Las políticas o directivas de grupo son un conjunto de reglas que controlan el entorno de trabajo de cuentas de usuario y de equipo cuando se accede de forma autenticada a un dominio. Permiten gestionar de forma centralizada la configuración de Sistemas Operativos, Aplicaciones y Usuarios en un entorno de Active Directory.
Por ejemplo se puede bloquear el Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.
Las GPO se puede vincular a Sitios, Dominios y OU de Active Directory.
- Dentro de AD, un dominio representa el límite de seguridad en una red y tiene sus propias Directivas y Relaciones de Seguridad con otros dominios de AD.
- Mientras que los dominios pueden abarcar más de una ubicación física y representan la estructura lógica de la organización, los sitios representan la estructura física de red y están formados por un conjunto de equipos en una o varias subredes IP.
- A su vez las OU son los contenedores de menor nivel en AD y se usan para organizar equipos, usuarios, grupos y otras OU de acuerdo con las necesidades administrativas.
Aplicación de GPO. Herencia
Al igual que los permisos, las Políticas que apliquen a un contenedor superior serán también aplicadas a los contenedores inferiores siguiendo un mecanismo de herencia.
Por ejemplo todas las GPO aplicadas a nivel de dominio aplicarán a las UO de dicho dominio. Todas las GPO aplicadas a nivel de UO principal aplicarán a también a sus UO secundarias y así sucesivamente.
Orden de aplicación entre contenedores |
A un determinado usuario o equipo, se le pueden aplicar diferentes directivas de grupo a distinto nivel, de modo que si existen el orden en que éstas son aplicadas será el siguiente: local, sitio, dominio, unidad organizativa principal, unidad organizativa secundaria, etc. siempre siguiendo el orden especificado administrativamente.
Recordar: Cuando existan directivas definidas en varios contenedores las GPO más cercanas al equipo destino tienen preferencia sobre las más alejadas en la estructura organizativa.
Si nos fijamos en un contenedor específico, lo fundamental es entender la manera que tiene WS de implementar el orden de procesamiento de las directivas: siempre desde abajo hacia arriba, es decir comenzando con la directiva que tiene un mayor número de precedencia hasta llegar a la directiva con menor número de precedencia (el 1).
En el caso de que un contenedor tenga vinculada una lista de directivas, donde algunas de ellas se contradigan (incoherentes), prevalecerá la que esté más alta en dicha lista (menor número de precedencia). Si las directivas no se contradicen se irán acumulando.
Orden de precedencia de directivas |
Nota-2: Las directivas de grupo tienen prioridad sobre las opciones de configuración del perfil del usuario en caso de que se cree un conflicto entre ambas configuraciones.
Exigir o Bloquear
Como hemos podido comprobar AD está estructurado jerárquicamente y si aplicamos una GPO en un contenedor (sitio, dominio y UO) se propagará a todos los elementos inferiores y se aplicará de forma predeterminada.
Como hemos podido comprobar AD está estructurado jerárquicamente y si aplicamos una GPO en un contenedor (sitio, dominio y UO) se propagará a todos los elementos inferiores y se aplicará de forma predeterminada.
Existe la posibilidad de Bloquear la herencia en un determinado contenedor, lo que implica que las GPO que se propaguen desde contenedores superiores no le afecten ni a él ni a ninguno de sus elementos descendientes si los tuviera. Un ejemplo común es impedir la aplicación de directivas del dominio por ejemplo a los Administradores.
Bloquear la herencia en un contenedor |
También se puede Exigir la propagación de GPO's sobre un contenedor, lo que significará que se aplicarán a todos los contenedores inferiores de la jerarquía incluso si alguno trata de bloquear la herencia.
Exigir una directiva |
Gpo de Inicio
Filtros WMI
WMI= Windows Management Instrumentation
Las starters o GPOs de inicio son unas directivas especiales que se crean previamente basadas en un conjunto de Plantillas Administrativas muy concretas y a las que luego podemos incorporar todas aquellas directivas que nos interesen.
Las Plantillas administrativas inicialmente se pueden basar en:
Las Plantillas administrativas inicialmente se pueden basar en:
- Equipo: Componentes de Windows, Impresoras, Panel de control, Red o Sistema.
- Usuario: Escritorio Activo, Carpetas compartidas, Componentes de Windows, Menú inicio y barra de tareas, Panel de control, Red o Sistema.
Existen una serie de GPOs de inicio de recomendación del fabricante, que pueden resultarnos bastante útiles para distintos clientes o entornos.
Starters recomendadas por Microsoft |
Si necesitamos que un conjunto de equipos de nuestro AD posean una característica común, y esa característica puede ser establecida mediante una plantilla de GPO, podemos definir una GPO de inicio que incorpore dicha característica, probarla, ver que funciona correctamente y usarla para que sea la base de una GPO más completa a la que yo quiero que se vean sometidos, por ejemplo los equipos que pertenezcan a una UO concreta.
El uso de las GPOs de inicio se recomienda para crear por ejemplo un grupo de ajustes, quizás de seguridad, que afecten a un grupo concreto de equipos o de usuarios.
Son unas consultas en un lenguaje próximo a SQL (WQL) que nos van a permitir variar el ámbito de aplicación de las GPO's interactuando con los equipos a los que se apliquen las políticas.
Por ejemplo, supongamos que generamos una directiva para instalar un Service Pack de Windows, asignamos el MSI a la misma y la aplicamos a toda la OU de equipos de nuestro entorno. Pero ¿qué pasa si tenemos equipos en nuestro entorno con poco espacio en disco C como para instalarse el Service Pack? No sería adecuado hacer la instalación. En ese caso podemos utilizar un filtro WMI que se fije el espacio en disco libre y solo si supera la cantidad que nosotros designemos se aplicará la política.
Una directiva solo puede tener un único filtro WMI asociado, sin embargo un filtro puede estar afectando a varias directivas. Los filtros pueden ser consultas sencillas o más complejas y además se pueden exportar e importar.
Algunos ejemplos de aplicación de filtros son los que se aplican en función de: Espacio libre en disco, tipo de Sistema Operativo, nombres de equipo, actualizaciones instaladas, marca y modelo del fabricante, etc.
Ejemplo Filtro WMI |
WMI= Windows Management Instrumentation
Ver también WMI Code Creator