Active Directory y Políticas de grupo II

Grupos Administrativos


Los administradores pueden crear grupos administrativos para segmentar grupos de usuarios, grupos de seguridad, o servidores dentro de contenedores para una administración autónoma.


Por ejemplo: para administrar servidores DHCP.


Aplicación de Directivas de grupo


Usaremos directivas de grupo y la delegación de administración para aplicar valores específicos, derechos, y comportamietnos para todos los servidores dentro de una OU.


Las directivas de grupo se acumulan y aplican en un orden:



  1. Local Security Policy (Directivas locales)

  2. Site Policy (Sitio)

  3. Domain Policy (Dominio)

  4. OU (Unidad organizativa)

  5. OUs hijas (OUs contenidas en otras OU)

Hay que recordar ciertas consideraciones básicas cuando aplicamos directivas de grupo.


– Ajustar el orden de aplicación en niveles con múltiples GPOs. Si varias especifican la misma opción, la última en aplicarse toma precedencia.


– Configurar la directiva con la opción de NO sobreescribir si no se desea sobreescribir otras GPOs. Si se utiliza la consola GPMC para administrar GPOs, dicha opción se aplica.

GPOs. ¿Qué son los valores de configuración de usuarios y equipos?

Podemos aplicar configuraciones a equipos y usuarios utilizando las características de configuración de usuarios y equipos de la GPO.


Para los usuarios se incluyen valores para comportamientos específicos del sistema operativo, de escritorio, de seguridad, opciones de asignación y publicación de aplicaciones, de aplicaciones, opciones de redirección de carpetas y scripts de inicio y cierre de sesión. Estos valores se les aplican a los usuarios cuando inician sesión en el equipo y durante el periodo de refresco.


Los valores que personalizan el entorno de escritorio del usuario, o la aplicación de bloqueos de directivas a usuarios, se encuentran bajo la Configuración de usuario del Editor de Directivas de grupo (Group Policy Object Editor).


La carpeta de valores de Software bajo Configuración de usuario contiene valores de software que se aplica a los usuarios sin importar en que equipo inician sesión. Esta carpeta también contiene valores de instalación de software, y podría contener otros valores añadidos por vendedores de software independientes.


La carpeta de valores de Windows contiene valores de Windows que se aplican a los usuarios sin importar en que equipo inician sesión. También contiene: redirección de carpetas, valores de seguridad y scripts.


Los valores de directiva de grupo para equipos incluyen como se comportará el sistema operativo, comportamiento de escritorio, valores de seguridad, scripts de inicio y apagar equipo, opciones de asignación de aplicaciones al equipo, y valores de aplicación. Los valores relacionados de directiva de grupo de equipo son aplicados cuando el sistema operativo se inicializa y durante el refresco del ciclo periódico. En general, estos valores de directiva de grupo de equipo toman precedencia ante conflictos con valores de directiva de grupo de usuarios.


Los valores que personalizan el entorno de escritorio para todos los usuarios de un equipo, o aplicación de directivas de seguridad en los equipos de una red, están bajo la Configuración de equipo en el Editor de objetos de directiva de grupo.


La carpeta de valores de software bajo la Configuración de equipo contiene valores que se aplican a todos los usuarios que inician sesión en el equipo. Contiene además valores de instalación de software, y que además podría contener otros valores añadidos por vendedores de software independientes.


La carpeta de valores de Windows contiene los valores propios de Windows que se aplicarán a todos los usuarios que inician sesión en el equipo, además de los valores de seguridad y scripts.


Los valores de seguridad están disponibles tanto bajo la Configuración de equipo como la de usuario en el Editor de directivas de grupo. Los valores de seguridad o directivas de seguridad son reglas que se configuran en uno o múltiples equipos y que protegen recursos en un equipo o red. Con estos valores, podemos especificar la directiva de seguridad de una OU, Dominio o Sitio.

Directivas de Grupo – Group Policy – GPO

Vamos a echar un vistazo a la función de implementación de Directivas de Grupo. Algunas habilidades y conocimientos que son necesarios para el propósito y función de las Directivas de Grupo en un entorno Windows Server 2003, implementando y administrándo las GPO.



  • Implementando Objetos de Directiva de Grupo

  • Implementando GPOs en un dominio

  • Gestionar el despliegue de las Directivas

¿Qué es Directiva de Grupo?


Directiva de Grupo es lo que utiliza el servicio de directorio de Active Directory para gestión de usuarios y equipos en la red. Cuando se usan directivas de grupo, puede definirse el estatus del entorno de trabajo de un usuario una vez, y confiar en que Windows Server 2003 aplicará constantemente los valores configurados de la directiva definida. La directiva puede ser aplicada a través de una organización entera, o, sólo a usuarios, grupos o equipos específicos.


 

Como delegar el control de una Unidad Organizativa.

Para la concesión de permisos a nivel de OU utilizamos el asistente de Delegación de Control. Podemos conceder permisos para la administración de objetos o para la administración de atributos específicos sobre estos objetos. El uso del asistente es el método preferido para la delegación de control, ya que reduce las posibilidades de efectos no deseados al asignar permisos.


Para delegar control administrativo para realizar tareas comunes:



  1.  Iniciamos el asistente, mediante la realización de los pasos siguientes:
     a. En Usuarios y equipos de Active Directory, clic sobre la OU a la que queremos delegar el control.
     b. En el menú Acción, clic en Delegar Control.

  2. En la página de inicio del asistente pulsamos en siguiente

  3. En la página de Usuario o Grupos, seleccionamos un usuario o grupo al que queremos concederle permisos y pulsamos en siguiente. Si no hay usuarios ogrupos en la lista para seleccionar:
     a. Pulsamos Añadir
     b. En el cuadro de diálogo, Entrar nombres de objetos para seleccionar, escribimos el nombre de un usuario o grupo y pulsamos Aceptar.

  4. En la página de Tareas a Delegar, especificamos una o más de las tareas siguientes:
     – Crear, eliminar y administrar cuentas de usuario.
     – Reiniciar contraseñas de usuario y forzar cambio de contraseña en el siguiente inicio de sesión
     – Leer toda la información de usuario
     – Crear, eliminar y administrar grupos.
     – Modificar la pertenencia de un grupo.
     – Administrar vínculos de Directivas de grupo
    *NOTA: podemos delegar una tarea personalizada pulsando en Crear una tarea personalizada para delegar.

  5. Pulsamos siguiente.

  6. En la página Completando el asistente de delegación de control, pulsamos finalizar.

*Tarea personalizada:


4. En la página de Tareas para delegar, pulsamos en Crear una tarea  personalizada para delegar y pulsamos siguiente.
5. En la página de Tipo de Objeto de Active Directory, Siguiente.
6. En la página permisos, especificamos los permisos que queremos conceder para la OU y sus objetos.
 Podemos seleccionar:
 – GENERAL. Se muestran los más comunes que se utilizan y que están disponibles para la OU seleccionada o sus objetos.
 – PROPIEDAD ESPECÍFICA. Se muestran todos los permisos de atributos aplicables al tipo de objeto.
 – CREACIÓN/ELIMINACIÓN DE UN OBJETO HIJO ESPECÍFICO. Se muestran los permisis que se necesitan para crear nuevos objetos en la OU.
7. Siguiente.
8. En la página Completando el asistente de delegación de control, pulsamos finalizar.

El asistente de delegación del control.

Se usa el asistente para la delegación del control para seleccionar el usuario o grupo al que se desea delegar el control. También para conceder permisos a usuarios para controlar OUs y objetos y para acceder y modificar objetos.


Mediante el asistente procederemos a conceder permisos a nivel de OU. Para conceder permisos adicionales especializados a nivel de objeto hemos de hacerlo manualmente.


En Equipos y usuarios de Active Directory pulsaremos con el botón derecho sobre la OU que queremos delegar su control y seleccionamos Delegar control para iniciar el asistente. También puede hacerse seleccionando la OU y pulsar en Delegar control del menú Acción.


Las opciones del asistente son:


Opción: descripción.


Usuarios o grupos: Las cuentas de usuarios o grupos a los que queremos delegarle el control.


Tareas a delegar: Una lista de tareas comunes, o la opción de personalizar una tarea. Cuando seleccionamos una tarea común, el asistente resume lo seleccionado para completar el proceso de delegación. Cuando elegimos personalizar una tarea, el asistente nos muestra los tipos de objetos de AD y los permisos que podemos elegir de dichos objetos.


Tipo de objeto AD: cualquiera de los objetos o sólo tipos específicos de objetos en la OU especificada.


Permisos: Los permisos que queremos conceder sobre el objeto u objetos.


NOTA: El asistente puede agrupar permisos sobre una OU si lo ejecutamos más de una vez. Sin embargo, para eliminarlos debe hacerse manualmente.

Posteado desde http://msmvps.com/blogs/juansa/default.aspx

¿Que es la delegacion del control de una OU?

La delegación del control es la capacidad para asignar responsabilidad de administración de objetos de Active Directory a otros usuario, grupo, u organización. Mediante la delegación pueden eliminarse las necesidades de múltiples cuentas administrativas que tengan una gran autoridad.


Podemos delegar los siguientes tipos de control:



  • Permisos de creación/modificación de objetos en una OU específica.
  • Permisos de modificación de los atributos de un objeto específico, como el permiso para reiniciar contraseñas sobre cuentas de usuario.

¿Por qué delegar control administrativo?


En principio parece que es una buena ayuda para facilitar la carga administrativa de la gestión de una red mediante una distribución de una rutina de tareas administrativas a varios usuarios.  Una vez delegada la administración, se asignan tareas básicas a usuarios o grupos normales y tareas de administración del dominio o del bosque a usuarios de confianza colocándolos en administradores del dominio o administradores de empresa.


Mediante la delegación le damos a ciertos grupos mayor control sobre los recursos de la red local. También ayuda a asegurarla de algún daño accidental o malintencionado limitando la pertenencia de los grupos de administradores.


La delegación puede definirse de las formas siguientes:



  • Cambiar las propiedades para un contenedor en particular
  • Crear y eliminar objetos de un tipo específico dentro de una OU, como usuarios, grupos o impresoras.
  • Actualizar propiedades específicas en objetos de un tipo específico dentro de una OU. Por ejemplo, delegar el permiso a establecer la contraseña a un objeto usuario o a todos los objetos de una OU.
Posteado desde http://msmvps.com/blogs/juansa/default.aspx

Herramienta interesante para redes…

Gracias a un colega MVP de Networking cuyo nombre es Obiwan, aquí teneis el vínculo a una herramienta muy interesante y el vínculo a su manual.


Es libre y si la probais, seguro que os sorprendeis…


http://www.mikrotik.com/thedude.php


http://wiki.mikrotik.com/wiki/Dude_usage_notes


Thanks Obiwan!! 😉

Posteado desde http://msmvps.com/blogs/juansa/default.aspx

Active Directory y Políticas de Grupo I

Aunque las OUs ofrecen una vía fácil para agrupar equipos, usuarios, grupos y otros de seguridad, también proporcionan una vía efectiva para segmentar los límites administrativos. Adicionalmente, las OUs proporcionan una estructura importante para el despliegue de objetos de políticas de grupo GPOs porque pueden segmentar los recursos mediante seguridad necesaria y permitirnos proporcionar distintos niveles de seguridad a distintas OUs. El uso de OUs para gestionar y asignar directivas de seguridad basadas en funciones de servidor son una pieza importante dentro de la arquitectura global de seguridad de la organización.


Las OUs son contenedores dentro de la estructura de directorio de un dominio. Estos contenedores pueden llevar cualquier seguridad principal en el dominio, aunque normalmente se utilizan para tener objetos de un tipo específico. Para conceder o revocar permisos de acceso a una OU a grupos o usuarios, puede establecerse listas de control de acceso específicas ACLs sobre la OU y los permisos se heredarán por todos los objetos dentro de élla.


Las OUs pueden utilizarse para proporcionar funciones basadas en habilidades administrativas. Como por ejemplo: un grupo de administradores podría ser responsable para las OUs de usuario y grupo, mientras otro grupo podría administrar aquéllas que contienen los servidores. También puede crearse una OU que contenga un grupo de servidores de recursos para ser administrados por otros usuarios mediante la delegación del control. Este enfoque proporciona al grupo en que se delega un control autónomo sobre una OU en concreto pero no lo aísla del resto del dominio.


Los Administradores que delegan el control a una OU específica son probablemente Administradores de Servicios. Con un nivel bajo de autoridad, los usuarios que controlan OUs son normalmente Administradores de datos.