GPOs en Windows Vista I : Múltiples políticas locales

En esta nueva serie de POST iremos tratando las mejoras en Windows Vista relacionadas con las políticas de grupo. En el presente post trataremos sobre el soporte de Windows Vista de  varias políticas de grupo locales (LGPO).

 

Un repaso general:

Las políticas de grupo o GPO son una de las características más interesantes del directorio activo y de personalización del comportamiento de nuestro equipo o de los equipos de una red. Gracias a las GPO podemos controlar desde qué herramientas están disponibles para los usuarios hasta que permisos NTFS deseamos establecer en nuestras unidades, es decir podemos modificar aspectos como el comportamiento de protocolos, auditorias del sistema, difusión de certificados, restricciones de contraseñas, restricciones de usuario, comportamiento de componentes del sistema y un largo etc. tanto a nivel local como a nivel de dominio, siguiendo la regla de prioridad LSDOU (del ingles Local, Site, Domain, Organizational Unit). En el fondo la mayoría de las configuraciones de una GPO son cambios en el registro de Windows del equipo final, el cual, según sea el caso, va a permitir o restringir ciertas acciones. Todo esto es configurable, con las explicaciones oportunas, a través del MMC (Microsoft Management Console) de edición de políticas de grupo (gpedit.msc).

 

LGPO en Windows Vista:

Windows Vista trae consigo una serie de mejoras relativas al funcionamiento y uso de las políticas de grupo que iremos desgranando en sucesivos post, hoy partiremos de la posibilidad de usar varias políticas locales permitiendo así una personalización de estas por usuario o según se pertenezca o no al grupo administradores.

En Windows XP cuando creábamos alguna LGPO esta se aplicaba al equipo y a todos los usuarios, algo que no siempre es lo más optimo según las configuraciones que deseemos realizar, es por ello que por Internet podemos encontrar formas de hacer que las políticas configuradas no afecten a los administradores como se puede comprobar en el siguiente artículo de Microsoft.

http://support.microsoft.com/kb/q293655/

En Windows Vista ya tenemos implementada la posibilidad de realizar una gestión de políticas diferenciada, para ello debemos seguir el siguiente proceso:

Ejecutar MMC > Archivo > Agregar o quitar complementos > Editor de objetos de directiva de grupo

Nota: No confundir «editor de objetos de directiva de grupo» con el complemento de «administración de directivas de grupo» también conocido como GPMC y que ya viene integrado como parte de Windows Vista para la administración de GPOs en un dominio.

Al pulsar sobre el botón «agregar» para agregar el complemento y antes de seleccionar cualquier otra opción debemos hacer clic sobre el botón «Examinar» donde además de la posibilidad de aplicar la LGPO a otro equipo distinto desde la pestaña «equipos» nos aparecerá una nueva pestaña llamada «usuarios» donde podremos seleccionar entre las cuentas de usuario existentes o entre los grupos «administradores» para aplicar políticas propias a usuario con privilegios administrativos y «no administradores» para la creación de políticas que afecten al resto de los usuarios; finalmente solo tenemos que pulsar en aceptar para empezar a editar las políticas de usuario correspondientes (obviamente esto no afecta a las políticas de equipo que se aplican a todos por igual).

Alguno ya habrá caído en la cuenta de que mediante este método existe la posibilidad de existencia de conflictos entre políticas, por ejemplo tendríamos un conflicto al aplicar una política concreta sobre un usuario corriente llamado Pablo y esa misma política pero con una configuración diferente aplicada a todos los usuarios no administradores. Para resolver este tipo de situaciones y partiendo de que quien edita las políticas locales en conflicto es normalmente la misma persona, podemos concluir que normalmente la configuración deseada es la ultima modificación realizada; partiendo de esto, Windows Vista aplica aquella configuración que haya sido editada la última.

¿A quien le apetece restringir las funciones del Panel de Control de sus usuarios o modificar el comportamiento de Internet Explorer sin afectar a algún usuario específico? Con Windows Vista ya podeis hacerlo.

 

En el próximo POST trataremos sobre el cambio en el formato de las plantillas administrativas y su independencia del idioma.

5 comentarios sobre “GPOs en Windows Vista I : Múltiples políticas locales”

  1. Buenas,sabeis si windows vista home basic trae gpedit.msc? no lo veo por ningun lado. y esta misma version de vista trae el GMPC?Muchas gracias.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *