viernes, 9 de febrero de 2018

IX - Group Policy Objects (GPO)

Las políticas o directivas de grupo son un conjunto de reglas que controlan el entorno de trabajo de cuentas de usuario y de equipo cuando se accede de forma autenticada a un dominio. Permiten  gestionar de forma centralizada la configuración de Sistemas Operativos, Aplicaciones y Usuarios en un entorno de Active Directory.

Por ejemplo se puede bloquear el Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.

Las GPO se puede vincular a Sitios, Dominios y OU de Active Directory. 
  • Dentro de AD, un dominio representa el límite de seguridad en una red y tiene sus propias Directivas y Relaciones de Seguridad con otros dominios de AD.
  • Mientras que los dominios pueden abarcar más de una ubicación física y representan la estructura lógica de la organización, los sitios representan la estructura física de red y están formados por un conjunto de equipos en una o varias subredes IP.
  • A su vez las OU son los contenedores de menor nivel en AD y se usan para organizar equipos, usuarios, grupos y otras OU de acuerdo con las necesidades administrativas.

Aplicación de GPO. Herencia

Al igual que los permisos, las Políticas que apliquen a un contenedor superior serán también aplicadas a los contenedores inferiores siguiendo un mecanismo de herencia

Por ejemplo todas las GPO aplicadas a nivel de dominio aplicarán a las UO de dicho dominio. Todas las GPO aplicadas a nivel de UO principal aplicarán a también a sus UO secundarias y así sucesivamente.

Orden de aplicación entre contenedores
A un determinado usuario o equipo, se le pueden aplicar diferentes directivas de grupo a distinto nivel, de modo que si existen el orden en que éstas son aplicadas será el siguiente:  local, sitio, dominio, unidad organizativa principal, unidad organizativa secundaria, etc. siempre siguiendo el orden especificado administrativamente.

Recordar: Cuando existan directivas definidas en varios contenedores las GPO más cercanas al equipo destino tienen preferencia sobre las más alejadas en la estructura organizativa.
Lo fundamental es entender la manera que tiene WS de implementar el orden de procesamiento de las directivas: siempre desde abajo hacia arriba, es decir comenzando con  la directiva que tiene un mayor número de precedencia hasta llegar a la directiva con menor número de precedencia (el 1).

En el caso de que un contenedor tenga vinculada una lista de directivas, donde algunas de ellas se contradigan (incoherentes), prevalecerá la que esté más alta en dicha lista (menor número de precedencia). Si las directivas no se contradicen se irán acumulando.

Orden de precedencia de directivas

Nota-1: Pese a su nombre, directivas de grupo, no pueden ser vinculadas a grupos de usuarios o equipos, sino que deben ser aplicadas exclusivamente sólo a Sitios, Dominios o UO, afectando el resultado de su aplicación a los usuarios y a los equipos de Active Directory.

Nota-2: Las directivas de grupo tienen prioridad sobre las opciones de configuración del perfil del usuario en caso de que se cree un conflicto entre ambas configuraciones.

Exigir o Bloquear

Como hemos podido comprobar AD está estructurado jerárquicamente y si aplicamos una GPO en un contenedor (sitio, dominio y UO) se propagará a todos los elementos inferiores y se aplicará de forma predeterminada.

Existe la posibilidad de
Bloquear la herencia en un determinado contenedor, lo que implica que las GPO que se propaguen desde contenedores superiores no le afecten ni a él ni a ninguno de sus elementos descendientes si los tuviera. Un ejemplo común es impedir la aplicación de directivas del dominio por ejemplo a los Administradores.


Bloquear la herencia en un contenedor
También se puede Exigir la propagación de GPO's sobre un contenedor, lo que significará que se aplicarán a todos los contenedores inferiores de la jerarquía incluso si alguno trata de bloquear la herencia.

Exigir una directiva

Gpo de Inicio


Las starters o GPOs de inicio son unas directivas especiales que se crean previamente basadas en un conjunto de Plantillas Administrativas muy concretas y a las que luego podemos incorporar todas aquellas directivas que nos interesen.
Las Plantillas administrativas inicialmente se pueden basar en:
  • Equipo: Componentes de Windows, Impresoras, Panel de control, Red o Sistema.
  • Usuario: Escritorio Activo, Carpetas compartidas, Componentes de Windows, Menú inicio y barra de tareas, Panel de control, Red o Sistema.
Las GPOs de inicio se pueden guardar en archivos comprimidos .cab y se pueden importar en otro entorno diferente que requiera de las mismas características.

Existen una serie de GPOs de inicio de recomendación del fabricante, que pueden resultarnos bastante útiles para distintos clientes o entornos.



Starters recomendadas por Microsoft

Si necesitamos que un conjunto de equipos de nuestro AD posean una característica común, y esa característica puede ser establecida mediante una plantilla de GPO, podemos definir una GPO de inicio que incorpore dicha característica, probarla, ver que funciona correctamente y usarla para que sea la base de una GPO más completa a la que yo quiero que se vean sometidos, por ejemplo los equipos que pertenezcan a una UO concreta.

El uso de las GPOs de inicio se recomienda para crear por ejemplo un grupo de ajustes, quizás de seguridad, que afecten a un grupo concreto de equipos o de usuarios.
Filtros WMI
Son unas consultas en un lenguaje próximo a SQL (WQL) que nos van a permitir variar el ámbito de aplicación de las GPO's interactuando con los equipos a los que se apliquen las políticas

Por ejemplo, supongamos que generamos una directiva para instalar un Service Pack de Windows, asignamos el MSI a la misma y la aplicamos a toda la OU de equipos de nuestro entorno. Pero ¿qué pasa si tenemos equipos en nuestro entorno con poco espacio en disco C como para instalarse el Service Pack? No sería adecuado hacer la instalación. En ese caso podemos utilizar un filtro WMI que se fije el espacio en disco libre y solo si supera la cantidad que nosotros designemos se aplicará la política.

Una directiva solo puede tener un único filtro WMI asociado, sin embargo un filtro puede estar afectando a varias directivas. Los filtros pueden ser consultas sencillas o más complejas y además se pueden exportar e importar.

Algunos ejemplos de aplicación de filtros son los que se aplican en función de: Espacio libre en disco, tipo de Sistema Operativo, nombres de equipo, actualizaciones instaladas, marca y modelo del fabricante, etc.

Ejemplo Filtro WMI

WMI= Windows Management Instrumentation
Ver también WMI Code Creator

domingo, 28 de enero de 2018

VIII - Perfiles de Usuario

En Windows, un perfil de usuario consiste en un espacio de almacenamiento donde se guardan los documentos del usuario, distintas preferencias, la organización de su escritorio, los favoritos del navegador web, las configuraciones del registro de sistema de dicho usuario, etc.

Cuando trabajamos con un SO cliente, este perfil se almacena localmente (en la maquina donde trabajamos) en una carpeta determinada, Usuarios\Nombre del usuario en Vista, Windows 7, Windows 8. 

Una de las ventajas de montar un dominio, es que podemos utilizar perfiles que no se almacenen localmente. En un dominio podemos utilizar:
  • Perfiles de usuario locales
  • Perfiles de usuario móviles
  • Perfiles de usuario obligatorios

Perfiles Locales

Estos perfiles son los habituales, cada usuario guarda su perfil en un directorio de la maquina local donde inicia sesión. Es un tipo de perfil que precisa que los usuarios siempre usen el mismo ordenador si quieren poder acceder a sus documentos.

Es la opción por defecto del dominio si no configuramos nada, pero usar perfiles locales en un dominio tiene desventajas claras:

  • Si los usuarios suelen cambiarse de ordenador se van creando perfiles en cada máquina diferentes.
  • Si el ordenador local se estropea o tiene que ser cambiado, el usuario se encontrará con que ha perdido sus datos (salvo que haya hecho copia).
  • Cada vez que queramos hacer una copia de seguridad de todo, tendremos que ir ordenador por ordenador copiando sus perfiles, y nos encontraremos con diferentes versiones de un mismo fichero.

Si en la ruta de acceso del perfil no ponemos nada, se configura el perfil como local y se almacena en el propio equipo local del usuario como hemos comentado.
Perfiles Móviles

Este tipo de perfil no se almacena en la máquina local donde se conecta el usuario, sino que se queda almacenado en una carpeta de red, normalmente ubicada en el propio controlador de dominio.

Un perfil móvil funciona de la forma siguiente:
  • 1) Cuando el usuario abre sesión en una maquina cliente del dominio, se carga su perfil móvil desde el servidor, y se guarda una "copia" en la maquina cliente.

  • 2) El usuario trabaja en la maquina cliente, y trabaja sobre dicha "copia", por lo que en realidad se comporta como si fuera un perfil local, es decir, cuando se guarda un documento se guarda localmente, no en el servidor.

  • 3) Cuando el usuario cierra sesión, el perfil local se sincroniza con el perfil que está almacenado en el servidor, añadiendo todos los nuevos documentos, modificaciones, cambios en la configuración, etc.

Da la impresión de que el perfil se “mueve” entre los ordenadores siguiendo al usuario, es por ello que se le da el nombre de perfil móvil.

Respecto al punto 2 el funcionamiento es así por dos razones:
  • Para no sobrecargar la red ni el dominio, si el usuario trabajara sobre el perfil móvil del servidor directamente, habría que estar continuamente enviando información entre la máquina y el servidor y sería muy lento desde el punto de vista del usuario.
  • Para poder seguir trabajando aunque el servidor deje de estar operativo momentáneamente. 

Consideraciones:
  • El perfil local es una copia del perfil móvil que está almacenado en el servidor. ¿Pero qué ocurre si cuando llega el momento de cerrar sesión el servidor no está operativo y no se puede sincronizar?
  • Si un usuario puede iniciar sesión en cualquier máquina del dominio, ¿qué ocurre si inicia sesión más de una vez?
Perfiles Obligatorios

Un perfil móvil nos permite que un usuario pueda iniciar una sesión desde diferentes clientes, manteniendo su escritorio de trabajo. Sin embargo, en muchas ocasiones esto no es suficiente y necesitamos también que el usuario no pueda realizar cambios en ese perfil.
Para ello, sólo tenemos que convertir el perfil móvil en obligatorio. Algo que se consigue sólo con modificar el nombre del un archivo oculto, que inicialmente se llama NTUSER.DAT por el de NTUSER.MAN. Un único perfil obligatorio "de solo lectura" se suele compartir con múltiples usuarios.

VII - Usuarios y Grupos

La cuenta de un usuario del dominio registra toda la información necesaria para su definición en Windows Server 2008:
  • Nombre de usuario y contraseña (necesarios para iniciar sesión)
  • Grupos a los que pertenece el usuario
  • Derechos y permisos que tiene el usuario para utilizar el equipo y la red, así como para tener acceso a sus recursos.
En un DC de WS 2008, la herramienta Usuarios y equipos de Active Directory permite administrar usuarios y equipos del dominio creando por ejemplo grupos de usuarios y equipos.

Los usuarios y los equipos del dominio son objetos del Directorio Activo del DC de WS 2008 y pueden ser incluidos en los grupos de usuarios y/o equipos del dominio que se desee. Por defecto si no se indica lo contrario son incluidos en los grupos de seguridad Usuarios del dominio y Equipos del dominio respectivamente.

El objetivo de los grupos es lograr una eficaz gestión del dominio a través de la asignación de permisos sobre los recursos al propio grupo en lugar de hacerla de forma individual sobre cada uno de sus componentes.
Los usuarios y los equipos pueden pertenecer a más de un grupo y a un determinado recurso pueden acceder  usuarios y equipos de varios grupos. También podemos hacer que un determinado grupo pertenezca a otros grupos ya existentes.

Esquema usuarios - grupos - recursos

Cuando se crea un grupo se debe seleccionar un tipo y un ámbito del grupo. 

Tipos

Active Directory trabaja con dos tipos de grupos predeterminados:
  • Grupos de seguridad:  Se usan para otorgar permisos y así, obtener acceso a los recursos.
  • Grupos de distribución:  Se usan por aplicaciones Windows para realizar funciones no relacionadas con la seguridad, como enviar mensajes de correo electrónico a grupos de usuarios. No se puede otorgar permisos a estos grupos.

Ámbito

Los ámbitos de los grupos permiten utilizar los grupos de forma diferente para asignar permisos. El ámbito de un grupo determina dónde se puede utilizar el grupo en la red. Los tres ámbitos de los grupos son dominio local, global y universal.
  • Locales:  Se pueden añadir miembros desde cualquier dominio pero solo se pueden asignar permisos para acceder a recursos ubicados en el mismo dominio donde se ha creado el grupo. Se recomienda utilizarlos para agrupar cuentas con función similar. Por ejemplo, un sector, un cargo, etc.
  • Globales: Se pueden añadir miembros solo desde el dominio donde se creó pero se pueden asignar permisos para acceder a recursos ubicados en cualquier dominio del bosque.  Se recomienda utilizarlos para asignar permisos y derechos.
  • Universales: Se pueden añadir miembros desde cualquier dominio y se pueden asignar permisos para acceder a recursos ubicados en cualquier dominio del bosque o dominio de confianza. Se recomienda la utilización cuando se requiere agrupar Grupos Globales de diferentes Dominios.

Nota: Los grupos de seguridad universales solo están disponibles en modo nativo

Estrategia

Para una empresa mediana, la preferencia es:  A–> G –> DL <–P, que significa agrupar las cuentas en Grupos Globales, agrupar los Grupos Globales en Grupos Locales de Dominio y a estos últimos asignarle los Permisos.

Estrategia de uso de grupos