directivas de grupo
Transcripción
directivas de grupo
Elkarnet DIRECTIVAS DE GRUPO Configuración y aplicación Versión: 1.0 Autor: Paulino Insausti Barrenetxea Fecha: 13 Junio de 2005 Licencia: CreativeCommons - ShareAlike Directivas de Grupo Elkarnet Aurkibidea / Indice 1.Escribe el primer título / Idatzi 1. Titulua. ......................................................................... 3 Página 2 de 17 Directivas de Grupo Elkarnet 1.- Introducción. 1.1 ¿Qué son las Directivas de grupo?. Una directiva de grupo de W2000 es un conjunto de reglas implementadas por W2000, mediante cambios efectuados en el Registro, que se activan al iniciar el equipo o cuando un usuario inicia su sesión de trabajo. Las directivas entran a formar parte del entorno de usuario e imponen restricciones sobre las acciones de dicho usuario. ¿Qué puede llegar a hacerse con una directiva de grupo? Puede ejecutarse un guión con el que iniciar un equipo. Este guión, específico para esa máquina, difiere del guión necesario para iniciar la sesión de un usuario. Se puede configurar el perfil de un usuario en un equipo para que, eliminando opciones o estableciendo configuraciones restrictivas, no se puedan ejecutar determinadas aplicaciones, sea imposible conectarse a la red o, incluso, no se permita escoger el fondo de pantalla. También pueden emplearse las directivas de grupo para imponer restricciones de seguridad y controlar el acceso a los recursos de la red. W2000 permite configurar las directivas que atañen a la seguridad en diversos niveles de la estructura del directorio activo (DA). Las directivas establecidas al más alto nivel del árbol del directorio, por ejemplo, pueden fluir hasta los niveles más inferiores, como las unidades organizativas. Como opción, también es posible modificar o sobrescribir las directivas del más alto nivel. W2000 crea un GPO (Group Policy Object u Objeto directiva de grupo). Los GPO son en realidad ubicaciones virtuales donde se almacenan las directivas. Diferentes GPO pueden almacenar diferentes directivas, y cada GPO puede aplicarse a determinados usuarios o equipos. Un GPO puede asociarse con múltiples contenedores del DA y cada contenedor del DA puede disponer de múltiples GPO, a su vez asociados a él. W2000 guarda la información relacionada con la directiva de grupo en dos sitios: en el GPC (Group Policy Container o Contenedor de directivas de grupo) y en la GPT (Group Policy Template o Plantilla para directivas de grupo). El contenedor GPC es un objeto del DA asociado con el GPO. Tanto el contenedor (GPC) como la plantilla (GPT) contienen información acerca de la versión y estado del objeto directiva de grupo (GPO). Antes de empezar a crear GPO, deberá plantearse dónde necesita aplicar la directiva en cuestión. ¿Afectará a todos los usuarios o equipos? De ser así, quizá deba plantearse aplicarla en la sede. Si la directiva sólo ha de concernir a un dominio o a un grupo de usuarios de una unidad organizativa, quizá lo más apropiado resulte aplicarla únicamente en el nivel del dominio o de la unidad organizativa. Página 3 de 17 Directivas de Grupo Elkarnet 1.2 Directivas heredadas Cuando un usuario inicia una sesión, W2000 evalúa las directivas empezando por el nivel más alto de la estructura del DA y va bajando a niveles inferiores. El orden en que lleva a cabo dicha evaluación es: primero la sede, después el dominio y finalmente la unidad organizativa. Por omisión, cada contenedor hereda configuraciones GPO del contenedor situado por encima de él. Sin embargo, una configuración dada en el contenedor inferior, como una unidad organizativa, puede sobrescribir una configuración del nivel superior. Por lo tanto, si se establece una directiva en la unidad organizativa padre, pero no se configura en la unidad organizativa hija, ésta última heredará la configuración de su unidad padre. Una directiva similar, configurada tanto en las unidades padre e hija, tendrá por resultado que ambas directivas se apliquen sin ningún conflicto entre ellas. Sin embargo, de entrar en conflicto, la directiva hija tiene preferencia y la unidad organizativa no heredará la configuración de la directiva padre. Un posible método de actuación podría consistir en aplicar un conjunto de directivas amplio a todos los usuarios y, a medida que vaya siendo necesario, ir modificando las directivas de determinados subgrupos dentro de la unidad organizativa. 1.3 Planificación de Directivas Cuando se planifican las directivas, siempre es mejor aplicar las políticas más amplias en el nivel superior de la estructura del DA e ir bajando niveles a medida que se aplican directivas más específicas relativas a grupos de usuarios o de equipos escogidos dentro de una unidad organizativa. No obstante, además de factores típicos, como la combinación de directivas en cada nivel jerárquico, deberá también tener en cuenta otros menos evidentes. Entre otras cosas, la profundidad de la estructura del DA puede incidir en su planificación. Dado que las configuraciones de directivas en un determinado nivel modifican las configuraciones heredadas del nivel superior, el procesamiento de todas las directivas en cada nivel, desde el más alto al más bajo –un usuario, por ejemplo— puede demorarse más de lo previsto. Los usuarios del nivel más bajo podrían tener la sensación de que el inicio de sesión dura más de lo normal. Otro aspecto que debe tenerse en cuenta es el tráfico de red que puede generarse cuando los usuarios se conectan. Un GPO asociado a toda una sede puede afectar a todas sus máquinas, independientemente del dominio al que pertenezca. Aquí reside precisamente la ventaja de disponer de una directiva aplicada a la sede. Sin embargo, el GPO reside sólo en un único dominio, aun cuando en una misma sede pueda haber múltiples dominios. Consecuentemente, para obtener la directiva, todos los equipos de todos los dominios deberán contactar con un dominio controlador en el dominio que contiene el objeto directiva de grupo. Esta necesidad genera un tráfico adicional en la red y una sobrecarga en los controladores de dominio. Página 4 de 17 Directivas de Grupo Elkarnet 2.- Acceso a las Directivas de Grupo Las directivas de grupo se crean y modifican de varias formas diferentes, dependiendo del tipo de directiva que se desea implantar. Para aplicar directiva de grupo a Equipo local Un dominio Pasos a seguir Comentario En una máquina con Windows2000 Professional hay que abrir el panel de control, pulsar herramientas administrativas y seleccionar directiva de seguridad local. Aplicar directivas sobre un equipo local no es viable en una red con muchos ordenadores, pues habriá que ir aplicando las directivas equipo a equipo. Abrir usuarios y equipos de Active Directory. En el arbol de la consola pulsar con el botón derecho en el dominio y escoger propiedades. Pulsar en la pestaña directivas de grupo. Hay que tener cuidado al aplicar directivas sobre todo el dominio. Todos los equipos o usuarios de la red recibiran las directivas aplicadas. Una unidad organizativa Abrir usuarios y equipos de Se tiene un mayor control al Active Directory. En el arbol aplicar las directivas, pues de la consola pulsar con el se aplican sobre los equipos botón derecho sobre la UO y o usuarios que estan dentro escoger propiedades. Pulsar de la UO en la pestaña directivas de grupo. Nota: Las carpetas User y Computers no son unidades organizativas y, por lo tanto,no pueden tener directivas de grupo aplicadas.Sin embargo, la carpeta Domain Controlers si es una OU y se le pueden aplicar directivas. Página 5 de 17 Directivas de Grupo Elkarnet 3.- Creación de un Objeto Directiva Grupo (GPO) Para crear un GPO, vaya a Herramientas administrativas y escoja Equipos y usuarios del Directorio Activo. Abra las ramas del árbol jerárquico y pulse el botón derecho del ratón sobre la unidad organizativa para la que quiere crear un GPO. Elija la opción Propiedades y, en la pestaña Directiva de grupo escoja Nueva para crear una nueva directiva o Editar para modificar una existente. Página 6 de 17 Directivas de Grupo Elkarnet 4.- Como se procesan las Directivas de grupo Las directivas asociadas a una UO pueden aplicar sobre los equipos o sobre los usuarios de la misma, dependiendo nos interese configurar unos u otros. El proceso es el siguiente: al iniciar un equipo, W2000 procesa todas las configuraciones «directiva de grupo» que encuentra en él y, de paso, empieza a ejecutar los guiones de inicio. Para asegurarse de que las directivas de esa máquina entran en vigor al iniciar el usuario su sesión, las configuraciones de directiva de grupo establecidas para ella se activan antes de mostrar la pantalla de inicio de sesión. Una vez el usuario conectado, W2000 procesa las configuraciones de directiva de grupo y, a continuación, se ejecutan sus guiones. Por último, una vez el sistema ya ha procesado todos los guiones de inicio correspondientes a la directiva de grupo, se ejecutan los guiones de inicio de sesión individuales, correspondientes al usuario. Una diferencia existente entre W2000 y NT 4.0 es que el usuario ya no necesita desconectarse y volverse a conectar cada vez que deba recibir nuevas directivas. (Como consecuencia de ello, un usuario no puede retener configuraciones de directivas antiguas por más que permanezca conectado indefinidamente.) La configuración por omisión establece que los equipos clientes comprueben si existen directivas nuevas cada 90 minutos (con un margen aleatorio de unos +/- 30 minutos para evitar que más de un ordenador realice la comprobación simultáneamente). Los controladores de dominio renuevan sus datos relacionados con las directivas cada 5 minutos. Se puede forzar la actualización de una directiva sobre un equipo local. Abrir una ventana de comando y escribir: Secedit /refreshpolicy machine_policy Nota importante: para que las directivas se apliquen correctamente debe configurarse correctamente el DNS de los equipos clientes, de forma que apunte al controlador de dominio donde esta el directorio activo. IP controlador de dominio donde esta el directorio activo Página 7 de 17 Directivas de Grupo Elkarnet 5.- Análisis de las Directivas de Grupo Hay una gran cantidad de directivas y sus aplicaciones son muy variadas. Se van a analizar algunas de ellas desde el punto de vista de aplicarlas en centros de enseñanza, que es el caso que nos ocupa, siendo el planteamiento y las necesidades distintas a las que pueda presentar una empresa. El editor de directivas muestra dos ramas: Configuración del equipo y Configuración de usuario. Cada rama tiene tres extensiones para Configuración del software, Configuración de Windows y Plantillas administrativas. Las carpetas de Configuración del equipo se pueden utilizar para personalizar las directivas para equipos de la red. Estas directivas entran en vigor cuando el equipo se enciende y se inicia el sistema operativo. La configuración de estas carpetas se aplica a cualquier usuario que inicie sesión en el equipo. Las carpetas de Configuración de usuario contienen la configuración para entornos personalizados, y se aplican cuando un usuario específico inicia sesión en la red. Página 8 de 17 Directivas de Grupo Elkarnet 6.- Configuración de equipos Se aplican a todos los equipos alojados en la Unidad Organizativa correspondiente y están clasificadas en tres subgrupos: - Configuración del software - Configuración de Windows - Plantillas administrativas 6.1 Configuración del Software Instalación de software: permite asignar paquetes msi para realizar instalaciones desatendidas. Estos paquetes msi se instalan al arrancar el equipo. Página 9 de 17 Directivas de Grupo Elkarnet 6.2 Configuración de Windows Directivas de cuenta: controla aspectos relacionados con las contraseñas (longitudes y caducidades de las mismas), así como aspectos relacionados con los bloqueos de cuenta ante intentos incorrectos de conexión. Página 10 de 17 Directivas de Grupo Elkarnet Directivas locales: Estas directivas pertenecen al equipo. Las directivas locales se basan en el equipo donde tiene iniciada una sesión y los derechos que posee sobre dicho equipo. Esta área de seguridad contiene atributos para: - Directiva de auditoría: determina qué sucesos de seguridad se guardan - - en el registro de seguridad del equipo (intentos correctos, intentos fallidos o ambos). El registro de seguridad forma parte del Visor de sucesos. Asignación de derechos de usuario: determina qué usuarios o grupos tienen privilegios de inicio de sesión o de tareas en el equipo. Interesante para restringir al acceso a usuarios alumnos para que no puedan iniciar sesión en ordenadores de profesores. Opciones de seguridad: habilita o deshabilita la configuración de seguridad del equipo, como la firma digital de datos, nombres de las cuentas Administrador e Invitado, acceso a CD ROM y unidad de disco, instalación de controladores y solicitudes de inicio de sesión, ocultar el nombre del último usuario conectado, permite enviar un mensaje a los usuarios que se encienden el ordenador. Registro de sucesos: permite configurar distintos parámetros del registro de sucesos: los días que se mantendrá el registro, si se sobrescribe o no, tamaño del mismo.. Servicios del sistema: Es posible configurar los atributos de seguridad de los servicios del sistema existentes del equipo local y especificar cuales se iniciaran de forma automática y cuales de forma manual. Página 11 de 17 Directivas de Grupo Elkarnet 6.3 Plantillas Administrativas El nodo Plantillas administrativas de la Directiva de grupo contiene toda la información de directivas basadas en el Registro. La configuración de usuario se guarda en HKEY_CURRENT_USER (HKCU) y la configuración del equipo se guarda en HKEY_LOCAL_MACHINE (HKLM). El espacio de nombres que se encuentra bajo el nodo Plantillas administrativas se ocupa mediante archivos .adm o con una extensión de directiva de grupo. Cuando se utiliza el nodo por primera vez, se instalan automáticamente los archivos .adm. Plantillas administrativas System.adm Inetres.adm Descripción Instalada en Directiva de grupo de forma predeterminada. Para clientes de Windows 2000. Instalada en Directiva de grupo de forma predeterminada. Directivas relativas a Internet Explorer para clientes de Windows 2000. Para Sistema Operativos NT,98,95 se pueden añadir plantillas .adm Opciones de interfaz de usuario específicas para Windows NT 4.0. Se utiliza con el Editor de directivas del sistema (Poledit.exe). Opciones de interfaz de usuario específicas para Windows 95 y Windows.adm Windows 98. Se utiliza con el Editor de directivas del sistema (Poledit.exe). Opciones de interfaz de usuario comunes a Windows NT 4.0, Common.adm Windows 95 y Windows 98. Se utiliza con el Editor de directivas del sistema (Poledit.exe). Winnt.adm Página 12 de 17 Directivas de Grupo Elkarnet También se pueden añadir archivos .adm adicionales. Botón derecho sobre la carpeta plantillas administrativas, Agregar o quitar plantillas y Agregar. Por ejemplo vamos a agregar una plantilla wuau.adm la cual nos permitirá configurar el sistema Windows Update de los equipos clientes (Ver manual de instalación SUS). Plantillas administrativas básicas Plantillas administrativas 6.3.1 Componentes de Windows Permite configurar aspectos relacionados con Netmeeting, Internet Explorer, Programador de tareas y Windows Installer. Una opción interesante en la configuración de Internet Explorer es la que obliga a todos los usuarios del equipo a tener la misma configuración de proxy. Página 13 de 17 Directivas de Grupo Elkarnet 6.3.2 Sistema Se pueden configurar distintas opciones del sistema en el ordenador Cliente: 1- Ejecutar un programa concreto al iniciar sesión el usuario (Por ejemplo un antivirus). 2.- No mostrar la pantalla de bienvenida al iniciar la primera sesión 3.- Inicio de sesión: como actuar ante cargas de perfiles, archivos de comandos que se ejecutan al iniciar sesión. 4.- Cuotas de disco: permite habilitar cuotas de disco en la maquina cliente y como administrar la misma. 5.- Directivas de grupo. Como aplicar las mismas e intervalos de refresco. (3) (4) (5) (2) (1) Página 14 de 17 Directivas de Grupo Elkarnet 6.3.3 Red / Archivos sin conexión: La opción Archivos sin conexión guarda una copia de archivos de red en el equipo del usuario para utilizarla cuando el equipo no esté conectado a la red. Se puede configurar como actuaran dichos archivos en la conexión y desconexión así como la configuración del sincronismo. 6.3.3 Componentes de Windows: Esta accesible pues hemos añadido anteriormente la plantilla wuau.adm. Permite configurar como actuará Windows Update: Hora de actualización, actualizar desde Windows Update o desde servidor SUS local (ver manual Instalación SUS). Página 15 de 17 Directivas de Grupo Elkarnet 7.- Configuración de usuarios Las carpetas de Configuración de usuario contienen la configuración para entornos personalizados, y se aplican cuando un usuario específico inicia sesión en la red. 7.1 Configuración de Windows 7.1.1 Mantenimiento de Internet Explorer -Interfaz de usuario del explorador: Se pueden personalizar aspectos del navegador IE tales como el texto que aparece en la barra del título, el logo... -Conexión: se puede configurar la pestaña conexión para obligar a todos los usuarios a utilizar un proxy.(Instalando un proxy en el ordenador del profesor este puede controlar el acceso a Internet de los alumnos) -Direcciones URL: permite configurar la página de inicio y los favoritos. -Programas: Se pueden especificar los programas que usará Windows por defecto para cada servicio de Internet Página 16 de 17 Directivas de Grupo Elkarnet 7.2 Plantillas Administrativas 7.2.1 Componentes de Windows - Netmeeting: multiples opciones de configuración : configurar envío y recepción de - - llamadas, video y audio, envío y recepción de ficheros, compartición de escritorios... Internet Explorer: entre las múltiples opciones la mas destacables pueden ser: deshabilitar el cambio de página de inicio, deshabilitar el cambio de configuración de conexiones, deshabilitar la pestaña opciones de Internet, deshabilitar la personalización de las barras de herramientas... Explorador de Windows: permite ocultar unidades o restringir el acceso a las mismas (A,C,D..), deshabilita red entera ,equipos próximos de red... Página 17 de 17