directiva de grupo-herencia-procesamiento y precedencia
TRANSCRIPT
DIRECTIVA DE GRUPO
Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o
más políticas del sistema.
Cada una de las políticas del sistema establece una configuración del objeto al que
afecta.
TIPOS DIRECTIVA
Podemos definir dos categorías de tipos troncales de directivas:
1. Según su función
a. Directivas de seguridad i. A nivel de dominio: Son aplicadas en todas las máquinas
del dominio.
ii. A nivel de controladores de dominio: Se aplican tan sólo
en los controladores de dominio, pero sin suplantar a las
del dominio (en caso de entrar en contradicción una y
otra, se aplica la del dominio, no la de los controladores
de dominio).
b. Directivas de Entorno (GPO) Group Policy Object
i. A nivel de equipo local
ii. A nivel de sitio
iii. A nivel de dominio
iv. A nivel de Unidad Organizativa (OU)
2. Según su objeto de configuración
a. Configuración del equipo:
i. Configuración de software
ii. Configuración de Windows
iii. Plantillas administrativas
b. Configuración del usuario:
i. Configuración de software
ii. Configuración de Windows
iii. Plantillas administrativas
Nota: Aunque las configuraciones de equipo y usuario se dividan en las mismas partes,
dentro de éstas son diferentes las políticas que se encuentran.
Las GPO’s pueden estar contenidas en cuatro tipos de objetos:
1. Equipos Locales: son aplicadas únicamente en el equipo que las tiene
asignadas independientemente del dominio al que pertenezcan. Son
modificadas con “gpedit.msc”. Estas son las únicas políticas que se
aplican a los equipos que no están en un dominio, como servidores
independientes(stand alone) o clientes en red igual a igual (peer to peer).
2. Sitios de Active Directory: se aplican para todos los equipos y/o
usuarios de un sitio, independientemente del dominio o del bosque al
que pertenezcan.
3. Dominios de Active Directory: se aplican a todos los equipos y/o
usuarios de un dominio.
4. Unidades Organizativas de Active Directory: se aplican únicamente a
los equipos y/o usuarios que pertenezcan a la propia unidad organizativa
(OU).
Creación de una GPO
Abrimos “Usuarios y Equipos de Active Directory”. Hacemos clic derecho sobre el
nodo con el nombre del dominio y pulsamos “Propiedades”:
En la ventana que se abre pulsamos la pestaña “Directiva de Grupo”:
Pulsando el botón “Nueva” se creará una
nueva GPO debajo de la “Default Domain
Policy” que se crea por defecto.
Ya tenemos creada la GPO; ahora debemos modificar la política para conseguir
personalizar el entorno de los usuarios.
Definir las Políticas
Si seleccionamos con el ratón la GPO que hemos creado y pulsamos el botón
“Modificar” se nos abrirá una consola de directiva de grupo:
Nos desplazamos en el árbol a “Configuración del equipo/Configuración de
Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad”:
Hacemos doble click sobre la directiva “Inicio de sesión interactivo: no requerir
Ctrl.+Alt+Supr” y podremos definir ésta política como deshabilitada:
La casilla “Definir esta configuración de directiva” tiene el efecto:
Marcada La política quedará definida con el valor seleccionado en las
opciones de debajo.
Sin Marcar La política hereda su definición o no y si está habilitada o no en
caso de haber sido definida en un contenedor superior (en nuestro
ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de
dominio).
A su vez, cuando la casilla está marcada podemos elegir entre las opciones:
Habilitada Hace que la política quede habilitada. Esto significa que se
realizará la configuración que la propia política define con su
nombre y por tanto, en nuestro ejemplo, provoca que no sea
necesario que el usuario pulse CTRL+ALT+SUPR para iniciar
sesión.
Deshabilitada Cuando se deshabilita la política, se impide que se realice la
configuración que la propia política define con su nombre. Por
tanto, en el ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR
para iniciar sesión.
A pesar de que una GPO es creada en un contenedor, ésto sólo es una apariencia.
Realmente es creada alojándola en el dominio desde el que es creada y
vinculada al contenedor desde el que es creada.
Esto nos permite crear una sola GPO y aplicarla en cualquier parte del bosque al que
pertenece el dominio donde está alojada la GPO; es decir, a todos los sitios, dominios y
OU’s del bosque.
Para vincular una política pulsamos “Agregar” en la pestaña “Directiva de grupo” de
las propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente
diálogo:
Seleccionamos aquí la GPO que queremos vincular.
Podemos encontrar la GPO que buscamos en cualquiera de las 3 pestañas (Dominios y
Ous, Sitios y Toda)
Pestaña Muestra las GPO’s…
Dominios y OUs Que están aplicadas en el dominio y sus UO’s, viéndose las OU’s
como carpetas y las políticas con su icono característico. El
desplegable “Buscar en” nos permite alternar entre los dominios
del bosque.
Sitios Que están aplicadas en un sitio. Con el desplegable “Buscar en”
podemos cambiar entre los sitios que integran el bosque.
Toda Que están almacenadas en un dominio. Con el desplegable
“Buscar en” podemos alternar entre los dominios del bosque.
Seleccionamos la GPO que queramos vincular y pulsamos “Aceptar” para vincularla.
Accedemos a las propiedades de la GPO pulsando el botón “Propiedades” de la pestaña
“Directiva de grupo” de las propiedades de un contenedor. En la ventana de
propiedades encontramos tres pestañas:
Pestaña Función Captura
General Muestra información
sobre la GPO y
permite deshabilitar
toda la rama de
configuración del
equipo y/o toda la
rama de
configuración de
usuario. Esto sirve
para agilizar la
aplicación de la
GPO, mejorando el
rendimiento.
Vínculos Permite buscar los
sitios, dominios y
OU’s en los que está
agregada la GPO.
Con el desplegable
“Dominio” podemos
seleccionar el
dominio del bosque
en el que queremos
buscar
Seguridad Sirve para
establecer los
permisos de la
GPO’. Podemos
asignar permisos a
los siguientes
objetos:
1. Usuarios
2. Equipos
3. Grupos
4. Principios de
seguridad
incorporados
Filtro WMI
(sólo en
Windows XP
y Windows
Server 2003
y con al
menos un
controlador
de dominio
que sea
Windows
Server 2003)
Sirve para realizar
búsquedas basadas
en WMI de
características
específicas de los
equipos a los que se
aplica la GPO. Estas
características
pueden ser:
1. Un patrón de
nombre de
equipo
2. Tipo de
Sistema
Operativo
3. Nivel de
Service Pack
Los equipos con
Windows 2000
ignoran este tipo de
filtros y procesan las
GPOs sin tener en
cuenta si por sus
características
deberían hacerlo o
no. Por ello, una
forma de ejecutar
políticas que sólo se
apliquen a equipos
con Windows 2000
es filtrar con WMI
poniendo que el tipo
de SO es Windows
2000 o que el tipo de
SO no es Windows
XP. Si queremos
aplicar políticas con
filtros WMI a
equipos con tan sólo
XP o 2003, será
necesario que nos
llevemos las cuentas
de los Windows
2000 a otra OU en la
que no estarán
vinculadas esas
GPOs.
Pestaña “SEGURIDAD”
La pestaña “Seguridad” nos permite realizar dos tareas con las GPO’s:
1. Filtrar el alcance de la GPO, permitiendo que sea sólo aplicada a los usuarios,
equipos, grupos y/o Principios de seguridad incorporados (objetos “Builtin”, etc.).
2. Delegar el control de la GPO, permitiendo así la modificación, etc., a
determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados.
Hay que tener en cuenta que esto se hace sobre toda la GPO, no se puede especificar
únicamente a algunas políticas de la GPO, si no que se hace para todas las políticas
contenidas en la GPO.
Para realizar el filtrado del alcance y la delegación del control se utilizan permisos que
se aplican a los objetos en que están especificados. Estos permisos pueden ser
concedidos o denegados, prevaleciendo la denegación sobre la concesión. De forma
predeterminada estas son las entradas de seguridad de una GPO (se indican aquellos
permisos que están, concedidos):
Grupo de seguridad Configuración predeterminada
Usuarios autentificados Leer, aplicar directiva de grupo y permisos
adicionales
CREATOR OWNER Permisos adicionales
Administradores del Dominio Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundarios y permisos adicionales
Administración de empresas Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundarios y permisos adicionales
SYSTEM Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundarios y permisos adicionales
Pestaña “Filtro WMI”
La pestaña “Filtro WMI” nos permite filtrar el alcance de la GPO en función a
características de los equipos que están dentro del alcance de la GPO. Para acceder a
estas características se utilizan búsquedas WQL, el lenguaje de búsqueda en WMI
basado en SQL. Sólo se puede aplicar un filtro WMI a una GPO, filtro WMI que
consiste en una o más búsquedas WQL. Al igual que pasaba con los permisos
establecidos en la pestaña seguridad, el filtro es aplicado a toda la GPO, no se puede
aplicar a determinadas directivas solamente.
Para establecer los filtros WMI (aplicables sólo en Windows XP y Windows Server
2003; además, es necesario que al menos un controlador de dominio sea un Windows
Server 2003) se hace desde la pestaña “Filtro WMI”, marcamos la opción “Este filtro” y
pulsamos el botón “Examinar/administrar…”, apareciendo el cuadro de diálogo
“Administrar filtros WMI”, donde podremos crear filtros, modificarlos, eliminarlos,
importar/exportar y seleccionar el que queramos aplicar. Para crear, modificar y
eliminar deberemos hacer click sobre el botón “Avanzadas >>” con lo que el cuadro de
diálogo queda así:
Los botones y sus acciones son:
Botón Acción
Aceptar Aplica a la GPO el filtro WMI que esté seleccionado en la lista
“Filtros WMI” y cierra el cuadro de diálogo.
Cancelar Cierra el cuadro de diálogo sin aplicar ningún cambio al
filtrado WMI de la GPO.
Ayuda Muestra la ayuda de administración de filtros WMI.
Columnas Nos permite especificar qué columnas aparecerán en la lista de
filtros. De forma predeterminada aparecen todas, es decir,
Descripción, Autor, Fecha de modificación y Fecha de
creación. La columna Nombre siempre aparece en la lista de
filtros, no es una columna que se pueda ocultar.
Avanzadas Expande o contrae el cuadro de diálogo para ocultar o mostrar
en la parte de abajo los controles de edición de filtros WMI.
Nuevo Nos permite crear un nuevo filtro WMI.
Eliminar Nos permite eliminar el filtro WMI seleccionado en la lista
“Filtros WMI”. El filtro se elimina, pero no las vinculaciones a
GPOs que tenga; es necesario eliminar esos vínculos de forma
manual, ya sea configurando otro filtro en su lugar o
deshabilitando los filtros WMI en las GPOs afectadas.
Duplicar Nos permite crear un nuevo filtro en base al que se encuentre
seleccionado en la lista “Filtros WMI”.
Importar Nos permite importar un filtro que anteriormente fuera
exportado a un fchero MOF.
Exportar Nos permite exportar un filtro a un fichero MOF.
Guardar Guarda el filtro con el nombre, descripción y consulta que lo
compone. Esto es así tanto en filtros creados como en filtros
que se modifican.
Debemos tener en cuenta que no se deben aplicar filtros WMI alegremente, pues
ralentizan el inicio del equipo.
¿Cómo se procesan las GPO’s?
Competencia entre contenedores
Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos
locales, sitios, dominios y unidades organizativas (en adelante OU).
Se podría dar el caso, por tanto, de que las GPO’s contuvieran políticas que se
contradijeran entre sí.
Cuando se dan casos de estos, el sistema de GPO’s está implementado para asegurar
que siempre se aplicarán las políticas, y para ello establece una forma de prioridad entre
éstas por la cual, según dónde estén asignadas, unas prevalecen sobre otras atendiendo a
una serie de reglas.
Las GPO’s de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre
las de sitio, las cuales a su vez prevalecen sobre las del equipo local.
Por prevalecer no se entiende que unas anulen a otras; las políticas se suman, sólo se
anulan en caso de ser contradictorias entre ellas.
Por ejemplo, si a nivel de dominio habilitamos la política de deshabilitación del panel
de control y en la OU deshabilitamos esta política, y suponemos que ninguna otra de las
políticas a nivel de dominio entra en contradicción con ninguna otra de las de la OU, el
resultado que se aplicará a un objeto contenido dentro de la OU será la suma de ambas
GPO’s, salvo que la política que se aplica respecto a la deshabilitación del panel de
control será la de la OU, no la del dominio, y por tanto el panel de control será visible.
El diagrama de flujo nos explica cómo son aplicadas las GPO’s; se puede apreciar el
orden en que son leídas y como se actúa en caso de que se contradigan o no.
Como se puede suponer, si hubiera una OU de tercer nivel, ésta prevalecería sobre la
hija y obviamente una de cuarto nivel sobre la de tercer nivel y así sucesivamente:
Competencia dentro de un mismo contenedor
También se puede dar el caso de que en un mismo contenedor, por ejemplo una OU, se
aplique más de una GPO.
Esta posibilidad abre otra; la de que puedan contradecirse entre sí las GPO’s que son
aplicadas a ése contenedor.
¿Cómo se resuelve esta problemática? - Prevalecerá la de la GPO que está más alta en
la lista de las aplicadas al contenedor, como se ve en la figura 3.
Figura 3: Prevalencia en un mismo contenedor
Esto no significa que una GPO anule a las que estén situadas debajo de ella; al igual
que vimos con la competencia entre los objetos sobre los que se pueden aplicar, las
políticas en realidad se suman cuando no se contradicen entre ellas, sólo en el caso de
contradecirse es cuando prevalece la superior
Procesamiento en modo de bucle inverso
Cuando tenemos equipos que están en un entorno en el cual se desea tener control sobre
su configuración independientemente del usuario que inicie sesión en él, como por
ejemplo laboratorios, aulas, bibliotecas, quioscos, etc., precisamos de un mecanismo
que altere la forma de ordenación del procesamiento en las directivas de configuración
de usuario.
Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien
sesión en los equipos del aula no puedan acceder al entorno de red. Lo lógico será crear
una OU a la que moveremos los equipos del aula, crear una GPO que deshabilite el
entorno de red y vincularla a la OU del aula. Bien, esto no funcionaría, ya que como la
deshabilitación del panel de control es una configuración de usuario y el usuario no
pertenece a la OU, no se ve afectado por esta política. El procesamiento en modo de
bucle inverso permite hacer que sí se apliquen las políticas de configuración de usuario
a pesar de no pertenecer el usuario a la OU en la que se aplica.
Para activar el procesamiento en modo de bucle inverso debemos situarnos en el árbol
de la consola de directiva de grupo en el nodo “Configuración del equipo/Plantillas
administrativas/Sistema/Directiva de grupo” y en panel de detalles hacer doble clic
sobre la política “Modo de procesamiento de bucle invertido de la directiva de grupo
de usuario”. Se nos abre un diálogo en el que podremos configurar la política. Hay dos
modos de procesamiento de bucle inverso:
Modo Efecto
Sustituir Las directivas sustituyen a las que se le aplicarían normalmente al
usuario. De esta manera hacemos que las configuraciones propias del
usuario sean las de la GPO, unificando la configuración para los usuarios a
los que tenga alcance.
Combinar Se combinarán ambas, las propias del usuario más las que especifica la
GPO; en caso de contradicción en una política prevalece la de la GPO
sobre las propias del usuario. Así conseguimos que determinadas opciones
sean iguales para todos los usuarios a los que alcance y que conserven sus
configuraciones propias que no entren en conflicto con las de la GPO.
Herencia
Las GPO’s, en el dominio son heredadas; las aplicadas a un contenedor padre, son
aplicadas a su vez a sus hijos, es decir:
1. Las OU’s de primer nivel heredan del Dominio
2. Las OU’s hijas heredan de las de primer nivel
3. Las OU’s de nivel 3º heredan de las hijas
.
.
.
n-1. Las OU’s de nivel n-1º heredan de las de nivel n-2º
n. Las OU’s de nivel nº heredan de las de nivel n-1º
Si nos fijamos en la figura 4, vemos que el dominio contiene a la OU-padre, ésta a la
OU-hija, que a su vez contiene a la OU-3º quien, por último, contiene a la OU-4º. En
base a este ejemplo explicaremos la herencia.
Figura 4: Vemos en esta figura cómo están contenidas unas OU en otras
En la siguiente tabla vemos qué política es asignada a cada contenedor; que
quede bien claro que tan sólo se verá, en la pestaña “Directiva de grupo” de las
propiedades del contenedor, la GPO que le corresponde en la tabla:
Contenedor GPO asignada
Dominio GPO del Dominio
UO padre GPO padre
OU hija GPO hija
OU-3º GPO 3ª
OU-4º GPO 4º
En la figura 5º vemos un ejemplo de cómo es asignada la GPO en el contenedor:
Figura 5: La política de grupo “GPO 3º” es asignada a la unidad organizativa “OU-3º”
Según esta relación de contenedores y de GPO’s, en la siguiente tabla vemos,
marcado por “X”, qué GPO’s afectan a qué contenedores; se ve claramente cómo son
heredadas las GPO’s por los contenedores:
Dominio OU padre OU hija OU 3º OU 4º
GPO del Dominio X X X X X
GPO padre X X X X
GPO hija X X X
GPO 3ª X X
GPO 4º X
La herencia de las GPO’s se puede bloquear
Si en la pestaña “Directiva de grupo” de las propiedades de una OU activamos la casilla
“Bloquear la herencia de directivas” (figura 6), conseguiremos que no se apliquen las
GPO’s de los objetos que la contienen. Siguiendo el ejemplo de antes, si activásemos
esta casilla en la OU Padre el resultado sería:
Dominio OU padre OU hija OU 3º OU 4º
GPO del Dominio X
GPO padre X X X X
GPO hija X X X
GPO 3ª X X
GPO 4º X
Si la casilla estuviese en la GPO hija en vez de en la padre:
Dominio OU padre OU hija OU 3º OU 4º
GPO del Dominio X X
GPO padre X
GPO hija X X X
GPO 3ª X X
GPO 4º X
Si estuviera activada en ambas:
Dominio OU padre OU hija OU 3º OU 4º
GPO del Dominio X
GPO padre X
GPO hija X X X
GPO 3ª X X
GPO 4º X
Figura 6: bloqueando herencia en OU-Hija
Hay que señalar que las políticas de grupo locales(las aplicadas en la misma máquina
con gpedit.msc) no pueden ser bloqueadas.
Los bloqueos de herencia pueden saltarse
Si a una GPO le habilitamos la opción “no reemplazar” (figura 7) se saltará los
bloqueos, de forma que siempre será aplicada:
De esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la
GPO Padre el resultado sería:
Dominio OU padre OU hija OU 3º OU 4º
GPO del Dominio X X X
GPO padre X X X X
GPO hija X
GPO 3ª X X
GPO 4º X
Si activamos el bloqueo en la OU Hija y no reemplazar en la GPO del Dominio:
Dominio OU padre OU hija OU 3º OU 4º
GPO del Dominio X X X X X
GPO padre X
GPO hija X X X
GPO 3ª X X
GPO 4º X
¿Cómo debo implementar las GPO’s?
Se tiene que tener en cuenta principalmente la estructura presente y futura de la
organización que se administra, la estructura administrativa del dominio y la forma
deseada de procesamiento en sí de las directivas, para crear el modelo que mejor
responda a nuestras necesidades e intereses. Como las herramientas para establecer las
políticas en el dominio son las GPO’s, que son conjuntos de una o más políticas, lo
primero definiremos los tipos de GPO’s según su diseño, para posteriormente estudiar
las estrategias según diferentes conceptos.
¿Qué tipos de diseños tenemos de GPO’s
Tenemos tres tipos de diseños de GPO’s según las políticas que configuran:
1. GPO de directiva única: cuando está orientada a un solo tipo de
configuración (por ejemplo propiedades de Active Desktop). Es
adecuado para organizaciones que delegan responsabilidades
administrativas en muchos usuarios.
2. GPO de directiva múltiple: cuando está orientada a varios tipos de
configuración (por ejemplo, configuración de IE, de explorador de
Windows, de instalación de software, etc.). Adecuado para
organizaciones en las que la administración esté centralizada.
3. GPO de directiva dedicada: cuando configura sólo políticas de equipo o
de usuario. Aumenta el número de GPO’s a ser procesadas en el inicio de
sesión, alargando éste, pero es útil para aislar los problemas en la
aplicación de una GPO.
¿Qué estrategias de aplicación de GPO’s hay?
Hay dos estrategias de en función de cómo serán aplicadas las GPO’s:
1. Por capas: en esta estrategia se busca el que aparezca en el menor
número posible de GPO’s un tipo de configuración en concreto. De esta
manera, se parte de una política común a todo el dominio aplicada a éste,
en la cual no aparecen las configuraciones que son individuales para una
OU .Pongamos que la configuración de escritorio es diferente en cada
OU y la configuración de Proxy para el Internet Explorer es igual en
todas las OU’s; definiríamos a nivel de dominio la configuración de
Proxy (ya sea con una GPO de directiva única o unida con otras
directivas comunes a todas las OU’s en una directiva múltiple) y
crearíamos una GPO por OU con la configuración de escritorio propia de
la OU en una directiva única:
a. Ventaja: La administración es más simple, al estar localizados
perfectamente los puntos de aplicación de cada configuración y
ser más fácil realizar cambios por tener que hacerlo en menos
GPO’s.
b. Inconveniente: El tiempo de inicio de sesión se alarga, al tener
que procesarse múltiples GPO’s.
c. Adecuado…: Para organizaciones cuya configuración de
seguridad es común y con cambios frecuentes de directivas.
2. Monolítico: Lo que se busca con este enfoque es que se apliquen el
menor número posible de políticas; el ideal sería que se aplique tan sólo
una. Para ello se configura una única GPO de directiva múltiple en cada
OU y no se aplica GPO alguna en el dominio.
a. Ventaja: el inicio de sesión está optimizado para que sea lo más
rápido posible.
b. Desventaja: la administración es más trabajosa; si necesitamos
hacer un cambio de configuración común a todo el dominio,
tendremos que retocar tantas GPO’s como OU’s tengamos.
c. Adecuado…: Para organizaciones en las cuales se pueden
clasificar en muy pocos grupos la asignación de las directivas
(digamos pocas OU’s,) de forma que el aumento de las tareas
administrativas orientadas a las directivas no sea preocupante.
¿Qué estrategias hay en función del trabajo?
En función de la forma de la organización de realizar su trabajo, hay dos estrategias:
1. Por roles: Se utiliza una estructura de OU’s que refleje los tipos de
trabajo de la organización, como pueda ser comerciales, administrativos,
marketing, etc. Aplicando el menor número posible de GPO’s. Digamos
que es un diseño por capas en el cual las GPO’s de directiva única de las
OU’s son fusionadas en una única GPO de directiva múltiple por OU.
a. Ventaja: Los inicios de sesión son más rápidos que en una
estrategia por capas.
b. Desventaja: La administración es algo más trabajosa que en una
estrategia por capas.
c. Adecuado…: Para organizaciones en las cuales el trabajo está
muy definido en función a roles.
2. Por equipos: Se basa en vincular todas las GPO’s al dominio en vez de a
las OU’s; el alcance de las GPO’s se filtrará en base a grupos de
seguridad. De esta forma se aplicarán una GPO a todos los usuarios
pertenecientes a un grupo de seguridad determinado independientemente
de la OU a la que pertenezcan.
a. Ventajas: Se minimizan las vinculaciones de GPO’s a OU’s y se
centraliza la administración de las GPO’s.
b. Desventaja: El inicio de sesión será más lento cuantos más
equipos de trabajo existan.
c. Adecuado…: Para organizaciones en las que no corresponda el
trabajo a realizar según roles, sino según tareas (por ejemplo, en
un proyecto de desarrollo de software habrá desarrolladores,
comerciales, administrativos, directivos, etc., que necesitarán
determinadas configuraciones comunes a ellos, como la carpeta
del proyecto; un comercial puede estar en más de un proyecto y
necesitar acceso a las carpetas de los proyectos en los que está
implicado). También es adecuado cuando se quiere que la
administración de las políticas esté centralizada y sea muy
flexible a las cambiantes necesidades de la organización.
¿Qué estrategias hay en función del tipo de control?
Cuando utilizamos la delegación del control de las GPO’s tenemos dos estrategias para
realizarlo, que se corresponden con los diseños:
1. Diseño de control centralizado: En este diseño los administradores de
OU tienen delegado el control de las GPO’s, pero a su vez se conserva un
control centralizado. Para hacerlo, las políticas a nivel de dominio
llevarán activada la opción “No reemplazar”. Es útil para organizaciones
que quieren que los administradores de OU’s tengan libertad de acción
pero, a su vez, haya configuraciones comunes a todo el dominio que no
puedan ser bloqueadas.
2. Diseño de control distribuido: Cuando, además de tener control de su
OU, un administrador de OU pueda bloquear las políticas del dominio.
Es adecuado para organizaciones que quieren minimizar el número de
dominios sin perder la autonomía de las OU’s. A pesar de la capacidad
de los administradores de OU de bloquear políticas, determinadas
configuraciones, como por ejemplo de seguridad, siguen pudiendo estar
centralizadas cuando se active en ellas la opción “No reemplazar”.
¿Qué estrategia seguir?
Estas estrategias que hemos descrito, no son más que una categorización de estrategias
según las necesidades y prestaciones deseadas. Cada organización es un caso totalmente
distinto, y por ello, cada organización deberá llevar la estrategia que más le convenga.
En algunos casos la estrategia deseable será alguna de las estrategias anteriores tal y
como han sido descritas; en otras habrán de ser personalizadas y a veces habrán de
mezclarse dos o más de ellas, e incluso estando retocadas las integrantes de la mezcla.
Administrar la herencia de directivas de
grupo
Para aplicar la configuración de un objeto de directiva de grupo (GPO) a los usuarios y
equipos de un dominio, un sitio o una unidad organizativa, puede vincular el dominio, el
sitio o la unidad organizativa a ese GPO. En la Consola de administración de directivas
de grupo puede agregar uno o varios vínculos de GPO a cada dominio, sitio o unidad
organizativa. La configuración implementada por los GPO vinculados a contenedores
de nivel superior (contenedores primarios) de Active Directory se hereda de forma
predeterminada en los contenedores secundarios y se combina con la configuración
implementada por los GPO vinculados a contenedores secundarios. Si varios GPO
intentan establecer valores contradictorios en una opción, prevalecerá el GPO que tenga
mayor precedencia. El procesamiento de los GPO se basa en el principio de que
prevalece el último en llegar y los GPO procesados con posterioridad tienen precedencia
sobre los procesados anteriormente. Los objetos de directiva de grupo se procesan en el
orden siguiente:
1. Se aplica el objeto de directiva de grupo local (LGPO).
2. GPO vinculados a sitios.
3. GPO vinculados dominios.
4. GPO vinculados a unidades organizativas. En caso de haber unidades
organizativas anidadas, los GPO asociados a unidades organizativas primarias se
procesan antes que los GPO asociados a unidades organizativas secundarias.
Los vínculos a un determinado sitio, dominio o unidad organizativa se aplican en orden
inverso al orden de los vínculos. Por ejemplo, un GPO con Orden de vínculos 1 tiene la
máxima precedencia sobre otros GPO vinculados a ese contenedor.
Para ver el orden de precedencia de los GPO de un sitio, dominio o unidad organizativa
determinados, abra la ficha Herencia de directivas de grupo de ese sitio, dominio o
unidad organizativa. Observe que al mostrar la ficha Herencia de directivas de grupo
de un dominio o de una unidad organizativa, los GPO vinculados a sitios no aparecen.
Ello se debe a que el sitio específico en el que se encuentra un equipo no se conoce
previamente. Además, cuando se observa un sitio la única diferencia entre las fichas
Herencia de directivas de grupo y Objetos de directivas de grupo vinculados es que
en la primera se tiene en cuenta el atributo de obligatoriedad (que se describe más
abajo).
Es posible controlar aún más la precedencia y el modo en que los vínculos de GPO se
aplican en determinados dominios, sitios o unidades organizativas de las formas
siguientes:
Cambiar el orden de los vínculos.
Dentro de cada dominio, sitio o unidad organizativa, el orden de los vínculos determina
cuándo se aplican. Para cambiar la precedencia de un vínculo puede cambiar el orden de
los vínculos, desplazando cada uno hacia arriba o hacia abajo en la lista hasta la
ubicación deseada. El vínculo con mayor orden (donde 1 es el orden máximo) tiene la
máxima precedencia para un sitio, dominio o unidad organizativa determinados. Por
ejemplo, si agrega seis vínculos de GPO y posteriormente decide que el último que ha
agregado debe tener la máxima precedencia, puede desplazar ese vínculo a la primera
posición de la lista.
Bloquear la herencia de directivas de grupo.
Es posible bloquear la herencia de directivas de grupo en un dominio o en una unidad
organizativa. Con el bloqueo de la herencia se impide que los GPO vinculados a sitios,
dominios o unidades organizativas superiores se hereden automáticamente en el nivel
secundario. De forma predeterminada, los niveles secundarios heredan todos los GPO
del nivel primario, pero en algunas ocasiones resulta útil bloquear la herencia. Por
ejemplo, si desea aplicar un único conjunto de directivas a todo un dominio, excepto a
una unidad organizativa, puede vincular los GPO necesarios en el nivel de dominio
(cuyas directivas heredan todas las unidades organizativas de forma predeterminada) y a
continuación bloquear la herencia únicamente para la unidad organizativa a la que no
deben aplicarse esas directivas.
Forzar un vínculo de GPO.
Para especificar que la configuración establecida por un vínculo de GPO prevalezca
sobre la configuración de cualquier objeto secundario, puede establecer la opción
Forzado para ese vínculo. Los vínculos de GPO forzados no pueden bloquearse desde el
contenedor primario. Sin forzado desde arriba, la configuración de los vínculos de GPO
de mayor nivel (primario) se sobrescribe con la configuración de los GPO vinculados a
unidades organizativas secundarias, en caso de que los GPO especifiquen valores
contradictorios. Con el forzado u obligatoriedad, el vínculo de GPO primario siempre
prevalece. De forma predeterminada no se fuerzan los vínculos de GPO. En las
herramientas anteriores a GPMC, el concepto de "forzado" se denominaba "No
reemplazar".
Deshabilitar un vínculo de GPO.
De forma predeterminada, el procesamiento está habilitado para todos los vínculos de
GPO. Para bloquear completamente la aplicación de un GPO para un sitio, dominio o
unidad organizativa determinados, puede deshabilitar el vínculo de GPO para ese
dominio, sitio o unidad organizativa. Tenga en cuenta que con ello no se deshabilita el
GPO propiamente dicho y que si el GPO está vinculado a otros sitios, dominios o
unidades organizativas, éstos seguirán procesándolo si sus vínculos están habilitados.
Importante
No se pueden bloquear los vínculos de GPO establecidos como FORZADO (no
reemplazar).
Las opciones de FORZADO y BLOQUEO DE HERENCIAdeben utilizarse con
poca frecuencia. El uso incontrolado de estas características avanzadas complica
la solución de problemas.
Además de utilizar vínculos de GPO para aplicar directivas, también puede controlar el
modo en que se aplican los GPO mediante filtros de seguridad o filtros WMI.
Procesamiento y precedencia de
directivas de grupo
Los objetos de directiva de grupo (GPO) aplicables a un usuario (o equipo) no tienen
todos la misma precedencia. Las opciones que se aplican con posterioridad pueden
anular a las aplicadas anteriormente.
Orden de procesamiento de la configuración
La configuración de Directiva de grupo se procesa en el orden siguiente:
1. Objeto de directiva de grupo local: cada equipo tiene exactamente un objeto
de directiva de grupo almacenado de forma local. Este objeto se utiliza tanto
para el procesamiento de directivas de equipo como de usuario.
2. Sitio: a continuación se procesan los GPO vinculados al sitio al que pertenece el
equipo. El procesamiento se realiza en el orden especificado por el
administrador en la ficha Objetos de directivas de grupo vinculados de la
Consola de administración de directivas de grupo (GPMC). El GPO con el
menor orden de vínculos se procesa en último lugar y, por tanto, tiene la
máxima precedencia.
3. Dominio: los GPO vinculados a varios dominios se procesan en el orden
especificado por el administrador en la ficha Objetos de directivas de grupo
vinculados del dominio en GPMC. El GPO con el menor orden de vínculos se
procesa en último lugar y, por tanto, tiene la máxima precedencia.
4. Unidades organizativas: primero se procesan los GPO vinculados a la unidad
organizativa que tiene mayor nivel en la jerarquía de Active Directory, seguidos
de los GPO vinculados a la unidad organizativa secundaria y así sucesivamente.
Por último se procesan los GPO vinculados a la unidad organizativa que
contiene el usuario o el equipo.
En cada unidad organizativa de la jerarquía de Active Directory pueden
vincularse uno, varios o ningún GPO. Si hay varios GPO vinculados a una
unidad organizativa, su procesamiento se realiza según el orden especificado por
el administrador en la ficha Objetos de directivas de grupo vinculados de la
unidad organizativa en GPMC. El GPO con el menor orden de vínculos se
procesa en último lugar y, por tanto, tiene la máxima precedencia.
Este orden significa que el GPO local se procesa en primer lugar y que los GPO
vinculados a la unidad organizativa de la que el equipo o el usuario es miembro directo
se procesan en último lugar, por lo que sobrescriben la configuración de los GPO
anteriores en caso de conflicto. (Si no hay conflictos, las configuraciones anterior y
posterior se combinan.)
Excepciones al orden predeterminado de
procesamiento de la configuración
El orden predeterminado de procesamiento de la configuración está sujeto a las
excepciones siguientes:
Un vínculo de GPO puede estar forzado, deshabilitado o ambas cosas al mismo
tiempo. De forma predeterminada, un vínculo de GPO no está forzado ni
deshabilitado.
Un GPO puede tener deshabilitada su configuración de usuario, su configuración
de equipo o toda su configuración. De forma predeterminada, ni la configuración
de usuario ni la configuración del equipo de un GPO están deshabilitadas.
Una unidad organizativa o un dominio pueden tener activada la opción
Bloquear herencia. De forma predeterminada, la opción Bloquear herencia no
está activada.
Un equipo que es miembro de un grupo de trabajo únicamente procesa el objeto
de directiva de grupo local.
El bucle invertido puede estar habilitado.
Inicio del equipo e inicio de sesión
La siguiente secuencia muestra el orden en que se aplican la directiva de equipo y la
directiva de usuario cuando se inicia un equipo y un usuario inicia sesión:
1. Se inicia la red. Se inician el Servicio de sistema de llamada a procedimiento
remoto (RPCSS, Remote Procedure Call System Service) y el Proveedor
múltiple de convención de nomenclatura universal (MUP, Multiple Universal
Naming Convention Provider). (Windows XP Professional es una excepción a
esta regla. De forma predeterminada, en Windows XP Professional el
procesamiento de directivas de grupo no espera a que se inicie la red. Este
comportamiento predeterminado puede cambiarse con una opción de directiva.)
2. Se obtiene una lista ordenada de los GPO para el equipo. La lista puede
depender de los factores siguientes:
o Si el equipo forma parte de un dominio y, por tanto, está sujeto a
directivas de grupo a través de Active Directory.
o La ubicación del equipo en Active Directory.
o Si la lista de objetos de directiva de grupo ha cambiado. Si la lista de
GPO no ha cambiado, no se llevará a cabo ningún procesamiento. Puede
utilizar una configuración de directiva para cambiar este
comportamiento.
o Los forzados o bloqueos que pueda haber establecido el administrador.
Un administrador puede establecer una directiva con mayor nivel para
que se aplique siempre. Este proceso se denomina forzado y
anteriormente se conocía como No reemplazar. Como alternativa, un
administrador puede hacer que un contenedor bloquee las directivas de
nivel superior para impedir su aplicación. Nota: si el administrador ha
establecido un mayor nivel para una directiva con el fin de forzar su
aplicación, la directiva se aplicará incluso aunque se determine su
bloqueo.
3. Se aplica la directiva del equipo. Se trata de las opciones que hay bajo
Configuración del equipo en la lista recopilada. Los GPO se aplican en el orden
siguiente: local, sitio, dominio, unidad organizativa, unidad organizativa
secundaria, etc. Mientras se procesan las directivas de equipo no aparece
ninguna notificación. Es posible establecer una opción de directiva para activar
el registro detallado y que se muestre una notificación de las directivas de
equipo procesadas.
4. Se ejecutan las secuencias de comandos de inicio. De manera predeterminada,
esta ejecución se realiza de forma oculta y sincrónica; cada secuencia de
comandos debe completarse o agotar el tiempo de espera antes de que se inicie
la siguiente. El tiempo de espera predeterminado es 600 segundos. Puede utilizar
varias opciones de configuración de directiva para modificar este
comportamiento.
Nota: Windows XP Professional y Windows XP Professional 64-bit Edition
cuentan con una característica de optimización para inicio de sesión rápido. De forma
predeterminada, cuando se inician equipos que ejecutan estos sistemas operativos no
esperan a que se inicie la red. Una vez iniciada la sesión, las directivas se procesan en
segundo plano cuando la red está disponible. Esto significa que, durante el inicio del
equipo y el inicio de sesión, el equipo seguirá utilizando la configuración de directivas
anterior. Por tanto, en el caso de las opciones de configuración que sólo pueden
aplicarse al iniciar el equipo o al iniciar sesión (como la instalación de software o la
redirección de carpetas), puede ser necesario que el usuario inicie sesión más de una
vez después de haberse realizado el cambio inicial en el GPO. Esta directiva se
controla con la opción Configuración del equipo \ Plantillas administrativas \ Sistema
\ Inicio de sesión \ Esperar siempre la detección de red al inicio del equipo y de
sesión. Esta característica no está disponible en Windows 2000 ni en Windows 2003
Server.
5. El usuario presiona CTRL+ALT+SUPR para iniciar sesión.
6. Una vez validado el usuario se carga el perfil de usuario, que se rige por las
opciones de directiva que están en vigor.
7. Se obtiene una lista ordenada de los GPO para el usuario. La lista puede
depender de los factores siguientes:
o Si el usuario forma parte de un dominio y, por tanto, está sujeto a la
Directiva de grupo a través de Active Directory.
o Si está habilitado el bucle invertido y el estado (Combinar o
Reemplazar) de la configuración de directiva de bucle invertido.
o La ubicación del usuario en Active Directory.
o Los forzados o bloqueos que pueda haber establecido el administrador.
Un administrador puede establecer una directiva con mayor nivel para
que se aplique siempre. Este proceso se denomina forzado y
anteriormente se conocía como No reemplazar. Como alternativa, un
administrador puede hacer que un contenedor bloquee las directivas de
nivel superior para impedir su aplicación. Nota: si el administrador ha
establecido un mayor nivel para una directiva con el fin de forzar su
aplicación, la directiva se aplicará incluso aunque se determine su
bloqueo.
8. Se aplica la directiva de usuario. Se trata de las opciones que hay bajo
Configuración de usuario en la lista recopilada. Los GPO se procesan en el
orden siguiente: local, sitio, dominio, unidad organizativa, unidad organizativa
secundaria, etc. Mientras se procesan las directivas de usuario no aparece
ninguna notificación. (La notificación puede activarse por medio de una
directiva.)
9. Se ejecutan las secuencias de comandos de inicio de sesión. A diferencia de las
secuencias de comandos de Windows NT 4.0, las secuencias de comandos de
inicio de sesión basadas en Directiva de grupo se ejecutan de forma oculta y
asincrónica de manera predeterminada. La secuencia de comandos del objeto de
usuario se ejecuta en último lugar en una ventana normal. También existe un
tiempo máximo de espera para las secuencias de comandos de inicio de sesión.
10. Aparece la interfaz de usuario del sistema operativo especificada por Directiva
de grupo.