Autor: juansa

¿Por qué usar directivas?

La gestión del entorno de los usuarios significa controlar aquéllo que pueden hacer en cuanto inician sesión en la red. Y podemos hacerlo mediante el control de sus escritorios, conexiones de red, y los interfaces de usuario a través de las directivas. Podemos gestionar el entorno para asegurarnos que los usuarios tienen lo que necesitan para llevar a cabo sus tareas, y al mismo tiempo no lo puedan corromper o configurar incorrectamente.

Cuando centralizamos la configuración y gestión del entorno de los usuarios con las directivas, podemos realizar diferentes tareas:

• Gestionar usuarios y equipos: Mediente la gestión de los valores del escritorio del usuario con políticas basadas en el registro, nos aseguramos que los usuarios tienen el mismo entorno de trabajo aunque inicien sesión desde distintos equipos. Podemos controlar cómo Windows Server 2003 administra los perfiles de usuario, que incluye como estarán disponibles los datos personales de un usuario. Con la redirección de carpetas de usuario desde los discos en local del usuario a una ubicación central en el servidor, nos aseguramos que los datos del usuario están disponibles para éllos independientemente del equipo donde inicien sesión.
• Implantar software: El software se implanta para usuarios o equipos a través del servicio de directorio Active Directory. Con la implantación de software, nos aseguramos que los usuarios disponen de los programas y aplicaciones, paquetes de actualizaciones, service packs y revisiones que necesitan.
• Aplicar ajustes de seguridad: Mediante el uso de las directivas en AD los administradores pueden centralmente aplicar los ajustes de seguridad requeridos para proteger el entorno del usuario. En Windows Server 2003 podemos usar la extensión de ajustes de seguridad en la directiva para definir los valores de seguridad para las políticas de seguridad locales y de dominio.
• Aplicar un entorno de escritorio consistente: Los valores de directiva proporcionan un camino eficiente para aplicar estándares, como scripts de inicio de sesión y valores de contraseñas. Por ejemplo, se puede prevenir que los usuarios realicen cambios en sus escritorios que puedan hacerlos más complejos de lo necesario.

Unos vínculos a documentos interesantes, lo siento, son documentos en inglés, si tuviera tiempo iría traduciendo, tal vez en algún momento.

 http://download.microsoft.com/download/0/0/4/0044470e-5f3a-4569-9255-91f932e4da3b/gpintro.doc

http://download.microsoft.com/download/a/9/c/a9c0f2b8-4803-4d63-8c32-3040d76aa98d/GPMC_Administering.doc

¿Que significa habilitado/deshabilitado/No configurado en los valores de las directivas de grupo?

Si deshabilitamos un valor de directiva lo que hacemos es deshabilitar la acción de dicho valor. Por ejemplo, los usuarios tienen acceso al panel de control de forma predeterminada, no se necesita deshabilitar dicho valor para permitirles el acceso al panel de control, a menos que otra directiva lo haya habilitado.

Esto quizás pueda servirnos cuando tenemos valores heredados y no queremos utilizar filtrado para la aplicación a un grupo y a otro no. Podemos aplicar la directiva que establece unos valores para el objeto padre y otra que los deshabilite en parte o todos en un objeto hijo. (Aunque sea rizar el rizo)

Si marcamos habilitado entonces activamos la acción del valor de la directiva. Siguiendo el ejemplo anterior, marcaríamos habilitado en prohibir el acceso al panel de control y les negaríamos el acceso al panel de control a los usuarios.

La directiva mantiene los valores que cambian el registro para usuarios y equipos que son materia de la directiva. La configuración predeterminada para cualquier valor es No configurado. Si se quiere establecer cualquier valor a su valor predeterminado, selecciona la opción no configurado.

Algunos de los valores de las directivas necesitan que se les proporcione información adicional después de habilitarlo. Algunas veces puede que se necesite seleccionar un grupo o un equipo, otras, deberán proporcionar nombres de protocolos, puertos, …Son políticas multi-valor, si una de ellas entra en conflicto con otro valor de directiva, el multi-valor será reemplazado por el último valor aplicado.

Nota: La ficha valores indica el sistema operativo que es compatible con cada valor. La ficha explicación tiene información sobre los efectos de las opciones habilitar/deshabilitar en una cuenta de usuario o equipo.

De forma predeterminada los valores de directiva contenidos en las propias directivas que afectan a un contenedor se aplican a todos los usuarios y equipos de dicho contenedor, que en ocasiones puede producir efectos no deseados. Mediante el filtrado pueden definirse qué valores se aplican a los usuarios y equipos en un contenedor específico.

Podemos filtrar el despliegue de una directiva estableciendo permisos en el vínculo de la directiva para determinar el acceso de lectura o permiso negar en la directiva. Para valores de directiva a aplicar a una cuenta de usuario o equipo, la cuenta debe tener al menos permiso de lectura en la directiva. Los permisos predeterminados para una nueva directiva tienen las siguientes entradas de control de acceso (ACEs):

• Usuarios autenticados – Permitido lectura y aplicar directiva
• Administradores de dominio, de empresa y SYSTEM – Permitido lectura, escritura, crear objetos hijo, eliminar objetos hijo.

Podemos utilizar los métodos siguientes de filtrado:

• Denegar explícitamente: Este método se utiliza cuando se deniega el acceso a la directiva. Por ejemplo, podría explícitamente denegarse el permiso al grupo de administradores de seguridad, que prevendría que los administradores en la OU reciban los valores de la directiva.
• Quitando usuarios autenticados: Puede omitirse a los administradores de OU desde el grupo de seguridad, que significa que no tienen permisos explícitos para la directiva.

Desde GPM, en el árbol de la consola, extendemos el bosque donde está el vínculo que queremos aplicar la opción enforced, luego hacemos una de las siguientes:

• Si queremos configurarlo en un vínculo para un dominio, extendemos dominios y luego el dominio que contenga el vínculo.
• Si es en una OU, extendemos dominios, luego el dominio que contiene la OU y finalmente dicha OU o la OU hija si es la que contiene el vínculo.
• Si es para un sitio, extendemos sitios, y luego el sitio que contenga el vínculo.

Clic derecho sobre el vínculo y clic sobre Enforced para habilitar/deshabilitar la ejecución.

Nota: Incluir sólo valores críticos en la directiva de grupo cuya opción enforced está habilitada, ya que estos siempre surten efecto a pesar de como se configuren otras directivas. Hay que estar seguro de que no se reemplazan directivas importantes.

Podemos habilitar, deshabilitar, aplicar, y agrupar vínculos a GPO. Estas opciones afectan significativamente a las cuentas de usuario y equipo de la OU a la que está vinculada la GPO.

Opción enforced (forzar su aplicación) es un atributo del vínculo de una GPO no de la propia GPO. Si tenemos una directiva vinculada a múltiples contenedores, hemos de configrar dicha opción para cada uno de éllos. Es decir, si la misma GPO está vinculada a otro lugar, la opción no se aplica a ese vínculo a no ser que modifiquemos el vínculo.

Todos los valores de la directiva contenidos en la directiva cuyo vínculo se configura con dicha opción se aplican, aún si hay conflictos con procesos posteriores o si la herencia está bloqueada a un nivel inferior en el árbol de AD. Sólo deberíamos habilitarla para aquéllos vínculos a directivas que representen reglas críticas para la organización. Vincular la directiva muy arriba del árbol de AD significa que afectará a múltiples OU's. Un ejemplo podría ser una GPO con valores de seguridad de red para un sitio o un dominio.

Nota: Está opción se llama No Override(no anular)en usuarios y equipos de Active Directory antes de estar instalada GPMc.

Opciones habilitar/deshabilitar: vínculo habilitado es otro atributo que podemos utilizar cuando intentamos resolver algún problema de la directiva. Podemos deshabilitar el vínculo con sólo dejar en blanco la opción, en lugar de eliminarlo. Mediante su deshabilitación, sólo cambiamos el efecto sobre las cuentas de usuario y equipo de la OU y de todas sus hijas. No afectará a otros vínculos que puedan haber.

Cuando múltiples vínculos de directivas están vinculados a una OU, la directiva con el vínculo en orden más elevado se aplicará la última. Si los valores causan conflicto, los últimos toman preferencia.

Ante ciertas consultas que se me hacen con respecto a las GPO, y aunque pensaba colgarlo en algún momento, voy a comentar un poco las herramientas que nos pueden servir para la implementación de las directivas, tales como forzar la aplicación inmediata, comprobación de las que se están aplicando, etc.

a) Deseo saber que gpo se están aplicando.
podemos realizar un RSoP (Conjunto resultante de directivas)
http://thesource.ofallevil.com/technet/prodtechnol/windowsserver2003/es/library/ServerHelp/1180b465-ea3b-4a73-8670-81fa5871a3c7.mspx?mfr=true

utilizar el comando gpresult
http://thesource.ofallevil.com/technet/prodtechnol/windowsserver2003/es/library/ServerHelp/377cd2f7-2ab7-4fbf-9557-c3acf076dbac.mspx?mfr=true

informe de directiva desde Inicio-ayuda y sopote técnico-soporte técnico-consulte también-información avanzada de sistema-Ver configuración de directiva de grupo aplicada.

b)Queremos actualizar de inmediato la aplicación.
utilizar gpupdate
http://thesource.ofallevil.com/technet/prodtechnol/windowsserver2003/es/library/ServerHelp/6880fef3-76b7-4eb3-b993-fa0079961585.mspx?mfr=true

Gpupdate.exe para actualizar la aplicación de directivas

Gpresult.exe para ver las que se están aplicando (hay dos versiones de esta herramienta, la que va con windows 2000 y sólo sirve para equipos w2k y en LOCAL, y la liberada con XP/2003, se puede ejecutar en local o remotamente)

Dcgpofix.exe esto restauraría la default domain policy y la default domain controllers policy a su estado original después de la instalación, a excepción de algunos valores de seguridad. Se pierden todos los cambios efectuados.

GPMonitor.exe una especie de visor donde nos mostrará las directivas sus actualizaciones, etc.

GPOTool.exe Comprobarla robustez de los objetos de directiva de grupo en controladores de dominio, también determina si las políticas son válidas y muestra información detallada sobre los objetos replicados.

AdmX.exe que es un Parser que exporta los valores de la GPO a un archivo de texto.

Todas se pueden descargar desde Microsoft, y no todas funcionan en sistemas distintos a 2003, incluso algunas necesitan de la presencia de .NET framework, así que mi consejo es que consulteis en la descarga de cada una en que sistemas funcionan.

Para bloquear la herencia de las directivas, abrimos GPMc, en el árbol de la consola extendemos el bosque en el que queremos bloquear la herencia, y entonces haremos una de dos:

• Si queremos bloquear la herencia a un dominio entero, expandimos dominios, y pulsamos clic derecho.


• Si lo que queremos es hacerlo en una OU, expandimos dominios, expandimos el dominio que contiene la OU y entonces, clic derecho en la OU.

Luego pulsamos Bloquear herencia.

Complejas combinaciones de directivas pueden derivar en conflictos, que requerirán la revisión y modificación del comportamiento de la herencia predeterminada . Cuando los valores de una directiva se configura para una OU padre y la misma no se configura para una OU hija, el contenido de la OU hija heredan los valores de la directiva desde la OU padre.

Cuando una directiva se configura para ambas OU, padre e hija, los valores para ambos se aplican. Si son incompatibles, la OU hija aplica los valores de su propia configuración de directiva.

Si la herencia predeterminada no nos sirve podemos modificarla en directivas específicas. Windows Server 2003 proporciona dos opciones para cambiar el orden de herencia predeterminado:

• No override (No reemplazar).

Utilizamos esta opción para prevenir que los contenedores hijo reemplacen una directiva desde una con valor de prioridad más alto. Es útil para aplicar las directivas en empresas grandes, con reglas de empresa. Esta opción se configura en las directivas individualmente.

Puede activarse en una o más directivas. Cuando más de una directiva tiene habilitado no reemplazar, aquélla que está más alta en la jerarquía tendrá prioridad.

• Block Policy inheritance (Bloquear la herencia de directivas).

Esta opción nos sirve para forzar el bloqueo de la herencia de directivas desde todos los objetos padre. Es muy útil cuando una OU requiere una sóla directiva. Se establece por contenedor. En caso de conflicto, la opción No reemplazar siempre tendrá prioridad sobre la opción Bloquear la herencia de directivas.

Un ejemplo clásico podría ser:

Un dominio, nombredominio y de varias OU que cuelgan del dominio, compras, ventas, almacen,… etc.

Una directiva aplicada al dominio, pero no queremos que se aplique a la OU ventas.

Para prevenir que al contenedor hijo (OU ventas) se le aplique la directiva del contenedor padre (nombredominio) habilitamos 'bloquear la herencia de directivas' en el contenedor hijo.

Este bloqueo lo usamos para prevenir que la OU ventas herede todos los valores de la directiva de grupo, no parte de ellos. Como ya había comentado anteriormente, esto es útil cuando un contenedor de AD sólo requiere una directiva y queremos asegurarnos que no se heredan otros valores. Por ejemplo, bloqueamos la herencia si esperamos que un administrador de la OU ventas sea el encargado de controlar las directivas que se le apliquen únicamente a esa OU.

Cuando utilizamos el bloqueo de la herencia hemos de tener en cuenta que:

• No podemos elegir selectivamente que directivas se bloquearan, es decir, todas las directivas serán bloqueadas desde los contenedores padre, excepto las configuradas con la opción No override usando la consola GPMC, aplicadas mediante élla y que dicha consola se encuentre instalada.
• No se bloqueará la herencia de una directiva vinculada a un objeto padre si en el vínculo está configurada la opción No override.

¿Por qué gestión de implementación de las directivas?

La verdad es que visto lo visto y con la dichosa herencia, el orden de aplicación etc…

¿Qué pasa cuando hay un conflicto entre directivas?

¿Podemos bloquear el despliegue de una directiva?

¿Cómo?

Atributos de un vínculo de directiva de grupo.

¿Cómo configuramos la aplicación de una directiva de grupo?

Filtrado el despliegue de una directiva de grupo

¿Cómo configuramos el filtrado de directivas de grupo?

–>

El orden en que Windows Server 2003 aplica las directivas de grupo depende del contenedor de Active Directory para el que las directivas se han vinculado. Las directivas se aplican primero al sitio, luego a los dominios y, finalmente, a las unidades organizativas en los dominios.

Una de las reglas nemotécnicas que aprendí rápidamente fue LSDOU, que viene a decir lo anterior, con el añadido de Local que al fin y al cabo es donde primero se aplicarían si las hay a ese nivel.

Un contenedor hijo hereda las directivas desde el contenedor padre. Esto significa que el hijo puede tener establecidos muchos valores de directiva de grupo para aplicar a sus usuarios y equipos sin que tenga ninguna directiva vinculada. Sin embargo, no hay jerarquía de dominios como la hay para las OU, OUs padre y OUs hijo.

Las directivas son acumulativas, significa que se heredan. La herencia es el orden en que Windows las aplica. El orden de aplicación y cómo son heredadas en última instancia determina que valores afectarán a usuarios y equipos. Si hay múltiples directivas establecidas con el mismo valor, de forma predefinida la última directiva aplicada tiene prioridad.

Se pueden tener por tanto, múltiples directivas vinculadas a los mismos contenedores. Por ejemplo, tener tres directivas vinculadas a un dominio. Como el orden en que las directivas se aplicarán puede afectar a los valores resultantes, hay también un orden, o prioridad de dichos valores, de directivas para cada contenedor.