DIRECTIVAS DE GRUPO
GPEDIT.MSC [Group Policy Editor]
DIRECTIVAS DE GRUPO
Las directivas de grupo son conjuntos de reglas para administrar usuarios y
mquinas. Estas reglas solo son efectivas bajo ciertas condiciones: sistemas
posteriores a Windows 2000. Las directivas de grupo han sido varias veces
revisadas y como consecuencia, algunas de ellas solo son aplicables a una
cierta versin de Windows. Por ejemplo, algunas directivas son compatibles
con Windows 2000, XP Profesional, Vista, 7, Server 2003 y 2008, y otras solo
con XP y Server 2003, o solo con Vista, 7 y 2008.
Las Directivas de Grupo se basan en plantillas administrativas amigables
con opciones de configuracin del sistema al que se aplicarn. Por ejemplo,
una opcin llamada "Requerir una configuracin especfica de Wallpaper"
modificar el registro del sistema aadiendo una entrada que mantenga
dicho valor.
La mayora de opciones de las Directivas de Grupo tiene tres valores
posibles:
Activado: Indica que esta opcin ha sido configurada.
Desactivado: Indica que esta opcin ha sido desactivada.
Sin configurar: Indica que esta opcin no ha sido activada ni
desactivada. Al elegir "Sin configurar", el Directiva de Grupo no
especifica ninguna opcin, y puede que otra opcin tome
precedencia.
DIRECTIVA LOCAL Y DE ACTIVE DIRECTORY
Hay dos tipos de directivas. El primer tipo es la directiva local (%SystemRoot
%\System32\GroupPolicy). Cada mquina corriendo con Windows tiene una
o ms directivas: la directiva local (si estamos en un grupo de trabajo) y la
de Active Directory o de grupo (si estamos en un dominio). La directiva de
Active Directory se almacena en el volumen Sysvol (elegido durante la
instalacin), en un contenedor llamado "Objetos de directiva de grupo",
desde donde se pueden enlazar con otros objetos de AD, como OUs,
Dominios o sitios.
Cuando creamos un dominio, se crean dos directivas de grupo de AD:
"Default Domain Controllers Policy" y "Default Domain Policy". La primera es
aplicable a todos los controladores de dominio. La segunda es aplicable al
dominio de AD. A parte de estas, se pueden crear otras y enlazarlas con
ciertos objetos del dominio.
LA DIRECTIVA LOCAL
Windows Vista, 2008 y 7 soportan varias directivas sin pertenecer a un
dominio. En versiones anteriores, solo haba una directiva. En Windows Vista
se introdujo el concepto MLGPO (Multple LGPO). Podemos tener una LGPO
general de tipo "caf con leche para todos" (usuarios y mquina). Tambin
podemos tener una LGPO para cada tipo de usuario (administradores y no
�administradores). Por ltimo podemos asignar una LGPO a cada usuario
local. El orden de aplicacin es el mismo en que se han citado las tres
posibilidades:
LGPO general
LGPO para administradores y no administradores
LGPO para usuarios especficos
Por defecto, se aplican las directivas locales antes que las de dominio. Si
que si estamos administrando un dominio, y nos olemos un conflicto, puede
ser una buena idea desactivar las directivas locales corriendo con vista,
2008 o 7. Esto se hace en "Configuracin del equipo\Directivas\Plantillas
administrativas\Sistema\Directiva de grupo\Desactivar el procesamiento de
objetos de directiva de grupo local".
Si lo que queremos es tocar solo las configuraciones de seguridad de la
directiva
general,
podemos
hacerlo
desde
Inicio\Herramientas
administrativas\Directiva de seguridad local.
Tras cualquier cambio, refrescamos la directiva mediante "gpupdate" si
queremos que se aplique, ya que puede pasar bastante tiempo hasta que se
actualice. De cualquier modo, es posible modificar el tiempo que tarda la
directiva en actualizarse.
Para aadir directivas de grupo para administradores, no administradores y
usuarios concretos, debemos hacer lo siguiente:
1. Ejecutar mmc.
2. Archivo\Agregar o quitar complemento
3. Agregar el complemento "Editor de objetos de directiva de grupo". En
el dilogo "Seleccionar un objeto de directiva de grupo", hacer clic en
"Examinar" y elegir el usuario o tipo de usuario destinatario. Aceptar.
4. Ahora, aparece la directiva en la consola.
GPO's
Los Objetos de Directiva de Grupo (GPO) encapsulan la configuracin de los
ficheros de Directiva de Grupo, para simplificar su administracin. Por
ejemplo, podemos tener diferentes directivas de grupo para usuarios y
equipos en diferentes departamentos. Basndonos en esta idea, se puede
crear una GPO para los miembros del departamento "Ventas" y otra GPO
para los miembros del departamento "Ingeniera", y aplicar cada GPO a su
OU correspondiente.
Se pueden aplicar configuraciones de Directiva de Grupo tanto a dominios
como a OU's. Existe una relacin de herencia por defecto. Es decir, una GPO
�a nivel de OU que no especifique una opcin, la hereda de otra OU superior
o del dominio. En caso de conflicto entre las configuraciones de las GPO a
distintos niveles, siempre prevalece la del nivel ms especfico.
CREAR DIRECTIVAS DE GRUPO
Vamos a suponer el siguiente ejemplo. Los usuarios de Contabilidad de la
planta 1 estn constantemente instalando programitas innecesarios para
hacer cosas innecesarias, generando constantemente problemas al
administrador. Lo primero es avisar de que "El uso inapropiado" conllevar
el bloqueo de la mquina. La directiva de grupo que vamos a crear, informa
a los usuarios de esto.
Las GPO se crean en la Consola de Administracin de Directivas de Grupo
(GPMC). Para crear un GPO usando el GPMC hay que seguir los siguientes
pasos:
1. Inicio\Ejecutar \Escribir "mmc" y Aceptar.
2. En la nueva ventana "Consola": men Archivo\"Agregar o quitar
complemento". En la nueva ventana, elegir "Administracin de
Directiva de Grupo" y hacer clic en "Agregar". Aceptar.
3. Ahora
el
GPMC
ya
est
disponible.
Inicio\Herramientas
administrativas\Administracin de directivas de grupo.
4. En el panel izquierdo de GPMC desplegar "Bosque\Dominios\tu
nombre de dominio (en mi caso seragul.edu). Ahora sobre una OU
creada previamente, hacer clic derecho y elegir "Crear una GPO en
este dominio y vincularlo aqu".
5. Cuando la ventana "Nueva GPO" aparece, introducimos el nombre
"Mensaje de advertencia". Aceptar.
6. La nueva GPO aparece en el panel derecho. Hacemos clic derecho
sobre ella y elegimos "editar".
7. Aparece el "editor de administracin de directivas de grupo". En el
panel izquierdo, expandimos lo siguiente: Configuracin de
equipo\Directivas\Configuracin
de
Windows\Configuracin
de
seguridad\Directivas locales\Opciones de seguridad.
8. En el panel derecho, buscamos "Inicio de sesin interactivo: texto de
mensaje para los usuarios que intentan inicar una sesin". Hacemos
doble clic sobre dicha entrada.
9. En la ventana hacemos clic en la casilla "Definir esta configuracin de
directiva en la plantilla". Despus escribimos en la entrada de texto lo
siguiente: "El uso para fines no autorizados de este ordenador puede
suponer el bloqueo inmediato del mismo.". Aceptar.
10.Cerramos el editor.
11.En la ventana "Administracin de directivas de grupo", refrescamos
mediante el botn "Actualizar".
�La prxima vez que intentemos inicar sesin (Ctrl+Alt+Supr) en un cliente
perteneciente a la OU "seragul.dom\contabilidad\planta 1" (en mi caso) se
nos mostrar el mensaje.
NOTA: Las directivas pueden tardar en aplicarse. Hay que refrescar la
directiva o no veremos los cambios inmediatamente. Para actualizar la
directiva, ejecutamos el comando "gpupdate"
ENLAZAR DIRECTIVAS DE GRUPO CON AD
Ahora vamos a suponer que habitualmente se da el problema siguiente. Los
usuarios llenan sus escritorios de basura que no usan. Esto ralentiza la
mquina y finalmente llaman al DA. El DA, que no quiere perder ms el
tiempo con esto, decide bloquear los escritorios de los usuarios.
Al ser un problema generalizado, vamos a crear primero la directiva, y
despus la vincularemos a aquellos OU's que lo requieran.
1. En el panel izquierdo de la ventana "Administracin de Directivas de
Grupo" desplegamos los nodos "Bosque\Dominios\Tu nombre de
dominio\Objetos de directiva de grupo"
2. y hacemos clic derecho sobre el ltimo y elegimos la opcin nuevo.
3. Ponemos el texto "Escritorio bloqueado" como nombre a la GPO y
aceptamos. Ahora aparecer en el panel derecho.
4. Hacemos clic derecho sobre la GPO y elegimos la opcin editar.
5. En la seccin de configuracin de usuario, elegimos "Plantillas
Administrativas\Escritorio". Buscamos en el panel derecho la opcin
"Ocultar y Desactivar todos los elementos del escritorio". Hacemos
doble clic sobre ella y seleccionamos "Habilitado". Ya podemos cerrar
el editor de la GPO.
6. Ahora, una vez creada la GPO, vamos vincularla a una OU. En mi
caso, la voy a vincular a "seragul.org\contabilidad\planta 1". En el
panel izquierdo de la ventana "Administracin de directivas de
grupo", hacemos clic derecho en la OU seleccionada, y elegimos
"Vincular a un GPO existente". En la ventana que aparece,
seleccionamos el GPO "Escritorio bloqueado" (que hemos creado
previamente).
7. Finalemente actualizamos la nueva configuracin haciendo clic en el
botn "Actualizar" del "Administrador de Directivas de Grupo". Ahora
�ya podemos iniciar sesin en una mquina perteneciente a la OU a la
que vinculamos la GPO, y comprobar como el escritorio est
bloqueado.
LAS DIRECTIVAS DE GRUPO POR DEFECTO
Como ya hemos comentado anteriormente, cuando creamos un dominio,
se crean dos directivas por defecto en AD: "Default Domain Controllers
Policy" y "Default Domain Policy". La primera es aplicable a todos los
controladores de dominio. La segunda es aplicable al dominio de AD. La
directiva "Default Domain Controllers Policy" tiene la mayor precedencia
sobre las directivas enlazadas a la OU "Controladores de dominio". La
directiva "Default Domain Policy" tiene la mayor precedencia sobre las
directivas enlazadas al dominio.
La directiva "Default Domain Policy" debera ser editada solamente para
administrar directivas de cuenta, a saber:
Directiva de contrasea.
Directiva de bloqueo de cuenta.
Directiva Kerberos.
De hecho, debera ser la nica GPO a travs de la que activar directivas
de cuenta. Para otras directivas, podemos crear nuestras propias
directivas y enlazarlas al dominio, o a la OU deseada.
Puesto que pueden haber muchas directivas a diferente nivel... Qu
directiva se aplica? Siempre se aplicar la directiva ms concreta.
RELACIN DE HERENCIA
Las directivas heredan la configuracin de otras directivas cuando
mantienen una relacin de descendencia. Sin embargo a veces se prefiere
que esta herencia no se produzca. En tal caso, basta con abrir la consola de
administracin de directivas de grupo, y hacer clic derecho sobre la OU en la
que la herencia no se producir. Entonces elegimos "Bloquear herencia".
Bloquear la herencia en una directiva, implica que no heredar directivas del
dominio, ni tampoco sus directivas descendientes. Sin embargo, s se
producir herencia a partir de la directiva hacia abajo.
Del mismo modo se puede forzar la herencia de una directiva hacia abajo, si
sobre la directiva (asociada a una OU, por ejemplo), hacemos clic derecho y
elegimo "Exigida".
FILTRADO DE DIRECTIVAS DE GRUPO
En principio afectar a todos los usuarios y mquinas. Se puede modificar
qu usuarios y mquinas sern afectados por una directiva. A esto se llama
filtrado de GPO.
Caso 1. Aplicar la directiva a todos los usuarios de un grupo.
�1. Hacemos doble clic sobre la directiva.
2. En la pestaa "Delegacin", agregamos el grupo o usuario que
deseamos filtrar. Lo aadimos con cualquier permiso.
3. Una vez aadido, lo seleccionamos y hacemos clic en "Avanzadas".
All, ponemos las casillas "Leer" y "Aplicar directiva" a Permitir. El
resto de casillas, las podemos desactivar.
Caso 2. Queremos que una directiva no se aplique a un cierto grupo:
1. Hacemos doble clic sobre la directiva.
2. En la pestaa "Delegacin", agregamos el grupo o usuario que
deseamos filtrar. Lo aadimos con cualquier permiso.
3. Una vez aadido, lo seleccionamos y hacemos clic en "Avanzadas".
All, ponemos las casillas "Leer" y "Aplicar directiva" a Denegar. El
resto de casillas, las podemos desactivar.
