Para controlar el entorno de los puestos de trabajo, el administrador puede implementar directivas de grupo.
1. Los componentes de una directiva de grupo
Una GPO (Group Policy Object - Directiva de grupo) contiene uno o más parámetros para los usuarios y equipos del dominio o puesto local. Estas directivas se almacenan en SYSVOL y se gestionan mediante la consola Administración de directivas de grupo (GPMC). La consolaEditor de administración de directivas de grupo permite editar la directiva y modificar los diferentes parámetros. Las GPO están vinculadas a un contenedor de Active Directory (Unidad organizativa, UO), para que cada objeto contenido en esta OU reciba la directiva de grupo. Es posible configurar varios miles de parámetros, sin embargo cada nueva versión aporta un lote de parámetros. A diferencia de cierto número de parámetros, muchos de ellos no son compatibles con las versiones más antiguas. En este caso, el equipo que recibe la directiva de grupo ignora el parámetro. Si un administrador vincula a un equipo con sistema operativo Windows. XP una directiva de grupo que contiene estas preferencias, estas no se aplican si las CSE (Extensiones del lado cliente) no están instaladas. Estas CSE se encuentran en el sistema operativo Microsoft y tienen la responsabilidad de aplicar los parámetros recibidos por una directiva de grupo. Existen tantas extensiones del lado cliente como tipos de parámetros.
Una directiva de grupo contiene dos tipos de configuración:
Configuración de usuario: modificación de la clave HKEY_Current_User.
Configuración del equipo: modificación de la clave HKEY_Local_Machine.
En estos dos tipos de configuración, se puede emplear tres categorías de parámetros:
Configuración de software: contiene la información acerca del software que se puede
implementar.
Configuración de Windows: podemos configurar los parámetros de seguridad y scripts
para los usuarios y equipos.
Plantillas administrativas: se incluyen miles de parámetros. Estos permiten configurar
el registro para personalizar el entorno del usuario (bloquear algunos menús...). Pueden crearse y utilizarse plantillas personalizadas, adicionalmente es posible descargar desde Internet paquetes de plantillas (por ejemplo, de Office).
El nodo Preferencias de la consola proporciona los parámetros suplementarios para la configuración del entorno. Este punto se aborda con detalle más adelante.
2. Directiva de grupo local múltiple
Con los sistemas operativos anteriores a Windows Vista, solo era posible configurar una directiva de grupo local. Ésta se aplica al conjunto de usuarios que se conectan al equipo en local. Esta característica se ha mejorado con Windows Vista y permite en adelante la creación de varias directiva de grupo locales. Es más fácil aplicar configuraciones diferentes a varios usuarios.
Es posible crear tres tipos de directivas:
Administradores o No administradores: contiene los parámetros de usuario
exclusivamente, este tipo de directiva pueden crearla los Administradores (se aplica al conjunto de miembros del grupo de administradores locales) o los No-administradores (se aplica al conjunto de usuarios locales).
Usuario específico: la directiva se aplica solamente al usuario seleccionado.
El tratamiento de la directiva de grupo local puede deshabilitarse empleando una GPO de dominio.
3. Almacenamiento de los diferentes componentes de una GPO
Las directivas de grupo se almacenan en dos contenedores:El GPT (Group Policy Template) contiene los parámetros de seguridad, los scripts y los parámetros vinculados al registro. Soporta los archivos adm o admx. Este contenedor se encuentra en la carpeta Sysvol.
El GPC (Group Policy Container) se almacena en la base de datos de Active Directory. Cada contenedor se identifica mediante un GUID. Este último identifica de forma unívoca al objeto en AD DS. El GPC define atributos tales como el vínculo o el número de versión. Podemos encontrar el mismo GUID en la carpeta SYSVOL de los diferentes controladores de dominio.
Durante la actualización de las directivas en el equipo (cada 90 a 120 minutos), las extensiones del lado cliente (CSE) recuperan los parámetros y los aplican si ha habido una modificación. El número de versión permite identificar esta modificación. En efecto, el número almacenado en el archivo gtp.ini (SYSVOL\GUIDGPO\gpt.ini) se incrementa con cada cambio o parámetro agregado.
4. Las preferencias en las directivas de grupo
Aparecidas con Windows Server 2008, las preferencias permiten incluir más de 20 extensiones de directiva de grupo. Esta funcionalidad permite la reducción de los scripts empleados por el inicio de sesión (conexión de unidad de red...).
Para utilizar las preferencias en Windows XP es preciso descargar e instalar las extensiones del lado cliente.
Las preferencias se aplican a un usuario o equipo, adicionalmente los parámetros no son obligatorios. Cualquier usuario puede entonces cambiar la configuración hecha por el administrador. Gestionados directamente desde la consola Administración de directivas de
grupo, también es posible cambiar los parámetros desde un puesto de trabajo o servidor
miembro empleando los archivos RSAT (Remote Server Administration Tool).
Al igual que para las directivas, la aplicación de las preferencias se efectúa al arrancar, al apagar el equipo o a intervalos de entre 90 y 120 minutos. Por defecto los parámetros configurados en las preferencias no se eliminan del equipo cuando la directiva ya no se aplica al equipo o al usuario. Sin embargo se puede modificar este comportamiento.
La asignación de las preferencias a los puestos cliente se efectúa de una forma más fina que usando una directiva de grupo. En efecto, podemos atribuir las preferencias a los equipos en función del sistema operativo... Esta funcionalidad es configurable solamente en las directivas de dominio.
Entre los parámetros configurables en las preferencias, podemos encontrar:
Asignación de una unidad de red o de una impresora Creación de un acceso directo
Configuración de opciones de alimentación Configuración de opciones de Internet Explorer…
5. Nociones de las GPO de inicio
Los objetos GPO de inicio permiten crear plantillas de directivas de grupo. Al crear una nueva GPO, ésta puede crearse a partir de un objeto GPO de inicio. De esta forma la nueva directiva recupera el conjunto de parámetros configurados. Esta característica permite la misma configuración básica para el conjunto de las directivas de grupo.
Los únicos parámetros que pueden estar contenidos en este tipo de objeto son los contenidos en las plantillas administrativas de usuario y equipo.
Estas GPO de inicio pueden exportarse a un archivo con la extensión cab (archivo Cabinet). De esta forma realizamos la distribución y carga de estos archivos en otro sitio. Esta operación de distribución es posible porque estos archivos son independientes del bosque o dominio en el que se crean.
Esta característica puede emplearse en varios casos:
Los parámetros de Internet Explorer deben ser comunes en todas las áreas de la empresa.
Uno o varios parámetros deben aplicarse a todos los portátiles de x sitios de la empresa.
Aunque la base es común a todas las directivas o todas las áreas de la empresa, es posible añadir parámetros adicionales en la directiva. Esto permite responder por ejemplo a una problemática específica de una de las áreas.
La creación se efectúa desde la consola Administración de directivas de grupo (GPMC). Es posible crear la carpeta de objetos GPO de inicio, que contiene un conjunto de directivas predefinidas.
Podemos modificar estas directivas o crear nuevas.
Al igual que para con las demás directivas, una parte se almacena en el GPC, y la otra en el GPT.
6. Implementación de una delegación a nivel de GPO
Todos los administradores tienen la posibilidad de implementar delegaciones. Esta acción provee a los usuarios la posibilidad de administrar las directivas de grupo. La gestión y creación de directivas, la creación de filtros WMI... son también acciones que puede realizar un usuario al que se ha delegado la administración.
Los siguientes usuarios y grupos poseen por defecto permisos completos para administrar las diferentes directivas de grupo:
Administradores de dominio Administradores de empresas CREATOR OWNER
Sistema local
Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y aplicación de la directiva de grupo.
Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores (dominio, empresa) tienen la posibilidad de crear directivas de grupo. Para delegar este permiso en un usuario, debemos agregarlo en la pestaña Delegación del contenedor Objetos de directiva
de grupo.
Para vincular una GPO a un contenedor, el usuario o el grupo debe estar ubicado en el contenedor deseado.
Es necesaria utilizar archivos RSAT, el usuario no tiene la posibilidad de conectarse a un controlador de dominio.