c



 


Un objeto de directiva de grupo (GPO: Group Policy Object) 
 
 
 
   . 3
  
    
 
         

      . Por ejemplo, tenemos políticas para:

! Ôstablecer el título del explorador de Internet

! Ocultar el panel de control
! eshabilitar el uso de RÔGÔIT.Ô Ô y RÔGÔT32.Ô Ô
! Ôstablecer qué paquetes MSI se pueden instalar en un equipo
! Ôtc«

c
 

 
Podemos definir dos categorías de tipos troncales de directivas:
1. Según su J
 
2. Según su J 

 

Directivas según su función

Hay dos tipos troncales de directivas según su función:

1. 
   

: ¿Cuántos caracteres tiene una contraseña? ¿Cada cuanto
tiempo debe ser cambiada ésta?, etc. Pueden ser aplicadas:

a. r nivel de dominio: Son aplicadas en todas las máquinas del dominio.

b. r nivel de controladores de dominio: Se aplican tan sólo en los controladores
de dominio, pero sin suplantar a las del dominio (en caso de entrar en
contradicción una y otra, se aplica la del dominio, no la de los controladores de
dominio).

2. 
 
 

 !": ¿Quién tiene acceso al panel
de control? ¿Cuál es el tamaño máximo del archivo de registro de sistema? Pueden
ser aplicadas:

a. r nivel de #


b. r nivel de   
c. r nivel de   
d. r nivel de O 
 $ O 
 $ O ".

Directivas según el objeto al que configuran

Respecto al objeto al que configuran también son dos:

e. J 

 #
: que se divide en:

i. Configuración de J%

 ii. Configuración de å %
iii.   administrativas

f. J 

 


, que al igual que la de Windows se divide en:

i. Configuración de J%

ii. Configuración de å %s
iii. Plantillas   
 

runque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro
de éstas son diferentes las políticas que se encuentran.

c


&
Las &

  en cuatro tipos de objetos:

1. #
': son aplicadas únicamente en el equipo que las tiene asignadas
independientemente del dominio al que pertenezcan. Son modificadas con
³gpedit.msc´. Ôstas son las únicas políticas que se aplican a los equipos que no
están en un dominio, como servidores independientes(stand alone) o clientes en
red igual a igual (peer to peer).

2. Ñ    (  

!: se aplican para todos los equipos y/o usuarios de un
sitio, independientemente del dominio del mismo bosque al que pertenezcan.

3.   ( 


!: se aplican a todos los equipos y/o usuarios de un
dominio.

4. O 
 $ ( 

!: se aplican únicamente a los equipos
y/o usuarios que pertenezcan a la propia unidad organizativa (OU).

c
)#
  

Qué mejor forma de ver cómo se crea una GPO que poniendo un caso práctico. Vamos a
obligar a los usuarios del dominio a hacer CTRL+rLT+SUPR para poder iniciar sesión. Para ello
abrimos ³O

!#
( 

!´. Hacemos clic derecho sobre el nodo con el
nombre del dominio y pulsamos ³Rropiedades´:
 Ôn la ventana que se abre pulsamos la pestaña ³Directiva de Grupo´:

Pulsando el botón ³Nueva´ se creará una nueva

GPO debajo de la ³       ´ a la
que llamaremos ³ 3´
 Si ahora seleccionamos la
nueva GPO y pulsamos
Ñ R
en el teclado
podríamos quitar la GPO de
la lista o eliminarla de
rctive irectory. Quitar de
la lista evita que se aplique
la GPO, pero sigue
existiendo en rctive
irectory, de forma que
podrá ser utilizada más
adelante o en otro
contenedor; eliminar hace
que la GPO sea eliminada
de rctive irectory.
Pulsamos ³ancelar´

Ya tenemos creada la GPO; ahora debemos modificar la política para que obligue a los
usuarios del dominio a hacer CTRL+rLT+SUPR para iniciar sesión en los equipos.

cJ  

Si seleccionamos con el ratón la GPO que hemos creado y pulsamos el botón ³ºodificar´
se nos abrirá una consola de directiva de grupo:

Nos desplazamos en el árbol a ³onfiguración del equipo/onfiguración de

Windows/onfiguración de seguridad/Directivas locales/Opciones de seguridad´:
Hacemos doble click sobre la directiva ³  
   3!´ y
podremos definir ésta política como deshabilitada:

La casilla ³Definir esta configuración de directiva´ tiene el efecto:

ºarcada La política quedará definida con el valor seleccionado en las

opciones de debajo.
Ñin ºarcar La política hereda su definición o no y si está habilitada o
no en caso de haber sido definida en un contenedor superior
(en nuestro ejemplo desde el propio equipo o el sitio, ya que
estamos a nivel de dominio).

r su vez, cuando la casilla está marcada podemos elegir entre las opciones:

D   Hace que la política quede habilitada. Ôsto significa que se
realizará la configuración que la propia política define
con su nombre y por tanto, en nuestro ejemplo, provoca
que no sea necesario que el usuario pulse
CTRL+rLT+SUPR para iniciar sesión.
*   Cuando se deshabilita la política, se impide que se realice
la configuración que la propia política define con su
nombre. Por tanto, en el ejemplo, obliga al usuario a pulsar
CTRL+rLT+SUPR para iniciar sesión.
 c 

 !+ 
r pesar de que   "# es creada en un contenedor, ésto sólo es una apariencia.
Realmente  
  $
 
 

 
 
  



 
. Ôsto nos permite crear una sola GPO y aplicarla en cualquier parte del
bosque al que pertenece el dominio donde está alojada la GPO; es decir, a todos los sitios,
dominios y OU¶s del bosque. Imaginemos un bosque con tres dominios; agregando a cada
dominio la GPO que creamos antes, obligaremos a pulsar CTRL+rLT+SUPR a los usuarios de
los tres dominios, habiendo creado una única GPO.

Para vincular una política pulsamos ³rgregar´ en la pestaña ³Directiva de grupo´ de las
propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente diálogo:

Seleccionamos aquí la GPO que queremos vincular. Hay tres formas de buscarlas, una
por pestaña:

Restaña ºuestra las GRO¶s«

  !O Que están aplicadas en el dominio y sus UO¶s, viéndose
las OU¶s como carpetas y las políticas con su icono
característico. Ôl desplegable ³Buscar en´ nos permite
alternar entre los dominios del bosque.
Ñ   Que están aplicadas en un sitio. Con el desplegable
³Buscar en´ podemos cambiar entre los sitios que integran
el bosque.
, Que están almacenadas en un dominio. Con el
desplegable ³Buscar en´ podemos alternar entre los
dominios del bosque.

Simplemente tendremos que señalar la GPO que queramos vincular y pulsar ³rceptar´
para hacerlo.
 c

 

rccedemos a las propiedades de la GPO pulsando el botón ³Rropiedades´ de la pestaña
³Directiva de grupo´ de las propiedades de un contenedor. Ôn la ventana de propiedades
encontramos tres pestañas:

Restaña Función aptura


 º     "#

%   
     

 
   &  
  
  
  
   .
Ôsto sirve para agilizar la aplicación
de la GPO, mejorando el
rendimiento. Como en nuestro caso
la política que obliga a hacer
CTRL+rLT+SUPR para iniciar
sesión es una configuración de
equipo, podremos marcar la casilla
que deshabilita los parámetros de
configuración de usuario.
†
    '
 
#(     $ 
  
"#. Con el desplegable ³ominio´
podemos seleccionar el dominio del
bosque en el que buscamos.

Ñ

           

   "#(. Podemos asignar
permisos a los siguientes objetos:
1. Usuarios
2. Ôquipos
3. Grupos
4. Principios de seguridad
incorporados
ë 
å
      )  *

(sólo en  
  +º
  
 
Windows 
 
     
Py      "#! Ôstas
Windows características pueden ser:
Server 1. Un patrón de nombre de
2003 y con equipo
al menos 2. Tipo de Sistema Operativo
un 3. Nivel de Service Pack
controlador 4. Cualquier característica del
de dominio equipo que podamos
que sea consultar con WQL
Windows
Server Los equipos con Windows
2003) 2000 ignoran este tipo de filtros y
procesan las GPOs sin tener en
cuenta si por sus características
deberían hacerlo o no. Por ello, una
forma de ejecutar políticas que sólo
se apliquen a equipos con Windows
2000 es filtrar con WMI poniendo
que el tipo de SO es Windows 2000
o que el tipo de SO no es Windows
P. Si queremos aplicar políticas con
filtros WMI a equipos con tan sólo
P o 2003, será necesario que nos
llevemos las cuentas de los Windows
2000 a otra OU en la que no estaran
vinculadas esas GPOs.

Restaña ³Ñeguridad´

La pestaña ³Ñeguridad´ nos permite realizar dos tareas con las GPO¶s:

1. ë 

     , permitiendo que sea sólo aplicada a los usuarios,
equipos, grupos y/o Principios de seguridad incorporados (objetos ³Builtin´, etc.).
2. 

, permitiendo así la modificación, etc., a determinados
usuarios, equipos, grupos y/o Principios de seguridad incorporados.

Hay que tener en cuenta que   %   
   "#, no se puede especificar
únicamente a algunas políticas de la GPO, si no que se hace para todas las contenidas en la
GPO.

Para realizar el filtrado del alcance y la delegación del control se utilizan permisos que se
aplican a los objetos en que están especificados. Ôstos permisos pueden ser concedidos o
denegados, prevaleciendo la denegación sobre la concesión. e forma predeterminada estas
son las entradas de seguridad de una GPO (se indican aquellos permisos que están,
concedidos):

Grupo de seguridad onfiguración predeterminada

O


 J  Leer, aplicar directiva de grupo y permisos
 adicionales
-(,-å- Permisos adicionales
(  

   Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundarios y permisos adicionales
(  
 
 Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundarios y permisos adicionales
ÑÑ,  Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundarios y permisos adicionales

Restaña ³Filtro Wº ´

La pestaña ³ë 
 å
´ nos permite filtrar el alcance de la GPO en función a
características de los equipos que están dentro del alcance de la GPO. Para acceder a estas
características se utilizan búsquedas WQL, el lenguaje de búsqueda en WMI basado en SQL.
Sólo se puede aplicar un filtro WMI a una GPO, filtro WMI que consiste en una o más búsquedas
WQL. rl igual que pasaba con los permisos establecidos en la pestaña seguridad, el filtro es
aplicado a toda la GPO, no se puede aplicar a determinadas directivas solamente.

Para establecer los filtros WMI (aplicables sólo en Windows P y Windows Server 2003;
además, es necesario que al menos un controlador de dominio sea un Windows Server 2003) se
hace desde la pestaña ³Filtro WMI´, marcamos la opción ³Ôste filtro´ y pulsamos el botón
³Ôxaminar/administrar«´, apareciendo el cuadro de diálogo ³rdministrar filtros WMI´, donde
podremos crear filtros, modificarlos, eliminarlos, importar/exportar y seleccionar el que queramos
aplicar. Para crear, modificar y eliminar deberemos hacer click sobre el botón ³rvanzadas >>´
con lo que el cuadro de diálogo queda así:
Los botones y sus acciones son:

Motón rcción
(
 rplica a la GPO el filtro WMI que esté seleccionado en la lista ³Filtros
WMI´ y cierra el cuadro de diálogo.

 Cierra el cuadro de diálogo sin aplicar ningún cambio al filtrado WMI
de la GPO.
(!
 Muestra la ayuda de administración de filtros WMI.

 Nos permite especificar qué columnas aparecerán en la lista de filtros.
e forma predeterminada aparecen todas, es decir,   ,
 , , % 
 
  y , % 
  . La columna
-  siempre aparece en la lista de filtros, no es una columna que
se pueda ocultar.
( $ Ôxpande o contrae el cuadro de diálogo para ocultar o mostrar en la
parte de abajo los controles de edición de filtros WMI.

  Nos permite crear un nuevo filtro WMI.
  
 Nos permite eliminar el filtro WMI seleccionado en la lista ³Filtros
WMI´. Ôl filtro se elimina, pero no las vinculaciones a GPOs que
tenga; es necesario eliminar esos vínculos de forma manual, ya sea
configurando otro filtro en su lugar o deshabilitando los filtros WMI en
las GPOs afectadas.

 
 Nos permite crear un nuevo filtro en base al que se encuentre
seleccionado en la lista ³Filtros WMI´.



 Nos permite importar un filtro que anteriormente fuera exportado a un
fchero MOF.
 +

 Nos permite exportar un filtro a un fichero MOF.



 Guarda el filtro con el nombre, descripción y consulta que lo compone.
Ôsto es así tanto en filtros creados como en filtros que se modifican.

ebemos tener en cuenta que no se deben aplicar filtros WMI alegremente, pues
ralentizan el inicio del equipo.

c
&

ompetencia entre contenedores

Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales,
sitios, dominios y unidades organizativas (en adelante OU). Como un usuario, por ejemplo,
estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será
miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se
aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU
hija, de tercer nivel, etc.). Se podría dar el caso, por tanto, de que las GPO¶s contuvieran
políticas que se contradijeran entre sí. Cuando se dan casos de estos, el sistema de GPO¶s está
implementado para asegurar que siempre se aplicarán las políticas, y para ello establece una
forma de prioridad entre éstas por la cual, según dónde estén asignadas, unas prevalecen sobre
otras atendiendo a una serie de reglas que a continuación, con la ayuda de dos figuras,
describiremos.

ë


Sitio
Dominio
Unidad Organizativa Equipo Local

Ôn la figura 1 vemos, de forma resumida, cuál es la prioridad de las GPO¶s. Las GPO¶s de
una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales
a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a
otras; las políticas se suman, sólo se anulan en caso de ser contradictorias entre ellas. Por
ejemplo, si a nivel de dominio habilitamos la política de deshabilitación del panel de control y en
la OU deshabilitamos esta política, y suponemos que ninguna otra de las políticas a nivel de
dominio entra en contradicción con ninguna otra de las de la OU, el resultado que se aplicará a
un objeto contenido dentro de la OU será la suma de ambas GPO¶s, salvo que la política que se
aplica respecto a la deshabilitación del panel de control será la de la OU, no la del dominio, y por
tanto el panel de control será visible.

Ôn la figura 2 vemos un diagrama de flujo que nos explica cómo son aplicadas las GPO¶s;
se puede apreciar el orden en que son leídas y como se actúa en caso de que se contradigan o
no. Como se puede suponer, si hubiera una OU de tercer nivel, ésta prevalecería sobre la hija y
obviamente una de cuarto nivel sobre la de tercer nivel y así sucesivamente:

Se leen las GPO¶s locales ë


Se leen las GPO¶s del Sitio

Ñ
Se suman las coherentes y de las

¿Se contradicen? contradictorias prevalecen las de
Sitio


Se suman

Se leen las GPO¶s del Dominio

Ñ
Se suman las coherentes y de las

¿Se contradicen? contradictorias prevalecen las de
Dominio


Se suman

Se leen las GPO¶s de la OU

Ñ Se suman las coherentes y de las

¿Se contradicen? contradictorias prevalecen las de
OU


Se suman

Se leen las GPO¶s de la OU hija

Se suman las coherentes y de las
Ñ

contradictorias prevalecen las de
¿Se contradicen? la OU hija



Se suman Se aplica el resultado

ompetencia dentro de un mismo contenedor

También se puede dar el caso de que en un mismo contenedor, por ejemplo una OU, se
aplique más de una GPO. Ôsta posibilidad abre otra; la de que puedan contradecirse entre sí las
GPO¶s que son aplicadas a ése contenedor. ¿Cómo se resuelve esta problemática? Muy simple:
prevalecerá la de la GPO que está más alta en la lista de las aplicadas al contenedor, como se
ve en la figura 3.
 Figura 3: Rrevalencia en un mismo contenedor

Ôsto no significa que una GPO anule a las que estén situadas debajo de ella; al igual que
vimos con la competencia entre los objetos sobre los que se pueden aplicar, las políticas en
realidad se suman cuando no se contradicen entre ellas, sólo en el caso de contradecirse es
cuando prevalece la superior (la forma de aplicación es exactamente la misma que veíamos en
el diagrama de flujo de la figura 2, sólo que en cada salto lo que se evalúa es la GPO,
empezando por la inferior y terminando en la superior).

Rrocesamiento en modo de bucle inverso

Cuando tenemos equipos que están en un entorno en el cual se desea tener control sobre
su configuración independientemente del usuario que inicie sesión en él, como por ejemplo
laboratorios, aulas, bibliotecas, quioscos, etc., precisamos de un mecanismo que altere la forma
de ordenación del procesamiento en las directivas de configuración de usuario.

Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien
sesión en los equipos del aula no puedan acceder al entorno de red. Lo lógico será crear una
OU a la que moveremos los equipos del aula, crear una GPO que deshabilite el entorno de red y
vincularla a la OU del aula. Bien, esto no funcionaría, ya que como la deshabilitación del panel
de control es una configuración de usuario y el usuario no pertenece a la OU, no se ve afectado
por esta política. Ôl procesamiento en modo de bucle inverso permite hacer que sí se apliquen
las políticas de configuración de usuario a pesar de no pertenecer el usuario a la OU en la que
se aplica.
 Para activar el procesamiento en modo de bucle inverso debemos situarnos en el árbol de
la consola de directiva de grupo en el nodo ³onfiguración del equipo/Rlantillas
administrativas/Ñistema/Directiva de grupo´ y en panel de detalles hacer doble clic sobre la
política ³ºodo de procesamiento de bucle invertido de la directiva de grupo de usuario´. Se
nos abre un diálogo en el que podremos configurar la política. Hay dos modos de procesamiento
de bucle inverso:

ºodo Efecto
Ñ
 

Las directivas sustituyen a las que se le aplicarían
normalmente al usuario. e esta manera hacemos que las
configuraciones propias del usuario sean las de la GPO, unificando
la configuración para los usuarios a los que tenga alcance.
 
 Ñ  
 , las propias del usuario más las que
especifica la GPO; en caso de contradicción en una política
prevalece la de la GPO sobre las propias del usuario. rsí
conseguimos que determinadas opciones sean iguales para todos
los usuarios a los que alcance y que conserven sus configuraciones
propias que no entren en conflicto con las de la GPO.

D
 

Las GRO¶s se heredan

Las GPO¶s, en el dominio son heredadas; las aplicadas a un contenedor padre, son
aplicadas a su vez a sus hijos, es decir:

1. Las OU¶s de primer nivel heredan del ominio

2. Las OU¶s hijas heredan de las de primer nivel
3. Las OU¶s de nivel 3º heredan de las hijas
.
.
.
n-1. Las OU¶s de nivel n-1º heredan de las de nivel n-2º
n. Las OU¶s de nivel nº heredan de las de nivel n-1º
Si nos fijamos en la figura 4, vemos que el dominio contiene a la OU-padre, ésta a la OU-
hija, que a su vez contiene a la OU-3º quien, por último, contiene a la OU-4º. Ôn base a este
ejemplo explicaremos la herencia.

Figura 4: Vemos en esta figura cómo están contenidas unas O

en otras
 Ôn la siguiente tabla vemos qué política es asignada a cada contenedor; que quede bien
claro que tan sólo se verá, en la pestaña ³irectiva de grupo´ de las propiedades del contenedor,
la GPO que le corresponde en la tabla:

ontenedor GRO asignada

ominio GPO del ominio
UO padre GPO padre
OU hija GPO hija
OU-3º GPO 3ª
OU-4º GPO 4º

Ôn la figura 5º vemos un ejemplo de cómo es asignada la GPO en el contenedor:

Figura 5: La política de grupo ³GRO 3º´ es asignada a la unidad organizativa ³O 3º´

Según esta relación de contenedores y de GPO¶s, en la siguiente tabla vemos, marcado

por ³ ´, qué GPO¶s afectan a qué contenedores; se ve claramente cómo son heredadas las
GPO¶s por los contenedores:

Dominio O padre O hija O 3º O 4º

GRO del
Dominio
GRO padre
GRO hija
GRO 3ª
GRO 4º
 La herencia de las GRO¶s se puede bloquear

Si en la pestaña ³irectiva de grupo´ de las propiedades de una OU activamos la casilla

³Bloquear la herencia de directivas´ (figura 6), conseguiremos que no se apliquen las GPO¶s de
los objetos que la contienen. Siguiendo el ejemplo de antes, si activásemos esta casilla en la OU
Padre el resultado sería:

Dominio O padre O hija O 3º O 4º

GRO del
Dominio
GRO padre
GRO hija
GRO 3ª
GRO 4º

Si la casilla estuviese en la GPO hija en vez de en la padre:

Dominio O padre O hija O 3º O 4º

GRO del
Dominio
GRO padre
GRO hija
GRO 3ª
GRO 4º

Si estuviera activada en ambas:

Dominio O padre O hija O 3º O 4º

GRO del
Dominio
GRO padre
GRO hija
GRO 3ª
GRO 4º
 Figura 6: bloqueando herencia en O ija

Hay que señalar que las políticas de grupo locales(las aplicadas en la misma máquina con
gpedit.msc) no pueden ser bloqueadas.

Los bloqueos de herencia pueden saltarse

Si a una GPO le habilitamos la opción ³no reemplazar´ (figura 7) se saltará los bloqueos,
de forma que siempre será aplicada:
 e esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la GPO
Padre el resultado sería:

Dominio O padre O hija O 3º O 4º

GRO del
Dominio
GRO padre
GRO hija
GRO 3ª
GRO 4º

Si activamos el bloqueo en la OU Hija y no reemplazar en la GPO del ominio:

Dominio O padre O hija O 3º O 4º

GRO del
Dominio
GRO padre
GRO hija
GRO 3ª
GRO 4º

c 
&
 Se tiene que tener en cuenta principalmente la estructura presente y futura de la
organización que se administra, la estructura administrativa del dominio y la forma deseada de
procesamiento en sí de las directivas, para crear el modelo que mejor responda a nuestras
necesidades e intereses. Como las herramientas para establecer las políticas en el dominio son
las GPO¶s, que son conjuntos de una o más políticas, lo primero definiremos los tipos de GPO¶s
según su diseño, para posteriormente estudiar las estrategias según diferentes conceptos.

c ué tipos de diseños tenemos de GRO¶s

Tenemos tres tipos de diseños de GPO¶s según las políticas que configuran:

1. GRO de directiva única: cuando está orientada a un solo tipo de configuración (por
ejemplo propiedades de rctive esktop). Ôs adecuado para organizaciones que
delegan responsabilidades administrativas en muchos usuarios.
2. GRO de directiva múltiple: cuando está orientada a varios tipos de configuración
(por ejemplo, configuración de IÔ, de explorador de Windows, de instalación de
software, etc.). rdecuado para organizaciones en las que la administración esté
centralizada.
3. GRO de directiva dedicada: cuando configura sólo políticas de equipo o de
usuario. rumenta el número de GPO¶s a ser procesadas en el inicio de sesión,
alargando éste, pero es útil para aislar los problemas en la aplicación de una GPO.

c ué estrategias de aplicación de GRO¶s hay?

Hay dos estrategias de en función de cómo serán aplicadas las GPO¶s:

1. Ror capas: en esta estrategia se busca el que aparezca en el menor número posible
de GPO¶s un tipo de configuración en concreto. e esta manera, se parte de una
política común a todo el dominio aplicada a éste, en la cual no aparecen las
configuraciones que son individuales para una OU .Pongamos que la configuración
de escritorio es diferente en cada OU y la configuración de Proxy para el Internet
Ôxplorer es igual en todas las OU¶s; definiríamos a nivel de dominio la
configuración de Proxy (ya sea con una GPO de directiva única o unida con otras
directivas comunes a todas las OU¶s en una directiva múltiple) y crearíamos una
GPO por OU con la configuración de escritorio propia de la OU en una directiva
única:
a. †: La administración es más simple, al estar localizados perfectamente
los puntos de aplicación de cada configuración y ser más fácil realizar
cambios por tener que hacerlo en menos GPO¶s.
b.
  : Ôl tiempo de inicio de sesión se alarga, al tener que
procesarse múltiples GPO¶s.
c. (
.: Para organizaciones cuya configuración de seguridad es
común y con cambios frecuentes de directivas.
2. ºonolítico: Lo que se busca con este enfoque es que se apliquen el menor número
posible de políticas; el ideal sería que se aplique tan sólo una. Para ello se
configura una única GPO de directiva múltiple en cada OU y no se aplica GPO
alguna en el dominio.
a. †: el inicio de sesión está optimizado para que sea lo más rápido
posible.
 b.  : la administración es más trabajosa; si necesitamos hacer un
cambio de configuración común a todo el dominio, tendremos que retocar
tantas GPO¶s como OU¶s tengamos.
c. (
.: Para organizaciones en las cuales se pueden clasificar en muy
pocos grupos la asignación de las directivas (digamos pocas OU¶s,) de
forma que el aumento de las tareas administrativas orientadas a las
directivas no sea preocupante.

c ué estrategias hay en función del trabajo?

Ôn función de la forma de la organización de realizar su trabajo, hay dos estrategias:

1. Ror roles: Se utiliza una estructura de OU¶s que refleje los tipos de trabajo de la
organización, como pueda ser comerciales, administrativos, marketing, etc.
rplicando el menor número posible de GPO¶s. igamos que es un diseño por
capas en el cual las GPO¶s de directiva única de las OU¶s son fusionadas en una
única GPO de directiva múltiple por OU.
a. †: Los inicios de sesión son más rápidos que en una estrategia por
capas.
b.  : La administración es algo más trabajosa que en una estrategia
por capas.
c. (
.: Para organizaciones en las cuales el trabajo está muy definido
en función a roles.
2. Ror equipos: Se basa en vincular todas las GPO¶s al dominio en vez de a las OU¶s;
el alcance de las GPO¶s se filtrará en base a grupos de seguridad. e esta forma
se aplicarán una GPO a todos los usuarios pertenecientes a un grupo de seguridad
determinado independientemente de la OU a la que pertenezcan.
a. †: Se minimizan las vinculaciones de GPO¶s a OU¶s y se centraliza la
administración de las GPO¶s.
b.  : Ôl inicio de sesión será más lento cuantos más equipos de
trabajo existan.
c. (
.: Para organizaciones en las que no corresponda el trabajo a
realizar según roles, sino según tareas (por ejemplo, en un proyecto de
desarrollo de software habrá desarrolladores, comerciales, administrativos,
directivos, etc., que necesitarán determinadas configuraciones comunes a
ellos, como la carpeta del proyecto; un comercial puede estar en más de un
proyecto y necesitar acceso a las carpetas de los proyectos en los que está
implicado). También es adecuado cuando se quiere que la administración de
las políticas esté centralizada y sea muy flexible a las cambiantes
necesidades de la organización.

c ué estrategias hay en función del tipo de control?

Cuando utilizamos la delegación del control de las GPO¶s tenemos dos estrategias para
realizarlo, que se corresponden con los diseños:

1. Diseño de control centralizado: Ôn este diseño los administradores de OU tienen

delegado el control de las GPO¶s, pero a su vez se conserva un control
centralizado. Para hacerlo, las políticas a nivel de dominio llevarán activada la
opción ³No reemplazar´. Ôs útil para organizaciones que quieren que los
 administradores de OU¶s tengan libertad de acción pero, a su vez, haya
configuraciones comunes a todo el dominio que no puedan ser bloqueadas.
2. Diseño de control distribuido: Cuando, además de tener control de su OU, un
administrador de OU pueda bloquear las políticas del dominio. Ôs adecuado para
organizaciones que quieren minimizar el número de dominios sin perder la
autonomía de las OU¶s. r pesar de la capacidad de los administradores de OU de
bloquear políticas, determinadas configuraciones, como por ejemplo de seguridad,
siguen pudiendo estar centralizadas cuando se active en ellas la opción ³No
reemplazar´.

c ué estrategia seguir?

Ôstas estrategias que hemos descrito, no son más que una categorización de estrategias
según las necesidades y prestaciones deseadas. Cada organización es un caso totalmente
distinto, y por ello, cada organización deberá llevar la estrategia que más le convenga. Ôn
algunos casos la estrategia deseable será alguna de las estrategias anteriores tal y como han
sido descritas; en otras habrán de ser personalizadas y a veces habrán de mezclarse dos o más
de ellas, e incluso estando retocadas las integrantes de la mezcla.

M  
J/

! Principalmente los apuntes tomados en las clases de MCSÔ impartidas por 

 † *
en CICÔ.
! Libros en línea de å %0111-

2 
! (!
å %0111
! ³ 
Jå %0111( 

!Ñ
3

J  
 J   Ñ´
de la editorial Mc Graw Hill
ÑM/4554604478

http://freyes.svetlian.com/GPOS/GPOS.htm