¿Qué es una directiva de grupo?
Un objeto de directiva de
grupo (GPO: Group Policy Object)
es un conjunto de una o más políticas
del sistema. Cada una de las
políticas del sistema establece una configuración del objeto al que afecta.
Por ejemplo, tenemos políticas para:
·
Establecer el
título del explorador de Internet
·
Ocultar el panel
de control
·
Deshabilitar el
uso de REGEDIT.EXE y REGEDT32.EXE
·
Establecer qué
paquetes MSI se pueden instalar en un equipo
·
Etc…
¿Cuáles son los tipos troncales de directivas?
Podemos definir dos
categorías de tipos troncales de directivas:
1.
Según su función
2.
Según su objeto de configuración
Directivas según su función
Hay dos tipos troncales de directivas según su
función:
1. Directivas
de seguridad: ¿Cuántos caracteres
tiene una contraseña? ¿Cada cuanto tiempo debe ser cambiada ésta?, etc. Pueden
ser aplicadas:
a. A nivel de dominio: Son aplicadas en todas las máquinas del dominio.
b. A nivel de controladores de dominio: Se aplican tan sólo en los controladores de
dominio, pero sin suplantar a las del dominio (en caso de entrar en
contradicción una y otra, se aplica la del dominio, no la de los controladores
de dominio).
2. Directivas
de Entorno (GPO -> Group Policy Object): ¿Quién
tiene acceso al panel de control? ¿Cuál es el tamaño máximo del archivo de
registro de sistema? Pueden ser aplicadas:
a. A nivel de equipo
local
b. A nivel de sitio
c. A nivel de dominio
d. A nivel de Unidad
Organizativa (OU -> Organizational Unit).
Directivas según el objeto al que configuran
Respecto al objeto al que configuran también son dos:
e. Configuración
del equipo: que se divide en:
i.
Configuración de
software
ii.
Configuración de
Windows
iii.
Plantillas
administrativas
f.
Configuración del usuario, que al igual que la de Windows se divide en:
i.
Configuración de
software
ii.
Configuración de
Windows
iii.
Plantillas administrativas
Aunque las configuraciones
de equipo y usuario se dividan en las mismas partes, dentro de éstas son
diferentes las políticas que se encuentran.
¿Qué objetos son los contenedores de las GPO’s?
Las GPO’s pueden estar contenidas en cuatro tipos de objetos:
1. Equipos
Locales: son aplicadas únicamente en
el equipo que las tiene asignadas independientemente del dominio al que
pertenezcan. Son modificadas con “gpedit.msc”. Estas
son las únicas políticas que se aplican a los equipos que no están en un
dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer
to peer).
2. Sitios de
Active Directory: se aplican para
todos los equipos y/o usuarios de un sitio, independientemente del dominio del
mismo bosque al que pertenezcan.
3. Dominios de
Active Directory: se aplican a todos
los equipos y/o usuarios de un dominio.
4. Unidades
Organizativas de Active Directory:
se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia
unidad organizativa (OU).
¿Cómo se crea, quita o elimina una GPO?
Qué mejor forma de ver cómo
se crea una GPO que poniendo un caso práctico. Vamos a obligar a los usuarios
del dominio a hacer CTRL+ALT+SUPR para poder iniciar
sesión. Para ello abrimos “Usuarios y
Equipos de Active Directory”. Hacemos clic derecho sobre el nodo con el
nombre del dominio y pulsamos “Propiedades”:
|
|
En la ventana que se abre
pulsamos la pestaña “Directiva de Grupo”:
|
|
||
|
|
||
|
Pulsando
el botón “Nueva” se creará una nueva GPO debajo de la “Default Domain Policy” a la que
llamaremos “Pulsar CTRL+ALT+SUPR” |
|
||
|
Si ahora seleccionamos la nueva GPO y pulsamos SUPR
en el teclado podríamos quitar la GPO de la lista o eliminarla de Active
Directory. Quitar de la lista evita que se aplique la GPO, pero sigue
existiendo en Active Directory, de forma que podrá ser utilizada más adelante
o en otro contenedor; eliminar hace que la GPO sea eliminada de Active
Directory. Pulsamos “Cancelar” |
|
||
Ya tenemos creada la GPO;
ahora debemos modificar la política para que obligue a los usuarios del dominio
a hacer CTRL+ALT+SUPR para iniciar sesión en los
equipos.
¿Cómo se definen políticas?
Si seleccionamos con el
ratón la GPO que hemos creado y pulsamos el botón “Modificar” se nos abrirá
una consola de directiva de grupo:
Nos desplazamos en el árbol
a “Configuración
del equipo/Configuración de Windows/Configuración de seguridad/Directivas
locales/Opciones de seguridad”:
|
|
Hacemos
doble click sobre la directiva “Inicio de
sesión interactivo: no requerir Ctrl.+Alt+Supr” y
podremos definir ésta política como deshabilitada:
|
|
La
casilla “Definir esta configuración de directiva” tiene el efecto:
|
Marcada |
La
política quedará definida con
el valor seleccionado en las opciones de debajo. |
|
Sin
Marcar |
La
política hereda su definición
o no y si está habilitada o no en caso de haber sido definida en
un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio,
ya que estamos a nivel de dominio). |
A su
vez, cuando la casilla está marcada podemos elegir entre las opciones:
|
Habilitada |
Hace
que la política quede habilitada. Esto significa que se realizará la configuración
que la propia política define con su nombre y por tanto, en nuestro
ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesión. |
|
Deshabilitada |
Cuando
se deshabilita la política, se impide que se realice la configuración
que la propia política define con su nombre. Por tanto, en el
ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR
para iniciar sesión. |
¿Cómo se vincula una política ya existente?
A pesar de que una GPO es creada en un contenedor, ésto sólo es una apariencia. Realmente es creada alojándola en el dominio desde el que es creada y vinculada
al contenedor desde el que es creada. Esto nos permite crear una sola GPO y
aplicarla en cualquier parte del bosque al que pertenece el dominio donde está
alojada la GPO; es decir, a todos los sitios, dominios y OU’s del bosque.
Imaginemos un bosque con tres dominios; agregando a cada dominio la GPO que creamos
antes, obligaremos a pulsar CTRL+ALT+SUPR a los
usuarios de los tres dominios, habiendo creado una única GPO.
Para vincular una política
pulsamos “Agregar” en la pestaña “Directiva de grupo” de las
propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el
siguiente diálogo:
|
|
Seleccionamos aquí la GPO
que queremos vincular. Hay tres formas de buscarlas, una por pestaña:
|
Pestaña |
Muestra
las GPO’s… |
|
Dominios y OUs |
Que
están aplicadas en el dominio y sus UO’s, viéndose las OU’s como carpetas y
las políticas con su icono característico. El desplegable “Buscar en” nos
permite alternar entre los dominios del bosque. |
|
Sitios |
Que
están aplicadas en un sitio. Con el desplegable “Buscar en” podemos cambiar
entre los sitios que integran el bosque. |
|
Toda |
Que
están almacenadas en un dominio. Con el desplegable “Buscar en” podemos
alternar entre los dominios del bosque. |
Simplemente tendremos que
señalar la GPO que queramos vincular y pulsar “Aceptar” para hacerlo.
¿Cuáles son las propiedades de una GPO?
Accedemos a las propiedades
de la GPO pulsando el botón “Propiedades” de la pestaña “Directiva
de grupo” de las propiedades de un contenedor. En la ventana de
propiedades encontramos tres pestañas:
|
Pestaña |
Función |
Captura |
|
General |
Muestra información sobre la GPO y
permite deshabilitar toda la rama de
configuración del equipo y/o toda la rama de configuración de usuario. Esto sirve para agilizar la aplicación de la GPO,
mejorando el rendimiento. Como en nuestro caso la política que obliga a hacer
CTRL+ALT+SUPR para iniciar sesión es una
configuración de equipo, podremos marcar la casilla que deshabilita los
parámetros de configuración de usuario. |
|
|
Vínculos |
Permite buscar los sitios, dominios y
OU’s en los que está agregada la GPO.
Con el desplegable “Dominio” podemos seleccionar el dominio del bosque en el
que buscamos. |
|
|
Seguridad |
Sirve para establecer los permisos de
la GPO’. Podemos asignar permisos
a los siguientes objetos:
|
|
|
Filtro
WMI (sólo en Windows XP y Windows Server
2003 y con al menos un controlador de dominio que sea Windows Server 2003) |
Sirve para realizar búsquedas basadas
en WMI de características específicas de los equipos a los que se aplica la
GPO. Estas características pueden
ser:
Los equipos con Windows
2000 ignoran este tipo de filtros y procesan las GPOs
sin tener en cuenta si por sus características deberían hacerlo o no. Por
ello, una forma de ejecutar políticas que sólo se apliquen a equipos con
Windows 2000 es filtrar con WMI poniendo que el tipo de SO es Windows 2000 o
que el tipo de SO no es Windows XP. Si queremos aplicar políticas con filtros
WMI a equipos con tan sólo XP o 2003, será necesario que nos llevemos las
cuentas de los Windows 2000 a otra OU en la que no estaran
vinculadas esas GPOs. |
|
Pestaña “Seguridad”
La pestaña “Seguridad”
nos permite realizar dos tareas con las GPO’s:
1.
Filtrar el alcance de la GPO, permitiendo que sea sólo aplicada a los usuarios,
equipos, grupos y/o Principios de seguridad incorporados (objetos “Builtin”, etc.).
2.
Delegar el control de la GPO, permitiendo así la modificación, etc., a
determinados usuarios, equipos, grupos y/o Principios de seguridad
incorporados.
Hay que tener en cuenta que esto se hace sobre toda la GPO, no se
puede especificar únicamente a algunas políticas de la GPO, si no que se hace
para todas las contenidas en la GPO.
Para realizar el filtrado
del alcance y la delegación del control se utilizan permisos que se aplican a
los objetos en que están especificados. Estos permisos pueden ser concedidos o
denegados, prevaleciendo la denegación sobre la concesión. De forma
predeterminada estas son las entradas de seguridad de una GPO (se indican
aquellos permisos que están, concedidos):
|
Grupo
de seguridad |
Configuración
predeterminada |
|
Usuarios autentificados |
Leer,
aplicar directiva de grupo y permisos adicionales |
|
CREATOR OWNER |
Permisos
adicionales |
|
Administradores del Dominio |
Leer,
escribir, crear todos los objetos secundarios, eliminar todos los objetos
secundarios y permisos adicionales |
|
Administración de empresas |
Leer,
escribir, crear todos los objetos secundarios, eliminar todos los objetos
secundarios y permisos adicionales |
|
SYSTEM |
Leer,
escribir, crear todos los objetos secundarios, eliminar todos los objetos
secundarios y permisos adicionales |
Pestaña “Filtro WMI”
La pestaña “Filtro WMI” nos permite filtrar el
alcance de la GPO en función a características de los equipos que están dentro
del alcance de la GPO. Para acceder a estas características se utilizan búsquedas
WQL, el lenguaje de búsqueda en WMI basado en SQL. Sólo se puede aplicar un
filtro WMI a una GPO, filtro WMI que consiste en una o más búsquedas WQL. Al
igual que pasaba con los permisos establecidos en la pestaña seguridad, el
filtro es aplicado a toda la GPO, no se puede aplicar a determinadas directivas
solamente.
Para establecer los filtros
WMI (aplicables sólo en Windows XP y Windows Server 2003; además, es necesario
que al menos un controlador de dominio sea un Windows Server 2003) se hace
desde la pestaña “Filtro WMI”, marcamos la opción “Este filtro” y pulsamos el
botón “Examinar/administrar…”, apareciendo el cuadro de diálogo “Administrar
filtros WMI”, donde podremos crear filtros, modificarlos, eliminarlos,
importar/exportar y seleccionar el que queramos aplicar. Para crear, modificar
y eliminar deberemos hacer click sobre el botón “Avanzadas >>” con lo que
el cuadro de diálogo queda así:
Los botones y sus acciones
son:
|
Botón |
Acción |
|
Aceptar |
Aplica
a la GPO el filtro WMI que esté seleccionado en la lista “Filtros WMI” y
cierra el cuadro de diálogo. |
|
Cancelar |
Cierra
el cuadro de diálogo sin aplicar ningún cambio al filtrado WMI de la GPO. |
|
Ayuda |
Muestra
la ayuda de administración de filtros WMI. |
|
Columnas |
Nos
permite especificar qué columnas aparecerán en la lista de filtros. De forma
predeterminada aparecen todas, es decir, Descripción,
Autor, Fecha de modificación y Fecha
de creación. La columna Nombre
siempre aparece en la lista de filtros, no es una columna que se pueda
ocultar. |
|
Avanzadas |
Expande
o contrae el cuadro de diálogo para ocultar o mostrar en la parte de abajo los
controles de edición de filtros WMI. |
|
Nuevo |
Nos
permite crear un nuevo filtro WMI. |
|
Eliminar |
Nos
permite eliminar el filtro WMI seleccionado en la lista “Filtros WMI”. El
filtro se elimina, pero no las vinculaciones a GPOs
que tenga; es necesario eliminar esos vínculos de forma manual, ya sea configurando
otro filtro en su lugar o deshabilitando los filtros WMI en las GPOs afectadas. |
|
Duplicar |
Nos
permite crear un nuevo filtro en base al que se encuentre seleccionado en la
lista “Filtros WMI”. |
|
Importar |
Nos
permite importar un filtro que anteriormente fuera exportado a un fchero MOF. |
|
Exportar |
Nos
permite exportar un filtro a un fichero MOF. |
|
Guardar |
Guarda
el filtro con el nombre, descripción y consulta que lo compone. Esto es así
tanto en filtros creados como en filtros que se modifican. |
Debemos tener en cuenta que
no se deben aplicar filtros WMI alegremente, pues ralentizan el inicio del
equipo.
¿Cómo se procesan las GPO’s?
Competencia entre contenedores
Una GPO, como ya hemos visto
anteriormente, puede ser contenida por equipos locales, sitios, dominios y
unidades organizativas (en adelante OU). Como un usuario, por ejemplo, estará
en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un
dominio y será miembro de una OU se ve claramente que se puede dar el caso de
que en el equipo local se aplique una GPO, en el sitio otra, otra para el
dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.).
Se podría dar el caso, por tanto, de que las GPO’s contuvieran políticas que se
contradijeran entre sí. Cuando se dan casos de estos, el sistema de GPO’s está
implementado para asegurar que siempre se aplicarán las políticas, y para ello
establece una forma de prioridad entre éstas por la cual, según dónde estén
asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas que a
continuación, con la ayuda de dos figuras, describiremos.
En la figura 1 vemos, de
forma resumida, cuál es la prioridad de las GPO’s. Las GPO’s de una OU
prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio,
las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se
entiende que unas anulen a otras; las políticas se suman, sólo se anulan en
caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio
habilitamos la política de deshabilitación del panel
de control y en la OU deshabilitamos esta política, y suponemos que ninguna
otra de las políticas a nivel de dominio entra en contradicción con ninguna
otra de las de la OU, el resultado que se aplicará a un objeto contenido dentro
de la OU será la suma de ambas GPO’s, salvo que la política que se aplica
respecto a la deshabilitación del panel de control
será la de la OU, no la del dominio, y por tanto el panel de control será
visible.
En la figura 2 vemos un
diagrama de flujo que nos explica cómo son aplicadas las GPO’s; se puede
apreciar el orden en que son leídas y como se actúa en caso de que se
contradigan o no. Como se puede suponer, si hubiera una OU de tercer nivel,
ésta prevalecería sobre la hija y obviamente una de cuarto nivel sobre la de
tercer nivel y así sucesivamente:
Competencia dentro de un mismo contenedor
También se puede dar el caso
de que en un mismo contenedor, por ejemplo una OU, se aplique más de una GPO.
Esta posibilidad abre otra; la de que puedan contradecirse entre sí las GPO’s
que son aplicadas a ése contenedor. ¿Cómo se resuelve esta problemática? Muy
simple: prevalecerá la de la GPO que está más alta en la lista de las aplicadas
al contenedor, como se ve en la figura 3.
|
|
|
Figura 3: Prevalencia
en un mismo contenedor |
Esto no significa que una
GPO anule a las que estén situadas debajo de ella; al igual que vimos con la
competencia entre los objetos sobre los que se pueden aplicar, las políticas en
realidad se suman cuando no se contradicen entre ellas, sólo en el caso de
contradecirse es cuando prevalece la superior (la forma de aplicación es
exactamente la misma que veíamos en el diagrama de flujo de la figura 2, sólo
que en cada salto lo que se evalúa es la GPO, empezando por la inferior y
terminando en la superior).
Procesamiento en modo de bucle inverso
Cuando tenemos equipos que
están en un entorno en el cual se desea tener control sobre su configuración
independientemente del usuario que inicie sesión en él, como por ejemplo
laboratorios, aulas, bibliotecas, quioscos, etc., precisamos de un mecanismo
que altere la forma de ordenación del procesamiento en las directivas de
configuración de usuario.
Supongamos que hemos creado
un aula, y que queremos que los usuarios que inicien sesión en los equipos del
aula no puedan acceder al entorno de red. Lo lógico será crear una OU a la que
moveremos los equipos del aula, crear una GPO que deshabilite el entorno de red
y vincularla a la OU del aula. Bien, esto no funcionaría, ya que como la deshabilitación del panel de control es una configuración
de usuario y el usuario no pertenece a la OU, no se ve afectado por esta
política. El procesamiento en modo de bucle inverso permite hacer que sí se
apliquen las políticas de configuración de usuario a pesar de no pertenecer el
usuario a la OU en la que se aplica.
Para activar el
procesamiento en modo de bucle inverso debemos situarnos en el árbol de la
consola de directiva de grupo en el nodo “Configuración del equipo/Plantillas
administrativas/Sistema/Directiva de grupo” y en panel de detalles
hacer doble clic sobre la política “Modo de procesamiento de bucle invertido de
la directiva de grupo de usuario”. Se nos abre un diálogo en el que
podremos configurar la política. Hay dos modos de procesamiento de bucle
inverso:
|
Modo |
Efecto |
|
Sustituir |
Las
directivas sustituyen a las que se le aplicarían normalmente al usuario. De esta manera hacemos que las configuraciones
propias del usuario sean las de la GPO, unificando la configuración para los
usuarios a los que tenga alcance. |
|
Combinar |
Se combinarán ambas, las propias del usuario más las que especifica la
GPO; en caso de contradicción en una política prevalece la de la GPO sobre
las propias del usuario. Así conseguimos que determinadas opciones sean iguales
para todos los usuarios a los que alcance y que conserven sus configuraciones
propias que no entren en conflicto con las de la GPO. |
Herencia
Las GPO’s se heredan
Las GPO’s, en el dominio son
heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus
hijos, es decir:
|
1. |
Las OU’s de primer nivel heredan del Dominio |
|
2. |
Las OU’s hijas heredan de las de primer nivel |
|
3. |
Las OU’s de nivel 3º heredan de las hijas |
|
. |
|
|
. |
|
|
. |
|
|
n-1. |
Las OU’s de nivel n-1º heredan de las de nivel n-2º |
|
n. |
Las OU’s de nivel nº heredan de las de nivel n-1º |
Si nos fijamos en la figura
4, vemos que el dominio contiene a la OU-padre, ésta a la OU-hija, que a su vez
contiene a la OU-3º quien, por último, contiene a la OU-4º. En base a este
ejemplo explicaremos la herencia.
|
|
|
Figura 4: Vemos en esta figura cómo están contenidas unas
OU en otras |
En
la siguiente tabla vemos qué política es asignada a cada contenedor; que quede
bien claro que tan sólo se verá, en la pestaña “Directiva de grupo” de las
propiedades del contenedor, la GPO que le corresponde en la tabla:
|
Contenedor |
GPO
asignada |
|
Dominio |
GPO
del Dominio |
|
UO
padre |
GPO
padre |
|
OU
hija |
GPO
hija |
|
OU-3º |
GPO
3ª |
|
OU-4º |
GPO
4º |
En la figura 5º vemos un ejemplo de cómo es asignada
la GPO en el contenedor:
|
|
|
Figura 5: La política de grupo “GPO
3º” es asignada a la unidad organizativa “OU-3º” |
Según
esta relación de contenedores y de GPO’s, en la siguiente tabla vemos, marcado
por “X”, qué GPO’s afectan a qué contenedores; se ve claramente cómo son
heredadas las GPO’s por los contenedores:
|
|
Dominio |
OU padre |
OU hija |
OU 3º |
OU 4º |
|
GPO
del Dominio |
X |
X |
X |
X |
X |
|
GPO
padre |
|
X |
X |
X |
X |
|
GPO
hija |
|
|
X |
X |
X |
|
GPO
3ª |
|
|
|
X |
X |
|
GPO
4º |
|
|
|
|
X |
La herencia de las GPO’s se puede bloquear
Si en la pestaña “Directiva
de grupo” de las propiedades de una OU activamos la casilla “Bloquear la herencia
de directivas” (figura 6), conseguiremos que no se apliquen las GPO’s de los
objetos que la contienen. Siguiendo el ejemplo de antes, si activásemos esta
casilla en la OU Padre el resultado sería:
|
|
Dominio |
OU padre |
OU hija |
OU 3º |
OU 4º |
|
GPO
del Dominio |
X |
|
|
|
|
|
GPO
padre |
|
X |
X |
X |
X |
|
GPO
hija |
|
|
X |
X |
X |
|
GPO
3ª |
|
|
|
X |
X |
|
GPO
4º |
|
|
|
|
X |
Si la casilla estuviese en
la GPO hija en vez de en la padre:
|
|
Dominio |
OU padre |
OU hija |
OU 3º |
OU 4º |
|
GPO
del Dominio |
X |
X |
|
|
|
|
GPO
padre |
|
X |
|
|
|
|
GPO
hija |
|
|
X |
X |
X |
|
GPO
3ª |
|
|
|
X |
X |
|
GPO
4º |
|
|
|
|
X |
Si estuviera activada en
ambas:
|
|
Dominio |
OU padre |
OU hija |
OU 3º |
OU 4º |
|
GPO
del Dominio |
X |
|
|
|
|
|
GPO
padre |
|
X |
|
|
|
|
GPO
hija |
|
|
X |
X |
X |
|
GPO
3ª |
|
|
|
X |
X |
|
GPO
4º |
|
|
|
|
X |
|
|
|
Figura 6: bloqueando herencia en OU-Hija |
Hay que señalar que las
políticas de grupo locales(las aplicadas en la misma
máquina con gpedit.msc) no pueden ser bloqueadas.
Los bloqueos de herencia pueden saltarse
Si a una GPO le habilitamos
la opción “no reemplazar” (figura 7) se saltará los bloqueos, de forma que
siempre será aplicada:
De esta manera si activamos
el bloqueo en la OU 3 y activamos no reemplazar en la GPO Padre el resultado
sería:
|
|
Dominio |
OU padre |
OU hija |
OU 3º |
OU 4º |
|
GPO
del Dominio |
X |
X |
X |
|
|
|
GPO
padre |
|
X |
X |
X |
X |
|
GPO
hija |
|
|
X |
|
|
|
GPO
3ª |
|
|
|
X |
X |
|
GPO
4º |
|
|
|
|
X |
Si activamos el bloqueo en
la OU Hija y no reemplazar en la GPO del Dominio:
|
|
Dominio |
OU padre |
OU hija |
OU 3º |
OU 4º |
|
GPO
del Dominio |
X |
X |
X |
X |
X |
|
GPO
padre |
|
X |
|
|
|
|
GPO
hija |
|
|
X |
X |
X |
|
GPO
3ª |
|
|
|
X |
X |
|
GPO
4º |
|
|
|
|
X |
¿Cómo debo implementar las GPO’s?
Se tiene que tener en cuenta
principalmente la estructura presente y futura de la organización que se
administra, la estructura administrativa del dominio y la forma deseada de
procesamiento en sí de las directivas, para crear el modelo que mejor responda a
nuestras necesidades e intereses. Como las herramientas para establecer las
políticas en el dominio son las GPO’s, que son conjuntos de una o más
políticas, lo primero definiremos los tipos de GPO’s según su diseño, para
posteriormente estudiar las estrategias según diferentes conceptos.
¿Qué tipos de diseños tenemos de GPO’s
Tenemos tres tipos de
diseños de GPO’s según las políticas que configuran:
1.
GPO de
directiva única: cuando está
orientada a un solo tipo de configuración (por ejemplo propiedades de Active Desktop). Es adecuado para organizaciones que delegan
responsabilidades administrativas en muchos usuarios.
2.
GPO de
directiva múltiple: cuando está
orientada a varios tipos de configuración (por ejemplo, configuración de IE, de
explorador de Windows, de instalación de software, etc.). Adecuado para
organizaciones en las que la administración esté centralizada.
3.
GPO de
directiva dedicada: cuando
configura sólo políticas de equipo o de usuario. Aumenta el número de GPO’s a
ser procesadas en el inicio de sesión, alargando éste, pero es útil para aislar
los problemas en la aplicación de una GPO.
¿Qué estrategias de aplicación de GPO’s hay?
Hay dos estrategias de en
función de cómo serán aplicadas las GPO’s:
1.
Por capas: en esta estrategia se busca el que aparezca en el
menor número posible de GPO’s un tipo de configuración en concreto. De esta
manera, se parte de una política común a todo el dominio aplicada a éste, en la
cual no aparecen las configuraciones que son individuales para una OU .Pongamos
que la configuración de escritorio es diferente en cada OU y la configuración
de Proxy para el Internet Explorer es igual en todas las OU’s; definiríamos a
nivel de dominio la configuración de Proxy (ya sea con una GPO de directiva
única o unida con otras directivas comunes a todas las OU’s en una directiva
múltiple) y crearíamos una GPO por OU con la configuración de escritorio propia
de la OU en una directiva única:
a.
Ventaja:
La administración es más simple, al estar localizados perfectamente los puntos
de aplicación de cada configuración y ser más fácil realizar cambios por tener
que hacerlo en menos GPO’s.
b.
Inconveniente: El tiempo de inicio de sesión se alarga, al tener que procesarse
múltiples GPO’s.
c.
Adecuado…:
Para organizaciones cuya configuración de seguridad es común y con cambios
frecuentes de directivas.
2.
Monolítico: Lo que se busca con este enfoque es que se apliquen
el menor número posible de políticas; el ideal sería que se aplique tan sólo
una. Para ello se configura una única GPO de directiva múltiple en cada OU y no
se aplica GPO alguna en el dominio.
a.
Ventaja:
el inicio de sesión está optimizado para que sea lo más rápido posible.
b.
Desventaja:
la administración es más trabajosa; si necesitamos hacer un cambio de
configuración común a todo el dominio, tendremos que retocar tantas GPO’s como
OU’s tengamos.
c.
Adecuado…:
Para organizaciones en las cuales se pueden clasificar en muy pocos grupos la asignación
de las directivas (digamos pocas OU’s,) de forma que el aumento de las tareas
administrativas orientadas a las directivas no sea preocupante.
¿Qué estrategias hay en función del trabajo?
En función de la forma de la
organización de realizar su trabajo, hay dos estrategias:
1.
Por roles: Se utiliza una estructura de OU’s que refleje los
tipos de trabajo de la organización, como pueda ser comerciales,
administrativos, marketing, etc. Aplicando el menor número posible de GPO’s.
Digamos que es un diseño por capas en el cual las GPO’s de directiva única de
las OU’s son fusionadas en una única GPO de directiva múltiple por OU.
a.
Ventaja:
Los inicios de sesión son más rápidos que en una estrategia por capas.
b.
Desventaja:
La administración es algo más trabajosa que en una estrategia por capas.
c.
Adecuado…:
Para organizaciones en las cuales el trabajo está muy definido en función a
roles.
2.
Por equipos: Se basa en vincular todas las GPO’s al dominio en vez
de a las OU’s; el alcance de las GPO’s se filtrará en base a grupos de
seguridad. De esta forma se aplicarán una GPO a todos los usuarios
pertenecientes a un grupo de seguridad determinado independientemente de la OU
a la que pertenezcan.
a.
Ventajas:
Se minimizan las vinculaciones de GPO’s a OU’s y se centraliza la
administración de las GPO’s.
b.
Desventaja:
El inicio de sesión será más lento cuantos más equipos de trabajo existan.
c.
Adecuado…:
Para organizaciones en las que no corresponda el trabajo a realizar según
roles, sino según tareas (por ejemplo, en un proyecto de desarrollo de software
habrá desarrolladores, comerciales, administrativos, directivos, etc., que
necesitarán determinadas configuraciones comunes a ellos, como la carpeta del
proyecto; un comercial puede estar en más de un proyecto y necesitar acceso a
las carpetas de los proyectos en los que está implicado). También es adecuado
cuando se quiere que la administración de las políticas esté centralizada y sea
muy flexible a las cambiantes necesidades de la organización.
¿Qué estrategias hay en función del tipo de control?
Cuando utilizamos la
delegación del control de las GPO’s tenemos dos estrategias para realizarlo,
que se corresponden con los diseños:
1.
Diseño de
control centralizado: En este
diseño los administradores de OU tienen delegado el control de las GPO’s, pero
a su vez se conserva un control centralizado. Para hacerlo, las políticas a
nivel de dominio llevarán activada la opción “No reemplazar”. Es útil para
organizaciones que quieren que los administradores de OU’s tengan libertad de
acción pero, a su vez, haya configuraciones comunes a todo el dominio que no
puedan ser bloqueadas.
2.
Diseño de
control distribuido: Cuando,
además de tener control de su OU, un administrador de OU pueda bloquear las
políticas del dominio. Es adecuado para organizaciones que quieren minimizar el
número de dominios sin perder la autonomía de las OU’s. A pesar de la capacidad
de los administradores de OU de bloquear políticas, determinadas
configuraciones, como por ejemplo de seguridad, siguen pudiendo estar
centralizadas cuando se active en ellas la opción “No reemplazar”.
¿Qué estrategia seguir?
Estas estrategias que hemos
descrito, no son más que una categorización de estrategias según las
necesidades y prestaciones deseadas. Cada organización es un caso totalmente
distinto, y por ello, cada organización deberá llevar la estrategia que más le
convenga. En algunos casos la estrategia deseable será alguna de las
estrategias anteriores tal y como han sido descritas; en otras habrán de ser
personalizadas y a veces habrán de mezclarse dos o más de ellas, e incluso
estando retocadas las integrantes de la mezcla.
Bibliografía:
·
Principalmente
los apuntes tomados en las clases de MCSE impartidas por Ernesto Vilches en CICE.
·
Libros en línea
de Windows 2000 Resource
Kit
·
Ayuda de Windows 2000
·
“Microsoft
Windows 2000 Active Directory Services. Curso oficial de certificación MCSE” de la editorial Mc Graw Hill ISBN:
84-481-2889-3