Directiva de Grupo-Herencia-Procesamiento y Precedencia

DIRECTIVA DE GRUPO

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o

más políticas del sistema.

Cada una de las políticas del sistema establece una configuración del objeto al que

afecta.

TIPOS DIRECTIVA

Podemos definir dos categorías de tipos troncales de directivas:

1. Según su función

a. Directivas de seguridad i. A nivel de dominio: Son aplicadas en todas las máquinas

del dominio.

ii. A nivel de controladores de dominio: Se aplican tan sólo

en los controladores de dominio, pero sin suplantar a las

del dominio (en caso de entrar en contradicción una y

otra, se aplica la del dominio, no la de los controladores

de dominio).

b. Directivas de Entorno (GPO) Group Policy Object

i. A nivel de equipo local

ii. A nivel de sitio

iii. A nivel de dominio

iv. A nivel de Unidad Organizativa (OU)

2. Según su objeto de configuración

a. Configuración del equipo:

i. Configuración de software

ii. Configuración de Windows

iii. Plantillas administrativas

b. Configuración del usuario:

i. Configuración de software

ii. Configuración de Windows

iii. Plantillas administrativas

Nota: Aunque las configuraciones de equipo y usuario se dividan en las mismas partes,

dentro de éstas son diferentes las políticas que se encuentran.

Las GPO’s pueden estar contenidas en cuatro tipos de objetos:

1. Equipos Locales: son aplicadas únicamente en el equipo que las tiene

asignadas independientemente del dominio al que pertenezcan. Son

modificadas con “gpedit.msc”. Estas son las únicas políticas que se

aplican a los equipos que no están en un dominio, como servidores

independientes(stand alone) o clientes en red igual a igual (peer to peer).

2. Sitios de Active Directory: se aplican para todos los equipos y/o

usuarios de un sitio, independientemente del dominio o del bosque al

que pertenezcan.

3. Dominios de Active Directory: se aplican a todos los equipos y/o

usuarios de un dominio.

4. Unidades Organizativas de Active Directory: se aplican únicamente a

los equipos y/o usuarios que pertenezcan a la propia unidad organizativa

(OU).

Creación de una GPO

Abrimos “Usuarios y Equipos de Active Directory”. Hacemos clic derecho sobre el

nodo con el nombre del dominio y pulsamos “Propiedades”:

En la ventana que se abre pulsamos la pestaña “Directiva de Grupo”:

Pulsando el botón “Nueva” se creará una

nueva GPO debajo de la “Default Domain

Policy” que se crea por defecto.

Ya tenemos creada la GPO; ahora debemos modificar la política para conseguir

personalizar el entorno de los usuarios.

Definir las Políticas

Si seleccionamos con el ratón la GPO que hemos creado y pulsamos el botón

“Modificar” se nos abrirá una consola de directiva de grupo:

Nos desplazamos en el árbol a “Configuración del equipo/Configuración de

Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad”:

Hacemos doble click sobre la directiva “Inicio de sesión interactivo: no requerir

Ctrl.+Alt+Supr” y podremos definir ésta política como deshabilitada:

La casilla “Definir esta configuración de directiva” tiene el efecto:

Marcada La política quedará definida con el valor seleccionado en las

opciones de debajo.

Sin Marcar La política hereda su definición o no y si está habilitada o no en

caso de haber sido definida en un contenedor superior (en nuestro

ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de

dominio).

A su vez, cuando la casilla está marcada podemos elegir entre las opciones:

Habilitada Hace que la política quede habilitada. Esto significa que se

realizará la configuración que la propia política define con su

nombre y por tanto, en nuestro ejemplo, provoca que no sea

necesario que el usuario pulse CTRL+ALT+SUPR para iniciar

sesión.

Deshabilitada Cuando se deshabilita la política, se impide que se realice la

configuración que la propia política define con su nombre. Por

tanto, en el ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR

para iniciar sesión.

A pesar de que una GPO es creada en un contenedor, ésto sólo es una apariencia.

Realmente es creada alojándola en el dominio desde el que es creada y

vinculada al contenedor desde el que es creada.

Esto nos permite crear una sola GPO y aplicarla en cualquier parte del bosque al que

pertenece el dominio donde está alojada la GPO; es decir, a todos los sitios, dominios y

OU’s del bosque.

Para vincular una política pulsamos “Agregar” en la pestaña “Directiva de grupo” de

las propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente

diálogo:

Seleccionamos aquí la GPO que queremos vincular.

Podemos encontrar la GPO que buscamos en cualquiera de las 3 pestañas (Dominios y

Ous, Sitios y Toda)

Pestaña Muestra las GPO’s…

Dominios y OUs Que están aplicadas en el dominio y sus UO’s, viéndose las OU’s

como carpetas y las políticas con su icono característico. El

desplegable “Buscar en” nos permite alternar entre los dominios

del bosque.

Sitios Que están aplicadas en un sitio. Con el desplegable “Buscar en”

podemos cambiar entre los sitios que integran el bosque.

Toda Que están almacenadas en un dominio. Con el desplegable

“Buscar en” podemos alternar entre los dominios del bosque.

Seleccionamos la GPO que queramos vincular y pulsamos “Aceptar” para vincularla.

Accedemos a las propiedades de la GPO pulsando el botón “Propiedades” de la pestaña

“Directiva de grupo” de las propiedades de un contenedor. En la ventana de

propiedades encontramos tres pestañas:

Pestaña Función Captura

General Muestra información

sobre la GPO y

permite deshabilitar

toda la rama de

configuración del

equipo y/o toda la

rama de

configuración de

usuario. Esto sirve

para agilizar la

aplicación de la

GPO, mejorando el

rendimiento.

Vínculos Permite buscar los

sitios, dominios y

OU’s en los que está

agregada la GPO.

Con el desplegable

“Dominio” podemos

seleccionar el

dominio del bosque

en el que queremos

buscar

Seguridad Sirve para

establecer los

permisos de la

GPO’. Podemos

asignar permisos a

los siguientes

objetos:

1. Usuarios

2. Equipos

3. Grupos

4. Principios de

seguridad

incorporados

Filtro WMI

(sólo en

Windows XP

y Windows

Server 2003

y con al

menos un

controlador

de dominio

que sea

Windows

Server 2003)

Sirve para realizar

búsquedas basadas

en WMI de

características

específicas de los

equipos a los que se

aplica la GPO. Estas

características

pueden ser:

1. Un patrón de

nombre de

equipo

2. Tipo de

Sistema

Operativo

3. Nivel de

Service Pack

Los equipos con

Windows 2000

ignoran este tipo de

filtros y procesan las

GPOs sin tener en

cuenta si por sus

características

deberían hacerlo o

no. Por ello, una

forma de ejecutar

políticas que sólo se

apliquen a equipos

con Windows 2000

es filtrar con WMI

poniendo que el tipo

de SO es Windows

2000 o que el tipo de

SO no es Windows

XP. Si queremos

aplicar políticas con

filtros WMI a

equipos con tan sólo

XP o 2003, será

necesario que nos

llevemos las cuentas

de los Windows

2000 a otra OU en la

que no estarán

vinculadas esas

GPOs.

Pestaña “SEGURIDAD”

La pestaña “Seguridad” nos permite realizar dos tareas con las GPO’s:

1. Filtrar el alcance de la GPO, permitiendo que sea sólo aplicada a los usuarios,

equipos, grupos y/o Principios de seguridad incorporados (objetos “Builtin”, etc.).

2. Delegar el control de la GPO, permitiendo así la modificación, etc., a

determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados.

Hay que tener en cuenta que esto se hace sobre toda la GPO, no se puede especificar

únicamente a algunas políticas de la GPO, si no que se hace para todas las políticas

contenidas en la GPO.

Para realizar el filtrado del alcance y la delegación del control se utilizan permisos que

se aplican a los objetos en que están especificados. Estos permisos pueden ser

concedidos o denegados, prevaleciendo la denegación sobre la concesión. De forma

predeterminada estas son las entradas de seguridad de una GPO (se indican aquellos

permisos que están, concedidos):

Grupo de seguridad Configuración predeterminada

Usuarios autentificados Leer, aplicar directiva de grupo y permisos

adicionales

CREATOR OWNER Permisos adicionales

Administradores del Dominio Leer, escribir, crear todos los objetos

secundarios, eliminar todos los objetos

secundarios y permisos adicionales

Administración de empresas Leer, escribir, crear todos los objetos



SYSTEM Leer, escribir, crear todos los objetos



Pestaña “Filtro WMI”

La pestaña “Filtro WMI” nos permite filtrar el alcance de la GPO en función a

características de los equipos que están dentro del alcance de la GPO. Para acceder a

estas características se utilizan búsquedas WQL, el lenguaje de búsqueda en WMI

basado en SQL. Sólo se puede aplicar un filtro WMI a una GPO, filtro WMI que

consiste en una o más búsquedas WQL. Al igual que pasaba con los permisos

establecidos en la pestaña seguridad, el filtro es aplicado a toda la GPO, no se puede

aplicar a determinadas directivas solamente.

Para establecer los filtros WMI (aplicables sólo en Windows XP y Windows Server

2003; además, es necesario que al menos un controlador de dominio sea un Windows

Server 2003) se hace desde la pestaña “Filtro WMI”, marcamos la opción “Este filtro” y

pulsamos el botón “Examinar/administrar…”, apareciendo el cuadro de diálogo

“Administrar filtros WMI”, donde podremos crear filtros, modificarlos, eliminarlos,

importar/exportar y seleccionar el que queramos aplicar. Para crear, modificar y

eliminar deberemos hacer click sobre el botón “Avanzadas >>” con lo que el cuadro de

diálogo queda así:

Los botones y sus acciones son:

Botón Acción

Aceptar Aplica a la GPO el filtro WMI que esté seleccionado en la lista

“Filtros WMI” y cierra el cuadro de diálogo.

Cancelar Cierra el cuadro de diálogo sin aplicar ningún cambio al

filtrado WMI de la GPO.

Ayuda Muestra la ayuda de administración de filtros WMI.

Columnas Nos permite especificar qué columnas aparecerán en la lista de

filtros. De forma predeterminada aparecen todas, es decir,

Descripción, Autor, Fecha de modificación y Fecha de

creación. La columna Nombre siempre aparece en la lista de

filtros, no es una columna que se pueda ocultar.

Avanzadas Expande o contrae el cuadro de diálogo para ocultar o mostrar

en la parte de abajo los controles de edición de filtros WMI.

Nuevo Nos permite crear un nuevo filtro WMI.

Eliminar Nos permite eliminar el filtro WMI seleccionado en la lista

“Filtros WMI”. El filtro se elimina, pero no las vinculaciones a

GPOs que tenga; es necesario eliminar esos vínculos de forma

manual, ya sea configurando otro filtro en su lugar o

deshabilitando los filtros WMI en las GPOs afectadas.

Duplicar Nos permite crear un nuevo filtro en base al que se encuentre

seleccionado en la lista “Filtros WMI”.

Importar Nos permite importar un filtro que anteriormente fuera

exportado a un fchero MOF.

Exportar Nos permite exportar un filtro a un fichero MOF.

Guardar Guarda el filtro con el nombre, descripción y consulta que lo

compone. Esto es así tanto en filtros creados como en filtros

que se modifican.

Debemos tener en cuenta que no se deben aplicar filtros WMI alegremente, pues

ralentizan el inicio del equipo.

¿Cómo se procesan las GPO’s?

Competencia entre contenedores

Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos

locales, sitios, dominios y unidades organizativas (en adelante OU).

Se podría dar el caso, por tanto, de que las GPO’s contuvieran políticas que se

contradijeran entre sí.

Cuando se dan casos de estos, el sistema de GPO’s está implementado para asegurar

que siempre se aplicarán las políticas, y para ello establece una forma de prioridad entre

éstas por la cual, según dónde estén asignadas, unas prevalecen sobre otras atendiendo a

una serie de reglas.

Las GPO’s de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre

las de sitio, las cuales a su vez prevalecen sobre las del equipo local.

Por prevalecer no se entiende que unas anulen a otras; las políticas se suman, sólo se

anulan en caso de ser contradictorias entre ellas.

Por ejemplo, si a nivel de dominio habilitamos la política de deshabilitación del panel

de control y en la OU deshabilitamos esta política, y suponemos que ninguna otra de las

políticas a nivel de dominio entra en contradicción con ninguna otra de las de la OU, el

resultado que se aplicará a un objeto contenido dentro de la OU será la suma de ambas

GPO’s, salvo que la política que se aplica respecto a la deshabilitación del panel de

control será la de la OU, no la del dominio, y por tanto el panel de control será visible.

El diagrama de flujo nos explica cómo son aplicadas las GPO’s; se puede apreciar el

orden en que son leídas y como se actúa en caso de que se contradigan o no.

Como se puede suponer, si hubiera una OU de tercer nivel, ésta prevalecería sobre la

hija y obviamente una de cuarto nivel sobre la de tercer nivel y así sucesivamente:

Competencia dentro de un mismo contenedor

También se puede dar el caso de que en un mismo contenedor, por ejemplo una OU, se

aplique más de una GPO.

Esta posibilidad abre otra; la de que puedan contradecirse entre sí las GPO’s que son

aplicadas a ése contenedor.

¿Cómo se resuelve esta problemática? - Prevalecerá la de la GPO que está más alta en

la lista de las aplicadas al contenedor, como se ve en la figura 3.

Figura 3: Prevalencia en un mismo contenedor

Esto no significa que una GPO anule a las que estén situadas debajo de ella; al igual

que vimos con la competencia entre los objetos sobre los que se pueden aplicar, las

políticas en realidad se suman cuando no se contradicen entre ellas, sólo en el caso de

contradecirse es cuando prevalece la superior

Procesamiento en modo de bucle inverso

Cuando tenemos equipos que están en un entorno en el cual se desea tener control sobre

su configuración independientemente del usuario que inicie sesión en él, como por

ejemplo laboratorios, aulas, bibliotecas, quioscos, etc., precisamos de un mecanismo

que altere la forma de ordenación del procesamiento en las directivas de configuración

de usuario.

Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien

sesión en los equipos del aula no puedan acceder al entorno de red. Lo lógico será crear

una OU a la que moveremos los equipos del aula, crear una GPO que deshabilite el

entorno de red y vincularla a la OU del aula. Bien, esto no funcionaría, ya que como la

deshabilitación del panel de control es una configuración de usuario y el usuario no

pertenece a la OU, no se ve afectado por esta política. El procesamiento en modo de

bucle inverso permite hacer que sí se apliquen las políticas de configuración de usuario

a pesar de no pertenecer el usuario a la OU en la que se aplica.

Para activar el procesamiento en modo de bucle inverso debemos situarnos en el árbol

de la consola de directiva de grupo en el nodo “Configuración del equipo/Plantillas

administrativas/Sistema/Directiva de grupo” y en panel de detalles hacer doble clic

sobre la política “Modo de procesamiento de bucle invertido de la directiva de grupo

de usuario”. Se nos abre un diálogo en el que podremos configurar la política. Hay dos

modos de procesamiento de bucle inverso:

Modo Efecto

Sustituir Las directivas sustituyen a las que se le aplicarían normalmente al

usuario. De esta manera hacemos que las configuraciones propias del

usuario sean las de la GPO, unificando la configuración para los usuarios a

los que tenga alcance.

Combinar Se combinarán ambas, las propias del usuario más las que especifica la

GPO; en caso de contradicción en una política prevalece la de la GPO

sobre las propias del usuario. Así conseguimos que determinadas opciones

sean iguales para todos los usuarios a los que alcance y que conserven sus

configuraciones propias que no entren en conflicto con las de la GPO.

Herencia

Las GPO’s, en el dominio son heredadas; las aplicadas a un contenedor padre, son

aplicadas a su vez a sus hijos, es decir:

1. Las OU’s de primer nivel heredan del Dominio

2. Las OU’s hijas heredan de las de primer nivel

3. Las OU’s de nivel 3º heredan de las hijas

.

.

.

n-1. Las OU’s de nivel n-1º heredan de las de nivel n-2º

n. Las OU’s de nivel nº heredan de las de nivel n-1º

Si nos fijamos en la figura 4, vemos que el dominio contiene a la OU-padre, ésta a la

OU-hija, que a su vez contiene a la OU-3º quien, por último, contiene a la OU-4º. En

base a este ejemplo explicaremos la herencia.

Figura 4: Vemos en esta figura cómo están contenidas unas OU en otras

En la siguiente tabla vemos qué política es asignada a cada contenedor; que

quede bien claro que tan sólo se verá, en la pestaña “Directiva de grupo” de las

propiedades del contenedor, la GPO que le corresponde en la tabla:

Contenedor GPO asignada

Dominio GPO del Dominio

UO padre GPO padre

OU hija GPO hija

OU-3º GPO 3ª

OU-4º GPO 4º

En la figura 5º vemos un ejemplo de cómo es asignada la GPO en el contenedor:

Figura 5: La política de grupo “GPO 3º” es asignada a la unidad organizativa “OU-3º”

Según esta relación de contenedores y de GPO’s, en la siguiente tabla vemos,

marcado por “X”, qué GPO’s afectan a qué contenedores; se ve claramente cómo son

heredadas las GPO’s por los contenedores:

Dominio OU padre OU hija OU 3º OU 4º

GPO del Dominio X X X X X

GPO padre X X X X

GPO hija X X X

GPO 3ª X X

GPO 4º X

La herencia de las GPO’s se puede bloquear

Si en la pestaña “Directiva de grupo” de las propiedades de una OU activamos la casilla

“Bloquear la herencia de directivas” (figura 6), conseguiremos que no se apliquen las

GPO’s de los objetos que la contienen. Siguiendo el ejemplo de antes, si activásemos

esta casilla en la OU Padre el resultado sería:


GPO del Dominio X

GPO padre X X X X

GPO hija X X X

GPO 3ª X X

GPO 4º X

Si la casilla estuviese en la GPO hija en vez de en la padre:


GPO del Dominio X X

GPO padre X

GPO hija X X X

GPO 3ª X X

GPO 4º X

Si estuviera activada en ambas:


GPO del Dominio X

GPO padre X

GPO hija X X X

GPO 3ª X X

GPO 4º X

Figura 6: bloqueando herencia en OU-Hija

Hay que señalar que las políticas de grupo locales(las aplicadas en la misma máquina

con gpedit.msc) no pueden ser bloqueadas.

Los bloqueos de herencia pueden saltarse

Si a una GPO le habilitamos la opción “no reemplazar” (figura 7) se saltará los

bloqueos, de forma que siempre será aplicada:

De esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la

GPO Padre el resultado sería:


GPO del Dominio X X X

GPO padre X X X X

GPO hija X

GPO 3ª X X

GPO 4º X

Si activamos el bloqueo en la OU Hija y no reemplazar en la GPO del Dominio:


GPO del Dominio X X X X X

GPO padre X

GPO hija X X X

GPO 3ª X X

GPO 4º X

¿Cómo debo implementar las GPO’s?

Se tiene que tener en cuenta principalmente la estructura presente y futura de la

organización que se administra, la estructura administrativa del dominio y la forma

deseada de procesamiento en sí de las directivas, para crear el modelo que mejor

responda a nuestras necesidades e intereses. Como las herramientas para establecer las

políticas en el dominio son las GPO’s, que son conjuntos de una o más políticas, lo

primero definiremos los tipos de GPO’s según su diseño, para posteriormente estudiar

las estrategias según diferentes conceptos.

¿Qué tipos de diseños tenemos de GPO’s

Tenemos tres tipos de diseños de GPO’s según las políticas que configuran:

1. GPO de directiva única: cuando está orientada a un solo tipo de

configuración (por ejemplo propiedades de Active Desktop). Es

adecuado para organizaciones que delegan responsabilidades

administrativas en muchos usuarios.

2. GPO de directiva múltiple: cuando está orientada a varios tipos de

configuración (por ejemplo, configuración de IE, de explorador de

Windows, de instalación de software, etc.). Adecuado para

organizaciones en las que la administración esté centralizada.

3. GPO de directiva dedicada: cuando configura sólo políticas de equipo o

de usuario. Aumenta el número de GPO’s a ser procesadas en el inicio de

sesión, alargando éste, pero es útil para aislar los problemas en la

aplicación de una GPO.

¿Qué estrategias de aplicación de GPO’s hay?

Hay dos estrategias de en función de cómo serán aplicadas las GPO’s:

1. Por capas: en esta estrategia se busca el que aparezca en el menor

número posible de GPO’s un tipo de configuración en concreto. De esta

manera, se parte de una política común a todo el dominio aplicada a éste,

en la cual no aparecen las configuraciones que son individuales para una

OU .Pongamos que la configuración de escritorio es diferente en cada

OU y la configuración de Proxy para el Internet Explorer es igual en

todas las OU’s; definiríamos a nivel de dominio la configuración de

Proxy (ya sea con una GPO de directiva única o unida con otras

directivas comunes a todas las OU’s en una directiva múltiple) y

crearíamos una GPO por OU con la configuración de escritorio propia de

la OU en una directiva única:

a. Ventaja: La administración es más simple, al estar localizados

perfectamente los puntos de aplicación de cada configuración y

ser más fácil realizar cambios por tener que hacerlo en menos

GPO’s.

b. Inconveniente: El tiempo de inicio de sesión se alarga, al tener

que procesarse múltiples GPO’s.

c. Adecuado…: Para organizaciones cuya configuración de

seguridad es común y con cambios frecuentes de directivas.

2. Monolítico: Lo que se busca con este enfoque es que se apliquen el

menor número posible de políticas; el ideal sería que se aplique tan sólo

una. Para ello se configura una única GPO de directiva múltiple en cada

OU y no se aplica GPO alguna en el dominio.

a. Ventaja: el inicio de sesión está optimizado para que sea lo más

rápido posible.

b. Desventaja: la administración es más trabajosa; si necesitamos

hacer un cambio de configuración común a todo el dominio,

tendremos que retocar tantas GPO’s como OU’s tengamos.

c. Adecuado…: Para organizaciones en las cuales se pueden

clasificar en muy pocos grupos la asignación de las directivas

(digamos pocas OU’s,) de forma que el aumento de las tareas

administrativas orientadas a las directivas no sea preocupante.

¿Qué estrategias hay en función del trabajo?

En función de la forma de la organización de realizar su trabajo, hay dos estrategias:

1. Por roles: Se utiliza una estructura de OU’s que refleje los tipos de

trabajo de la organización, como pueda ser comerciales, administrativos,

marketing, etc. Aplicando el menor número posible de GPO’s. Digamos

que es un diseño por capas en el cual las GPO’s de directiva única de las

OU’s son fusionadas en una única GPO de directiva múltiple por OU.

a. Ventaja: Los inicios de sesión son más rápidos que en una

estrategia por capas.

b. Desventaja: La administración es algo más trabajosa que en una

estrategia por capas.

c. Adecuado…: Para organizaciones en las cuales el trabajo está

muy definido en función a roles.

2. Por equipos: Se basa en vincular todas las GPO’s al dominio en vez de a

las OU’s; el alcance de las GPO’s se filtrará en base a grupos de

seguridad. De esta forma se aplicarán una GPO a todos los usuarios

pertenecientes a un grupo de seguridad determinado independientemente

de la OU a la que pertenezcan.

a. Ventajas: Se minimizan las vinculaciones de GPO’s a OU’s y se

centraliza la administración de las GPO’s.

b. Desventaja: El inicio de sesión será más lento cuantos más

equipos de trabajo existan.

c. Adecuado…: Para organizaciones en las que no corresponda el

trabajo a realizar según roles, sino según tareas (por ejemplo, en

un proyecto de desarrollo de software habrá desarrolladores,

comerciales, administrativos, directivos, etc., que necesitarán

determinadas configuraciones comunes a ellos, como la carpeta

del proyecto; un comercial puede estar en más de un proyecto y

necesitar acceso a las carpetas de los proyectos en los que está

implicado). También es adecuado cuando se quiere que la

administración de las políticas esté centralizada y sea muy

flexible a las cambiantes necesidades de la organización.

¿Qué estrategias hay en función del tipo de control?

Cuando utilizamos la delegación del control de las GPO’s tenemos dos estrategias para

realizarlo, que se corresponden con los diseños:

1. Diseño de control centralizado: En este diseño los administradores de

OU tienen delegado el control de las GPO’s, pero a su vez se conserva un

control centralizado. Para hacerlo, las políticas a nivel de dominio

llevarán activada la opción “No reemplazar”. Es útil para organizaciones

que quieren que los administradores de OU’s tengan libertad de acción

pero, a su vez, haya configuraciones comunes a todo el dominio que no

puedan ser bloqueadas.

2. Diseño de control distribuido: Cuando, además de tener control de su

OU, un administrador de OU pueda bloquear las políticas del dominio.

Es adecuado para organizaciones que quieren minimizar el número de

dominios sin perder la autonomía de las OU’s. A pesar de la capacidad

de los administradores de OU de bloquear políticas, determinadas

configuraciones, como por ejemplo de seguridad, siguen pudiendo estar

centralizadas cuando se active en ellas la opción “No reemplazar”.

¿Qué estrategia seguir?

Estas estrategias que hemos descrito, no son más que una categorización de estrategias

según las necesidades y prestaciones deseadas. Cada organización es un caso totalmente

distinto, y por ello, cada organización deberá llevar la estrategia que más le convenga.

En algunos casos la estrategia deseable será alguna de las estrategias anteriores tal y

como han sido descritas; en otras habrán de ser personalizadas y a veces habrán de

mezclarse dos o más de ellas, e incluso estando retocadas las integrantes de la mezcla.

Administrar la herencia de directivas de

grupo

Para aplicar la configuración de un objeto de directiva de grupo (GPO) a los usuarios y

equipos de un dominio, un sitio o una unidad organizativa, puede vincular el dominio, el

sitio o la unidad organizativa a ese GPO. En la Consola de administración de directivas

de grupo puede agregar uno o varios vínculos de GPO a cada dominio, sitio o unidad

organizativa. La configuración implementada por los GPO vinculados a contenedores

de nivel superior (contenedores primarios) de Active Directory se hereda de forma

predeterminada en los contenedores secundarios y se combina con la configuración

implementada por los GPO vinculados a contenedores secundarios. Si varios GPO

intentan establecer valores contradictorios en una opción, prevalecerá el GPO que tenga

mayor precedencia. El procesamiento de los GPO se basa en el principio de que

prevalece el último en llegar y los GPO procesados con posterioridad tienen precedencia

sobre los procesados anteriormente. Los objetos de directiva de grupo se procesan en el

orden siguiente:

1. Se aplica el objeto de directiva de grupo local (LGPO).

2. GPO vinculados a sitios.

3. GPO vinculados dominios.

4. GPO vinculados a unidades organizativas. En caso de haber unidades

organizativas anidadas, los GPO asociados a unidades organizativas primarias se

procesan antes que los GPO asociados a unidades organizativas secundarias.

Los vínculos a un determinado sitio, dominio o unidad organizativa se aplican en orden

inverso al orden de los vínculos. Por ejemplo, un GPO con Orden de vínculos 1 tiene la

máxima precedencia sobre otros GPO vinculados a ese contenedor.

Para ver el orden de precedencia de los GPO de un sitio, dominio o unidad organizativa

determinados, abra la ficha Herencia de directivas de grupo de ese sitio, dominio o

unidad organizativa. Observe que al mostrar la ficha Herencia de directivas de grupo

de un dominio o de una unidad organizativa, los GPO vinculados a sitios no aparecen.

Ello se debe a que el sitio específico en el que se encuentra un equipo no se conoce

previamente. Además, cuando se observa un sitio la única diferencia entre las fichas

Herencia de directivas de grupo y Objetos de directivas de grupo vinculados es que

en la primera se tiene en cuenta el atributo de obligatoriedad (que se describe más

abajo).

Es posible controlar aún más la precedencia y el modo en que los vínculos de GPO se

aplican en determinados dominios, sitios o unidades organizativas de las formas

siguientes:

Cambiar el orden de los vínculos.

Dentro de cada dominio, sitio o unidad organizativa, el orden de los vínculos determina

cuándo se aplican. Para cambiar la precedencia de un vínculo puede cambiar el orden de

los vínculos, desplazando cada uno hacia arriba o hacia abajo en la lista hasta la

ubicación deseada. El vínculo con mayor orden (donde 1 es el orden máximo) tiene la

máxima precedencia para un sitio, dominio o unidad organizativa determinados. Por

ejemplo, si agrega seis vínculos de GPO y posteriormente decide que el último que ha

agregado debe tener la máxima precedencia, puede desplazar ese vínculo a la primera

posición de la lista.

Bloquear la herencia de directivas de grupo.

Es posible bloquear la herencia de directivas de grupo en un dominio o en una unidad

organizativa. Con el bloqueo de la herencia se impide que los GPO vinculados a sitios,

dominios o unidades organizativas superiores se hereden automáticamente en el nivel

secundario. De forma predeterminada, los niveles secundarios heredan todos los GPO

del nivel primario, pero en algunas ocasiones resulta útil bloquear la herencia. Por

ejemplo, si desea aplicar un único conjunto de directivas a todo un dominio, excepto a

una unidad organizativa, puede vincular los GPO necesarios en el nivel de dominio

(cuyas directivas heredan todas las unidades organizativas de forma predeterminada) y a

continuación bloquear la herencia únicamente para la unidad organizativa a la que no

deben aplicarse esas directivas.

Forzar un vínculo de GPO.

Para especificar que la configuración establecida por un vínculo de GPO prevalezca

sobre la configuración de cualquier objeto secundario, puede establecer la opción

Forzado para ese vínculo. Los vínculos de GPO forzados no pueden bloquearse desde el

contenedor primario. Sin forzado desde arriba, la configuración de los vínculos de GPO

de mayor nivel (primario) se sobrescribe con la configuración de los GPO vinculados a

unidades organizativas secundarias, en caso de que los GPO especifiquen valores

contradictorios. Con el forzado u obligatoriedad, el vínculo de GPO primario siempre

prevalece. De forma predeterminada no se fuerzan los vínculos de GPO. En las

herramientas anteriores a GPMC, el concepto de "forzado" se denominaba "No

reemplazar".

Deshabilitar un vínculo de GPO.

De forma predeterminada, el procesamiento está habilitado para todos los vínculos de

GPO. Para bloquear completamente la aplicación de un GPO para un sitio, dominio o

unidad organizativa determinados, puede deshabilitar el vínculo de GPO para ese

dominio, sitio o unidad organizativa. Tenga en cuenta que con ello no se deshabilita el

GPO propiamente dicho y que si el GPO está vinculado a otros sitios, dominios o

unidades organizativas, éstos seguirán procesándolo si sus vínculos están habilitados.

Importante

No se pueden bloquear los vínculos de GPO establecidos como FORZADO (no

reemplazar).

Las opciones de FORZADO y BLOQUEO DE HERENCIAdeben utilizarse con

poca frecuencia. El uso incontrolado de estas características avanzadas complica

la solución de problemas.

Además de utilizar vínculos de GPO para aplicar directivas, también puede controlar el

modo en que se aplican los GPO mediante filtros de seguridad o filtros WMI.

mk:@MSITStore:C:/WINDOWS/Help/spconcepts.chm::/Blocking_disabling_and_enforcing.htm



Procesamiento y precedencia de

directivas de grupo

Los objetos de directiva de grupo (GPO) aplicables a un usuario (o equipo) no tienen

todos la misma precedencia. Las opciones que se aplican con posterioridad pueden

anular a las aplicadas anteriormente.

Orden de procesamiento de la configuración

La configuración de Directiva de grupo se procesa en el orden siguiente:

1. Objeto de directiva de grupo local: cada equipo tiene exactamente un objeto

de directiva de grupo almacenado de forma local. Este objeto se utiliza tanto

para el procesamiento de directivas de equipo como de usuario.

2. Sitio: a continuación se procesan los GPO vinculados al sitio al que pertenece el

equipo. El procesamiento se realiza en el orden especificado por el

administrador en la ficha Objetos de directivas de grupo vinculados de la

Consola de administración de directivas de grupo (GPMC). El GPO con el

menor orden de vínculos se procesa en último lugar y, por tanto, tiene la

máxima precedencia.

3. Dominio: los GPO vinculados a varios dominios se procesan en el orden

especificado por el administrador en la ficha Objetos de directivas de grupo

vinculados del dominio en GPMC. El GPO con el menor orden de vínculos se

procesa en último lugar y, por tanto, tiene la máxima precedencia.

4. Unidades organizativas: primero se procesan los GPO vinculados a la unidad

organizativa que tiene mayor nivel en la jerarquía de Active Directory, seguidos

de los GPO vinculados a la unidad organizativa secundaria y así sucesivamente.

Por último se procesan los GPO vinculados a la unidad organizativa que

contiene el usuario o el equipo.

En cada unidad organizativa de la jerarquía de Active Directory pueden

vincularse uno, varios o ningún GPO. Si hay varios GPO vinculados a una

unidad organizativa, su procesamiento se realiza según el orden especificado por

el administrador en la ficha Objetos de directivas de grupo vinculados de la

unidad organizativa en GPMC. El GPO con el menor orden de vínculos se

procesa en último lugar y, por tanto, tiene la máxima precedencia.

Este orden significa que el GPO local se procesa en primer lugar y que los GPO

vinculados a la unidad organizativa de la que el equipo o el usuario es miembro directo

se procesan en último lugar, por lo que sobrescriben la configuración de los GPO

anteriores en caso de conflicto. (Si no hay conflictos, las configuraciones anterior y

posterior se combinan.)

Excepciones al orden predeterminado de

procesamiento de la configuración

El orden predeterminado de procesamiento de la configuración está sujeto a las

excepciones siguientes:

Un vínculo de GPO puede estar forzado, deshabilitado o ambas cosas al mismo

tiempo. De forma predeterminada, un vínculo de GPO no está forzado ni

deshabilitado.

Un GPO puede tener deshabilitada su configuración de usuario, su configuración

de equipo o toda su configuración. De forma predeterminada, ni la configuración

de usuario ni la configuración del equipo de un GPO están deshabilitadas.

Una unidad organizativa o un dominio pueden tener activada la opción

Bloquear herencia. De forma predeterminada, la opción Bloquear herencia no

está activada.

Un equipo que es miembro de un grupo de trabajo únicamente procesa el objeto

de directiva de grupo local.

El bucle invertido puede estar habilitado.

Inicio del equipo e inicio de sesión

La siguiente secuencia muestra el orden en que se aplican la directiva de equipo y la

directiva de usuario cuando se inicia un equipo y un usuario inicia sesión:

1. Se inicia la red. Se inician el Servicio de sistema de llamada a procedimiento

remoto (RPCSS, Remote Procedure Call System Service) y el Proveedor

múltiple de convención de nomenclatura universal (MUP, Multiple Universal

Naming Convention Provider). (Windows XP Professional es una excepción a

esta regla. De forma predeterminada, en Windows XP Professional el

procesamiento de directivas de grupo no espera a que se inicie la red. Este

comportamiento predeterminado puede cambiarse con una opción de directiva.)

2. Se obtiene una lista ordenada de los GPO para el equipo. La lista puede

depender de los factores siguientes:

o Si el equipo forma parte de un dominio y, por tanto, está sujeto a

directivas de grupo a través de Active Directory.

o La ubicación del equipo en Active Directory.

o Si la lista de objetos de directiva de grupo ha cambiado. Si la lista de

GPO no ha cambiado, no se llevará a cabo ningún procesamiento. Puede

utilizar una configuración de directiva para cambiar este

comportamiento.

o Los forzados o bloqueos que pueda haber establecido el administrador.

Un administrador puede establecer una directiva con mayor nivel para

que se aplique siempre. Este proceso se denomina forzado y

anteriormente se conocía como No reemplazar. Como alternativa, un

administrador puede hacer que un contenedor bloquee las directivas de

nivel superior para impedir su aplicación. Nota: si el administrador ha

establecido un mayor nivel para una directiva con el fin de forzar su

aplicación, la directiva se aplicará incluso aunque se determine su

bloqueo.

3. Se aplica la directiva del equipo. Se trata de las opciones que hay bajo

Configuración del equipo en la lista recopilada. Los GPO se aplican en el orden

siguiente: local, sitio, dominio, unidad organizativa, unidad organizativa

secundaria, etc. Mientras se procesan las directivas de equipo no aparece

ninguna notificación. Es posible establecer una opción de directiva para activar

el registro detallado y que se muestre una notificación de las directivas de

equipo procesadas.

4. Se ejecutan las secuencias de comandos de inicio. De manera predeterminada,

esta ejecución se realiza de forma oculta y sincrónica; cada secuencia de

comandos debe completarse o agotar el tiempo de espera antes de que se inicie

la siguiente. El tiempo de espera predeterminado es 600 segundos. Puede utilizar

varias opciones de configuración de directiva para modificar este

comportamiento.

Nota: Windows XP Professional y Windows XP Professional 64-bit Edition

cuentan con una característica de optimización para inicio de sesión rápido. De forma

predeterminada, cuando se inician equipos que ejecutan estos sistemas operativos no

esperan a que se inicie la red. Una vez iniciada la sesión, las directivas se procesan en

segundo plano cuando la red está disponible. Esto significa que, durante el inicio del

equipo y el inicio de sesión, el equipo seguirá utilizando la configuración de directivas

anterior. Por tanto, en el caso de las opciones de configuración que sólo pueden

aplicarse al iniciar el equipo o al iniciar sesión (como la instalación de software o la

redirección de carpetas), puede ser necesario que el usuario inicie sesión más de una

vez después de haberse realizado el cambio inicial en el GPO. Esta directiva se

controla con la opción Configuración del equipo \ Plantillas administrativas \ Sistema

\ Inicio de sesión \ Esperar siempre la detección de red al inicio del equipo y de

sesión. Esta característica no está disponible en Windows 2000 ni en Windows 2003

Server.

5. El usuario presiona CTRL+ALT+SUPR para iniciar sesión.

6. Una vez validado el usuario se carga el perfil de usuario, que se rige por las

opciones de directiva que están en vigor.

7. Se obtiene una lista ordenada de los GPO para el usuario. La lista puede

depender de los factores siguientes:

o Si el usuario forma parte de un dominio y, por tanto, está sujeto a la

Directiva de grupo a través de Active Directory.

o Si está habilitado el bucle invertido y el estado (Combinar o

Reemplazar) de la configuración de directiva de bucle invertido.

o La ubicación del usuario en Active Directory.

o Los forzados o bloqueos que pueda haber establecido el administrador.

Un administrador puede establecer una directiva con mayor nivel para

que se aplique siempre. Este proceso se denomina forzado y

anteriormente se conocía como No reemplazar. Como alternativa, un

administrador puede hacer que un contenedor bloquee las directivas de

nivel superior para impedir su aplicación. Nota: si el administrador ha

establecido un mayor nivel para una directiva con el fin de forzar su

aplicación, la directiva se aplicará incluso aunque se determine su

bloqueo.

8. Se aplica la directiva de usuario. Se trata de las opciones que hay bajo

Configuración de usuario en la lista recopilada. Los GPO se procesan en el

orden siguiente: local, sitio, dominio, unidad organizativa, unidad organizativa

secundaria, etc. Mientras se procesan las directivas de usuario no aparece

ninguna notificación. (La notificación puede activarse por medio de una

directiva.)

9. Se ejecutan las secuencias de comandos de inicio de sesión. A diferencia de las

secuencias de comandos de Windows NT 4.0, las secuencias de comandos de

inicio de sesión basadas en Directiva de grupo se ejecutan de forma oculta y

asincrónica de manera predeterminada. La secuencia de comandos del objeto de

usuario se ejecuta en último lugar en una ventana normal. También existe un

tiempo máximo de espera para las secuencias de comandos de inicio de sesión.

10. Aparece la interfaz de usuario del sistema operativo especificada por Directiva

de grupo.

Directiva de Grupo-Herencia-Procesamiento y Precedencia

Documents

Transcript of Directiva de Grupo-Herencia-Procesamiento y Precedencia