Objeto De Directiva De Grupo (GPO: Group Policy Object)

Objeto de directiva de grupo (gpo: group policy object)

 ¿QUÉ ES UN GPO?

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Por ejemplo, tenemos políticas para:

• Establecer el título del explorador de Internet

• Ocultar el panel de control

• Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE

• Establecer qué paquetes MSI se pueden instalar en un equipo

• Etc.

 CARACTERISTICAS

Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que permite una distribución lógica de las mismas. En este árbol de políticas existen dos nodos principales, justo por debajo del nodo raíz, que separan las configuraciones para equipos y para usuarios:

a. La configuración del equipo agrupan todos aquellos parámetros de configuración que pueden establecerse a nivel de equipo. Cuando un GPO afecta a un equipo, todas aquellas políticas de equipo del GPO que el administrador haya configurado se aplicarán al equipo cada vez que se inicie.

b. Las configuración de usuario agrupan los parámetros de configuración que pueden establecerse a nivel de usuario. Cuando un GPO afecta a un usuario, todas aquellas políticas de usuario del GPO que el administrador haya configurado se aplicarán cuando dicho usuario inicie una sesión local (en cualquier equipo del dominio).

Herramienta de configuración de un GPO.

Además de esa aplicación inicial de las políticas (en el inicio de los equipos y en el inicio de sesión de los usuarios), éstas se reevalúan automáticamente bajo demanda del administrador y, además, de forma periódica. Por defecto, la reevaluación periódica se produce cada 90 minutos, con un retraso aleatorio de hasta 30 minutos.

En cada GPO el administrador puede deshabilitar selectivamente las políticas de equipo y/o de usuario, lo cual evita que se procesen y puedan aplicarse. Esto resulta útil en aquellos casos en los que en un GPO sólo se configuran políticas de uno de ambos tipos. Supongamos, por ejemplo, que en un GPO se han configurado únicamente ciertas políticas de equipo (y ninguna de usuario). Si el administrador no deshabilita la parte de políticas de usuario, el sistema las seguirá procesando para cada usuario al que afecte la GPO, con el consiguiente retraso en el inicio de sesión de dicho usuario.

De igual manera los grupos se distinguen por Ámbito y Tipo.

El AMBITO determina si pertenece a varios dominios o a uno solo.

El ámbito del grupo determina:

Los dominios desde los que puede agregar miembros al grupo.

Los dominios en los que puede utilizar el grupo para asignar permisos.

Los dominios en los que puede anidar el grupo en otro.

El TIPO se subdivide en 2:

Seguridad: Asignan permisos y derechos; también se usa como un grupo de distribución. Este asigna permisos, los derechos o acciones que puede usar; recursos a los que se puede tener acceso.

Distribución: Generalmente usado en aplicaciones, este tipo no permite asignar ningún tipo de permiso.

 APLICACIÓN, QUIÉN, CÓMO

Cualquier usuario o grupo que tenga concedido el permiso de Control Total sobre un GPO puede administrarlo. Por defecto, en este caso se encuentran:

• el grupo Administración de Empresas,

• el grupo Administradores del Dominio,

• el creador del GPO (Creator Owner),

• y el sistema (System).

A pesar de que estos grupos no tienen concedido el permiso "Aplicar a", los administradores también reciben por defecto la política, puesto que forman parte del grupo Usuarios Autentificados.

Una GPO puede ser contenida por equipos locales, sitios, dominios y unidades organizativas (OU). Como un usuario, por ejemplo, estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU. Se podría dar el caso, por tanto, de que las GPO’s contuvieran políticas que se contradijeran entre sí. Cuando se dan casos de estos, el sistema de GPO’s está implementado para asegurar que siempre se aplicarán las políticas, y para ello establece una forma de prioridad entre éstas por la cual, según dónde estén asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas

 VENTAJAS Y DESVENTAJAS

Ventajas

Mayor seguridad.

Las características de seguridad adicionales facilitan la administración de las diversas relaciones de confianza entre bosques y entre dominios. La relaciones de confianza entre bosques proporcionan un nuevo tipo de confianza de Windows para administrar la relación de seguridad entre dos bosques, con los que se simplifica enormemente la autenticación y la administración de seguridad entre

...