Gestin de directivas de grupo

Introduccin
Polticas o directivas de grupo:
Configurar polticas de seguridad para bloqueo de cuentas, contraseas, Kerberos y auditora. Redireccionar carpetas especiales como Documentos. Bloquear configuraciones de escritorio. Definir scripts de inicio y cierre de sesin y de encendido y apagado de equipo. Automatizar la instalacin de software. Mantener Internet Explorer y configurarlo.

Directivas locales y directivas de grupo en Active Directory

Las directivas locales se almacenan en los equipos individuales y se aplican a cada equipo. Las directivas de grupo de AD (GPOs) se almacenan en la carpeta Sysvol. Al principio hay dos:
Default Domain Policy: se aplica a todas las mquinas del dominio. Default Domain Controllers Policy: se aplica a todos los controladores de dominio.

Configuracin de Polticas de Grupo

Dos categoras:
Configuracin de equipo. Se aplican a los equipos. Configuracin de usuario. Se aplican a los usuarios.

Cada categora tiene tres clases:

Configuracin de software. Permite instalar/desinstalar software en los equipos y mantenerlo. Configuracin de Windows. Permite gestionar configuraciones de Windows, incluyendo scripts y seguridad. Plantillas administrativas. Permite controlar la configuracin del registro que afecta al sistema operativo, componentes de Windows y algunas aplicaciones..

Crear y vincular una nueva GPO

Editar una GPO existente

Trabajar con las GPOs por defecto

Como se ha mencionado, al instalar Active Directory se crean dos GPOs:
Default Domain Policy. Default Domain Controllers Policy.

Slo debes editar la GPO Default Domain Policy para gestionar la configuracin por defecto de ciertas cosas, como las cuentas de usuario. El resto de las directivas debes configurarlas en una GPO nueva y vincularlo al nivel que desees.

Qu editar en la GPO Default Domain Policy?

Directiva de contraseas. Directiva de bloqueo de cuentas. Directiva Kerberos.

Para qu usar la GPO Default Domain Controllers?

Debes utilizar esta GPO solamente para establecer los derechos de usuario y las auditoras en los controladores de dominio. Cuidado! Si mueves un controlador de dominio fuera de la Unidad Organizativa Domain Controllers, ya no se le aplicar la GPO Default Domain Controllers, por lo que se comportar de forma diferente al resto de controladores. Eso es malo, malo, malo.

Por lo tanto
Slo debes mover un controlador de dominio fuera de su UO si sabes muy bien lo que ests haciendo y si tienes controlado qu va a pasar con las directivas de grupo sobre ese controlador.

Herencia de directivas de grupo

Las GPO se pueden vincular a sitios, dominios y unidades organizativas. En funcin del nivel, unas directivas prevalecern sobre otras. Las directivas se procesan en un determinado orden en funcin del nivel el que estn vinculadas. Las directivas que se ejecutan ms tarde son las que ms prioridad tienen (porque tienen la ltima palabra).

Orden de aplicacin de las directivas

Las directivas se procesan en el siguiente orden: 1. Directivas locales. 2. Directivas vinculadas al sitio. 3. Directivas vinculadas al dominio. 4. Directivas vinculadas a la UO. Si en el mismo nivel hay varias, hay que especificar:

Y si se contradicen?
Las directivas pueden diferentes valores:
No definido. Habilitada / Deshabilitada. Otros valores (como listas de grupos, por ejemplo).

Entonces: si en una UO deshabilitamos Inicio de sesin interactivo: no requerir Ctrl+Alt+Supr , pero en la Default Domain Policy est habilitada, qu pasar? RESPUESTA: Los equipos dentro de esa UO no requerirn Ctrl+Alt+Supr para acceder a la pantalla de bienvenida, porque la GPO de la UO se ejecuta ms tarde.

Entonces, cmo sobreescribo la herencia?

De dos formas:
1. Deshabilitando una directiva que se hereda habilitada. 2. Habilitando una directiva que se hereda deshabilitada.

Se puede bloquear la herencia?

S, se puede. Si la herencia est bloqueada en un nivel, slo las GPO de ese nivel se aplicarn, por lo que no se recibirn directivas de niveles superiores. Botn derecho en el nivel (dominio o UO) > bloquear herencia.

Se puede evitar que bloqueen la herencia?

Tambin se puede. En este caso, las directivas de esa GPO se aplican forzosamente en todos los niveles inferiores.

Botn derecho sobre la GPO -> Exigido.

Cundo se procesan las directivas?

Las directivas de configuracin de equipo se aplican durante el arranque del sistema operativo. Las directivas de configuracin de usuario se procesan cuando el usuario inicia sesin en un equipo.

Descripcin detallada del proceso (1/4)

1. Cuando el equipo cliente arranca, pregunta al controlador de dominio por las directivas que se deben aplicar. 2. Aplicando lo que se explic en Orden de aplicacin de las directivas, el controlador de dominio calcula las directivas aplicables y se las enva al equipo cliente.
Mis directivas de equipo?

Toma tus directivas

Descripcin detallada del proceso (2/4)

3. El equipo cliente procesa las directivas recibidas y ejecuta scripts de arranque si los hay.

Descripcin detallada del proceso (3/4)

4. Cuando un usuario inicia sesin en el equipo, ste carga el perfil de usuario y pide al controlador de dominio una lista de las GPOs que se aplican al usuario.
Yo soy Carmen

Las GPOs para Carmen?

Toma las GPOs para Carmen

Descripcin detallada del proceso (4/4)

5. Despus de procesar las GPOs del usuario, el equipo ejecuta los scripts de inicio de sesin, si los hay. 6. Si el usuario sale de la sesin, se ejecutarn los scripts de cierre de sesin, si los hay. 7. Por ltimo, si se apaga el equipo, se ejecutarn los scripts de apagado, si los hay.

Para practicar
1. Haz que los miembros de Usuarios del dominio puedan iniciar sesin en los controladores de dominio. 2. Haz que las contraseas no tengan que ser complejas. 3. Haz que la vista del Panel de Control sea, por defecto, una vista de iconos (pista: est en plantillas administrativas). 4. Impide que se eliminen los sitios web que el usuario visita en Internet Explorer. 5. Cambia la pgina principal de Internet Explorer y no permitas que los usuarios la cambien.