Objeto de directiva local
Todos los equipos con Windows Server 2003, demás de Windows 2000 y Windows XP tienen una directiva local que define su configuración predeterminada. La directiva local se aplica a todos los usuarios del equipo. Además, si los equipos son miembros de un dominio de Active Directory, podemos implementar directivas a todos los equipos de un Sitio, Dominio u OU.
Podemos configurar la directiva local de cualquier equipo, sea o no miembro de un dominio, para ello usamos el complemento de Directiva de la consola MMC.
Recordemos que la aplicación de las directivas siguen un orden:
- Las directivas locales (LGPO)
- Sitios
- Dominios
- OUs
La directiva local no puede ser filtrada por una cuenta de usuario. A diferencia de las de Active Directory, no hay permiso en la lista de control de acceso discrecional (DACL) que se llame Aplicar Directivas; sólo hay permiso de lectura. Las cuentas de usuario requieren el permiso de lectura para o leer la configuración de directiva o aplicarla en la sesión iniciada. El permiso de Aplicar Directiva se comprueba durante el proceso de la directiva. Si el usuario dispone de este permiso entonces será procesada.
Objetos de Directiva de Sitio
Las directivas vinculadas a los Sitios afectan a todos los equipos o usuarios en un bosque de dominios que tienen pertenencia en el sitio. Los equipos con Windows Server 2003, 2000 y XP son automáticamente miembros del sitio Default-First-Site-Name a menos que otros Sitios y Subredes hayan sido definidos. La información del sitio se replica a todos los controladores de dominio en el bosque. Por lo tanto, cualquier directiva vinculada a un sitio se aplica a todos los equipos de ese sitio, a pesar del dominio. Esto permite a una única directiva abarcar múltiples dominios aunque resulta en una autenticación a través de dominios ya que los DC deben recuperar la directiva desde el dominio en el que se encuentra almacenada.
La directivas de sitio son efectivas para la administración de configuración a aplicar a un grupo de equipos existentes en el mismo canal de comunicaciones de alta velocidad.
Objetos de Directiva de Dominio
Las directivas vinculadas a un dominio afectan a todos los equipos o usuarios en el dominio. De forma predeterminada existen dos directivas en cada dominio de Active Directory:
- Default Domain Policy
- Default Domain Controllers Policy
La primera contiene la directiva de seguridad predeterminada para todos los equipos en el dominio y las directivas de cuenta para cuentas del dominio. La segunda contiene la predeterminada para los controladores de dominio, con una seguridad aumentada en referencia a la primera.
Objetos de Directiva de OU
Uno de los principales propósitos de las OU es facilitar el despliegue de Directivas de Grupo a usuarios y equipos. A diferencia de los dominios, las OU son flexibles: los objetos, incluyendo principales de seguridad, pueden moverse con facilidad entre OUs, y las OU pueden crearse y eliminarse sin demasiadas consecuencias. Podemos crear OUs que faciliten la aplicación de directivas basadas en necesidades de seguridad de usuarios y equipos. La OU de controladores de dominio es la única OU creada predeterminadamente en cada dominio. Su propósito es para facilitar el despliegue de la directiva de Default Domain Controllers Policy.