Group Policy Object

1. Que es una GPO?

Directiva de Grupo es una característica de Windows NT, familia de Sistemas Operativos. Directiva de grupo es un conjunto de reglas que controlan el medio ambiente de trabajo de cuentas de usuario y cuentas de equipo. Directiva de grupo proporciona la gestión centralizada y configuración de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory. En otras palabras, la Directiva de Grupo, en parte, controla lo que los usuarios pueden y no pueden hacer en un sistema informático. Aunque la Directiva de Grupo es más frecuente en el uso de entornos empresariales, es también común en las escuelas, las pequeñas empresas y otros tipos de organizaciones más pequeñas. Directiva de grupo a menudo se utiliza para restringir ciertas acciones que pueden presentar riesgos de seguridad potenciales, por ejemplo: Bloquear el acceso al Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.

Como parte de Microsoft's IntelliMirror technologies, la Directiva de Grupo tiene como objetivo reducir el costo de soporte a los usuarios. IntelliMirror technologies relaciona la gestión de las máquinas desconectadas o usuarios móviles e incluyen perfiles de usuario móviles, la redirección de carpetas y archivos sin conexión.

Objetos de Directiva de Grupo no necesita necesariamente de Active Directory, Novell ha dado soporte a los perfiles móviles de Windows 2000 con ZENworks Desktop Management, paquete de software, y a partir de Windows XP también da soporte a la Política de Objetos de Directiva de Grupo.

2. Cuáles son los objetivos de una GPO?

Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Por ejemplo, tenemos políticas para:

· Establecer el título del explorador de Internet

· Ocultar el panel de control

· Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE

· Establecer qué paquetes MSI se pueden instalar en un equipo

· Etc…

Se tiene que tener en cuenta principalmente la estructura presente y futura de la organización que se administra, la estructura administrativa del dominio y la forma deseada de procesamiento en sí de las directivas, para crear el modelo que mejor responda a nuestras necesidades e intereses. Como las herramientas para establecer las

políticas en el dominio son las GPO’s, que son conjuntos de una o más políticas, lo primero definiremos los tipos de GPO’s según su diseño, para posteriormente estudiar las estrategias según diferentes conceptos.

3. Cuáles son los nodos principales de una GPO y definir cada uno?

La estructura de una directiva de grupo se compone de los nodos Configuración del equipo y Configuración de usuario.

Los parámetros modificados en el nodo Configuración del equipo impactan únicamente a la configuración del puesto de trabajo.

Los parámetros modificados en el nodo Configuración del equipo impactan únicamente a la configuración de los perfiles de usuario del puesto de trabajo.

Cuando se tiene abierto el editor de administración de directiva de grupo, las dos categorías Configuración de equipo y Configuración de usuario aparecen como nodos raíz en la parte izquierda de la consola.

4. Una GPO que puede afectar implícitamente en un Controlador de dominio?

Si. Las GPO tienes tres niveles de aplicación en Active Directory: Sitio, Dominio y UO (Unidad Organizativa).

En la figura 1 vemos, de forma resumida, cuál es la prioridad de las GPO’s. Las GPO’s de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local.

5. Las políticas de grupo son heredables y acumulativas? Porque?

Si. La Directiva de Grupo se aplica de manera jerárquica desde el grupo menos restrictivo (Sitio) al grupo más restrictivo (Unidad Organizativa). La Directiva de Grupo también es acumulativa. Los contenedores de servicio de directorio secundarios heredan la Directiva de Grupo de los contenedores primarios y el procesamiento de la Directiva de Grupo tiene lugar en el siguiente orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva de Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explícita una Directiva de Grupo para un contenedor secundario, dicha directiva suplantará a la del contenedor primario, si es que son contradictorias, y se sumará a la anterior si no lo son.

6. En que parámetros se define el comportamiento respecto a la herencia y a la prioridad en una GPO, definir cada uno?

Las GPO’s, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir:

1. Las OU’s de primer nivel heredan del Dominio

2. Las OU’s hijas heredan de las de primer nivel

3. Las OU’s de nivel 3º heredan de las hijas

n-1. Las OU’s de nivel n-1º heredan de las de nivel n-2º

n. Las OU’s de nivel nº heredan de las de nivel n-1º

Si nos fijamos en la figura 4, vemos que el dominio contiene a la OU-padre, ésta a la OU- hija, que a su vez contiene a la OU-3º quien, por último, contiene a la OU-4º. En base a este ejemplo explicaremos la herencia.

Figura 4: Vemos en esta figura cómo están contenidas unas OU en otras

La herencia de las GPO’s se puede bloquear

Si en la pestaña “Directiva de grupo” de las propiedades de una OU activamos la casilla “Bloquear la herencia de directivas” (figura 6), conseguiremos que no se apliquen las GPO’s de los objetos que la contienen

.

7. Que grupos de usuarios

...