Mes: abril 2011

Directivas de grupo Locales

Dos son los tipos de directivas aplicables alos sistemas Windows y a las cuentas de usuario de estos sistemas: las Locales y las de Active Directory. Las Directivas Locales existen en todos los Windows, pero las de Active Directory sólo están disponibles en un bosque de AD. Hasta Windows Vista y Windows Server 2008, los servidores y estaciones de trabajo podían contener y aplicar sólo una única directiva local de equipo y usuario. Esta directiva contiene los valores que pueden aplicarse al equipo local y a los objetos usuario para el control de la seguridad y la configuración.

En muchos entornos, debido a los requerimientos de aplicaciones de negocio o antiguas, los usuarios finales tenían asignado con demasiada frecuencia la pertenencia al grupo de administradores locales en las estaciones de trabajo y por ello esencialmente excluídos de la aplicación de muchos valores de seguridad aplicadas tanto por la directiva local como por la directiva de grupo. Los usuarios finales con esta pertenencia tenían la capacidad de sobreescribir valores y realizar cambios en la configuración que podían comprometer la seguridad, o con mayor frecuencia, reducir la fiabilidad del sistema.

Comenzando con Windows Vista y Windows Server 2008, los administradores ahora disponen de la capacidad de crear múltiples directivas de grupo local. Una de las nuevas características es que pueden crearse directivas de grupo de usuario específicas para todos los usuarios, para usuarios no administradores y para usuarios que pertenecen al grupo de administradores local, en los equipos. Esta nueva característica es especialmente atractiva para configuraciones en equipos en Grupos de Trabajo o de forma independiente para incrementar la seguridad y fiabilidad del equipo. En configuraciones de Dominio, las directivas de seguridad de equipo se especifican normalmente utrilizando Directivas de Grupo y se aplican a los equipos del AD.

Directiva de equipo local

La directiva local de equipo predeterminada contiene valores de directiva listos para usar, disponibles para configurar el equipo y el entorno de usuario. Esta directiva será la primera en aplicarse, tanto para el equipo como para los objetos de usuario que inicien sesión en el equipo en Grupo de Trabajo o Dominio.

Directivas de usuario local para Administradores y NO-administradores

Desde Windows Vista y Windows Server 2008, y siguiendo con Windows 7 y Windows Server 2008 R2, los administradores disponen ahora de la opción de crear múltiples directivas de grupo de usuario local en un único equipo. En versiones anteriores, la única directiva de equipo local permitía a los administradores aplicar la configuración de la única directiva a todos los usuarios con sesión iniciada en un equipo parte de un Grupo de trabajo. Ahora, los equipos en Grupo de trabajo y en dominio pueden tener directivas adicionales aplicadas a usuarios locales específicos. Así como que las directivas pueden aplicarse a administradores o no-administradores locales. Esto permite al administrador del equipo a dejar la sección de usuario de la directiva de equipo local predeterminada en blanco, y crear una directiva más restrictiva para usuarios locales y una menos restrictiva para los miembros del grupo de administradores del equipo local.

Plantillas de seguridad

Dentro de cada directiva de equipo local y dentro del nodo de Configuración de Equipo se encuentra la sección Configuración de Seguridad.

Esta sección incluye configuraciones para Directiva de auditoría, Directiva de cuentas y Asignación de derechos de usuario. Esta sección de la directiva es única porque puede importarse y exportarse de forma individual. En versiones anteriores de Windows se proporcionaban diversas plantillas de seguridad listas para su uso para dar al administrador la capacidad de carga rápida de un conjunto de valores de configuración de seguridad recomendadas. Estas plantillas incluían plantillas de equipo y de servidor básicas junto a otras de alta seguridad, de seguridad compatible y de seguridad para Controladores de Dominio.

Para administrar y aplicar un conjunto estándar de configuraciones de seguridad a sistemas en Grupo de trabajo o independientes, los administradores pueden aprovechar las funciones de administración de las plantillas de seguridad. Ya sea utilizando el Editor de Objetos de Directiva de grupo, el editor de directiva de seguridad local, o el elemento de MMC Configuración y Análisis de seguridad, los administradores pueden importar una plantilla base, configurar o ajustar los valores que reunan lo deseado y, exportarlo o guardarlo en un archivo de plantilla personalizada. Esta plantilla personalizada podría aplicarse o importarse a todos los sistemas deseados mediante las herramientas comentadas.

* Editor de Objetos de Directiva

*Editor de directiva de seguridad local

*Configuración y Análisis desde MMC

Las plantillas de seguridad existen para Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2, y se encuentran ubicadas en %systemroot%inf. Todas las plantillas predeterminadas comienzan por el nombre deflt y acaban por la extensión .inf. En R2 tenemos por ejemplo defltbase.inf. Estos archivos se pueden usar para configurar lós valores de seguridad de los sistemas a un estándar de configuración de seguridad.

AVISO: La importación de plantillas de seguridad a servidores y equipos ya implantados puede causar errores graves, como la perdida de iniciar sesión, acceder desde la red, etc… Toda importación debe probarse antes en un entorno de pruebas aislado para asegurarse de su correcto funcionamiento.

Estaremos de acuerdo en qué desde el comienzo de las redes de equipos ha existido el deseo y la necesidad de la administración CENTRAL de las mismas. El continuo desarrollo de las redes por Microsoft comenzó con NTFS y los dominios, y las directivas del sistema reunían la seguridad y configuración de forma centralizada, aunque carecían de varias cosas. Con Windows 2000 server y el inicio de Active Directory, las directivas del sistema han evolucionado en lo que conocemos como Directivas de Grupo.

La infraestructura de las Directivas de Grupo es un sistema complejo que usa muchas características y servicios incluidos en Windows Server, en los sistemas cliente y en las redes IP de estos. Si hay que darle una definición: mecanismo para centralizar la seguridad, las configuraciones y, la implementación de un conjunto común de configuraciones de usuario y equipo, de valores de seguridad y en algunos casos, de software, de los servidores, estaciones  y usuarios Windows en un bosque de Active Directory.

Esta infraestructura de Directivas de Grupo nos permite hacer cumplir configuraciones, simplificar la administración de escritorios, asegurar el acceso a los recursos de red, y en algunos casos, cumplir con los requerimientos de cumplimiento normativo. Como obligar a que las contraseñas de usuario cumplan ciertos requisitos, forzar la habilitación del cortafuegos Windows Firewall en los equipos cliente, etc…

Los valores de las Directivas han cambiado desde su introducción en Windows 2000 Server, evolucionaron con Windows Server 2003 y Windows XP donde se introdujeron nuevos valores y arreglaron errores, como ocurrió con Windows Server 2008 y Windows Vista, hasta hoy, con las versiones actuales de Windows Server 2008 R2 y Windows 7.

Proceso de Directivas

El cómo una Directiva es procesada viene determinado por un número de diferentes valores y criterios. El proceso es distinto si es para usuarios o equipos; además, cada Directiva también puede contener valores específicos que definan cómo y cuando ha de ser procesada.

Las Directivas contienen un número de revisión tanto para la configuración de equipo como la configuración de usuario de la propia directiva. De forma predeterminada, si ese número no ha cambiado desde su última aplicación, la mayor parte de la directiva se ignora. Ciertas partes, sin embargo, como el inicio del equipo y los scripts de apagado y de inicio/cierre de sesión de usuario, son procesados en el ciclo cada vez que una directiva se procesa.

Proceso del Equipo

Los equipos procesan las directivas en un orden predeterminado y durante ciertos eventos. Se aplican al equipo durante su arranque, apagado, y de forma periódica durante el intervalo de refresco en segundo plano establecido, predeterminadamente es cada 90 minutos en Servidores Miembros y Estaciones de Trabajo con una compensación entre 0 y 30 minutos; En los Controladores de Dominio el intervalo es de 5 minutos. La compensación asegura que el refresco no se produzca simultáneamente en todos los equipos del dominio. Cuando un equipo arranca, si puede localizar y comunicarse con éxto con un DC, se procesará la Directiva. Durante el proceso, el sistema comprueba cada directiva heredada o vínculada para verificar si la Directiva ha cambiado desde su último ciclo de proceso, para ejecutar lo scripts de arranque y comprobar cualquier otro requerimiento para reaplicar la Directiva. Durante el apagado y el intervalo de refresco, se procesan también para comprobar cualquier actualización o cambio desde la última aplicación del ciclo.

El proceso de las Directivas de Equipo se determinan por las Directivas vínculadas, el filtrado de seguridad y los filtros WMI(Windows Management Instrumentation).

Proceso del usuario

Es muy similar a la del Equipo. Las principales diferencias son qué: el proceso se efectúa durante el inicio/cierre de sesión del usuario, y periódicamente. El intervalo en este caso es de 90 minutos con una compensación de entre 0 y 30 minutos.

Las Directivas de Usuario se determinan por las Directivas vínculadas y el filtrado de seguridad.

Reconocimiento de Ubicación de Red (NLA)

NLA (Network Location Awareness) es un servicio integrado en Windows que se usa para determinar que el equipo tiene conectividad con la infraestructura de Active Directory. La infraestructura de Directivas usa NLA para determinar si intenta descargar y aplicar las Directivas. Esta función de la Directiva se llama slow link detection.

En versiones anteriores, el proceso de Diretiva utilizaba la detección de vínculos lentos para determinar si la red era lo suficientemente fiable para el proceso y aplicación de la directiva. La detección confiaba con el protocolo ICMP (ping) para la comprobación de la conectividad de red y no era muy de confianza. Debido a esta especificación, el proceso de Directiva en equipos móviles y clientes remotos era muy poco fiable. Cuando un equipo móvil conectaba con la red corporativa mediante una VPN, salía de hibernación o suspensión, el cambio de conectividad de red pasaba inadvertido y las Directivas no se aplicaban o referescaban. En estos casos, la única forma para hacer que los clientes se les aplicasen las directivas era hacerlo manualmente, ejecutando una actualización de directiva desde la línea de comandos o reiniciar los equipos manteniéndoles conectados a la red corporativa vía conexión ethernet.

El proceso en Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 utiliza ahora un reconstruido servicio NLA para la detección de cambios en la red. Este nuevo NLA es mucho mejor detectando cambios en las conexiones de red, y cuando está establecida, NLA comprueba la conectividad del DC. Si puede contactarse con un DC, NLA se lo notifica al servicio de directiva de equipo que a su vez, activa el proceso de la configuración tanto de equipo como de usuario. NLA no depende de ICMP, lo que lo hace mucho más fiable. El servicio NLA el servicio debería funcionar en la mayoría de redes sin ninguna configuración especial en los dispositivos de red o cortafuegos de red, incluso si la comunicación ICMP está deshabilitada o bloqueada por el firewall.

Administrar el proceso de las Directivas con los valores de Directiva

Dentro de la sección, tanto de Equipo como de usuario, DirectivasPlantillas AdministrativasSistemaDirectivas de Grupo podemos revisar y controlar el proceso de las directivas. Aquí se tienen los valores necesarios para determinar la frecuencia de refresco, la reaplicación, si se aplican en vínculos lentos o si una directiva de equipo local se ha de procesar por un equipo o usuario.

Después de la instalación de la consola en el sistema se debe configurar para identificar las impresoras y servidores de impresión de la empresa. Las impresoras se pueden agregar manualmente o, se puede escanear la red e intentar la identificación automática de las impresoras.

Para ello lanzamos la consola:

1. Inicio
2. Herramientas Administrativas
3. Administración de impresión
   
4. Obtenemos la consola.
   

 Agregar impresoras como recursos compartidos de red

Tenemos dos caminos para agregar impresoras a un red Windows 2008 R2. Una es mediante el método estándar de instalación en Windows, usando la opción Agregar impresora. La otra es con la consola, mediante Añadir impresora. Ambos acaban dando el mismo resultado así que la única razón para el uso de la consola es para simplificar las tareas de añadir, modificar y administrar las impresoras desde una utilidad única.

El proceso de agregar desde la consola es idéntico al estándar en Windows, sin embargo aquí lo tenemos todo en una única interfaz:

1. Extendemos la sección de Servidores de impresión en la consola
2. clic derecho en cualquiera de los listados y escoger Agregar impresora.
   
3. Si la impresora está conectada directamente al servidor de impresión elegimos Agregar nueva impresora usando un puerto existente, y desde aquí usaríamos los pasos del primer método:
   
   1. Inicio, panel de control, dispositivos e impresoras.
   2. Botón Agregar impresora para iniciar el asistente
   3. Agregar impresora local
   4. Escoger el puerto (LPT,COM,…) siguiente…
   5. nombre de la impresora, siguiente …
   6. cuestiones a responder, siguiente …
   7. clic en Finalizar.

Agregar servidores de impresión

1. Abrimos la consola
2. clic derecho en el elemento Servidores de impresión y seleccionamos Agregar/eliminar Servidores
   
3. Escribimos el nombre del que se desea agregar, o le damos a Navegar para que el asistente busque entre los servidores del entorno.
   
4. Clic en Aceptar para agregar el servidor de impresión elegido.

Uso de la consola

Toda vez tenemos añadidas las impresoras y los servidores de impresión en la consola, podemos administrarlos desde una vista central. Ahora podremos cambiar puertos de impresora, agregar o eliminar formularios, ver el estado, etc… desde la consola, y a la vez, crear filtros personales de impresoras que permiten a varios administradores ver y administrar las imrpesoras seleccionadas basado en Sitio, derechos o Roles.

Lo más general será por ejemplo:

> Actualizar los controladores de impresora. Clic derecho en el elemento Controladores del Servidor de impresión y seleccionamos Administrar controladores; desde aquí actualizaremos o cambiaremos el controlador de impresión de una impresora.

> Administrar formularios. Clic derecho en el elemento Formularios del Servidor de impresión y seleccionando Administrar formularios; creación y eliminación de formularios compatibles con distintos tamaños del papel o, para especificar una cabecera de formulario de papel personalizada. También podemos cambiar el puerto al que está conectada la impresora, configurar el registro y habilitar la función de aviso a los usuarios cuando los trabajos de impresión se han imprimido completamente.

Filtros personalizados

Una función única de la consola es la de filtros personalizados que habilita a los administradores a agrupar impresoras con el propósito de distribuir su administración. En empresas grandes donde existen diversos edificios, sitios y la administración de dispositivos como las impresoras tienen límites, los admin pueden crear filtros para vistas de impresoras que estén dentro de esos límites.

Para crear una vista personalizada:

1. Clic derecho sobre Filtros personalizados
   
2. Escribes un nombre descriptivo, yo he puesto filtratge-exemple.
   
3. Se escogen los valores deseados para la creaión del filtro.
   
4. Si se desea establecer opciones de notificación y/o ejecución de scripts y luego Finalizar.
   
5. La nueva vista personalizada nos aparece en la consola.
   

La consola de Administración de Impresión en R2 nos ayuda a la gestión de las impresoras en un entorno básico empresarial. Antes un administrador debía apuntar cada dispositivo de impresión o servidor de impresión de forma individual y administrarlo. En empresas grandes con gran número de dispositivos esta forma de administración resulta, como menos, tediosa. Además, si uno no recuerda que impresora se configuró a qué servidor de impresión, pues te tomas un tiempo en encontrarlo y gestionarlo.

La consola proporciona un interfaz simple donde un administrador puede abrirla y ver todas las impresoras y servidores de impresión de la empresa. Si además, configuramos grupos de impresoras logramos que ciertos administradores gestionen sólo los grupos específicos deseados.

El componente de Administración de impresión necesario sólo requiere ser instalado en el sistema que el administrador gestiona (no es necesario en todos los sistemas ni en todos los servidores de impresión). Funcionalmente debe instalarse en sólo un sistema. Sin embargo, se instala automáticamente en los 2008 R2 con el Role de Servicios de Impresión instalado, pero sino,

1. Abrimos el Administrador del servidor
2. Características, pinchamos en el enlace de Agregar características del panel derecho.
   
3. Desplegamos Herramientas de administración remota del servidor, desplegamos Herramientas de roles
   
4. Marcamos la casilla de Herramientas de Servicios de impresión y documentos y pinchamos en el botón siguiente.
   
5. Ventana de confirmación de selección de instalación, si todo es correcto pincharemos en el botón Instalar.
   
6. Se procede a la instalación de la consola.
   
7. Cuando el asistente indique que la instalación ha sido correcta, pincharemos en el botón Cerrar.
   
8. Disponemos de la consola desde Herramientas administrativas.
   
9. Administración de impresión.
   

 

Seguimos desde http://geeks.ms/blogs/juansa/archive/2011/04/14/administraci-243-n-de-usuarios-con-seguridad-local-y-directivas-de-grupo-configurar-la-directiva.aspx

Las directivas y el inicio de sesión

Es importante que las directivas estén en el lugar correcto para evitar inicios de sesión lentos.  En cada nivel de una estructura de UOs donde se vincula la directiva, la descarga y aplicación de las directivas en ese nivel puede retardar entre 15 a 30 segundos el inicio de sesión. Esto es debido a que la directiva en un nivel particular de UO se evalúa una vez, lo que toma unos segundos. El proceso se repite por cada nivel de OU donde hay directivas, y este tiempo de proceso puede amontonarse y provocar retrasos de inicio de sesión a los usuarios, que a su vez se quejan a los servicios de informática. Lo mismo es de aplicación al inicio del equipo cuando se aplican las directivas, aunque los usuarios no se percatan de esto tanto.

Las líneas básicas para reducir al máximo el impacto en el rendimiento de los inicios de sesión son:

• Reducción del anidamiento de UOs. Si reducimos los niveles de anidamiento mejor es el rendimiento. Cómo máximo se aconseja anidar hasta tres niveles, si se necesitan más, evitar vincular Directivas en alguno de los niveles..
• Reducción del número de directivas. Consolidar la configuración en pocas directivas, eso reduce el tiempo de proceso necesario. Una única directiva en el mismo nivel de UO rendirá mucho más rápido que si son 10.
• Utilizar filtrado de seguridad. Si una directiva usa el filtrado de seguridad para que no se aplique a un usuario o equipo, los valores no necesitan leerse ni procesarse. Acelera el rendimiento de inicio del equipo o de sesión del usuario.
• Deshabilitar configuración de equipos o usuarios en la directiva. Cada directiva se componet de una sección de usuario y una de equipo. Si no hay valores configurados en cualquiera de las mismas, esta puede deshabilitarse y será ignorada.

Impedir la herencia de directivas

Al bloquear la herencia lo que conseguimos es impedir su aplicación desde el nivel superior al inferior a equipos o usuarios dentro de un dominio o UO. Esta posibilidad nos puede resultar útil para optimizar la aplicación de directivas y proteger a cuentas de usuario o equipo concretas de la aplicación de valores a nivel superior.

El bloqueo lo podemos configurar desde:

1. Administrador del servidor en un DC
2. Características
3. Consola de Administración de directivas de Grupo GPMC
4. Bosque
5. Dominios
6. Dominio requerido
7. Clic derecho en UO a la que queremos impedir la herencia, seleccionamos

 

La opción Exigido

La opción exigido impide el bloqueo de la herencia de directivas a bajo nivel. Se usaría en el caso de que una directiva deba aplicarse sobre objetos de AD en cada contenedor y subcontenedor con un vínculo o herencia de dicho objeto de directiva.

Clic derecho sobre la directiva a Exigir y seleccionar Exigido.

Después de la creación de una Directiva de Grupo lo normal es que la configuremos y optimizemos a nuestra necesidad. Las directivas de grupo pueden limitarse a configuraciones de equipo o de usuario específicos. Para determinar si alguno de dichos tipos ha de ser deshabilitado el administrador debe tener claro cuales valores y cuales no, son necesarios para proporcionar la configuración deseada. En muchos casos la directiva usa de los dos tipos.

En caso de querer deshabilitar alguno de los dos (usuario o equipo), abriremos las propiedades (Ver las directivas).

En cuanto la tenemos listada, seleccionamos la pestaña Detalles. El campo de Estado de GPO es el que nos servirá para ajustar si deshabilitamos la configuración de uno u otro.

Cuando existen múltiples directivas de grupo, estas deben aplicarse en un orden predefinido. Para un usuario o equipo en particular, el orden puede derivarse del uso del snap-in Resultant Set of Policies. Los resultados de directivas estándar son que sí el valor A está habilitado en el nivel más alto de la directiva y deshabilitado en la última directiva para su aplicación a un objeto, el valor resultante deshabilitará el valor A. Muchos valores de directiva tienen tres estados: habilitado, deshabilitado y de forma predeterminada No configurado.

Podemos limitar la aplicación de las directivas de grupo a equipos o usuarios específicos modificando las entradas de Seguridad. Además de inhabilitar partes de cada GPO, puede bloquearse la herencia de directivas en el dominio o a nivel de OU mediante el valor de bloqueo de herencia de directiva. Cuando se necesita bloquear o ignorar las reglas precedentes para los valores de una directiva de grupo en particular, la directiva puede establcerse como Exigido.

 

Crear una nueva Directiva de Grupo

Cuando se necesitan realizar o probar cambios usando directivas de grupo, un administrador debería dejar el entorno de producción intocable y crear las directivas de prueba en un entorno de pruebas. Esto a veces no es posible, pero habrá que plantearselo siempre, lo de tener un entorno para realizar pruebas y que hoy en día con la virtualización no es tan imposible. Pero lo que sí es posible es probar las directivas con unidades organizativas aisladas dentro del dominio. Si el caso es que las pruebas van a afectar a directivas de dominio o site, es interesante tal vez modificar el filtro de seguridad y aplicar estas directivas o pruebas sólo a un conjunto de usuarios o grupos de test específicos.

Usando la Consola de administración, GPMC, podemos también crear, configurar y abrir directivas de sitio, dominio y OUs para su edición.

En algunos casos, será necesario impedir que una GPO se aplica a un usuario o equipo. Es decir, puede haber una GPO que se aplique a todos los miembros de un departamento, pero es necesario hacer una única excepción de la regla. Más que crear una OU específica para aplicar la GPO podemos usar el filtrado de seguridad para  permitir o denegar que dicho objeto se aplique.

Veamos como crear una directiva basada en dominio y configurar su filtrado para que se aplique a un único usuario:

1. Abrimos el Administrador del servidor en un Controlador de Dominio.
2. Expandimos Características.
3. Expandimos la Consola de Administración de Directivas de Grupo.
4. Expandimos el bosque.
5. Expandimos Dominios.
6. Seleccionamos el dominio específico.
7. Clic derecho y seleccionamos Crear un GPO en este dominio y víncularlo aquí.
   
8. Escribimos un nombre descriptivo, dejamos el cuadro de GPO de inicio de origen en Ninguno, y pulsamos en Aceptar para crear la directiva.
   
9. La directiva se mostrará en el panel derecho. Clic derecho sobre ella y seleccionamos Editar para lanzar el editor de directivas.
   
   
   
10. Clic derecho sobre el editor y seleccionamos propiedades.
    
11. Seleccionamos la pestaña Seguridad y remarcamos la entrada de Usuarios Autenticados.
    
12. En la sección de Permisos, bajamos y desmarcamos el Permitir de Aplica directiva. Esto significa que no tendrá efecto en ningún usuario del equipo.
    
13. Seleccionamos cada entrada en la lista de control de acceso y comprobamos que no existen grupos a los que se le aplique la directiva.
14. Clic en Agregar y escribimos el nombre de un usuario o grupo. Para encontrar una lista de usuarios o grupos dentro del dominio actual, le damos al botón Avanzado, y en la ventana de búsqueda al botón Buscar ahora para mostrar una lista completa. Navegamos por la lista y seleccionamos los usuarios o grupos deseados, y le damos al Aceptar.
    
    
    
15. Aceptar para añadir las entradas en la directiva.
    
16. De vuelta a la ventana de Seguridad, seleccionamos la respectiva entrada y marcamos el cuadro para permitir la aplicación de la directiva. Esto significa que la GPO afectará a los miembros de ese grupo, que puede incluir usuarios y equipos. Aceptar cuando acabamos.
    
17. Cerramos el editor.

 

Windows 2008 R2 nos porporciona directivas de Seguridad Local para administrar el acceso administrativo de grupos y usuarios en base por-servidor. Dentro de Active Directory puedes utilizar las directivas de grupo para establecer configuraciones y seguridad para un conjunto de equipos, usuarios o grupos específicos desde una única directiva. Estas directivas pueden utilizarse para entregar configuraciones estándar de escritorio y ajustes de seguridad de acceso al servidor y funcionalidad de aplicación. También pueden utilizarse para configuraciones de usuario para la entrega de software bajo demanda, redirigir carpetas de escritorio, además de muchos otros ajustes. Muchos de los ajustes dentro de la directiva explican que ajustes controlan y si los ajustes de aplicación por-equipo son únicamente para Windows XP, Vista,  Windows 7.

La consola de administración de Directivas de Grupo.

Podemos ver las directivas de grupo basadas en Active Directory o las directivas locales de seguridad de un equipo o servidor con muy poco esfuerzo utilizando una única consola, la GPMC (Group Policy Management Console). Esta herramienta se añade a la consola de Administración del Servidor cuando el Role de Active Directory se instala. Esta consola permite a los administradores ver las directivas de grupo, editarlas y modelar los efectos de combinaciones de Directivas de Grupo (o sea, el modelo del resultado de la configuración).

Para abrir una Directiva Existente:

1. Abrir Administración del servidor en un Controlador de Dominio.
2. Expandimos Características.
3. Expandimos Administración de directivas de grupo.
4. Expandimos el bosque.
5. Expandimos Dominios.
6. Expandimos el dominio específico.
   
7. Seleccionamos un objeto de directiva de grupo, por ejemplo la Default Domain Policy. Pinchamos en Aceptar para cerrar la ventana de advertencia.
   
8. Seleccionamos la pestaña Configuración para revisar los ajustes.
   
9. O clic derecho sobre el objeto de directiva y seleccionamos Editar para cambiarlos.
   

En cuanto accedes a la Directiva puedes ver cada ajuste o contenedor de configuraciones para determinar el valor predeterminado y, en algunos casos, aprender qué controla dicho ajuste. Tened en cuenta esto, con el nivel correcto de permisos, cualquier cambio realizado a esta directiva es un cambio vivo; no hay marcha atrás, como no sea deshacer los cambios individualmente o llevar a cabo una restauración autoritativa de AD.

 

Cuando ya hemos creado un grupo, es necesario que lo administre un Admin, usuarios, o una combinación de ambos, dependerá de la dinámica del grupo.

Para delegar el control de un grupo a un usuario en particular:

1. Abrimos el Administrador del Servidor.
   
2. Expandimos Roles.
   
3. Expandimos Servicios de Dominio de Active Directory.
   
4. Seleccionamos Usuarios y Equipos de Active Directory y seleccionamos Características Avanzadas desde el menú Ver.
   
5. Expandimos Usuarios y Equipos de Active Directory.
6. Expandimos el dominio.
7. Seleccionamos el contenedor Users. En el panel derecho, clic derecho sobre el grupo, por ejemplo Pruebas, y pinchamos en propiedades.
   
8. Seleccionamos la pestaña Seguridad. En la ventana, abajo a la derecha encontramos el botón Opciones Avanzadas, lo pinchamos.
   
9. En el cuadro de diálogo Configuración de Seguridad Avanzada, seleccionamos la pestaña Permisos. Y pinchamos en Agregar.
   
10. En el cuadro de ‘Escriba el nombre de objeto para seleccionar’, escribimos el nombre de la cuenta a la que queremos asignarle los permisos y le damos a Aceptar.
    
11. En el cuadro de ‘Entrada de permiso para nombre_grupo’, seleccionamos la pestaña Propiedades. En la sección ‘Aplicar a:’, desplegamos la lista y elegimos sólo este objeto.
    
12. En la sección de Permisos marcamos las casillas Pemitir  de las líneas:  Leer Miembros y Escribir Miembros.
    
13. Aceptar para cerrar el diálogo.
14. Aceptar para cerrar las propiedades.

Qué tipo de grupos podemos crear y más importante, donde podemos usarlos.

Crear un grupo es tan sencillo como seguir estos pasos:

1. Abrir Administrar el servidor en un Controlador de Dominio (DC).
   
2. Expandir Roles.
   
3. Expandir Servicios de dominio de Active Directory.
   
4. Expandir Usuarios y equipos de Active Directory.
   
5. Expandir el dominio, en la imagen R2.local.
   
6. Seleccionar un contenedor, por ejemplo Users. Clic derecho, Nuevo, Grupo.
   
7. Introduce el nombre del grupo y selecciona el tipo y el ámbito.
   
8. Clic Aceptar para finalizar.