directivas de grupo

Elkarnet
DIRECTIVAS DE GRUPO
Configuración y aplicación
Versión: 1.0
Autor:
Paulino Insausti Barrenetxea
Fecha:
13 Junio de 2005
Licencia:
CreativeCommons - ShareAlike
Directivas de Grupo
Elkarnet
Aurkibidea / Indice
1.Escribe el primer título / Idatzi 1. Titulua. ......................................................................... 3
Página 2 de 17
Directivas de Grupo
Elkarnet
1.- Introducción.
1.1 ¿Qué son las Directivas de grupo?.
Una directiva de grupo de W2000 es un conjunto de reglas implementadas
por W2000, mediante cambios efectuados en el Registro, que se activan al iniciar
el equipo o cuando un usuario inicia su sesión de trabajo. Las directivas entran a
formar parte del entorno de usuario e imponen restricciones sobre las acciones de
dicho usuario.
¿Qué puede llegar a hacerse con una directiva de grupo? Puede ejecutarse
un guión con el que iniciar un equipo. Este guión, específico para esa máquina,
difiere del guión necesario para iniciar la sesión de un usuario. Se puede
configurar el perfil de un usuario en un equipo para que, eliminando opciones o
estableciendo configuraciones restrictivas, no se puedan ejecutar determinadas
aplicaciones, sea imposible conectarse a la red o, incluso, no se permita escoger
el fondo de pantalla. También pueden emplearse las directivas de grupo para
imponer restricciones de seguridad y controlar el acceso a los recursos de la red.
W2000 permite configurar las directivas que atañen a la seguridad en
diversos niveles de la estructura del directorio activo (DA). Las directivas
establecidas al más alto nivel del árbol del directorio, por ejemplo, pueden fluir
hasta los niveles más inferiores, como las unidades organizativas. Como opción,
también es posible modificar o sobrescribir las directivas del más alto nivel.
W2000 crea un GPO (Group Policy Object u Objeto directiva de grupo). Los
GPO son en realidad ubicaciones virtuales donde se almacenan las directivas.
Diferentes GPO pueden almacenar diferentes directivas, y cada GPO puede
aplicarse a determinados usuarios o equipos. Un GPO puede asociarse con
múltiples contenedores del DA y cada contenedor del DA puede disponer de
múltiples GPO, a su vez asociados a él.
W2000 guarda la información relacionada con la directiva de grupo en dos
sitios: en el GPC (Group Policy Container o Contenedor de directivas de grupo) y
en la GPT (Group Policy Template o Plantilla para directivas de grupo). El
contenedor GPC es un objeto del DA asociado con el GPO. Tanto el contenedor
(GPC) como la plantilla (GPT) contienen información acerca de la versión y
estado del objeto directiva de grupo (GPO).
Antes de empezar a crear GPO, deberá plantearse dónde necesita aplicar la
directiva en cuestión. ¿Afectará a todos los usuarios o equipos? De ser así, quizá
deba plantearse aplicarla en la sede. Si la directiva sólo ha de concernir a un
dominio o a un grupo de usuarios de una unidad organizativa, quizá lo más
apropiado resulte aplicarla únicamente en el nivel del dominio o de la unidad
organizativa.
Página 3 de 17
Directivas de Grupo
Elkarnet
1.2 Directivas heredadas
Cuando un usuario inicia una sesión, W2000 evalúa las directivas empezando
por el nivel más alto de la estructura del DA y va bajando a niveles inferiores. El
orden en que lleva a cabo dicha evaluación es: primero la sede, después el
dominio y finalmente la unidad organizativa. Por omisión, cada contenedor hereda
configuraciones GPO del contenedor situado por encima de él. Sin embargo, una
configuración dada en el contenedor inferior, como una unidad organizativa,
puede sobrescribir una configuración del nivel superior. Por lo tanto, si se
establece una directiva en la unidad organizativa padre, pero no se configura en la
unidad organizativa hija, ésta última heredará la configuración de su unidad padre.
Una directiva similar, configurada tanto en las unidades padre e hija, tendrá por
resultado que ambas directivas se apliquen sin ningún conflicto entre ellas. Sin
embargo, de entrar en conflicto, la directiva hija tiene preferencia y la unidad
organizativa no heredará la configuración de la directiva padre. Un posible método
de actuación podría consistir en aplicar un conjunto de directivas amplio a todos
los usuarios y, a medida que vaya siendo necesario, ir modificando las directivas
de determinados subgrupos dentro de la unidad organizativa.
1.3 Planificación de Directivas
Cuando se planifican las directivas, siempre es mejor aplicar las políticas más
amplias en el nivel superior de la estructura del DA e ir bajando niveles a medida
que se aplican directivas más específicas relativas a grupos de usuarios o de
equipos escogidos dentro de una unidad organizativa. No obstante, además de
factores típicos, como la combinación de directivas en cada nivel jerárquico,
deberá también tener en cuenta otros menos evidentes. Entre otras cosas, la
profundidad de la estructura del DA puede incidir en su planificación. Dado que
las configuraciones de directivas en un determinado nivel modifican las
configuraciones heredadas del nivel superior, el procesamiento de todas las
directivas en cada nivel, desde el más alto al más bajo –un usuario, por ejemplo—
puede demorarse más de lo previsto. Los usuarios del nivel más bajo podrían
tener la sensación de que el inicio de sesión dura más de lo normal.
Otro aspecto que debe tenerse en cuenta es el tráfico de red que puede
generarse cuando los usuarios se conectan. Un GPO asociado a toda una sede
puede afectar a todas sus máquinas, independientemente del dominio al que
pertenezca. Aquí reside precisamente la ventaja de disponer de una directiva
aplicada a la sede. Sin embargo, el GPO reside sólo en un único dominio, aun
cuando en una misma sede pueda haber múltiples dominios. Consecuentemente,
para obtener la directiva, todos los equipos de todos los dominios deberán
contactar con un dominio controlador en el dominio que contiene el objeto
directiva de grupo. Esta necesidad genera un tráfico adicional en la red y una
sobrecarga en los controladores de dominio.
Página 4 de 17
Directivas de Grupo
Elkarnet
2.- Acceso a las Directivas de Grupo
Las directivas de grupo se crean y modifican de varias formas diferentes,
dependiendo del tipo de directiva que se desea implantar.
Para aplicar
directiva de
grupo a
Equipo local
Un dominio
Pasos a seguir
Comentario
En
una
máquina
con
Windows2000 Professional
hay que abrir el panel de
control, pulsar herramientas
administrativas y seleccionar
directiva de seguridad local.
Aplicar directivas sobre un
equipo local no es viable en
una red con muchos
ordenadores, pues habriá
que
ir
aplicando
las
directivas equipo a equipo.
Abrir usuarios y equipos de
Active Directory. En el arbol
de la consola pulsar con el
botón derecho en el dominio
y
escoger
propiedades.
Pulsar
en
la
pestaña
directivas de grupo.
Hay que tener cuidado al
aplicar directivas sobre todo
el dominio. Todos los
equipos o usuarios de la red
recibiran
las
directivas
aplicadas.
Una unidad
organizativa
Abrir usuarios y equipos de Se tiene un mayor control al
Active Directory. En el arbol aplicar las directivas, pues
de la consola pulsar con el se aplican sobre los equipos
botón derecho sobre la UO y o usuarios que estan dentro
escoger propiedades. Pulsar de la UO
en la pestaña directivas de
grupo.
Nota: Las carpetas User y Computers no son unidades organizativas y, por
lo tanto,no pueden tener directivas de grupo aplicadas.Sin embargo, la
carpeta Domain Controlers si es una OU y se le pueden aplicar directivas.
Página 5 de 17
Directivas de Grupo
Elkarnet
3.- Creación de un Objeto Directiva Grupo
(GPO)
Para crear un GPO, vaya a Herramientas administrativas y escoja Equipos
y usuarios del Directorio Activo. Abra las ramas del árbol jerárquico y pulse el
botón derecho del ratón sobre la unidad organizativa para la que quiere crear un
GPO. Elija la opción Propiedades y, en la pestaña Directiva de grupo escoja
Nueva para crear una nueva directiva o Editar para modificar una existente.
Página 6 de 17
Directivas de Grupo
Elkarnet
4.- Como se procesan las Directivas de grupo
Las directivas asociadas a una UO pueden aplicar sobre los equipos o
sobre los usuarios de la misma, dependiendo nos interese configurar unos u
otros. El proceso es el siguiente: al iniciar un equipo, W2000 procesa todas las
configuraciones «directiva de grupo» que encuentra en él y, de paso, empieza a
ejecutar los guiones de inicio. Para asegurarse de que las directivas de esa
máquina entran en vigor al iniciar el usuario su sesión, las configuraciones de
directiva de grupo establecidas para ella se activan antes de mostrar la pantalla
de inicio de sesión. Una vez el usuario conectado, W2000 procesa las
configuraciones de directiva de grupo y, a continuación, se ejecutan sus guiones.
Por último, una vez el sistema ya ha procesado todos los guiones de inicio
correspondientes a la directiva de grupo, se ejecutan los guiones de inicio de
sesión individuales, correspondientes al usuario.
Una diferencia existente entre W2000 y NT 4.0 es que el usuario ya no
necesita desconectarse y volverse a conectar cada vez que deba recibir nuevas
directivas. (Como consecuencia de ello, un usuario no puede retener
configuraciones de directivas antiguas por más que permanezca conectado
indefinidamente.) La configuración por omisión establece que los equipos clientes
comprueben si existen directivas nuevas cada 90 minutos (con un margen
aleatorio de unos +/- 30 minutos para evitar que más de un ordenador realice la
comprobación simultáneamente). Los controladores de dominio renuevan sus
datos relacionados con las directivas cada 5 minutos.
Se puede forzar la actualización de una directiva sobre un equipo local.
Abrir una ventana de comando y escribir:
Secedit /refreshpolicy machine_policy
Nota importante: para que las directivas se apliquen correctamente debe
configurarse correctamente el DNS de los equipos clientes, de forma que apunte
al controlador de dominio donde esta el directorio activo.
IP controlador de
dominio donde esta
el directorio activo
Página 7 de 17
Directivas de Grupo
Elkarnet
5.- Análisis de las Directivas de Grupo
Hay una gran cantidad de directivas y sus aplicaciones son muy variadas.
Se van a analizar algunas de ellas desde el punto de vista de aplicarlas en
centros de enseñanza, que es el caso que nos ocupa, siendo el planteamiento y
las necesidades distintas a las que pueda presentar una empresa.
El editor de directivas muestra dos ramas: Configuración del equipo y
Configuración de usuario. Cada rama tiene tres extensiones para Configuración
del software, Configuración de Windows y Plantillas administrativas.
Las carpetas de Configuración del equipo se pueden utilizar para
personalizar las directivas para equipos de la red. Estas directivas entran en vigor
cuando el equipo se enciende y se inicia el sistema operativo. La configuración de
estas carpetas se aplica a cualquier usuario que inicie sesión en el equipo.
Las carpetas de Configuración de usuario contienen la configuración
para entornos personalizados, y se aplican cuando un usuario específico inicia
sesión en la red.
Página 8 de 17
Directivas de Grupo
Elkarnet
6.- Configuración de equipos
Se aplican a todos los equipos alojados en la Unidad Organizativa
correspondiente y están clasificadas en tres subgrupos:
- Configuración del software
- Configuración de Windows
- Plantillas administrativas
6.1 Configuración del Software
Instalación de software: permite asignar
paquetes msi para realizar instalaciones
desatendidas. Estos paquetes msi se instalan al
arrancar el equipo.
Página 9 de 17
Directivas de Grupo
Elkarnet
6.2 Configuración de Windows
Directivas de cuenta: controla aspectos relacionados con las contraseñas
(longitudes y caducidades de las mismas), así como aspectos relacionados con
los bloqueos de cuenta ante intentos incorrectos de conexión.
Página 10 de 17
Directivas de Grupo
Elkarnet
Directivas locales: Estas directivas pertenecen al equipo. Las directivas
locales se basan en el equipo donde tiene iniciada una sesión y los derechos
que posee sobre dicho equipo. Esta área de seguridad contiene atributos para:
- Directiva de auditoría: determina qué sucesos de seguridad se guardan
-
-
en el registro de seguridad del equipo (intentos correctos, intentos fallidos o
ambos). El registro de seguridad forma parte del Visor de sucesos.
Asignación de derechos de usuario: determina qué usuarios o grupos
tienen privilegios de inicio de sesión o de tareas en el equipo. Interesante
para restringir al acceso a usuarios alumnos para que no puedan iniciar
sesión en ordenadores de profesores.
Opciones de seguridad: habilita o deshabilita la configuración de
seguridad del equipo, como la firma digital de datos, nombres de las
cuentas Administrador e Invitado, acceso a CD ROM y unidad de disco,
instalación de controladores y solicitudes de inicio de sesión, ocultar el
nombre del último usuario conectado, permite enviar un mensaje a los
usuarios que se encienden el ordenador.
Registro de sucesos: permite configurar distintos parámetros del registro de
sucesos: los días que se mantendrá el registro, si se sobrescribe o no, tamaño
del mismo..
Servicios del sistema: Es posible configurar los atributos de seguridad de los
servicios del sistema existentes del equipo local y especificar cuales se iniciaran
de forma automática y cuales de forma manual.
Página 11 de 17
Directivas de Grupo
Elkarnet
6.3 Plantillas Administrativas
El nodo Plantillas administrativas de la Directiva de grupo contiene toda la
información de directivas basadas en el Registro. La configuración de usuario se
guarda en HKEY_CURRENT_USER (HKCU) y la configuración del equipo se
guarda en HKEY_LOCAL_MACHINE (HKLM).
El espacio de nombres que se encuentra bajo el nodo Plantillas
administrativas se ocupa mediante archivos .adm o con una extensión de directiva
de grupo. Cuando se utiliza el nodo por primera vez, se instalan automáticamente
los archivos .adm.
Plantillas
administrativas
System.adm
Inetres.adm
Descripción
Instalada en Directiva de grupo de forma predeterminada.
Para clientes de Windows 2000.
Instalada en Directiva de grupo de forma predeterminada.
Directivas relativas a Internet Explorer para clientes de
Windows 2000.
Para Sistema Operativos NT,98,95 se pueden añadir plantillas .adm
Opciones de interfaz de usuario específicas para Windows NT 4.0.
Se utiliza con el Editor de directivas del sistema (Poledit.exe).
Opciones de interfaz de usuario específicas para Windows 95 y
Windows.adm Windows 98. Se utiliza con el Editor de directivas del sistema
(Poledit.exe).
Opciones de interfaz de usuario comunes a Windows NT 4.0,
Common.adm Windows 95 y Windows 98. Se utiliza con el Editor de directivas del
sistema (Poledit.exe).
Winnt.adm
Página 12 de 17
Directivas de Grupo
Elkarnet
También se pueden añadir archivos .adm adicionales.
Botón derecho sobre la carpeta plantillas administrativas, Agregar o quitar
plantillas y Agregar. Por ejemplo vamos a agregar una plantilla wuau.adm la
cual nos permitirá configurar el sistema Windows Update de los equipos clientes
(Ver manual de instalación SUS).
Plantillas administrativas básicas
Plantillas administrativas
6.3.1 Componentes de Windows
Permite configurar aspectos relacionados con Netmeeting, Internet
Explorer, Programador de tareas y Windows Installer. Una opción interesante en
la configuración de Internet Explorer es la que obliga a todos los usuarios del
equipo a tener la misma configuración de proxy.
Página 13 de 17
Directivas de Grupo
Elkarnet
6.3.2 Sistema
Se pueden configurar distintas opciones del sistema en el ordenador Cliente:
1- Ejecutar un programa concreto al iniciar sesión el usuario (Por ejemplo un
antivirus).
2.- No mostrar la pantalla de bienvenida al iniciar la primera sesión
3.- Inicio de sesión: como actuar ante cargas de perfiles, archivos de comandos
que se ejecutan al iniciar sesión.
4.- Cuotas de disco: permite habilitar cuotas de disco en la maquina cliente y
como administrar la misma.
5.- Directivas de grupo. Como aplicar las mismas e intervalos de refresco.
(3)
(4)
(5)
(2)
(1)
Página 14 de 17
Directivas de Grupo
Elkarnet
6.3.3 Red / Archivos sin conexión:
La opción Archivos sin conexión guarda una copia de archivos de red en el
equipo del usuario para utilizarla cuando el equipo no esté conectado a la red. Se
puede configurar como actuaran dichos archivos en la conexión y desconexión así
como la configuración del sincronismo.
6.3.3 Componentes de Windows:
Esta accesible pues hemos añadido anteriormente la plantilla wuau.adm.
Permite configurar como actuará Windows Update: Hora de actualización,
actualizar desde Windows Update o desde servidor SUS local (ver manual
Instalación SUS).
Página 15 de 17
Directivas de Grupo
Elkarnet
7.- Configuración de usuarios
Las carpetas de Configuración de usuario contienen la configuración
para entornos personalizados, y se aplican cuando un usuario específico inicia
sesión en la red.
7.1 Configuración de Windows
7.1.1 Mantenimiento de Internet Explorer
-Interfaz de usuario del explorador: Se pueden personalizar aspectos del
navegador IE tales como el texto que aparece en la barra del título, el logo...
-Conexión: se puede configurar la pestaña conexión para obligar a todos los
usuarios a utilizar un proxy.(Instalando un proxy en el ordenador del profesor este
puede controlar el acceso a Internet de los alumnos)
-Direcciones URL: permite configurar la página de inicio y los favoritos.
-Programas: Se pueden especificar los programas que usará Windows por
defecto para cada servicio de Internet
Página 16 de 17
Directivas de Grupo
Elkarnet
7.2 Plantillas Administrativas
7.2.1 Componentes de Windows
- Netmeeting: multiples opciones de configuración : configurar envío y recepción de
-
-
llamadas, video y audio, envío y recepción de ficheros, compartición de
escritorios...
Internet Explorer: entre las múltiples opciones la mas destacables pueden ser:
deshabilitar el cambio de página de inicio, deshabilitar el cambio de configuración
de conexiones, deshabilitar la pestaña opciones de Internet, deshabilitar la
personalización de las barras de herramientas...
Explorador de Windows: permite ocultar unidades o restringir el acceso a las
mismas (A,C,D..), deshabilita red entera ,equipos próximos de red...
Página 17 de 17