Continuamos con las Directivas de Grupo (GPO, Group Policy Object).

Creación y vinculación de una GPO

Cuando empecéis a trabajar con objetos de directiva, crear y vincular objetos dentro de un contenedor específico de Active Directory son dos cosas diferentes. Podremos crear una GPO, sin tenerla que vincular a un dominio, sitio o una  OU. Una vez creada y configurada, podremos vincularla a un dominio, sitio o una OU.

El procedimiento que utilicemos dependerá principalmente de nuestras preferencias personales y empresariales en el momento de definir la GPO, crearla y vincularla. Tenemos claro como explique en anterior artículo que cuando creamos y vinculamos una GPO a un dominio, sitio o una OU, se aplica a los usuarios y equipos donde la hayamos vinculado, siguiendo las opciones de herencia, prioridad de las GPO que explicaremos más adelante.

Para crear y vincular una GPO a un dominio, sitio o una OU, seguiremos los siguientes pasos:

1. Abrir nuestra GPMC y expandir la entrada del bosque con el que queremos trabajar, a continuación expandimos el nodo “Dominios” haciendo clic sobre él, expandimos nuestro dominio “itlan.info y desplegamos “Objetos de directiva de grupo” (Paso 1).

2. Una vez expandido “Objetos de directivas de grupo” seleccionamos “Nuevo”, haciendo clic botón derecho del ratón. Escribimos un nombre descriptivo para la nueva GPO dentro del cuadro “Nombre”, por defecto aparece “Nuevo Objeto de directiva de grupo”. Si necesitamos también utilizar un GPO de inicio (lo veremos más adelante), seleccionaremos una de la lista desplegable de la GPO de inicio de origen. Cuando hagamos clic en “Aceptar”, la nueva  GPO nos aparecerá dentro del contenedor de “Objetos de directivas de grupo” (Pasos 2-3-4).

3. A continuación haremos clic sobre el botón derecho del ratón y seleccionamos la opción “Editar”. Configuraremos las opciones de directas que creamos convenientes usando el cuadro de dialogo para le edición de directivas, cuando terminemos daremos cerrar (Pasos 5-6).

4. Ahora seleccionaremos el sitio, el dominio o la OU dentro de nuestra GPMC y expandiremos el nodo con el que queremos trabajar. En el panel de la derecha la ficha “Objetos de directivas de grupo vinculados”, os mostrara las GPO’s actualmente vinculadas al contenedor seleccionado, en nuestro caso ninguna (Paso 7).

5. Procedemos a vincular la GPO creada, para ello haremos clic en el botón derecho del ratón, en el dominio, sitio o OU seleccionado y a continuación seleccionaremos la opción “Vincular un GPO existente” (Paso 8),  seleccionaremos la GPO que necesitemos entre las que nos aparezcan y haremos clic en “Aceptar”. Cuando la directiva de grupo se actualice en los equipos y usuarios del sitio, dominio o OU, las configuraciones creadas se harán efectivas (Paso 9-11).

Hemos visto un proceso para crear y vincular una GPO, pero también lo podemos hacerlo de la siguiente forma, creando y vinculando directamente:

1. Hacemos clic en el botón derecho del ratón sobre el sitio, dominio o OU donde queremos crear la GPO y seleccionamos “Crear un GPO en este dominio y vincularlo aquí”  (Paso 12).

2. Escribimos un nombre descriptivo como hicimos anteriormente en nuestro caso “Nuevo objeto de directiva de grupo_2” y pulsamos “Aceptar” (Paso 13). Podéis observar que la directiva se ha creado y vinculado en el Sitio seleccionado en nuestro caso “itlan.info/Spain/Madrid/Dpto.IT” y en el contenedor “Objetos de directiva de Grupo”, recordar que la directiva que aparece dentro de la OU “Dpto.IT”, es un vínculo, lleva una flecha en la parte inferior izquierda, la propia directiva se guarda en su propio contenedor “Objetos y directivas de grupo” (Paso 14).

Creación y utilización de una GPO de inicio

Sin profundizar en las GPO de Inicio, partiendo de la base de Microsoft “Ya no es necesario descargar estos GPO de inicio de sistema, puesto que ya se incluyen en Windows Server 2008 R2 y Windows 7 con RSAT”, y partiendo siempre nosotros de que los sistemas operativos utilizados son los anteriormente citados, en el caso de tener Windows XP, Vista, y quisiéramos utilizar las GPO de Inicio procederíamos de la siguiente forma:

1. Expandimos es bosque con el que queremos trabajar dentro de la GPMC, hacemos clic sobre el nodo del dominio para expandirlo.
2. Hacemos clic con el botón derecho de ratón sobre “GPO de inicio” y seleccionamos la opción “Nuevo”, escribimos un nombre descriptivo, en nuestro caso por defecto “Nuevo GPO de inicio”, también podemos escribir un comentario explicando la finalidad de la GPO y pulsamos Aceptar (Imagen 15).
3. Nos posicionamos encima de la GPO de inicio creada, pulsamos botón derecho del ratón “Editar”, configuramos las opciones para nuestra configuración.

También podemos vincular directamente una GPO de inicio predeterminada a un dominio o una OU, con los valores predeterminados, realizando el Paso 3.

Actualización de directivas de grupo

Cuando modificamos una directiva de grupo los cambios se guardaran inmediatamente. Los equipos clientes solicitaran la información de las directivas de la siguiente forma:

• Cuando el ordenador se encienda.
• Cuando el usuario inicie sesión.
• Cuando una aplicación o usuario solicite datos recientes al sistema.
• Cuando el intervalo de actualización configurado para la directiva de grupo expire.

Repasemos, “remember”,  las directivas para la configuración de equipos se aplicaran durante el proceso de arranque del sistema operativo. Las de usuarios, cuando estos inicien su sesión en el sistema. Como las directivas de configuración de usuarios se aplican después de las del equipo, las primeras tienen prioridad sobre las segundas.

Una vez que las directivas se han aplicado correctamente se actualizarán automáticamente para garantizar que están al día. El intervalo de actualización predeterminado de los controladores de dominio es de 5 minutos.

En el resto de los equipos el intervalo es de 90 minutos con una variación de entre 30 minutos para así evitar la sobrecarga de peticiones en los controladores de dominio, cuando tenemos en red con muchos usuarios, podemos hablar de red grande a partir de 500 máquinas. Esto quiere decir que el intervalo de todas máquina que no sea controlador de dominio su actualización tardara entre 90 y 120 minutos. También podemos forzar la actualización de las directivas de grupo con el comando “gpupdate” que veremos próximamente.

Como siempre digo, en Microsoft hay excepciones, aquí una. Las GPO con opciones de seguridad configuradas tienen una notable excepción de tiempo en su procesamiento, por defecto se actualizarán cada 16 horas (960 minutos), independientemente de si los objetos de directivas han sido o no modificados.

Configuración del intervalo de actualización para controladores de dominio

Empezamos con nuestra primera modificación, explicada en el apartado anterior. Como explique en el artículo anterior, NO es recomendable actualizar las directivas predeterminadas, en su lugar mi recomendación es hacer una copia, deshabilitar la predeterminada y trabajar sobre la copia de nuestras directivas, para eso seguiremos los siguientes pasos:

1. Expandimos nuestro dominio -> Objetos de directiva de grupo (Paso 16 – Punto 13).
2. Seleccionamos la GPO “Default Domain Controller Policy”-> Estado de GPO (Botón Dcho. del ratón) -> Todos los valores de configuración deshabilitados (Paso 16 – Punto 14).
3. Objetos de directivas de grupo -> Seleccionamos la GPO “Default Domain Controller Policy”-> Copiar (Botón Dcho. del ratón), (Paso 18 – Punto 15a).
4. Objetos de directivas de grupo -> Seleccionamos la GPO “Default Domain Controller Policy”-> Pegar (Botón Dcho. del ratón), (Paso 19 – Punto 15b).
5. Marcamos “Conservar Permisos Existentes” -> Aceptar. Con esta opción mantendremos todos los permisos existentes de la GPO original, que es lo que nos interesa (Paso 20 – Punto 16).
6. Seleccionamos la OU “Domain Controllers” -> Vincular un GPO existente (Botón Dcho. del ratón), (Paso 22 – Punto 17).
7. Seleccionamos la copia de nuestra GPO, en nuestro caso “Copia de Default Domain Controller Policy) y pulsamos “Aceptar” (Punto 23 – Paso 18).
8. En el Paso 24 podéis ver que ya hemos vinculado nuestra copia de GPO (habilitada) y tenemos deshabilitada la original.

Configurando el intervalo de actualización para controladores de dominio

Vamos a proceder a cambiar el intervalo de actualización para los controladores de dominio en nuestra Copia de la política creada en el contenedor “Objetos de directivas de grupo -> Copia de Default Domain Controller Policy”, para ello seguiremos los siguientes pasos:

1. Hacemos clic con el botón derecho sobre el objeto de directiva de grupo Domain Controllers -> Copia de Default Domain Controller Policy – Editar (Botón Dcho. del ratón).
2. Hacemos doble clic o botón dcho. de ratón “Editar” sobre la directiva “Intervalo de actualización de la directiva de grupo para controladores de dominio”, que se encuentra dentro de la carpeta “Configuración de equipo\Plantillas administrativas\Sistema\Directiva de grupo”  (Paso 25 – Puntos 19,20 y 21).
3. Seleccionamos la opción “Habilitada” para poder configurar la directiva. Introducimos el primer parámetro (frecuencia con la que se aplicara la directiva de grupo) con el valor 30 minutos. En el segundo parámetro “Tiempo aleatorio”, introducimos el valor 15 minutos, que servirá para establecer el intervalo de tiempo aleatorio que se añadirá al primer parámetro o intervalo base. Como resultado de esta configuración, se creara una ventana de tiempo de actualización cuyo objetivo será evitar saturar el servidor con demasiadas peticiones simultaneas, terminamos haciendo clic en “Aceptar” (Paso 26 – Punto 22).

Recordar “remember”, mientras menor sea el intervalo de actualización mayor será la probabilidad de que los equipos dispongan de la configuración de directivas más actual.

Configurando el intervalo de actualización para el resto de equipos

Mismos pasos anteriores, ahora para los servidores miembros y estaciones de trabajo “Objetos de directivas de grupo -> Copia de Default Domain Controller Policy”, para ello seguiremos los siguientes pasos:

1. Hacemos clic con el botón derecho sobre el objeto de directiva de grupo Domain Controllers -> Copia de Default Domain Controller Policy – Editar (Botón Dcho. del ratón).
2. Hacemos doble clic o botón dcho. de ratón “Editar” sobre la directiva “Intervalo de actualización de la directiva de grupo para equipos”, que se encuentra dentro de la carpeta “Configuración de equipo\Plantillas administrativas\Sistema\Directiva de grupo”  (Paso 28 – Puntos 23,24 y 25).
3. Seleccionamos la opción “Habilitada” para poder configurar la directiva. Introducimos el primer parámetro (frecuencia con la que se aplicara la directiva de grupo) con el valor 90 minutos (Microsoft recomienda entre 60 y 240 minutos). En el segundo parámetro “Tiempo aleatorio”, introducimos el valor 30 minutos, que servirá para establecer el intervalo de tiempo aleatorio que se añadirá al primer parámetro o intervalo base. Como resultado de esta configuración, se creara una ventana de tiempo de actualización cuyo objetivo será evitar saturar el servidor con demasiadas peticiones simultaneas, terminamos haciendo clic en “Aceptar” (Paso 29 – Punto 26).

Como podéis observar en el Punto 26 en color azul, hemos resaltado unas observaciones en el campo “Comentario”.

Recordar “remember”, Mientras mayor sea el intervalo de actualización mayor será el tráfico de red que generaremos.