WINDOWS SERVER 2003

ADMINISTRACIÓN DE POLÍTICAS DE GRUPOS

Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando se conectan a una máquina del dominio.

OBJETO DE POLÍTICA DE GRUPO

las políticas de grupo se han integrado dentro de la administración del Directorio Activo como una herramienta de configuración centralizada en dominios Windows 2003.

Un GPO es un objeto que incluye como atributos cada una de las políticas (también denominadas directivas) que puede establecerse en Windows Server 2003 para equipos y usuarios. Los GPOs se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs. De esta forma, y utilizando sólo el Directorio Activo, cada equipo y cada usuario del dominio puede recibir una configuración apropiada según el tipo de tarea que debe desempeñar.

Para poder implementar un esquema de GPOs en un dominio es necesario crear primero una estructura adecuada de unidades organizativas, y distribuir en ellas los objetos usuario/equipo.

Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que permite una distribución lógica de las mismas, justo debajo del nodo raíz, existen dos nodos principales que separan las configuraciones para equipos y para usuarios:

1. La configuración del equipo agrupan todos aquellos parámetros de configuración que pueden establecerse a nivel de equipo. Cuando un GPO afecta a un equipo, todas aquellas políticas de equipo del GPO que el administrador haya configurado se aplicarán al equipo cada vez que se inicie.

2. Las configuración de usuario agrupan los parámetros de configuración que pueden establecerse a nivel de usuario. Cuando un GPO afecta a un usuario, todas aquellas políticas de usuario del GPO que el administrador haya configurado se aplicarán cuando dicho usuario inicie una sesión local (en cualquier equipo del dominio).

APLICACIÓN DE POLÍTICAS DE GRUPO

Las políticas de grupo son heredables y acumulativas. Eso quiere decir que, desde el punto de vista de un equipo o de un usuario concretos, la lista de GPOs que les afecta depende de su ubicación en Directorio Activo: esta lista incluye todos los GPOs vinculados a los contenedores por los que hay que pasar para llegar desde el sitio (y dominio) hasta la unidad organizativa concreta donde ese equipo o usuario se ubica.

Resulta necesario que exista un orden de aplicación concreto y conocido, de forma que se sepa finalmente qué politica(s) afectarán a cada usuario y equipo. Este orden es el siguiente:

1. Se aplica la política de grupo local del equipo (denominada Local Group Policy Object, o LGPO).

2. Se aplican los GPOs vinculados a sitios.

3. Se aplican los GPOs vinculados a dominios.

4. Se aplican los GPOs vinculados a unidades organizativas de primer nivel. En su caso, posteriormente se aplicarían GPOs vinculados a unidades de segundo nivel, de tercer nivel, etc.

Este comportamiento puede ser refinado mediante los siguientes dos parámetros:

1. Forzado (Enforced). 

2. Bloquear herencia de directivas (Block policy inheritance). 

POLÍTICAS DE GRUPO Y SEGURIDAD

Como todos los objetos del Directorio Activo, los GPOs poseen listas de control de acceso (o DACLs). En general, estas DACLs establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de los GPOs, esta asociación de permisos a grupos de usuarios (o grupos de seguridad) permite filtrar el ámbito de aplicación de un GPO y delegar su administración.

Uno de los permisos de cada GPO es "Aplicar directiva de grupos" (o, simplemente, Aplicar). Por defecto, este permiso lo tienen concedido el grupo Usuarios autentificados, que incluye en la práctica a todos los usuarios del dominio. Por tanto, la política afecta a todos los usuarios cuyas cuentas se ubiquen dentro del contenedor al que se vincula el GPO.

Cualquier usuario o grupo que tenga concedido el permiso de Control Total sobre un GPO puede administrarlo. Por defecto, en este caso se encuentran:

• el grupo Administración de Empresas,
• el grupo Administradores del Dominio,
• el creador del GPO (Creator Owner),
• y el sistema (System).

Es posible delegar la administración de GPOs a otros usuarios y grupos. En realidad, la administración de un GPO consta de dos actividades distintas y complementarias, que pueden delegarse independientemente:

• Creación de un GPO.
• Vinculación de un GPO a un contenedor.

PRINCIPALES POLÍTICAS INCLUIDAS EN UN GPO

Cada GPO consta de un árbol de políticas, subdividido en su nivel más alto en dos subárboles denominados Configuración de equipo y Configuración de usuario. La jerarquía de políticas en cada uno de ellos se subdivide en tres grupos:

• Configuración de Software (Software Settings).
• Configuración de Windows (Windows Settings).
• Plantillas Administrativas (Administrative Templates).

Plantillas Administrativas:

Este grupo contiene todas las configuraciones de políticas basadas en el registro de Windows 2003, incluyendo aquellas que controlan el funcionamiento y apariencia del escritorio, de los componentes de Windows Server 2003 y de algunas aplicaciones que utilizan estas políticas.

Configuraciones de Seguridad:

• Políticas de Cuentas.
• Políticas Locales.
• Registro de Eventos.

Instalación de software:

Se puede asignar y/o publicar aplicaciones a equipos o a usuarios en el dominio:

•             Asignar una aplicación significa que los usuarios que la necesitan la tienen disponible en su escritorio sin necesidad de que un administrador la instale.
• .          Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario de instalar dicha aplicación bajo demanda (a voluntad), pero no se realiza ninguna acción automática en el equipo

Guiones (scripts):

Se pueden asignar scripts a equipos o usuarios. En concreto, existen cuatro tipos de scripts principales:

• Inicio (equipo)
• Apagado (equipo)
• Inicio de sesión (usuario)
• Cierre de sesión (usuario)

Redirecciones de carpetas:

Este grupo de políticas permite redirigir la ubicación local predefinida de ciertas carpetas particulares de cada usuario (como "Mis Documentos" o el menú de inicio) a otra ubicación, bien sea en la misma máquina o en una unidad de red.