Una directiva puede utilizarse para configurar la seguridad de todos los equipos de un Sitio, Dominio u OU. Esto hace muy importante el asegurar la administración de las mismas.
De manera predeterminada diversos grupos disponen de la autoridad administrativa necesaria sobre las directivas. Esta configuración puede que sea o no la que nos interesa.
Permiso | Objeto | Descripción |
Control Total | Directiva | Da control total a la cuenta de usuario o grupo de seguridad sobre la directiva. |
Escribir | Directiva | Permite a la cuenta de usuario o grupo de seguridad para modificar la configuración de la directiva. |
Leer | Directiva | Permite la lectura de la configuración de la directiva a la cuenta de usuario o grupo de seguridad. |
Aplicar Directiva de Grupo | Directiva | Permite a la cuenta de usuario o grupo de seguridad el proceso de directiva durante el inicio de sesión o ciclo de refresco. |
Leer/Escribir gPLink | Contenedor | Permite a la cuenta de usuario o grupo de seguridad vincular directivas al contenedor. |
Leer/Escribir gPOptions | Contenedor | Permite a la cuenta de usuario o grupo de seguridad bloquear la herencia de directivas al contenedor. |
Los Grupos de Administradores del dominio, Administradores de Empresa, Creador y System tienen control total sobre las directivas vinculadas a dominios y OUs. El grupo de usuarios autenticados tiene los permisos leer/escribir.
En AD podemos delegar permisos para la administración de directivas tanto mediante el asistente de delegación del control o desde la pestaña de seguridad del cuadro de diálogo de una Directiva u objeto contenedor. Delegar el control es lo suficientemente flexible para permitirnos otorgar control administrativo sobre las directivas siguiendo las necesidades de nuestra organización.
De forma predeterminada los grupos de administradores del dominio y de propietarios creadores de directivas pueden crear nuevas directivas en su dominio. Aunque los propietarios pueden crear nuevas directivas no pueden vincularlas a un contenedor. En cuanto un creador crea una nueva directiva y se vincula a un contenedor, la cuenta de dicho creador retiene los permisos explícitos para modificarla. Otros miembros de dicho grupo de creadores no tienen ningún permiso sobre las directivas creadas por otros miembros del grupo.
El permiso gPLink
Las cuentas de usuario que tienen este permiso pueden vincular directivas existentes a los contenedores en los que el mismo dispone de este permiso. Las cuentas de usuario con permiso de Escribir o Control Total sobre un dominio u OU dispone de éste permiso de forma predeterminada. Este permiso no permite a la cuenta de usuario para crear nuevas directivas.
El permiso gPOptions
Las cuentas de usuario con este permiso pueden habilitar el bloqueo de herencia de directivas en un contenedor de dominio u OU. Aquéllas cuentas de usuario con permiso Escribir o Control Total sobre un dominio u OU tienen este permiso de forma predeterminada. Este permiso no concede ningún otro permiso sobre las directivas a las cuentas de usuario.
Recomendaciones
- Usar las directivas para implementar una línea básica de seguridad. Son un excelente método para asegurar una línea básica de seguridad consistente y un nivel de seguridad adicional para equipos basados en esta función.
- Precaución cuando delegamos la autoridad sobre las directivas. La administración de directivas puede fácilmente comprometer la seguridad de nuestra red, maliciosa o accidentalmente, desplegando plantillas de seguridad o configuraciones de seguridad que debiliten o eliminen la seguridad base de equipos con Windows 2003 Server, Windows 2000 y Windows XP.
- Racionalicemos el uso del bloqueo de la herencia, no reemplazar y del filtrado de directivas. Usar estas opciones en el cambio del comportamiento normal de las directivas cuando no tenemos caminos alternativos razonables. El uso indiscriminado incrementa la dificultad en resolución de problemas de directivas y cierta confusión de la no aplicación de directivas.
- Es muy interesante el uso de la consola de administración de directivas GPMC para resolver los problemas de directivas.