones y sus acciones son:

Botn
Aceptar

Accin
Aplica a la GPO el filtro WMI que est seleccionado en la lista
Filtros WMI y cierra el cuadro de dilogo.

Cancelar
Ayuda
Columnas

Avanzadas
Nuevo
Eliminar

Duplicar
Importar
Exportar
Guardar

Cierra el cuadro de dilogo sin aplicar ningn cambio al filtrado WMI

de la GPO.
Muestra la ayuda de administracin de filtros WMI.
Nos permite especificar qu columnas aparecern en la lista de
filtros.
De
forma
predeterminada
aparecen
todas,
es
decir, Descripcin, Autor,Fecha
de
modificacin y Fecha
de
creacin. La columna Nombresiempre aparece en la lista de filtros,
no es una columna que se pueda ocultar.
Expande o contrae el cuadro de dilogo para ocultar o mostrar en la
parte de abajo los controles de edicin de filtros WMI.
Nos permite crear un nuevo filtro WMI.
Nos permite eliminar el filtro WMI seleccionado en la lista Filtros
WMI. El filtro se elimina, pero no las vinculaciones a GPOs que
tenga; es necesario eliminar esos vnculos de forma manual, ya sea
configurando otro filtro en su lugar o deshabilitando los filtros WMI
en las GPOsafectadas.
Nos permite crear un nuevo filtro en base al que se encuentre
seleccionado en la lista Filtros WMI.
Nos permite importar un filtro que anteriormente fuera exportado a
unfchero MOF.
Nos permite exportar un filtro a un fichero MOF.
Guarda el filtro con el nombre, descripcin y consulta que lo
compone. Esto es as tanto en filtros creados como en filtros que se
modifican.

Debemos tener en cuenta que no se deben aplicar filtros WMI

alegremente, pues ralentizan el inicio del equipo.

Cmo se procesan las GPOs?

Competencia entre contenedores
Una GPO, como ya hemos visto anteriormente, puede ser
contenida por equipos locales, sitios, dominios y unidades organizativas
(en adelante OU). Como un usuario, por ejemplo, estar en un equipo
local que a su vez se ubicar en un sitio, pertenecer a un dominio y ser
miembro de una OU se ve claramente que se puede dar el caso de que
en el equipo local se aplique una GPO, en el sitio otra, otra para el
dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.).
Se podra dar el caso, por tanto, de que las GPOs contuvieran polticas
que se contradijeran entre s. Cuando se dan casos de estos, el sistema

de GPOs est implementado para asegurar que siempre se aplicarn las

polticas, y para ello establece una forma de prioridad entre stas por la
cual, segn dnde estn asignadas, unas prevalecen sobre otras
atendiendo a una serie de reglas que a continuacin, con la ayuda de
dos figuras, describiremos.

En la figura 1 vemos, de forma resumida, cul es la prioridad de las

GPOs. Las GPOs de una OU prevalecen sobre las del dominio, que a su
vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre
las del equipo local. Por prevalecer no se entiende que unas anulen a
otras; las polticas se suman, slo se anulan en caso de ser
contradictorias entre ellas. Por ejemplo, si a nivel de dominio habilitamos
la poltica de deshabilitacin del panel de control y en la OU
deshabilitamos esta poltica, y suponemos que ninguna otra de las
polticas a nivel de dominio entra en contradiccin con ninguna otra de
las de la OU, el resultado que se aplicar a un objeto contenido dentro de
la OU ser la suma de ambas GPOs, salvo que la poltica que se aplica
respecto a la deshabilitacin del panel de control ser la de la OU, no la
del dominio, y por tanto el panel de control ser visible.
En la figura 2 vemos un diagrama de flujo que nos explica cmo
son aplicadas las GPOs; se puede apreciar el orden en que son ledas y
como se acta en caso de que se contradigan o no. Como se puede
suponer, si hubiera una OU de tercer nivel, sta prevalecera sobre la hija
y obviamente una de cuarto nivel sobre la de tercer nivel y as
sucesivamente:

Competencia dentro de un mismo contenedor

Tambin se puede dar el caso de que en un mismo contenedor, por
ejemplo una OU, se aplique ms de una GPO. Esta posibilidad abre otra;

la de que puedan contradecirse entre s las GPOs que son aplicadas a

se contenedor. Cmo se resuelve esta problemtica? Muy simple:
prevalecer la de la GPO que est ms alta en la lista de las aplicadas al
contenedor, como se ve en la figura 3.

Figura 3: Prevalencia en un mismo contenedor

Esto no significa que una GPO anule a las que estn situadas
debajo de ella; al igual que vimos con la competencia entre los objetos
sobre los que se pueden aplicar, las polticas en realidad se suman
cuando no se contradicen entre ellas, slo en el caso de contradecirse es
cuando prevalece la superior (la forma de aplicacin es exactamente la
misma que veamos en el diagrama de flujo de la figura 2, slo que en
cada salto lo que se evala es la GPO, empezando por la inferior y
terminando en la superior).

Procesamiento en modo de bucle inverso

Cuando tenemos equipos que estn en un entorno en el cual se

desea tener control sobre su configuracin independientemente del
usuario que inicie sesin en l, como por ejemplo laboratorios, aulas,
bibliotecas, quioscos, etc., precisamos de un mecanismo que altere la
forma de ordenacin del procesamiento en las directivas de configuracin
de usuario.
Supongamos que hemos creado un aula, y que queremos que los
usuarios que inicien sesin en los equipos del aula no puedan acceder al
entorno de red. Lo lgico ser crear una OU a la que moveremos los
equipos del aula, crear una GPO que deshabilite el entorno de red y
vincularla a la OU del aula. Bien, esto no funcionara, ya que como
la deshabilitacin del panel de control es una configuracin de usuario y
el usuario no pertenece a la OU, no se ve afectado por esta poltica. El
procesamiento en modo de bucle inverso permite hacer que s se
apliquen las polticas de configuracin de usuario a pesar de no
pertenecer el usuario a la OU en la que se aplica.
Para activar el procesamiento en modo de bucle inverso debemos
situarnos en el rbol de la consola de directiva de grupo en el nodo
Configuracin
del
equipo/Plantillas
administrativas/Sistema/Directiva de grupo y en panel de detalles
hacer doble clic sobre la poltica Modo de procesamiento de bucle
invertido de la directiva de grupo de usuario. Se nos abre un dilogo
en el que podremos configurar la poltica. Hay dos modos de
procesamiento de bucle inverso:
Modo
Sustituir

Combina
r

Efecto
Las directivas sustituyen a las que se le aplicaran
normalmente al usuario. De esta manera hacemos que las
configuraciones propias del usuario sean las de la GPO,
unificando la configuracin para los usuarios a los que tenga
alcance.
Se combinarn ambas, las propias del usuario ms las que
especifica la GPO; en caso de contradiccin en una poltica
prevalece la de la GPO sobre las propias del usuario. As
conseguimos que determinadas opciones sean iguales para todos
los usuarios a los que alcance y que conserven sus
configuraciones propias que no entren en conflicto con las de la
GPO.

Herencia
Las GPOs se heredan
Las GPOs, en el dominio son heredadas; las aplicadas a un
contenedor padre, son aplicadas a su vez a sus hijos, es decir:
1.
2.
3.
.
.
.
n-1.
n.

Las OUs de primer nivel heredan del Dominio

Las OUs hijas heredan de las de primer nivel
Las OUs de nivel 3 heredan de las hijas

Las OUs de nivel n-1 heredan de las de nivel n-2

Las OUs de nivel n heredan de las de nivel n-1

Si nos fijamos en la figura 4, vemos que el dominio contiene a la

OU-padre, sta a la OU-hija, que a su vez contiene a la OU-3 quien, por
ltimo, contiene a la OU-4. En base a este ejemplo explicaremos la
herencia.

Figura 4: Vemos en esta figura cmo estn contenidas unas OU

en otras

En la siguiente tabla vemos qu poltica es asignada a cada

contenedor; que quede bien claro que tan slo se ver, en la pestaa
Directiva de grupo de las propiedades del contenedor, la GPO que le
corresponde en la tabla:
Contenedor
Dominio
UO padre
OU hija
OU-3

GPO asignada
GPO del Dominio
GPO padre
GPO hija
GPO 3

OU-4

GPO 4

En la figura 5 vemos un ejemplo de cmo es asignada la GPO en

el contenedor:

Figura 5: La poltica de grupo GPO 3 es asignada a la unidad organizativa OU-3

Segn esta relacin de contenedores y de GPOs, en la siguiente

tabla vemos, marcado por X, qu GPOs afectan a qu contenedores;
se ve claramente cmo son heredadas las GPOs por los contenedores:
Dominio
GPO
Dominio
GPO padre
GPO hija
GPO 3
GPO 4

del

OU
padre
X

OU hija

OU 3

OU 4

X
X

X
X
X

X
X
X
X

La herencia de las GPOs se puede bloquear

Si en la pestaa Directiva de grupo de las propiedades de una OU
activamos la casilla Bloquear la herencia de directivas (figura 6),
conseguiremos que no se apliquen las GPOs de los objetos que la
contienen. Siguiendo el ejemplo de antes, si activsemos esta casilla en
la OU Padre el resultado sera:
Dominio
GPO
Dominio
GPO padre
GPO hija
GPO 3
GPO 4

del

OU
padre

OU hija

OU 3

OU 4

X
X

X
X
X

X
X
X
X

Si la casilla estuviese en la GPO hija en vez de en la padre:

Dominio
GPO
Dominio
GPO padre
GPO hija
GPO 3
GPO 4

del

OU
padre
X

OU hija

OU 3

OU 4

X
X

X
X
X

OU hija

OU 3

OU 4

X
X

X
X
X

Si estuviera activada en ambas:

Dominio
GPO
Dominio
GPO padre
GPO hija
GPO 3
GPO 4

del

OU
padre

X
X

Figura 6: bloqueando herencia en OU-Hija

Hay que sealar que las polticas de grupo locales(las aplicadas en

la misma mquina con gpedit.msc) no pueden ser bloqueadas.

Los bloqueos de herencia pueden saltarse

Si a una GPO le habilitamos la opcin no reemplazar (figura 7) se
saltar los bloqueos, de forma que siempre ser aplicada:

De esta manera si activamos el bloqueo en la OU 3 y activamos no

reemplazar en la GPO Padre el resultado sera:
Dominio
GPO
Dominio
GPO padre
GPO hija
GPO 3
GPO 4

del

OU
padre
X

OU hija

X
X

OU 3

OU 4

X
X

Si activamos el bloqueo en la OU Hija y no reemplazar en la GPO

del Dominio:
Dominio
GPO
Dominio

del

OU
padre
X

OU hija

OU 3

OU 4

GPO padre
GPO hija
GPO 3
GPO 4

X
X

X
X

X
X
X

Cmo debo implementar las GPOs?

Se tiene que tener en cuenta principalmente la estructura presente
y futura de la organizacin que se administra, la estructura administrativa
del dominio y la forma deseada de procesamiento en s de las directivas,
para crear el modelo que mejor responda a nuestras necesidades e
intereses. Como las herramientas para establecer las polticas en el
dominio son las GPOs, que son conjuntos de una o ms polticas, lo
primero definiremos los tipos de GPOs segn su diseo, para
posteriormente estudiar las estrategias segn diferentes conceptos.

Qu tipos de diseos tenemos de GPOs

Tenemos tres tipos de diseos de GPOs segn las polticas que
configuran:
1. GPO de directiva nica: cuando est orientada a un solo
tipo de configuracin (por ejemplo propiedades de
Active Desktop). Es adecuado para organizaciones que
delegan responsabilidades administrativas en muchos
usuarios.
2. GPO de directiva mltiple: cuando est orientada a varios
tipos de configuracin (por ejemplo, configuracin de IE, de
explorador de Windows, de instalacin de software, etc.).
Adecuado para organizaciones en las que la administracin
est centralizada.
3. GPO de directiva dedicada: cuando configura slo polticas
de equipo o de usuario. Aumenta el nmero de GPOs a ser
procesadas en el inicio de sesin, alargando ste, pero es til
para aislar los problemas en la aplicacin de una GPO.

Qu estrategias de aplicacin de GPOs hay?

Hay dos estrategias de en funcin de cmo sern aplicadas las
GPOs:
1. Por capas: en esta estrategia se busca el que aparezca en
el menor nmero posible de GPOs un tipo de configuracin
en concreto. De esta manera, se parte de una poltica comn
a todo el dominio aplicada a ste, en la cual no aparecen las
configuraciones que son individuales para una OU
.Pongamos que la configuracin de escritorio es diferente en
cada OU y la configuracin de Proxy para el Internet Explorer
es igual en todas las OUs; definiramos a nivel de dominio la
configuracin de Proxy (ya sea con una GPO de directiva
nica o unida con otras directivas comunes a todas las OUs
en una directiva mltiple) y crearamos una GPO por OU con
la configuracin de escritorio propia de la OU en una directiva
nica:
a. Ventaja: La administracin es ms simple, al estar
localizados perfectamente los puntos de aplicacin de
cada configuracin y ser ms fcil realizar cambios por
tener que hacerlo en menos GPOs.
b. Inconveniente: El tiempo de inicio de sesin se
alarga, al tener que procesarse mltiples GPOs.
c. Adecuado: Para organizaciones cuya configuracin
de seguridad es comn y con cambios frecuentes de
directivas.
2. Monoltico: Lo que se busca con este enfoque es que se
apliquen el menor nmero posible de polticas; el ideal sera
que se aplique tan slo una. Para ello se configura una nica
GPO de directiva mltiple en cada OU y no se aplica GPO
alguna en el dominio.
a. Ventaja: el inicio de sesin est optimizado para que
sea lo ms rpido posible.
b. Desventaja: la administracin es ms trabajosa; si
necesitamos hacer un cambio de configuracin comn
a todo el dominio, tendremos que retocar tantas GPOs
como OUs tengamos.
c. Adecuado: Para organizaciones en las cuales se
pueden clasificar en muy pocos grupos la asignacin
de las directivas (digamos pocas OUs,) de forma que

el aumento de las tareas administrativas orientadas a

las directivas no sea preocupante.

Qu estrategias hay en funcin del trabajo?

En funcin de la forma de la organizacin de realizar su trabajo,
hay dos estrategias:
1. Por roles: Se utiliza una estructura de OUs que refleje los
tipos de trabajo de la organizacin, como pueda ser
comerciales, administrativos, marketing, etc. Aplicando el
menor nmero posible de GPOs. Digamos que es un diseo
por capas en el cual las GPOs de directiva nica de las OUs
son fusionadas en una nica GPO de directiva mltiple por
OU.
a. Ventaja: Los inicios de sesin son ms rpidos que en
una estrategia por capas.
b. Desventaja: La administracin es algo ms trabajosa
que en una estrategia por capas.
c. Adecuado: Para organizaciones en las cuales el
trabajo est muy definido en funcin a roles.
2. Por equipos: Se basa en vincular todas las GPOs al
dominio en vez de a las OUs; el alcance de las GPOs se
filtrar en base a grupos de seguridad. De esta forma se
aplicarn una GPO a todos los usuarios pertenecientes a un
grupo de seguridad determinado independientemente de la
OU a la que pertenezcan.
a. Ventajas: Se minimizan las vinculaciones de GPOs a
OUs y se centraliza la administracin de las GPOs.
b. Desventaja: El inicio de sesin ser ms lento cuantos
ms equipos de trabajo existan.
c. Adecuado: Para organizaciones en las que no
corresponda el trabajo a realizar segn roles, sino
segn tareas (por ejemplo, en un proyecto de
desarrollo de software habr desarrolladores,
comerciales, administrativos, directivos, etc., que
necesitarn determinadas configuraciones comunes a
ellos, como la carpeta del proyecto; un comercial puede
estar en ms de un proyecto y necesitar acceso a las
carpetas de los proyectos en los que est implicado).

Tambin es adecuado cuando se quiere que la

administracin de las polticas est centralizada y sea
muy flexible a las cambiantes necesidades de la
organizacin.

Qu estrategias hay en funcin del tipo de control?

Cuando utilizamos la delegacin del control de las GPOs tenemos
dos estrategias para realizarlo, que se corresponden con los diseos:
1. Diseo de control centralizado: En este diseo los
administradores de OU tienen delegado el control de las
GPOs, pero a su vez se conserva un control centralizado.
Para hacerlo, las polticas a nivel de dominio llevarn
activada la opcin No reemplazar. Es til para
organizaciones que quieren que los administradores de OUs
tengan libertad de accin pero, a su vez, haya
configuraciones comunes a todo el dominio que no puedan
ser bloqueadas.
2. Diseo de control distribuido: Cuando, adems de tener
control de su OU, un administrador de OU pueda bloquear
las polticas del dominio. Es adecuado para organizaciones
que quieren minimizar el nmero de dominios sin perder la
autonoma de las OUs. A pesar de la capacidad de los
administradores de OU de bloquear polticas, determinadas
configuraciones, como por ejemplo de seguridad, siguen
pudiendo estar centralizadas cuando se active en ellas la
opcin No reemplazar.

Qu estrategia seguir?
Estas estrategias que hemos descrito, no son ms que una
categorizacin de estrategias segn las necesidades y prestaciones
deseadas. Cada organizacin es un caso totalmente distinto, y por ello,
cada organizacin deber llevar la estrategia que ms le convenga. En
algunos casos la estrategia deseable ser alguna de las estrategias
anteriores tal y como han sido descritas; en otras habrn de ser
personalizadas y a veces habrn de mezclarse dos o ms de ellas, e
incluso estando retocadas las integrantes de la mezcla.

Bibliografa:

Principalmente los apuntes tomados en las clases de MCSE

impartidas por Ernesto Vilches en CICE.
Libros en lnea de Windows 2000 Resource Kit
Ayuda de Windows 2000
Microsoft Windows 2000 Active Directory Services. Curso oficial
de certificacin MCSE de la editorial Mc Graw Hill ISBN: 84-4812889-3