Directivas basadas en Registro

Para administrar los entornos de escritorio de los usuarios se utilizan las Directivas de grupo, las GPO. Más que ver las directivas a nivel de Active Directory lo que veremos es como implementar las directivas a nivel local, incluso crear nuestras propias directivas para redes que no están basadas en AD.

Las directivas no son Preferencias, comparándolas entendemos mejor cómo Windows usa las primeras. Los usuarios establecen preferencias, su fondo de pantalla por ejemplo y las pueden cambiar en cualquier momento. Los administrdores establecen directivas como donde está la carpeta Mis Documentos y éstas toman precedencia sobre la preferencia equivalente del usuario. Windows las almacena en el registro de forma separada. Si existe una directiva, el sistema usa la configuración especificada en ella, si no la hay, usará la preferencia del usuario; en ausencia de ambas, la configuración predeterminada. Una directiva no cambia una preferencia de usuario sino que toma precedencia en su aplicación coexistiendo ambas. En cuanto un admin suprime la directiva, la preferencia vuelve a usarse.

Directiva

Preferencia

Comportamiento

No

No

Configuración predeterminada

No

Se aplica la preferencia

No

Se aplica la directiva

Se aplica la directiva, ingnorando la preferencia.

Windows combina las directivas en una GPO. En AD hay múltiples GPO que se aplican a usuarios y equipos, dependiendo de donde se encuentren en el directorio. En Windows sólo hay UNA GPO, Local GPO. Su configuración se aplica al equipo local y a cualquier usuarios que inicie sesión en el. Ya que la Directiva Local es la primera que aplica Windows cuando arranca y los usuarios inician sesión, las directivas de red pueden sobreescribir su configuración. Es decir, si la directiva local indica una configuración y la establecida en la red por el administrador la niega, se aplicaría la segunda.

Las Directivas de grupo contienen configuración tanto para usuario como para equipo, conteniendo dos ramas principales:

  • Configuración de Equipo. Valores de configuración de directiva por-equipo que especifican el comportamiento del sistema operativo, del escritorio, de seguridad, de scripts de inicio y apagado del sistema, de aplicaciones asignadas al equipo y configuración de aplicaciones. Windows las aplica las directivas por-equipo cuando se inicia el sistema y a intervalos de forma regular.
  • Configuración de Usuario. Valores de configuración de directiva por-usuario que especifican el comportamiento del sistema operativo, del escritorio, de las aplicaciones publicadas y asignadas, de redirección de carpetas, de seguridad, de scripts de inicio y cierre de sesión de usuario y configuración de aplicaciones. Windows las aplica cuando el usuario inicia sesión en el equipo y a intervalos de forma regular.

Para editar la Directiva Local usamos el Editor de directivas:

A) Abrimos Inicio, ejecutar y escribimos gpedit.msc

gpedit gpedit02

B) O, nos creamos una MMC con el snap-in.

1. escribimos mmc en Inicio-Ejecutar

mmc01 

2. Menú Archivo, Agregar o quitar complemento

mmc02

3.  En la pestaña Independiente, botón Agregar

mmc03a

4. Elegimos Editor de Directivas de grupo del cuadro y botón Agregar

mmc03

5. Seguimos el asistente eligiendo Equipo Local

mmc04

6. Pulsamos en Finalizar y cerramos todos los diálogos abiertos, pulsando luego en Aceptar del diálogo Agregar o quitar complemento.

mmc05

7. obtenemos una consonla con el complemento añadido.

mmc06 

Extensiones de directiva

Las directivas tienen varias extensiones que podemos ver cuando las configuramos. De hecho, cada nodo que vemos en el editor de directivas es una extensión. De forma predeterminada, el editor carga todas las que están disponibles al iniciar. Configuración de Equipo y Configuración de Usuario contienen diferentes extensiones, podemos ver más al editar una directiva en AD que en una directiva Local. Algunas de las extensiones, resumidas, en una directiva local son:

  • Scripts. Podemos asignar scripts a los usuarios que se ejecuten al inicio o cierre de sesión. También a equipos para que se ejecuten al arrancar o apagar Windows. Se encuentra dentro de la carpeta de Configuración de Windows.
  • Configuración de seguridad. Podemos administrar valores de seguridad, como contraseñas, auditoría y bloqueo de directivas. También podemos administrar derechos de usuario y restringir las aplicaciones que los usuarios pueden ejecutar. Se encuentra dentro de la carpeta Configuración de Windows.
  • Plantillas administrativas. Directiva crea un archivo que contiene valores de Registro y que se escriben en HKCU o HKLM. Windows carga los valores desde este archivo cuando el sistema inicia o el usuario inicia sesión. Estas son las directivas basadas en el registro.

Directivas en el registro

Directivas del registro o directivas administrativas son la misma cosa. Son valores en el registro que sobreescriben las preferencias de los usuarios y hay buenas razones para que los usuarios no las puedan cambiar. Otras directivas, como la configuración de seguridad pueden o no ser valores de registro. En el editor de directivas encontramos las directivas de registro en la carpeta Plantillas Administrativas, tanto bajo la Configuración de Equipo como de la Configuración de Usuario.

Las plantillas administrativas, archivos con la extensión .adm, definen las directivas que los administradores pueden establecer. Estas plantillas describen el interfaz de usuario para reunir configuraciones del administrador y las ubicaciones de estas configuraciones desde el registro. Cuando el administrador define directivas, el editor las guarda en un archivo llamado Registry.pol. Windows carga la configuración contenida en Registry.pol cuando el sistema se inicia, cuando los usuarios inician sesión, y a ciertos intervalos regulares.

Las extensiones, Plantillas administrativas y una extensión de parte del cliente integrada en el registro* trabajan juntas para implementar las directivas basadas en el registro.

*Procesa las directivas y crea sus correspondientes valores en el registro.

Windows tiene plantillas administrativas que definen todas las directivas compatibles con el sistema operativo. Si queremos usarlas para una aplicación, como Office, debemos cargar la plantilla administrativa correspondiente a Office. (El kit de recursos de Office contiene muchas plantillas administrativas para el manejo y administración de la suite) Las que nos proporciona Windos son:

  • System.adm. Valores principales y primer archivo de plantilla, define la mayoría de valores que vemos en Plantillas Administrativas.
  • Wmplayer.adm. Valores de Windows Media.
  • Conf.adm. Software de NetMeeting.
  • Inetres.adm. Microsoft Internet Explorer.

Todas las directivas se establecen en uno de tres estados: Hailitada, Deshabilitada o No configurada.

policystatus

Habilitada explícitamente aplica la configuración añadiéndola al registro con un valor de 0x01. Deshabilitada explícitamente desactiva la configuración añadiéndola al registro con un valor de 0x00(o quitándolo). No configurada elimina el valor de configuración del registro. Hay algunas directivas que necesitan de datos adicionales.

Cuando configuramos una directiva prestemos atención a la explicación para asegurarnos que el resultado será el que queremos. Algunas directivas son positivas –se activa la característica al habilitarla-, otras negativas –se desactiva la característica al habilitarla-. Un poco de confusión, a veces para aplicar hemos de deshabilitar y al contrario. Así que leed bien la directiva y lo que hace antes. 😉

¿Donde guarda Windows las directivas?

En la rama SoftwarePolicies preferentemente. En la llave HKLM, contendrá las directivas por-equipo y en HKCU las directivas por-usuario.

Otra rama, heredada de versiones anteriores, es SoftwareMicrosoftWindowsCurrentVersionPolicies. En la que las directivas tienden a tatuar el registro, lo que quiere decir que hacen cambios permanentes en el registro; Debemos explicítamente cambiar estas directivas. Las ACL, listas de control de acceso, impiden a los usuarios hacer cambios en estas llaves y de ese modo las directivas que se aplican. Los grupos locales usuarios y usuarios avanzados no tienen permisos para cambiar valores en estas llaves, pero un administrador puede sobreescribirlas directamente y cambiar la directiva.

Ya que sabemos donde se ubican en el registro sólo nos resta saber en ué lugar del sistema de archivos están. La directiva local está en %raíz_del_sistema%System32GroupPolicy. Es una carpeta super oculta . Para verla en el explorador de Windows hemos de habilitarlo desde herramientas del menú y cambiar las opciones en la pestaña Ver del diálogo de Opciones de carpeta, tanto Ver archivos y carpetas ocultos como desmarcar ocultar archivos del sistema.

grouppolicy

Dentro de esta carpeta encontramos las siguientes subcarpetas y archivos:

  • Adm. Donde están todos los archivos adm de la directiva local.
  • User. Archivo Registry.pol.
  • UserScripts. Scripts por-usuario de la directiva local. Dentro de Logon para el inicio de sesión en Windows y dentro de Logoff para el cierre de sesión en Windows.
  • Machine. Registry.pol del equipo.
  • MachineScripts. Scripts por-equipo de la directiva local. Dentro de Startup para el arranque y en Shutdown para el apagado.

Puede copiarse la carpeta de un equipo a otro para replicar las directivas que contienen, aunque mejor comprobarlo antes de hacerlo en un entorno de trabajo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *