Contenido 
OBJETOS DE POLITICAS DE GRUPO ..................................................................................................... 2 
CONFIGURACIONES DE USUARIO Y COMPUTADORA .................................................................... 2 
POLÍTICA DE GRUPO LOCAL Y DE DOMINIO .................................................................................... 2 
IMPLEMENTAR GPO EN UN DOMINIO ................................................................................................. 3 
¿QUE ES UN GPO LINK? ........................................................................................................................... 3 
BACKUP Y RESTORE DE LAS POLÍTICAS DE GRUPO ...................................................................... 3 
DISTRIBUCION DE POLÍTICAS DE GRUPO.......................................................................................... 4 
ATRIBUROS DE LOS GPO LINKS ....................................................................................................... 4 
MULTIPLES LINK .................................................................................................................................. 4 
BLOQUEO DE LA HERENCIA.................................................................................................................. 4 
¿ QUE PASA CUANDO LAS POLÍTICAS ENTRAN EN CONFLICTO? ............................................... 4 
FILTRAR LAS POLÍTICAS DE GRUPO ................................................................................................... 5 

Módulo 8 Página 1
 OBJETOS DE POLITICAS DE GRUPO
Las Políticas de Grupo permiten a los administradores de IT automatizar el manejo, tanto de usuarios, como de computadoras dentro de la
red. Con las políticas de grupo los administradores pueden de forma eficiente implementar configuraciones de seguridad, forzar políticas de
IT, y distribuir software en la Red.

Cuando se trabajan las políticas de grupo, estas pueden ser configuradas de dos formas. Locales o de Dominio.

Políticas Locales: se van a estar utilizando cuando solo van a afectar la computadora donde se configura. Esta no tiene todas las
funcionalidades de las políticas de Dominio y solamente afectan en la computadora a la cual se están configurando.

Políticas de Dominio: se trabajan dentro del AD y el AD es utilizado para distribuir estas políticas a través de la red, pueden ser
configuradas a nivel de Dominio, Site, y OU.

Debemos tomar en cuenta que los sistemas operativos que trabajan con las políticas de grupo son:
 Windows 2000
 Windows XP
 Windows 2003
 Y cualquier otro sistema operativo en adelante

Las políticas de Grupo son Almacenadas en el AD en lo que se conoce como un GPO, Group Policy Object, y físicamente son almacenadas
en una carpeta que esta compartida con el nombre de SYSVOL y esta carpeta esta compartida en Todos los controladores de Dominio, y de
forma local, cuando se configuran las GPO de forma local son almacenadas en la carpeta %WINDIR%/SYSTEM32/GROUPPOLICY.

Algo que debemos de tomar muy en cuenta cuando se están trabajando las Políticas de Grupo es el orden en el cual se aplican dichas
políticas. Esto es sumamente importante ya que el orden en el cual se aplican, pueden llegar a definir la forma en la que van a afectar a los
usuarios o computadoras.

Lo primero que se aplica siempre son las POLÍTICAS LOCALES, luego se aplican las POLÍTICAS DE SITE o de sitio, y luego siguen las
POLITICAS DE DOMINIO, y por ultimo las POLITICAS DE LAS OU.

CONFIGURACIONES DE USUARIO Y COMPUTADORA

Las Políticas de Grupo, se dividen de 2 partes. Una que es la Configuración de la computadora (Computer Configuration) y la Configuración
del Usuario, (User Configuration)

COMPUTER CONFIGURATION: Todos los settings que configuramos en Computer Configuration, van a aplicar únicamente a las
computadoras, sin importar que usuario se siente en la computadora.

USER CONFIGURATION: Estos settings van a afectar a los usuarios, no importa en qué computadora trabaje el usuario.

En Computer Configuration, tenemos Settings para el Software, Settings para la configuración de Windows y Settings de Seguridad, estos
settings de seguridad son refrescados cada 16 horas, y tenemos lo que son los Administrative Templates, que nos van a afectar el Registro de
la computadora, Recordemos que cuando nosotros estamos configurando todo lo que es la parte de la computadora, Todas las llaves del
Registro que cambiemos, van a caer dentro del HKEY_LOCAL_MACHINE, mientras que la parte de la configuración de los usuarios cae
dentro del HKEY_CURRENT_USER.

En User Configuration, tenemos Settings para el Software de usuarios, Settings de Windows, (como Redirección de folders, Internet
Explorer, características de seguridad), y los Administrative Templates.

POLÍTICA DE GRUPO LOCAL Y DE DOMINIO

Si queremos estar modificando la política Local, de una computadora en especial, simplemente vamos y creamos una nueva consola, con el
MMC, y agregamos el Snap-in del Local Group Policy, GPO, o sea el Group Policy Object Editor, cuando lo agregamos la característica que
nos da por default es LOCAL COMPUTER, con esto creo la política local de la computadora, nos crea una parte para la configuración de la
computadora, y otra para la configuración del usuario, Todos los cambios que se hagan en esta política, solamente van a afectar a esta
computadora y a los usuarios que trabajen solamente en esta computadora.

Mientras que si queremos utilizar las políticas de Dominio, nos vamos hacia el Group Policy Management Console, buscamos ya sea el
Dominio, OU, o Site que queremos estar monitoreando, clic derecho propiedades, y nos vamos a la pestaña de Group Policy, y allí tenemos

Módulo 8 Página 2
la política Default para el dominio, le decimos que queremos editarla, y allí nos va a aparecer toda la configuración necesaria, para realizar
los cambios.

IMPLEMENTAR GPO EN UN DOMINIO

¿QUE ES UN GPO LINK?

Para vincular o desvincular las GPO, nos vamos A el Group Policy Management, expándenos el dominio, y nos aparece el Group Policy
Objects, podemos estar visualizando cuales son las políticas de Dominio que existen, que son las GPO que se guardan en el AD. Y nos dice
que existen solamente dos GPO la que se llaman Default Domain Controllers Policy, y la Default Domain Policy, y cuando le damos clic a la
política, nos dice a que OU o a que Dominio, estávinculada, demos el caso que estávinculada al Dominio, mientras que el Default Domain
Controller policy estávinculada a el contenedor que se llama Domain Controllers que está en el AD.

Estando en el Group Policy Management sobre GPO le damos botón derecho y le podemos dar en New, para crear nuevas políticas, y lo
primero que nos dice es el nombre del GPO, ejemplo IT, y me la crea, Con esto me crea una nueva política pero actualmente la política IT se
ha creado desligada de cualquier dominio u OU. Para eso nos vamos a la OU que la queremos ligar, ejemplo OU Corp, clic derecho y esta
en laopción Link an Existing GPO, y solo seleccionamos la política que queremos ligar ejemplo IT, entonces en ese momento vemos que la
GPOestá ligada a la OU Corp, con esto tenemos ahora una política ligada.

Si eliminamos este Link, desde la OU corp, en la política clic derecho delete, entonces esta política no está ligada a ningún OU o Dominio,
podemos ligar o desligar las GPO.

Al estar trabajando con GPO, también existe lo que se llama Herencia es decir el Contenedor padre va a estar heredando sus políticas a sus
contenedores hijos y cuando trabajamos herencia hay algunos lineamientos que debemos considerar para conocer la política resultante que le
va a aplicar a un Usuario o Computadora. Estos lineamientos son:
 El Contenedor padre hereda las políticas al contenedor hijo. Es decir si tengo la política en el padre en una OU, que dice que el
usuario no puede grabar ningún documento en el Desktop entonces todas las OU hijas también van a heredar esta política
 Las políticas son Acumulativas, es decir si en el Contenedor padre se asignaron ciertas políticas y en el contenedor hijo se
configuraron otras políticas, entonces un usuario con la política resultante sería una suma entre las políticas del padre más las
políticas del hijo,
 Si hay 2 políticas o más en el mismo contenedor, se trabaja prioridades para saber el orden en que son procesadas.

Con estas 3 reglas podemos llegar a determinar cuál es la política de grupo resultante que aplica a una computadora o a un usuario.

BACKUP Y RESTORE DE LAS POLÍTICAS DE GRUPO

Para hacer un Backup y Restore de las políticas de Grupo. Algo que es sumamente importante es tener una copia de respaldo de las GPO y
en el Group Policy Management es bien sencillo realizarlo.

Por ejemplo tenemos una GPO llamada IT, al darle clic derecho tenemos la opción de BACK UP, lo primero que me pregunta es en donde
voy a ubicar este backup, fácilmente le puede dar un Browse, para elegir su locación, ejemplo c:\backup, después le puedo poner una
Descripción ejemplo Política de IT, y damos Back Up, y me dice si fue satisfactoria mente. Podemos ir al directorio Backup para ver que
nos crea una carpeta con el Backup de esta política.

Para sacar un Backup de Todas las políticas de grupo, nos vamos al Group Policy Objects, clic derecho y le damos Back Up All, le damos su
ubicación, y alguna descripción.

Para Restaurar una GPO, nos vamos al Group Policy Object, clic derecho Manage Backup, y me pregunta la ubicación donde tenemos el
backup que queremos restaurar, y luego nos aparecen una lista de todos los backup que están en dicha carpeta, con el nombre del dominio, el
nombre del GPO, y la descripción, selecciono la que quiero y le doy Restore, y empieza el proceso, nos dice si fue restaurada de forma
exitosa.

Existe una tercera forma de restaurar es hacer una importación, cuando hacemos una importación la diferencia es que al estar importando los
Settings, me va a pedir siempre un Backup, y me va a restaurar solamente las puras políticas, y no me va a tocar para nada lo que son los
Link, hacia diferentes OU, tampoco me va a tocar lo que son los filtros de seguridad WMI Filtering, y la delegación que haya realizado. La
importación solamente me va a estar importando, lo que son las configuración específicas, de las Políticas de Grupo, para eso hay que ir a el
nombre de la política, ejemplo IT, clic derecho, Import Settings,

Módulo 8 Página 3
 DISTRIBUCION DE POLÍTICAS DE GRUPO
ATRIBUROS DE LOS GPO LINKS

Como recordamos la herencia en las GPO es acumulativa, es decir las políticas, ejemplo que tengamos en el dominio Corp.com, se suman a
las políticas que tengamos en la OU Corp, y se suman a las políticas de la OU Operaciones, para un usuario que trabaja en dicha OU. Pero
que sucede cuando entran en conflicto, quiere decir que la política que está a nivel del Dominio Corp.com, dice que el comando RUN esta
deshabilitado, para todos los usuarios, pero la política que está a nivel de la OU Corp, dice que el comando Run si está habilitado para todos
los usuarios, entonces cuando entran en conflicto la política resultante es, la última que se lee, es decir que primero se lee las de Dominio,
después las de OU, y la que va a aplicar es la que si permite el comando Run que es la última que se leo. Pero si a nivel de dominio, yo
quiero que esta política se aplique no importando, que digan las políticas hijas, por ejemplo que para eso quiero la GPO IT de seguridad,
entonces en la GPO IT de seguridad le digo que como está ligada al dominio corp.com le doy un clic derecho y le digo Enforced, que es lo
que va a pasar, es que esta política va hacer forzosamente utilizada en todas las OU hijas, y va a prevalecer cuando entren en conflicto.

Otra característica que tenemos es la de habilitar o deshabilitar links, es decir si por ejemplo en la OU Corp tenemos dos GPO que están
siendo asignadas, la IT Internet Explorer y la IT seguridad, si quiero deshabilitar el Link del IT Internet Explorer, simplemente le doy botón
derecho encima de la misma, y le quito el cheque en donde dice Link Enabled, con esto esta GPO IT Internet Explorer ya no estar siendo
aplicada, para volverla a habilitar simplemente le doy clic derecho y otra vez n Link Enabled para ponerle de nuevo el cheque y ahora ya está
aplicada. O lo que podría hacer es borrar el link, para eso nos vamos a el link, botón derecho delete, con eso me borra el link hacia esa
unidad organizacional, si la quiero volver a aplicar debe de volver a generar el link. Para eso hay que volverla a Ligar.
MULTIPLES LINK
La OU Corp tiene múltiples GPO asignadas, cuáles van a aplicar y en qué orden van a aplicar, para eso nos vamos a la OU Corp y nos dice el
orden del Link, ejemplo en la 1 estála GPO IT Redirección y en la 2 estála GPO IT Internet Explorer, si quiero invertir este orden, en el lado
izquierdo puedo subir y bajar el orden de los mismos.

BLOQUEO DE LA HERENCIA
Para bloquear la Herencia de las OU, por ejemplo si estamos en la OU Corp y tenemos en el dominio Corp.com y este dominio tiene algunas
GPO que estánsiendo aplicadas a él, quiere decir que estas políticas van hacer heredadas a todas las OU que tengamos en dicho dominio, si
yo no quiero que estas políticas de los contenedores padres se me apliquen, me voy a la OU ejemplo Corp, clic derecho y le digo Bloquear la
Herencia, Block Inheritance, y le va a poner un chequecito, indicando que las políticas asignadas a mis contenedores padres, no se van a
aplicar a la OU Corp.

Como la GPO IT de seguridad, ha sido forzada, no importa que el administrador a cargo de la OU las haya bloqueado, Todas aquellas GPO
que han sido Forzadas van a tener efectividad, no importando que se haya bloqueado la herencia.

El bloqueo de la herencia no afecta a las políticas que tengan habilitado el atributo de “Enforced”

¿ QUE PASA CUANDO LAS POLÍTICAS ENTRAN EN

CONFLICTO?
Para saber cómo es que las GPO resuelven los conflictos, si tenemos en el Group Policy Objects 3 GPO,
 GPO IT no Run, que deniega la utilización del comando RUN
 GPO IT No ControlPanel, que deniega el acceso al Control Panel
 GPO IT Si Run, que si habilita el run

Y están puestas de la siguiente manera:

A nivel de dominio tenemos IT NO RUN
A nivel de OU Corp tenemos IT NO CONTROLPANEL
A nivel de la OU Operaciones tenemos IT SI RUN.
Que pasaría par un usuario de operaciones? La política resultante sería la siguiente, primero se lee la política de Dominio que nos dice IT NO
RUN, recordemos que la forma en que se leen son
Orden de Procesamiento de las GPO’s:
1. Locales
2. Site
3. Domain
4. OU

Módulo 8 Página 4
En este caso estamos trabajando con Políticas de Domino, y OU, entonces la primera que se lee es la de Dominio, y nos dice IT NO RUN, la
segunda que se lee es la de OU Corp, y nos dice No Control Panel, como se suman las políticas hasta ahora son No run, No controlPanel, y la
última que se lee es SI RUN. Como entra en conflicto con NO RUN Cuando entran en conflicto la última que se lee es la que prevalece. En
este caso es SI RUN, significa que la política resultante es NO CONTROL PANEL + SI RUN, esta es la forma en la que se resuelven los
conflictos, La ultima política que se lee es la que aplica.

FILTRAR LAS POLÍTICAS DE GRUPO

La característica de Filtreo, para evitar que las políticas se apliquen a usuarios que no queremos.

Si estamos en la OU de Operaciones, en esta existe un usuario que se llama Luis Pérez, y tiene aplicada la política de SI RUN, por default la
política se está aplicando a todos los usuarios autenticados, es decir a todos los usuarios y computadoras que estén dentro de la OU de
Operaciones, pero yo quiero específicamente que el usuario llamado Luis Pérez, no se le aplique esa política, para eso nos vamos a la OU
Operaciones a el Link del GPO IT Si Run, a la pestaña de Delegation, y voy a Add para agregar al usuario Luis Pérez, y me pide los
permisos que le quiero dar, ejemplo read, ahora ya tengo al usuario Luis Pérez, para evitar que al usuario se le aplica esta política le doy la
opción de Advanced, y buscamos al usuario Luis Pérez y le digo que le deniego la aplicación de las políticas de grupo (Apply Group Policy)
y también le deniego el comando Read, para que no lea la política de grupo, con eso, el usuario Luis Pérez, solamente a este usuario no se le
aplica la GPO de IT Si Run.

Módulo 8 Página 5