Group Policy Objects

Marc Salvador
MVP Windows Server – Directory Services
MCSA / MCSE 2003
MCTS: Windows Server 2008
marcs@mvps.org
Group Policy Objects
¿Qué es una Group Policy Object (GPO)?
Es una colección de políticas que se aplican de modo centralizado
a objetos del Direcotrio Activo tales como equipos, aplicaciones
y/o usuarios

¿Para qué sirven?

Sirven para crear, mantener y establecer diferentes
configuraciones y comportamientos sobre los objetos del
Directorio Activo sobre los que aplicamos esas GPOs.

¿Cómo las usamos?

Esta es la gran pregunta. Y no tiene una única respuesta pero se
puede resumir en «depende» 
Estructura de una GPO
Toda GPO está basada en unos valores por defecto,
configurados.

Existen también unas «Plantillas administrativas» donde se

establecen la gran mayoría de configuraciones. Estas
plantillas son personalizables,

Por defecto, hay dos GPOs aplicadas:

La Default Domain Policy, que viene por defecto y se crea al crear el
dominio.
La Default Domain Controllers Policy, que está aplicada sobre la OU
«Domain Controllers»
Estructura de una GPO
En versiones anteriores de Windows 2008:

Son archivos de texto de extensión .adm.

Se guardan dentro de %SystemRoot%\Inf
Son complicados de entender y gestionar

A partir de Windows 2008:

Son archivos XML de extenxion .admx y .adml

Se facilita su comprensión al separar la política en sí (.admx) del
idioma de la misma (.adml)
Los .admx, se guardan en %SystemRoot%\policyDefinitions
Los .adml, en %SystemRoot%\PolicyDefinitions\[MUICulture]
Estructura de una GPO
Archivos .adm
Estructura de una GPO
Archivos .admx y .adml

.
¿Dónde y cómo se aplican?
Las GPOs se pueden aplicar sobre los siguientes objetos del
Directorio Activo
Usuarios
Equipos

La aplicación de las mismas se hace «linkandolas» sobre el

dominio directamente, sobre el site o sobre Unidades
Organizativas (OUs).
No es posible aplicar una GPO sobre un grupo, pero sí usar grupos
para definir alcances y filtrados de las mismas.

El orden de aplicación de las GPOs es:

Primero las locales, seguidas de las de Site, Dominio y finalmente,
OUs
¿Dónde y cómo se aplican?
Se puede configurar cómo se comportan las GPOs una vez
implantadas:
No override: Cualquier GPO puede establecerse como “No
Override”, esto es, que no sobreescriba los valores de otras GPOs
aplicadas en su mismo nivel.

Block policy inheritance: Si se activa esta propiedad, se bloquea la

aplicación de cualquier GPO de nivel superior y sólo es afectiva la
última aplicada. Si hay más de una, la suma de las últimas. Las
GPOs configuradas con «No override» se siguen aplicando.

Loopback processing: Literalmente, procesamiengo inverso de las

GPOs. Casi imprescindible en entornos de Terminal Services, pero
no exclusivo. Funcionan en modo «Merge» o «Replace»
¿Dónde y cómo se aplican?
El resultado de la aplicación de mútiples GPOs en diferentes
niveles:
Un valor de GPO (Enabled o Disabledconfigurado en una OU
“padre”, y el mismo valor sin configurar en las OUs “hijas” hace que
éstas hereden ese valor.

Un valor de GPO (Enabled o Disabledconfigurado en una OU

“padre”, y el mismo valor configurado en las OUs “hijas” hace que
éstas sobreescriban ese valor.

Si una política no está definida o configurada, no se hereda.

Diferentes valores compatibles en diferentes GPOs configurados en

una UO “padre” y una OU “hija” provoca que sus valores se sumen.
SI no lo son, no se heredan.
Gestión de GPOs
¿Qué herramientas tenemos para la gestión de las GPOs?
Muchas y varias: GPMC, GPResult, GPUpdate, RSoP…

Hagamos un poco de historia

¿Cómo se gestionaban en Windows 2000 Server?

¿Y en Windows Server 2003 / R2?

Las novedades de Windows Server 2008

Las mejoras de Windows Server 2008 R2

Windows 2000 Server
El inicio de todo. Bueno, en NT4 existía «PolEdit» pero no
era lo mismo.

La no-consola de Administración.

En efecto, no existía una consola donde se centralizara la gestión y

creación de GPOs

¿Cómo se hacía, entonces?: Sencillo, usando el método tradicional:

papel y bolígrafo

Es decir, era complicado saber qué GPOs estaban aplicando y cómo

Windows 2000 Server
El número de parámetros
configurables en Windows 2000 era
de unos 400/450.
Era difícil diseñarlas y
mantenerlas.

Para refrescar y/o forzar la

aplicación de nuevas GPOs, se usa
el comando:

secedit /refreshpolicy
Windows Server 2003 / R2
Hereda todo lo bueno de Windows 2000 Server…

… y se añaden del orden de 1.200 «settings» a configurar,

teniendo del orden de 1.600 posibles valores por GPO. Sin
contar con el resto de «Administrative templates» que es
posible añadir, como los de Office.

También se añaden más herramientas para el control y el

modelaje:

La administración mejora con la incorporación de la Group Policy

Management Console, aka GPMC 1.1, de descarga separada y
gratuita.

Se añade la opción de «backup/restore» de GPOs

Gestión: Windows Server 2003
Otras cosas interesantes:

Se posibilida la importación/exportación, el Copiar/Pegar de las

GPOs y se integran con Windows Management Instrumentation
(WMI) para filtrar la aplicación y alcance

Se simplifica la administración de las GPOs en cuanto a las

configuraciones relacionadas con la seguridad.

Desde la GPMC, es posible obtener un resumen de la GPO en

formato HTML.

También desde la GPMC, es posible saber cuál será el resultado de

aplicación de la GPO (RSoP) antes de aplicarla sobre un objeto.
Gestión: Windows Server 2003
Más mejoras

Microsoft publica una herramienta para inventariar las GPOs:

GPInventory

El comando «secedit» es substituido por «gpudate»

Existe la opción de comprobar y arreglar GPOs corruptas con

«dcgpofix», incluso la Default Domain Policy

Se añade texto descriptivo en cada GPO para facilitar su

comprensión y los efectos de activar/desactivar sus parámetros
Gestión: Windows Server 2003
Una imagen de la GMPC
Gestión: Windows Server 2008
También hereda todo lo bueno de Windows 2003 Server…

… y se añaden del orden de 800 «settings» a configurar,

teniendo del orden de casi 2.500 valores por GPO.

El editor de GPOs cambia, integrando de modo nativo el

«PolicyMaker», una versión mucho más sencilla, fácil y
potente.

La GPMC viene de serie, pero en versión 2.0

Gestión: Windows Server 2008
Una de las grandes novedades: las Starter GPOs

Una «Starter GPO» es una GPO «especial» de «Sólo lectura» que

deriva de una GPO «normal» y que contiene las configuraciones
base para un escenario concreto. Son GPOs «pre-definidas»

Tienen la limitación de que sólo es posible configurar parámetros del

apartado «Administrative Templates»

La gran ventaja es que se pueden usar como plantillas para crear de

modo rápido una serie de GPOs donde sólo varían unos poco
parámetros específicos.
Windows Server 2008
Una de las grandes novedades de 2008: las Starter GPOs

Una «Starter GPO» es una GPO «especial» de «Sólo lectura» que

deriva de una GPO «normal» y que contiene las configuraciones
base para un escenario concreto. Son GPOs «pre-definidas»

Son exportables entre dominios y bosques.

Es posible añadir comentarios a las GPOs, a modo de texto

descriptivo
Windows Server 2008
Tienen la limitación de que sólo es posible configurar parámetros del
apartado «Administrative Templates»
Windows Server 2008
La gran ventaja es que se pueden usar como plantillas para crear de
modo rápido una serie de GPOs donde sólo varían unos poco
parámetros específicos.
Windows Server 2008
Windows Server 2008
Desde la GPMC es
posible realizar
búsquedas de GPOs,
filtrando por diferentes
criterios:

Tipos de GPO

Por palabras

Por requerimientos de
la GPO
Windows Server 2008
Ejemplo de búsqueda por Requeimiento de la GPO
Windows Server 2008
Group Policy Preferences, o cómo simplificar la vida a los
administradores.

Las GP Preferences permiten:

Asignar recursos compartidos y/o impresoras a usuarios o grupos

Tareas de copias de archivos

Accesos directos en el Escritorio

Creación de enlaces ODBC

Y, muy interesante, creación de valores en las ramas de registro para

aplicaciones no administrables via GPOs
Windows Server 2008
Consola de Group Policy Preferences
Gestión: Windows Server 2008
Consola de Group Policy Management Editor
Gestión: Windows Server 2008 R2
La versión R2 de Windows Server 2008 introduce las System
Starter GPOs

Una «System Starter GPO» también es una GPO «especial» de «Sólo

lectura» que deriva de una Starter GPO y que también contiene las
configuraciones base para un escenario concreto.

También introduce la opción de administrarlas a través algunos de los 25

cmdlets de PowerShell v2.0

Creación, eliminación, backup e importación

Gestión: Windows Server 2008 R2
PowerShel 2.0

Asociar GPOs con contenedores de Active Directory: creación de

links, actualización y eliminación.

Gestión de la herencia entre OUs

Configuración de Group Policy Preferences

Creación y edición de Starter GPOs

Gestión: Windows Server 2008 R2
Se añaden nuevas funcionalidades a las Group Policy
Preferences, tales como:

Control de la Gestión de energía

Control de las Tareas programadas

Control de la personalización de Internet Explorer 8

Control sobre las Tareas imediatas

Turno de preguntas y respuestas

Es el momento de las dudas y

aclaraciones.

Adelante, pues 