Directivas de grupo en el Directorio Activo

   En entradas anteriores de la presente bitácora se ha hablado del servidor de Windows y de una de sus herramientas más emblemáticas, el Directorio Activo ["Active Directory" ("AD"), en inglés].
  Uno de los objetos de dominio con los que trabaja el DA es la unidad organizativa (contenedor lógico dentro de los servicios de directorio utilizado para agrupar usuarios, equipos, grupos y recursos).
    La unidad organizativa, entre otras cosas, permite al usuario aplicar directivas (un tipo de configuraciones) únicas a un subconjunto de usuarios o equipos. Así, una directiva de grupo es un conjunto de reglas que controlan el entorno de trabajo de cuentas de usuario y cuentas de equipo, proporcionando la gestión centralizada y configuración de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de servicio de directorio.
  En el Directorio Activo, la directiva de grupo es una función de gestión que permite a los administradores de red definir y aplicar ajustes específicos, configuraciones y políticas de seguridad para usuarios y equipos dentro de una red basada en Windows.
  Cuando se usa con DA, la configuración de directiva de grupo se incluye en un objeto de directiva de grupo ["Group Policy Object" ("GPO"), en inglés], que son contenedores para organizar y administrar una colección de configuraciones de directiva dentro de un dominio de DA.

FUNCIONAMIENTO

  En el caso de los equipos, la directiva de grupo se aplica cuando se inicia el equipo. Para los usuarios, la directiva de grupo se aplica al iniciar sesión. Este procesamiento inicial de la directiva también se puede denominar aplicación de directiva en primer plano.
  La aplicación en primer plano de la directiva de grupo puede ser sincrónica o asincrónica:
  •   Sincrónica: El equipo no completa el inicio del sistema hasta que la directiva de equipo se aplica correctamente. El proceso de inicio de sesión del usuario no se completa hasta que la directiva de usuario se aplica correctamente.
  •   Asincrónica: si no hay ningún cambio de directiva que requiera procesamiento sincrónico, el equipo puede completar la secuencia de inicio antes de que se complete la aplicación de la directiva de equipo. El intérprete de comandos puede estar disponible para el usuario antes de que se complete la aplicación de la directiva de usuario. Después, el sistema aplica periódicamente la directiva de grupo (actualizaciones) en segundo plano. Durante una actualización, la configuración de directiva se aplica de forma asincrónica.

TIPOS

  Las directivas de grupo en DA engloban varios tipos de directivas que permiten a los administradores controlar y gestionar diferentes aspectos del entorno Windows. Sus  tipos principales son:
  •   Directiva de grupo local: Se aplica a ordenadores individuales y se gestiona localmente en cada sistema. Es útil para configurar ajustes en un solo equipo y se puede acceder a él mediante el Editor de directivas de grupo local (gpedit.msc).
  •   Directiva de grupo de dominio: Es el tipo más común y se utiliza para gestionar las configuraciones de toda la red. Estas directivas se crean y aplican a nivel de dominio y afectan a todas las cuentas de usuario y equipo informático dentro del dominio (los cambios también se reflejan en todo el dominio). Las directivas de grupo de dominio se almacenan en el DA y se distribuyen a los equipos cliente.
  •   Directiva de grupo de sitios: Está diseñada para aplicarse a los sitios de DA, que son conjuntos de subredes IP en una red. Estas políticas se utilizan para configurar parámetros específicos de un sitio concreto.
  •   Directiva de grupo de unidades organizativas (UO): Son similares a las directivas de grupo de dominio, pero se aplican a nivel de UO. Las directivas UO permiten a los administradores organizar y gestionar objetos dentro de un dominio, así como dirigir un subconjunto de usuarios y equipos con directivas de grupo únicas.
  •   Preferencias de directivas de grupo ["Group Policy Preferences" ("GPP"), en inglés] : Son un conjunto flexible de extensiones de la directiva de grupo que permiten a los administradores configurar una amplia gama de parámetros (asignaciones de unidades, configuración de impresoras, modificaciones del registro, etc.).
  •   Gestión avanzada de directivas de grupo ["Advanced Group Policy Management" ("AGPM"), en inglés]: La GADG no es un tipo distinto de directiva, sino una herramienta proporcionada por Microsoft que mejora la gestión y el control de versiones de las directivas de grupo. Ayuda a las organizaciones a gestionar mejor el ciclo de vida de los objetos de directiva de grupo, incluido el seguimiento de cambios, el control de versiones y los flujos de trabajo de aprobación.
  •   Directiva de grupo de seguridad: Es un tipo específico de objeto de directiva de grupo que se utiliza para definir y aplicar ajustes y configuraciones relacionados con la seguridad para los usuarios y equipos de la red de una organización.
  •   Directiva de instalación de software: Este tipo de directiva se utiliza para desplegar y gestionar instalaciones de soporte lógico en la red. Los administradores pueden utilizarla para garantizar que determinados paquetes de soporte lógico estén disponibles para grupos de usuarios designados.
  •   Directiva de mantenimiento de Internet Explorer: Administra la configuración de Internet Explorer, como las URL de la página de inicio, las configuraciones del servidor proxy y las zonas de seguridad.

FUNCIONES

  Algunas de las funciones más relevantes de la directiva de grupo en DA son:
  •   Aplicación de la seguridad: Las directivas de grupo permiten a los administradores aplicar directivas de seguridad, como requisitos de complejidad de contraseñas, bloqueos de cuentas y privilegios de usuario. Esto mejora la seguridad de la red y ayuda a protegerla contra accesos no autorizados y ciberamenazas.
  •   Configuración de usuarios y ordenadores: Con la directiva de grupo, se simplifica la gestión centralizada de las configuraciones de usuarios y ordenadores, incluidos los ajustes del escritorio, las variables de entorno y las opciones de energía, lo cual  garantiza que las experiencias de los usuarios y las configuraciones de los sistemas sean coherentes y se ajusten a las normas de la organización.
  •   Despliegue de soporte lógico: La directiva de grupo puede utilizarse para desplegar, actualizar o eliminar aplicaciones de soporte lógico en la red, lo que permite a los administradores de TI garantizar que las aplicaciones adecuadas estén disponibles para los usuarios adecuados.
  •   Gestión de parches: Los administradores pueden utilizar la directiva de grupo para controlar el despliegue de actualizaciones y parches de soporte lógico, ayudando a mantener los sistemas actualizados y seguros.
  •   Asignación de unidades y gestión de impresoras: La directiva de grupo puede asignar unidades de red y gestionar impresoras de red, simplificando el acceso a los recursos y reduciendo la necesidad de configuración manual.
  •   Redirección de carpetas: Los administradores pueden utilizar la directiva de grupo para redirigir las carpetas de usuario (Mis documentos, Escritorio...) a ubicaciones de red, lo que mejora la copia de seguridad y la accesibilidad de los datos de usuario.
  •   Gestión de directiva locales y de grupo: Las directivas de grupo pueden gestionar tanto directivas basadas en dominios que se aplican a múltiples sistemas como directivas locales que se aplican a máquinas individuales.
  •   Auditoría y cumplimiento: La configuración de las directivas de grupo puede utilizarse con fines de auditoría y cumplimiento, lo que ayuda a las organizaciones a cumplir los requisitos normativos y documentar los cambios en las directivas.
  •   Configuración de servicios de escritorio remoto: Puede controlar la configuración de los Servicios de Escritorio Remoto, incluidas las configuraciones del nodo de sesión, las licencias y el acceso de los usuarios.
  •   Personalización y branding: La directiva de grupo puede utilizarse para personalizar el aspecto y la marca de Windows, lo que permite a las organizaciones aplicar su identidad corporativa a la interfaz de usuario del sistema operativo.
  •   Gestión de la energía: Los administradores pueden utilizar las directivas de grupo para gestionar las opciones de energía, lo que ayuda a conservar la energía y reducir los costes estableciendo directivas a escala para los ajustes de suspensión e hibernación en las estaciones de trabajo.
  •   Filtrado de seguridad y filtrado WMI: Las directivas de grupo ofrecen opciones avanzadas de filtrado, lo que permite a los administradores aplicar directivas de forma selectiva en función de la pertenencia a grupos de seguridad, unidades organizativas o condiciones específicas.

USO BÁSICO

General
  Para crear una directiva de grupo genérica (en este ejemplo una que no permita abrir el Panel de Control del equipo cliente), se comienza por acceder al “Administrador del servidor” del equipo servidor y, desde éste, se accede a la ruta “Herramientas > Administración de directivas de grupo”.
 Seguidamente, desde la nueva ventana que aparecerá, se accede a la ruta “Administración de directivas de grupo > Bosque: <nombre de dominio> > Dominios > <nombre de dominio> > OU1 > Alumnos”, se pulsa con el botón derecho del ratón en la última carpeta y, en el menú contextual que aparecerá, se selecciona la opción “Crear una GPO en este dominio y vincularlo…”.
  En la nueva ventana que aparecerá, se escribe un nombre representativo (en este caso “Bloquear panel de control”) y se pulsa en el botón “Aceptar”.
 En el panel derecho de la pantalla de administración de directivas de grupo aparecerá la nueva directiva, que afecta a todos los usuarios de la unidad organizativa “Alumnos”. Para habilitarla, se pulsa con el botón derecho del ratón sobre la misma y, en el menú contextual que aparecerá, se pulsa la opción “Editar”.
  Se abre una nueva ventana; en su panel izquierdo se sigue la ruta “Configuración de usuario > Panel de control”. En el panel derecho de la ventana del editor del administrador de directivas de grupo, se selecciona la opción “Prohibición del acceso al Panel de Control y la configuración del equipo”.
  Se pulsa con el botón derecho sobre dicha opción y, en el menú contextual que aparecerá, en la opción “Editar”.
  En la nueva ventana que aparecerá, se marca la opción “Habilitar” y se pulsa en los botones “Aplicar” y “Aceptar”.
  Puede comprobarse que en el equipo cliente con Windows 10  no es posible el acceso al Panel de Control del mismo.

Distribución de soporte lógico
  Otra función que el equipo servidor puede tener hacia el equipo cliente mediante las directivas de grupo es la de repositorio de aplicaciones.
  Primeramente, se crea la carpeta “Software” en la partición principal del equipo servidor.
  Luego, se configura la carpeta para que pueda ser compartida. Se pulsa con el botón derecho del ratón sobre la carpeta y, en el menú contextual, se pulsa en la opción “Propiedades”.
  A continuación, en la ventana emergente que aparecerá, se quita la pestaña de la casilla de verificación de “Solo lectura (solo para archivos de la carpeta)".
  
  Después, en la pestaña “Compartir”, se pulsa sobre el botón “Uso compartido avanzado…”.
  Acto seguido, en la nueva ventana emergente, se marca la casilla de verificación de “Compartir esta carpeta” y se pulsa en el botón “Permisos”.
  Seguidamente, se comprueba que todos los usuarios tienen acceso (“Everyone”, en este ejemplo) y se marca la casilla de verificación de “Leer”. Finalmente, se pulsan los botones “Aplicar” y “Aceptar”.
  Desde el equipo cliente con Windows 10 puede verse la nueva carpeta recién creada y configurada.
  Después, se pone un archivo de instalación de la aplicación a servir (en este ejemplo un archivo MSI [paquete de instalación para sistemas Windows que contiene toda la información y los archivos necesarios para instalar, actualizar, reparar o desinstalar software de manera estandarizada) de Notepad++] en la carpeta.
  A continuación, se crea la directiva como se ha explicado previamente, se selecciona la misma creada con el botón derecho del ratón y, en el menú contextual que aparecerá, se selecciona la opción “Editar”.
  En el panel izquierdo de la nueva ventana que aparecerá, se sigue la ruta “Configuración de usuario > Ajustes de software > Instalación de software”. Se pulsa con el botón derecho del ratón en esta última opción y, en el menú contextual, se selecciona la opción “Nuevo > Paquete”.
  En la ventana emergente que aparecerá, se selecciona el archivo de instalación de la carpeta “Software” y se pulsa en el botón “Abrir”.
  Se siguen las indicaciones del asistente y, en la pantalla de seleccionar el método de implementación, se marca la opción “Asignada”. Luego, se pulsa en el botón “Aceptar”.
    Aparecerá, en la parte derecha de la ventana de propiedades de la directiva, la nueva implementación.
  Desde el equipo cliente con Windows 10, el usuario puede instalar desde el servidor el soporte lógico recién configurado.

Control de aplicaciones
  Las directivas de grupo también permiten controlar remotamente ciertos aspectos de las aplicaciones que tengan sus equipos clientes.
  Tras crear una nueva directiva con el mismo método empleado en las ocasiones anteriores, pero en la unidad organizativa que contenga las demás (“OU1”, en este ejemplo), se pulsa sobre la política recién creada con el botón derecho del ratón y, en el menú contextual, se selecciona la opción “Editar”.
  En la ventana emergente que aparecerá, se sigue la ruta “Configuración de usuario > Plantillas administrativas… > System”, donde se pulsa con el botón derecho del ratón sobre la opción “Prevenir acceso a la consola” y, en el menú contextual que se abrirá, se selecciona la opción “Editar”.
  En la siguiente ventana emergente que aparecerá, se marca la opción “Habilitar” y la opción “Sí” del desplegable de la sección “Opciones” Finalmente, se pulsa en los botones “Aplicar” y “Aceptar”.
  En la ventana previa, se pulsa, con el botón derecho del ratón, en la opción “Ejecutar sólo aplicaciones específicas de Windows” y, en el menú contextual, se selecciona la opción “Editar”.

  En la ventana emergente, se marca la opción “Habilitar”, y, en la sección “Opciones” se pulsa sobre el botón  “Mostrar…”.
  Aparece una nueva ventana emergente donde se escribirá el nombre del archivo ejecutable de la aplicación afectada por la política de grupo y se pulsará en el botón “Aceptar”.
  En la ventana emergente anterior se pulsará en los botones “Aplicar” y “Aceptar”.
  
  En este caso, se debe reiniciar (o cerrar sesión y volver a abrirla con un usuario del dominio) el equipo cliente para que asimile los efectos de la directiva (o bien usar el comando gpupdate /force en el Símbolo del sistema).
  Puede comprobarse que, en el equipo cliente con Windows 10, no es posible abrir el Símbolo del sistema (sale una pantalla de aviso).

  Espero que la presente entrada haya sido interesante para el lector. De ser así, aguardo que éste la comente y/o la comparta, por favor.

No hay comentarios:

Publicar un comentario

Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.