¿Qué es una directiva de grupo?

 

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Por ejemplo, tenemos políticas para:

 

·        Establecer el título del explorador de Internet

·        Ocultar el panel de control

·        Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE

·        Establecer qué paquetes MSI se pueden instalar en un equipo

·        Etc

 

¿Cuáles son los tipos troncales de directivas?

 

Podemos definir dos categorías de tipos troncales de directivas:

1.      Según su función

2.      Según su objeto de configuración

 

Directivas según su función

 

Hay dos tipos troncales de directivas según su función:

 

1.      Directivas de seguridad: ¿Cuántos caracteres tiene una contraseña? ¿Cada cuanto tiempo debe ser cambiada ésta?, etc. Pueden ser aplicadas:

 

a.      A nivel de dominio: Son aplicadas en todas las máquinas del dominio.

b.      A nivel de controladores de dominio: Se aplican tan sólo en los controladores de dominio, pero sin suplantar a las del dominio (en caso de entrar en contradicción una y otra, se aplica la del dominio, no la de los controladores de dominio).

 

2.      Directivas de Entorno (GPO -> Group Policy Object): ¿Quién tiene acceso al panel de control? ¿Cuál es el tamaño máximo del archivo de registro de sistema? Pueden ser aplicadas:

 

a.      A nivel de equipo local

b.      A nivel de sitio

c.      A nivel de dominio

d.      A nivel de Unidad Organizativa (OU -> Organizational Unit).

 

Directivas según el objeto al que configuran

 

Respecto al objeto al que configuran también son dos:

 

e.      Configuración del equipo: que se divide en:

 

                                                                          i.      Configuración de software

                                                                        ii.      Configuración de Windows

                                                                      iii.      Plantillas administrativas

 

f.        Configuración del usuario, que al igual que la de Windows se divide en:

 

                                                                          i.      Configuración de software

                                                                        ii.      Configuración de Windows

                                                                      iii.      Plantillas administrativas

 

Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de éstas son diferentes las políticas que se encuentran.

 

¿Qué objetos son los contenedores de las GPO’s?

 

Las GPO’s pueden estar contenidas en cuatro tipos de objetos:

 

1.      Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer).

 

2.      Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan.

 

3.      Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.

 

4.      Unidades Organizativas de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).

 

¿Cómo se crea, quita o elimina una GPO?

 

Qué mejor forma de ver cómo se crea una GPO que poniendo un caso práctico. Vamos a obligar a los usuarios del dominio a hacer CTRL+ALT+SUPR para poder iniciar sesión. Para ello abrimos “Usuarios y Equipos de Active Directory”. Hacemos clic derecho sobre el nodo con el nombre del dominio y pulsamos “Propiedades”:

 

 

En la ventana que se abre pulsamos la pestaña “Directiva de Grupo”:

 

 

 

 

Pulsando el botón “Nueva” se creará una nueva GPO debajo de la “Default Domain Policy” a la que llamaremos “Pulsar CTRL+ALT+SUPR

 

Si ahora seleccionamos la nueva GPO y pulsamos SUPR en el teclado podríamos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podrá ser utilizada más adelante o en otro contenedor; eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos “Cancelar

 

Ya tenemos creada la GPO; ahora debemos modificar la política para que obligue a los usuarios del dominio a hacer CTRL+ALT+SUPR para iniciar sesión en los equipos.

 

¿Cómo se definen políticas?

 

Si seleccionamos con el ratón la GPO que hemos creado y pulsamos el botón “Modificar” se nos abrirá una consola de directiva de grupo:

 

 

Nos desplazamos en el árbol a “Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad”:

 

 

Hacemos doble click sobre la directiva “Inicio de sesión interactivo: no requerir Ctrl.+Alt+Supr” y podremos definir ésta política como deshabilitada:

 

 

La casilla “Definir esta configuración de directiva” tiene el efecto:

 

Marcada

La política quedará definida con el valor seleccionado en las opciones de debajo.

Sin Marcar

La política hereda su definición o no y si está habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio).

 

A su vez, cuando la casilla está marcada podemos elegir entre las opciones:

 

Habilitada

Hace que la política quede habilitada. Esto significa que se realizará la configuración que la propia política define con su nombre y por tanto, en nuestro ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesión.

Deshabilitada

Cuando se deshabilita la política, se impide que se realice la configuración que la propia política define con su nombre. Por tanto, en el ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR para iniciar sesión.

 

¿Cómo se vincula una política ya existente?

 

A pesar de que una GPO es creada en un contenedor, ésto sólo es una apariencia. Realmente es creada alojándola en el dominio desde el que es creada y vinculada al contenedor desde el que es creada. Esto nos permite crear una sola GPO y aplicarla en cualquier parte del bosque al que pertenece el dominio donde está alojada la GPO; es decir, a todos los sitios, dominios y OU’s del bosque. Imaginemos un bosque con tres dominios; agregando a cada dominio la GPO que creamos antes, obligaremos a pulsar CTRL+ALT+SUPR a los usuarios de los tres dominios, habiendo creado una única GPO.

 

Para vincular una política pulsamos “Agregar” en la pestaña “Directiva de grupo” de las propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente diálogo:

 

 

Seleccionamos aquí la GPO que queremos vincular. Hay tres formas de buscarlas, una por pestaña:

 

Pestaña

Muestra las GPO’s…

Dominios y OUs

Que están aplicadas en el dominio y sus UO’s, viéndose las OU’s como carpetas y las políticas con su icono característico. El desplegable “Buscar en” nos permite alternar entre los dominios del bosque.

Sitios

Que están aplicadas en un sitio. Con el desplegable “Buscar en” podemos cambiar entre los sitios que integran el bosque.

Toda

Que están almacenadas en un dominio. Con el desplegable “Buscar en” podemos alternar entre los dominios del bosque.

 

Simplemente tendremos que señalar la GPO que queramos vincular y pulsar “Aceptar” para hacerlo.

 

¿Cuáles son las propiedades de una GPO?

 

Accedemos a las propiedades de la GPO pulsando el botón “Propiedades” de la pestaña “Directiva de grupo” de las propiedades de un contenedor. En la ventana de propiedades encontramos tres pestañas:

 

Pestaña

Función

Captura

General

Muestra información sobre la GPO y permite deshabilitar toda la rama  de configuración del equipo y/o toda la rama de configuración de usuario. Esto sirve para agilizar la aplicación de la GPO, mejorando el rendimiento. Como en nuestro caso la política que obliga a hacer CTRL+ALT+SUPR para iniciar sesión es una configuración de equipo, podremos marcar la casilla que deshabilita los parámetros de configuración de usuario.

Vínculos

Permite buscar los sitios, dominios y OU’s en los que está agregada la GPO. Con el desplegable “Dominio” podemos seleccionar el dominio del bosque en el que buscamos.

Seguridad

Sirve para establecer los permisos de la GPO’. Podemos asignar permisos a los siguientes objetos:

  1. Usuarios
  2. Equipos
  3. Grupos
  4. Principios de seguridad incorporados

 

 

Filtro WMI (sólo en Windows XP y Windows Server 2003 y con al menos un controlador de dominio que sea Windows Server 2003)

Sirve para realizar búsquedas basadas en WMI de características específicas de los equipos a los que se aplica la GPO. Estas características pueden ser:

  1. Un patrón de nombre de equipo
  2. Tipo de Sistema Operativo
  3. Nivel de Service Pack
  4. Cualquier característica del equipo que podamos consultar con WQL

 

Los equipos con Windows 2000 ignoran este tipo de filtros y procesan las GPOs sin tener en cuenta si por sus características deberían hacerlo o no. Por ello, una forma de ejecutar políticas que sólo se apliquen a equipos con Windows 2000 es filtrar con WMI poniendo que el tipo de SO es Windows 2000 o que el tipo de SO no es Windows XP. Si queremos aplicar políticas con filtros WMI a equipos con tan sólo XP o 2003, será necesario que nos llevemos las cuentas de los Windows 2000 a otra OU en la que no estaran vinculadas esas GPOs.

 

Pestaña “Seguridad”

 

La pestaña “Seguridad” nos permite realizar dos tareas con las GPO’s:

 

1.      Filtrar el alcance de la GPO, permitiendo que sea sólo aplicada a los usuarios, equipos, grupos y/o Principios de seguridad incorporados (objetos “Builtin”, etc.).

2.      Delegar el control de la GPO, permitiendo así la modificación, etc., a determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados.

 

Hay que tener en cuenta que esto se hace sobre toda la GPO, no se puede especificar únicamente a algunas políticas de la GPO, si no que se hace para todas las contenidas en la GPO.

 

Para realizar el filtrado del alcance y la delegación del control se utilizan permisos que se aplican a los objetos en que están especificados. Estos permisos pueden ser concedidos o denegados, prevaleciendo la denegación sobre la concesión. De forma predeterminada estas son las entradas de seguridad de una GPO (se indican aquellos permisos que están, concedidos):

 

Grupo de seguridad

Configuración predeterminada

Usuarios autentificados

Leer, aplicar directiva de grupo y permisos adicionales

CREATOR OWNER

Permisos adicionales

Administradores del Dominio

Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales

Administración de empresas

Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales

SYSTEM

Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales

 

Pestaña “Filtro WMI”

 

La pestaña “Filtro WMI” nos permite filtrar el alcance de la GPO en función a características de los equipos que están dentro del alcance de la GPO. Para acceder a estas características se utilizan búsquedas WQL, el lenguaje de búsqueda en WMI basado en SQL. Sólo se puede aplicar un filtro WMI a una GPO, filtro WMI que consiste en una o más búsquedas WQL. Al igual que pasaba con los permisos establecidos en la pestaña seguridad, el filtro es aplicado a toda la GPO, no se puede aplicar a determinadas directivas solamente.

 

Para establecer los filtros WMI (aplicables sólo en Windows XP y Windows Server 2003; además, es necesario que al menos un controlador de dominio sea un Windows Server 2003) se hace desde la pestaña “Filtro WMI”, marcamos la opción “Este filtro” y pulsamos el botón “Examinar/administrar…”, apareciendo el cuadro de diálogo “Administrar filtros WMI”, donde podremos crear filtros, modificarlos, eliminarlos, importar/exportar y seleccionar el que queramos aplicar. Para crear, modificar y eliminar deberemos hacer click sobre el botón “Avanzadas >>” con lo que el cuadro de diálogo queda así:

 

 

Los botones y sus acciones son:

 

Botón

Acción

Aceptar

Aplica a la GPO el filtro WMI que esté seleccionado en la lista “Filtros WMI” y cierra el cuadro de diálogo.

Cancelar

Cierra el cuadro de diálogo sin aplicar ningún cambio al filtrado WMI de la GPO.

Ayuda

Muestra la ayuda de administración de filtros WMI.

Columnas

Nos permite especificar qué columnas aparecerán en la lista de filtros. De forma predeterminada aparecen todas, es decir, Descripción, Autor, Fecha de modificación y Fecha de creación. La columna Nombre siempre aparece en la lista de filtros, no es una columna que se pueda ocultar.

Avanzadas

Expande o contrae el cuadro de diálogo para ocultar o mostrar en la parte de abajo los controles de edición de filtros WMI.

Nuevo

Nos permite crear un nuevo filtro WMI.

Eliminar

Nos permite eliminar el filtro WMI seleccionado en la lista “Filtros WMI”. El filtro se elimina, pero no las vinculaciones a GPOs que tenga; es necesario eliminar esos vínculos de forma manual, ya sea configurando otro filtro en su lugar o deshabilitando los filtros WMI en las GPOs afectadas.

Duplicar

Nos permite crear un nuevo filtro en base al que se encuentre seleccionado en la lista “Filtros WMI”.

Importar

Nos permite importar un filtro que anteriormente fuera exportado a un fchero MOF.

Exportar

Nos permite exportar un filtro a un fichero MOF.

Guardar

Guarda el filtro con el nombre, descripción y consulta que lo compone. Esto es así tanto en filtros creados como en filtros que se modifican.

 

Debemos tener en cuenta que no se deben aplicar filtros WMI alegremente, pues ralentizan el inicio del equipo.

 

¿Cómo se procesan las GPO’s?

 

Competencia entre contenedores

 

Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios, dominios y unidades organizativas (en adelante OU). Como un usuario, por ejemplo, estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.). Se podría dar el caso, por tanto, de que las GPO’s contuvieran políticas que se contradijeran entre sí. Cuando se dan casos de estos, el sistema de GPO’s está implementado para asegurar que siempre se aplicarán las políticas, y para ello establece una forma de prioridad entre éstas por la cual, según dónde estén asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas que a continuación, con la ayuda de dos figuras, describiremos.

En la figura 1 vemos, de forma resumida, cuál es la prioridad de las GPO’s. Las GPO’s de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras; las políticas se suman, sólo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio habilitamos la política de deshabilitación del panel de control y en la OU deshabilitamos esta política, y suponemos que ninguna otra de las políticas a nivel de dominio entra en contradicción con ninguna otra de las de la OU, el resultado que se aplicará a un objeto contenido dentro de la OU será la suma de ambas GPO’s, salvo que la política que se aplica respecto a la deshabilitación del panel de control será la de la OU, no la del dominio, y por tanto el panel de control será visible.

 

En la figura 2 vemos un diagrama de flujo que nos explica cómo son aplicadas las GPO’s; se puede apreciar el orden en que son leídas y como se actúa en caso de que se contradigan o no. Como se puede suponer, si hubiera una OU de tercer nivel, ésta prevalecería sobre la hija y obviamente una de cuarto nivel sobre la de tercer nivel y así sucesivamente:

 

 

Competencia dentro de un mismo contenedor

 

También se puede dar el caso de que en un mismo contenedor, por ejemplo una OU, se aplique más de una GPO. Esta posibilidad abre otra; la de que puedan contradecirse entre sí las GPO’s que son aplicadas a ése contenedor. ¿Cómo se resuelve esta problemática? Muy simple: prevalecerá la de la GPO que está más alta en la lista de las aplicadas al contenedor, como se ve en la figura 3.

 

Figura 3: Prevalencia en un mismo contenedor

 

Esto no significa que una GPO anule a las que estén situadas debajo de ella; al igual que vimos con la competencia entre los objetos sobre los que se pueden aplicar, las políticas en realidad se suman cuando no se contradicen entre ellas, sólo en el caso de contradecirse es cuando prevalece la superior (la forma de aplicación es exactamente la misma que veíamos en el diagrama de flujo de la figura 2, sólo que en cada salto lo que se evalúa es la GPO, empezando por la inferior y terminando en la superior).

 

Procesamiento en modo de bucle inverso

 

Cuando tenemos equipos que están en un entorno en el cual se desea tener control sobre su configuración independientemente del usuario que inicie sesión en él, como por ejemplo laboratorios, aulas, bibliotecas, quioscos, etc., precisamos de un mecanismo que altere la forma de ordenación del procesamiento en las directivas de configuración de usuario.

 

Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien sesión en los equipos del aula no puedan acceder al entorno de red. Lo lógico será crear una OU a la que moveremos los equipos del aula, crear una GPO que deshabilite el entorno de red y vincularla a la OU del aula. Bien, esto no funcionaría, ya que como la deshabilitación del panel de control es una configuración de usuario y el usuario no pertenece a la OU, no se ve afectado por esta política. El procesamiento en modo de bucle inverso permite hacer que sí se apliquen las políticas de configuración de usuario a pesar de no pertenecer el usuario a la OU en la que se aplica.

 

Para activar el procesamiento en modo de bucle inverso debemos situarnos en el árbol de la consola de directiva de grupo en el nodo “Configuración del equipo/Plantillas administrativas/Sistema/Directiva de grupo” y en panel de detalles hacer doble clic sobre la política “Modo de procesamiento de bucle invertido de la directiva de grupo de usuario”. Se nos abre un diálogo en el que podremos configurar la política. Hay dos modos de procesamiento de bucle inverso:

 

Modo

Efecto

Sustituir

Las directivas sustituyen a las que se le aplicarían normalmente al usuario. De esta manera hacemos que las configuraciones propias del usuario sean las de la GPO, unificando la configuración para los usuarios a los que tenga alcance.

Combinar

Se combinarán ambas, las propias del usuario más las que especifica la GPO; en caso de contradicción en una política prevalece la de la GPO sobre las propias del usuario. Así conseguimos que determinadas opciones sean iguales para todos los usuarios a los que alcance y que conserven sus configuraciones propias que no entren en conflicto con las de la GPO.

 

Herencia

 

Las GPO’s se heredan

 

Las GPO’s, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir:

 

1.

Las OU’s de primer nivel heredan del Dominio

2.

Las OU’s hijas heredan de las de primer nivel

3.

Las OU’s de nivel 3º heredan de las hijas

.

 

.

 

.

 

n-1.

Las OU’s de nivel n-1º heredan de las de nivel n-2º

n.

Las OU’s de nivel nº heredan de las de nivel n-1º

Si nos fijamos en la figura 4, vemos que el dominio contiene a la OU-padre, ésta a la OU-hija, que a su vez contiene a la OU-3º quien, por último, contiene a la OU-4º. En base a este ejemplo explicaremos la herencia.

 

Figura 4: Vemos en esta figura cómo están contenidas unas OU en otras

 

En la siguiente tabla vemos qué política es asignada a cada contenedor; que quede bien claro que tan sólo se verá, en la pestaña “Directiva de grupo” de las propiedades del contenedor, la GPO que le corresponde en la tabla:

 

Contenedor

GPO asignada

Dominio

GPO del Dominio

UO padre

GPO padre

OU hija

GPO hija

OU-3º

GPO 3ª

OU-4º

GPO 4º

 

En la figura 5º vemos un ejemplo de cómo es asignada la GPO en el contenedor:

 

Figura 5: La política de grupo “GPO 3º” es asignada a la unidad organizativa “OU-3º”

 

Según esta relación de contenedores y de GPO’s, en la siguiente tabla vemos, marcado por “X”, qué GPO’s afectan a qué contenedores; se ve claramente cómo son heredadas las GPO’s por los contenedores:

 

 

Dominio

OU padre

OU hija

OU 3º

OU 4º

GPO del Dominio

X

X

X

X

X

GPO padre

 

X

X

X

X

GPO hija

 

 

X

X

X

GPO 3ª

 

 

 

X

X

GPO 4º

 

 

 

 

X

 

La herencia de las GPO’s se puede bloquear

 

Si en la pestaña “Directiva de grupo” de las propiedades de una OU activamos la casilla “Bloquear la herencia de directivas” (figura 6), conseguiremos que no se apliquen las GPO’s de los objetos que la contienen. Siguiendo el ejemplo de antes, si activásemos esta casilla en la OU Padre el resultado sería:

 

 

Dominio

OU padre

OU hija

OU 3º

OU 4º

GPO del Dominio

X

 

 

 

 

GPO padre

 

X

X

X

X

GPO hija

 

 

X

X

X

GPO 3ª

 

 

 

X

X

GPO 4º

 

 

 

 

X

 

Si la casilla estuviese en la GPO hija en vez de en la padre:

 

 

Dominio

OU padre

OU hija

OU 3º

OU 4º

GPO del Dominio

X

X

 

 

 

GPO padre

 

X

 

 

 

GPO hija

 

 

X

X

X

GPO 3ª

 

 

 

X

X

GPO 4º

 

 

 

 

X

 

Si estuviera activada en ambas:

 

 

Dominio

OU padre

OU hija

OU 3º

OU 4º

GPO del Dominio

X

 

 

 

 

GPO padre

 

X

 

 

 

GPO hija

 

 

X

X

X

GPO 3ª

 

 

 

X

X

GPO 4º

 

 

 

 

X

 

Figura 6: bloqueando herencia en OU-Hija

 

Hay que señalar que las políticas de grupo locales(las aplicadas en la misma máquina con gpedit.msc) no pueden ser bloqueadas.

 

Los bloqueos de herencia pueden saltarse

 

Si a una GPO le habilitamos la opción “no reemplazar” (figura 7) se saltará los bloqueos, de forma que siempre será aplicada:

 

 

De esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la GPO Padre el resultado sería:

 

 

Dominio

OU padre

OU hija

OU 3º

OU 4º

GPO del Dominio

X

X

X

 

 

GPO padre

 

X

X

X

X

GPO hija

 

 

X

 

 

GPO 3ª

 

 

 

X

X

GPO 4º

 

 

 

 

X

 

Si activamos el bloqueo en la OU Hija y no reemplazar en la GPO del Dominio:

 

 

Dominio

OU padre

OU hija

OU 3º

OU 4º

GPO del Dominio

X

X

X

X

X

GPO padre

 

X

 

 

 

GPO hija

 

 

X

X

X

GPO 3ª

 

 

 

X

X

GPO 4º

 

 

 

 

X

 

 

¿Cómo debo implementar las GPO’s?

 

Se tiene que tener en cuenta principalmente la estructura presente y futura de la organización que se administra, la estructura administrativa del dominio y la forma deseada de procesamiento en sí de las directivas, para crear el modelo que mejor responda a nuestras necesidades e intereses. Como las herramientas para establecer las políticas en el dominio son las GPO’s, que son conjuntos de una o más políticas, lo primero definiremos los tipos de GPO’s según su diseño, para posteriormente estudiar las estrategias según diferentes conceptos.

 

¿Qué tipos de diseños tenemos de GPO’s

 

Tenemos tres tipos de diseños de GPO’s según las políticas que configuran:

 

1.      GPO de directiva única: cuando está orientada a un solo tipo de configuración (por ejemplo propiedades de Active Desktop). Es adecuado para organizaciones que delegan responsabilidades administrativas en muchos usuarios.

2.      GPO de directiva múltiple: cuando está orientada a varios tipos de configuración (por ejemplo, configuración de IE, de explorador de Windows, de instalación de software, etc.). Adecuado para organizaciones en las que la administración esté centralizada.

3.      GPO de directiva dedicada: cuando configura sólo políticas de equipo o de usuario. Aumenta el número de GPO’s a ser procesadas en el inicio de sesión, alargando éste, pero es útil para aislar los problemas en la aplicación de una GPO.

 

¿Qué estrategias de aplicación de GPO’s hay?

 

Hay dos estrategias de en función de cómo serán aplicadas las GPO’s:

 

1.      Por capas: en esta estrategia se busca el que aparezca en el menor número posible de GPO’s un tipo de configuración en concreto. De esta manera, se parte de una política común a todo el dominio aplicada a éste, en la cual no aparecen las configuraciones que son individuales para una OU .Pongamos que la configuración de escritorio es diferente en cada OU y la configuración de Proxy para el Internet Explorer es igual en todas las OU’s; definiríamos a nivel de dominio la configuración de Proxy (ya sea con una GPO de directiva única o unida con otras directivas comunes a todas las OU’s en una directiva múltiple) y crearíamos una GPO por OU con la configuración de escritorio propia de la OU en una directiva única:

a.      Ventaja: La administración es más simple, al estar localizados perfectamente los puntos de aplicación de cada configuración y ser más fácil realizar cambios por tener que hacerlo en menos GPO’s.

b.      Inconveniente: El tiempo de inicio de sesión se alarga, al tener que procesarse múltiples GPO’s.

c.      Adecuado…: Para organizaciones cuya configuración de seguridad es común y con cambios frecuentes de directivas.

2.      Monolítico: Lo que se busca con este enfoque es que se apliquen el menor número posible de políticas; el ideal sería que se aplique tan sólo una. Para ello se configura una única GPO de directiva múltiple en cada OU y no se aplica GPO alguna en el dominio.

a.      Ventaja: el inicio de sesión está optimizado para que sea lo más rápido posible.

b.      Desventaja: la administración es más trabajosa; si necesitamos hacer un cambio de configuración común a todo el dominio, tendremos que retocar tantas GPO’s como OU’s tengamos.

c.      Adecuado…: Para organizaciones en las cuales se pueden clasificar en muy pocos grupos la asignación de las directivas (digamos pocas OU’s,) de forma que el aumento de las tareas administrativas orientadas a las directivas no sea preocupante.

 

¿Qué estrategias hay en función del trabajo?

 

En función de la forma de la organización de realizar su trabajo, hay dos estrategias:

 

1.      Por roles: Se utiliza una estructura de OU’s que refleje los tipos de trabajo de la organización, como pueda ser comerciales, administrativos, marketing, etc. Aplicando el menor número posible de GPO’s. Digamos que es un diseño por capas en el cual las GPO’s de directiva única de las OU’s son fusionadas en una única GPO de directiva múltiple por OU.

a.      Ventaja: Los inicios de sesión son más rápidos que en una estrategia por capas.

b.      Desventaja: La administración es algo más trabajosa que en una estrategia por capas.

c.      Adecuado…: Para organizaciones en las cuales el trabajo está muy definido en función a roles.

2.      Por equipos: Se basa en vincular todas las GPO’s al dominio en vez de a las OU’s; el alcance de las GPO’s se filtrará en base a grupos de seguridad. De esta forma se aplicarán una GPO a todos los usuarios pertenecientes a un grupo de seguridad determinado independientemente de la OU a la que pertenezcan.

a.      Ventajas: Se minimizan las vinculaciones de GPO’s a OU’s y se centraliza la administración de las GPO’s.

b.      Desventaja: El inicio de sesión será más lento cuantos más equipos de trabajo existan.

c.      Adecuado…: Para organizaciones en las que no corresponda el trabajo a realizar según roles, sino según tareas (por ejemplo, en un proyecto de desarrollo de software habrá desarrolladores, comerciales, administrativos, directivos, etc., que necesitarán determinadas configuraciones comunes a ellos, como la carpeta del proyecto; un comercial puede estar en más de un proyecto y necesitar acceso a las carpetas de los proyectos en los que está implicado). También es adecuado cuando se quiere que la administración de las políticas esté centralizada y sea muy flexible a las cambiantes necesidades de la organización.

 

¿Qué estrategias hay en función del tipo de control?

 

Cuando utilizamos la delegación del control de las GPO’s tenemos dos estrategias para realizarlo, que se corresponden con los diseños:

 

1.      Diseño de control centralizado: En este diseño los administradores de OU tienen delegado el control de las GPO’s, pero a su vez se conserva un control centralizado. Para hacerlo, las políticas a nivel de dominio llevarán activada la opción “No reemplazar”. Es útil para organizaciones que quieren que los administradores de OU’s tengan libertad de acción pero, a su vez, haya configuraciones comunes a todo el dominio que no puedan ser bloqueadas.

2.      Diseño de control distribuido: Cuando, además de tener control de su OU, un administrador de OU pueda bloquear las políticas del dominio. Es adecuado para organizaciones que quieren minimizar el número de dominios sin perder la autonomía de las OU’s. A pesar de la capacidad de los administradores de OU de bloquear políticas, determinadas configuraciones, como por ejemplo de seguridad, siguen pudiendo estar centralizadas cuando se active en ellas la opción “No reemplazar”.

 

¿Qué estrategia seguir?

 

Estas estrategias que hemos descrito, no son más que una categorización de estrategias según las necesidades y prestaciones deseadas. Cada organización es un caso totalmente distinto, y por ello, cada organización deberá llevar la estrategia que más le convenga. En algunos casos la estrategia deseable será alguna de las estrategias anteriores tal y como han sido descritas; en otras habrán de ser personalizadas y a veces habrán de mezclarse dos o más de ellas, e incluso estando retocadas las integrantes de la mezcla.

 

Bibliografía:

 

·        Principalmente los apuntes tomados en las clases de MCSE impartidas por Ernesto Vilches en CICE.

·        Libros en línea de Windows 2000 Resource Kit

·        Ayuda de Windows 2000

·        Microsoft Windows 2000 Active Directory Services. Curso oficial de certificación MCSE” de la editorial Mc Graw Hill ISBN: 84-481-2889-3