UNIDADES

ORGANIZATIVAS.
DIRECTIVAS DE GRUPO
OBJETIVO
Estructurar u organizar
el conjunto de los objetos
del directorio,
agrupándolos de forma
coherente.
 Permiten:

 Conseguir una estructuración lógica de los objetos del

directorio, de acuerdo con la organización de la empresa
(por departamentos o secciones, sedes, delegaciones
geográficas, etc.).

 Delegar la administración. Cada unidad organizativa puede

administrarse de forma independiente. En concreto, se
puede otorgar la administración total o parcial de una
unidad organizativa a un usuario o grupo de usuarios
cualquiera.
 Establecer de forma centralizada comportamientos distintos a
usuarios y equipos. A cada unidad organizativa pueden vincularse
políticas de grupo, que aplican comportamientos (generalmente en
forma de restricciones) a los usuarios y equipos cuyas cuentas se
ubican en dicha unidad. De esta forma, podemos aplicar
restricciones distintas a subconjuntos de usuarios y equipos del
dominio, en función exclusivamente de la unidad organizativa
donde se ubican.

 Por ejemplo, podemos limitar a los usuarios del departamento de administración

para que sólo puedan utilizar ciertas aplicaciones, pero que esto no se aplique a
los usuarios del departamento de informática.

 En muchas organizaciones de pequeño o medio tamaño resulta más

adecuado implementar un modelo de dominio único con múltiples
unidades organizativas que un modelo de múltiples dominios. Si es
necesario, cada unidad puede administrarse independientemente,
con uno o varios administradores delegados y comportamientos
(políticas) diferentes.
MÉTODOS PARA CREAR UNIDADES
ORGANIZATIVAS
 La consola MMC Usuarios y equipos AD, para
crear, modificar y eliminar unidades
organizativas.
 Herramientas del servicio directorio. Conjunto
de herramientas de línea de comandos, algunas
de ellas son Dsadd, Dsmod . Cada una con
parámetros se puede agregar, modificar
unidades organizativas de AD.
 Para crear una OU Deportes en dominio
dominioX.dom
dsadd ou
ou=deportes,dc=dominiox,dc=dom
dsmod ou
ou=deportes,dc=dominiox,dc=dom –desc
DIRECTIVAS DE GRUPO
¿Qué son?
Conjuntos de parámetros para aplicar a los usuarios y/o
grupos.
¿Dónde se aplican?
A nivel de objeto contenedor, el cuál contiene un conjunto de
objetos de tipo usuarios o equipo a los que se les aplica
directivas comunes.
¿Qué ofrecen?
La posibilidad de disponer de una herramienta de
administración, que nos permite reducir el coste de ésta.
Gracias a éstas es posibles restringir el escritorio de los
usuarios, aplicar directivas de cuenta, ejecutar secuencias de
comandos, etc.
¿CÓMO SE REPRESENTAN LAS
DIRECTIVAS DE GRUPO?

Como objetos dentro del Directorio Activo, llamados GPO.

Las GPO están compuestas por:
 GPC: un objeto del Directorio Activo que representa los
atributos de la GPO. Se almacena en la carpeta Policies
del contenedor System ( el contenedor System se muestra
si las características avanzadas del menú ver están
activadas.
GPT: es una carpeta almacenada en el directorio SYSVOL.
En la ruta siguiente
%systemroot%\SYSVOL\sysvol\nombrededominio\policies
GPO
 Los GPO se crean y posteriormente se
vinculan a distintos contenedores del
Directorio Activo (sitios, dominios y
unidades organizativas), de forma que los
usuarios y equipos que se ubican dentro
de estos contenedores reciben los
parámetros de configuración establecidos
en dichos GPO. De esta forma, y
utilizando sólo el AD, cada equipo y cada
usuario del dominio puede recibir una
configuración apropiada según el tipo de
tarea que debe desempeñar.
¿CÓMO SE ORGANIZAN LAS DIRECTIVAS
DE GRUPO?

 Se organizan jerárquicamente en un árbol temático que permite

una distribución lógica de las mismas. En este árbol de políticas
existen dos nodos principales, justo por debajo del nodo raíz, que
separan las configuraciones para equipos y para usuarios:

 La configuración del equipo agrupan todos aquellos

parámetros de configuración que pueden establecerse a nivel de
equipo. Cuando una directiva de grupo afecta a un equipo, todas
aquellas que el administrador haya configurado se aplicarán al
equipo cada vez que se inicie.

 Las configuración de usuario agrupan los parámetros de

configuración que pueden establecerse a nivel de usuario.
Cuando una directiva afecta a un usuario, todas aquellas que el
administrador haya configurado se aplicarán cuando dicho
usuario inicie una sesión local (en cualquier equipo del dominio).
APLICACIÓN DE LAS DIRECTIVAS DE GRUPO

Las políticas de grupo son heredables y acumulativas, es decir,

desde el punto de vista de un equipo o de un usuario concretos, la
lista de directivas que les afecta depende de su ubicación en
Directorio Activo.
Esta lista incluye todas las directivas vinculadas a los contenedores
por los que hay que pasar para llegar desde el sitio (y dominio) hasta
la unidad organizativa concreta donde ese equipo o usuario se ubica.
Como cada directiva puede incorporar los mismos (posibles)
parámetros de configuración, es posible que se produzcan conflictos
entre las distintas directivas que afectan a un usuario/equipo.
Por ello, es necesario que exista un orden de aplicación concreto y
conocido, de forma que se sepa finalmente qué directiva(s) afectarán
a cada usuario y equipo. Este orden es el siguiente:
 Se aplican las directivas vinculadas a sitios.
 Se aplican las directivas vinculadas a dominios.
 Se aplican las directivas vinculadas a unidades organizativas de
primer nivel. En su caso, posteriormente se aplicarían a las
vinculadas a unidades de segundo nivel, de tercer nivel, etc.
Este orden de aplicación decide la prioridad entre las
directivas, puesto que una directiva que se aplica más tarde
prevalece sobre otras establecidas anteriormente (las
sobreescribe). De forma análoga a lo establecido para permisos
en el sistema de archivos NTFS, podríamos decir que las
directivas explícitas de un contenedor tienen prioridad (se
aplican más tarde) sobre las directivas heredadas de
contenedores superiores. Este comportamiento puede ser
refinado mediante dos parámetros que pueden activarse
independientemente sobre cada directiva:
No reemplazar (No override). Si una directiva tiene este
parámetro activado, sus directivas no pueden ser
sobrescritas por directivas que se apliquen más tarde.
Bloquear herencia de directivas (Block policy
inheritance). Cuando una directiva con este parámetro
activado se vincula a un contenedor, se desactiva la
herencia de las directivas establecidas en contenedores
superiores, excepto aquellas que corresponden a directivas
con el parámetro "No reemplazar".
SEGURIDAD.

Como todos los objetos dentro del directorio

activo, las directivas de grupo poseen una lista
de control de acceso. Éstas establecen qué
usuarios y grupos pueden leer, escribir,
administrar, etc., dichos objetos. En el caso
concreto de las directivas, esta asociación de
permisos a grupos de usuarios (o grupos de
seguridad) permite filtrar el ámbito de
aplicación de una directiva y delegar su
administración.
FILTRADO DE SEGURIDAD
 Para que una directiva sea aplicada a los
usuarios de un contenedor éstos deben
tener los permisos leer y aplicar directiva
de grupo. Estos permisos se aplican al
grupo de usuarios autentificados. Si
denegamos el permiso de aplicar directiva
de grupo a usuario, éste no se verá
afectado por el objeto de directiva.
 De forma predefinida, los administradores
no están sometidos a las directivas.
ADMINISTRACIÓN DE UNA DIRECTIVA.
Cualquier usuario o grupo que tenga concedido el
permiso de Control Total sobre una directiva
puede administrarla. En este caso se encuentran:
 el grupo Administración de Empresas,
 el grupo Administradores del Dominio,
 el creador del GPO (Creator Owner),
 y el sistema (System).
Es posible delegar la administración de una
directiva a otros usuarios y grupos. En realidad,
la administración de una directiva consta de dos
actividades distintas y complementarias, que
pueden delegarse independientemente:
 Creación de una directiva.
 Vinculación de una directiva a un contenedor.
PRINCIPALES DIRECTIVAS.
Se subdividen en tres grupos:
 Configuración de Software (Software
Settings). Contiene la configuración, bien del
equipo o bien de usuario, de la instalación
automática de software.
 Configuración de Windows (Windows
Settings). Contiene la configuración de ciertos
parámetros de Windows, como parámetros de
seguridad o scripts, para el equipo o para el
usuario.
 Plantillas Administrativas (Administrative
Templates). Contiene las políticas y
configuraciones que se guardan en el registro de
Windows, para el equipo o para el usuario.
 Plantillas Administrativas
Este grupo contiene todas las configuraciones de
directivas basadas en el registro de Windows 2003,
incluyendo aquellas que controlan el funcionamiento y
apariencia del escritorio, de los componentes de
Windows 2003 y de algunas aplicaciones que utilizan
estas directivas.
CONFIGURACIONES DE SEGURIDAD
Centrándonos en los aspectos de seguridad a nivel de equipo,
podemos destacar los siguientes (de entre muchos más):

 Directivas de Cuentas. Se pueden configurar todos los

aspectos sobre el plan de cuentas, tales como caducidad de
contraseñas, bloqueo de cuentas, configuración de
Kerberos, etc.
 Directivas Locales. Bajo este apartado se encuentran las
configuraciones que corresponden a la denominada
"Directiva local“, es decir, la configuración de la auditoría,
la asignación de derechos y privilegios de usuario y las
opciones de seguridad.
 Registro de Eventos. Aquí se controla el registro de
eventos en los registros de aplicación, seguridad y sistema,
que posteriormente pueden visualizarse con la herramienta
Visor de Sucesos.
INSTALACIÓN DE SOFTWARE.
Mediante este apartado se puede asignar y/o publicar aplicaciones a
equipos o a usuarios en el dominio:

 Asignar una aplicación significa que los usuarios que la

necesitan la tienen disponible en su escritorio sin necesidad de
que un administrador la instale. Cuando se asigna una aplicación
a un usuario o equipo, se crea una entrada para ella en el menú
de inicio y se configura el registro adecuadamente. La primera vez
que el usuario ejecuta la aplicación, ésta es automáticamente
instalada en el equipo cliente.
 Publicar una aplicación a un equipo o usuario le da la
oportunidad al usuario de instalar dicha aplicación bajo demanda
(a voluntad), pero no se realiza ninguna acción automática en el
equipo (no se modifica el menú de inicio ni el registro). La lista de
aplicaciones publicadas para un usuario aparecen en el Panel de
Control, bajo la herramienta de Añadir/Eliminar Programas,
desde donde pueden ser instaladas.
OTRAS DIRECTIVAS.
Redirección de carpetas
Este grupo de directivas permite redirigir la ubicación local
predefinida de ciertas carpetas particulares de cada usuario (como
"Mis Documentos" o el menú de inicio) a otra ubicación, bien sea en
la misma máquina o en una unidad de red.
Un ejemplo útil de redirección sería que la carpeta "Mis
documentos" apuntara a un directorio personal de cada usuario en
la red, como por ejemplo el recurso
\\servidor\home\%username%. Esta aproximación resulta más
últil que conectarle a dicho usuario ese recurso a una unidad de
red, puesto que muchas aplicaciones abren automáticamente la
carpeta "Mis documentos" para buscar los archivos personales de
ese usuario. Para que dicha redirección funcione correctamente, es
necesario que el usuario que recibe la redirección sea el propietario
de la carpeta compartida.
Otras directivas
Existen muchas otras directivas, entre ellas, podemos destacar el
Mantenimiento de Internet Explorer, que controla la
apariencia y la configuración personal de este navegador de web
para cada usuario, y los Servicios de Instalación Remota, etc..
RECOMENDACIONES.
Todo administrador debería tener en cuenta una serie de
reglas básicas que permiten simplificar el diseño y la
administración de las directivas de Grupo:
 Administración de directivas.
 Separar usuarios y equipos en unidades
organizativas diferentes.
 Organización homogénea de unidades organizativas.
 Minimizar las directivas asociadas a usuarios o
equipos.
 Minimizar el uso de "No reemplazar" y de "Bloquear
la herencia