You are on page 1of 17

18/6/2015

GPO's:Directivasdegrupo

Quesunadirectivadegrupo?

Unobjetodedirectivadegrupo(GPO:GroupPolicyObject)esunconjuntodeunaomspolticas
delsistema.Cadaunadelaspolticasdelsistemaestableceunaconfiguracindelobjetoalqueafecta.Por
ejemplo,tenemospolticaspara:

EstablecerelttulodelexploradordeInternet
Ocultarelpaneldecontrol
DeshabilitarelusodeREGEDIT.EXEyREGEDT32.EXE
EstablecerqupaquetesMSIsepuedeninstalarenunequipo
Etc

Culessonlostipostroncalesdedirectivas?

Podemosdefinirdoscategorasdetipostroncalesdedirectivas:
1.Segnsufuncin
2.Segnsuobjetodeconfiguracin

Directivassegnsufuncin

Haydostipostroncalesdedirectivassegnsufuncin:

1. Directivasdeseguridad:Cuntoscaracterestieneunacontrasea?Cadacuantotiempodebe
sercambiadasta?,etc.Puedenseraplicadas:

a.Aniveldedominio:Sonaplicadasentodaslasmquinasdeldominio.
b.Aniveldecontroladoresdedominio:Seaplicantansloenloscontroladoresdedominio,
perosinsuplantaralasdeldominio(encasodeentrarencontradiccinunayotra,seaplica
ladeldominio,noladeloscontroladoresdedominio).

2. DirectivasdeEntorno(GPO>GroupPolicyObject):Quintieneaccesoalpaneldecontrol?
Culeseltamaomximodelarchivoderegistrodesistema?Puedenseraplicadas:

a.Aniveldeequipolocal
b.Aniveldesitio
c.Aniveldedominio
d.AniveldeUnidadOrganizativa(OU>OrganizationalUnit).

Directivassegnelobjetoalqueconfiguran

Respectoalobjetoalqueconfigurantambinsondos:

e.Configuracindelequipo:quesedivideen:

i.Configuracindesoftware
ii.ConfiguracindeWindows
iii.Plantillasadministrativas

f.Configuracindelusuario,quealigualqueladeWindowssedivideen:

i.Configuracindesoftware
ii.ConfiguracindeWindows
iii.Plantillasadministrativas

Aunquelasconfiguracionesdeequipoyusuariosedividanenlasmismaspartes,dentrodestasson
diferenteslaspolticasqueseencuentran.

http://freyes.svetlian.com/GPOS/GPOS.htm

1/17

18/6/2015

GPO's:Directivasdegrupo

QuobjetossonloscontenedoresdelasGPOs?

LasGPOspuedenestarcontenidasencuatrotiposdeobjetos:

1. Equipos Locales: son aplicadas nicamente en el equipo que las tiene asignadas
independientemente del dominio al que pertenezcan. Son modificadas con gpedit.msc. Estas
son las nicas polticas que se aplican a los equipos que no estn en un dominio, como
servidoresindependientes(standalone)oclientesenredigualaigual(peertopeer).

2. Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio,
independientementedeldominiodelmismobosquealquepertenezcan.

3.DominiosdeActiveDirectory:seaplicanatodoslosequiposy/ousuariosdeundominio.

4. Unidades Organizativas de Active Directory: se aplican nicamente a los equipos y/o


usuariosquepertenezcanalapropiaunidadorganizativa(OU).

Cmosecrea,quitaoeliminaunaGPO?

QumejorformadevercmosecreaunaGPOqueponiendouncasoprctico.Vamosaobligaralos
usuarios del dominio a hacer CTRL+ALT+SUPR para poder iniciar sesin. Para ello abrimos Usuarios y
EquiposdeActiveDirectory.Hacemosclicderechosobreelnodoconelnombredeldominioypulsamos
Propiedades:

EnlaventanaqueseabrepulsamoslapestaaDirectivadeGrupo:

http://freyes.svetlian.com/GPOS/GPOS.htm

2/17

18/6/2015

GPO's:Directivasdegrupo


Pulsando el botn Nueva se crear una nueva
GPOdebajodelaDefaultDomainPolicyalaque
llamaremosPulsarCTRL+ALT+SUPR

Siahoraseleccionamosla
nuevaGPOypulsamos
SUPRenelteclado
podramosquitarlaGPOde
lalistaoeliminarladeActive
Directory.Quitardelalista
evitaqueseapliquelaGPO,
perosigueexistiendoen
ActiveDirectory,deforma
quepodrserutilizadams
adelanteoenotro
contenedoreliminarhace
quelaGPOseaeliminada
deActiveDirectory.
PulsamosCancelar

Ya tenemos creada la GPO ahora debemos modificar la poltica para que obligue a los usuarios del
dominioahacerCTRL+ALT+SUPRparainiciarsesinenlosequipos.

Cmosedefinenpolticas?

SiseleccionamosconelratnlaGPOquehemoscreadoypulsamoselbotnModificarsenosabrir
unaconsoladedirectivadegrupo:

http://freyes.svetlian.com/GPOS/GPOS.htm

3/17

18/6/2015

GPO's:Directivasdegrupo

Nos desplazamos en el rbol a Configuracin del equipo/Configuracin


Windows/Configuracindeseguridad/Directivaslocales/Opcionesdeseguridad:

de

Hacemos doble click sobre la directiva Inicio de sesin interactivo: no requerir Ctrl.+Alt+Supr y podremos
definirstapolticacomodeshabilitada:

LacasillaDefinirestaconfiguracindedirectivatieneelefecto:

Marcada
La poltica quedar definida con el valor seleccionado en las
opcionesdedebajo.
SinMarcar
Lapolticaheredasudefinicinonoysiesthabilitadaono
en caso de haber sido definida en un contenedor superior (en
nuestro ejemplo desde el propio equipo o el sitio, ya que
estamosaniveldedominio).

Asuvez,cuandolacasillaestmarcadapodemoselegirentrelasopciones:

Habilitada
Hace que la poltica quede habilitada. Esto significa que se
realizarlaconfiguracinquelapropiapolticadefinecon
http://freyes.svetlian.com/GPOS/GPOS.htm

4/17

18/6/2015

GPO's:Directivasdegrupo

Deshabilitada

su nombre y por tanto, en nuestro ejemplo, provoca que no


sea necesario que el usuario pulse CTRL+ALT+SUPR para
iniciarsesin.
Cuandosedeshabilitalapoltica,seimpidequeserealicela
configuracinquelapropiapolticadefineconsunombre.
Por tanto, en el ejemplo, obliga al usuario a pulsar
CTRL+ALT+SUPRparainiciarsesin.

Cmosevinculaunapolticayaexistente?

A pesar de que una GPO es creada en un contenedor, sto slo es una apariencia. Realmente es
creada alojndola en el dominio desde el que es creada y vinculada al contenedor desde el que es creada.
EstonospermitecrearunasolaGPOyaplicarlaencualquierpartedelbosquealqueperteneceeldominio
dondeestalojadalaGPOesdecir,atodoslossitios,dominiosyOUsdelbosque.Imaginemosunbosque
con tres dominios agregando a cada dominio la GPO que creamos antes, obligaremos a pulsar
CTRL+ALT+SUPRalosusuariosdelostresdominios,habiendocreadounanicaGPO.

ParavincularunapolticapulsamosAgregarenlapestaaDirectivadegrupodelaspropiedades
delcontenedor(equipo,sitio,dominio,OU)ynosapareceelsiguientedilogo:

SeleccionamosaqulaGPOquequeremosvincular.Haytresformasdebuscarlas,unaporpestaa:

Pestaa
MuestralasGPOs
DominiosyOUs
QueestnaplicadaseneldominioysusUOs,vindoselas
OUs como carpetas y las polticas con su icono
caracterstico. El desplegable Buscar en nos permite
alternarentrelosdominiosdelbosque.
Sitios
Queestnaplicadasenunsitio.ConeldesplegableBuscar
enpodemoscambiarentrelossitiosqueintegranelbosque.
Toda
Queestn almacenadas en un dominio. Con el desplegable
Buscarenpodemosalternarentrelosdominiosdelbosque.

SimplementetendremosquesealarlaGPOquequeramosvincularypulsarAceptarparahacerlo.

CulessonlaspropiedadesdeunaGPO?

AccedemosalaspropiedadesdelaGPOpulsandoelbotnPropiedadesdelapestaaDirectivade
grupodelaspropiedadesdeuncontenedor.Enlaventanadepropiedadesencontramostrespestaas:

Pestaa
Funcin
Captura
http://freyes.svetlian.com/GPOS/GPOS.htm

5/17

18/6/2015

GPO's:Directivasdegrupo

General

Vnculos

Muestra informacin sobre la GPO


ypermitedeshabilitartodalarama
de configuracin del equipo y/o
toda la rama de configuracin de
usuario. Esto sirve para agilizar la
aplicacindelaGPO,mejorandoel
rendimiento.Comoennuestrocaso
la poltica que obliga a hacer
CTRL+ALT+SUPR para iniciar
sesin es una configuracin de
equipo, podremos marcar la casilla
que deshabilita los parmetros de
configuracindeusuario.
Permite buscar los sitios, dominios
yOUsenlosqueestagregadala
GPO.ConeldesplegableDominio
podemosseleccionareldominiodel
bosqueenelquebuscamos.

Seguridad

Sirve para establecer los permisos


de la GPO. Podemos asignar
permisosalossiguientesobjetos:
Usuarios
1.
Equipos
2.
Grupos
3.
Principios
4.
de
seguridad
incorporados

FiltroWMI
(sloen
Windows
XPy
Windows
Server2003
yconal
menosun
controlador
dedominio
quesea
Windows
Server
2003)

Sirve para realizar bsquedas


basadasen WMI de caractersticas
especficas de los equipos a los
que se aplica la GPO. Estas
caractersticaspuedenser:
Unpatrndenombredeequipo
1.
TipodeSistemaOperativo
2.
NiveldeServicePack
3.
Cualquier
4.
caracterstica del
equipo
que
podamos
consultarconWQL

Los equipos con Windows


2000 ignoran este tipo de filtros y
procesan las GPOs sin tener en
cuenta si por sus caractersticas
deberanhacerloono.Porello,una
formadeejecutarpolticasqueslo
seapliquenaequiposconWindows
2000 es filtrar con WMI poniendo
queeltipodeSOesWindows2000
oqueeltipodeSOnoesWindows
XP. Si queremos aplicar polticas
con filtros WMI a equipos con tan
sloXPo2003,sernecesarioque
nos llevemos las cuentas de los
Windows2000aotraOUenlaque
noestaranvinculadasesasGPOs.

PestaaSeguridad
http://freyes.svetlian.com/GPOS/GPOS.htm

6/17

18/6/2015

GPO's:Directivasdegrupo

LapestaaSeguridadnospermiterealizardostareasconlasGPOs:

1.FiltrarelalcancedelaGPO,permitiendoqueseasloaplicadaalosusuarios,equipos,grupos
y/oPrincipiosdeseguridadincorporados(objetosBuiltin,etc.).
2. DelegarelcontroldelaGPO,permitiendoaslamodificacin,etc.,adeterminadosusuarios,
equipos,gruposy/oPrincipiosdeseguridadincorporados.

HayquetenerencuentaqueestosehacesobretodalaGPO,nosepuedeespecificarnicamentea
algunaspolticasdelaGPO,sinoquesehaceparatodaslascontenidasenlaGPO.

Pararealizarelfiltradodelalcanceyladelegacindelcontrolseutilizanpermisosqueseaplicanalos
objetos en que estn especificados. Estos permisos pueden ser concedidos o denegados, prevaleciendo la
denegacinsobrelaconcesin.DeformapredeterminadaestassonlasentradasdeseguridaddeunaGPO
(seindicanaquellospermisosqueestn,concedidos):

Grupodeseguridad
Configuracinpredeterminada
Usuariosautentificados
Leer, aplicar directiva de grupo y permisos
adicionales
CREATOROWNER
Permisosadicionales
AdministradoresdelDominio
Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundariosypermisosadicionales
Administracindeempresas
Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundariosypermisosadicionales
SYSTEM
Leer, escribir, crear todos los objetos
secundarios, eliminar todos los objetos
secundariosypermisosadicionales

PestaaFiltroWMI

La pestaa Filtro WMI nos permite filtrar el alcance de la GPO en funcin a caractersticas de los
equiposqueestndentrodelalcancedelaGPO.Paraaccederaestascaractersticasseutilizanbsquedas
WQL,ellenguajedebsquedaenWMIbasadoenSQL.SlosepuedeaplicarunfiltroWMIaunaGPO,filtro
WMIqueconsisteenunaomsbsquedasWQL.Aligualquepasabaconlospermisosestablecidosenla
pestaa seguridad, el filtro es aplicado a toda la GPO, no se puede aplicar a determinadas directivas
solamente.

Para establecer los filtros WMI (aplicables slo en Windows XP y Windows Server 2003 adems, es
necesarioquealmenosuncontroladordedominioseaunWindowsServer2003)sehacedesdelapestaa
Filtro WMI, marcamos la opcin Este filtro y pulsamos el botn Examinar/administrar, apareciendo el
cuadro de dilogo Administrar filtros WMI, donde podremos crear filtros, modificarlos, eliminarlos,
importar/exportar y seleccionar el que queramos aplicar. Para crear, modificar y eliminar deberemos hacer
clicksobreelbotnAvanzadas>>conloqueelcuadrodedilogoquedaas:

http://freyes.svetlian.com/GPOS/GPOS.htm

7/17

18/6/2015

GPO's:Directivasdegrupo

Losbotonesysusaccionesson:

Botn
Accin
Aceptar
Aplicaa la GPO el filtro WMI que est seleccionado en la lista Filtros
WMIycierraelcuadrodedilogo.
Cancelar
CierraelcuadrodedilogosinaplicarningncambioalfiltradoWMIde
laGPO.
Ayuda
MuestralaayudadeadministracindefiltrosWMI.
Columnas
Nospermite especificar qu columnas aparecern en la lista de filtros.
Deformapredeterminadaaparecentodas,esdecir,Descripcin,Autor,
Fecha de modificacin y Fecha de creacin. La columna Nombre
siempreapareceenlalistadefiltros,noesunacolumnaquesepueda
ocultar.
Avanzadas
Expande o contrae el cuadro de dilogo para ocultar o mostrar en la
partedeabajoloscontrolesdeedicindefiltrosWMI.
Nuevo
NospermitecrearunnuevofiltroWMI.
Eliminar
NospermiteeliminarelfiltroWMIseleccionadoenlalistaFiltrosWMI.
El filtro se elimina, pero no las vinculaciones a GPOs que tenga es
necesarioeliminaresosvnculosdeformamanual,yaseaconfigurando
otro filtro en su lugar o deshabilitando los filtros WMI en las GPOs
afectadas.
Duplicar
Nos permite crear un nuevo filtro en base al que se encuentre
seleccionadoenlalistaFiltrosWMI.
Importar
Nos permite importar un filtro que anteriormente fuera exportado a un
fcheroMOF.
Exportar
NospermiteexportarunfiltroaunficheroMOF.
Guardar
Guardaelfiltroconelnombre,descripciny consulta quelocompone.
Estoesastantoenfiltroscreadoscomoenfiltrosquesemodifican.

DebemostenerencuentaquenosedebenaplicarfiltrosWMIalegremente,puesralentizaneliniciodel
equipo.

CmoseprocesanlasGPOs?

http://freyes.svetlian.com/GPOS/GPOS.htm

8/17

18/6/2015

GPO's:Directivasdegrupo

Competenciaentrecontenedores

Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios,
dominiosyunidadesorganizativas(enadelanteOU).Comounusuario,porejemplo,estarenunequipolocal
queasuvezseubicarenunsitio,perteneceraundominioysermiembrodeunaOUseveclaramente
quesepuededarelcasodequeenelequipolocalseapliqueunaGPO,enelsitiootra,otraparaeldominioy
otraparalaOU(einclusoparalaOUhija,detercernivel,etc.).Sepodradarelcaso,portanto,dequelas
GPOs contuvieran polticas que se contradijeran entre s. Cuando se dan casos de estos, el sistema de
GPOs est implementado para asegurar que siempre se aplicarn las polticas, y para ello establece una
forma de prioridad entre stas por la cual, segn dnde estn asignadas, unas prevalecen sobre otras
atendiendoaunaseriedereglasqueacontinuacin,conlaayudadedosfiguras,describiremos.

En la figura 1 vemos, de forma resumida, cul es la prioridad de las GPOs. Las GPOs de una OU
prevalecensobrelasdeldominio,queasuvezprevalecensobrelasdesitio,lascualesasuvezprevalecen
sobrelasdelequipolocal.Porprevalecernoseentiendequeunasanulenaotraslaspolticassesuman,slo
seanulanencasodesercontradictoriasentreellas.Porejemplo,sianiveldedominiohabilitamoslapoltica
dedeshabilitacindelpaneldecontrolyenlaOUdeshabilitamosestapoltica,ysuponemosqueningunaotra
delaspolticasaniveldedominioentraencontradiccinconningunaotradelasdelaOU,elresultadoquese
aplicaraunobjetocontenidodentrodelaOUserlasumadeambasGPOs,salvoquelapolticaquese
aplica respecto a la deshabilitacin del panel de control ser la de la OU, no la del dominio, y por tanto el
paneldecontrolservisible.

En la figura 2 vemos un diagrama de flujo que nos explica cmo son aplicadas las GPOs se puede
apreciar el orden en que son ledas y como se acta en caso de que se contradigan o no. Como se puede
suponer,sihubieraunaOUdetercernivel,staprevalecerasobrelahijayobviamenteunadecuartonivel
sobreladetercernivelyassucesivamente:

http://freyes.svetlian.com/GPOS/GPOS.htm

9/17

18/6/2015

GPO's:Directivasdegrupo

Competenciadentrodeunmismocontenedor

Tambinsepuededarelcasodequeenunmismocontenedor,porejemplounaOU,seapliquems
deunaGPO.EstaposibilidadabreotraladequepuedancontradecirseentreslasGPOsquesonaplicadas
asecontenedor.Cmoseresuelveestaproblemtica?Muysimple:prevalecerladelaGPOqueestms
altaenlalistadelasaplicadasalcontenedor,comoseveenlafigura3.

http://freyes.svetlian.com/GPOS/GPOS.htm

10/17

18/6/2015

GPO's:Directivasdegrupo

Figura3:Prevalenciaenunmismocontenedor

EstonosignificaqueunaGPOanulealasqueestnsituadasdebajodeellaaligualquevimosconla
competenciaentrelosobjetossobrelosquesepuedenaplicar,laspolticasenrealidadsesumancuandono
se contradicen entre ellas, slo en el caso de contradecirse es cuando prevalece la superior (la forma de
aplicacinesexactamentelamismaqueveamoseneldiagramadeflujodelafigura2,sloqueencadasalto
loqueseevalaeslaGPO,empezandoporlainferioryterminandoenlasuperior).

Procesamientoenmododebucleinverso

Cuando tenemos equipos que estn en un entorno en el cual se desea tener control sobre su
configuracin independientemente del usuario que inicie sesin en l, como por ejemplo laboratorios, aulas,
bibliotecas,quioscos,etc.,precisamosdeunmecanismoquealterelaformadeordenacindelprocesamiento
enlasdirectivasdeconfiguracindeusuario.

Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien sesin en los
equiposdelaulanopuedanaccederalentornodered.LolgicosercrearunaOUalaquemoveremoslos
equiposdelaula,crearunaGPOquedeshabiliteelentornoderedyvincularlaalaOUdelaula.Bien,estono
funcionara,yaquecomoladeshabilitacindelpaneldecontrolesunaconfiguracindeusuarioyelusuario
nopertenecealaOU,noseveafectadoporestapoltica.Elprocesamientoenmododebucleinversopermite
hacerquesseapliquenlaspolticasdeconfiguracindeusuarioapesardenopertenecerelusuarioalaOU
enlaqueseaplica.

Paraactivarelprocesamientoenmododebucleinversodebemossituarnosenelrboldelaconsolade
directiva de grupo en el nodo Configuracin del equipo/Plantillas administrativas/Sistema/Directiva de
grupoyenpaneldedetalleshacerdobleclicsobrelapolticaMododeprocesamientodebucleinvertido
deladirectivadegrupodeusuario.Senosabreundilogoenelquepodremosconfigurarlapoltica.Hay
dosmodosdeprocesamientodebucleinverso:

Modo
Efecto
Sustituir
Lasdirectivassustituyenalasqueseleaplicarannormalmente
alusuario.Deestamanerahacemosquelasconfiguracionespropias
delusuarioseanlasdelaGPO,unificandolaconfiguracinparalos
usuariosalosquetengaalcance.
Combinar Se combinarn ambas, las propias del usuario ms las que
especificalaGPOencasodecontradiccinenunapolticaprevalece
la de la GPO sobre las propias del usuario. As conseguimos que
determinadasopcionesseanigualesparatodoslosusuariosalosque
http://freyes.svetlian.com/GPOS/GPOS.htm

11/17

18/6/2015

GPO's:Directivasdegrupo

alcance y que conserven sus configuraciones propias que no entren


enconflictoconlasdelaGPO.

Herencia

LasGPOsseheredan

LasGPOs,eneldominiosonheredadaslasaplicadasauncontenedorpadre,sonaplicadasasuvez
asushijos,esdecir:

1. LasOUsdeprimernivelheredandelDominio
2. LasOUshijasheredandelasdeprimernivel
3. LasOUsdenivel3heredandelashijas
.
.
.
n1. LasOUsdeniveln1heredandelasdeniveln2
n. LasOUsdenivelnheredandelasdeniveln1
Sinosfijamosenlafigura4,vemosqueeldominiocontienealaOUpadre,staalaOUhija,queasu
vez contiene a la OU3 quien, por ltimo, contiene a la OU4. En base a este ejemplo explicaremos la
herencia.

Figura4:VemosenestafiguracmoestncontenidasunasOUen
otras

Enlasiguientetablavemosqupolticaesasignadaacadacontenedorquequedebienclaroquetan
slo se ver, en la pestaa Directiva de grupo de las propiedades del contenedor, la GPO que le
correspondeenlatabla:

Contenedor GPOasignada
Dominio
GPOdelDominio
UOpadre
GPOpadre
OUhija
GPOhija
OU3
GPO3
OU4
GPO4

Enlafigura5vemosunejemplodecmoesasignadalaGPOenelcontenedor:

http://freyes.svetlian.com/GPOS/GPOS.htm

12/17

18/6/2015

GPO's:Directivasdegrupo

Figura5:LapolticadegrupoGPO3esasignadaalaunidadorganizativaOU3

SegnestarelacindecontenedoresydeGPOs,enlasiguientetablavemos,marcadoporX,qu
GPOsafectanaqucontenedoresseveclaramentecmosonheredadaslasGPOsporloscontenedores:

Dominio
OUpadre
OUhija
OU3
OU4
GPOdelDominio
X
X
X
X
X
GPOpadre

X
X
X
X
GPOhija

X
X
X
GPO3

X
X
GPO4

LaherenciadelasGPOssepuedebloquear

SienlapestaaDirectivadegrupodelaspropiedadesdeunaOUactivamoslacasillaBloquearla
herencia de directivas (figura 6), conseguiremos que no se apliquen las GPOs de los objetos que la
contienen.Siguiendoelejemplodeantes,siactivsemosestacasillaenlaOUPadreelresultadosera:

Dominio
OUpadre
OUhija
OU3
OU4
GPOdelDominio
X

GPOpadre

X
X
X
X
GPOhija

X
X
X
GPO3

X
X
GPO4

SilacasillaestuvieseenlaGPOhijaenvezdeenlapadre:

Dominio
OUpadre
OUhija
OU3
OU4
GPOdelDominio
X
X

GPOpadre

GPOhija

X
X
X
GPO3

X
X
GPO4

Siestuvieraactivadaenambas:

Dominio
OUpadre
OUhija
OU3
OU4
http://freyes.svetlian.com/GPOS/GPOS.htm

13/17

18/6/2015

GPO's:Directivasdegrupo

GPOdelDominio
GPOpadre
GPOhija
GPO3
GPO4

X
X

X
X
X

Figura6:bloqueandoherenciaenOUHija

Hayquesealarquelaspolticasdegrupolocales(lasaplicadasenlamismamquinacongpedit.msc)
nopuedenserbloqueadas.

Losbloqueosdeherenciapuedensaltarse

SiaunaGPOlehabilitamoslaopcinnoreemplazar(figura7)sesaltarlosbloqueos,deformaque
siempreseraplicada:

http://freyes.svetlian.com/GPOS/GPOS.htm

14/17

18/6/2015

GPO's:Directivasdegrupo

De esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la GPO Padre el


resultadosera:

Dominio
OUpadre
OUhija
OU3
OU4
GPOdelDominio
X
X
X

GPOpadre

X
X
X
X
GPOhija

GPO3

X
X
GPO4

SiactivamoselbloqueoenlaOUHijaynoreemplazarenlaGPOdelDominio:

Dominio
OUpadre
OUhija
OU3
OU4
GPOdelDominio
X
X
X
X
X
GPOpadre

GPOhija

X
X
X
GPO3

X
X
GPO4

CmodeboimplementarlasGPOs?

Setienequetenerencuentaprincipalmentelaestructurapresenteyfuturadelaorganizacinquese
administra, la estructura administrativa del dominio y la forma deseada de procesamiento en s de las
directivas, para crear el modelo que mejor responda a nuestras necesidades e intereses. Como las
herramientas para establecer las polticas en el dominio son las GPOs, que son conjuntos de una o ms
polticas, lo primero definiremos los tipos de GPOs segn su diseo, para posteriormente estudiar las
estrategiassegndiferentesconceptos.

QutiposdediseostenemosdeGPOs

TenemostrestiposdediseosdeGPOssegnlaspolticasqueconfiguran:

1. GPO de directiva nica: cuando est orientada a un solo tipo de configuracin (por ejemplo
propiedades de Active Desktop). Es adecuado para organizaciones que delegan
http://freyes.svetlian.com/GPOS/GPOS.htm

15/17

18/6/2015

GPO's:Directivasdegrupo

responsabilidadesadministrativasenmuchosusuarios.
2.GPOdedirectivamltiple:cuandoestorientadaavariostiposdeconfiguracin(porejemplo,
configuracindeIE,deexploradordeWindows,deinstalacindesoftware,etc.).Adecuadopara
organizacionesenlasquelaadministracinestcentralizada.
3.GPOdedirectivadedicada:cuandoconfiguraslopolticasdeequipoodeusuario.Aumentael
nmerodeGPOsaserprocesadaseneliniciodesesin,alargandoste,peroestilparaaislar
losproblemasenlaaplicacindeunaGPO.

QuestrategiasdeaplicacindeGPOshay?

HaydosestrategiasdeenfuncindecmosernaplicadaslasGPOs:

1.Porcapas:enestaestrategiasebuscaelqueaparezcaenelmenornmeroposibledeGPOs
untipodeconfiguracinenconcreto.Deestamanera,separtedeunapolticacomnatodoel
dominio aplicada a ste, en la cual no aparecen las configuraciones que son individuales para
unaOU.PongamosquelaconfiguracindeescritorioesdiferenteencadaOUylaconfiguracin
deProxyparaelInternetExploreresigualentodaslasOUsdefiniramosaniveldedominiola
configuracin de Proxy (ya sea con una GPO de directiva nica o unida con otras directivas
comunes a todas las OUs en una directiva mltiple) y crearamos una GPO por OU con la
configuracindeescritoriopropiadelaOUenunadirectivanica:
a. Ventaja:Laadministracinesmssimple,alestarlocalizadosperfectamentelospuntos
deaplicacindecadaconfiguracinysermsfcilrealizarcambiosportenerquehacerlo
enmenosGPOs.
b.Inconveniente:Eltiempodeiniciodesesinsealarga,altenerqueprocesarsemltiples
GPOs.
c. Adecuado: Para organizaciones cuya configuracin de seguridad es comn y con
cambiosfrecuentesdedirectivas.
2.Monoltico:Loquesebuscaconesteenfoqueesqueseapliquenelmenornmeroposiblede
polticas el ideal sera que se aplique tan slo una. Para ello se configura una nica GPO de
directivamltipleencadaOUynoseaplicaGPOalgunaeneldominio.
a.Ventaja:eliniciodesesinestoptimizadoparaquesealomsrpidoposible.
b. Desventaja: la administracin es ms trabajosa si necesitamos hacer un cambio de
configuracincomnatodoeldominio,tendremosqueretocartantasGPOscomoOUs
tengamos.
c. Adecuado: Para organizaciones en las cuales se pueden clasificar en muy pocos
gruposlaasignacindelasdirectivas(digamospocasOUs,)deformaqueelaumentode
lastareasadministrativasorientadasalasdirectivasnoseapreocupante.

Questrategiashayenfuncindeltrabajo?

Enfuncindelaformadelaorganizacinderealizarsutrabajo,haydosestrategias:

1. Porroles:SeutilizaunaestructuradeOUsquereflejelostiposdetrabajodelaorganizacin,
comopuedasercomerciales,administrativos,marketing,etc.Aplicandoelmenornmeroposible
deGPOs.DigamosqueesundiseoporcapasenelcuallasGPOsdedirectivanicadelas
OUssonfusionadasenunanicaGPOdedirectivamltipleporOU.
a.Ventaja:Losiniciosdesesinsonmsrpidosqueenunaestrategiaporcapas.
b.Desventaja:Laadministracinesalgomstrabajosaqueenunaestrategiaporcapas.
c.Adecuado:Paraorganizacionesenlascualeseltrabajoestmuydefinidoenfuncina
roles.
2.Porequipos:SebasaenvinculartodaslasGPOsaldominioenvezdealasOUselalcance
delasGPOssefiltrarenbaseagruposdeseguridad.DeestaformaseaplicarnunaGPOa
todoslosusuariospertenecientesaungrupodeseguridaddeterminadoindependientementede
laOUalaquepertenezcan.
a. Ventajas: Se minimizan las vinculaciones de GPOs a OUs y se centraliza la
administracindelasGPOs.
b.Desventaja:Eliniciodesesinsermslentocuantosmsequiposdetrabajoexistan.
c.Adecuado:Paraorganizacionesenlasquenocorrespondaeltrabajoarealizarsegn
roles, sino segn tareas (por ejemplo, en un proyecto de desarrollo de software habr
desarrolladores, comerciales, administrativos, directivos, etc., que necesitarn
determinadas configuraciones comunes a ellos, como la carpeta del proyecto un
comercial puede estar en ms de un proyecto y necesitar acceso a las carpetas de los
http://freyes.svetlian.com/GPOS/GPOS.htm

16/17

18/6/2015

GPO's:Directivasdegrupo

proyectos en los que est implicado). Tambin es adecuado cuando se quiere que la
administracin de las polticas est centralizada y sea muy flexible a las cambiantes
necesidadesdelaorganizacin.

Questrategiashayenfuncindeltipodecontrol?

CuandoutilizamosladelegacindelcontroldelasGPOstenemosdosestrategiaspararealizarlo,que
secorrespondenconlosdiseos:

1.Diseodecontrolcentralizado:EnestediseolosadministradoresdeOUtienendelegadoel
control de las GPOs, pero a su vez se conserva un control centralizado. Para hacerlo, las
polticas a nivel de dominio llevarn activada la opcin No reemplazar. Es til para
organizaciones que quieren que los administradores de OUs tengan libertad de accin pero, a
suvez,hayaconfiguracionescomunesatodoeldominioquenopuedanserbloqueadas.
2. Diseodecontroldistribuido:Cuando,ademsdetenercontroldesuOU,unadministrador
deOUpuedabloquearlaspolticasdeldominio.Esadecuadoparaorganizacionesquequieren
minimizarelnmerodedominiossinperderlaautonomadelasOUs.Apesardelacapacidad
de los administradores de OU de bloquear polticas, determinadas configuraciones, como por
ejemplo de seguridad, siguen pudiendo estar centralizadas cuando se active en ellas la opcin
Noreemplazar.

Questrategiaseguir?

Estas estrategias que hemos descrito, no son ms que una categorizacin de estrategias segn las
necesidades y prestaciones deseadas. Cada organizacin es un caso totalmente distinto, y por ello, cada
organizacindeberllevarlaestrategiaquemsleconvenga.Enalgunoscasoslaestrategiadeseableser
algunadelasestrategiasanteriorestalycomohansidodescritasenotrashabrndeserpersonalizadasya
veceshabrndemezclarsedosomsdeellas,einclusoestandoretocadaslasintegrantesdelamezcla.

Bibliografa:

PrincipalmentelosapuntestomadosenlasclasesdeMCSEimpartidasporErnestoVilchesenCICE.
LibrosenlneadeWindows2000ResourceKit
AyudadeWindows2000
Microsoft Windows 2000 Active Directory Services. Curso oficial de certificacin MCSE de la
editorialMcGrawHillISBN:8448128893

http://freyes.svetlian.com/GPOS/GPOS.htm

17/17

You might also like