Documente Academic
Documente Profesional
Documente Cultură
Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o ms polticas del sistema. Cada una de las polticas del sistema establece una configuracin del objeto al que afecta. Por ejemplo, tenemos polticas para: Establecer el ttulo del explorador de Internet Ocultar el panel de control Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE Establecer qu paquetes MSI se pueden instalar en un equipo Etc
b. A nivel de controladores de dominio: Se aplican tan slo en los controladores de dominio, pero sin suplantar a las del dominio (en caso de entrar en contradiccin una y otra, se aplica la del dominio, no la de los controladores de dominio). 2. Directivas de Entorno (GPO -> Group Policy Object): Quin tiene acceso al panel de control? Cul es el tamao mximo del archivo de registro de sistema? Pueden ser aplicadas: a. b. c. d. A nivel de equipo local A nivel de sitio A nivel de dominio A nivel de Unidad Organizativa (OU -> Organizational Unit).
Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de stas son diferentes las polticas que se encuentran.
Pulsando el botn Nueva se crear una nueva GPO debajo de la Default Domain Policy a la que llamaremos Pulsar CTRL+ALT+SUPR
Si ahora seleccionamos la nueva GPO y pulsamos SUPR en el teclado podramos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podr ser utilizada ms adelante o en otro contenedor; eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos Cancelar Ya tenemos creada la GPO; ahora debemos modificar la poltica para que obligue a los usuarios del dominio a hacer CTRL+ALT+SUPR para iniciar sesin en los equipos.
Nos desplazamos en el rbol a Configuracin del equipo/Configuracin de Windows/Configuracin de seguridad/Directivas locales/Opciones de seguridad:
Hacemos doble click sobre la directiva Inicio de sesin interactivo: no requerir Ctrl.+Alt+Supr y podremos definir sta poltica como deshabilitada:
La casilla Definir esta configuracin de directiva tiene el efecto: Marcada Sin Marcar La poltica quedar definida con el valor seleccionado en las opciones de debajo. La poltica hereda su definicin o no y si est habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio).
A su vez, cuando la casilla est marcada podemos elegir entre las opciones:
Habilitada
Deshabilitada
Hace que la poltica quede habilitada. Esto significa que se realizar la configuracin que la propia poltica define con su nombre y por tanto, en nuestro ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesin. Cuando se deshabilita la poltica, se impide que se realice la configuracin que la propia poltica define con su nombre. Por tanto, en el ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR para iniciar sesin.
Seleccionamos aqu la GPO que queremos vincular. Hay tres formas de buscarlas, una por pestaa: Pestaa Muestra las GPOs Dominios y OUs Que estn aplicadas en el dominio y sus UOs, vindose las OUs como carpetas y las polticas con su icono caracterstico. El desplegable Buscar en nos permite alternar entre los dominios del bosque. Sitios Que estn aplicadas en un sitio. Con el desplegable Buscar en podemos cambiar entre los sitios que integran el bosque.
Toda
Que estn almacenadas en un dominio. Con el desplegable Buscar en podemos alternar entre los dominios del bosque. Simplemente tendremos que sealar la GPO que queramos vincular y pulsar Aceptar para hacerlo.
Vnculos
Permite buscar los sitios, dominios y OUs en los que est agregada la GPO. Con el desplegable Dominio podemos seleccionar el dominio del bosque en el que buscamos.
Seguridad
Sirve para establecer los permisos de la GPO. Podemos asignar permisos a los siguientes objetos: 1. Usuarios 2. Equipos 3. Grupos 4. Principios de seguridad incorporados
Filtro WMI (slo en Windows XP y Windows Server 2003 y con al menos un controlador de dominio que sea Windows Server 2003)
Sirve para realizar bsquedas basadas en WMI de caractersticas especficas de los equipos a los que se aplica la GPO. Estas caractersticas pueden ser: 1. Un patrn de nombre de equipo 2. Tipo de Sistema Operativo 3. Nivel de Service Pack 4. Cualquier caracterstica del equipo que podamos consultar con WQL Los equipos con Windows 2000 ignoran este tipo de filtros y procesan las GPOs sin tener en cuenta si por sus caractersticas deberan hacerlo o no. Por ello, una forma de ejecutar polticas que slo se apliquen a equipos con Windows 2000 es filtrar con WMI poniendo que el tipo de SO es Windows 2000 o que el tipo de SO no es Windows XP. Si queremos aplicar polticas con filtros WMI a equipos con tan slo XP o 2003, ser necesario que nos llevemos las cuentas de los Windows 2000 a otra OU en la que no estaran vinculadas esas GPOs.
Pestaa Seguridad
La pestaa Seguridad nos permite realizar dos tareas con las GPOs: 1. Filtrar el alcance de la GPO, permitiendo que sea slo aplicada a los usuarios, equipos, grupos y/o Principios de seguridad incorporados (objetos Builtin, etc.). 2. Delegar el control de la GPO, permitiendo as la modificacin, etc., a determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados. Hay que tener en cuenta que esto se hace sobre toda la GPO, no se puede especificar nicamente a algunas polticas de la GPO, si no que se hace para todas las contenidas en la GPO. Para realizar el filtrado del alcance y la delegacin del control se utilizan permisos que se aplican a los objetos en que estn especificados. Estos permisos pueden ser concedidos o denegados, prevaleciendo la denegacin sobre la concesin. De forma predeterminada estas son las entradas de seguridad de una GPO (se indican aquellos permisos que estn, concedidos): Grupo de seguridad Usuarios autentificados CREATOR OWNER Administradores del Dominio Configuracin predeterminada Leer, aplicar directiva de grupo y permisos adicionales Permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales
Administracin de empresas
SYSTEM
Aplica a la GPO el filtro WMI que est seleccionado en la lista Filtros WMI y cierra el cuadro de dilogo. Cierra el cuadro de dilogo sin aplicar ningn cambio al filtrado WMI de la GPO. Muestra la ayuda de administracin de filtros WMI. Nos permite especificar qu columnas aparecern en la lista de filtros. De forma predeterminada aparecen todas, es decir, Descripcin, Autor, Fecha de modificacin y Fecha de creacin. La columna Nombre siempre aparece en la lista de filtros, no es una columna que se pueda ocultar. Expande o contrae el cuadro de dilogo para ocultar o mostrar en la parte de abajo los controles de edicin de filtros WMI. Nos permite crear un nuevo filtro WMI. Nos permite eliminar el filtro WMI seleccionado en la lista Filtros WMI. El filtro se elimina, pero no las vinculaciones a GPOs que tenga; es necesario eliminar esos vnculos de forma manual, ya sea configurando otro filtro en su lugar o deshabilitando los filtros WMI en las GPOs afectadas. Nos permite crear un nuevo filtro en base al que se encuentre seleccionado en la lista Filtros WMI. Nos permite importar un filtro que anteriormente fuera exportado a un fchero MOF. Nos permite exportar un filtro a un fichero MOF. Guarda el filtro con el nombre, descripcin y consulta que lo compone. Esto es as tanto en filtros creados como en filtros que se modifican.
Debemos tener en cuenta que no se deben aplicar filtros WMI alegremente, pues ralentizan el inicio del equipo.
En la figura 1 vemos, de forma resumida, cul es la prioridad de las GPOs. Las GPOs de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras; las polticas se suman, slo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si
a nivel de dominio habilitamos la poltica de deshabilitacin del panel de control y en la OU deshabilitamos esta poltica, y suponemos que ninguna otra de las polticas a nivel de dominio entra en contradiccin con ninguna otra de las de la OU, el resultado que se aplicar a un objeto contenido dentro de la OU ser la suma de ambas GPOs, salvo que la poltica que se aplica respecto a la deshabilitacin del panel de control ser la de la OU, no la del dominio, y por tanto el panel de control ser visible. En la figura 2 vemos un diagrama de flujo que nos explica cmo son aplicadas las GPOs; se puede apreciar el orden en que son ledas y como se acta en caso de que se contradigan o no. Como se puede suponer, si hubiera una OU de tercer nivel, sta prevalecera sobre la hija y obviamente una de cuarto nivel sobre la de tercer nivel y as sucesivamente:
Figura 2
Se leen las GPOs del Sitio S Se contradicen? No Se suman Se suman las coherentes y de las contradictorias prevalecen las de Sitio
Se leen las GPOs del Dominio S Se contradicen? No Se suman Se suman las coherentes y de las contradictorias prevalecen las de Dominio
S
Se contradicen? No Se suman
Se leen las GPOs de la OU hija S Se contradicen? No Se suman las coherentes y de las contradictorias prevalecen las de la OU hija
Esto no significa que una GPO anule a las que estn situadas debajo de ella; al igual que vimos con la competencia entre los objetos sobre los que se pueden aplicar, las polticas en realidad se suman cuando no se contradicen entre ellas, slo en el caso de contradecirse es cuando prevalece la superior (la forma de aplicacin es exactamente la misma que veamos en el
diagrama de flujo de la figura 2, slo que en cada salto lo que se evala es la GPO, empezando por la inferior y terminando en la superior).
conseguimos que determinadas opciones sean iguales para todos los usuarios a los que alcance y que conserven sus configuraciones propias que no entren en conflicto con las de la GPO.
Herencia
Las GPOs se heredan
Las GPOs, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir: 1. Las OUs de primer nivel heredan del Dominio 2. Las OUs hijas heredan de las de primer nivel 3. Las OUs de nivel 3 heredan de las hijas . . . n-1. Las OUs de nivel n-1 heredan de las de nivel n-2 n. Las OUs de nivel n heredan de las de nivel n-1 Si nos fijamos en la figura 4, vemos que el dominio contiene a la OU-padre, sta a la OU-hija, que a su vez contiene a la OU-3 quien, por ltimo, contiene a la OU-4. En base a este ejemplo explicaremos la herencia.
En la siguiente tabla vemos qu poltica es asignada a cada contenedor; que quede bien claro que tan slo se ver, en la pestaa Directiva de grupo de las propiedades del contenedor, la GPO que le corresponde en la tabla: Contenedor Dominio UO padre OU hija OU-3 OU-4 GPO asignada GPO del Dominio GPO padre GPO hija GPO 3 GPO 4
Segn esta relacin de contenedores y de GPOs, en la siguiente tabla vemos, marcado por X, qu GPOs afectan a qu contenedores; se ve claramente cmo son heredadas las GPOs por los contenedores: Dominio OU padre OU hija OU 3 OU 4
del
X X
X X X
X X X X
X X X X X
del
X X
X X X
X X X X
del
X X
OU 3
OU 4
del
X X X X X X X
Hay que sealar que las polticas de grupo locales(las aplicadas en la misma mquina con gpedit.msc) no pueden ser bloqueadas.
De esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la GPO Padre el resultado sera: Dominio X OU padre X X OU hija X X X OU 3 OU 4
del
X X
X X X
Si activamos el bloqueo en la OU Hija y no reemplazar en la GPO del Dominio: Dominio X OU padre X X X X X X X X OU hija X OU 3 X OU 4 X
del
que son conjuntos de una o ms polticas, lo primero definiremos los tipos de GPOs segn su diseo, para posteriormente estudiar las estrategias segn diferentes conceptos.
a. Ventaja: La administracin es ms simple, al estar localizados perfectamente los puntos de aplicacin de cada configuracin y ser ms fcil realizar cambios por tener que hacerlo en menos GPOs. b. Inconveniente: El tiempo de inicio de sesin se alarga, al tener que procesarse mltiples GPOs. c. Adecuado: Para organizaciones cuya configuracin de seguridad es comn y con cambios frecuentes de directivas. 2. Monoltico: Lo que se busca con este enfoque es que se apliquen el menor nmero posible de polticas; el ideal sera que se aplique tan slo una. Para ello se configura una nica GPO de directiva mltiple en cada OU y no se aplica GPO alguna en el dominio. a. Ventaja: el inicio de sesin est optimizado para que sea lo ms rpido posible. b. Desventaja: la administracin es ms trabajosa; si necesitamos hacer un cambio de configuracin comn a todo el dominio, tendremos que retocar tantas GPOs como OUs tengamos. c. Adecuado: Para organizaciones en las cuales se pueden clasificar en muy pocos grupos la asignacin de las directivas (digamos pocas OUs,) de forma que el aumento de las tareas administrativas orientadas a las directivas no sea preocupante.
a. Ventajas: Se minimizan las vinculaciones de GPOs a OUs y se centraliza la administracin de las GPOs. b. Desventaja: El inicio de sesin ser ms lento cuantos ms equipos de trabajo existan. c. Adecuado: Para organizaciones en las que no corresponda el trabajo a realizar segn roles, sino segn tareas (por ejemplo, en un proyecto de desarrollo de software habr desarrolladores, comerciales, administrativos, directivos, etc., que necesitarn determinadas configuraciones comunes a ellos, como la carpeta del proyecto; un comercial puede estar en ms de un proyecto y necesitar acceso a las carpetas de los proyectos en los que est implicado). Tambin es adecuado cuando se quiere que la administracin de las polticas est centralizada y sea muy flexible a las cambiantes necesidades de la organizacin.
Qu estrategia seguir?
Estas estrategias que hemos descrito, no son ms que una categorizacin de estrategias segn las necesidades y prestaciones deseadas. Cada organizacin es un caso totalmente distinto, y por ello, cada organizacin deber llevar la estrategia
que ms le convenga. En algunos casos la estrategia deseable ser alguna de las estrategias anteriores tal y como han sido descritas; en otras habrn de ser personalizadas y a veces habrn de mezclarse dos o ms de ellas, e incluso estando retocadas las integrantes de la mezcla.
Bibliografa:
Principalmente los apuntes tomados en las clases de MCSE impartidas por Ernesto Vilches en CICE. Libros en lnea de Windows 2000 Resource Kit Ayuda de Windows 2000 Microsoft Windows 2000 Active Directory Services. Curso oficial de certificacin MCSE de la editorial Mc Graw Hill ISBN: 84-481-2889-3