Objeto de directiva de grupo

Directiva de grupo
Información sobre la plantilla
Concepto:Es lo que utiliza el servicio de directorio de Active Directory para gestión de usuarios y equipos en la red.

Objeto de directiva de grupo (GPO: Group Policy Object). Es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta.

Conocimientos fundamentales de la directiva de grupo

  • Cuando se usan directivas de grupo, puede definirse el estatus del entorno de trabajo de un usuario una vez, y confiar en que Windows Server 2003 aplicará constantemente los valores configurados de la directiva definida.
  • La directiva puede ser aplicada a través de una organización entera, o, sólo a usuarios, grupos o equipos específicos.

Tipos troncales de directivas

Podemos definir dos categorías de tipos troncales de directivas:

Según su función

Existen dos tipos troncales de directivas según su función:

  • Directivas de seguridad: ¿Cuántos caracteres tiene una contraseña? ¿Cada cuanto tiempo debe ser cambiada ésta?, etc. Pueden ser aplicadas:
    • A nivel de dominio: Son aplicadas en todas las máquinas del dominio.
    • A nivel de controladores de dominio: Se aplican tan sólo en los controladores de dominio, pero sin suplantar a las del dominio en caso de entrar en contradicción una y otra, se aplica la del dominio, no la de los controladores de dominio).
  • Directivas de Entorno (GPO -> Group Policy Object): ¿Quién tiene acceso al panel de control? ¿Cuál es el tamaño máximo delarchivo de registro de sistema? Pueden ser aplicadas:
    • Nivel de equipo local
    • Nivel de sitio
    • Nivel de dominio
    • Nivel de Unidad Organizativa (OU -> Organizational Unit).

Directivas según el objeto al que configuran

Respecto al objeto al que configuran también son dos:

  • Configuración del equipo: que se divide en:
  • Configuración de software
  • Configuración de Windows
  • Plantillas administrativas
  • Configuración del usuario, que al igual que la de Windows se divide en:
  • Configuración de software
  • Configuración de Windows
  • Plantillas administrativas

Objetos de los contenedores de las GPO’s

Las GPO’s pueden estar contenidas en cuatro tipos de objetos:

Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer).

Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan.

Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.

Unidades Organizativas de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).

Crear, quitar o eliminar una GPO

Qué mejor forma de ver cómo se crea una GPO que poniendo un caso práctico. Vamos a obligar a los usuarios del dominio a hacer CTRL+ALT+SUPR para poder iniciar sesión. Para ello abrimos “Usuarios y Equipos de Active Directory”. Hacemos clic derecho sobre el nodo con el nombre del dominio y pulsamos “Propiedades”:

En la ventana que se abre pulsamos la pestaña “Directiva de Grupo”:

Pulsando el botón “Nueva” se creará una nueva GPO debajo de la “Default Domain Policy” a la que llamaremos “Pulsar CTRL+ALT+SUPR”.

Si ahora seleccionamos la nueva GPO y pulsamos SUPR en el teclado podríamos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podrá ser utilizada más adelante o en otro contenedor; eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos “Cancelar”

Ya tenemos creada la GPO; ahora debemos modificar la política para que obligue a los usuarios del dominio a hacer CTRL+ALT+SUPR para iniciar sesión en los equipos.

Propiedades de una GPO

Accedemos a las propiedades de la GPO pulsando el botón “Propiedades” de la pestaña “Directiva de grupo” de las propiedades de un contenedor. En la ventana de propiedades encontramos tres pestañas:

Pestaña General: Muestra información sobre la GPO y permite deshabilitar toda la rama de configuración del equipo y/o toda la rama de configuración de usuario. Esto sirve para agilizar la aplicación de la GPO, mejorando el rendimiento. Como en nuestro caso la política que obliga a hacer CTRL+ALT+SUPR para iniciar sesión es una configuración de equipo, podremos marcar la casilla que deshabilita los parámetros de configuración de usuario.

Pestaña: Vínculos:Permite buscar los sitios, dominios y OU’s en los que está agregada la GPO. Con el desplegable “Dominio” podemos seleccionar el dominio del bosque en el que buscamos.

Pestaña “Seguridad”

La pestaña “Seguridad” nos permite realizar dos tareas con las GPO’s: Filtrar el alcance de la GPO, permitiendo que sea sólo aplicada a los usuarios, equipos, grupos y/o Principios de seguridad incorporados (objetos “Builtin”, etc.).

Delegar el control de la GPO, permitiendo así la modificación, etc., a determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados.

  • Pestaña “Filtro WMI”

La pestaña “Filtro WMI” nos permite filtrar el alcance de la GPO en función a características de los equipos que están dentro del alcance de la GPO. Para acceder a estas características se utilizan búsquedas WQL, el lenguaje de búsqueda en WMI basado en SQL. Sólo se puede aplicar un filtro WMI a una GPO, filtro WMI que consiste en una o más búsquedas WQL. Al igual que pasaba con los permisos establecidos en la pestaña seguridad, el filtro es aplicado a toda la GPO, no se puede aplicar a determinadas directivas solamente.

Tipos de diseños de la GPO’s

Tenemos tres tipos de diseños de GPO’s según las políticas que configuran:

  • GPO de directiva única: cuando está orientada a un solo tipo de configuración (por ejemplo propiedades de Active Desktop). Es adecuado para organizaciones que delegan responsabilidades administrativas en muchos usuarios.
  • GPO de directiva múltiple: cuando está orientada a varios tipos de configuración (por ejemplo, configuración de IE, de explorador de Windows, de instalación de software, etc.). Adecuado para organizaciones en las que la administración esté centralizada.
  • GPO de directiva dedicada: cuando configura sólo políticas de equipo o de usuario. Aumenta el número de GPO’s a ser procesadas en el inicio de sesión, alargando éste, pero es útil para aislar los problemas en la aplicación de una GPO.

Fuente

  • Libros en línea de Windows 2000 Resource Kit
  • Ayuda de Windows 2000
  • “Microsoft Windows 2000 Active Directory Services. Curso oficial de certificación MCSE” de la editorial Mc Graw Hill ISBN: 84-481-2889-3

Enlaces externos

Obtenido de «https://www.ecured.cu/index.php?title=Objeto_de_directiva_de_grupo&oldid=1466458»