ORGANIZATIVAS. DIRECTIVAS DE GRUPO OBJETIVO Estructurar u organizar el conjunto de los objetos del directorio, agrupándolos de forma coherente. Permiten:
Conseguir una estructuración lógica de los objetos del
directorio, de acuerdo con la organización de la empresa (por departamentos o secciones, sedes, delegaciones geográficas, etc.).
Delegar la administración. Cada unidad organizativa puede
administrarse de forma independiente. En concreto, se puede otorgar la administración total o parcial de una unidad organizativa a un usuario o grupo de usuarios cualquiera. Establecer de forma centralizada comportamientos distintos a usuarios y equipos. A cada unidad organizativa pueden vincularse políticas de grupo, que aplican comportamientos (generalmente en forma de restricciones) a los usuarios y equipos cuyas cuentas se ubican en dicha unidad. De esta forma, podemos aplicar restricciones distintas a subconjuntos de usuarios y equipos del dominio, en función exclusivamente de la unidad organizativa donde se ubican.
Por ejemplo, podemos limitar a los usuarios del departamento de administración
para que sólo puedan utilizar ciertas aplicaciones, pero que esto no se aplique a los usuarios del departamento de informática.
En muchas organizaciones de pequeño o medio tamaño resulta más
adecuado implementar un modelo de dominio único con múltiples unidades organizativas que un modelo de múltiples dominios. Si es necesario, cada unidad puede administrarse independientemente, con uno o varios administradores delegados y comportamientos (políticas) diferentes. MÉTODOS PARA CREAR UNIDADES ORGANIZATIVAS La consola MMC Usuarios y equipos AD, para crear, modificar y eliminar unidades organizativas. Herramientas del servicio directorio. Conjunto de herramientas de línea de comandos, algunas de ellas son Dsadd, Dsmod . Cada una con parámetros se puede agregar, modificar unidades organizativas de AD. Para crear una OU Deportes en dominio dominioX.dom dsadd ou ou=deportes,dc=dominiox,dc=dom dsmod ou ou=deportes,dc=dominiox,dc=dom –desc DIRECTIVAS DE GRUPO ¿Qué son? Conjuntos de parámetros para aplicar a los usuarios y/o grupos. ¿Dónde se aplican? A nivel de objeto contenedor, el cuál contiene un conjunto de objetos de tipo usuarios o equipo a los que se les aplica directivas comunes. ¿Qué ofrecen? La posibilidad de disponer de una herramienta de administración, que nos permite reducir el coste de ésta. Gracias a éstas es posibles restringir el escritorio de los usuarios, aplicar directivas de cuenta, ejecutar secuencias de comandos, etc. ¿CÓMO SE REPRESENTAN LAS DIRECTIVAS DE GRUPO?
Como objetos dentro del Directorio Activo, llamados GPO.
Las GPO están compuestas por: GPC: un objeto del Directorio Activo que representa los atributos de la GPO. Se almacena en la carpeta Policies del contenedor System ( el contenedor System se muestra si las características avanzadas del menú ver están activadas. GPT: es una carpeta almacenada en el directorio SYSVOL. En la ruta siguiente %systemroot%\SYSVOL\sysvol\nombrededominio\policies GPO Los GPO se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPO. De esta forma, y utilizando sólo el AD, cada equipo y cada usuario del dominio puede recibir una configuración apropiada según el tipo de tarea que debe desempeñar. ¿CÓMO SE ORGANIZAN LAS DIRECTIVAS DE GRUPO?
Se organizan jerárquicamente en un árbol temático que permite
una distribución lógica de las mismas. En este árbol de políticas existen dos nodos principales, justo por debajo del nodo raíz, que separan las configuraciones para equipos y para usuarios:
La configuración del equipo agrupan todos aquellos
parámetros de configuración que pueden establecerse a nivel de equipo. Cuando una directiva de grupo afecta a un equipo, todas aquellas que el administrador haya configurado se aplicarán al equipo cada vez que se inicie.
Las configuración de usuario agrupan los parámetros de
configuración que pueden establecerse a nivel de usuario. Cuando una directiva afecta a un usuario, todas aquellas que el administrador haya configurado se aplicarán cuando dicho usuario inicie una sesión local (en cualquier equipo del dominio). APLICACIÓN DE LAS DIRECTIVAS DE GRUPO
Las políticas de grupo son heredables y acumulativas, es decir,
desde el punto de vista de un equipo o de un usuario concretos, la lista de directivas que les afecta depende de su ubicación en Directorio Activo. Esta lista incluye todas las directivas vinculadas a los contenedores por los que hay que pasar para llegar desde el sitio (y dominio) hasta la unidad organizativa concreta donde ese equipo o usuario se ubica. Como cada directiva puede incorporar los mismos (posibles) parámetros de configuración, es posible que se produzcan conflictos entre las distintas directivas que afectan a un usuario/equipo. Por ello, es necesario que exista un orden de aplicación concreto y conocido, de forma que se sepa finalmente qué directiva(s) afectarán a cada usuario y equipo. Este orden es el siguiente: Se aplican las directivas vinculadas a sitios. Se aplican las directivas vinculadas a dominios. Se aplican las directivas vinculadas a unidades organizativas de primer nivel. En su caso, posteriormente se aplicarían a las vinculadas a unidades de segundo nivel, de tercer nivel, etc. Este orden de aplicación decide la prioridad entre las directivas, puesto que una directiva que se aplica más tarde prevalece sobre otras establecidas anteriormente (las sobreescribe). De forma análoga a lo establecido para permisos en el sistema de archivos NTFS, podríamos decir que las directivas explícitas de un contenedor tienen prioridad (se aplican más tarde) sobre las directivas heredadas de contenedores superiores. Este comportamiento puede ser refinado mediante dos parámetros que pueden activarse independientemente sobre cada directiva: No reemplazar (No override). Si una directiva tiene este parámetro activado, sus directivas no pueden ser sobrescritas por directivas que se apliquen más tarde. Bloquear herencia de directivas (Block policy inheritance). Cuando una directiva con este parámetro activado se vincula a un contenedor, se desactiva la herencia de las directivas establecidas en contenedores superiores, excepto aquellas que corresponden a directivas con el parámetro "No reemplazar". SEGURIDAD.
Como todos los objetos dentro del directorio
activo, las directivas de grupo poseen una lista de control de acceso. Éstas establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de las directivas, esta asociación de permisos a grupos de usuarios (o grupos de seguridad) permite filtrar el ámbito de aplicación de una directiva y delegar su administración. FILTRADO DE SEGURIDAD Para que una directiva sea aplicada a los usuarios de un contenedor éstos deben tener los permisos leer y aplicar directiva de grupo. Estos permisos se aplican al grupo de usuarios autentificados. Si denegamos el permiso de aplicar directiva de grupo a usuario, éste no se verá afectado por el objeto de directiva. De forma predefinida, los administradores no están sometidos a las directivas. ADMINISTRACIÓN DE UNA DIRECTIVA. Cualquier usuario o grupo que tenga concedido el permiso de Control Total sobre una directiva puede administrarla. En este caso se encuentran: el grupo Administración de Empresas, el grupo Administradores del Dominio, el creador del GPO (Creator Owner), y el sistema (System). Es posible delegar la administración de una directiva a otros usuarios y grupos. En realidad, la administración de una directiva consta de dos actividades distintas y complementarias, que pueden delegarse independientemente: Creación de una directiva. Vinculación de una directiva a un contenedor. PRINCIPALES DIRECTIVAS. Se subdividen en tres grupos: Configuración de Software (Software Settings). Contiene la configuración, bien del equipo o bien de usuario, de la instalación automática de software. Configuración de Windows (Windows Settings). Contiene la configuración de ciertos parámetros de Windows, como parámetros de seguridad o scripts, para el equipo o para el usuario. Plantillas Administrativas (Administrative Templates). Contiene las políticas y configuraciones que se guardan en el registro de Windows, para el equipo o para el usuario. Plantillas Administrativas Este grupo contiene todas las configuraciones de directivas basadas en el registro de Windows 2003, incluyendo aquellas que controlan el funcionamiento y apariencia del escritorio, de los componentes de Windows 2003 y de algunas aplicaciones que utilizan estas directivas. CONFIGURACIONES DE SEGURIDAD Centrándonos en los aspectos de seguridad a nivel de equipo, podemos destacar los siguientes (de entre muchos más):
Directivas de Cuentas. Se pueden configurar todos los
aspectos sobre el plan de cuentas, tales como caducidad de contraseñas, bloqueo de cuentas, configuración de Kerberos, etc. Directivas Locales. Bajo este apartado se encuentran las configuraciones que corresponden a la denominada "Directiva local“, es decir, la configuración de la auditoría, la asignación de derechos y privilegios de usuario y las opciones de seguridad. Registro de Eventos. Aquí se controla el registro de eventos en los registros de aplicación, seguridad y sistema, que posteriormente pueden visualizarse con la herramienta Visor de Sucesos. INSTALACIÓN DE SOFTWARE. Mediante este apartado se puede asignar y/o publicar aplicaciones a equipos o a usuarios en el dominio:
Asignar una aplicación significa que los usuarios que la
necesitan la tienen disponible en su escritorio sin necesidad de que un administrador la instale. Cuando se asigna una aplicación a un usuario o equipo, se crea una entrada para ella en el menú de inicio y se configura el registro adecuadamente. La primera vez que el usuario ejecuta la aplicación, ésta es automáticamente instalada en el equipo cliente. Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario de instalar dicha aplicación bajo demanda (a voluntad), pero no se realiza ninguna acción automática en el equipo (no se modifica el menú de inicio ni el registro). La lista de aplicaciones publicadas para un usuario aparecen en el Panel de Control, bajo la herramienta de Añadir/Eliminar Programas, desde donde pueden ser instaladas. OTRAS DIRECTIVAS. Redirección de carpetas Este grupo de directivas permite redirigir la ubicación local predefinida de ciertas carpetas particulares de cada usuario (como "Mis Documentos" o el menú de inicio) a otra ubicación, bien sea en la misma máquina o en una unidad de red. Un ejemplo útil de redirección sería que la carpeta "Mis documentos" apuntara a un directorio personal de cada usuario en la red, como por ejemplo el recurso \\servidor\home\%username%. Esta aproximación resulta más últil que conectarle a dicho usuario ese recurso a una unidad de red, puesto que muchas aplicaciones abren automáticamente la carpeta "Mis documentos" para buscar los archivos personales de ese usuario. Para que dicha redirección funcione correctamente, es necesario que el usuario que recibe la redirección sea el propietario de la carpeta compartida. Otras directivas Existen muchas otras directivas, entre ellas, podemos destacar el Mantenimiento de Internet Explorer, que controla la apariencia y la configuración personal de este navegador de web para cada usuario, y los Servicios de Instalación Remota, etc.. RECOMENDACIONES. Todo administrador debería tener en cuenta una serie de reglas básicas que permiten simplificar el diseño y la administración de las directivas de Grupo: Administración de directivas. Separar usuarios y equipos en unidades organizativas diferentes. Organización homogénea de unidades organizativas. Minimizar las directivas asociadas a usuarios o equipos. Minimizar el uso de "No reemplazar" y de "Bloquear la herencia