Venimos de R2 y las GPO –III. Elementos de Directiva de Grupo.
GPO de inicio
La consola de administración de Directivas de grupo en Windows Server 2008 y 2008 R2 nos porporcionan una nueva característica de administración de directivas denominada GPO de inicio. GPO de inicio es parecido a las GPO corrientes, pero éstas sólo contienen configuraciones disponibles desde plantillas administrativas. Tal como podemos utilizar las plantillas de seguridad para importar y exportar los valores configurados dentro de la sección de seguridad de una directiva, las GPO de inicio pueden usarse para el relleno previo de valores configurados en las secciones de plantillas administrativas de la Configuración de Equipo y Configuración de Usuario dentro de una directiva. Después de Windows Server 2008 e incluído en 2008 R2, Microsoft liberó un conjunto de GPOs de inicio predefinidas para Windows Vista y Windows XP. Los valores predefinidos en estas GPO de inicio están basadas en información que puede hallarse en la guía de seguridad de Windows XP y Windows client publicada por Microsoft. Estas GPO de inicio particulares son directivas de sólo-lectura, pero los administradores pueden crear sus propias GPO de inicio según sus necesidades.
Valores de directiva
Los valores de directiva son simplemente las opciones configurables disponibles dentro de una directiva en particular. Estos valores se porporcionan desde las plantillas administrativas básicas, valores de seguridad, scripts, directivas basadas en QOS, y, en algunos casos, paquetes de despliegue de software. Muchos valores corresponden uno a uno con un valor y clave de Registro concreta. Dependieno de los valores en particular, distintos valores, incluído texto libre, pueden ser considerados como valores aceptables.
Los valores de directiva de grupo son normalmente configurables con uno de tres: No configurada, Habilitada y Deshabilitada. Es muy importante que los administradores entendamos no sólo la diferencia entre estos tres valores sino entender también lo que particularmente controla el valor de la directiva.
Los valores de Directiva de grupo se aplican tanto a un equipo como a un usuario. Dentro de una directiva en particular, un administrador puede hallar el mismo valor de directiva tanto en la Configuración de Equipo como en la Configuración de Usuario. En casos como este, si el valor de la directiva está configurada para ambos, el valor para el equipo sobrescribirá el del usuario si la directiva está enlazada al usuario en el equipo donde éste ha iniciado sesión.
Valores preferentes
Las directivas de grupo tienen dos nodos de valores principales, incluyendo los nodos de Equipo y Usuario. Cada uno de estos contiene dos nodos principales también, valores de directiva y valores preferentes. Las extensiones de la directiva mostrados en el nodo de preferentes proporcionan a los administradores la posibilidad de configurar muchos valores predefinidos o iniciales, y de entorno para usuarios y equipos. Una de las características más gratas de los preferentes de la directiva es la focalización a nivel de elemento, que sólo se aplica a cierta preferencia, como programar el botón de encendido, para que cierre sesión o apague el equipo, a sólo un grupo definido de usuarios o grupos dentro de la definición a nivel de elemento de la directiva. Cuando un usuario inicie sesión en un equipo y tenga aplicada esta preferencia se convertirá en el valor inicial, aunque los usuarios podrán cambiarla si así lo quieren. Una distinción importante que todos los administradores debemos hacer es qué directivas establecer y cuales valores obligar, mientras que las preferencias configuran valores iniciales y no los bloquean ante cambios.
Vínculos a objetos de Directiva de Grupo
Los vínculos de Directiva de Grupo son clave del despliegue de Directivas a un conjunto predeterminado de equipos y/o usuarios de AD. Los vínculos de directiva definen donde se aplicarán la directiva o directivas particulares, en la forma diseñada jerárquicamente de Sitios y Dominio de AD.
Las directivas pueden vincularse a Sitios, Dominios y OU’s. A su vez, una directiva única puede ser vinculada a múltiples Sitios, Dominios y OU’s en un bosque único. Esto nos permite tener flexibilidad para crear una directiva única y aplicarla a varios conjuntos diferentes de equipos y usuarios dentro del bosque de AD.
El diseño de la infraestructura de AD, Sitios, Dominios y jerarquía de OU’s, es crítica para la aplicación racional de las Directivas. Debe tenerse en cuenta una planificación cuidadosa y considerada, durante la fase de diseño del AD, con respecto a cómo se usarán las Directivas de Grupo y cómo se organizarán los objetos de usuario, grupos y equipos.
Los vínculos de Directivas pueden deshabilitarse cuando sea necesario, y ayudar a la resolución de problemas de aplicación y proceso de Directivas.
Exigir vínculos de Directiva
MS nos proporciona diversas formas para administrar su infraestructura, incluyendo configuraciones que obligan de arriba a abajo. El obligar al cumplimiento de una Directiva, lo que se conocía como ‘no anular’, es una opción de un vínculo de directiva que puede establecerse para asegurarnos que sus valores se aplicarán y mantendrán a pesar de si otra Directiva con la misma configuración y distintos valores está vinculada.
Esta función debe usarse con precaución ya que podría resultar en un funcionamiento no deseado o que el nivel de seguridad que necesita la ejecución de una aplicación o servicio se viese alterado. Antes de habilitar la obligación de cumplimiento de cualquier directiva sería deseable haberlo probado y asegurarnos que no romperá ninguna funcionalidad ni alterará políticas de regulación.
Herencia de Directivas de Grupo
Las directivas se pueden vincular al Sitio, Dominio, y múltiples niveles de OU. Cuando AD contiene Directivas vinculadas a nivel de dominio, cada OU que cuelgue del contenedor raíz del dominio heredará cualquier directiva vinculada a éste. Por ejemplo:
Tenemos dos Directivas vinculadas a nivel de dominio, la predefinida y una que he llamado restricción total, si observamos la OU predefinida de Controladores de dominio se ve:
Pero, y una OU creada aparte y denominada pruebas?:
también hereda dichas directivas.
La herencia de Directivas nos permite establecer una directiva base común a través de la infraestructura de AD, mientras podemos permitir a otros administradores aplicar de forma más granular otras directivas a más bajo nivel que se aplicarán a subconjuntos de usuarios y equipos.
Las directivas heredadas se procesan antes que las vinculadas al contenedor mismo y el último valor de directiva aplicada es el valor resultante, si hay múltiples directivas con el mismo valor configurado y contienen distintos valores, el último será el aplicado. Esto se conoce como precedencia de Directivas, y que en las imágenes anteriores vemos como se encuentran numeradas.
Impedir la herencia de directivas
Sabemos que las directivas pueden heredarse, pero AD nos proporciona también la forma de impedir esa herencia de contenedores padres a contenedores hijos. Esto es, actualmente, una opción que se aplica a nivel de dominio o UO desde la consola de administración y NO sobre una Directiva.
Dicha opción nos puede ser útil si el contenedor contiene usuarios y/o equipos que son especialmentes sensibles a la seguridad o críticos.
Orden de proceso de las Directivas
Las Directivas de grupo pueden vincularse en muchos niveles diferentes y en muchas infraestructuras de AD, múltiples directivas se vinculan en la misma OU o al mismo nivel de dominio. Esto es muy común y además se basa en una recomendación de buenas prácticas. Como las directivas se procesan UNA cada vez, las directivas vinculadas se procesan en un orden particular, comenzando por las Heredadas desde contenedores padre y seguidas por el orden de las vinculadas al contenedor. El impacto resultante de este orden de proceso es cuando múltiples directivas contienen el mismo valor configurado, la última directiva en aplicarse proporciona el valor resultante de configuración. Disponemos de la herramienta Resultant Set of Policy que nos proporciona una consola que muestra las configuraciones finales aplicadas de directiva, también se puede ejecutar el Modelado de directivas de grupo, ambos desde la consola de administración de directivas GPMC.
Ya veremos como usar ambas herramientas.
Filtrado de directivas
La aplicación de Directivas puede ser difícil y el diseño del bosque, los dominios, los sitios y la jerarquía de OUs en Active Directory juega la mayor parte en esto. Una de las más importantes consideraciones cuando diseñamos la jerarquía de OUs dentro de un dominio es entender cómo los administradores del dominio piensan administrar los equipos y usuarios del dominio con Directivas.
En muchos casos, aún con el mayor cuidado en el planeamiento de la infraestructura de AD, las Directivas se aplicarán a equipos y/o usuarios que no necesariamente requieren los valores que contienen estas. Para conocer mejor a qué equipos y usuarios en particular se aplica una directiva, Microsoft ha construido diferentes mecanismos para ayudar a filtrar, o que sólo incluya los objetos necesarios para asegurar que sólo aquéllos equipos o usuarios deseados se les aplique la directiva. Los mecanismos que controlan o filtran el cómo se aplicará una directiva son:
- Filtrado de seguridad de Directiva
- Filtrado WMI de Directiva
- Estado de Directiva para los nodos de configuración de usuario y configuración de equipo.
Filtrado de seguridad
El filtrado de seguridad de Directiva es el GRUPO en la Directiva de Grupo. Muchos administradores se sienten frustrados cuando se explica el hecho de que la Directiva de Grupo se aplica a usuarios y equipos y NO a Grupos. De hecho, el filtrado de seguridad es donde los administradores pueden definir que usuarios, equipos, o miembros de los grupos de seguridad se les aplicará la Directiva de Grupo.
De manera predeterminada, las Directivas se aplican al grupo de Usuarios autenticados, que incluye todos los usuarios y equipos del dominio. El ámbito de aplicación de la directiva es segmentada según la ubicación de los vínculos de Directiva. Puede segmentarse aún más eliminando el grupo de usuarios autenticados del filtrado de seguridad de directiva, reemplazándolo por un grupo de seguridad personalizado.
Cuando el filtrado de seguridad de una Directiva se configura para aplicarse a un grupo de seguridad personalizado, sólo los miembros de dicho grupo, sean usuarios, otros grupos u equipos, se les aplicará esta directiva particular. Por último y no menos importante, hay que mantener siempre la pertenencia al grupo actualizada, de otra fomra la aplicación de la directiva puede ser incorrecta o incompleta.
Filtrado WMI
El filtrado de Directivas WMI es un concepto de directiva introducido en Windows XP y Windows Server 2003. Un filtro WMI es una consulta que se procesa sólo por equipos y puede usarse para incluir o excluir equipos en particular de la aplicación de la directiva que contiene el filtro. Por ejemplo, un filtro WMI puede consultar aquéllos equipos con un sistema operativo versión 6.1 (Windows 7 y 2008R2). Por supuesto, es importante señalar que los filtros WMI no los procesarán Windows 2000 o sistemas antiguos. El filtrado de seguridad debe también reunir los criterios de la Directiva para ser procesada. Los filtros WMI trabajan bien cuando la jerarquía de AD es relativamente lineal, pero mantener pertenencias de equipos a grupos puede ser tedioso.
Estado de Directiva
Seguramente ya se ha mencionado alguna vez, las Directivas se aplican a equipos y usuarios. Dentro de una directiva particular, la configuración disponible está segmentada en dos nodos distintos, Configuración de Equipo y Configuración de Usuario.
Configurar o cambiar el estado de una Directiva significa la posibilidad de escoger entre cuatro posibilidades:
Esta función de la directiva puede ser muy útil para resolver problemas así como optimizar el procesado de las mismas.
Bucle invertido en proceso de directiva
El proceso en bucle invertido de una directiva permite el procesado de ambos nodos, de equipo y usuario, dentro de una directiva aún cuando el usuario no se encuentre dentro del mismo contenedor que el equipo al que se vincula la directiva.