¿Qué es una directiva de grupo?
Un objeto de directiva de
grupo (GPO: Group Policy Object)
es un conjunto de una o más políticas
del sistema. Cada una de las
políticas del sistema establece una configuración del objeto al que afecta.
Por ejemplo, tenemos políticas para:
·
Establecer el
título del explorador de Internet
·
Ocultar el panel
de control
·
Deshabilitar el
uso de REGEDIT.EXE y REGEDT32.EXE
·
Establecer qué
paquetes MSI se pueden instalar en un equipo
·
Etc…
¿Cuáles son los tipos troncales de directivas?
Podemos definir dos
categorías de tipos troncales de directivas:
1.
Según su función
2.
Según su objeto de configuración
Directivas según su función
Hay dos tipos troncales de directivas según su
función:
1. Directivas
de seguridad: ¿Cuántos caracteres
tiene una contraseña? ¿Cada cuanto tiempo debe ser cambiada ésta?, etc. Pueden
ser aplicadas:
a. A nivel de dominio: Son aplicadas en todas las máquinas del dominio.
b. A nivel de controladores de dominio: Se aplican tan sólo en los controladores de
dominio, pero sin suplantar a las del dominio (en caso de entrar en
contradicción una y otra, se aplica la del dominio, no la de los controladores
de dominio).
2. Directivas
de Entorno (GPO -> Group Policy Object): ¿Quién
tiene acceso al panel de control? ¿Cuál es el tamaño máximo del archivo de
registro de sistema? Pueden ser aplicadas:
a. A nivel de equipo
local
b. A nivel de sitio
c. A nivel de dominio
d. A nivel de Unidad
Organizativa (OU -> Organizational Unit).
Directivas según el objeto al que configuran
Respecto al objeto al que configuran también son dos:
e. Configuración
del equipo: que se divide en:
i.
Configuración de
software
ii.
Configuración de
Windows
iii.
Plantillas
administrativas
f.
Configuración del usuario, que al igual que la de Windows se divide en:
i.
Configuración de
software
ii.
Configuración de
Windows
iii.
Plantillas administrativas
Aunque las configuraciones
de equipo y usuario se dividan en las mismas partes, dentro de éstas son
diferentes las políticas que se encuentran.
¿Qué objetos son los contenedores de las GPO’s?
Las GPO’s pueden estar contenidas en cuatro tipos de objetos:
1. Equipos
Locales: son aplicadas únicamente en
el equipo que las tiene asignadas independientemente del dominio al que
pertenezcan. Son modificadas con “gpedit.msc”. Estas
son las únicas políticas que se aplican a los equipos que no están en un
dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer
to peer).
2. Sitios de
Active Directory: se aplican para
todos los equipos y/o usuarios de un sitio, independientemente del dominio del
mismo bosque al que pertenezcan.
3. Dominios de
Active Directory: se aplican a todos
los equipos y/o usuarios de un dominio.
4. Unidades
Organizativas de Active Directory:
se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia
unidad organizativa (OU).
¿Cómo se crea, quita o elimina una GPO?
Qué mejor forma de ver cómo
se crea una GPO que poniendo un caso práctico. Vamos a obligar a los usuarios
del dominio a hacer CTRL+ALT+SUPR para poder iniciar
sesión. Para ello abrimos “Usuarios y
Equipos de Active Directory”. Hacemos clic derecho sobre el nodo con el
nombre del dominio y pulsamos “Propiedades”:
|
|
En la ventana que se abre
pulsamos la pestaña “Directiva de Grupo”:
|
|
|||
|
|
|||
|
Pulsando
el botón “Nueva” se creará una nueva GPO debajo de la “Default Domain Policy” a la que
llamaremos “Pulsar CTRL+ALT+SUPR” |
|
||
|
Si ahora seleccionamos la nueva GPO y pulsamos SUPR
en el teclado podríamos quitar la GPO de la lista o eliminarla de Active
Directory. Quitar de la lista evita que se aplique la GPO, pero sigue
existiendo en Active Directory, de forma que podrá ser utilizada más adelante
o en otro contenedor; eliminar hace que la GPO sea eliminada de Active
Directory. Pulsamos “Cancelar” |
|
||
Ya tenemos creada la GPO;
ahora debemos modificar la política para que obligue a los usuarios del dominio
a hacer CTRL+ALT+SUPR para iniciar sesión en los
equipos.
¿Cómo se definen políticas?
Si seleccionamos con el
ratón la GPO que hemos creado y pulsamos el botón “Modificar” se nos abrirá
una consola de directiva de grupo:
Nos desplazamos en el árbol
a “Configuración
del equipo/Configuración de Windows/Configuración de seguridad/Directivas
locales/Opciones de seguridad”:
|
|
Hacemos
doble click sobre la directiva “Inicio de
sesión interactivo: no requerir Ctrl.+Alt+Supr” y
podremos definir ésta política como deshabilitada:
|
|
La
casilla “Definir esta configuración de directiva” tiene el efecto:
|
Marcada |
La
política quedará definida con
el valor seleccionado en las opciones de debajo. |
|
Sin
Marcar |
La
política hereda su definición
o no y si está habilitada o no en caso de haber sido definida en
un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio,
ya que estamos a nivel de dominio). |
A su
vez, cuando la casilla está marcada podemos elegir entre las opciones:
|
Habilitada |
Hace
que la política quede habilitada. Esto significa que se realizará la configuración
que la propia política define con su nombre y por tanto, en nuestro
ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesión. |
|
Deshabilitada |
Cuando
se deshabilita la política, se impide que se realice la configuración
que la propia política define con su nombre. Por tanto, en el
ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR
para iniciar sesión. |
¿Cómo se vincula una política ya existente?
A pesar de que una GPO es creada en un contenedor, ésto sólo es una apariencia. Realmente es creada alojándola en el dominio desde el que es creada y vinculada
al contenedor desde el que es creada. Esto nos permite crear una sola GPO y
aplicarla en cualquier parte del bosque al que pertenece el dominio donde está
alojada la GPO; es decir, a todos los sitios, dominios y OU’s del bosque.
Imaginemos un bosque con tres dominios; agregando a cada dominio la GPO que creamos
antes, obligaremos a pulsar CTRL+ALT+SUPR a los
usuarios de los tres dominios, habiendo creado una única GPO.
Para vincular una política
pulsamos “Agregar” en la pestaña “Directiva de grupo” de las
propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el
siguiente diálogo:
|
|
Seleccionamos aquí la GPO
que queremos vincular. Hay tres formas de buscarlas, una por pestaña:
|
Pestaña |
Muestra
las GPO’s… |
|
Dominios y OUs |
Que
están aplicadas en el dominio y sus UO’s, viéndose las OU’s como carpetas y
las políticas con su icono característico. El desplegable “Buscar en” nos
permite alternar entre los dominios del bosque. |
|
Sitios |
Que
están aplicadas en un sitio. Con el desplegable “Buscar en” podemos cambiar
entre los sitios que integran el bosque. |
|
Toda |
Que
están almacenadas en un dominio. Con el desplegable “Buscar en” podemos
alternar entre los dominios del bosque. |
Simplemente tendremos que
señalar la GPO que queramos vincular y pulsar “Aceptar” para hacerlo.
¿Cuáles son las propiedades de una GPO?
Accedemos a las propiedades
de la GPO pulsando el botón “Propiedades” de la pestaña “Directiva
de grupo” de las propiedades de un contenedor. En la ventana de
propiedades encontramos tres pestañas:
|
Pestaña |
Función |
Captura |
|
General |
Muestra información sobre la GPO y
permite deshabilitar toda la rama de
configuración del equipo y/o toda la rama de configuración de usuario. Esto sirve para agilizar la aplicación de la GPO,
mejorando el rendimiento. Como en nuestro caso la política que obliga a hacer
CTRL+ALT+SUPR para iniciar sesión es una
configuración de equipo, podremos marcar la casilla que deshabilita los
parámetros de configuración de usuario. |
|
|
Vínculos |
Permite buscar los sitios, dominios y
OU’s en los que está agregada la GPO.
Con el desplegable “Dominio” podemos seleccionar el dominio del bosque en el
que buscamos. |
|
|
Seguridad |
Sirve para establecer los permisos de
la GPO’. Podemos asignar permisos
a los siguientes objetos:
|
|
|
Filtro
WMI (sólo en Windows XP y Windows Server
2003 y con al menos un controlador de dominio que sea Windows Server 2003) |
Sirve para realizar búsquedas basadas
en WMI de características específicas de los equipos a los que se aplica la
GPO. Estas características pueden
ser:
Los equipos con Windows
2000 ignoran este tipo de filtros y procesan las GPOs
sin tener en cuenta si por sus características deberían hacerlo o no. Por
ello, una forma de ejecutar políticas que sólo se apliquen a equipos con
Windows 2000 es filtrar con WMI poniendo que el tipo de SO es Windows 2000 o
que el tipo de SO no es Windows XP. Si queremos aplicar políticas con filtros
WMI a equipos con tan sólo XP o 2003, será necesario que nos llevemos las
cuentas de los Windows 2000 a otra OU en la que no estaran
vinculadas esas GPOs. |
|
Pestaña “Seguridad”
La pestaña “Seguridad”
nos permite realizar dos tareas con las GPO’s:
1.
Filtrar el alcance de la GPO, permitiendo que sea sólo aplicada a los usuarios,
equipos, grupos y/o Principios de seguridad incorporados (objetos “Builtin”, etc.).
2.
Delegar el control de la GPO, permitiendo así la modificación, etc., a
determinados usuarios, equipos, grupos y/o Principios de seguridad
incorporados.
Hay que tener en cuenta que esto se hace sobre toda la GPO, no se
puede especificar únicamente a algunas políticas de la GPO, si no que se hace
para todas las contenidas en la GPO.
Para realizar el filtrado
del alcance y la delegación del control se utilizan permisos que se aplican a
los objetos en que están especificados. Estos permisos pueden ser concedidos o
denegados, prevaleciendo la denegación sobre la concesión. De forma
predeterminada estas son las entradas de seguridad de una GPO (se indican
aquellos permisos que están, concedidos):
|
Grupo
de seguridad |
Configuración
predeterminada |
|
Usuarios autentificados |
Leer,
aplicar directiva de grupo y permisos adicionales |
|
CREATOR OWNER |
Permisos
adicionales |
|
Administradores del Dominio |
Leer,
escribir, crear todos los objetos secundarios, eliminar todos los objetos
secundarios y permisos adicionales |
|
Administración de empresas |
Leer,
escribir, crear todos los objetos secundarios, eliminar todos los objetos
secundarios y permisos adicionales |
|
SYSTEM |
Leer,
escribir, crear todos los objetos secundarios, eliminar todos los objetos
secundarios y permisos adicionales |
Pestaña “Filtro WMI”
La pestaña “Filtro WMI” nos permite filtrar el
alcance de la GPO en función a características de los equipos que están dentro
del alcance de la GPO. Para acceder a estas características se utilizan búsquedas
WQL, el lenguaje de búsqueda en WMI basado en SQL. Sólo se puede aplicar un
filtro WMI a una GPO, filtro WMI que consiste en una o más búsquedas WQL. Al
igual que pasaba con los permisos establecidos en la pestaña seguridad, el
filtro es aplicado a toda la GPO, no se puede aplicar a determinadas directivas
solamente.
Para establecer los filtros
WMI (aplicables sólo en Windows XP y Windows Server 2003; además, es necesario
que al menos un controlador de dominio sea un Windows Server 2003) se hace
desde la pestaña “Filtro WMI”, marcamos la opción “Este filtro” y pulsamos el
botón “Examinar/administrar…”, apareciendo el cuadro de diálogo “Administrar
filtros WMI”, donde podremos crear filtros, modificarlos, eliminarlos,
importar/exportar y seleccionar el que queramos aplicar. Para crear, modificar
y eliminar deberemos hacer click sobre el botón “Avanzadas >>” con lo que
el cuadro de diálogo queda así:
Los botones y sus acciones
son:
|
Botón |
Acción |
|
Aceptar |
Aplica
a la GPO el filtro WMI que esté seleccionado en la lista “Filtros WMI” y
cierra el cuadro de diálogo. |
|
Cancelar |
Cierra
el cuadro de diálogo sin aplicar ningún cambio al filtrado WMI de la GPO. |
|
Ayuda |
Muestra
la ayuda de administración de filtros WMI. |
|
Columnas |
Nos
permite especificar qué columnas aparecerán en la lista de filtros. De forma
predeterminada aparecen todas, es decir, Descripción,
Autor, Fecha de modificación y Fecha
de creación. La columna Nombre
siempre aparece en la lista de filtros, no es una columna que se pueda
ocultar. |
|
Avanzadas |
Expande
o contrae el cuadro de diálogo para ocultar o mostrar en la parte de abajo los
controles de edición de filtros WMI. |
|
Nuevo |
Nos
permite crear un nuevo filtro WMI. |
|
Eliminar |
Nos
permite eliminar el filtro WMI seleccionado en la lista “Filtros WMI”. El
filtro se elimina, pero no las vinculaciones a GPOs
que tenga; es necesario eliminar esos vínculos de forma manual, ya sea configurando
otro filtro en su lugar o deshabilitando los filtros WMI en las GPOs afectadas. |
|
Duplicar |
Nos
permite crear un nuevo filtro en base al que se encuentre seleccionado en la
lista “Filtros WMI”. |
|
Importar |
Nos
permite importar un filtro que anteriormente fuera exportado a un fchero MOF. |
|
Exportar |
Nos
permite exportar un filtro a un fichero MOF. |
|
Guardar |
Guarda
el filtro con el nombre, descripción y consulta que lo compone. Esto es así
tanto en filtros creados como en filtros que se modifican. |
Debemos tener en cuenta que
no se deben aplicar filtros WMI alegremente, pues ralentizan el inicio del
equipo.
¿Cómo se procesan las GPO’s?
Competencia entre contenedores
Una GPO, como ya hemos visto
anteriormente, puede ser contenida por equipos locales, sitios, dominios y
unidades organizativas (en adelante OU). Como un usuario, por ejemplo, estará
en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un
dominio y será miembro de una OU se ve claramente que se puede dar el caso de
que en el equipo local se aplique una GPO, en el sitio otra, otra para el
dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.).
Se podría dar el caso, por tanto, de que las GPO’s contuvieran políticas que se
contradijeran entre sí. Cuando se dan casos de estos, el sistema de GPO’s está
implementado para asegurar que siempre se aplicarán las políticas, y para ello
establece una forma de prioridad entre éstas por la cual, según dónde estén
asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas que a
continuación, con la ayuda de dos figuras, describiremos.
En la figura 1 vemos, de
forma resumida, cuál es la prioridad de las GPO’s. Las GPO’s de una OU
prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio,
las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se
entiende que unas anulen a otras; las políticas se suman, sólo se anulan en
caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio
habilitamos la política de deshabilitación del panel
de control y en la OU deshabilitamos esta política, y suponemos que ninguna
otra de las políticas a nivel de dominio entra en contradicción con ninguna
otra de las de la OU, el resultado que se aplicará a un objeto contenido dentro
de la OU será la suma de ambas GPO’s, salvo que la política que se aplica
respecto a la deshabilitación del panel de control
será la de la OU, no la del dominio, y por tanto el panel de control será
visible.
En la figura 2 vemos un
diagrama de flujo que nos explica cómo son aplicadas las GPO’s; se puede
apreciar el orden en que son leídas y como se actúa en caso de que se
contradigan o no. Como se puede suponer, si hubiera una OU de tercer nivel,
ésta prevalecería sobre la hija y obviamente una de cuarto nivel sobre la de
tercer nivel y así sucesivamente: