DIRECTIVAS DE GRUPO

Las directivas de grupo son conjuntos de reglas para administrar usuarios y máquinas. Estas reglas solo son efectivas bajo ciertas condiciones: sistemas posteriores a Windows 2000. Las directivas de grupo han sido varias veces revisadas y como consecuencia, algunas de ellas solo son aplicables a una cierta versión de Windows. Por ejemplo, algunas directivas son compatibles con Windows 2000, XP Profesional, Vista, 7, Server 2003 y 2008, y otras solo con XP y Server 2003, o solo con Vista, 7 y 2008.

Las Directivas de Grupo se basan en plantillas administrativas amigables con opciones de configuración del sistema al que se aplicarán. Por ejemplo, una opción llamada "Requerir una configuración específica de Wallpaper" modificará el registro del sistema añadiendo una entrada que mantenga dicho valor.

La mayoría de opciones de las Directivas de Grupo tiene tres valores posibles:

  • Activado: Indica que esta opción ha sido configurada.
  • Desactivado: Indica que esta opción ha sido desactivada.
  • Sin configurar: Indica que esta opción no ha sido activada ni desactivada. Al elegir "Sin configurar", el Directiva de Grupo no especifica ninguna opción, y puede que otra opción tome precedencia.

DIRECTIVA LOCAL Y DE ACTIVE DIRECTORY

Hay dos tipos de directivas. El primer tipo es la directiva local (%SystemRoot%\System32\GroupPolicy). Cada máquina corriendo con Windows tiene una o más directivas: la directiva local (si estamos en un grupo de trabajo) y la de Active Directory o de grupo (si estamos en un dominio). La directiva de Active Directory se almacena en el volumen Sysvol (elegido durante la instalación), en un contenedor llamado "Objetos de directiva de grupo", desde donde se pueden enlazar con otros objetos de AD, como OUs, Dominios o sitios.

Cuando creamos un dominio, se crean dos directivas de grupo de AD: "Default Domain Controllers Policy" y "Default Domain Policy". La primera es aplicable a todos los controladores de dominio. La segunda es aplicable al dominio de AD. A parte de estas, se pueden crear otras y enlazarlas con ciertos objetos del dominio.

LA DIRECTIVA LOCAL

Windows Vista, 2008 y 7 soportan varias directivas sin pertenecer a un dominio. En versiones anteriores, solo había una directiva. En Windows Vista se introdujo el concepto MLGPO (Multple LGPO). Podemos tener una LGPO general de tipo "café con leche para todos" (usuarios y máquina). También podemos tener una LGPO para cada tipo de usuario (administradores y no administradores). Por último podemos asignar una LGPO a cada usuario local. El orden de aplicación es el mismo en que se han citado las tres posibilidades:

  • LGPO general
  • LGPO para administradores y no administradores
  • LGPO para usuarios específicos

Por defecto, se aplican las directivas locales antes que las de dominio. Si que si estamos administrando un dominio, y nos olemos un conflicto, puede ser una buena idea desactivar las directivas locales corriendo con vista, 2008 o 7. Esto se hace en "Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Directiva de grupo\Desactivar el procesamiento de objetos de directiva de grupo local".

Si lo que queremos es tocar solo las configuraciones de seguridad de la directiva general, podemos hacerlo desde Inicio\Herramientas administrativas\Directiva de seguridad local.

Tras cualquier cambio, refrescamos la directiva mediante "gpupdate" si queremos que se aplique, ya que puede pasar bastante tiempo hasta que se actualice. De cualquier modo, es posible modificar el tiempo que tarda la directiva en actualizarse.

Para añadir directivas de grupo para administradores, no administradores y usuarios concretos, debemos hacer lo siguiente:

  1. Ejecutar mmc.
  2. Archivo\Agregar o quitar complemento
  3. Agregar el complemento "Editor de objetos de directiva de grupo". En el diálogo "Seleccionar un objeto de directiva de grupo", hacer clic en "Examinar" y elegir el usuario o tipo de usuario destinatario. Aceptar.
  4. Ahora, aparece la directiva en la consola.

Para más información sobre LGPO's, se puede consultar http://technet.microsoft.com/en-us/library/cc766291%28WS.10%29.aspx

Actividad 1. En esta actividad solo se pretende resaltar la diferencia entre la LGPO general y las LGPO adicionales. Por ello, vamos a aplicar directivas contradictorias entre sí en diferentes directivas locales. Para ello, debes hacer los siguientes apartados:

  1. Mediante la mmc, crea una consola y agrégale los siguientes complementos:
    1. Un editor de la LGPO general.
    2. Un editor de la LGPO para un usuario específico de la máquina.
    3. NOTA:Puedes añadir ambos editores, añadiendo el componente "Editor de objetos de directiva de grupo".
  2. El equipo debe contar con al menos 2 usuarios.
  3. Modifica la LGPO general, ocultando los elementos del escritorio (Plantillas Administrativas\Escritorio". Buscamos en el panel derecho la opción "Ocultar y Desactivar todos los elementos del escritorio"). Comprueba que, tras actualizar la directiva, se cumple para todos los usuarios.
  4. Ahora cambia la LGPO del usuario específico que elegiste anteriormente, para que éste sí puede ver los elementos del escritorio. Comprueba, tras actualizar la directiva, que el usuario cuya LGPO ha cambiado puede volver a ver su escritorio, mientras que el otro no puede.

CAPTURAS:

  1. Toma una captura llamada Act1.1-gpo1.png, creando la consola de administración de LGPO del usuario específico (por ejemplo, el usuario 2)
  2. Toma una captura llamada Act1.2-gpo1.png, cambiando la LGPO general.
  3. Toma una captura llamada Act1.3-gpo1.png, verficando que el escritorio de cualquiera de los usuarios está desactivado al iniciar.
  4. Toma una captura llamada Act1.4-gpo1.png, cambiando la LGPO de usuario y verificando que el usuario 2 puede volver a manipular el escritorio (que se puedan ver los elementos del escritorio).

GPO's

Los Objetos de Directiva de Grupo (GPO) encapsulan la configuración de los ficheros de Directiva de Grupo, para simplificar su administración. Por ejemplo, podemos tener diferentes directivas de grupo para usuarios y equipos en diferentes departamentos. Basándonos en esta idea, se puede crear una GPO para los miembros del departamento "Ventas" y otra GPO para los miembros del departamento "Ingeniería", y aplicar cada GPO a su OU correspondiente.

Se pueden aplicar configuraciones de Directiva de Grupo tanto a dominios como a OU's. Existe una relación de herencia por defecto. Es decir, una GPO a nivel de OU que no especifique una opción, la hereda de otra OU superior o del dominio. En caso de conflicto entre las configuraciones de las GPO a distintos niveles, siempre prevalece la del nivel más específico. Para saber más sobre directivas de grupo, puedes consultar el siguiente enlace:

http://social.technet.microsoft.com/Forums/esES/wsades/thread/35d227cb8d344ac1903391b5645a027b

CREAR DIRECTIVAS DE GRUPO

Vamos a suponer el siguiente ejemplo. Los usuarios de Contabilidad de la planta 1 están constantemente instalando programitas innecesarios para hacer cosas innecesarias, generando constantemente problemas al administrador. Lo primero es avisar de que "El uso inapropiado" conllevará el bloqueo de la máquina. La directiva de grupo que vamos a crear, informa a los usuarios de esto.

Las GPO se crean en la Consola de Administración de Directivas de Grupo (GPMC). Para crear un GPO usando el GPMC hay que seguir los siguientes pasos:

  1. Inicio\Ejecutar \Escribir "mmc" y Aceptar.
  2. En la nueva ventana "Consola": menú Archivo\"Agregar o quitar complemento". En la nueva ventana, elegir "Administración de Directiva de Grupo" y hacer clic en "Agregar". Aceptar.
  3. Ahora el GPMC ya está disponible. Inicio\Herramientas administrativas\Administración de directivas de grupo.
  4. En el panel izquierdo de GPMC desplegar "Bosque\Dominios\tu nombre de dominio (en mi caso seragul.edu). Ahora sobre una OU creada previamente, hacer clic derecho y elegir "Crear una GPO en este dominio y vincularlo aquí".
  5. Cuando la ventana "Nueva GPO" aparece, introducimos el nombre "Mensaje de advertencia". Aceptar.
  6. La nueva GPO aparece en el panel derecho. Hacemos clic derecho sobre ella y elegimos "editar".
  7. Aparece el "editor de administración de directivas de grupo". En el panel izquierdo, expandimos lo siguiente: Configuración de equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad.
  8. En el panel derecho, buscamos "Inicio de sesión interactivo: texto de mensaje para los usuarios que intentan inicar una sesión". Hacemos doble clic sobre dicha entrada.
  9. En la ventana hacemos clic en la casilla "Definir esta configuración de directiva en la plantilla". Después escribimos en la entrada de texto lo siguiente: "El uso para fines no autorizados de este ordenador puede suponer el bloqueo inmediato del mismo.". Aceptar.
  10. Cerramos el editor.
  11. En la ventana "Administración de directivas de grupo", refrescamos mediante el botón "Actualizar".

La próxima vez que intentemos inicar sesión (Ctrl+Alt+Supr) en un cliente perteneciente a la OU "seragul.dom\contabilidad\planta 1" (en mi caso) se nos mostrará el mensaje.

NOTA: Las directivas pueden tardar en aplicarse. Hay que refrescar la directiva o no veremos los cambios inmediatamente. Para actualizar la directiva, ejecutamos el comando "gpupdate"

Actividad 2. Las directivas del dominio se aplican una vez que se hayan procesado las directivas locales. Por ello, las directivas del dominio, son prevalentes sobre las locales. Esta actividad pretende que veas esto. Sigue los siguientes pasos:

Define en la LGPO de un PC cliente del dominio un mensaje para que se muestre cuando un usuario desee iniciar sesión. Por ejemplo "Advertencia: Equipo para uso exclusivo por el personal informático". Actualiza la directiva y comprueba que el mensaje se puede ver.

Ahora, en el editor de directivas de grupo del controlador de dominio, define una GPO en la OU a la que pertenece el cliente, y añade una directiva para que se muestre un mensaje cuando un usuario intente iniciar sesión. Por ejemplo, "Notificación: Este equipo está siendo auditado por razones de seguridad. El uso indebido del equipo puede provocar que sea bloqueado temporalmente.". Actualiza la directiva, y comprueba que el mensaje se puede ver. De hecho, debería verse este mensaje, y no el de la directiva local.

CAPTURAS:

  1. Toma una captura con el nombre Act2.1-gpo1.png, una vez que se muestre el mensaje creado desde la directiva local.
  2. Toma una captura con el nombre Act2.2-gpo2.png, una vez que se muestre el mensaje creado desde la directiva del dominio.

ENLAZAR DIRECTIVAS DE GRUPO CON AD

Ahora vamos a suponer que habitualmente se da el problema siguiente. Los usuarios llenan sus escritorios de basura que no usan. Esto ralentiza la máquina y finalmente llaman al DA. El DA, que no quiere perder más el tiempo con esto, decide bloquear los escritorios de los usuarios.

Al ser un problema generalizado, vamos a crear primero la directiva, y después la vincularemos a aquellos OU's que lo requieran.

  1. En el panel izquierdo de la ventana "Administración de Directivas de Grupo" desplegamos los nodos "Bosque\Dominios\Tu nombre de dominio\Objetos de directiva de grupo"
  2. y hacemos clic derecho sobre el último y elegimos la opción nuevo.
  3. Ponemos el texto "Escritorio bloqueado" como nombre a la GPO y aceptamos. Ahora aparecerá en el panel derecho.
  4. Hacemos clic derecho sobre la GPO y elegimos la opción editar.
  5. En la sección de configuración de usuario, elegimos "Plantillas Administrativas\Escritorio". Buscamos en el panel derecho la opción "Ocultar y Desactivar todos los elementos del escritorio". Hacemos doble clic sobre ella y seleccionamos "Habilitado". Ya podemos cerrar el editor de la GPO.
  6. Ahora, una vez creada la GPO, vamos vincularla a una OU. En mi caso, la voy a vincular a "seragul.org\contabilidad\planta 1". En el panel izquierdo de la ventana "Administración de directivas de grupo", hacemos clic derecho en la OU seleccionada, y elegimos "Vincular a un GPO existente". En la ventana que aparece, seleccionamos el GPO "Escritorio bloqueado" (que hemos creado previamente).
  7. Finalemente actualizamos la nueva configuración haciendo clic en el botón "Actualizar" del "Administrador de Directivas de Grupo". Ahora ya podemos iniciar sesión en una máquina perteneciente a la OU a la que vinculamos la GPO, y comprobar como el escritorio está bloqueado.

Actividad 3. Cuando creamos una GPO y no la enlazamos a ninguna OU, no se aplica a ningún equipo ni usuario. Esta actividad está enfocada a comprobar esto. Crea una GPO, sin vincular a ninguna OU. Llama a esta GPO "Sin ficha seguridad". Deniega a los usuarios la posibilidad de cambiar los permisos de sus archivos y carpetas, mediante la directiva "Configuración de usuario\Directivas\Plantillas administrativas: definiciones de directiva...\Componentes de Windows\Explorador de Windows\Quitar la ficha Seguridad". Después haz los siguientes apartados.

Inicia sesión en una de las máquinas miembro de dominio. Comprueba que puedes acceder a la ficha "Seguridad" de las propiedades de una carpeta. Enlaza la GPO con la OU en la que se encuentra la cuenta que empleaste anteriormente. Comprueba si puedes ahora acceder a la ficha "Seguridad".

Toma una captura llamada Act3-gpo1.png donde se pueda comprobar que la ficha seguridad ha desaparecido.

LAS DIRECTIVAS DE GRUPO POR DEFECTO

Como ya hemos comentado anteriormente, cuando creamos un dominio, se crean dos directivas por defecto en AD: "Default Domain Controllers Policy" y "Default Domain Policy". La primera es aplicable a todos los controladores de dominio. La segunda es aplicable al dominio de AD. La directiva "Default Domain Controllers Policy" tiene la mayor precedencia sobre las directivas enlazadas a la OU "Controladores de dominio". La directiva "Default Domain Policy" tiene la mayor precedencia sobre las directivas enlazadas al dominio.

La directiva "Default Domain Policy" debería ser editada solamente para administrar directivas de cuenta, a saber:

  • Directiva de contraseña.
  • Directiva de bloqueo de cuenta.
  • Directiva Kerberos.

De hecho, debería ser la única GPO a través de la que activar directivas de cuenta. Para otras directivas, podemos crear nuestras propias directivas y enlazarlas al dominio, o a la OU deseada.

Puesto que pueden haber muchas directivas a diferente nivel... ¿Qué directiva se aplica? Siempre se aplicará la directiva más concreta.

NOTA: Cuando hablo de precedencia, hablo de orden en la aplicación de directivas. La última en aplicarse es la que gana.

La siguiente tabla puede que aclare algo:

Directiva más general
Directiva más concreta
Estado de la directiva
 No está definido
  No está definido
 No está definido
 Habilitada 
  " 
 Habilitada
 Deshabilitada
 " Deshabilitada
 * Habilitada Habilitada
 * Deshabilitada Deshabilitada

Por ejemplo, supongamos que se desactiva la directiva "Forzar estilo de panel de control clásico" a nivel de dominio. Sin embargo, en una OU concreta, se activa esta misma directiva. Entonces, los usuarios pertecientes a dicha OU podrán utilizar un panel de control de estilo clásico.

Cuando hay más de una directiva asociada a una OU, entonces la precedencia viene indicada en la consola de administración de la directiva de grupo. Si seleccionamos una cierta OU, cada directiva aparece asociada a un número. Las directivas con un número mayor serán procesadas primero, y las de un número menor después, lo que quiere decir, que las de número más bajo prevalecerán en caso de conflicto.

Actividad 4. Empleando las GPOs "Sin ficha seguridad" y "advertencia", configura dos directivas de forma que sean contradictorias. Por ejemplo, en la GPO advertencia sí se puede acceder a la ficha seguridad. Cambia el orden de aplicación, para que predomine esta última y puedas efectivamente acceder a la ficha "Seguridad" donde en el ejercicio 3 no podías.

Toma una captura llamada Act4-gpo1.png, donde se pueda ver la forma en que has ordenado las directivas para establecer su precedencia.

RELACIÓN DE HERENCIA

Las directivas heredan la configuración de otras directivas cuando mantienen una relación de descendencia. Sin embargo a veces se prefiere que esta herencia no se produzca. En tal caso, basta con abrir la consola de administración de directivas de grupo, y hacer clic derecho sobre la OU en la que la herencia no se producirá. Entonces elegimos "Bloquear herencia".

Bloquear la herencia en una directiva, implica que no heredará directivas del dominio, ni tampoco sus directivas descendientes. Sin embargo, sí se producirá herencia a partir de la directiva hacia abajo.

Del mismo modo se puede forzar la herencia de una directiva hacia abajo, si sobre la directiva (asociada a una OU, por ejemplo), hacemos clic derecho y elegimo "Exigida".

FILTRADO DE DIRECTIVAS DE GRUPO

En principio afectará a todos los usuarios y máquinas. Se puede modificar qué usuarios y máquinas serán afectados por una directiva. A esto se llama filtrado de GPO.

Caso 1. Aplicar la directiva a todos los usuarios de un grupo.

  1. Hacemos doble clic sobre la directiva.
  2. En la pestaña "Delegación", agregamos el grupo o usuario que deseamos filtrar. Lo añadimos con cualquier permiso.
  3. Una vez añadido, lo seleccionamos y hacemos clic en "Avanzadas". Allí, ponemos las casillas "Leer" y "Aplicar directiva" a Permitir. El resto de casillas, las podemos desactivar.

Caso 2. Queremos que una directiva no se aplique a un cierto grupo:

  1. Hacemos doble clic sobre la directiva.
  2. En la pestaña "Delegación", agregamos el grupo o usuario que deseamos filtrar. Lo añadimos con cualquier permiso.
  3. Una vez añadido, lo seleccionamos y hacemos clic en "Avanzadas". Allí, ponemos las casillas "Leer" y "Aplicar directiva" a Denegar. El resto de casillas, las podemos desactivar.

Actividad 5. En la actividad 3 definiste una directiva donde se desactivaba la ficha Seguridad de las propiedades de archivos y carpetas. También creaste varios usuarios y grupos en el tema anterior (Administrativos, Auxiliares administrativos, auxiliar...). Para este ejercicio necesitarás un grupo de usuarios con dos usuarios. Por ejemplo:

  • Grupo: Auxiliares Administrativos
  • Usuarios miembros:
    1. auxiliar
    2. auxiliar2

Haz que la GPO creada en la actividad 3 se aplique a los usuarios pertenecientes al grupo "auxiliares administrativos" solamente.

Garantiza también que esta directiva no se aplicará al usuario auxiliar2

Toma una captura llamada Act5.1-gpo1.png donde se pueda ver el filtrado de seguridad para que solo se aplique a los "Auxiliares Administrativos". Toma también una captura llamada Act5.2-gpo1.png donde se pueda ver que especificas permisos especiales sobre la GPO para el usuario auxiliar2 .