Estaremos de acuerdo en qué desde el comienzo de las redes de equipos ha existido el deseo y la necesidad de la administración CENTRAL de las mismas. El continuo desarrollo de las redes por Microsoft comenzó con NTFS y los dominios, y las directivas del sistema reunían la seguridad y configuración de forma centralizada, aunque carecían de varias cosas. Con Windows 2000 server y el inicio de Active Directory, las directivas del sistema han evolucionado en lo que conocemos como Directivas de Grupo.
La infraestructura de las Directivas de Grupo es un sistema complejo que usa muchas características y servicios incluidos en Windows Server, en los sistemas cliente y en las redes IP de estos. Si hay que darle una definición: mecanismo para centralizar la seguridad, las configuraciones y, la implementación de un conjunto común de configuraciones de usuario y equipo, de valores de seguridad y en algunos casos, de software, de los servidores, estaciones y usuarios Windows en un bosque de Active Directory.
Esta infraestructura de Directivas de Grupo nos permite hacer cumplir configuraciones, simplificar la administración de escritorios, asegurar el acceso a los recursos de red, y en algunos casos, cumplir con los requerimientos de cumplimiento normativo. Como obligar a que las contraseñas de usuario cumplan ciertos requisitos, forzar la habilitación del cortafuegos Windows Firewall en los equipos cliente, etc…
Los valores de las Directivas han cambiado desde su introducción en Windows 2000 Server, evolucionaron con Windows Server 2003 y Windows XP donde se introdujeron nuevos valores y arreglaron errores, como ocurrió con Windows Server 2008 y Windows Vista, hasta hoy, con las versiones actuales de Windows Server 2008 R2 y Windows 7.
Proceso de Directivas
El cómo una Directiva es procesada viene determinado por un número de diferentes valores y criterios. El proceso es distinto si es para usuarios o equipos; además, cada Directiva también puede contener valores específicos que definan cómo y cuando ha de ser procesada.
Las Directivas contienen un número de revisión tanto para la configuración de equipo como la configuración de usuario de la propia directiva. De forma predeterminada, si ese número no ha cambiado desde su última aplicación, la mayor parte de la directiva se ignora. Ciertas partes, sin embargo, como el inicio del equipo y los scripts de apagado y de inicio/cierre de sesión de usuario, son procesados en el ciclo cada vez que una directiva se procesa.
Proceso del Equipo
Los equipos procesan las directivas en un orden predeterminado y durante ciertos eventos. Se aplican al equipo durante su arranque, apagado, y de forma periódica durante el intervalo de refresco en segundo plano establecido, predeterminadamente es cada 90 minutos en Servidores Miembros y Estaciones de Trabajo con una compensación entre 0 y 30 minutos; En los Controladores de Dominio el intervalo es de 5 minutos. La compensación asegura que el refresco no se produzca simultáneamente en todos los equipos del dominio. Cuando un equipo arranca, si puede localizar y comunicarse con éxto con un DC, se procesará la Directiva. Durante el proceso, el sistema comprueba cada directiva heredada o vínculada para verificar si la Directiva ha cambiado desde su último ciclo de proceso, para ejecutar lo scripts de arranque y comprobar cualquier otro requerimiento para reaplicar la Directiva. Durante el apagado y el intervalo de refresco, se procesan también para comprobar cualquier actualización o cambio desde la última aplicación del ciclo.
El proceso de las Directivas de Equipo se determinan por las Directivas vínculadas, el filtrado de seguridad y los filtros WMI(Windows Management Instrumentation).
Proceso del usuario
Es muy similar a la del Equipo. Las principales diferencias son qué: el proceso se efectúa durante el inicio/cierre de sesión del usuario, y periódicamente. El intervalo en este caso es de 90 minutos con una compensación de entre 0 y 30 minutos.
Las Directivas de Usuario se determinan por las Directivas vínculadas y el filtrado de seguridad.
Reconocimiento de Ubicación de Red (NLA)
NLA (Network Location Awareness) es un servicio integrado en Windows que se usa para determinar que el equipo tiene conectividad con la infraestructura de Active Directory. La infraestructura de Directivas usa NLA para determinar si intenta descargar y aplicar las Directivas. Esta función de la Directiva se llama slow link detection.
En versiones anteriores, el proceso de Diretiva utilizaba la detección de vínculos lentos para determinar si la red era lo suficientemente fiable para el proceso y aplicación de la directiva. La detección confiaba con el protocolo ICMP (ping) para la comprobación de la conectividad de red y no era muy de confianza. Debido a esta especificación, el proceso de Directiva en equipos móviles y clientes remotos era muy poco fiable. Cuando un equipo móvil conectaba con la red corporativa mediante una VPN, salía de hibernación o suspensión, el cambio de conectividad de red pasaba inadvertido y las Directivas no se aplicaban o referescaban. En estos casos, la única forma para hacer que los clientes se les aplicasen las directivas era hacerlo manualmente, ejecutando una actualización de directiva desde la línea de comandos o reiniciar los equipos manteniéndoles conectados a la red corporativa vía conexión ethernet.
El proceso en Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 utiliza ahora un reconstruido servicio NLA para la detección de cambios en la red. Este nuevo NLA es mucho mejor detectando cambios en las conexiones de red, y cuando está establecida, NLA comprueba la conectividad del DC. Si puede contactarse con un DC, NLA se lo notifica al servicio de directiva de equipo que a su vez, activa el proceso de la configuración tanto de equipo como de usuario. NLA no depende de ICMP, lo que lo hace mucho más fiable. El servicio NLA el servicio debería funcionar en la mayoría de redes sin ninguna configuración especial en los dispositivos de red o cortafuegos de red, incluso si la comunicación ICMP está deshabilitada o bloqueada por el firewall.
Administrar el proceso de las Directivas con los valores de Directiva
Dentro de la sección, tanto de Equipo como de usuario, DirectivasPlantillas AdministrativasSistemaDirectivas de Grupo podemos revisar y controlar el proceso de las directivas. Aquí se tienen los valores necesarios para determinar la frecuencia de refresco, la reaplicación, si se aplican en vínculos lentos o si una directiva de equipo local se ha de procesar por un equipo o usuario.
