Escolar Documentos
Profissional Documentos
Cultura Documentos
Un objeto de directiva de grupo (GPO: Group Policy Object)
. 3
. Por ejemplo, tenemos políticas para:
c
Podemos definir dos categorías de tipos troncales de directivas:
1. Según su J
2. Según su J
1.
: ¿Cuántos caracteres tiene una contraseña? ¿Cada cuanto
tiempo debe ser cambiada ésta?, etc. Pueden ser aplicadas:
2.
!": ¿Quién tiene acceso al panel
de control? ¿Cuál es el tamaño máximo del archivo de registro de sistema? Pueden
ser aplicadas:
e. J
# : que se divide en:
i. Configuración de J%
ii. Configuración de å %
iii. administrativas
f. J
, que al igual que la de Windows se divide en:
i. Configuración de J%
ii. Configuración de å %s
iii. Plantillas
runque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro
de éstas son diferentes las políticas que se encuentran.
1. # ': son aplicadas únicamente en el equipo que las tiene asignadas
independientemente del dominio al que pertenezcan. Son modificadas con
³gpedit.msc´. Ôstas son las únicas políticas que se aplican a los equipos que no
están en un dominio, como servidores independientes(stand alone) o clientes en
red igual a igual (peer to peer).
2. Ñ (
!: se aplican para todos los equipos y/o usuarios de un
sitio, independientemente del dominio del mismo bosque al que pertenezcan.
4. O
$
(
!: se aplican únicamente a los equipos
y/o usuarios que pertenezcan a la propia unidad organizativa (OU).
c
)#
Qué mejor forma de ver cómo se crea una GPO que poniendo un caso práctico. Vamos a
obligar a los usuarios del dominio a hacer CTRL+rLT+SUPR para poder iniciar sesión. Para ello
abrimos ³O
!# (
!´. Hacemos clic derecho sobre el nodo con el
nombre del dominio y pulsamos ³Rropiedades´:
Ôn la ventana que se abre pulsamos la pestaña ³Directiva de Grupo´:
Ya tenemos creada la GPO; ahora debemos modificar la política para que obligue a los
usuarios del dominio a hacer CTRL+rLT+SUPR para iniciar sesión en los equipos.
r su vez, cuando la casilla está marcada podemos elegir entre las opciones:
D Hace que la política quede habilitada. Ôsto significa que se
realizará la configuración que la propia política define
con su nombre y por tanto, en nuestro ejemplo, provoca
que no sea necesario que el usuario pulse
CTRL+rLT+SUPR para iniciar sesión.
* Cuando se deshabilita la política, se impide que se realice
la configuración que la propia política define con su
nombre. Por tanto, en el ejemplo, obliga al usuario a pulsar
CTRL+rLT+SUPR para iniciar sesión.
c
!+
r pesar de que "# es creada en un contenedor, ésto sólo es una apariencia.
Realmente
$
. Ôsto nos permite crear una sola GPO y aplicarla en cualquier parte del
bosque al que pertenece el dominio donde está alojada la GPO; es decir, a todos los sitios,
dominios y OU¶s del bosque. Imaginemos un bosque con tres dominios; agregando a cada
dominio la GPO que creamos antes, obligaremos a pulsar CTRL+rLT+SUPR a los usuarios de
los tres dominios, habiendo creado una única GPO.
Para vincular una política pulsamos ³rgregar´ en la pestaña ³Directiva de grupo´ de las
propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente diálogo:
Seleccionamos aquí la GPO que queremos vincular. Hay tres formas de buscarlas, una
por pestaña:
Simplemente tendremos que señalar la GPO que queramos vincular y pulsar ³rceptar´
para hacerlo.
c
rccedemos a las propiedades de la GPO pulsando el botón ³Rropiedades´ de la pestaña
³Directiva de grupo´ de las propiedades de un contenedor. Ôn la ventana de propiedades
encontramos tres pestañas:
Ñ
"#(. Podemos asignar
permisos a los siguientes objetos:
1. Usuarios
2. Ôquipos
3. Grupos
4. Principios de seguridad
incorporados
ë
å ) *
(sólo en +º
Windows
Py
"#! Ôstas
Windows características pueden ser:
Server 1. Un patrón de nombre de
2003 y con equipo
al menos 2. Tipo de Sistema Operativo
un 3. Nivel de Service Pack
controlador 4. Cualquier característica del
de dominio equipo que podamos
que sea consultar con WQL
Windows
Server Los equipos con Windows
2003) 2000 ignoran este tipo de filtros y
procesan las GPOs sin tener en
cuenta si por sus características
deberían hacerlo o no. Por ello, una
forma de ejecutar políticas que sólo
se apliquen a equipos con Windows
2000 es filtrar con WMI poniendo
que el tipo de SO es Windows 2000
o que el tipo de SO no es Windows
P. Si queremos aplicar políticas con
filtros WMI a equipos con tan sólo
P o 2003, será necesario que nos
llevemos las cuentas de los Windows
2000 a otra OU en la que no estaran
vinculadas esas GPOs.
Restaña ³Ñeguridad´
La pestaña ³Ñeguridad´ nos permite realizar dos tareas con las GPO¶s:
1. ë
, permitiendo que sea sólo aplicada a los usuarios,
equipos, grupos y/o Principios de seguridad incorporados (objetos ³Builtin´, etc.).
2.
, permitiendo así la modificación, etc., a determinados
usuarios, equipos, grupos y/o Principios de seguridad incorporados.
Hay que tener en cuenta que %
"#, no se puede especificar
únicamente a algunas políticas de la GPO, si no que se hace para todas las contenidas en la
GPO.
Para realizar el filtrado del alcance y la delegación del control se utilizan permisos que se
aplican a los objetos en que están especificados. Ôstos permisos pueden ser concedidos o
denegados, prevaleciendo la denegación sobre la concesión. e forma predeterminada estas
son las entradas de seguridad de una GPO (se indican aquellos permisos que están,
concedidos):
Restaña ³Filtro Wº ´
La pestaña ³ë
å ´ nos permite filtrar el alcance de la GPO en función a
características de los equipos que están dentro del alcance de la GPO. Para acceder a estas
características se utilizan búsquedas WQL, el lenguaje de búsqueda en WMI basado en SQL.
Sólo se puede aplicar un filtro WMI a una GPO, filtro WMI que consiste en una o más búsquedas
WQL. rl igual que pasaba con los permisos establecidos en la pestaña seguridad, el filtro es
aplicado a toda la GPO, no se puede aplicar a determinadas directivas solamente.
Para establecer los filtros WMI (aplicables sólo en Windows P y Windows Server 2003;
además, es necesario que al menos un controlador de dominio sea un Windows Server 2003) se
hace desde la pestaña ³Filtro WMI´, marcamos la opción ³Ôste filtro´ y pulsamos el botón
³Ôxaminar/administrar«´, apareciendo el cuadro de diálogo ³rdministrar filtros WMI´, donde
podremos crear filtros, modificarlos, eliminarlos, importar/exportar y seleccionar el que queramos
aplicar. Para crear, modificar y eliminar deberemos hacer click sobre el botón ³rvanzadas >>´
con lo que el cuadro de diálogo queda así:
Los botones y sus acciones son:
Motón rcción
(
rplica a la GPO el filtro WMI que esté seleccionado en la lista ³Filtros
WMI´ y cierra el cuadro de diálogo.
Cierra el cuadro de diálogo sin aplicar ningún cambio al filtrado WMI
de la GPO.
(! Muestra la ayuda de administración de filtros WMI.
Nos permite especificar qué columnas aparecerán en la lista de filtros.
e forma predeterminada aparecen todas, es decir,
,
, ,
%
y ,
%
. La columna
- siempre aparece en la lista de filtros, no es una columna que
se pueda ocultar.
(
$ Ôxpande o contrae el cuadro de diálogo para ocultar o mostrar en la
parte de abajo los controles de edición de filtros WMI.
Nos permite crear un nuevo filtro WMI.
Nos permite eliminar el filtro WMI seleccionado en la lista ³Filtros
WMI´. Ôl filtro se elimina, pero no las vinculaciones a GPOs que
tenga; es necesario eliminar esos vínculos de forma manual, ya sea
configurando otro filtro en su lugar o deshabilitando los filtros WMI en
las GPOs afectadas.
Nos permite crear un nuevo filtro en base al que se encuentre
seleccionado en la lista ³Filtros WMI´.
Nos permite importar un filtro que anteriormente fuera exportado a un
fchero MOF.
+
Nos permite exportar un filtro a un fichero MOF.
Guarda el filtro con el nombre, descripción y consulta que lo compone.
Ôsto es así tanto en filtros creados como en filtros que se modifican.
ebemos tener en cuenta que no se deben aplicar filtros WMI alegremente, pues
ralentizan el inicio del equipo.
c
&
Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales,
sitios, dominios y unidades organizativas (en adelante OU). Como un usuario, por ejemplo,
estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será
miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se
aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU
hija, de tercer nivel, etc.). Se podría dar el caso, por tanto, de que las GPO¶s contuvieran
políticas que se contradijeran entre sí. Cuando se dan casos de estos, el sistema de GPO¶s está
implementado para asegurar que siempre se aplicarán las políticas, y para ello establece una
forma de prioridad entre éstas por la cual, según dónde estén asignadas, unas prevalecen sobre
otras atendiendo a una serie de reglas que a continuación, con la ayuda de dos figuras,
describiremos.
ë
Sitio
Dominio
Unidad Organizativa Equipo Local
Ôn la figura 1 vemos, de forma resumida, cuál es la prioridad de las GPO¶s. Las GPO¶s de
una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales
a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a
otras; las políticas se suman, sólo se anulan en caso de ser contradictorias entre ellas. Por
ejemplo, si a nivel de dominio habilitamos la política de deshabilitación del panel de control y en
la OU deshabilitamos esta política, y suponemos que ninguna otra de las políticas a nivel de
dominio entra en contradicción con ninguna otra de las de la OU, el resultado que se aplicará a
un objeto contenido dentro de la OU será la suma de ambas GPO¶s, salvo que la política que se
aplica respecto a la deshabilitación del panel de control será la de la OU, no la del dominio, y por
tanto el panel de control será visible.
Ôn la figura 2 vemos un diagrama de flujo que nos explica cómo son aplicadas las GPO¶s;
se puede apreciar el orden en que son leídas y como se actúa en caso de que se contradigan o
no. Como se puede suponer, si hubiera una OU de tercer nivel, ésta prevalecería sobre la hija y
obviamente una de cuarto nivel sobre la de tercer nivel y así sucesivamente:
Se suman
También se puede dar el caso de que en un mismo contenedor, por ejemplo una OU, se
aplique más de una GPO. Ôsta posibilidad abre otra; la de que puedan contradecirse entre sí las
GPO¶s que son aplicadas a ése contenedor. ¿Cómo se resuelve esta problemática? Muy simple:
prevalecerá la de la GPO que está más alta en la lista de las aplicadas al contenedor, como se
ve en la figura 3.
Figura 3: Rrevalencia en un mismo contenedor
Ôsto no significa que una GPO anule a las que estén situadas debajo de ella; al igual que
vimos con la competencia entre los objetos sobre los que se pueden aplicar, las políticas en
realidad se suman cuando no se contradicen entre ellas, sólo en el caso de contradecirse es
cuando prevalece la superior (la forma de aplicación es exactamente la misma que veíamos en
el diagrama de flujo de la figura 2, sólo que en cada salto lo que se evalúa es la GPO,
empezando por la inferior y terminando en la superior).
Cuando tenemos equipos que están en un entorno en el cual se desea tener control sobre
su configuración independientemente del usuario que inicie sesión en él, como por ejemplo
laboratorios, aulas, bibliotecas, quioscos, etc., precisamos de un mecanismo que altere la forma
de ordenación del procesamiento en las directivas de configuración de usuario.
Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien
sesión en los equipos del aula no puedan acceder al entorno de red. Lo lógico será crear una
OU a la que moveremos los equipos del aula, crear una GPO que deshabilite el entorno de red y
vincularla a la OU del aula. Bien, esto no funcionaría, ya que como la deshabilitación del panel
de control es una configuración de usuario y el usuario no pertenece a la OU, no se ve afectado
por esta política. Ôl procesamiento en modo de bucle inverso permite hacer que sí se apliquen
las políticas de configuración de usuario a pesar de no pertenecer el usuario a la OU en la que
se aplica.
Para activar el procesamiento en modo de bucle inverso debemos situarnos en el árbol de
la consola de directiva de grupo en el nodo ³onfiguración del equipo/Rlantillas
administrativas/Ñistema/Directiva de grupo´ y en panel de detalles hacer doble clic sobre la
política ³ºodo de procesamiento de bucle invertido de la directiva de grupo de usuario´. Se
nos abre un diálogo en el que podremos configurar la política. Hay dos modos de procesamiento
de bucle inverso:
ºodo Efecto
Ñ
Las directivas sustituyen a las que se le aplicarían
normalmente al usuario. e esta manera hacemos que las
configuraciones propias del usuario sean las de la GPO, unificando
la configuración para los usuarios a los que tenga alcance.
Ñ
, las propias del usuario más las que
especifica la GPO; en caso de contradicción en una política
prevalece la de la GPO sobre las propias del usuario. rsí
conseguimos que determinadas opciones sean iguales para todos
los usuarios a los que alcance y que conserven sus configuraciones
propias que no entren en conflicto con las de la GPO.
D
Las GPO¶s, en el dominio son heredadas; las aplicadas a un contenedor padre, son
aplicadas a su vez a sus hijos, es decir:
Hay que señalar que las políticas de grupo locales(las aplicadas en la misma máquina con
gpedit.msc) no pueden ser bloqueadas.
Si a una GPO le habilitamos la opción ³no reemplazar´ (figura 7) se saltará los bloqueos,
de forma que siempre será aplicada:
e esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la GPO
Padre el resultado sería:
c
&
Se tiene que tener en cuenta principalmente la estructura presente y futura de la
organización que se administra, la estructura administrativa del dominio y la forma deseada de
procesamiento en sí de las directivas, para crear el modelo que mejor responda a nuestras
necesidades e intereses. Como las herramientas para establecer las políticas en el dominio son
las GPO¶s, que son conjuntos de una o más políticas, lo primero definiremos los tipos de GPO¶s
según su diseño, para posteriormente estudiar las estrategias según diferentes conceptos.
Tenemos tres tipos de diseños de GPO¶s según las políticas que configuran:
1. GRO de directiva única: cuando está orientada a un solo tipo de configuración (por
ejemplo propiedades de rctive esktop). Ôs adecuado para organizaciones que
delegan responsabilidades administrativas en muchos usuarios.
2. GRO de directiva múltiple: cuando está orientada a varios tipos de configuración
(por ejemplo, configuración de IÔ, de explorador de Windows, de instalación de
software, etc.). rdecuado para organizaciones en las que la administración esté
centralizada.
3. GRO de directiva dedicada: cuando configura sólo políticas de equipo o de
usuario. rumenta el número de GPO¶s a ser procesadas en el inicio de sesión,
alargando éste, pero es útil para aislar los problemas en la aplicación de una GPO.
1. Ror capas: en esta estrategia se busca el que aparezca en el menor número posible
de GPO¶s un tipo de configuración en concreto. e esta manera, se parte de una
política común a todo el dominio aplicada a éste, en la cual no aparecen las
configuraciones que son individuales para una OU .Pongamos que la configuración
de escritorio es diferente en cada OU y la configuración de Proxy para el Internet
Ôxplorer es igual en todas las OU¶s; definiríamos a nivel de dominio la
configuración de Proxy (ya sea con una GPO de directiva única o unida con otras
directivas comunes a todas las OU¶s en una directiva múltiple) y crearíamos una
GPO por OU con la configuración de escritorio propia de la OU en una directiva
única:
a. : La administración es más simple, al estar localizados perfectamente
los puntos de aplicación de cada configuración y ser más fácil realizar
cambios por tener que hacerlo en menos GPO¶s.
b.
: Ôl tiempo de inicio de sesión se alarga, al tener que
procesarse múltiples GPO¶s.
c. (.: Para organizaciones cuya configuración de seguridad es
común y con cambios frecuentes de directivas.
2. ºonolítico: Lo que se busca con este enfoque es que se apliquen el menor número
posible de políticas; el ideal sería que se aplique tan sólo una. Para ello se
configura una única GPO de directiva múltiple en cada OU y no se aplica GPO
alguna en el dominio.
a. : el inicio de sesión está optimizado para que sea lo más rápido
posible.
b.
: la administración es más trabajosa; si necesitamos hacer un
cambio de configuración común a todo el dominio, tendremos que retocar
tantas GPO¶s como OU¶s tengamos.
c. (.: Para organizaciones en las cuales se pueden clasificar en muy
pocos grupos la asignación de las directivas (digamos pocas OU¶s,) de
forma que el aumento de las tareas administrativas orientadas a las
directivas no sea preocupante.
1. Ror roles: Se utiliza una estructura de OU¶s que refleje los tipos de trabajo de la
organización, como pueda ser comerciales, administrativos, marketing, etc.
rplicando el menor número posible de GPO¶s. igamos que es un diseño por
capas en el cual las GPO¶s de directiva única de las OU¶s son fusionadas en una
única GPO de directiva múltiple por OU.
a. : Los inicios de sesión son más rápidos que en una estrategia por
capas.
b.
: La administración es algo más trabajosa que en una estrategia
por capas.
c. (.: Para organizaciones en las cuales el trabajo está muy definido
en función a roles.
2. Ror equipos: Se basa en vincular todas las GPO¶s al dominio en vez de a las OU¶s;
el alcance de las GPO¶s se filtrará en base a grupos de seguridad. e esta forma
se aplicarán una GPO a todos los usuarios pertenecientes a un grupo de seguridad
determinado independientemente de la OU a la que pertenezcan.
a. : Se minimizan las vinculaciones de GPO¶s a OU¶s y se centraliza la
administración de las GPO¶s.
b.
: Ôl inicio de sesión será más lento cuantos más equipos de
trabajo existan.
c. (.: Para organizaciones en las que no corresponda el trabajo a
realizar según roles, sino según tareas (por ejemplo, en un proyecto de
desarrollo de software habrá desarrolladores, comerciales, administrativos,
directivos, etc., que necesitarán determinadas configuraciones comunes a
ellos, como la carpeta del proyecto; un comercial puede estar en más de un
proyecto y necesitar acceso a las carpetas de los proyectos en los que está
implicado). También es adecuado cuando se quiere que la administración de
las políticas esté centralizada y sea muy flexible a las cambiantes
necesidades de la organización.
Cuando utilizamos la delegación del control de las GPO¶s tenemos dos estrategias para
realizarlo, que se corresponden con los diseños:
c ué estrategia seguir?
Ôstas estrategias que hemos descrito, no son más que una categorización de estrategias
según las necesidades y prestaciones deseadas. Cada organización es un caso totalmente
distinto, y por ello, cada organización deberá llevar la estrategia que más le convenga. Ôn
algunos casos la estrategia deseable será alguna de las estrategias anteriores tal y como han
sido descritas; en otras habrán de ser personalizadas y a veces habrán de mezclarse dos o más
de ellas, e incluso estando retocadas las integrantes de la mezcla.
M
J/
http://freyes.svetlian.com/GPOS/GPOS.htm