Tema - 4: Administración de Políticas de Grupo:
4.1. Introducción:
Este capítulo introduce una de las herramientas que incluye Windows Server 2003.
Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando se conectan a una máquina del dominio.
4.2. Objeto de Política de Grupo (GPO):
En cada sistema Windows Server 2003, forme parte o no de un dominio, existe una política local que el administrador puede editar según su criterio para ajustar el comportamiento de dicho equipo. Cuando hay muchos equipos que administrar, resultaría incómodo tener que establecer este comportamiento uno por uno. Por este motivo, las políticas de grupo se han integrado dentro de la administración del Directorio Activo.
Los GPOs se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs.
Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que permite una distribución lógica de las mismas.
Existen dos nodos principales que separan las configuraciones para equipos y para usuarios:
La configuración del equipo y la configuración de usuario.
4.3. Aplicación de Políticas de Grupo:
Las políticas de grupo son heredables y acumulativas.
Desde el punto de vista de un equipo o de un usuario concretos, la lista de GPOs que les afecta depende de su ubicación en Directorio Activo: esta lista incluye todos los GPOs vinculados a los contenedores por los que hay que pasar para llegar desde el sitio (y dominio) hasta la unidad organizativa concreta donde ese equipo o usuario se ubica.
Existe una relación "muchos a muchos" entre contenedores y GPOs: un mismo GPO puede vincularse a múltiples contenedores y un contenedor puede tener vinculados múltiples GPOs.
4.4. Políticas de Grupo y grupos de seguridad:
Como todos los objetos del Directorio Activo, los GPOs poseen listas de control de acceso (o DACLs). Estas DACLs establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de los GPOs, esta asociación de permisos a grupos de usuarios (o grupos de seguridad) permite filtrar el ámbito de aplicación de un GPO y delegar su administración.
4.4.1. Filtrar el ámbito de aplicación de un GPO:
Uno de los permisos de cada GPO es "Aplicar directiva de grupos" (o, simplemente, Aplicar). Por defecto, este permiso lo tienen concedido el grupo Usuarios autentificados, que incluye en la práctica a todos los usuarios del dominio.
4.4.2. Delegar la administración de un GPO:
Cualquier usuario o grupo que tenga concedido el permiso de Control Total sobre
un GPO puede administrarlo. Por defecto, en este caso se encuentran:
El grupo Administración de Empresas, el grupo Administradores del Dominio, el creador del GPO (Creator Owner), y el sistema (System).
4.5. Principales políticas incluidas en un GPO:
Cada GPO consta de un árbol de políticas, subdividido en su nivel más alto en dos subárboles denominados Configuración de equipo y Configuración de usuario. La jerarquía de políticas en cada uno de ellos se subdivide en tres grupos: Configuración de Software, Configuración de Windows, Plantillas Administrativas.
4.5.1. Plantillas administrativas:
Este grupo contiene todas las configuraciones de políticas basadas en el registro de Windows 2003, incluyendo aquellas que controlan el funcionamiento y apariencia del escritorio, de los componentes de Windows Server 2003 y de algunas aplicaciones que utilizan estas políticas.
4.5.2. Configuraciones de seguridad:
Centrándonos en los aspectos de seguridad a nivel de equipo, podemos destacar:
- Políticas de Cuentas. Se pueden configurar aspectos sobre el plan de cuentas, tales como caducidad de contraseñas, bloqueo de cuentas, etc.
- Políticas Locales. Bajo este apartado se encuentran las configuraciones que corresponden a la configuración de la auditoría, la asignación de derechos y privilegios de usuario y las opciones de seguridad.
- Registro de Eventos. Aquí se controla el registro de eventos en los registros de aplicación, seguridad y sistema, que posteriormente pueden visualizarse con la herramienta Visor de Sucesos.
4.5.3. Instalación de software:
Mediante este apartado se puede asignar y/o publicar aplicaciones a equipos o a usuarios en el dominio:
- Asignar una aplicación significa que los usuarios que la necesitan la tienen disponible en su escritorio sin necesidad de que un administrador la instale.
- Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario de instalar dicha aplicación bajo su voluntad, pero no se realiza ninguna acción automática en el equipo.
4.5.4. Guiones (Scripts):
Los scripts pueden implementarse en cualquiera de los lenguajes que entiende el soporte de scripts independiente del lenguaje de Windows Server 2003, o Windows Scripting Host. Ahora existen soportes para Visual Basic Scripting Edition, Java Script, PERL y los tradicionales archivos por lotes MS-DOS. Posiblemente en el futuro se incluya un soporte para otros lenguajes como Tcl-Tk o
Python. Existen cuatro tipos de scripts principales:
- Inicio (equipo). Se ejecuta cada vez que el equipo arranca.
- Apagado (equipo). Se ejecuta cada vez que el equipo va a detenerse.
- Inicio de sesión (usuario). Se ejecuta cada vez que el usuario inicia una sesión interactiva (local) en un equipo.
- Cierre de sesión (usuario). Se ejecuta cada vez que el usuario se finaliza una sesión interactiva en un equipo.
4.5.5. Redirección de carpetas:
Este grupo de políticas permite redirigir la ubicación local predefinida de ciertas
carpetas particulares de cada usuario ("Mis Documentos" o el menú de inicio, como por ejemplo el recurso \\servidor\home\%username%) a otra ubicación, bien sea en la misma máquina o en una unidad de red.
4.5.6. Otras políticas:
Existen muchas otras políticas, entre ellas podemos destacar, el Mantenimiento de Internet Explorer (controla la apariencia y la configuración personal del navegador para cada usuario), y los Servicios de Instalación Remota (permiten configurar automáticamente las opciones de instalación de clientes Windows).
4.6. Recomendaciones de uso:
Las reglas básicas para simplificar el diseño y la administración de Políticas de Grupo, que un administrador debería de tener en cuenta son:
Administración de GPOs, separar usuarios y equipos en unidades organizativas diferentes, organización homogénea de unidades organizativas, minimizar los GPOs asociados a usuarios o equipos, minimizar el uso de "No reemplazar" y de "Bloquear la herencia", evitar asignaciones de GPOs entre dominios, utilizar el proceso Loopback (Política de Grupo "de bucle inverso" o En otras palabras, conseguir que nunca se apliquen las políticas de usuario, independientemente del usuario que inicie una sesión local en dichos equipos) sólo cuando sea necesario.
Administración de GPOs, separar usuarios y equipos en unidades organizativas diferentes, organización homogénea de unidades organizativas, minimizar los GPOs asociados a usuarios o equipos, minimizar el uso de "No reemplazar" y de "Bloquear la herencia", evitar asignaciones de GPOs entre dominios, utilizar el proceso Loopback (Política de Grupo "de bucle inverso" o En otras palabras, conseguir que nunca se apliquen las políticas de usuario, independientemente del usuario que inicie una sesión local en dichos equipos) sólo cuando sea necesario.
Módulo: Administración de sistemas operativos.
Realizado por: Raquel Esquinas Chaparro.
Curso: 2º ASIR.
No hay comentarios:
Publicar un comentario