Las directivas (GPOs)

Potentes y útiles, las directivas son una característica de seguridad en Windows 2000 y Windows Server 2003. Para la administración de un número elevado de usuarios y equipos, los administradores disponen de las directivas en el servicio de directorio Active Directory. El mayor beneficio de seguridad de las directivas es que podemos usarlas para implementar y mantener una configuración básica de seguridad consistente en equipos que son miembros de un dominio.

Las directivas se aplican de dos formas, aquéllas que se aplican al equipo y aquéllas que se aplican al usuario. Las relativas al equipo se aplican siempre, sin importar la cuenta de usuario usada para iniciar sesión en el mismo. Las relativas al usuario se aplican específicamente a la cuenta de usuario que haya sido usada para iniciar sesión en un equipo. Las directivas de seguridad se aplican al equipo y así se aplicarán a todos los usuarios del mismo, incluyendo los miembros del grupo de administradores. De forma predeterminada, una directiva local de seguridad, configuración de seguridad, captura los valores de seguridad aplicados a cada equipo que ejecuta Windows 2000 o superior durante su instalación. Podemos implementar valores de directiva en un equipo local, aunque las directivas de grupo local no están almacenadas ni aplicadas por Active Directory. Las directivas implementadas mediante ACtive Directory están asociadas a contenedores de Sitios, Dominios y Ou’s en la forma de Directivas de Grupo, en inglés GPOs (Group Policy Objects).

Una directiva de grupo puede asociarse a cualquier sitio, dominio u OU, y la directiva puede vincularse a múltiples sitios, dominios u OU’s. A la inversa, un determinado sitio, dominio u OU puede tener múltiples directivas vinculadas a sí mismo. En caso de que múltiples directivas estén vinculadas a un particular sitio, dominio u OU, podemos priorizar el orden en que las mismas se aplicarán.

Vinculando directivas a sitios, dominios u OU’s de Active Directory podemos implementar valores de directiva a lo ancho y a lo largo o a una parte de la organización que necesitemos, teniendo en cuenta qué:

  • Una directiva vinculada a un sitio se aplicará a todos los equipos en el sitio.
  • Una directiva aplicada a un dominio se aplicará a todos los usuarios y equipos en el dominio, incluso si los mismos están ubicados dentro de OUs en el dominio. Las directivas asociadas con dominios padre no se heredan por los dominios hijos.
  • Una directiva aplicada a una OU se aplica a todos los usuarios y equipos ubicados directamente dentro de la OU y, por herencia, a todos los usuarios y equipos de sus OU’s hijas.

La acumulación de directivas a un sitio, dominio y todas las OU’s anidadas se aplican. Las directivas se almacenan por dominio. Ya que los dominios son unidades autónomas, los dominios hijo no heredan las directivas de sus dominios padre. Podemos vincular una directiva a un sitio, dominio u OU en otro dominio de confianza, aunque no se recomienda por razones de rendimiento. Las directivas asociadas a un sólo sitio se almacenan en el dominio raíz del bosque, y se recuperan desde un controlador de dominio en el dominio raíz del bosque. Las directivas son aplicadas en un arreglo jerárquico. Si hay conflictos, el último valor procesado será el único que se aplica. De forma predeterminada las directivas se acumulan y procesan en el siguiente orden:

  1. Las directivas locales
  2. Las vinculadas a sitios
  3. Las vinculadas a dominios
  4. Las vinculadas a OU’s. En caso de anidamiento de OU’s, las directivas asociadas a las OU’s padre se aplican antes que las aplicadas a las hijas.(Hablo de una OU que es hija.)

Un comentario sobre “Las directivas (GPOs)”

  1. Gran invento las GPO’s si señor… A mi me han sacado de más de un apuro, teniendo que administrar un parque de 50 máquinas y 300 usuarios más o menos. Es una gozada poder decidir qué queremos y qué no queremos que pueda hacer el usuario final!
    Es un gustazo poder trabajar con la previsión y no tanto con la solución de los problemas…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *