Empiezo una serie de artículos sobre las Directivas de Grupo (GPO, Group Policy Object). El objeto de estos artículos serán ir conociendo brevemente aspectos interesantes de las GPO’s y realizando ejemplos prácticos. Os indicare los link de Microsoft donde podréis leer todo los relacionado con las Directivas de Grupo.

Introducción a las directivas de Grupo (GPO)

Las directivas de grupos os simplificaran la administración y os dotaran a vosotros los Administradores del Sistema, de una ubicación desde la que poder controlar privilegios, permisos y recursos.

Las directivas de grupo os permitirán:

• Controlar el acceso a componentes de Windows, recursos del sistema de red, utilidades del panel de control, escritorio, menú de Inicio, etc.. .

• Crear directorios con administración centralizada para carpetas “especiales”, como la de documentos de los usuarios.

• Definir script para usuarios y equipos, que se ejecuten en momentos determinados.

• Configurar directivas para el bloqueo de cuentas, para las contraseñas de usuario, auditoria, asignación de derechos y seguridad, dispositivos usb, personalizar imagen de empresa, (escritorios, tapiz, logos…).

Pensemos en las directivas de grupo como un conjunto de reglas que nos ayudaran a administrar usuarios y equipos. Las directivas de grupo pueden aplicarse a varios dominios, solo a uno, parte de un dominio o solo a ciertos equipos.

Para poder trabajar y comprender las directivas de grupo es necesario que conozcáis un poco de las estructura de Active Directory, recalco “un poco”, estos artículos son para iniciarse, continuo…, dentro de Active Directoy, los grupos lógicos de dominio se conocen como sitios y los subgrupos dentro de un dominio como unidades organizativas.

Las directivas de grupo solo se aplicaran a equipos con Windows 2000, Windows XP Profesional, Windows Vista, Windows 7, Windows 8, Windows Server 2003/2008/2012. Para el mejor resultado de las GPO’s en los clientes os recomiendo tener estos últimos actualizados a Windows 7 / 8, e ir dejando atrás Windows XP.

Cuanado creemos GPO’s, las directivas se almacenaran en objeto de directiva de grupo, pensar en las GPO’s como los contenedores que guardan tanto las directivas que aplican, como las configuraciones de las mismas. Es posible aplicar varias GPO’s a un mismo sitio, dominio o unidad organizativa. Recordar que para aplicar las directivas tenéis que tener bastante claro que es un Sitio, Dominio y unidad organizativa.

En el siguiente Link de Microsoft encotrareis información detallada sobre las Directivas de Grupo.

Orden de aplicación de directivas

En una red grande, o también en una pequeña, es posible que existan muchas directivas creadas, tenéis que tener claro su orden de aplicación:

1. Directivas de Grupo Local
2. Directivas de Grupo de Sitio.
3. Directivas de Grupo de Dominio.
4. Directivas de Grupo de Unidades Organizativas.
5. Directivas de Grupo de Unidades Organizativas hijas.

En caso de conflicto entre directivas, las aplicadas posteriormente tendrán prioridad e invalidaran las anteriores. Así por ejemplo, las directivas de unidades organizativas tendrán prioridad sobre las del dominio. Casi todo tiene excepciones en Windows, así que aquí también tendremos excepciones a esta regla, sobre ellas hablaremos más delante.

Cuando se aplican las directivas de grupo

Como iréis viendo cuando vayamos poniendo ejemplos, las directivas se dividen en dos grupos:

• Aplicadas a Equipos.

• Aplicadas a Usuarios.

La secuencia exacta de procesamiento de las directivas es muy importante, para poder solucionar problemas en su comportamiento en el momento de aplicarlas. Las directivas de Equipo se aplican durante el arranque del equipo y las de Usuarios lo hacen cuando se inicia sesión. Lo que ocurre durante el arranque del sistema de la maquina o el inicio de sesión de un usuario es lo siguiente:

1. La red se pone en funcionamiento y entonces Windows Server 2008 aplica las directivas de Equipo. Por defecto, se aplicaran una tras otra en el orden que os cite anteriormente. El procesamiento de las directivas es transparente para el usuario, no se muestra nada en pantalla durante el proceso.
2. A continuación se ejecutan los script de arranque, por defecto uno tras otro.
3. El usuario valida su Inicio en Red con las teclas Ctrl+Alt+Supr. Después de validar las credenciales del usuario Windows 2008 carga su perfil.
4. Se aplican las directivas de Usuario, por defecto una tras otra.
5. Se procesan los script de inicio de sesión del usuario. Por defecto, los script de las directivas de grupo se procesan simultáneamente. En este proceso podemos indicarle si queremos que nos vaya mostrando el proceso, yo recomiendo la forma transparente, es decir que el usuario no vea lo que le estáis aplicando, ya sabéis.. ojos que no ven.. pregunta que no te hacen!!. Los script de la unidad compartida Netlogon, se ejecutaran los últimos.

Por defecto la directiva de grupo se actualiza solo cuando un usuario cierra su sesión, o si el equipo se reinicia, nunca mientras la sesión se encuentre activa, este comportamiento de las directivas de grupo es modificable, podemos cambiar el intervalo de actualización de las directivas de grupo

Consola de directivas de Grupo

Desde Windows Server 2008, Microsoft tiene una única consola de administración de directivas de grupo (GPMC Group Policy Management Console). GPMC es una característica que puede añadirse a cualquier Windows Server 2008, mediante el asistente para agregar características. La consola GPMC también se encuentra disponible en Windows 7 y Vista para poder acceder a las GPO remotamente. Una vez que la tenemos instalada en el servidor podremos acceder a ella a través del menú Herramientas administrativas.

Como podéis observar al abrir la Consola de Administración, Windows Server 2008, Paso 2,  ya viene con una GPO predeterminada “Default Domain Policy”, es recomendable no modificar sobre la política por defecto, en su lugar tendremos que copiarla y actuar sobre la copia, también debéis saber que si habéis modificado la política por defecto, se pueden revertir los cambios y dejarla con los valores de Microsoft, lo veremos más adelante.

Sitios, Dominios y Unidades Organizativas

En nuestro ejemplo, siguiendo nuestros tutoriales anteriores ya disponemos  de un dominio en Active Directory para utilizar nuestras directivas de grupo. Cada sitio, dominio o unidad organizativa podrá tener una o más directivas de grupo, os recomiendo planificar y estructurar bastante las directivas de grupo. Como os dije anteriormente, las directivas de grupo que más arriba aparezcan en la lista de directivas de grupo, tendrán siempre mayor prioridad que el resto, así se garantiza que las directivas se apliquen correctamente, en todos los sitios, dominios o unidades organizativas

Introducción a las directivas de dominio y predeterminadas

Cuando trabajemos con las directivas de grupo basadas en Active Directory, observareis en la consola al desplegar que cada organización de dominio dispone de dos GPO’s predetermiandas:

• Directiva predeterminada de controladores de dominio

• Directiva predeterminada de dominio

Directiva predeterminada de controladores de dominio

Esta GPO se encuentra ubicada dentro de la unidad organizativa Controladores de dominio (Domain Controllers) y vinculada a ella. Esta GPO se aplica a todos los controladores de dominio dentro de un dominio, la utilizaremos para administrar la seguridad de los controladores de dominio de nuestro dominio.

Directiva predeterminada de dominio

Predeterminada para el propio dominio dentro de Active Directory y vinculada a él. Es recomendable no modificar sus parámetros y crear una nueva con nuestras propias directivas de grupo.

Nodos de la Consola de Administración

Recordando, para abrir nuestra consola GPCM – Inicio –> Todos los programas -> Herramientas Administrativas -> Administración de Directivas de Grupo (Paso 1).

Al abrir la consola podéis observar que el nombre del nodo raíz de la consola es “Administración de directivas de grupo”, y bajo él se encuentra el nodo Bosque. Este nodo representa el bosque al que actualmente estamos conectados y su nombre se completa con el dominio raíz de nuestro bosque (itlan.info).

Al expandir el nodo bosque nos encontraremos con los siguientes nodos:

• Dominios: Accederemos a las opciones de configuración de directivas del dominio. Por defecto se conectara al dominio en el que hayamos iniciado la sesión, podemos también conectarnos a otro dominio si disponemos de las credenciales apropiadas, en nuestro caso solo tenemos un dominio. En el caso de que dispongáis de varios dominios y queráis conectaros es bastante sencillo, nos posicionamos en el nodo Dominios -> clic botón dcho. del ratón y seleccionamos la opción “Mostrar dominios”. Nos aparecerá una nueva ventana con los dominios disponibles, marcamos la casilla de verificación del dominio que quisiéramos añadir y pulsamos el botón “Aceptar”.

• Sitios: Os permitirá acceder a las opciones de configuración de sitios del boque correspondiente. Por defecto los sitios están ocultos. Si disponéis de la credenciales apropiadas podréis añadir conexiones de forma similar a la vista en “Dominios”. Si queremos ver nuestros sitios, clic botón dcho. del ratón sobre el nodo sitios y pulsar “Mostrar sitios” y pulsamos el botón “Aceptar”.
• Modelado de directivas de grupo: Esta opción se utiliza para acceder al asistente que nos ayudara a planificar y simular opciones de configuración para realizar pruebas de las directivas, antes de pasarlas a producción.
• Resultados de directivas de grupo: Nos mostrara todas las GPO’s y UO de todos los dominios a los que estemos conectados.

Observar en la siguiente imagen las GPO que aparecen bajo el contenedor de dominio, son en realidad vínculos, no las GPO en sí mismas. Si deseamos acceder directamente a las GPO, tendremos que utilizar el contenedor de “Objetos de directivas de grupo”, del dominio que tengamos seleccionado. Fijaros en que los iconos de los vínculos de las GPO, muestran una flechita en la parte inferior izquierda, mientras que los verdaderos GPO, no la tienen, aqui editaremos y crearemos nuestras GPO's.

Introducción al editor de directivas

La consola GPMC, nos permitirá editar los objetos de directivas haciendo clic sobre ellos con el botón derecho del ratón y seleccionando luego la opción editar del menú desplegable.

Como podéis ver en la anterior imagen, y os mencione anteriormente, el editor de directivas contiene dos nodos principales.

• Configuración del equipo: Permite establecer que directivas se aplicaran a los equipos, independientemente quien inicie sesión en ellos.

• Configuración de usuario: Nos permitirá establecer que directivas aplicaremos a los usuarios, independientemente del equipo en el que hayamos iniciado sesión.

El contenido de los nodos Configuración de equipo y usuario, dependerá también de os complementos que hayáis instalado en el sistema y del tipo de directiva que hayáis creado. Aún así, lo más frecuente es que los nodos tengan las siguientes opciones:

• Configuración de Software: Esta opción establecerá las directivas para las opciones de programas y para la instalación de los mismos (Office, IE, Adobe, etc..), a medida que se vayan instalando programas se irán añadiendo nuevas opciones dentro de Configuración de Software.

• Configuración de Windows: Permite establecer directivas de redirección de carpetas, script y seguridad.

• Plantillas Administrativas: Permite establecer directivas del sistema operativo, componentes de Windows, programas, etc.., . Las plantillas administrativas (las veremos en próximos artículos), se configuran mediantes archivos de plantilla, podremos añadir o eliminar plantillas siempre que lo necesitemos.

Existen muchas más opciones  disponibles en esta herramientas, que como comprenderéis me será imposible explicarlas todas, pero intentaremos hacer un amplio resumen de teoría y práctica en los próximos artículos.