Qu es una directiva de grupo?

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o ms polticas del sistema. Cada una de las polticas del sistema establece una configuracin del objeto al que afecta. Por ejemplo, tenemos polticas para: Establecer el ttulo del explorador de Internet Ocultar el panel de control Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE Establecer qu paquetes MSI se pueden instalar en un equipo Etc

Cules son los tipos troncales de directivas?

Podemos definir dos categoras de tipos troncales de directivas: 1. Segn su funcin 2. Segn su objeto de configuracin

Directivas segn su funcin

Hay dos tipos troncales de directivas segn su funcin: 1. Directivas de seguridad: Cuntos caracteres tiene una contrasea? Cada cuanto tiempo debe ser cambiada sta?, etc. Pueden ser aplicadas: a. A nivel de dominio: Son aplicadas en todas las mquinas del dominio.

b. A nivel de controladores de dominio: Se aplican tan slo en los controladores de dominio, pero sin suplantar a las del dominio (en caso de entrar en contradiccin una y otra, se aplica la del dominio, no la de los controladores de dominio). 2. Directivas de Entorno (GPO -> Group Policy Object): Quin tiene acceso al panel de control? Cul es el tamao mximo del archivo de registro de sistema? Pueden ser aplicadas: a. b. c. d. A nivel de equipo local A nivel de sitio A nivel de dominio A nivel de Unidad Organizativa (OU -> Organizational Unit).

Directivas segn el objeto al que configuran

Respecto al objeto al que configuran tambin son dos: e. Configuracin del equipo: que se divide en: i. Configuracin de software ii. Configuracin de Windows iii. Plantillas administrativas f. Configuracin del usuario, que al igual que la de Windows se divide en: i. Configuracin de software ii. Configuracin de Windows iii. Plantillas administrativas

Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de stas son diferentes las polticas que se encuentran.

Qu objetos son los contenedores de las GPOs?

Las GPOs pueden estar contenidas en cuatro tipos de objetos: 1. Equipos Locales: son aplicadas nicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con gpedit.msc. Estas son las nicas polticas que se aplican a los equipos que no estn en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer). 2. Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan. 3. Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio. 4. Unidades Organizativas de Active Directory: se aplican nicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).

Cmo se crea, quita o elimina una GPO?

Qu mejor forma de ver cmo se crea una GPO que poniendo un caso prctico. Vamos a obligar a los usuarios del dominio a hacer CTRL+ALT+SUPR para poder iniciar sesin. Para ello abrimos Usuarios y Equipos de Active Directory. Hacemos clic derecho sobre el nodo con el nombre del dominio y pulsamos Propiedades:

En la ventana que se abre pulsamos la pestaa Directiva de Grupo:

Pulsando el botn Nueva se crear una nueva GPO debajo de la Default Domain Policy a la que llamaremos Pulsar CTRL+ALT+SUPR

Si ahora seleccionamos la nueva GPO y pulsamos SUPR en el teclado podramos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podr ser utilizada ms adelante o en otro contenedor; eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos Cancelar Ya tenemos creada la GPO; ahora debemos modificar la poltica para que obligue a los usuarios del dominio a hacer CTRL+ALT+SUPR para iniciar sesin en los equipos.

Cmo se definen polticas?

Si seleccionamos con el ratn la GPO que hemos creado y pulsamos el botn Modificar se nos abrir una consola de directiva de grupo:

Nos desplazamos en el rbol a Configuracin del equipo/Configuracin de Windows/Configuracin de seguridad/Directivas locales/Opciones de seguridad:

Hacemos doble click sobre la directiva Inicio de sesin interactivo: no requerir Ctrl.+Alt+Supr y podremos definir sta poltica como deshabilitada:

La casilla Definir esta configuracin de directiva tiene el efecto: Marcada Sin Marcar La poltica quedar definida con el valor seleccionado en las opciones de debajo. La poltica hereda su definicin o no y si est habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio).

A su vez, cuando la casilla est marcada podemos elegir entre las opciones:

Habilitada

Deshabilitada

Hace que la poltica quede habilitada. Esto significa que se realizar la configuracin que la propia poltica define con su nombre y por tanto, en nuestro ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesin. Cuando se deshabilita la poltica, se impide que se realice la configuracin que la propia poltica define con su nombre. Por tanto, en el ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR para iniciar sesin.

Cmo se vincula una poltica ya existente?

A pesar de que una GPO es creada en un contenedor, sto slo es una apariencia. Realmente es creada alojndola en el dominio desde el que es creada y vinculada al contenedor desde el que es creada. Esto nos permite crear una sola GPO y aplicarla en cualquier parte del bosque al que pertenece el dominio donde est alojada la GPO; es decir, a todos los sitios, dominios y OUs del bosque. Imaginemos un bosque con tres dominios; agregando a cada dominio la GPO que creamos antes, obligaremos a pulsar CTRL+ALT+SUPR a los usuarios de los tres dominios, habiendo creado una nica GPO. Para vincular una poltica pulsamos Agregar en la pestaa Directiva de grupo de las propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente dilogo:

Seleccionamos aqu la GPO que queremos vincular. Hay tres formas de buscarlas, una por pestaa: Pestaa Muestra las GPOs Dominios y OUs Que estn aplicadas en el dominio y sus UOs, vindose las OUs como carpetas y las polticas con su icono caracterstico. El desplegable Buscar en nos permite alternar entre los dominios del bosque. Sitios Que estn aplicadas en un sitio. Con el desplegable Buscar en podemos cambiar entre los sitios que integran el bosque.

Toda

Que estn almacenadas en un dominio. Con el desplegable Buscar en podemos alternar entre los dominios del bosque. Simplemente tendremos que sealar la GPO que queramos vincular y pulsar Aceptar para hacerlo.

Cules son las propiedades de una GPO?

Accedemos a las propiedades de la GPO pulsando el botn Propiedades de la pestaa Directiva de grupo de las propiedades de un contenedor. En la ventana de propiedades encontramos tres pestaas: Pestaa General Funcin Captura Muestra informacin sobre la GPO y permite deshabilitar toda la rama de configuracin del equipo y/o toda la rama de configuracin de usuario. Esto sirve para agilizar la aplicacin de la GPO, mejorando el rendimiento. Como en nuestro caso la poltica que obliga a hacer CTRL+ALT+SUPR para iniciar sesin es una configuracin de equipo, podremos marcar la casilla que deshabilita los parmetros de configuracin de usuario.

Vnculos

Permite buscar los sitios, dominios y OUs en los que est agregada la GPO. Con el desplegable Dominio podemos seleccionar el dominio del bosque en el que buscamos.

Seguridad

Sirve para establecer los permisos de la GPO. Podemos asignar permisos a los siguientes objetos: 1. Usuarios 2. Equipos 3. Grupos 4. Principios de seguridad incorporados

Filtro WMI (slo en Windows XP y Windows Server 2003 y con al menos un controlador de dominio que sea Windows Server 2003)

Sirve para realizar bsquedas basadas en WMI de caractersticas especficas de los equipos a los que se aplica la GPO. Estas caractersticas pueden ser: 1. Un patrn de nombre de equipo 2. Tipo de Sistema Operativo 3. Nivel de Service Pack 4. Cualquier caracterstica del equipo que podamos consultar con WQL Los equipos con Windows 2000 ignoran este tipo de filtros y procesan las GPOs sin tener en cuenta si por sus caractersticas deberan hacerlo o no. Por ello, una forma de ejecutar polticas que slo se apliquen a equipos con Windows 2000 es filtrar con WMI poniendo que el tipo de SO es Windows 2000 o que el tipo de SO no es Windows XP. Si queremos aplicar polticas con filtros WMI a equipos con tan slo XP o 2003, ser necesario que nos llevemos las cuentas de los Windows 2000 a otra OU en la que no estaran vinculadas esas GPOs.

Pestaa Seguridad
La pestaa Seguridad nos permite realizar dos tareas con las GPOs: 1. Filtrar el alcance de la GPO, permitiendo que sea slo aplicada a los usuarios, equipos, grupos y/o Principios de seguridad incorporados (objetos Builtin, etc.). 2. Delegar el control de la GPO, permitiendo as la modificacin, etc., a determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados. Hay que tener en cuenta que esto se hace sobre toda la GPO, no se puede especificar nicamente a algunas polticas de la GPO, si no que se hace para todas las contenidas en la GPO. Para realizar el filtrado del alcance y la delegacin del control se utilizan permisos que se aplican a los objetos en que estn especificados. Estos permisos pueden ser concedidos o denegados, prevaleciendo la denegacin sobre la concesin. De forma predeterminada estas son las entradas de seguridad de una GPO (se indican aquellos permisos que estn, concedidos): Grupo de seguridad Usuarios autentificados CREATOR OWNER Administradores del Dominio Configuracin predeterminada Leer, aplicar directiva de grupo y permisos adicionales Permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales

Administracin de empresas

SYSTEM

Pestaa Filtro WMI

La pestaa Filtro WMI nos permite filtrar el alcance de la GPO en funcin a caractersticas de los equipos que estn dentro del alcance de la GPO. Para acceder a estas caractersticas se utilizan bsquedas WQL, el lenguaje de bsqueda en WMI basado en SQL. Slo se puede aplicar un filtro WMI a una GPO, filtro WMI que consiste en una o ms bsquedas WQL. Al igual que pasaba con los permisos establecidos en la pestaa seguridad, el filtro es aplicado a toda la GPO, no se puede aplicar a determinadas directivas solamente. Para establecer los filtros WMI (aplicables slo en Windows XP y Windows Server 2003; adems, es necesario que al menos un controlador de dominio sea un Windows Server 2003) se hace desde la pestaa Filtro WMI, marcamos la opcin Este filtro y pulsamos el botn Examinar/administrar, apareciendo el cuadro de dilogo Administrar filtros WMI, donde podremos crear filtros, modificarlos, eliminarlos, importar/exportar y seleccionar el que queramos aplicar. Para crear, modificar y eliminar deberemos hacer click sobre el botn Avanzadas >> con lo que el cuadro de dilogo queda as:

Los botones y sus acciones son: Botn Accin

Aceptar Cancelar Ayuda Columnas

Avanzadas Nuevo Eliminar

Duplicar Importar Exportar Guardar

Aplica a la GPO el filtro WMI que est seleccionado en la lista Filtros WMI y cierra el cuadro de dilogo. Cierra el cuadro de dilogo sin aplicar ningn cambio al filtrado WMI de la GPO. Muestra la ayuda de administracin de filtros WMI. Nos permite especificar qu columnas aparecern en la lista de filtros. De forma predeterminada aparecen todas, es decir, Descripcin, Autor, Fecha de modificacin y Fecha de creacin. La columna Nombre siempre aparece en la lista de filtros, no es una columna que se pueda ocultar. Expande o contrae el cuadro de dilogo para ocultar o mostrar en la parte de abajo los controles de edicin de filtros WMI. Nos permite crear un nuevo filtro WMI. Nos permite eliminar el filtro WMI seleccionado en la lista Filtros WMI. El filtro se elimina, pero no las vinculaciones a GPOs que tenga; es necesario eliminar esos vnculos de forma manual, ya sea configurando otro filtro en su lugar o deshabilitando los filtros WMI en las GPOs afectadas. Nos permite crear un nuevo filtro en base al que se encuentre seleccionado en la lista Filtros WMI. Nos permite importar un filtro que anteriormente fuera exportado a un fchero MOF. Nos permite exportar un filtro a un fichero MOF. Guarda el filtro con el nombre, descripcin y consulta que lo compone. Esto es as tanto en filtros creados como en filtros que se modifican.

Debemos tener en cuenta que no se deben aplicar filtros WMI alegremente, pues ralentizan el inicio del equipo.

Cmo se procesan las GPOs?

Competencia entre contenedores
Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios, dominios y unidades organizativas (en adelante OU). Como un usuario, por ejemplo, estar en un equipo local que a su vez se ubicar en un sitio, pertenecer a un dominio y ser miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.). Se podra dar el caso, por tanto, de que las GPOs contuvieran polticas que se contradijeran entre s. Cuando se dan casos de estos, el sistema de GPOs est implementado para asegurar que siempre se aplicarn las polticas, y para ello establece una forma de prioridad entre stas por la cual, segn dnde estn asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas que a continuacin, con la ayuda de dos figuras, describiremos.
Figura 1

Sitio Dominio Unidad Organizativa Equipo Local

En la figura 1 vemos, de forma resumida, cul es la prioridad de las GPOs. Las GPOs de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras; las polticas se suman, slo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si

a nivel de dominio habilitamos la poltica de deshabilitacin del panel de control y en la OU deshabilitamos esta poltica, y suponemos que ninguna otra de las polticas a nivel de dominio entra en contradiccin con ninguna otra de las de la OU, el resultado que se aplicar a un objeto contenido dentro de la OU ser la suma de ambas GPOs, salvo que la poltica que se aplica respecto a la deshabilitacin del panel de control ser la de la OU, no la del dominio, y por tanto el panel de control ser visible. En la figura 2 vemos un diagrama de flujo que nos explica cmo son aplicadas las GPOs; se puede apreciar el orden en que son ledas y como se acta en caso de que se contradigan o no. Como se puede suponer, si hubiera una OU de tercer nivel, sta prevalecera sobre la hija y obviamente una de cuarto nivel sobre la de tercer nivel y as sucesivamente:

Se leen las GPOs locales

Figura 2

Se leen las GPOs del Sitio S Se contradicen? No Se suman Se suman las coherentes y de las contradictorias prevalecen las de Sitio

Se leen las GPOs del Dominio S Se contradicen? No Se suman Se suman las coherentes y de las contradictorias prevalecen las de Dominio

Se leen las GPOs de la OU

S
Se contradicen? No Se suman

Se suman las coherentes y de las contradictorias prevalecen las de OU

Se leen las GPOs de la OU hija S Se contradicen? No Se suman las coherentes y de las contradictorias prevalecen las de la OU hija

Competencia dentro de un mismo contenedor

Tambin se puede dar el caso de que en un mismo contenedor, por ejemplo una OU, se aplique ms de una GPO. Esta posibilidad abre otra; la de que puedan contradecirse entre s las GPOs que son aplicadas a se contenedor. Cmo se resuelve esta problemtica? Muy simple: prevalecer la de la GPO que est ms alta en la lista de las aplicadas al contenedor, como se ve en la figura 3.

Figura 3: Prevalencia en un mismo contenedor

Esto no significa que una GPO anule a las que estn situadas debajo de ella; al igual que vimos con la competencia entre los objetos sobre los que se pueden aplicar, las polticas en realidad se suman cuando no se contradicen entre ellas, slo en el caso de contradecirse es cuando prevalece la superior (la forma de aplicacin es exactamente la misma que veamos en el

diagrama de flujo de la figura 2, slo que en cada salto lo que se evala es la GPO, empezando por la inferior y terminando en la superior).

Procesamiento en modo de bucle inverso

Cuando tenemos equipos que estn en un entorno en el cual se desea tener control sobre su configuracin independientemente del usuario que inicie sesin en l, como por ejemplo laboratorios, aulas, bibliotecas, quioscos, etc., precisamos de un mecanismo que altere la forma de ordenacin del procesamiento en las directivas de configuracin de usuario. Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien sesin en los equipos del aula no puedan acceder al entorno de red. Lo lgico ser crear una OU a la que moveremos los equipos del aula, crear una GPO que deshabilite el entorno de red y vincularla a la OU del aula. Bien, esto no funcionara, ya que como la deshabilitacin del panel de control es una configuracin de usuario y el usuario no pertenece a la OU, no se ve afectado por esta poltica. El procesamiento en modo de bucle inverso permite hacer que s se apliquen las polticas de configuracin de usuario a pesar de no pertenecer el usuario a la OU en la que se aplica. Para activar el procesamiento en modo de bucle inverso debemos situarnos en el rbol de la consola de directiva de grupo en el nodo Configuracin del equipo/Plantillas administrativas/Sistema/Directiva de grupo y en panel de detalles hacer doble clic sobre la poltica Modo de procesamiento de bucle invertido de la directiva de grupo de usuario. Se nos abre un dilogo en el que podremos configurar la poltica. Hay dos modos de procesamiento de bucle inverso: Modo Sustituir Efecto Las directivas sustituyen a las que se le aplicaran normalmente al usuario. De esta manera hacemos que las configuraciones propias del usuario sean las de la GPO, unificando la configuracin para los usuarios a los que tenga alcance. Combinar Se combinarn ambas, las propias del usuario ms las que especifica la GPO; en caso de contradiccin en una poltica prevalece la de la GPO sobre las propias del usuario. As

conseguimos que determinadas opciones sean iguales para todos los usuarios a los que alcance y que conserven sus configuraciones propias que no entren en conflicto con las de la GPO.

Herencia
Las GPOs se heredan
Las GPOs, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir: 1. Las OUs de primer nivel heredan del Dominio 2. Las OUs hijas heredan de las de primer nivel 3. Las OUs de nivel 3 heredan de las hijas . . . n-1. Las OUs de nivel n-1 heredan de las de nivel n-2 n. Las OUs de nivel n heredan de las de nivel n-1 Si nos fijamos en la figura 4, vemos que el dominio contiene a la OU-padre, sta a la OU-hija, que a su vez contiene a la OU-3 quien, por ltimo, contiene a la OU-4. En base a este ejemplo explicaremos la herencia.

Figura 4: Vemos en esta figura cmo estn contenidas unas OU en otras

En la siguiente tabla vemos qu poltica es asignada a cada contenedor; que quede bien claro que tan slo se ver, en la pestaa Directiva de grupo de las propiedades del contenedor, la GPO que le corresponde en la tabla: Contenedor Dominio UO padre OU hija OU-3 OU-4 GPO asignada GPO del Dominio GPO padre GPO hija GPO 3 GPO 4

En la figura 5 vemos un ejemplo de cmo es asignada la GPO en el contenedor:

Figura 5: La poltica de grupo GPO 3 es asignada a la unidad organizativa OU-3

Segn esta relacin de contenedores y de GPOs, en la siguiente tabla vemos, marcado por X, qu GPOs afectan a qu contenedores; se ve claramente cmo son heredadas las GPOs por los contenedores: Dominio OU padre OU hija OU 3 OU 4

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

X X

X X X

X X X X

X X X X X

La herencia de las GPOs se puede bloquear

Si en la pestaa Directiva de grupo de las propiedades de una OU activamos la casilla Bloquear la herencia de directivas (figura 6), conseguiremos que no se apliquen las GPOs de los objetos que la contienen. Siguiendo el ejemplo de antes, si activsemos esta casilla en la OU Padre el resultado sera: Dominio X OU padre OU hija OU 3 OU 4

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

X X

X X X

X X X X

Si la casilla estuviese en la GPO hija en vez de en la padre: Dominio X OU padre X X X X X OU hija OU 3 OU 4

GPO Dominio GPO padre GPO hija

del

GPO 3 GPO 4 Si estuviera activada en ambas: Dominio X OU padre OU hija

X X

OU 3

OU 4

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

X X X X X X X

Figura 6: bloqueando herencia en OU-Hija

Hay que sealar que las polticas de grupo locales(las aplicadas en la misma mquina con gpedit.msc) no pueden ser bloqueadas.

Los bloqueos de herencia pueden saltarse

Si a una GPO le habilitamos la opcin no reemplazar (figura 7) se saltar los bloqueos, de forma que siempre ser aplicada:

De esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la GPO Padre el resultado sera: Dominio X OU padre X X OU hija X X X OU 3 OU 4

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

X X

X X X

Si activamos el bloqueo en la OU Hija y no reemplazar en la GPO del Dominio: Dominio X OU padre X X X X X X X X OU hija X OU 3 X OU 4 X

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

Cmo debo implementar las GPOs?

Se tiene que tener en cuenta principalmente la estructura presente y futura de la organizacin que se administra, la estructura administrativa del dominio y la forma deseada de procesamiento en s de las directivas, para crear el modelo que mejor responda a nuestras necesidades e intereses. Como las herramientas para establecer las polticas en el dominio son las GPOs,

que son conjuntos de una o ms polticas, lo primero definiremos los tipos de GPOs segn su diseo, para posteriormente estudiar las estrategias segn diferentes conceptos.

Qu tipos de diseos tenemos de GPOs

Tenemos tres tipos de diseos de GPOs segn las polticas que configuran: 1. GPO de directiva nica: cuando est orientada a un solo tipo de configuracin (por ejemplo propiedades de Active Desktop). Es adecuado para organizaciones que delegan responsabilidades administrativas en muchos usuarios. 2. GPO de directiva mltiple: cuando est orientada a varios tipos de configuracin (por ejemplo, configuracin de IE, de explorador de Windows, de instalacin de software, etc.). Adecuado para organizaciones en las que la administracin est centralizada. 3. GPO de directiva dedicada: cuando configura slo polticas de equipo o de usuario. Aumenta el nmero de GPOs a ser procesadas en el inicio de sesin, alargando ste, pero es til para aislar los problemas en la aplicacin de una GPO.

Qu estrategias de aplicacin de GPOs hay?

Hay dos estrategias de en funcin de cmo sern aplicadas las GPOs: 1. Por capas: en esta estrategia se busca el que aparezca en el menor nmero posible de GPOs un tipo de configuracin en concreto. De esta manera, se parte de una poltica comn a todo el dominio aplicada a ste, en la cual no aparecen las configuraciones que son individuales para una OU .Pongamos que la configuracin de escritorio es diferente en cada OU y la configuracin de Proxy para el Internet Explorer es igual en todas las OUs; definiramos a nivel de dominio la configuracin de Proxy (ya sea con una GPO de directiva nica o unida con otras directivas comunes a todas las OUs en una directiva mltiple) y crearamos una GPO por OU con la configuracin de escritorio propia de la OU en una directiva nica:

a. Ventaja: La administracin es ms simple, al estar localizados perfectamente los puntos de aplicacin de cada configuracin y ser ms fcil realizar cambios por tener que hacerlo en menos GPOs. b. Inconveniente: El tiempo de inicio de sesin se alarga, al tener que procesarse mltiples GPOs. c. Adecuado: Para organizaciones cuya configuracin de seguridad es comn y con cambios frecuentes de directivas. 2. Monoltico: Lo que se busca con este enfoque es que se apliquen el menor nmero posible de polticas; el ideal sera que se aplique tan slo una. Para ello se configura una nica GPO de directiva mltiple en cada OU y no se aplica GPO alguna en el dominio. a. Ventaja: el inicio de sesin est optimizado para que sea lo ms rpido posible. b. Desventaja: la administracin es ms trabajosa; si necesitamos hacer un cambio de configuracin comn a todo el dominio, tendremos que retocar tantas GPOs como OUs tengamos. c. Adecuado: Para organizaciones en las cuales se pueden clasificar en muy pocos grupos la asignacin de las directivas (digamos pocas OUs,) de forma que el aumento de las tareas administrativas orientadas a las directivas no sea preocupante.

Qu estrategias hay en funcin del trabajo?

En funcin de la forma de la organizacin de realizar su trabajo, hay dos estrategias: 1. Por roles: Se utiliza una estructura de OUs que refleje los tipos de trabajo de la organizacin, como pueda ser comerciales, administrativos, marketing, etc. Aplicando el menor nmero posible de GPOs. Digamos que es un diseo por capas en el cual las GPOs de directiva nica de las OUs son fusionadas en una nica GPO de directiva mltiple por OU. a. Ventaja: Los inicios de sesin son ms rpidos que en una estrategia por capas. b. Desventaja: La administracin es algo ms trabajosa que en una estrategia por capas. c. Adecuado: Para organizaciones en las cuales el trabajo est muy definido en funcin a roles. 2. Por equipos: Se basa en vincular todas las GPOs al dominio en vez de a las OUs; el alcance de las GPOs se filtrar en base a grupos de seguridad. De esta forma se aplicarn una GPO a todos los usuarios pertenecientes a un grupo de seguridad determinado independientemente de la OU a la que pertenezcan.

a. Ventajas: Se minimizan las vinculaciones de GPOs a OUs y se centraliza la administracin de las GPOs. b. Desventaja: El inicio de sesin ser ms lento cuantos ms equipos de trabajo existan. c. Adecuado: Para organizaciones en las que no corresponda el trabajo a realizar segn roles, sino segn tareas (por ejemplo, en un proyecto de desarrollo de software habr desarrolladores, comerciales, administrativos, directivos, etc., que necesitarn determinadas configuraciones comunes a ellos, como la carpeta del proyecto; un comercial puede estar en ms de un proyecto y necesitar acceso a las carpetas de los proyectos en los que est implicado). Tambin es adecuado cuando se quiere que la administracin de las polticas est centralizada y sea muy flexible a las cambiantes necesidades de la organizacin.

Qu estrategias hay en funcin del tipo de control?

Cuando utilizamos la delegacin del control de las GPOs tenemos dos estrategias para realizarlo, que se corresponden con los diseos: 1. Diseo de control centralizado: En este diseo los administradores de OU tienen delegado el control de las GPOs, pero a su vez se conserva un control centralizado. Para hacerlo, las polticas a nivel de dominio llevarn activada la opcin No reemplazar. Es til para organizaciones que quieren que los administradores de OUs tengan libertad de accin pero, a su vez, haya configuraciones comunes a todo el dominio que no puedan ser bloqueadas. 2. Diseo de control distribuido: Cuando, adems de tener control de su OU, un administrador de OU pueda bloquear las polticas del dominio. Es adecuado para organizaciones que quieren minimizar el nmero de dominios sin perder la autonoma de las OUs. A pesar de la capacidad de los administradores de OU de bloquear polticas, determinadas configuraciones, como por ejemplo de seguridad, siguen pudiendo estar centralizadas cuando se active en ellas la opcin No reemplazar.

Qu estrategia seguir?
Estas estrategias que hemos descrito, no son ms que una categorizacin de estrategias segn las necesidades y prestaciones deseadas. Cada organizacin es un caso totalmente distinto, y por ello, cada organizacin deber llevar la estrategia

que ms le convenga. En algunos casos la estrategia deseable ser alguna de las estrategias anteriores tal y como han sido descritas; en otras habrn de ser personalizadas y a veces habrn de mezclarse dos o ms de ellas, e incluso estando retocadas las integrantes de la mezcla.

Bibliografa:
Principalmente los apuntes tomados en las clases de MCSE impartidas por Ernesto Vilches en CICE. Libros en lnea de Windows 2000 Resource Kit Ayuda de Windows 2000 Microsoft Windows 2000 Active Directory Services. Curso oficial de certificacin MCSE de la editorial Mc Graw Hill ISBN: 84-481-2889-3