Un capítulo titulado «Introducción a las políticas de grupo» en el Manual de integración de redes de Microsoft corre el riesgo de aburrir a un administrador avanzado, ya que las definiciones de términos y la enumeración de las posibilidades que ofrecen las políticas de grupo no le aportan ninguna novedad, simplemente le aburren. Un recién llegado, por otra parte, se sentirá abrumado por una introducción de muchas páginas a la teoría. Sólo el manejo práctico de las políticas de grupo le abrirá los ojos sobre para qué sirven las políticas de grupo y por qué son adecuadas para simplificar inmensamente la administración de una red bajo Windows Server.
Parte 2 – Uso de las políticas de grupo de Windows XP
Parte 3 – Crear sus propios archivos de plantilla para las políticas de grupo que faltan
Parte 4 – Microsoft Office en la red
| Esta serie de artículos es un extracto de «Integrationshandbuch Microsoft-Netzwerk» de Ulrich Schlüter. Fecha de publicación: octubre de 2004 por Galileo Computing. (ISBN 3-89842-525-8) y se puso a disposición exclusiva de WinTotal por adelantado. |
Índice de contenidos
Cómo abordar el tema de las «políticas de grupo
Hojee este capítulo para entrar lo más rápidamente posible en los ejercicios prácticos con políticas de grupo que contienen los capítulos siguientes. Especialmente el principiante no debería intentar profundizar en cada una de las explicaciones de este capítulo introductorio. Lea este capítulo introductorio más intensamente una segunda vez más adelante, una vez que haya aprendido a aplicar políticas de grupo a través de los ejercicios prácticos. La teoría gris de este capítulo introductorio es entonces mucho más fácil de entender con conocimientos prácticos previos. Tan pronto como haya adquirido una comprensión básica de la aplicación de las políticas de grupo a través de los ejercicios prácticos, este capítulo introductorio es importante para poder situar el conocimiento detallado sobre las políticas de grupo en un contexto mental global y para poder distinguir claramente los términos pertenecientes al tema entre sí.
Analizar y aplicar la configuración de las directivas de grupo de una instalación de Small Business Server 2003:
Puede solicitar en línea a Microsoft una versión de evaluación gratuita de 180 días de Windows Small Business Server 2003. La instalación de la edición estándar consiste en insertar cuatro CD y se ejecuta automáticamente sin apenas intervención del usuario. A continuación, se preconfiguran el Directorio Activo creado y servicios como DHCP o DNS de forma en gran medida ejemplar. Además, se crean grupos de seguridad y distribución, scripts y políticas de grupo.
Para aprender algo sobre la forma en que los expertos de Microsoft estructuran y establecen las directivas de grupo siguiendo un patrón, debería iniciar el complemento Administración de directivas de grupo en un SBS 2003 instalado y crear un informe de todos los objetos de directiva de grupo instalados haciendo clic con el botón derecho en cada uno de los GPO y seleccionando Crear informe.
 |
|
Crear informe |
Encontrará estos informes en el DVD del libro. A continuación, analice qué permisos se han asignado y qué políticas se han preestablecido y cómo. Parece lógico pensar cuáles de estas configuraciones deberían adoptarse también en un entorno que no sea SBS 2003.
¿Qué son las políticas de grupo?
Las políticas de grupo son conjuntos de parámetros de configuración de usuarios y equipos que se asocian a equipos, sitios, dominios o unidades organizativas (OU) para controlar el comportamiento del escritorio del usuario y también para definir aspectos como la configuración de seguridad, los scripts de inicio y cierre de sesión, los scripts para iniciar y apagar un equipo o para establecer redireccionamientos de carpetas, por ejemplo. Las políticas de grupo pueden utilizarse para determinar el comportamiento del sistema operativo y restringir sus opciones. Sin embargo, también existen políticas de grupo con las que se pueden controlar desde una ubicación central el comportamiento y las opciones de aplicaciones como Microsoft Office.
¿Qué son los objetos de directiva de grupo (GPO)?
Microsoft define un objeto de directiva de grupo como un conjunto de opciones de directiva de grupo. Los nuevos objetos de directiva de grupo se crean mediante las consolas de administración de directivas de grupo. Los GPO se almacenan a nivel de dominio (no a nivel de bosque de Active Directory) en Contenedores de directivas de grupo (GPC ). Los GPO afectan a equipos (o grupos de equipos) o usuarios (o grupos de usuarios) en sitios, en dominios individuales o en unidades organizativas. Esto significa, por ejemplo, que puedes crear una unidad organizativa (OU) llamada Portátiles, crear un nuevo objeto de directiva de grupo para esta OU, y definir específicamente en este GPO todas aquellas políticas que sólo afectan a los portátiles, pero no a otros ordenadores que tengan una conexión permanente a la red. La configuración de políticas afectada en este GPO afectará a todos los objetos de ordenador que se muevan a la unidad organizativa Portátiles.
Además, también se pueden crear GPO para equipos autónomos, es decir, equipos que no están o no están permanentemente conectados a un dominio de Active Directory, como los portátiles o las tabletas. Aquí se habla de objetos de directiva de grupo locales.
Se pueden aplicar varios GPO a un sitio, dominio o unidad organizativa. Además, se pueden crear varios GPO en un contenedor colectivo de Active Directory, por ejemplo, con el nombre de objetos de directiva de grupo interorganizativos. Posteriormente, cada uno de estos GPO puede asignarse a varios otros contenedores (por ejemplo, unidades organizativas) mediante la función Group Policy Link.
¿Qué es la vinculación de directivas de grupo?
Un ejemplo mostrará el método Group Policy Linking: Usted crea unidades organizativas para los departamentos individuales de la empresa con los nombres de departamento Administración, Ventas, Compras, Producción, Desarrollo. En estas OUs departamentales se crean los objetos usuario.
Algunas políticas de grupo son específicas de cada departamento, mientras que otras se aplican a todos los empleados de la organización. Las políticas que deben aplicarse a todos los empleados se definen una sola vez en un GPO creado a tal efecto en la unidad organizativa Objetos de directiva de grupo interorganizativos. A continuación, se vincula este GPO a todas las OU departamentales. Si más adelante necesita añadir o redefinir una política interorganizativa, puede realizar este cambio cómodamente en un lugar central y no por separado para cada departamento. De este modo, el número de GPO necesarios sigue siendo manejable y se minimiza el número de posibles fuentes de error.
¿Qué son los contenedores de directivas de grupo (GPC)?
El contenedor de directivas de grupo (GPC) es un objeto de Active Directory que almacena propiedades de GPO y contiene subcontenedores para información de directivas de grupo sobre equipos y usuarios. El GPC contiene información de versión para garantizar que la información del GPC esté sincronizada con las plantillas de directiva de grupo (GPT). Además, la GPC contiene información de estado sobre si la GPO subyacente está actualmente activada o desactivada. El término GPC es confuso y es difícil distinguirlo del término GPT. Por esta razón, el término GPC aparece sólo en raras ocasiones, y no es necesario tener su significado constantemente a mano.
Sin embargo, es importante tener en cuenta que un objeto de directiva de grupo puede desactivarse completamente de forma temporal. Si, por ejemplo, sospechas que un comportamiento inexplicable en la interacción de varios GPO está causado por las directrices de un determinado GPO, puedes desactivar temporalmente este GPO para verificar la suposición. Si un nuevo GPO con directrices diferentes sólo va a entrar en vigor más adelante, cree este GPO con todas las configuraciones en estado desactivado y active el nuevo GPO sólo cuando sea necesario.
A estas alturas, como muy tarde, un recién llegado al tema de las políticas de grupo se marea, y seguir leyendo y asimilando términos y abreviaturas se convierte en una prueba de paciencia. Aún recuerdo mi propia confusión y la frustración que surgió al estudiar este complejo tema por primera vez. Consciente de ello, ya advertí al principio de este capítulo de lo tedioso de este material teórico. Por lo tanto, una vez más la pista reconfortante: no es necesario entender estos fundamentos teóricos a la primera. Tan pronto como hayamos jugado con las políticas de grupo de Windows XP y Office 2003 en los siguientes capítulos y, a más tardar, cuando creemos nuestros propios archivos de plantilla para las políticas de grupo que faltan, la gris teoría se llenará de vida práctica y surgirá la alegría del administrador. Hasta entonces, el lema es agacha la cabeza y persevera. Tu disciplina se verá recompensada más adelante, te doy mi palabra.
¿Qué son las plantillas de directivas de grupo (GPT)?
La Plantilla de Directiva de Grupo (GPT) es una estructura de carpetas en el directorio %systemroot%\SYSVOL\sysvol\Policies de los controladores de dominio. Esta estructura de carpetas se crea en el momento en que el administrador crea un nuevo objeto de directiva de grupo (GPO) mediante una consola de administración de directivas de grupo. Almacena, en forma de varios archivos de configuración, las políticas de grupo, pero también, por ejemplo, scripts de inicio y cierre de sesión y scripts para iniciar o apagar un equipo, si estos scripts se definen a través de una política de grupo.
 |
|
Estructura de carpetas |
Sólo podrá ver completamente esta estructura de carpetas en el Explorador de Windows si ha desactivado la opción Ocultar archivos protegidos del sistema y activado las opciones Mostrar el contenido de las carpetas del sistema y Mostrar todos los archivos y carpetas. Como administrador, en general debería adoptar esta configuración predeterminada del Explorador de Windows para todas las carpetas, tanto cuando trabaje en el servidor como cuando lo haga en un cliente. En las explicaciones posteriores de este libro, se asume que ha realizado estas configuraciones predeterminadas en el Explorador de Windows y, por lo tanto, verá todos los archivos y carpetas en el futuro, es decir, también aquellos que tengan el atributo Oculto o el atributo Sistema. Del mismo modo, la opción Ocultar extensiones para tipos de archivo conocidos debe desactivarse al menos para los administradores y el personal de ayuda. Estos miembros del personal no sólo deben conocer el significado de las extensiones de los nombres de archivo, sino que también deben poder manipular las extensiones en caso necesario.
Cuando se crea un objeto de política de grupo, se crea la estructura de carpetas GPT correspondiente en el controlador de dominio. Si hay varios controladores de dominio, esta nueva estructura de carpetas se replica en los demás controladores de dominio. El nombre de carpeta de la GPT es una combinación de 36 dígitos de columnas de números y letras separadas por guiones y corresponde al GUID (Globally Unique Identifier) del GPO creado.
En el directorio raíz de una estructura de carpetas GPT se encuentra el archivo gpt.ini y las subcarpetas Adm, Máquina y Usuario. Estas carpetas principales llevan subcarpetas cuya estructura exacta depende de las políticas que definas. El archivo gpt.ini contiene las siguientes variables y sus asignaciones:
displayName=Nuevo objeto de directiva de grupo: Esta variable no toma el nombre de la GPO, sino que tiene el nombre por defecto «Nuevo objeto de directiva de grupo».
version=Número de versión: Un GPO recién creado recibe el número de versión 0. Cada política que se modifica en el GPO aumenta este valor. Si hay varios controladores de dominio, Active Directory determina en qué controlador de dominio se encuentra la versión más actual de una GPO comparando los niveles de versión y, a continuación, la replica en los controladores de dominio restantes.
Disabled=0 ó 1. Esta línea sólo aparece en los GPO locales y define si el GPO está actualmente desactivado. Para todas las demás GPO, el estado activado o desactivado se almacena en la GPC, que se encuentra en el almacén de Active Directory.
A continuación se enumeran las carpetas más importantes y su significado.
\Adm
Esta carpeta contiene los archivos de plantillas de políticas de grupo añadidos en el editor de políticas de grupo. Los archivos de plantilla de política de grupo se encuentran en el directorio %Systemroot%\inf o deben copiarse aquí. Tienen la extensión de nombre de archivo adm. Un Windows 2000 Server o Windows 2000 Professional instalado tiene diferentes archivos de plantilla que un Windows XP Professional o Windows Server 2003.
Los archivos de plantilla de Microsoft Office 2003 no se incluyen en el CD de Microsoft Office 2003. Se copian en el directorio %systemroot%\inf de un equipo durante la instalación del Kit de recursos de Office 2003 y, a continuación, deben copiarse manualmente en el directorio %systemroot%\inf del controlador de dominio. Usted mismo puede crear archivos de plantilla adm para fines y aplicaciones específicos, copiarlos en el directorio %systemroot%\inf y luego agregarlos en un GPO. Los detalles sobre el manejo de archivos adm se pueden encontrar en capítulos posteriores.
\Máquina
Esta carpeta contiene el archivo Registry . pol. El archivo Registry. pol contiene sólo la configuración de aquellas políticas que han sido habilitadas o deshabilitadas en la categoría Equipos, pero no tiene referencia a las políticas que permanecen sin configurar. Cuando un equipo se inicia y se conecta a su dominio, el archivo Registry. pol se evalúa y se añade a la sección HKEY_LOCAL_MACHINE de la base de datos del registro del equipo. El formato del archivo Registry . pol no es compatible con el archivo del mismo nombre utilizado en Windows 95, 98 o NT 4.0.
\Máquina\Aplicaciones
Esta carpeta contiene los archivos de publicación (archivos AAS) utilizados por Windows Installer para instalar paquetes MSI para ordenadores.
\Máquina\Documentos y Configuración
Esta carpeta contiene todos los archivos que deben estar en el escritorio de cada usuario, independientemente del usuario que inicie sesión.
\Máquina\Microsoft\Windows NT\SecEdit
Esta carpeta contiene el archivo GptTmpl.ini del editor de seguridad.
\Máquina – Scripts – Shutdown
Scripts y archivos asociados que se ejecutan cuando se apaga un ordenador.
\Machine\Scripts\Startup
Scripts y archivos asociados que se ejecutan cuando se inicia un ordenador.
\Usuario
Esta carpeta contiene el archivo Registry . pol. El archivo Registry. pol contiene sólo la configuración de aquellas políticas que han sido habilitadas o deshabilitadas en la categoría Usuario, pero no tiene referencia a las políticas que permanecen sin configurar. Cuando un usuario inicia sesión, el archivo Registry. pol se evalúa y se añade a la sección HKEY_CURRENT_USER de la base de datos del registro del ordenador. El formato del archivo Registry . pol no es compatible con el archivo del mismo nombre utilizado en Windows 95, 98 o NT 4.0.
\Usuario\Aplicación
Esta carpeta contiene los archivos de publicación (archivos AAS) utilizados por Windows Installer para instalar paquetes MSI para los usuarios.
\Usuario\Documentos y configuraciones
Todos los archivos que se configuran como parte del escritorio de un usuario.
\Usuario de Microsoft RemoteInstall
Los permisos que tiene un usuario cuando reinstala un equipo utilizando el Servicio de Instalación Remota.
\Usuario – Scripts – Inicio de sesión
Los scripts y archivos asociados para un script de inicio de sesión asignado.
\User\Scripts\Logoff
Los scripts y archivos asociados para un script de cierre de sesión asignado.
Las herramientas de gestión de políticas de grupo
Las políticas de grupo también pueden utilizarse para definir el comportamiento y la interfaz de usuario de un ordenador individual que no esté conectado a una red. En Windows XP, inicie el elemento de menú Política de seguridad local a través de Inicio – Configuración – Panel de control – Herramientas administrativas. Una forma más rápida de hacerlo es ejecutar el comando gpedit.msc a través de Inicio – Ejecutar.
 |
|
Herramientas administrativas |
Con este complemento puedes, por ejemplo, proteger un portátil de forma que el usuario sólo pueda cambiar posteriormente algunos ajustes en el portátil y sólo pueda iniciar aplicaciones claramente definidas. Con estas restricciones, se minimiza el esfuerzo de soporte para ordenadores autónomos.
Sin embargo, el campo de actividad típico de los administradores de red no son las políticas de grupo locales, sino las políticas que se implementan en toda la red en el Directorio Activo y afectan a dominios enteros, ubicaciones individuales o unidades organizativas individuales. Estas políticas de grupo se controlan a través de los snap-ins Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory, Políticas de grupo o a través de la herramienta de gestión GPMC.MSI.
Con el complemento Usuarios y equipos de Active Directory se crean objetos de directiva de grupo (GPO) para un dominio o una unidad organizativa. Para ello, haga clic con el botón derecho del ratón en el objeto de dominio o en el objeto de unidad organizativa, seleccione Propiedades, abra la ficha Directivas de grupo y haga clic en el botón Nuevo.
 |
|
Herramientas administrativas |
A continuación, seleccione un nombre para el nuevo objeto de directiva de grupo y haga clic en Editar. Esto inicia el editor de políticas de grupo y ahora puede definir políticas individuales.
Utilice el complemento Sitios y servicios de Active Directory para crear GPO para sitios individuales. El procedimiento es similar al del complemento Usuarios y equipos de Active Directory. Haga clic con el botón derecho en el icono de ubicación, seleccione Propiedades, abra la ficha Directivas de grupo y haga clic en el botón Nuevo para crear un nuevo objeto de directiva de grupo para la ubicación seleccionada y asígnele un nombre. A continuación, utilice el botón Editar para establecer las políticas individuales del GPO.
 |
|
Herramientas de gestión |
Los objetos de directiva de grupo para sitios sólo tienen sentido si un dominio se extiende por varias ubicaciones (sitios) y si hay directivas de grupo cuya configuración debe diferir de un sitio a otro. Un ejemplo típico es la directiva Redirección de carpetas, que, entre otras cosas, permite redirigir la carpeta Mis documentos a un recurso compartido del servidor para cada usuario. Para los empleados en la ubicación X, tendrá sentido redirigir la carpeta Mis Documentos a un servidor en la ubicación X. Por otro lado, la carpeta Mis documentos para el personal en la ubicación Y debe redirigirse a un servidor en la ubicación Y.
A través de Inicio – Administración también puede iniciar el snap-in Políticas de grupo para definir todas las políticas de grupo en todos los objetos de políticas de grupo creados con el editor de políticas de grupo.
Como puede ver en las ilustraciones anteriores, al hacer clic en la pestaña Directivas de grupo en mi servidor de prueba, aparece el mensaje » Ha instalado el complemento Administración de directivas de grupo. Por lo tanto, esta pestaña ya no se utiliza. Haga clic en Abrir para abrir la Administración de directivas de grupo». Los botones mencionados Nuevo y Editar para crear una nueva directiva de grupo y para editar las directivas de grupo existentes ya no aparecen porque también se ha instalado la herramienta de gestión de directivas de grupo GPMC.MSI, que está disponible gratuitamente en www.microsoft.com.
GPMC.MSI es la abreviatura de un nuevo snap-in Group Policy Management Console. En la versión alemana se llama Group Policy Management Console. Esta herramienta de gestión fue desarrollada por Microsoft sólo después del lanzamiento de Microsoft Windows Server 2003 y está disponible para su descarga gratuita en versiones de idioma localizadas. Puede utilizarse no sólo en Windows Server 2003, sino también en redes con Active Directory de Windows 2000, pero debe instalarse en un cliente Windows XP.
 |
|
Herramientas de gestión |
Con la nueva herramienta de gestión de directivas de grupo GPMC.MSI, ahora es posible gestionar todas las tareas administrativas relativas a las directivas de grupo, que antes debían realizarse mediante varios snap-ins, a través de una herramienta central. También incluye muchas funciones adicionales, como el conjunto de resultados de políticas de grupo, el guardado, la restauración y la importación de objetos de políticas de grupo completos, incluidas todas las políticas definidas en ellos, y la administración de filtros WMI. Ya no es necesaria la instalación de herramientas adicionales para analizar el resultado de varias políticas de grupo en un objeto de usuario o un objeto de equipo y para encontrar errores en la interacción de muchas políticas de grupo. El precio que pagan sobre todo los recién llegados es una herramienta que parece muy compleja, al menos a primera vista, con una abundancia de vistas, comandos y opciones cuyo significado y efectos pueden parecer abrumadores.
Para los recién llegados, por lo tanto, el siguiente consejo: En primer lugar, trabajar sin la nueva herramienta GPMC.MSI para obtener un comienzo más fácil en el uso de las políticas de grupo. Instale la nueva herramienta GPMC en un entorno de prueba independiente, por ejemplo, en un entorno virtual adicional que instale en su ordenador con software como Microsoft Virtual PC o VMware. Debe ser consciente de las posibilidades limitadas sin GPMC.MSI instalado sólo por dos razones:
- Es posible que más adelante tenga que prestar asistencia en una red de terceros cuyo servidor no tenga instalada la nueva consola GPMC porque, por ejemplo, sea un servidor Windows 2000.
- Los artículos de la Base de conocimientos, los libros blancos de Microsoft y los artículos de terceros no suelen dar por sentado que la nueva herramienta GPMC.MSI está instalada. Para entender estos artículos, es necesario poder tratar con la directiva de grupo de la forma tradicional, es decir, sin GPMC instalada.
Aplicando Políticas de Grupo
Antes de poder definir una directiva de grupo, es necesario crear un objeto de directiva de grupo (GPO). Se decide si se crea el GPO para todo un dominio, para una ubicación (sitio) o para una unidad organizativa (OU). El GPO se crea en una Consola de administración de directivas de grupo. En el Editor de objetos de directiva de grupo, cada GPO tiene dos categorías: Configuración de equipo y Configuración de usuario. En la categoría Configuración del equipo, se definen las políticas que surten efecto independientemente del usuario que inicie sesión más tarde. Por otro lado, dentro de la categoría Configuración de usuario, se definen políticas que deben aplicarse siempre a determinados usuarios, independientemente del equipo en el que inicien sesión.
Si un GPO sólo contiene políticas configuradas para los usuarios, la configuración del equipo debe desactivarse. Esto acelera el procesamiento del GPO porque ya no se analiza la configuración del equipo en busca de los ajustes realizados. A la inversa, en un GPO que sólo contenga políticas configuradas para ordenadores, la configuración de usuario debería desactivarse.
Si la nueva herramienta GPMC.MSI no está instalada, inicie el complemento Usuarios y equipos de Active Directory, haga clic con el botón derecho en las propiedades del contenedor que contiene el GPO y seleccione la ficha Directivas de grupo. Allí se enumeran todas las GPO que se han creado para el contenedor hasta el momento. Selecciona la GPO en cuestión y abre las propiedades de la GPO.
 |
|
Propiedades del objeto |
En las propiedades del GPO encontrarás la opción Deshabilitar parámetros de configuración del equipo y la opción Deshabilitar parámetros de configuración definidos por el usuario.
Si ya ha instalado la nueva herramienta GPMC.MSI, encontrará las opciones a deshabilitar en la pestaña Detalles de la categoría Objetos de directiva de grupo.
 |
|
Detalles del objeto |
En la pestaña Configuración de seguridad (si GPMC.MSI está instalado, seleccione la pestaña Delegación y, a continuación, haga clic en el botón Avanzado para ver y cambiar los permisos), especifique qué cuentas de equipo o cuentas de usuario están autorizadas a modificar, leer y aplicar el GPO.
Nota importante: Un administrador de directivas de grupo debería poder configurar un GPO y establecer las directivas y necesita permisos de Lectura y Modificación para hacerlo. Sin embargo, normalmente no debería verse afectado por la GPO, ya que las políticas suelen restringir severamente los derechos de los usuarios afectados. Al desactivar el derecho de seguridad Asumir la directiva de grupo para administradores, se evita que el entorno de trabajo del administrador se vea afectado por el GPO.
Para los grupos de seguridad Administradores de dominio y Administradores de organización, los permisos ya están preestablecidos adecuadamente en un GPO recién creado: Los miembros de estos grupos de seguridad pueden modificar las políticas de este GPO, pero no se ven afectados por él; la autorización «Adoptar política de grupo» no está seleccionada por defecto.
 |
|
Seguridad |
Orden de sucesión de las políticas
Si varios contenedores están anidados unos dentro de otros, una política de grupo de un contenedor no sólo afecta a los objetos informáticos u objetos de usuario de este contenedor, sino también, vía herencia, a los objetos situados en subcontenedores de nivel inferior. Por ejemplo, si ha creado una unidad organizativa Ubicación Berlín con las unidades suborganizativas Ventas Berlín, Producción Berlín y Administración Berlín, y ha definido políticas de grupo para la unidad organizativa Ubicación Berlín, estas políticas afectan a todos los objetos de todas las unidades organizativas de nivel inferior.
Si crea un nuevo GPO para la sub-Unidad organizativa Administración Berlín y establece allí una directiva de grupo diferente a la de la directiva de grupo de nivel superior, gana la configuración de la directiva de grupo de nivel inferior. Las políticas de ambas OU que no se contradicen entre sí se adoptan de forma acumulativa, es decir, suman un conjunto de unión en el sentido matemático.
Desactivación de la herencia de políticas
Con la ayuda de la casilla Desactivar Herencia de Políticas, puedes evitar que las políticas de una OU de nivel superior tengan efecto para una OU de nivel inferior, además de las políticas establecidas para esta OU. Encontrará esta opción en la pestaña General. La herencia no se puede desactivar para las políticas de ubicación porque las políticas de ubicación están en la parte superior de la jerarquía de políticas. El primer paso es comprobar si existe una política de ubicación. Si existe, se hereda a menos que haya una política de dominio que sea diferente o una política de unidad organizativa que sea diferente.
La opción «Sin precedencia» anula la desactivación de la herencia.
Además de la opción Desactivar la herencia de políticas, existe la opción Sin precedencia que hace exactamente lo contrario. Si ha activado una política de grupo para la OU de ubicación de Berlín y activa la opción Sin precedencia allí, la política de grupo siempre tiene efecto, incluso si la misma política de grupo se ha definido exactamente de la manera opuesta en una OU de nivel inferior como Ventas de Berlín, en nuestro ejemplo configurada como desactivada. Si la opción Sin precedencia ha sido activada en el contenedor padre, la configuración de la política de este contenedor se aplica a los objetos en los contenedores inferiores, incluso si la opción Desactivar la herencia de políticas ha sido activada en los contenedores inferiores.
Ajustes «No configurado», «Activado» y «Desactivado
Si una política está en Activado, se aplicará a todos los objetos del contenedor. Sin embargo, si una política está en el estado No configurada, esto no significa que la política no se aplicará en el resultado final. Si hay un contenedor supraordenado en el que está activada exactamente esta política, esta configuración también afecta a los objetos de los contenedores subordinados debido a la herencia. El parámetro No configurado correctamente significa que se adoptan los parámetros de la política de nivel superior si existen políticas de nivel superior. Por lo tanto, si este parámetro está configurado en una política de nivel superior y no en la política actual, el parámetro No configurado se sobrescribe con el parámetro aplicado anteriormente.
Para evitarlo, existe la opción Desactivado. Esto significa que esta política no se aplica, y una configuración de política superior tampoco puede sobrescribirla. Sin embargo, también hay una excepción: Si se ha activado la opción No anular en las propiedades de una política de nivel superior, esta configuración de política no se puede anular en un nivel inferior.
El servidor DNS con registros SRV es un requisito obligatorio
Un DNS configurado sin errores es un requisito previo necesario para el correcto funcionamiento de las políticas de grupo. A través de los registros SRV del servidor DNS, el cliente encuentra su asignación en el Directorio Activo: a qué OU (Unidad Organizativa) está asignado el ordenador y el usuario, qué políticas están almacenadas allí, etc. Debido a un servicio DNS mal configurado, a la ausencia de la entrada del servidor DNS para los clientes o a una entrada DNS incorrecta, se producen tiempos de inicio de sesión extremadamente largos, no se adoptan las políticas de grupo, hay problemas con la resolución de nombres o no se lleva a cabo la replicación entre los controladores de dominio.
Windows Server 2000/2003 con el servicio DNS instalado cumple todos los requisitos necesarios para que funcionen las directivas de grupo de Active Directory. Si se va a seguir utilizando BIND en un entorno en el que anteriormente se proporcionaba DNS a través de Unix o Linux BIND, se debe actualizar BIND para que el DNS admita registros SRV y sea un DNS dinámico (D-DNS). En este caso, es aconsejable introducir un Windows Server 2000/2003 como servidor DNS para los clientes Windows e introducir el BIND de Unix como reenviador en el servicio DNS de Windows. En los clientes Windows, el servidor DNS que contiene los registros SRV debe introducirse como primer DNS en las propiedades TCP/IP.
Las políticas de grupo actúan sobre objetos usuario u objetos ordenador, no sobre grupos de seguridad.
La palabra política de grupo es algo engañosa. Las políticas de grupo sólo afectan a los objetos usuario u objetos ordenador que están en el contenedor asociado, no a los grupos de seguridad. Si, por ejemplo, creas una unidad organizativa llamada Portátiles, creas un objeto de directiva de grupo para esta OU y configuras directivas especiales para portátiles en este GPO, deberás mover todos los portátiles o todos los usuarios de portátiles a esta OU para que las directivas surtan efecto. Si, por otro lado, usted sólo crea un grupo de seguridad Laptops en la OU Laptops que contiene los objetos laptop como miembros, y los objetos laptop permanecen en otra OU que no es un subcontenedor de la OU Laptops, la política no tendrá efecto.
No obstante, es posible utilizar grupos de seguridad para controlar a qué grupos de usuarios o grupos de equipos debe afectar un conjunto de políticas mediante permisos de políticas de grupo. Para demostrarlo, modifiquemos el ejemplo de los portátiles: has creado una unidad organizativa llamada Clientes. Esta OU incluye todos los ordenadores excepto los servidores, es decir, tanto estaciones de trabajo como portátiles o tabletas. Para esta OU, creas un GPO en el que sólo se configuran políticas específicas para portátiles y tablets. Este GPO sólo debe afectar a todos los portátiles y tablets de la OU Clientes, pero no a los clientes que están siempre conectados. Para lograrlo, configure un grupo de seguridad para portátiles y Tablet PC e incluya todos los portátiles y Tablet PC como miembros de este grupo de seguridad. A continuación, cambie los permisos del GPO de tal manera que este GPO sólo pueda ser leído y adoptado por el grupo de seguridad de portátiles y Tablet PC, pero no por los demás clientes.
En las explicaciones posteriores sobre el tema de las políticas de grupo, demostraremos cómo se puede controlar lo que pueden hacer los usuarios simples y los denominados usuarios avanzados utilizando sólo dos GPO. En el primer GPO se configuran las políticas para el usuario estándar, que son muy restrictivas. El segundo GPO sólo puede ser leído y adoptado por el grupo de seguridad Poweruser. El grupo de seguridad Poweruser incluye programadores, personal de asistencia y otros miembros del personal que necesitan más libertad en sus ordenadores. En este segundo GPO, algunas de las políticas que restringían severamente los derechos del usuario estándar en el primer GPO se anulan de nuevo dando a las políticas el estado desactivado. Con un modelo simple y fácil de entender que consiste en dos GPOs, es posible controlar a qué empleados se les dan directrices rígidas e inmutables en su entorno de trabajo y a qué empleados se les relajan de nuevo estas directrices rígidas para que no se vean obstaculizados en su trabajo diario.
Las políticas configuradas también se guardan en la base de datos de registro.
¿Dónde y cómo se guardan realmente las directivas de grupo configuradas para el ordenador o el usuario registrado y cómo? La plantilla de directivas de grupo (GPT) es una estructura de carpetas en el directorio %systemroot%\SYSVOL\sysvol\Policies de los controladores de dominio. Sin embargo, especialmente los ajustes que se realizan en una directiva de grupo en «Plantillas administrativas» también se escriben en el registro de los objetos de equipo y usuario a los que se van a aplicar. Las políticas configuradas también deben surtir efecto cuando el cliente está desconectado, y por este motivo, entre otros, deben almacenarse localmente y no sólo en el Directorio Activo.
En la base de datos del registro, existen las siguientes ramas para este fin:
HKEY_LOCAL_MACHINE\Software\Policies HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies HKEY_CURRENT_USER\Software\Policies HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Forzar actualización sin demora
Si cambia la configuración de una política, el efecto en el cliente afectado o bajo el ID de usuario afectado sólo tendrá efecto después de un retraso. Los cambios que afectan al equipo suelen surtir efecto sólo después de reiniciar el cliente. Los cambios que afectan a un usuario surten efecto como muy tarde después de un nuevo inicio de sesión.
Sin embargo, existen comandos de línea de comandos que pueden utilizarse para volver a aplicar todas las políticas de grupo inmediatamente. En Windows 2000, se utiliza el comando secedit, con cuyos parámetros machine_policy y user_policy se puede especificar explícitamente si sólo se deben volver a aplicar las políticas de la configuración de la categoría equipo o de la configuración de la categoría usuario:
secedit /refreshpolicy user_policy /enforce secedit /refreshpolicy política_de_equipo /enforce
En Windows XP, gpupdate sustituye a la antigua herramienta secedit:
gpupdate /target:usuario /force /wait:0 gpupdate /objetivo:ordenador /fuerza /espera:0
Sin embargo, la herramienta gpupdate también puede utilizarse en Windows 2000 Professional. Debe instalarse en el directorio %systemroot%\System32. Consulte la ayuda en línea de la herramienta gpupdate para obtener más información sobre el significado de los distintos parámetros. El parámetro /force garantiza que se vuelvan a aplicar todos los parámetros, aunque el contador de directivas aún no se haya incrementado.
También existe una política que se puede utilizar para establecer el retraso predeterminado tras el cual se vuelven a aplicar las políticas de grupo en un valor inferior. Este procedimiento se recomienda durante la fase de prueba.
Copia de seguridad, copia e importación de la configuración de las políticas
Imagine que ha creado una política de grupo en su dominio de prueba y desea transferir toda la configuración a un entorno de producción. ¿Cómo hacerlo con el mínimo esfuerzo?
Imagina que quieres crear otra unidad organizativa y utilizar políticas de grupo idénticas o casi idénticas para esta nueva OU, ya que ya han sido creadas para otra OU.
En otoño de 2003, Microsoft lanzó la consola de gestión de directivas de grupo GPMC para su descarga gratuita. Este snap-in permite copiar o importar un objeto de directiva de grupo con todas las directivas configuradas en él. La ayuda en línea proporciona información más detallada:
La copia permite transferir la configuración de un objeto de directiva de grupo directamente a un nuevo objeto de directiva de grupo. Durante el proceso de copia, se crea un nuevo objeto de directiva de grupo y se le asigna un nuevo GUID (Globally Unique Identifier). De este modo, la configuración puede transferirse a un nuevo objeto de directiva de grupo en el mismo dominio, en otro dominio del mismo bosque o en un dominio de otro bosque. Dado que la operación de copia utiliza un objeto de directiva de grupo existente en Active Directory como origen, debe existir una relación de confianza entre los dominios de origen y destino.
Las operaciones de copia son adecuadas para transferir directivas de grupo entre entornos de producción o entre un dominio (o bosque) de prueba y un dominio (o bosque) de producción. El requisito previo es que exista una relación de confianza entre los dominios de origen y de destino. Encontrará instrucciones detalladas en la ayuda en línea de GPMC en .
La copia es similar a una copia de seguridad seguida de una importación, aunque se omite el paso intermedio a través del sistema de archivos y el nuevo objeto de directiva de grupo se crea como parte del proceso de copia. Para obtener información sobre la copia de seguridad de objetos de política de grupo, consulte la ayuda en línea de GPMC en el término de búsqueda Copia de seguridad.
El proceso de importación, a diferencia del proceso de copia, no requiere confianza entre dominios. Encontrará información sobre el proceso de importación en la ayuda en línea, en el término de búsqueda Importar.
Los procedimientos de copia de seguridad, copia o importación de GPO y las tareas relacionadas también se pueden llevar a cabo con la ayuda de los scripts de ejemplo que forman parte del volumen de suministro de la gestión de directivas de grupo GPMC.
Una empresa de sistemas que lleve a cabo proyectos con Windows 2000/2003 Active Directory para muchos clientes puede, por tanto, seguir utilizando cómodamente las directivas de grupo de un entorno de prueba limpiamente configurado guardando las directivas de grupo creadas en el entorno de prueba como plantillas, importándolas al Active Directory recién configurado en casa del cliente y, a continuación, simplemente adaptándolas.
Añadir enlace de política de grupo
Sin embargo, si desea utilizar una política de grupo idéntica sin modificaciones para varias unidades organizativas, también puede hacerlo de otra forma, es decir, a través de un enlace. Cree la directiva de grupo en una unidad organizativa neutral y configúrela. A continuación, se crean enlaces a esta política de grupo central en otras unidades organizativas. Este método tiene la ventaja de que más tarde, si es necesario, puede realizar cambios en una política de grupo en un solo lugar y estos cambios se hacen efectivos inmediatamente para todas las unidades organizativas que están vinculadas a la política de grupo centralizada.
Abra las propiedades de la unidad organizativa y allí la pestaña Políticas de grupo. Esta vez, sin embargo, no hace clic en el botón Nuevo, sino en el botón Añadir. Este botón habría estado más claramente etiquetado como Conectar. Seleccione la pestaña Todas. Se enumeran todas las políticas de grupo del dominio que se han creado hasta el momento.
¿Para qué puede utilizar la opción de conectar políticas de grupo a varias unidades organizativas?
Si tienes varias sedes, por ejemplo, y hay servidores en todas ellas, puedes crear una unidad organizativa central con el nombre Política de grupo de la organización. Allí puedes generar, por ejemplo, una política de grupo Controlador de dominio, en la que se definan todas las políticas de seguridad importantes para los controladores de dominio. A continuación, debes crear una OU para cada sitio y dentro de estas OUs a su vez sub-OUs para los controladores de dominio, servidores miembros, ordenadores cliente, usuarios, grupos de usuarios y contactos externos. En las sub-OUs de Controladores de Dominio que existen en cada OU de sitio, se crea entonces una política de grupo creando un enlace a la política central de Controladores de Dominio en la unidad organizativa central Políticas de Grupo de la organización.
Proceda del mismo modo para otros tipos de servidores, como servidores miembros, servidores Exchange o servidores SQL. En el servidor Web de Microsoft, puede encontrar la «Guía de operaciones de seguridad de Windows Server» con el capítulo 4, «Protección de servidores en función de sus funciones». Este artículo describe cómo proteger diferentes tipos de servidores utilizando políticas de grupo.
Por supuesto, puedes utilizar las capacidades de vinculación de políticas de grupo para políticas que deban aplicarse a todos los usuarios de toda la organización. Para ello, cree una política de grupo como Usuario estándar en toda la organización y quizás otra política de grupo como Usuario avanzado en toda la organización en la unidad central de la organización Políticas de grupo de la organización. La segunda política de grupo es para usuarios avanzados (desarrolladores de software, personal de asistencia, etc.) cuyo entorno no está tan restringido como el de los usuarios estándar. A continuación, vincula estas políticas de grupo centrales a las unidades organizativas denominadas usuarios, que han creado como sub-OUs bajo las distintas OUs de sitio.
Sin embargo, en realidad sólo deberías definir políticas en estas políticas de grupo centrales que luego se apliquen también a todos los usuarios de toda la organización. La política de redirección de carpetas, en la que se debe especificar un servidor en cada caso en el que se encuentre el directorio base del usuario, es quizás menos adecuada para una política de grupo central. Esto se debe a que los directorios base (directorios personales de los usuarios) de una gran organización con varias sedes se encuentran en varios servidores de archivos. Pero aquí también hay un truco para gestionar la asignación a varios servidores. Para más detalles, consulte el capítulo «Perfiles de usuario almacenados en servidores, carpetas base y redirección de carpetas».
Borrar una política de grupo o su enlace
Si elimina una unidad organizativa sin eliminar primero las políticas de grupo creadas para esa unidad organizativa, esas políticas de grupo permanecerán en Active Directory y en el directorio %SYSTEMROOT%\SYSVOL\sysvol\Company.local\Policies de los controladores de dominio. Para probar esto, cree una nueva OU de prueba y cree una política de grupo de prueba para esta OU. Tenga en cuenta el nombre único de la política de grupo, que se muestra a través del botón Propiedades. Ahora elimine la OU de prueba y compruebe que el directorio bajo %SYSTEMROOT%\SYSVOL\sysvol\Company.local\Policies creado cuando se creó la política de grupo se eliminó automáticamente al eliminar la OU. Sigue existiendo.
Ahora abra las propiedades de otra OU y allí la pestaña Políticas de Grupo. Esta vez, no haga clic en el botón Nuevo, sino en el botón Añadir. Seleccione la pestaña Todas. Se listan todas las políticas de grupo del dominio, incluyendo la política de grupo de prueba que se creó para la OU de prueba ya eliminada.
Si ha seleccionado un objeto de política de grupo con el ratón y pulsa sobre el botón Eliminar, aparece un aviso:
Eliminar enlace de la lista hace que otros contenedores (ubicaciones, dominios, OUs) puedan seguir utilizando la política. Sólo se elimina el enlace al objeto actual.
Eliminar enlace de la listay borrar irrevocablemente el objeto de política de grupo significa que la propia política de grupo se borra y se elimina completamente después de este proceso. No es posible aplicar esta política a otro contenedor posteriormente.
Sin embargo, antes de eliminar irrevocablemente un objeto de política de grupo, debe comprobar la siguiente configuración: Seleccione la política deseada y haga clic en el botón Propiedades. En la pestaña Enlaces, seleccione el dominio en el que se buscarán los enlaces en el campo Dominio. Haga clic en Buscar. Este procedimiento busca todos los contenedores a los que está vinculada esta política. De este modo, puede comprobar si esta política sigue afectando a otro contenedor en otro dominio.
El procedimiento descrito se refiere a un servidor sin una Consola de administración de directivas de grupo GPMC instalada adicionalmente. Si esta herramienta está instalada, el procedimiento es similar. También debe conocer el procedimiento sin GPMC instalada porque mañana puede que ya tenga que administrar un servidor en el que falte GPMC.
Restaurar la directiva de dominio predeterminada con la herramienta de línea de comandos
Para un dominio recién creado, los dos objetos de política de grupo Política de dominio predeterminada y Política de controladores de dominio predetermin ada se crean automáticamente. Si es posible, debe evitar realizar cambios en la configuración de las directivas de estos dos objetos de directiva de grupo predeterminados o, al menos, documentarlos exactamente. Es mejor crear nuevos objetos de política de grupo y realizar allí los ajustes deseados. Si, a pesar de todo, se han realizado cambios en las directivas estándar y se desea restaurar el estado original, existe el comando de línea de comandos dcgpofix en Windows Server 2003. La herramienta asociada dcgpofix.exe se encuentra en el directorio %systemroot%\system32. La ayuda en línea explica cómo utilizar la herramienta, los parámetros asociados y las restricciones.
Al especificar el parámetro /ignoreschema, puede permitir que dcgpofix .ex e funcione con diferentes versiones de Active Directory. Sin embargo, es posible que los objetos de política predeterminados no se restauren a su estado original. Para garantizar la compatibilidad, debe utilizar la versión de dcgpofix.exe que se instaló con el sistema operativo actual. El siguiente ejemplo muestra cómo utilizar el comando dcgpofix para restaurar el objeto de directiva de dominio predeterminado:
dcgpofix /target: dominio
Para obtener más información, consulte los artículos de la Base de conocimientos
- Restablecimiento de los derechos de usuario en la directiva de grupo predeterminada de un dominio
- Restablecimiento de los derechos de usuario en el objeto de directiva de grupo predeterminado del controlador de dominio
Archivos contra reg de la directiva de grupo
Muchas políticas de grupo se utilizan para cambiar valores en la base de datos del registro del cliente o servidor. Se plantea la cuestión de si no se pueden conseguir los mismos objetivos también mediante archivos reg, quizás incluso con menos esfuerzo. Además del comando Regedit, existen muchas herramientas en el mercado con las que se pueden realizar ajustes en Windows XP o Microsoft Office y exportar las entradas de registro asociadas directamente a un archivo reg, por ejemplo, el Asistente del Sistema de Registro o RegShot. Este archivo reg se puede importar a través de un script de inicio de sesión o de arranque.
Aunque Microsoft ha enfatizado repetidamente el instrumento de las políticas de grupo como la herramienta de administración central para controlar a los clientes desde la introducción de Active Directory con Windows 2000 Server, hasta ahora no hay proveedores de terceros que yo conozca, aparte de Microsoft, que ofrezcan archivos de plantillas de políticas de grupo (archivos adm) para que sus productos también puedan ser controlados desde una ubicación central a través del editor de políticas de grupo. Ni para SAP, Sage KHK, AutoCAD, CorelDraw ni para los principales productos antivirus existen tales archivos adm. E incluso el producto comercial Navision, que ahora distribuye Microsoft, no contiene archivos de plantillas de políticas de grupo para el control central de los clientes.
Sin embargo, ahora no sólo existen herramientas para convertir archivos reg en archivos adm(Registry System Wizard, reg2adm, ptfe-PolicyTemplate File Editor) y artículos que describen en detalle cómo crear sus propios archivos adm. También hay muchas otras razones para tratar con políticas de grupo, porque mediante las políticas de grupo se puede conseguir mucho más que manipulando la base de datos del registro:
- Las políticas de grupo también pueden usarse para manipular valores en el área HKEY_LOCAL_MACHINE del registro. Sin embargo, el simple usuario no suele tener derechos para hacer esto.
- Las aplicaciones pueden instalarse mediante políticas de grupo.
- Las políticas de grupo pueden utilizarse para activar scripts de arranque y apagado, pero también scripts de cierre de sesión, lo que ofrece muchas más posibilidades que un simple script de inicio de sesión.
- Las políticas de grupo pueden utilizarse para controlar de forma centralizada estructuras complejas de Active Directory compuestas por varios sitios o incluso varios dominios.
- Con las directivas de grupo se puede controlar individualmente el comportamiento de grupos de clientes o grupos de usuarios. Por ejemplo, puede crear una unidad organizativa para albergar todos los portátiles y tabletas y configurar una directiva de grupo especial para esta OU para gestionar las particularidades de los clientes que se desconectan regularmente.
Estas son sólo algunas de las ventajas que tiene la directiva de grupo sobre la manipulación del registro mediante archivos reg. La principal ventaja de la política de grupo es que el administrador puede especificar de forma centralizada cómo se ve un cliente, qué aplicaciones y características están habilitadas o deshabilitadas, y lo que el usuario puede usar y cambiar. Estos ajustes se pueden cambiar en cualquier momento a través de la política de grupo sin que el usuario tenga que pertenecer al grupo de administradores locales o usuarios principales. Los ajustes de la base de datos del registro controlados mediante políticas de grupo se aplican con la autorización del grupo SYSTEM interno del sistema operativo.
Con las políticas de grupo gestionadas de forma centralizada, el esfuerzo administrativo de una red puede reducirse drásticamente, así como el número de posibles fuentes de errores y amenazas a la seguridad. En cualquier caso, no hay forma de evitar la gestión de las políticas de grupo. Porque es posible que mañana tenga que gestionar una red en la que las políticas de grupo se utilicen de forma intensiva.
Solución de problemas cuando una política no funciona
Básicamente, puede haber muchas razones de un entorno a otro si ha activado una política de grupo y esta política de grupo no muestra el resultado deseado en el cliente en cuestión o bajo el identificador en cuestión. Si una política de grupo no funciona en absoluto, suele deberse a una configuración incorrecta del DNS. Compruebe entonces la configuración DNS de los servidores DNS y las entradas DNS en el cliente. Compruebe el registro de eventos en el servidor.
A continuación, asegúrese de que el equipo cliente o el ID de usuario en cuestión se encuentra en la OU correcta a la que se aplica la política.
Compruebe que los permisos de la directiva de grupo están configurados correctamente para que el equipo o el usuario puedan leer y aplicar la GPO. Es importante tener en cuenta que la política no se puede aplicar a un grupo de seguridad, sino sólo a los objetos que se encuentran en el contenedor al que se aplica la política.
Compruebe el orden en que se aplican varias políticas para ver si hay políticas heredadas de los contenedores padre. Una herramienta del Windows Server Resource Kit llamada GPRESULT también muestra el resultado bajo Windows 2000 Professional cuando múltiples políticas de grupo afectan a un objeto. Esta herramienta ya está integrada en la nueva herramienta de administración GPMC.MSI.
En un cliente Windows XP, puede utilizar el comando de línea de comandos gpresult para mostrar el resultado de todas las directivas de grupo actuantes. El comando gpresult /? muestra todos los parámetros, el comando gpresult > c:\gpresult.txt redirige el resultado a un archivo de texto más fácil de evaluar. Con los parámetros /u (para usuario) y /s (para sistema) puedes incluso averiguar qué ocurre cuando un determinado usuario se conecta a otro ordenador: gpresult /u:nombreusuario /s:nombrecomputadora
Herramientas, artículos y fuentes sobre políticas de grupo
La primera fuente de información adicional sobre el tema de las políticas de grupo es el DVD del libro, que se enriquecerá con más artículos aunque este capítulo ya esté puesto en la impresora. En el DVD del libro encontrará un directorio independiente Políticas de grupo con herramientas, libros blancos, artículos sobre conocimientos y enlaces a sitios web con más fuentes. Como segundo paso, debería consultar el portal de Internet del editor en la página de actualización de este libro para ver si hay nuevas contribuciones sobre el tema de las políticas de grupo.
| Esta serie de artículos es un extracto del «Manual de integración Microsoft Network» de Ulrich Schlüter. Fecha de publicación: octubre de 2004 por Galileo Computing. (ISBN 3-89842-525-8) y se puso a disposición exclusiva de WinTotal con antelación. |
Ulrich Schlüter