Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Qué Es Una Directiva de Grupo
Qué Es Una Directiva de Grupo
Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o ms polticas del sistema. Cada una de las polticas del sistema establece una configuracin del objeto al que afecta. Por ejemplo, tenemos polticas para: Establecer el ttulo del explorador de Internet Ocultar el panel de control Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE Establecer qu paquetes MSI se pueden instalar en un equipo Etc
Cada cuanto tiempo debe ser cambiada sta?, etc. Pueden ser aplicadas:
a. A nivel de dominio: Son aplicadas en todas las mquinas del
dominio. b. A nivel de controladores de dominio: Se aplican tan slo en los controladores de dominio, pero sin suplantar a las del dominio (en caso de entrar en contradiccin una y otra, se aplica la del dominio, no la de los controladores de dominio).
2. Directivas de Entorno (GPO -> Group Policy Object): Quin tiene
acceso al panel de control? Cul es el tamao mximo del archivo de registro de sistema? Pueden ser aplicadas:
a. b. c. d.
A nivel de equipo local A nivel de sitio A nivel de dominio A nivel de Unidad Organizativa (OU -> Organizational Unit).
divide en:
i. Configuracin de software ii. Configuracin de Windows iii. Plantillas administrativas
Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de stas son diferentes las polticas que se encuentran.
tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con gpedit.msc. Estas son las nicas polticas que se aplican a los equipos que no estn en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer).
2. Sitios de Active Directory: se aplican para todos los equipos y/o
usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan.
3. Dominios de Active Directory: se aplican a todos los equipos y/o
usuarios de un dominio.
4. Unidades
Organizativas de Active Directory: se aplican nicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).
Pulsando el botn Nueva se crear una nueva GPO debajo de la Default Domain Policy a la que llamaremos Pulsar CTRL+ALT+SUPR Si ahora seleccionamos la nueva GPO y pulsamos SUPR en el teclado podramos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podr ser utilizada ms adelante o en otro contenedor;
eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos Cancelar Ya tenemos creada la GPO; ahora debemos modificar la poltica para que obligue a los usuarios del dominio a hacer CTRL+ALT+SUPR para iniciar sesin en los equipos.
Nos desplazamos en el rbol a Configuracin del equipo/Configuracin de Windows/Configuracin de seguridad/Directivas locales/Opciones de seguridad:
Hacemos doble click sobre la directiva Inicio de sesin interactivo: no requerir Ctrl.+Alt+Supr y podremos definir sta poltica como deshabilitada:
La casilla Definir esta configuracin de directiva tiene el efecto: Marcada Sin Marcar La poltica quedar definida con el valor seleccionado en las opciones de debajo. La poltica hereda su definicin o no y si est habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio).
A su vez, cuando la casilla est marcada podemos elegir entre las opciones: Habilitada Hace que la poltica quede habilitada. Esto significa que se realizar la configuracin que la propia poltica define con su nombre y por tanto, en nuestro ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesin. Cuando se deshabilita la poltica, se impide que se realice la configuracin que la propia poltica define con su nombre. Por tanto, en el ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR para iniciar sesin.
Deshabilitada
y vinculada al contenedor desde el que es creada. Esto nos permite crear una sola GPO y aplicarla en cualquier parte del bosque al que pertenece el dominio donde est alojada la GPO; es decir, a todos los sitios, dominios y OUs del bosque. Imaginemos un bosque con tres dominios; agregando a cada dominio la GPO que creamos antes, obligaremos a pulsar CTRL+ALT+SUPR a los usuarios de los tres dominios, habiendo creado una nica GPO. Para vincular una poltica pulsamos Agregar en la pestaa Directiva de grupo de las propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente dilogo:
Seleccionamos aqu la GPO que queremos vincular. Hay tres formas de buscarlas, una por pestaa: Pestaa Muestra las GPOs Dominios y OUs Que estn aplicadas en el dominio y sus UOs, vindose las OUs como carpetas y las polticas con su icono caracterstico. El desplegable Buscar en nos permite alternar entre los dominios del bosque. Sitios Que estn aplicadas en un sitio. Con el desplegable Buscar en podemos cambiar entre los sitios que integran el bosque. Toda Que estn almacenadas en un dominio. Con el desplegable Buscar en podemos alternar entre los dominios del bosque.
Simplemente tendremos que sealar la GPO que queramos vincular y pulsar Aceptar para hacerlo.
Vnculos
Seguridad
Sirve para establecer los permisos de la GPO. Podemos asignar permisos a los siguientes objetos: 1. Usuarios 2. Equipos 3. Grupos 4. Principios de seguridad incorporados
Filtro WMI (slo en Windows XP y Windows Server 2003 y con al menos un controlado r de dominio que sea Windows Server 2003)
Sirve para realizar bsquedas basadas en WMI de caractersticas especficas de los equipos a los que se aplica la GPO. Estas caractersticas pueden ser: 1. Un patrn de nombre de equipo 2. Tipo de Sistema Operativo 3. Nivel de Service Pack 4. Cualquier caracterstica del equipo que podamos consultar con WQL Los equipos con Windows 2000 ignoran este tipo de filtros y procesan las GPOs sin tener en cuenta si por sus caractersticas deberan hacerlo o no. Por ello, una forma de ejecutar polticas que slo se apliquen a equipos con Windows 2000 es filtrar con WMI poniendo que el tipo de SO es Windows 2000 o que el tipo de SO no es Windows XP. Si queremos aplicar polticas con filtros WMI a equipos con tan slo XP o 2003, ser necesario que nos llevemos las cuentas de los Windows 2000 a otra OU en la que no estaran vinculadas esas GPOs.
Pestaa Seguridad
La pestaa Seguridad nos permite realizar dos tareas con las GPOs:
1. Filtrar el alcance de la GPO, permitiendo que sea slo aplicada a
los usuarios, equipos, grupos y/o Principios de seguridad incorporados (objetos Builtin, etc.). 2. Delegar el control de la GPO, permitiendo as la modificacin, etc., a determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados. Hay que tener en cuenta que esto se hace sobre toda la GPO, no se puede especificar nicamente a algunas polticas de la GPO, si no que se hace para todas las contenidas en la GPO.
Para realizar el filtrado del alcance y la delegacin del control se utilizan permisos que se aplican a los objetos en que estn especificados. Estos permisos pueden ser concedidos o denegados, prevaleciendo la denegacin sobre la concesin. De forma predeterminada estas son las entradas de seguridad de una GPO (se indican aquellos permisos que estn, concedidos): Grupo de seguridad Usuarios autentificados CREATOR OWNER Administradores del Dominio Administracin de empresas SYSTEM Configuracin predeterminada Leer, aplicar directiva de grupo y permisos adicionales Permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales
Los botones y sus acciones son: Botn Aceptar Cancelar Ayuda Columnas Accin Aplica a la GPO el filtro WMI que est seleccionado en la lista Filtros WMI y cierra el cuadro de dilogo. Cierra el cuadro de dilogo sin aplicar ningn cambio al filtrado WMI de la GPO. Muestra la ayuda de administracin de filtros WMI. Nos permite especificar qu columnas aparecern en la lista de filtros. De forma predeterminada aparecen todas, es decir, Descripcin, Autor, Fecha de modificacin y Fecha de creacin. La columna Nombre siempre aparece en la lista de filtros, no es una columna que se pueda ocultar. Expande o contrae el cuadro de dilogo para ocultar o mostrar en la parte de abajo los controles de edicin de filtros WMI. Nos permite crear un nuevo filtro WMI. Nos permite eliminar el filtro WMI seleccionado en la lista Filtros WMI. El filtro se elimina, pero no las vinculaciones a GPOs que tenga; es necesario eliminar esos vnculos de
forma manual, ya sea configurando otro filtro en su lugar o deshabilitando los filtros WMI en las GPOs afectadas. Nos permite crear un nuevo filtro en base al que se encuentre seleccionado en la lista Filtros WMI. Nos permite importar un filtro que anteriormente fuera exportado a un fchero MOF. Nos permite exportar un filtro a un fichero MOF. Guarda el filtro con el nombre, descripcin y consulta que lo compone. Esto es as tanto en filtros creados como en filtros que se modifican.
Debemos tener en cuenta que no se deben aplicar filtros WMI alegremente, pues ralentizan el inicio del equipo.
Dominio
En la figura 1 vemos, de forma resumida, cul es la prioridad de las GPOs. Las GPOs de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras; las polticas se suman, slo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio habilitamos la poltica de deshabilitacin del panel de control y en la OU deshabilitamos esta poltica, y suponemos que ninguna otra de las polticas a nivel de dominio entra en contradiccin con ninguna otra de las de la OU, el resultado que se aplicar a un objeto contenido dentro de la OU ser la suma de ambas GPOs, salvo que la poltica que se aplica respecto a la deshabilitacin del panel de control ser la de la OU, no la del dominio, y por tanto el panel de control ser visible. En la figura 2 vemos un diagrama de flujo que nos explica cmo son aplicadas las GPOs; se puede apreciar el orden en que son ledas y como se acta en caso de que se contradigan o no. Como se puede suponer, si hubiera una OU de tercer nivel, sta prevalecera sobre la hija y obviamente una de cuarto nivel sobre la de tercer nivel y as sucesivamente:
Se leen las GPOs locales Se leen las GPOs del Sitio S Se contradicen? No Se suman Se leen las GPOs del Dominio S Se contradicen? No Se suman Se leen las GPOs de la OU
Figura 2
S
Se contradicen? No Se suman Se leen las GPOs de la OU hija S Se contradicen? No Se suman
Se aplica el resultado
resuelve esta problemtica? Muy simple: prevalecer la de la GPO que est ms alta en la lista de las aplicadas al contenedor, como se ve en la figura 3.
Esto no significa que una GPO anule a las que estn situadas debajo de ella; al igual que vimos con la competencia entre los objetos sobre los que se pueden aplicar, las polticas en realidad se suman cuando no se contradicen entre ellas, slo en el caso de contradecirse es cuando prevalece la superior (la forma de aplicacin es exactamente la misma que veamos en el diagrama de flujo de la figura 2, slo que en cada salto lo que se evala es la GPO, empezando por la inferior y terminando en la superior).
Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien sesin en los equipos del aula no puedan acceder al entorno de red. Lo lgico ser crear una OU a la que moveremos los equipos del aula, crear una GPO que deshabilite el entorno de red y vincularla a la OU del aula. Bien, esto no funcionara, ya que como la deshabilitacin del panel de control es una configuracin de usuario y el usuario no pertenece a la OU, no se ve afectado por esta poltica. El procesamiento en modo de bucle inverso permite hacer que s se apliquen las polticas de configuracin de usuario a pesar de no pertenecer el usuario a la OU en la que se aplica. Para activar el procesamiento en modo de bucle inverso debemos situarnos en el rbol de la consola de directiva de grupo en el nodo Configuracin del equipo/Plantillas administrativas/Sistema/Directiva de grupo y en panel de detalles hacer doble clic sobre la poltica Modo de procesamiento de bucle invertido de la directiva de grupo de usuario. Se nos abre un dilogo en el que podremos configurar la poltica. Hay dos modos de procesamiento de bucle inverso: Modo Sustituir Efecto Las directivas sustituyen a las que se le aplicaran normalmente al usuario. De esta manera hacemos que las configuraciones propias del usuario sean las de la GPO, unificando la configuracin para los usuarios a los que tenga alcance. Combinar Se combinarn ambas, las propias del usuario ms las que especifica la GPO; en caso de contradiccin en una poltica prevalece la de la GPO sobre las propias del usuario. As conseguimos que determinadas opciones sean iguales para todos los usuarios a los que alcance y que conserven sus configuraciones propias que no entren en conflicto con las de la GPO.
Herencia
Las GPOs se heredan
Las GPOs, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir: 1. Las OUs de primer nivel heredan del Dominio 2. Las OUs hijas heredan de las de primer nivel 3. Las OUs de nivel 3 heredan de las hijas . . .
n-1. Las OUs de nivel n-1 heredan de las de nivel n-2 n. Las OUs de nivel n heredan de las de nivel n-1 Si nos fijamos en la figura 4, vemos que el dominio contiene a la OU-padre, sta a la OU-hija, que a su vez contiene a la OU-3 quien, por ltimo, contiene a la OU-4. En base a este ejemplo explicaremos la herencia.
En la siguiente tabla vemos qu poltica es asignada a cada contenedor; que quede bien claro que tan slo se ver, en la pestaa Directiva de grupo de las propiedades del contenedor, la GPO que le corresponde en la tabla: Contenedo r Dominio UO padre OU hija OU-3 OU-4 GPO asignada GPO del Dominio GPO padre GPO hija GPO 3 GPO 4
Segn esta relacin de contenedores y de GPOs, en la siguiente tabla vemos, marcado por X, qu GPOs afectan a qu contenedores; se ve claramente cmo son heredadas las GPOs por los contenedores: Dominio GPO Dominio GPO padre GPO hija GPO 3 GPO 4 del X OU padre X X OU hija X X X OU 3 X X X X OU 4 X X X X X
que no se apliquen las GPOs de los objetos que la contienen. Siguiendo el ejemplo de antes, si activsemos esta casilla en la OU Padre el resultado sera: Dominio GPO Dominio GPO padre GPO hija GPO 3 GPO 4 del X X X X X X X X X X X OU padre OU hija OU 3 OU 4
Si la casilla estuviese en la GPO hija en vez de en la padre: Dominio GPO Dominio GPO padre GPO hija GPO 3 GPO 4 del X OU padre X X X X X X X X OU hija OU 3 OU 4
Si estuviera activada en ambas: Dominio GPO Dominio GPO padre GPO hija GPO 3 GPO 4 del X X X X X X X X OU padre OU hija OU 3 OU 4
Hay que sealar que las polticas de grupo locales(las aplicadas en la misma mquina con gpedit.msc) no pueden ser bloqueadas.
De esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la GPO Padre el resultado sera: Dominio GPO Dominio GPO padre GPO hija GPO 3 GPO 4 del X OU padre X X OU hija X X X X X X X X OU 3 OU 4
Si activamos el bloqueo en la OU Hija y no reemplazar en la GPO del Dominio: Dominio GPO Dominio GPO padre GPO hija del X OU padre X X X X X OU hija X OU 3 X OU 4 X
GPO 3 GPO 4
X X
configuracin (por ejemplo propiedades de Active Desktop). Es adecuado para organizaciones que delegan responsabilidades administrativas en muchos usuarios. 2. GPO de directiva mltiple: cuando est orientada a varios tipos de configuracin (por ejemplo, configuracin de IE, de explorador de Windows, de instalacin de software, etc.). Adecuado para organizaciones en las que la administracin est centralizada. 3. GPO de directiva dedicada: cuando configura slo polticas de equipo o de usuario. Aumenta el nmero de GPOs a ser procesadas en el inicio de sesin, alargando ste, pero es til para aislar los problemas en la aplicacin de una GPO.
nmero posible de GPOs un tipo de configuracin en concreto. De esta manera, se parte de una poltica comn a todo el dominio aplicada a ste, en la cual no aparecen las configuraciones que son individuales para una OU .Pongamos que la configuracin de escritorio es diferente en cada OU y la configuracin de Proxy para el Internet Explorer es igual en todas las OUs; definiramos a nivel de
dominio la configuracin de Proxy (ya sea con una GPO de directiva nica o unida con otras directivas comunes a todas las OUs en una directiva mltiple) y crearamos una GPO por OU con la configuracin de escritorio propia de la OU en una directiva nica: a. Ventaja: La administracin es ms simple, al estar localizados perfectamente los puntos de aplicacin de cada configuracin y ser ms fcil realizar cambios por tener que hacerlo en menos GPOs. b. Inconveniente: El tiempo de inicio de sesin se alarga, al tener que procesarse mltiples GPOs. c. Adecuado: Para organizaciones cuya configuracin de seguridad es comn y con cambios frecuentes de directivas. 2. Monoltico: Lo que se busca con este enfoque es que se apliquen el menor nmero posible de polticas; el ideal sera que se aplique tan slo una. Para ello se configura una nica GPO de directiva mltiple en cada OU y no se aplica GPO alguna en el dominio. a. Ventaja: el inicio de sesin est optimizado para que sea lo ms rpido posible. b. Desventaja: la administracin es ms trabajosa; si necesitamos hacer un cambio de configuracin comn a todo el dominio, tendremos que retocar tantas GPOs como OUs tengamos. c. Adecuado: Para organizaciones en las cuales se pueden clasificar en muy pocos grupos la asignacin de las directivas (digamos pocas OUs,) de forma que el aumento de las tareas administrativas orientadas a las directivas no sea preocupante.
trabajo de la organizacin, como pueda ser comerciales, administrativos, marketing, etc. Aplicando el menor nmero posible de GPOs. Digamos que es un diseo por capas en el cual las GPOs de directiva nica de las OUs son fusionadas en una nica GPO de directiva mltiple por OU. a. Ventaja: Los inicios de sesin son ms rpidos que en una estrategia por capas. b. Desventaja: La administracin es algo ms trabajosa que en una estrategia por capas. c. Adecuado: Para organizaciones en las cuales el trabajo est muy definido en funcin a roles.
de a las OUs; el alcance de las GPOs se filtrar en base a grupos de seguridad. De esta forma se aplicarn una GPO a todos los usuarios pertenecientes a un grupo de seguridad determinado independientemente de la OU a la que pertenezcan. a. Ventajas: Se minimizan las vinculaciones de GPOs a OUs y se centraliza la administracin de las GPOs. b. Desventaja: El inicio de sesin ser ms lento cuantos ms equipos de trabajo existan. c. Adecuado: Para organizaciones en las que no corresponda el trabajo a realizar segn roles, sino segn tareas (por ejemplo, en un proyecto de desarrollo de software habr desarrolladores, comerciales, administrativos, directivos, etc., que necesitarn determinadas configuraciones comunes a ellos, como la carpeta del proyecto; un comercial puede estar en ms de un proyecto y necesitar acceso a las carpetas de los proyectos en los que est implicado). Tambin es adecuado cuando se quiere que la administracin de las polticas est centralizada y sea muy flexible a las cambiantes necesidades de la organizacin.
de OU tienen delegado el control de las GPOs, pero a su vez se conserva un control centralizado. Para hacerlo, las polticas a nivel de dominio llevarn activada la opcin No reemplazar. Es til para organizaciones que quieren que los administradores de OUs tengan libertad de accin pero, a su vez, haya configuraciones comunes a todo el dominio que no puedan ser bloqueadas. 2. Diseo de control distribuido: Cuando, adems de tener control de su OU, un administrador de OU pueda bloquear las polticas del dominio. Es adecuado para organizaciones que quieren minimizar el nmero de dominios sin perder la autonoma de las OUs. A pesar de la capacidad de los administradores de OU de bloquear polticas, determinadas configuraciones, como por ejemplo de seguridad, siguen pudiendo estar centralizadas cuando se active en ellas la opcin No reemplazar.
Qu estrategia seguir?
Estas estrategias que hemos descrito, no son ms que una categorizacin de estrategias segn las necesidades y prestaciones deseadas. Cada organizacin es un caso totalmente distinto, y por ello, cada organizacin deber llevar la estrategia que ms le convenga. En algunos casos la estrategia deseable ser alguna de las estrategias anteriores tal y como han sido descritas; en otras habrn de ser personalizadas y a veces habrn de mezclarse dos o ms de ellas, e incluso estando retocadas las integrantes de la mezcla.
Bibliografa:
Principalmente los apuntes tomados en las clases de MCSE impartidas por Ernesto Vilches en CICE. Libros en lnea de Windows 2000 Resource Kit Ayuda de Windows 2000 Microsoft Windows 2000 Active Directory Services. Curso oficial de certificacin MCSE de la editorial Mc Graw Hill ISBN: 84-481-2889-3