Directivas de Grupo (GPO) - en Windows Server 2008 y 2008 R2
Directivas de Grupo (GPO) - en Windows Server 2008 y 2008 R2
Directivas de Grupo (GPO) - en Windows Server 2008 y 2008 R2
2008 R2
Implementacin, funcionalidades, depuracin
Introduccin
1. Prlogo
13
13
14
15
2. Introduccin
16
17
18
18
19
20
20
20
21
21
21
21
21
21
22
22
22
23
24
www.ediciones-eni.com
25
Ediciones ENI
1/11
26
29
29
30
31
32
32
34
37
37
39
39
40
41
42
43
44
45
www.ediciones-eni.com
Ediciones ENI
2/11
52
53
53
53
53
54
54
55
55
56
59
60
3. Administrar las GPO con la consola de administracin de directivas de grupo - GPMC 2.0 61
3.1 Implementar la consola GPMC 2.0
3.1.1 Instalacin de la funcionalidad Administracin de directivas de grupo
3.2 Funcionalidades de la consola GPMC 2.0
3.2.1 Creacin y modificacin de directivas de grupo
3.2.2 Vincular objetos directiva de grupo
3.2.3 Utilizar la opcin Exigido
3.2.4 Gestionar la precedencia de las directivas
3.2.5 Gestionar las herencias de directivas
3.2.6 Forzar las directivas en la GPMC
3.2.7 Buscar directivas
3.3 Configuracin de los parmetros de directivas
3.3.1 Configuracin del equipo
3.3.2 Configuracin de usuario
www.ediciones-eni.com
Ediciones ENI
61
62
63
63
71
74
77
79
81
82
85
87
89
3/11
90
92
96
96
100
104
110
110
111
112
114
117
117
117
122
125
126
128
128
129
130
130
132
133
www.ediciones-eni.com
Ediciones ENI
4/11
144
144
163
170
172
174
178
6. Conclusin y comentarios
178
183
184
185
3. ADMX y ADML
www.ediciones-eni.com
186
Ediciones ENI
5/11
194
194
196
196
196
197
197
www.ediciones-eni.com
188
188
189
190
190
191
192
192
193
198
198
198
200
200
201
201
204
205
205
207
208
Ediciones ENI
6/11
9. Conclusin y comentarios
209
211
212
217
223
www.ediciones-eni.com
220
221
222
Ediciones ENI
224
225
234
237
239
241
241
241
242
244
7/11
244
249
250
250
254
254
255
261
263
264
264
264
265
266
266
269
270
271
271
271
271
272
273
2. Metodologa
274
www.ediciones-eni.com
Ediciones ENI
275
275
8/11
280
3.1 GPOTool
3.1.1 Preparar la utilizacin de GPOTool
3.1.2 Utilizar GPOTool
3.1.3 Aislar los errores de replicacin
3.2 Determinar un conjunto resultante de directivas RsOP
3.2.1 Resultados de directivas de grupo
3.2.2 Modelado de directivas de grupo
3.2.3 GPResult
3.3 GPDBPA
3.3.1 Condiciones de uso de GPDBPA
3.3.2 Utilizar GPDBPA
3.4 Dcgpofix
3.5 Gpupdate
3.6 Replmon
4. Los registros de eventos
280
281
281
283
284
285
294
302
304
305
305
305
306
306
306
www.ediciones-eni.com
275
276
276
276
277
277
277
278
278
278
279
307
307
311
315
319
Ediciones ENI
9/11
Casos de estudio
1. Introduccin
321
2. Casos prcticos
322
378
381
383
www.ediciones-eni.com
Ediciones ENI
383
385
10/11
3. GPO y Cloud
403
404
404
405
Conclusin
1. Conclusin
407
408
3. Los foros
409
ndice
411
www.ediciones-eni.com
Ediciones ENI
11/11
Lasdirectivasdegrupo(GPO)
en Windows Server 2008 y 2008 R2
JulienBENICHOU
Resumen
Este libro sobre las directivas de grupo se dirige principalmente a arquitectos, administradores e ingenieros de sistemas, proponindoles una
inmersin en el mundo de las directivas de grupo (GPO) en entornos Windows Server 2008 y 2008 R2.
El lector avanza entre los principios tericos y las aplicaciones prcticas de los diferentes componentes que constituyen las directivas de grupo,
la nica herramienta capaz de configurar los equipos en profundidad a nivel del sistema. La informacin indispensable para el dominio de esta
herramienta, como los procesos de tratamiento y aplicacin de las GPO o su estrecha colaboracin con Active Directory, le permitirn la puesta
en prctica de todo tipo de polticas de directiva de grupo en su empresa.
Adems, los elementos relacionados con la planificacin y la organizacin necesarios para la elaboracin de una infraestructura basada en la
implementacin de directivas de grupo, acompaan al lector a lo largo de los diferentes captulos del libro.
El autor emplea su extensa experiencia en muchas infraestructuras de contextos distintos e internacionales para centralizar y difundir los
aspectos ms importantes que permitirn al lector orientarse en las soluciones tcnicas usadas ms frecuentemente en las empresas.
El autor
Consultor informtico especializado en arquitectura y mantenimiento de Sistemas de Informacin, Julien Benichou ha participado en
numerosos proyectos, en contextos internacionales, en los dominios de la arquitectura de red, las migraciones de sistemas, la puesta en
marcha de herramientas Cloud o la organizacin y mantenimiento de sistemas informticos. Uno de sus objetivos al escribir este libro fue
que su significativa experiencia ayude al lector a hacerse con el mundo de las directivas de grupo para reducir los fallos y permitir la puesta a
punto de nuevas soluciones, cada vez ms adaptadas a las necesidades de las empresas.
Este libro ha sido concebido y se difunde respetando los derechos de autor. Todas las marcas citadas han sido registradas por su editor respectivo. Reservados todos los
derechos. El contenido de esta obra est protegido por la Ley, que establece penas de prisin y/o multas, adams de las correspondientes indemnizaciones por daos y
perjuicios, para quienes reprodujeren, plagiaren, distribuyeren o comunicaren pblicamente, en todo o en parte, una obra literaria, artstica o cientfica, o su transformacin,
interpretacin o ejecucin artstica fijada en cualquier tipo de soporte o comunicada a travs de cualquier medio, sin la preceptiva autorizacin.
Este libro digital integra varias medidas de proteccin, entre las que hay un marcado con su identificador en las imgenes principales
- 1-
Prlogo
1.Unpocodehistoria
FuelaempresaMicrosoftquien,durantelosaos2000,introdujoporprimeravezelconceptodedirectivasde
grupo, tambin denominadas GPO (Group Policy Object). En concreto, la primera aparicin de este trmino se
produjoconlasalidaalmercadodeWindows2000Server.
Laexpresineninglsdelaquesederivaeltrmino,GroupPolicy,significaliteralmentepolticadegrupo.Este
nombretieneperfectosentidosisetieneencuentaelobjetivodepartidadelasdirectivasdegrupo,yaqueuna
partedesumisinsera,efectivamente,agruparlaconfiguracindevariosparmetrosparapoderaplicarlosde
formaconjuntasobreunciertonmerodeordenadoresobjetivo.
La segunda revolucin en materia de gestin de directivas de grupo se produjo con la aparicin del sistema
operativoWindowsServer2003,enelqueMicrosoftintrodujounaconsoladeadministracindedirectivasde
grupo,denominadacomnmente GPMC(GroupPolicyManagementConsole).Estaherramientapermitiextender
considerablementelapotenciadelasdirectivasdegrupo,facilitandosuadministracinydespliegue.
Enlaactualidadescomnelusodelasdirectivasdegrupoentodotipodeorganizaciones.Tantolasgrandes
como las pequeas empresas, o las instituciones, emplean con regularidad las directivas de grupo para
personalizarsusredesdeequipos,otambinpararestringirlosaccesosconsideradoscomosensibles.
2.ydefuturo
Lacentralizacindelosrecursostcnicosseconvierteenunaetapainevitablecuandoseconstatalaevolucin
delasnuevastecnologas.Laglobalizacindelosmtodosparaelintercambiodeinformacinesunfenmeno
cuyocrecimientoparecepermanentey,adems,seproduceaunritmoexponencial.
Deestarealidadydelasreflexionesinicialesconlasquenacelaescrituradeestelibrosurgeunacuestinde
partida, para la que finalmente no se ha podido encontrar una respuesta categrica y definitiva. Se podra
formularas : Queslainformacin?. A partir de esta pregunta se derivaran infinitas de otras, de entre las
quehasidonecesarioconsiderartanslolasmsrazonables,teniendoencuentaelobjetivodeestaobra.Una
vez se tiene una definicin somera sobre la naturaleza de la informacin, podemos preguntarnos para qu
sirve?,oporqunosresultatannecesaria?,yapartirdequcriteriospodramosestablecerunaescalapara
suvalor?
Hay quien defiende que la posesin de informacin es una de las formas de detentar el poder. Otros piensan
quelaposesindeinformacinesunodelosfactoresyfuerzasqueempujanunaeconomacreciente.Porestos
motivos,yenunmundobasadoampliamenteenlautilizacindelasnuevastecnologas(asuvezenconstante
evolucin),esimportantelagestinptimadelainformacin.
Paraelpropsitodeestaobra,lasdirectivasdegrupodeWindowsServer2008y2008R2,consideraremosque
dominar los principios de funcionamiento de las directivas de grupo permite, al menos en parte, gestionar
ptimamentelainformacinysucircuitodedifusinenelsenodeunaempresa.
Del hecho mismo de que las empresas se hagan ms grandes y se fusionen, se sigue un crecimiento a nivel
mundial de las relaciones de colaboracin entre stas. Las empresas que desean intercambiar y compartir su
informacin con la mxima fiabilidad y seguridad, necesitan de las directivas de grupo. La orientacin dada al
desarrollodeestaherramientavieneligadaalfuncionamientodelasempresasylaevolucinseguidaporstas
enlosprocesosbsicosdeinformacin,colaboracinydeacceso,necesariosentodaprogresin.
Los administradores del maana sern aqullos que hayan tomado conciencia de su rol, de importancia
creciente, como garantes de la validez de los circuitos de intercambio de informacin entre las diferentes
entidadesdelaorganizacin.Adems,severnfuertementeimplicadosenlaformaenqueestainformacinse
gestione y se aprovisione. En consecuencia, su puesto les exigir garantizar la integridad de la informacin,
manteniendoelnivelmsaltodeseguridad.
Finalmente, el uso de las directivas de grupo permite un alto nivel de control sobre los intercambios de
- 1-
informacin en el seno de la empresa. Se propone al lector, en esta obra, un recorrido detallado sobre qu
elementospermitenadministrarenlasmejorescondicionesunainfraestructurabasadaenlaimplementacinde
lasdirectivasdegrupo.
3.Quinsebeneficiadelasdirectivasdegrupo?
Enunaempresa,aquinesconciernenlasdirectivasdegrupo?
Desdeunaperspectivaindividual,losadministradoresderedessebeneficiandepoderosasherramientasqueles
permiten evolucionar la red de equipos de la que son responsables mediante las tcnicas ms recientes
disponibles.Deestamaneralaejecucindetareasinformticasestcadavezmsautomatizada,centralizaday
escadavezmsprecisa.
En el otro extremo de la cadena, los usuarios se benefician de las ventajas de las directivas de grupo para
estabilizarsuentornodetrabajo.Laactividaddelosusuariosdependerengranmedidadelafiabilidaddelas
herramientasqueseponganasudisposicin.Estaactividadsevecadavezmenosinterrumpida,yelnmerode
errores disminuye de manera constante. Las directivas de grupo permiten anticiparse a los errores ms
frecuentesquesepuedandarenlospuestosdetrabajoy,deestamanera,impedirlos.
Portanto,considerndolodesdeunaperspectivamsamplia,lasventajasqueseobtienendelautilizacinde
directivasdegruporedundanenprovechodelaproductividadglobaldelaempresa.
- 2-
Introduccin
BienvenidoalmundodelasdirectivasdegrupoenWindowsServer2008y2008R2!
Actualmente, la complejidad creciente de los sistemas de informacin de las empresas orienta los mtodos de
gestin hacia una centralizacin de la informacin. La evolucin en las tecnologas conlleva, inevitablemente,
cambios en los procedimientos de trabajo. A este respecto, Windows ha evolucionado considerablemente las
tcnicasdeadministracindelasdirectivasdegrupodesdelaprimeraversinservidordeWindowsquepermita
eldesplieguededirectivasdegrupo:WindowsServer2000.
ConWindowsServer2003seincorporaronmejorassustancialesenlasherramientasdegestindelasdirectivas
degrupo.
Elnmerodeutilidadesadisposicindelosadministradoressehaincrementadopaulatinamenteconlasversiones
sucesivasdeWindowsServer.Sonprecisamenteestasherramientascadavezmspoderosas,perotambinms
complejas,elobjetodeestelibro.
Las GPO se han impuesto como una herramienta indispensable para simplificar la administracin de las redes
Microsoft. Modelar las configuraciones, desplegar las aplicaciones y sus actualizaciones, definir las polticas de
seguridad de la empresa, uniformizar los servidores y puestos de trabajo, se han convertido en tareas que
puedenrealizarsedesdeunpuestodetrabajodeadministrador,odesdeelpropioservidor.
Las nuevas herramientas para manipular las directivas son numerosas, eficaces, y resultan indispensables para
losadministradoresquedeseanhacerdelaredunespaciodetrabajoideal.ConActiveDirectoryylasdirectivas
degrupo,laadministracindelaredestcadavezmscentralizadayestructurada.
Este libro trata de las GPO en las versiones Server 2008 y 2008 R2 de Windows, de sus principios de
funcionamiento,delasnovedadesqueincorporanydelabanicodeposibilidadesqueofrecen.
- 1-
Consejosdeutilizacindeestelibro
Para facilitar la comprensin de la materia presentada en este libro se presentarn a continuacin algunos
consejosparasuusoyunascuantasideasgeneralesquepermitirnsuperarciertasconfusionesodudas.
EstaobrasesumergeenelmundodelasdirectivasdegrupodelasdosltimasversionesdelasedicionesServer
deMicrosoft,WindowsServer2008y2008 R2.LasdirectivasdegrupoexistendesdeWindowsServer2000,yaun
cuandosufuncionamientoactualesdiferente,losprincipiossonsimilares.
Encuantoaculeslautilidaddelasdirectivasdegrupo:setrataprincipalmentededesplegarconfiguracionesy
parametrizacionessobrelospuestosdetrabajoenred,desdelosservidoresqueestnautorizadosyhabilitados
parahacerlo.
Las directivas de grupo funcionan en las diferentes versiones de Windows a partir de las tecnologas Windows
2000ysoncompatiblesconelusodeentornosdetrabajoheterogneos(p.e.unentornoconpuestosXP,Vistay
Windows7).
Este libro trata diferentes elementos relativos al funcionamiento de una infraestructura de red basada en el
despliegue de directivas de grupo. Se abordarn temas tales como los componentes de arquitectura
indispensablesparalaimplementacindelasdirectivasdegrupoyelfuncionamientodestasascomoeltrabajo
minuciosoquesuponelaplanificacinypuestaenmarchadeestetipodeinfraestructura.
Se realizar tambin un anlisis tcnico en profundidad de las herramientas, comandos y funcionalidades
vinculadasalfuncionamientodelasdirectivasdegrupo.
1.Elentornotcnicousadoparaestelibro
LamayorpartedelainformacincontenidaenestelibroesrelativaalosentornosWindowsServer2008y2008
R2paralosservidores,yWindowsVistay7paralospuestosdetrabajo.
Laestructuradefuncionamientodelasdirectivasdegruponohaexperimentadomodificacionessustancialesa
partirdeWindowsServer2003,adiferenciadelpasodeWindows2000aWindowsServer2003,enelquese
incorporcomoprincipalnovedadlaGPMC.
Existen,noobstante,novedadesnotableseinteresantes.
Sededicaruncaptuloalaconsoladeadministracindelasdirectivasdegrupo(GPMC2.0),elementocentralde
su puesta a punto y de su funcionamiento. Windows 2000 no cuenta con la consola de administracin de las
directivasdegrupo,queapareciconWindowsServer2003.LaconsolaGPMCnoesunacaractersticanativaen
WindowsServer2003,porloquedebedescargarsepreviamenteasuutilizacin(estadescargadesdeelsitio
webdeMicrosoftesgratuita).
EnWindowsServer2008y2008R2laconsoladeadministracindelasdirectivasdegrupovieneincluidaconla
instalacindelsistemaoperativo.
2.Laorganizacindelainformacin
La terminologa empleada en este captulo en cuanto a los nombres de los objetos directiva de grupo es
exhaustiva y no es representativa de la que se empleara en una empresa. En realidad los nombres son
generalmentemscortos ytienencomonicofindesignarelroldeladirectivaencuestin.
Noesobligatorioquelleveacabocadamanipulacinsobrelasdirectivasdegrupodeformaidnticaacomose
describeenellibroparaconseguirunabuenacomprensindesufuncionamiento.Losejemplosdedirectivasde
grupoelegidosporelautorsonfrutodesuexperienciaysupreferenciapersonal.
No obstante, los lectores que deseen recorrer esta obra realizando las operaciones tcnicas mostradas una a
una, deben tener presente que stas siguen una cierta lgica temporal que se debe respetar. Es decir, en
ciertospuntosdelosdiferentescaptulosseproponenmanipulacionesqueseapoyansobreotraspresentadas
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
anteriormente.
3.Aqupblicovadirigido
Este libro est dirigido a personas que desarrollen un puesto de arquitecto, administrador de red o jefe de
proyecto,oapersonasquedeseendesarrollarestasfuncionesenelfuturo.
SualcancetcnicoyorganizacionalsecentraenelcampodelasdirectivasdegrupoconWindowsServer2008y
2008 R2 en el mbito de la empresa. Para comprender el contenido de esta obra el lector deber aprender e
interiorizarunciertonmerodeprincipiostcnicosdefuncionamiento.
Lasdirectivasdegruposondeintersparalagestinderedesinformticas,enparticularparaelpersonalde
serviciosinformticos.
Lapotenciadeestaherramientasimplificalastareasadministrativas,permitiendoahorrartiempo:desaparecen
las instalaciones individuales en cada puesto, desaparecen las modificaciones de parmetros aqu y all,
desaparece el tener que desplazarse de manera repetitiva para efectuar las mismas tareas. Todas las
operacionespuedenrealizarsedesdeservidoreshabilitadosparaelloodesdepuestosdeadministracin,yse
aplicansobrelatotalidaddelared.
Apesardetodo,laherramientatienelimitaciones.LasGPOnosepuedenaplicarsobrelasversiones95,98yNT
de Windows Server y Workstation. Funcionan perfectamente a partir de Windows 2000, incluido, esto es:
Windows 2000 (Server y Workstation), Windows XP, Windows Server 2003 (como cliente), Windows Vista o
Windows7yWindowsServer2008y2008 R2(comocliente).
Laimplementacindedirectivasdegrupoadecuadaspotencialaproductividad,laseguridadylaestabilidaddela
reddelaempresa.
La puesta en prctica de una poltica de directivas de grupo puede contribuir a disminuir el coste total de
propiedaddeunaempresa.Estosignificaquesepuedenreducirlospresupuestosinformticosdevariasformas
yque,portanto,elusodelasGPOcontribuyealcrecimientodelaempresa.
- 2-
Lasnuevasfuncionalidadesdelasdirectivasdegrupo
SehaincorporadounciertonmerodemodificacionesalfuncionamientodelasGPOenWindowsServer2008y
2008R2.
A modo de ejemplo de las notables mejoras aportadas desde la versin anterior se pueden citar: el
comportamientodelasdirectivasylaformaenlaqueseaplican,lasnuevasopcionesyfuncionalidadesintegradas
enWindowsServer2008y2008R2,laextensinenlasposibilidadesparaWindowsVistay7.
La siguiente seccin enumera las principales novedades, explicando brevemente en qu radica su utilidad. El
funcionamientobsicodelasdirectivasdegrupodeWindowsServer2008y2008R2esmuysimilaraldeWindows
Server 2003. Sobre este funcionamiento, sin embargo, se han aplicado varias actualizaciones, cuyo grado de
importanciapuedeserdistintoenfuncindecadaorganizacinydecriteriosdeevaluacinpersonales.
1.NovedadesprincipalesdeWindowsServer2008y2008R2
Sepresenta,acontinuacin,unalistadelasnovedadesincorporadasenWindowsServer2008y2008R2para
laadministracindelasdirectivasdegrupo.
a.LaGPMCintegrada(GPMC2.0)
Anteriormente la GPMC estaba disponible como una descarga aparte, que deba ser instalada manualmente.
Desdelaversin2003deWindowsServer,estdisponiblecomounacaractersticanativa.
b.GroupPolicyesahoraunservicio
Anteriormente a Windows Vista, las directivas de grupo se aplicaban mediante un servicio Winlogon. Ahora
GroupPolicyesunservicioindependiente,aumentandoconellosueficacia.
c.LasGPOdeinicio
Como parte de las novedades aparecen las GPO de inicio. Utilizando nicamente el contenedor Plantillas
administrativas, es posible crear una estructura de partida sobre la que se apoyarn las nuevas GPO del
dominio.
d.Laspreferenciasdedirectivaylasextensionesdelladocliente
Antiguamenteeraprecisoemplearscriptsparasatisfacerlasexigenciasasociadasalosentornosdeusuario.
Ahora es posible realizar estas configuraciones gracias a las preferencias de directiva. Sin olvidar las nuevas
extensionesdelladoclienteparaWindowsVistay7quepermitenprocesarunnmeromayordeparmetros
queantes.
e.LadeteccindeenlaceslentosconNLA(NetworkLocationAwareness)
Inclusocuandosedetectanenlacesderedexcesivamentelentos,unapartedelosparmetrosdelasGPOse
aplicanencualquiercaso.Estopermitequealmenosfuncionenlosobjetosdedirectivaprioritarioscuandola
rednopuededarsoportealatotalidaddeGPO.
f.LagestindelogsmedianteGPDBPA
ConGPDBPA(GroupPolicyDiagnosticsBestPracticesAnalyzer)esposiblesupervisarelconjuntodelasdirectivas
degrupoyobtenerinformesdetalladossobreloserroresmsfrecuentes.
g.ElformatoADMX
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Los archivos ADMX (ADMinistrative XML) corresponden a la nueva versin de los archivos ADM. Este formato
recientedearchivopermiteeldesplieguecentralizadodelosmodelosdeadministracin.
h.Ladelegacindelainstalacindelosdriversdeimpresoraalosusuarios
ApartirdeWindowsServer2008y2008R2,losadministradorespuedendelegarlainstalacindelosdriversde
impresora mediante las directivas de grupo. Esta funcionalidad ayuda a mantener la seguridad, al limitar la
difusindelosdatosdeidentificacindelosadministradores.
i.LaconsoladeadministracinavanzadadelasGPO
La consola AGPM (Advanced Group Policy Management), componente insignia de MDOP (Microsoft Desktop
OptimizationPack),complementalasfuncionesdelaGPMC.EstesistemadegestinavanzadadelasGPOofrece
numerosasopcionesdeconfiguracinyadministracin,sibienpersisteelinconvenientedequeesdepago.
2.Utilizacindelosdiferentestiposdedirectivasdegrupo
Esposibledistinguirdoscategorasenelsistemadedirectivasdegrupo:lasdirectivaslocalesylasdirectivasde
dominio.
Las directivas de dominio son indispensables para poder configurar un parque de equipos cliente en redes de
ordenadores de gran tamao. Cuando se desea un enfoque individualizado de los puestos de trabajo, se
empleandirectivaslocales.
HaydosformasdeenfocarlagestindelasdirectivasdegrupodentrodelasdiferentesarquitecturasMicrosoft.
SilosadministradoresdeseanutilizarlasGPOdentrodeunaarquitecturadetipodescentralizada(comnmente
denominadoWorkgroup),lanicaformaconsisteenconfigurarunaovariasdirectivaslocalessobrecadapuesto
detrabajo.
A pesar de que este mtodo es ms sencillo genera mucho trabajo para los responsables de mantener la
infraestructurainformtica.
CuandolaarquitecturaescentralizadaysegestionamedianteActiveDirectory,sepuededisponerdelasGPOde
dominio,siendosuusoprcticamenteindispensable.
Eldesplieguedelasdirectivasdedominioatravsdelaredeseltipodegestinquemejorponedemanifiesto
lapotenciadeestemecanismo.
a.LasdirectivaslocalesenunWorkgroup
Elusodedirectivaslocalespermitedisearunaconfiguracinaunnivelmuyfinodedetalleparalospuestosde
trabajoWindows.
EnlossistemasoperativosWindows,muchasopcionesyaestndisponiblesenlosmensdeconfiguracindel
propio Windows. Pero la comprensin del conjunto de elementos de configuracin disponibles no est
necesariamentealalcancedelosusuariosfinales.Dichodeotromodo,elniveldeconfiguracinrequeridopara
un puesto de trabajo conlleva frecuentemente ms investigacin que el simple uso de los mens clsicos de
Windows,deltipopaneldeconfiguracin.
Para estos escenarios en los que se necesita un enfoque particularmente minucioso de la configuracin de
Windows,lasolucineselusodedirectivaslocales.
Eleditordeobjetosdedirectivasdegrupo,queesuncomplementodelaconsolaMMC(MicrosoftManagement
Console),posibilitaestetipodetrabajo.Pormediodeesteeditorsepuedenconfigurarcientosdeparmetros
correspondientesalosdiferentessistemasyaplicacionesdeWindows
- 2-
La consola GPEDIT distingue entre dos categoras principales: el nodo Configuracin del equipo y el nodo
Configuracin de usuario. Los objetos de directiva modificados en el contenedor Equipos son de aplicacin
sobreelpuestodetrabajo,seacualseaelusuarioylosobjetosmodificadosenelcontenedorUsuariossonde
aplicacintansoloparaelusuarioqueestconectado.
b.LasGPOenundominioActiveDirectory
ParaquelasdirectivasdegruposehaganefectivasdebenpoderdesplegarseenundominioMicrosoft.Ypara
poder aprovechar las ventajas y ltimas novedades que incorporan, debe existir en la red al menos un
controladordedominioenversinWindowsServer2008o2008R2.
UnavezquesehapromovidoalrangodecontroladordedominiounservidorWindowsServer2008o2008R2,
esposibleempezarausarlasdirectivasdegrupo.LasGPOdedominio,enesemomento,sevuelvenaccesibles
desdelaGPMC.Desdeestaconsolasecreanygestionanlasdirectivas,teniendocomoapoyolaestructuray
arquitecturadelosdominiosActiveDirectorydelbosque.
Porque, efectivamente, la consola de administracin de directivas de grupo se apoya para su funcionamiento
sobrelaarquitecturaActiveDirectorydeldominio.Enconsecuencia,lasdirectivasdegruposeagrupansobre
una entidad nica e identificable en la red. La creacin, la gestin y la supervisin de los objetos GPO se
conviertenentareasadministrativascadavezmsinteresantes.
ElalcancedelascapacidadesdegestinproporcionadasporlaconsoladeadministracindeGPOesamplsimo.
Por ejemplo, un usuario que posea las autorizaciones y permisos necesarios, puede observar todos los
dominiosaprobadosporeldominioalquepertenece,entodoslosbosques.Deestamanera,podragestionar
lasdirectivasdegrupodesplegadasensuorganizacinyademstambinlasdesplegadasenlasdiferentes
filialesdelaempresa,ytodoelloapartirdelosservidoresdesta.
- 3-
Introduccin
Paraexplotarplenamentelasdirectivasdegrupo,esnecesariohacerloenunentornoActiveDirectory.
Evidentemente,siempreesposibleutilizardirectivaslocalessobreunparqueinformticocompuestoporequipos
asociados a un Workgroup. Sin embargo, el uso de las directivas de grupo en un entorno Active Directory
representaelcasomscorrienteentrelasempresasquedisponendeunaarquitecturaMicrosoft.
Gestionarlasdirectivaslocalesdecadapuestodetrabajodeunaorganizacinexigemuchotrabajo,yunagestin
descentralizadadelainformacin.Cuandoserealizaunamodificacinsobrelaspolticasdedirectivadegrupo,es
necesarioefectuarlaactualizacincorrespondientesobrecadapuestodetrabajoinvolucrado.SielWorkgroupse
componedeunnmeroelevadodeequipos,eltrabajodelosadministradoresrequieretantotiempodedicadoa
tareasrepetitivasquedejadetenerinters.
PorestaraznlautilidaddedesplegarlasGPOenundominioActiveDirectoryesincomparablementemayorque
sobreunWorkgroup.
Cuandolaempresaconectasusequiposatravsdeundominio,lasGPOseapoyanparasufuncionamientoen
ActiveDirectoryylaconsoladeadministracindelasdirectivasdegrupo.Enestecaso,lasdirectivassealmacenan
en un mismo sitio y se aplican en funcin de la estructura Active Directory de la empresa. La supervisin y la
evolucindelasdirectivasdegruposevuelvenasmseficacesyeficientes.
LasGPOdedominiofuncionanapartirdeunsoloservidorcontroladordedominio(WindowsServer2003,2008o
2008R2)yunpuestodetrabajo(Windows2000,XP,Vistao7).
En este captulo se profundizar en la comprensin de las directivas de grupo en el mbito de las redes
profesionales,enlasquelainfraestructurarespetaelsistemapiramidaldebosqueydedominioActiveDirectory.
- 1-
ActiveDirectory,unpasoprimordial
El funcionamiento de las directivas de grupo guarda una estrecha relacin con Active Directory. Es al Active
DirectorydondequedanvinculadaslasGPOparasuposterioraplicacinsobrelospuestoscliente.
La estructura del Active Directory de una empresa, y en particular la estructura de sus Unidades Organizativas,
definelaformaenquesepodrngestionarlasGPO.
La constitucin de la arquitectura Active Directory determina la lgica de creacin de las directivas de grupo. Es
interesante disponer de un Active Directory compartimentado y organizado en concordancia con los diferentes
sectoresdeactividaddelaempresa.Cuandoestoesas,esmssencillogenerardirectivasdegrupoorientadasa
lasnecesidadesdelosusuariosyvincularlasalasUnidadesOrganizativascorrespondientes.
Se recomienda igualmente mantener la simplicidad en la organizacin de las Unidades Organizativas. Una
estructurasimpleycomprensiblefacilitalagestindelasdirectivasdegrupo.
En el momento de la creacin de una nueva organizacin Active Directory es necesario planificar los pasos y
anticiparsuevolucinalargoplazo.Elcrecimientodelaempresatieneunainfluenciapreponderanteentodolo
queconcierneaActiveDirectory:elnmerodeusuariosaumenta,lascuentasdeequiposemultiplican,quizsse
prevlaaperturadenuevassucursales
Todos estos factores tienen un efecto inmediato sobre el Active Directory y la estructura de Unidades
Organizativasy,enconsecuencia,sobrelaformaenquesepodrngestionarlasdirectivasdegrupo.
ElActiveDirectorycontienetodaslasUnidadesOrganizativasdeunaempresa,yaseagrandeopequea.Peroel
tamaodelaorganizacinnocambiaelhechodequeseadevitalimportanciadefinirunaestructuradeUnidades
Organizativasquepermitaunagestinptimadelasdirectivasdegrupoydered.
AlcrearlaestructurasobreActiveDirectorysedeberconocerelnmerodesitiosweb,dedominiospadreyde
dominios hijos que van a existir. Adems, se deber saber si hay previstas relaciones de aprobacin entre
diferentes dominios, dentro de una misma estructura Active Directory. La consola de administracin de las
directivas de grupo permite visualizar todos los dominios presentes en el Active Directory y, de igual manera,
aplicarlasdirectivasdegrupoalasunidadesorganizativasdecadaunodeesosdominios.
En las organizaciones que ya disponen de una estructura Active Directory existente, la implementacin de una
polticadeGPOdegranenvergaduraconllevageneralmentelamodificacindelamisma.
Lasdirectivasdegruposecreanymodificanenlaconsoladeadministracindedirectivasdegrupo,interactuando
sta directamente sobre el Active Directory en el momento de su aplicacin. Una vez creadas las directivas de
grupo,stasdebenquedarvinculadasalosnodosdeActiveDirectorysobrelosquesesuponevanainfluir.Estos
nodos son el sitio, dominio o Unidades Organizativas en el bosque o bosques Active Directory del dominio o
dominiosinvolucrados.
Por tanto, las polticas de directivas de grupo dependen directamente de la forma en que las Unidades
Organizativas estn estructuradas en el Active Directory. Si la arquitectura de las Unidades Organizativas est
optimizada, los problemas y bloqueos que puedan darse en el futuro sern menos que en una estructura que
tiendaasercerradayrestrictiva.
Losejemplostomadosdecasosrealesrevelanladificultadparaanticiparlasmodificacionesfuturasnecesariasen
unaredenconstanteevolucin.EsprcticamenteimposibleconfigurarlaarquitecturadelActiveDirectoryparaser
compatiblecontodoslosescenariosdeevolucinposibles.Deigualmanera,esmuydifcilimaginar,enelmomento
desucreacin,todoslosmotivosqueenelfuturopuedanconduciramodificaciones.
Prestando especial atencin durante la etapa de modificacin de Active Directory, previa a la integracin de las
directivas de grupo, se puede compensar de alguna manera las futuras prdidas de tiempo. Una preparacin
cuidadosa de esta etapa puede evitarnos chocar a posteriori contra los lmites en la implementacin de las
polticasdegrupo.
Cuanto ms se tengan en cuenta las directivas de grupo a la hora de disear la estructura de las Unidades
Organizativas ms posibilidades habr de conseguir los objetivos prefijados. Las GPO pueden ofrecer una
capacidad de administracin muy amplia, pero para ello es imprescindible crear la arquitectura en la que pueda
- 1-
resultareficaz.
Todalaempresadependedelaspolticasdedirectivasdegrupo:laseguridaddelospuestosdetrabajo,elacceso
a los datos y a las configuraciones de los puestos de trabajo y los servidores, el acceso a todo o parte de
Internet, la utilizacin de discos intercambiables o sus restricciones son ejemplos sencillos de lo que se puede
hacerconlasGPO.
De esta forma, es posible gestionar, modificar, restringir, autorizar y auditar todos los aspectos de la red
informtica. Se puede supervisar el conjunto de todas las operaciones desde los puestos de administrador, o
desdelosservidores.
ActiveDirectorycontienelosordenadores,servidores,gruposyusuariosdelared.Cuandodeseedesplegarunao
variaspolticasdedirectivadegrupoensuorganizacin,esimportantellevaracabounaplanificacin.
Establecerunalistacon:lasdirectivasquehayqueponerenfuncionamiento,cmo,paraquin,ayudaracrearla
arquitecturaActiveDirectoryadecuadaparalaredencuestin.
LasredesevolucionanconeltiempoynosiempreesposiblerectificaromodelarelActiveDirectoryexistentepara
darlelaformaideal.Estoscasosocurrenamenudoyexigendelosintervinientesunagranreactividadycapacidad
deadaptacin.NoimportaculsealaformaenqueestconfiguradalaestructuradelActiveDirectory,siemprees
posible implementar las GPO. No obstante, un buen dominio de los principios de funcionamiento del repositorio
ActiveDirectorynospermitirutilizarlasdirectivasdegrupodelamejormaneraposible.
- 2-
Aplicacindelasdirectivassobrelospuestosdetrabajo
Para garantizar el funcionamiento de las GPO en los puestos de los usuarios finales, se deben aplicar segn
ciertasreglasestablecidasyrespetarunajerarquabiendefinida.
Enlaarquitecturadeunared,hayvariosnivelessobrelosquesepuedenaplicarlasdirectivasdegrupo.
El orden de aplicacin es el siguiente: directivas locales, directivas a nivel del sitio web, directivas a nivel del
dominioydirectivasaniveldelasunidadesorganizativas.
EnestelibronoscentraremosenlagestindedirectivasdegrupoenundominioActiveDirectory.Paraestecaso,
elordendeaplicacintieneefectoapartirdelniveldesitioweb.
1.NivelesdeaplicacinenActiveDirectory
PodemosconsiderartresnivelesdeaplicacindiferentesenActiveDirectory:
1Sitio
2Dominio
3UO(UnidadOrganizativa)
GPOactivaaniveldesitio
Las directivas asociadas al nivel de sitio en Active Directory afectan a los usuarios en funcin del lugar de
conexin.
Los usuarios se encuentran definidos en otra parte del Active Directory, pero obtienen los parmetros GPO a
partir de Sitios y Servicios de Active Directory. Para poder reconocer el sitio desde el que los usuarios se
conectan,laaplicacinverificalasubredalaqueperteneceelordenadorenelmomentodeobtenersudireccin
IP.
GPOactivaaniveldedominio
Cuando una directiva est asociada al nivel de dominio, sta afecta a todos los usuarios y ordenadores del
dominio,todaslasUOytodoslossubcontenedoresUO.
GPOactivaaniveldeUO
LasdirectivasaplicadasalniveldeUnidadOrganizativaafectanalosusuariosyordenadorespresentesenlaUO
ascomoalosobjetoscreadosenlasUOhijas.
2.Ordendeaplicacin
Lasdirectivasdegruposeaplicanenelordensiguiente:
1.Directivaslocales
2.Sitio
3.Dominio
4.UO
- 1-
3.Jerarquadeaplicacin
CuandounaGPOestconfiguradaenunlugardelActiveDirectory,losnivelessiguienteso"pordebajo"heredan
losparmetrosdedirectivaprovenientesdelnivelsuperior.
Las directivas tienen un efecto acumulativo siempre que los objetos de directiva modificados no entren en
conflicto.
Los conflictos de directivas se producen cuando dos objetos iguales de directiva se modifican desde dos GPO
diferentes.
En este caso, la directiva ganadora es la ltima que se aplique. Por ejemplo, si una GPO de dominio entra en
conflictoconunaGPOdeUnidadOrganizativa,esladirectivaaniveldeUOlaqueresultaefectiva.Estoesas
tantoparalaconfiguracindelequipocomoparaladelusuario.
- 2-
LasGPOenunentornomultibosque
WindowsServer2003hizoaparecerlanocinderelacionesdeaprobacinmultibosque.Consisteenvincularlos
dominiospadredevariosbosquesquenoestnasociadosentreellosconunarelacindeaprobacin.Unavezse
ha establecido este vnculo, cada dominio hijo de cada uno de los bosques es aprobado automticamente por
dichovnculodeaprobacin.
Parapoderdefinirestosvnculos,losnivelesfuncionalesdelosdominiosdebensercomomnimolosdeWindows
Server2003ylamodalidaddeautentificacindebeextendersealbosque.
Lasdirectivasdegruposecomportandeformaregularenunentornomultibosque.Laconsoladeadministracin
dedirectivasdegrupoGPMCpermiteverlatotalidaddelaestructuradelActiveDirectory.Elprincipiodedelegacin
decontrolotorgaodeniegalosderechosdeadministracinsobreciertasentidadesdelActiveDirectory.Slolos
administradoresquedispongande"superpoderes"puedenintervenirsobretodoslosnivelesdelActiveDirectory,
esdecir,losAdministradoresdedominioydelaempresa.
Los dominios aprobados son visibles y gestionables desde una misma entidad. Las operaciones de creacin, de
modificacinydeaplicacindelasGPOserealizandelamismaformaqueenunaarquitecturaclsica.
Cuandoelmododeautentificacinesselectivo,notodoslosparmetrosseaplicandelamismamanera.Cuando
entra en actividad una GPO que atraviesa una relacin de aprobacin, tan slo los parmetros del equipo se
aplicancomoparmetrosdeusuario.EstefuncionamientosedenominaGroupPolicyLoopbackReplacemode.
- 1-
ActiveDirectory,unaorganizacinhechaparadurar
LaestructuraActiveDirectoryeselpuntodepartidademuchosaspectosdelared.Laaplicacinpermitequeun
servidorseconviertaencontroladordedominio,almacenarlascuentasdeusuarioyordenadoresdelared,as
comolosgruposdeseguridad.Dehecho,estoselementosofrecenlaposibilidaddedefinirlosnivelesdeaccesode
cadausuariosobrelared.
ElprocesodecreacindeunrepositorioActiveDirectoryrequierelapuestaapuntodeunservidorDNS(Domain
NameSystem)promovidoalrangodecontroladordedominio.
Altrminodeestasoperaciones,sepuedebieninstalarobienutilizardirectamentelaconsoladeadministracin
de las directivas de grupo, en funcin de la versin del servidor instalada. Windows Server 2003 requiere la
instalacin manual de la consola de administracin de directivas de grupo. Windows Server 2008 y 2008 R2
instalanestecomponentealmismotiempoqueserealizalapromocindelservidoracontroladordedominio,tras
lainstalacindelsistemaoperativo.
La implementacin de Active Directory proporciona una estructura por defecto para el repositorio, pero
correspondealosadministradoreselcrearsupropiaestructurasegnlasnecesidadesdelaempresa.
La puesta a punto de esta organizacin requiere que se establezca una metodologa slida siempre que los
objetivosperseguidosseanlosdeladensidad,coherenciayestabilidaddeActiveDirectory.
Si se prev implementar una poltica de directivas de grupo desde el momento de la creacin del dominio, es
imprescincibletenerpresentequelasGPOseapoyansobreActiveDirectoryparasufuncionamiento.Cuantomejor
sehayapensadoyorganizadolaestructuradeActiveDirectoryenfuncindelasnecesidadesdelaempresa,ms
acogedoraresultarlapuestaenmarchadelasdirectivasdegrupoqueseprecisen.LaformadeorganizarActive
Directorydependedeltamaodelaempresaydesuorganizacin.
Se recomienda encarecidamente planificar un proyecto de este tipo antes de su arranque, con esto se evitan
numerosascomplicacionesfuturas.
A modo de ilustracin de lo expuesto en esta parte del captulo, vase a continuacin un ejemplo de una
estructuraflexibledeActiveDirectoryparalaintegracindelasdirectivasdegrupo.
1.ModelodeestructuradelasUnidadesOrganizativas
Las estructuras Active Directory varan de una organizacin a otra. A continuacin se ilustra mediante un
esquemaunejemplodemodelodeestructuraampliamenteadaptadaaldesplieguededirectivasdegrupo.
- 1-
Elmodeloendetalle
La estructura Active Directory del modelo presenta las caractersticas de un directorio con muchos objetos. El
dominioEmpresa.localcontienelaUnidadOrganizativadelafilialEspaa,cuyonombreesEmpresa_Espaa.
- 2-
Dentro de la Unidad Organizativa Empresa_Espaa la organizacin sigue una lgica de clasificacin de las
cuentasobjetodeActiveDirectorypordepartamentoyporactividad.
Cada departamento de la empresa posee una Unidad Organizativa que a su vez contiene subcategoras
destinadas a albergar las cuentas de usuario, usuarios externos y los equipos que pertenezcan a ese
departamento.
Existe una Unidad Organizativa especfica para los Grupos, al mismo nivel jerrquico que las Unidades
Organizativasdedepartamentos.
Alaescaladelaempresa
Para entender el inters de una organizacin como sta para el despliegue de las directivas de grupo,
necesitaremosentraraexaminarlasUnidadesOrganizativasdedepartamentos.
Para ello, no debemos olvidar que las directivas de grupo de dominio estn ligadas al dominio, en nuestro
ejemplo,eldominioEmpresa.local.Adems,lasdirectivasdegrupoasociadasnicamentealafilialestnligadas
alcontenedorEmpresa_Espaa.
EstudiemosahoralasUnidadesOrganizativasdelosdepartamentosDireccinyMarketingennuestroejemplo.
Obviamente una empresa tpica tendra ms departamentos que Direccin y Marketing, pero la estructura de
cadacontenedoradicionalseraconformealasdeDireccinoMarketing,segnsemuestraenlafigura.
Comoeslgico,cadadepartamentoposeeparticularidadestcnicasenfuncindesuactividad.Losdiseadores
grficosnotienenlasmismasnecesidadesderecursosdelsistemaquelosmiembrosdelpersonaladministrativo.
Para los usuarios de los diferentes departamentos, las aplicaciones empleadas y los datos a los que acceden
serndiferentes.
Paralosadministradores,laempresayanoesunnicoconjuntoenelquesemezclanlascuentasdeusuarioy
todoslosequipos,sinoqueahoraesunaagrupacindelosdiferentesdepartamentosquelaconstituyen.
Se puede ofrecer a cada departamento la posibilidad de tener en cuenta todas sus particularidades y
necesidadesentrminosdeconfiguracin.
A escala de la empresa, las directivas pueden ser concebidas, personalizadas y desplegadas en funcin de la
actividaddelosusuariosydesupertenenciaaundepartamentodelaempresa.
Dentrodelosdiferentesdepartamentos
EstudiemosahoralaestructuradelasUnidadesOrganizativasquecomponenlosdepartamentos.
Cada departamento se compone de varios contenedores. Las UO de departamento albergan las cuentas de
usuario,lascuentasdeusuariosexternosylascuentasdeequipos.
LaUnidadOrganizativadelascuentasdeequipossedivideendossubcategorasconelobjetivodesepararlos
ordenadoresporttilesdelosordenadoresfijos.
Siendoestoas,seraposibleligardirectivasdegruposdiferentesparalosusuariosdeldepartamentoporuna
parteyporotraparalosusuariosexternosqueaccedanmedianteconexioneslentas.
Del mismo modo se podra aplicar directivas a todos los ordenadores del departamento, nicamente a los
ordenadoresporttiles,obiensolamentealosordenadoresfijos.
La compartimentacin de la estructura de Active Directory es de una gran relevancia en la medida en que, en
parte,condicionalaformaenquesepodrnimplementarlasdirectivasdegrupo.
- 3-
Creacinyciclodevidadeunadirectivadegrupo
1.LocalizacindelasGPO
AntesdeverificarlapresenciadelasdirectivasdegrupoenlaconsolaGPMC,esimportanteconocerquestas
existendentrodelosservidoresdesdesucreacin,yaquelosarchivosqueconstituyenlasdirectivasdegrupo
sealmacenanenvarioslugaresdelosservidorescontroladoresdedominio.
Cadavezquesecreaunanuevadirectivaenlaconsoladeadministracindelasdirectivasdegrupo,sesucede
unasecuenciadeeventos:
SeleasignaalaGPOunidentificadornicoglobalGUID.
SecreauncontenedordedirectivadegrupoGPC(GroupPolicyContainer)enlaparticindedominiode
ActiveDirectory.
Se crea un contenedor de modelos de administracin GPT (Group Policy Template) en el directorio
SYSVOL\PoliciesdelcontroladordedominioemuladorPDC(PrimaryDomainController).
As,unadirectivadegruposeidentificaporelGUIDasignadoenelmomentodesucreacin.UnejemplodeGUI
obtenidoparaunadelasGPOdedominiosera:
EstenmerodeidentificacinnicogarantizalaidentidaddelaGPOeneldominio.
Acontinuacin,ladirectivadegruposedivideendospartesdistintas,losGPCyGPT,quesealmacenanendos
lugaresdiferentesdelcontroladordedominio.
LaGPCsealmacenaenelcontenedorSystem/PoliciesdelActiveDirectory.ParaaccederalcontenedorPolicies
esnecesariomostrarlasfuncionalidadesavanzadasenActiveDirectory.
LasiguienteilustracinmuestraelcontenidodeldirectorioPolicies.SepuedecomprobarquelosdiferentesGPO
aparecenlistadosmostrandoelGUIDqueleshasidoasignadodurantesucreacin,ysuvalorGPC.
- 1-
El GPT de cada GPO se almacena en el directorio SYSVOL\Policies del controlador de dominio principal. Las
directivasselistansiguiendosuidentificadorGUID,comoenelcasodelosGPC.Enlafigura,podemosvisualizar
elGPTdenuestradirectivagraciasasuGUID.
- 2-
2.PermisosyderechosdeaccesoalasGPO
a.CreacindelasGPO
Paracrearunadirectivadegruposedebedisponerdelasautorizacionesnecesarias.
Por defecto, los usuarios o grupos que estn capacitados para crear objetos GPO son los miembros de los
gruposAdministradores,AdministradoresdedominioyAdministradoresdeempresas.
ElgrupoPropietariosdelcreadordedirectivasdegrupoformapartedeunodelosgruposdeseguridadquese
creanpordefectodurantelainstalacindeActiveDirectory.Estegrupopermiteasusmiembrosmodificarlas
directivasdegrupodedominio.
Tras la creacin de la directiva de grupo, el nico usuario que posee las autorizaciones necesarias para su
modificacin (escritura y borrado) es el propietario del objeto. En general este usuario es el creador de la
directiva.
Sinembargo,losadministradoresdeldominioydelaempresatienenpermisosespecficosquelesautorizana
modificar los objetos directiva de grupo sin autorizacin previa de su propietario. Sus derechos sobre la
totalidaddeldominiosonlosmsaltos.
b.Consultarymodificarlasautorizaciones
Lospermisosqueconciernenalasdirectivasdegruposepuedengestionardevariasmaneras.
Los derechos de acceso por defecto se definen al crear la directiva y son consultables y modificables de
diversasformas.
Laconsoladeadministracindedirectivasdegrupopermitemodificarlasautorizacionesdelosobjetosdelas
directivasdegrupodemanerauniformeentrelosdiferenteselementosquelaconstituyen.
EsposiblehacerconsultasespecficassobrelospermisosdeloscontenedoresGPCy/oGPT.
- 3-
Atencin:Microsoftrecomiendautilizarexclusivamentelaconsoladeadministracindedirectivasdegrupopara
modificarlospermisosrelativosaunadirectivadegrupo.Esprcticamenteseguroquecualquiermodificacin
delospermisosefectuadadirectamentesobreloscontenedoresGPCoGPTdeunadirectivaprovoquequesta
dejedefuncionar.
No obstante, siempre es interesante conocer los diferentes mtodos para consultar y modificar los
contenedoresGPCyGPTdeformaindependiente.
c.ElcontenedorPoliciesenActiveDirectory
El contenedor System/Policies del directorio Active Directory almacena los datos de GPC de las diferentes
directivasdegrupodeldominio.
Lospermisosdeestedirectoriopermitenverificarydeterminarquusuariosogruposdeseguridaddisponen
deautorizacionesdeescritura.
Al editar los datos de seguridad de este objeto, se puede ver la presencia de los grupos Administradores,
Administradoresdedominio,AdministradoresdeempresasyPropietariosdelcreadordedirectivadegrupo.
LasiguientefiguramuestralosdatosdeseguridaddelcontenedorPoliciesenActiveDirectory.
LosPropietariosdelcreadordedirectivasdegrupodisponennicamentedederechosdecreacindeobjetos
hijo.EstosderechossobreestedirectoriopermitenalmacenarlaparteGPCdelosobjetosdirectivadegrupo
creadosenelGPMC.
SolamentelosAdministradorestienenposibilidaddemodificarelcontenidodeldirectorio.
d.ElcontenedorGPC
Es posible acceder a los permisos del contenedor GPC desde el directorio Active Directory. Los GPC de las
- 4-
Para esta GPC, slo los administradores de dominio y de la empresa tienen derechos de lectura, escritura y
modificacin.Losusuariosautentificadosposeennicamentederechosdelecturaquelespermitenejecutary
aplicarlos parmetrosdeladirectivasobrelospuestoscliente.
EsposibleaadirosuprimirusuariosygruposdesdelapestaaSeguridad.Esimportanterecordarqueestas
modificacionesnosereplicansobreelobjetoGPTcorrespondiente.
e.ElcontenedorGPT
Laconsultadelospermisossebasaenlosmtodoshabitualesdemodificacindelasautorizacionesparala
comparticin de archivos. As, el contenedor GPT es uno ms de los subdirectorios del recurso compartido
SYSVOLdeloscontroladoresdedominioyfuncionadelamismamaneraqueundirectorionormal.Esposible
editarlaspropiedadesdeldirectorioyconsultaromodificarlosdatosdeseguridad.
LafiguramuestralospermisosdelGPTdenuestradirectivadegrupo.
- 5-
3.SincronizacindeloselementosGPCyGPT
LoselementosGPCyGPTsonlasdospartesquecomponenunadirectivadegrupo.
LaparteGPCdeladirectivaemplealareplicacinActiveDirectorymientrasquelaparteGPTutilizalareplicacin
FRS(FileReplicationSystem).
LasdirectivasdegrupoaplicadasaWindows2000ylasqueseaplicanaWindowsXP,Vistao7notienenen
cuentalosmismosparmetrosdesincronizacinparaloselementosGPCyGPT.
Cada objeto directiva de grupo posee un nmero de versin. Este nmero de versin se incrementa con cada
actualizacindeladirectivadegrupo.
ElsistemaoperativoWindows2000presentaciertoslmitesalnoaplicarlasGPOhastaquelosdoselementos
GPCyGPTestnsincronizadosyutilizanelmismonmerodeversin.
Como consecuencia, es imprescindible que los dos sistemas de replicacin (Active Directory y FRS) estn
funcionandoylohagandeformacoordinadaparaquelasdirectivasdegruposeapliquencorrectamentesobre
lospuestosclientequeejecutenWindows2000.
Los equipos con XP, Vista y 7 funcionan de manera diferente. Si la replicacin Active Directory no est
programadaalmismotiempoquelareplicacinFRS,losdatosGPCyGPTdeloscontroladoresdedominiopodran
nocorresponderseduranteelintervalodetiempoentrelasdosreplicaciones.
EstefenmenonoimpideeltratamientodelasdirectivassobrelosequiposclienteconXP,Vistay7,yaqueson
capacesdeaplicarlosparmetroscontenidosenelGPCyenelGPTauncuandosusnmerosdeversinnose
correspondan.Cuandolasdiferentesreplicacioneshanactualizadolosmltiplescontroladoresdedominioylos
nmerosdeversinhancambiado,WindowsdetectalasmodificacionesrealizadasenlaGPOyaplicalosnuevos
parmetrosdeconfiguracin.
- 6-
LosnmerosdeversinseguardanencachenWindowsysirvencomoreferenciaparalasmodificacionesde
los parmetros de directiva. En el momento de la aplicacin de una directiva de grupo, un nmero de versin
idnticoaldelacachserindicativodequenoseharealizadoningunamodificacinsobrelaGPO.Enesecaso,
elequiponoaplicalaGPO,yaquelosltimosparmetrosaplicadostodavasonvlidos.
Unnmerodeversindiferenteindicaalequipoquesehanrealizadocambiossobreladirectivayesnecesario
descargarlosyaplicarlos.
En los puestos cliente de red, los nmeros de versin son indispensables para sealar las modificaciones
llevadasacabosobrelasdirectivasdegrupo.
Microsoftexigeciertascondicionesparaasegurarunfuncionamientoyaplicacincontodaslasgarantasdelas
directivasdegruposobrelospuestosdetrabajo:
Los elementos GPC y GPT de una misma directiva deben estar presentes en los controladores de
dominiosobrelosqueseautentifiquenlosequipos.
Si el nmero de versin registrado en la directiva de grupo es diferente del que se conserva en el
registro de la cach del puesto de trabajo, Windows considera que la directiva ha sido actualizada y
procedearealizarsuprocesamiento.
Windows2000noescapazdeprocesarunaGPOquecontengaelementosGPCyGPTcuyosnmeros
deversinnoseancoincidentes,mientrasqueWindowsXP,Vistay7sposeenestacapacidad.
- 7-
Procesodeaplicacindelasdirectivas
1.ComprendercmoseaplicanlasGPO
Lasdirectivasdegrupoestnsujetasasuparticularciclodeprocesamiento.Hayunciertonmerodeeventos
que se suceden desde la creacin de una GPO hasta que sus efectos se hacen visibles sobre un puesto de
trabajo.
EllugardealmacenamientodelasGPO,lapartequelasvinculaaActiveDirectoryyelcaminoquesiguenhasta
llegar a aplicarse sobre un puesto de trabajo son elementos constitutivos del funcionamiento general de las
directivasdegrupo.
CuandosecreaomodificaunaGPO,stanoseaplicainmediatamentesobrelospuestosdeloscontenedores
ActiveDirectoryalosqueestligada.
LosequiposclientelanzanpeticionesvariasvecesaldaconelobjetivodeobtenerlosparmetrosdeGPOque
lesestndestinados,procesarlosyaplicarlos.YlasGPOsedistribuyenenmomentosconcretos,segncriterios
quepuedenvariar.
SegnlasversionesdeWindowsempleadasenunentorno(Windows2000,XP,Vista,7,WindowsServer2003,
2008y2008R2),losprocesosdeaplicacinyrecuperacindelasGPOsondiferentes,porloquelosmecanismos
deaplicacinpuedenprestarseaconfusin.
Las reglas de aplicacin de las GPO respetan una metodologa estricta y estn definidas por paramtros
registrados por defecto. No obstante, es posible modificar ciertos aspectos de este proceso. Los tiempos de
esperaentrelosciclosdeaplicacindelasdirectivasdegrupopuedenacortarse,ysepuedenutilizarlosfiltros
WMI(WindowsManagementInstrumentation)parafiltrarlosequiposobjetivodeacuerdoacondicionesprecisas.
Las directivas de grupo pueden, a su vez, atravesar los bosques en los entornos multibosque. Es importante
analizarlasposibilidadesdemodificacinquesenosofrecen.
En esta parte del captulo, abordaremos los principios de aplicacin de las directivas de grupo, los diferentes
escenarios,yprofundizaremosenlacomprensindelacadenadeeventosdesdelacreacindelaGPOhastasu
difusinaunpuestodetrabajo.
2.PrincipiosgeneralesdeaplicacindelasGPO
EsimportanterecordarquelasGPOfuncionandelamanerasiguiente:
Creacindeladirectivaenelservidor.
Peticindeobtencindelosparmetrosdeladirectivadesdeelpuestodetrabajo.
En ningn caso es posible forzar la aplicacin de las GPO sobre los puestos cliente desde el servidor sin la
intervencindeterceraspartes.
a.Procesodeaplicacin
Aplicacininicialenlaaperturadelasesin
LasversionesWindows2000,WindowsServer2003,WindowsServer2008y2008R2obtienenlosparmetros
dedirectivaenelmomentodelaaperturadelasesin.
Aplicacinensegundoplanoparalosequiposmiembrosdeldominio
LasversionesWindows2000,WindowsServer2003,WindowsServer2008y 2008R2,XP,Vistay7obtienen
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
losparmetrosdedirectivaaproximadamente90minutosdespusdelaaperturadelasesin.
Esteparmetrosepuedemodificaratravsdeunadirectivadegrupo.
Aplicacinensegundoplanoparaloscontroladoresdedominio
Loscontroladoresdedominioobtienenlosparmetrosdedirectivacada5 minutos,unavezsehaefectuadola
replicacinActiveDirectory.
Aplicacindelasdirectivasdeseguridad
Losparmetrosdeseguridadseaplicancada16horasindependientementedelaversindeWindows.Sinose
efectaningunamodificacinsobrelosparmetrosdeseguridad,elintervalodetiempoparalaaplicacinde
directivassemantiene.
Atencin:cuandosemueveunequipoounusuariodeunaUnidadOrganizativaaotra,losprocesos
de aplicacin de GPO no se activan en tiempo real. Active Directory requiere un margen de tiempo
antesdedetectarlasmodificacionesyaplicarlas.
Es posible identificar varias categoras bsicas de "tipo de comportamiento" en cuanto a los principios de
aplicacindelasdirectivasdegrupo.Estascategorasseestablecenenfuncindelsistemaoperativoydela
formaenlaquestetieneprogramadalaobtencindelasGPO.
Los comportamientos relativos a la aplicacin de las directivas de grupo han evolucionado desde Windows
2000. Sin embargo, el funcionamiento en Windows 2000 ha inspirado el de las versiones posteriores de
Windows.
ParacomprendermejorlaformaenqueseaplicanlasGPOactualmente,resultainteresanterepasaralgunos
conceptosbsicosdeWindows2000.
b.ProcesodeaplicacininicialparalasversionesWindows2000,Server2003,Server2008y
2008R2
Las directivas de grupo se dividen en dos partes bien diferenciadas, la configuracin del equipo y la
configuracindelusuario.
La configuracin del equipo se aplica en el arranque de la mquina, antes de que se solicite la apertura de
sesin.
Losprrafossiguientesdescribenelordendelasoperacionesdesdeelarranquedelequipohastalapeticin
deaperturadelasesindeusuario.
Enelmomentodelarranquedelequipo,serealizaunapeticinDNS(DomainNameSystem)paraencontrarel
nombredeuncontroladordedominiosobreelqueelequipopuedaautentificarse.
Unavezsehaencontradoelcontroladordedominio,steindicaalequipoculeselsitioActiveDirectoryalque
pertenece,enqudominioestautentificadoy,finalmente,enquUnidadOrganizativaestalmacenado.
Laconfiguracindelequiposeobtieneenesteorden,antesdelapeticindeaperturadesesin.
Unavezsehaaplicadoladirectiva,semuestralaventana[Ctrl][Alt][Supr].
DespusdequelaautentificacindelusuariohayasidovalidadaporActiveDirectory,lapartedeconfiguracin
deusuariodelaGPOseobtienesiguiendoelmismoordenqueantes:Sitio,DominioyUnidadOrganizativa.
- 2-
Recordatorio:enelcaptuloIntroduccinyasehatratadoelordendeaplicacindelasGPO,quees
Sitio,DominioyUnidadOrganizativa.
TodaslasGPOdeusuarioqueafectenalclienteactualseaplicanenestemomento.Elescritoriodelusuariose
muestranicamentedespusdeesteproceso.
ElordendelprocedimientodeaplicacindelasGPO:Sitio,DominioyUOsedenominaprocesosincronizado.
c.ProcesodeaplicacininicialparalasversionesWindowsXPyVista
Enelsiguientecaso,supondremosqueelpuestodetrabajoacabadeintegrarseeneldominio.Eslaprimera
vezquelacuentadeequipoylacuentadeusuariovanaautentificarseeneldominio.
ElprocesodeaplicacindelasGPOseguirlospasosdelprocesosincronizado,descritoenlaseccinanterior.
En el arranque del equipo, las configuraciones del equipo se aplican antes de la apertura de la sesin y las
configuracionesdeusuariodespusdelaaperturadesesin,justoantesdequesemuestreelescritorio.El
ordendeaplicacinSitio,DominioyUnidadOrganizativasemantiene.
Paraelcasodeequiposyaactivoseneldominio,elprocedimientodeaplicacindelasdirectivasdegrupoes
diferente.
Tras cada intervalo de 90 minutos transcurrido, comenzando el primero tras la apertura de la sesin, se
descarganlasGPOyseaplicanensegundoplano,hastaelcierredelasesin.
LossistemasWindowsXP,Vistay7conservanlosltimosparmetrosdeladirectivadeequipoutilizadaylos
aplicandesdeelmomentodelarranquedelosequipos,inclusosilaredtodavanohasidodetectada.Cuando
aparecelaventanadecomando[Ctrl][Alt][Supr],todaslasnuevasdirectivasdegruposedescargansobreel
equipoparaseraplicadasalgomstarde,traslaaperturadelasesin.
Unavezsehaautentificadoalusuario,losnuevoselementosolasmodificacionestodavanoestnactivos.
Microsoft decidi configurar los sistemas XP, Vista y 7 de esta manera para reducir el tiempo de espera. El
arranque del equipo y la apertura de la sesin de usuario son ms rpidos puesto que emplean las ltimas
GPOutilizadas,mostrandoasuncomportamientosimilaraunacach.
EstoquieredecirquelasGPOseaplicandeformaasncronaparalosentornosXP,Vistay7.
Existen, sin embargo, particularidades, como los parmetros de seguridad y las plantillas de administracin
(archivosqueactualizanelregistro),quesedescarganyaplicanalgunosminutosdespusdelaautentificacin
delusuario.
EnterminologadeMicrosoftestaformadeprocedersedenominaFastBoot.
Para evitar confusiones, veamos un resumen de las etapas del proceso de aplicacin de las GPO en los
entornosXP,Vistay7:
Primerarranque:
Primer arranque del equipo tras su integracin en el dominio: aplicacin de los parmetros de la
directivadeequipodeformasincronizada.
Primerlogondelusuarioeneldominio:aplicacindelosparmetrosdeladirectivadeusuariodeforma
sincronizada.
Paraelrestodelosarranques:
A partir del segundo arranque del equipo en el dominio: aplicacin de los ltimos parmetros de
directivadeequipoempleadosantesdeladeteccindelared(procedimientodepuestaencach).
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 3-
Apartirdelasegundaautentificacindelusuarioeneldominio:descargadelosnuevosparmetrosde
directivayaplicacindeformaasncrona.
d.ElFastBoot
ElFastBootpermiteganartiempoduranteelarranquedelequipoylaaperturadelasesindeusuario,pero
tambinconllevaalgunasdesventajas.
La aplicacin de las GPO de forma asncrona significa que los cambios no son visibles en tiempo real. Varios
tipos de modificaciones requieren que se rearranque el equipo para que los cambios surtan efecto. En
ocasionespuedesernecesarioreiniciarelequipovariasvecesparaalgunostiposespecficosdemodificaciones
(desplieguedesoftwareyredireccindedirectorios).Eltiempoganadoenelarranquequedalastradoporlos
reiniciosquerequiereesetipodemodificaciones.
LasmodificacionesdelasGPOdeusuariotambinrequierenrenovarlaaperturadesesin,yestounaodos
vecesenfuncindeloscambios(directorioHome,scriptsdeaperturadesesin,perfilesitinerantes).
Se puede desactivar el Fast Boot en los equipos Windows XP, Vista y 7 para que se comporten de la misma
forma que los entornos Windows 2000, Server 2003, 2008 y 2008 R2 (aplicacin de las GPO de forma
sincronizada).
Con ello se perdern los ahorros de tiempo durante el arranque del puesto y durante la
autentificacin del usuario. Microsoft, sin embargo, recomienda esta forma de proceder ya que se
facilitaladeteccindeerroresysuresolucin.
Para desactivar el Fast Boot y forzar la aplicacin de las GPO de forma sincronizada es preciso crear una
directivadegrupo.
Una directiva de ese tipo obligar a los equipos a detectar y descargar las GPO y a aplicarlas antes del
comandodeaperturadesesin[Ctrl][Alt][Supr].
3.AplicarlasGPOmanualmente
Paracasosdeurgenciaenlosquenohaytiempoparaesperaraquelasmodificacionesdealgunosparmetros
dedirectivassurtanefectoporsuspropiosmecanismos,esposibleemplearcomandosquepermitenforzarlas
directivasdegruposobrelospuestoscliente.
Enestecasoseestobligadoaestarfsicamenteanteelpuestoafectadoporlasmodificacionesurgentes.
Estapartedelcaptuloenumeraloscomandos,ascomolasaccionescorrespondientes.
Para poder ejecutar los comandos que sirven para forzar las GPO es imprescindible disponer de derechos de
administracinsobreelequipo.
LoscomandosseenvandesdelaventanadeedicindecomandosDOS(Inicio/Ejecutar/cmd.exe).
a.ComandosdeWindows2000
Secedit /refreshpolicy user_policy
Estecomandoactualizalasdirectivasdelusuarioencurso.
Secedit /refreshpolicy machine_policy
Estecomandoactualizalasdirectivasdelequipoencurso.
- 4-
b.ComandosdeWindowsXPyversionessiguientes
Gpupdate
Estecomandoactualizaconsecutivamentelasdirectivasdelusuarioydelequipoencurso.
Gpupdate /Target:Computer
Estecomandoactualizalasdirectivasdelequipoencurso.
Gpupdate /Target:User
Estecomandoactualizalasdirectivasdelusuarioencurso.
Gpupdate /Logoff
Estecomandopermiteverificarsilosparmetrosdedirectivasmodificadasrequierenuna
reaperturadelasesindeusuarioparasurtirefecto.
Gpupdate /Boot
Estecomandopermiteverificarsilosparmetrosdedirectivasmodificadasrequierenun
rearranquedelequipoparasurtirefecto.
4.ForzarlasGPO
HayunamaneradeforzarlasGPOparaqueseapliquenlosparmetrossintenerqueesperarlosintervalosde
actualizacindeActiveDirectory(cada16 horas).
a.EntornoWindows2000
Secedit /refreshpolicy user_policy /enforce
FuerzalaaplicacindeunaGPOparalaparteusuario.
Secedit /refreshpolicy machine_policy /enforce
Fuerzalaaplicacindelosparmetrosdelnodoconfiguracindeequipo.
b.EntornoWindowsXPysuperiores
GPUPDATE /FORCE
FuerzalaaplicacindeparmetrosparalosnodosEquiposyUsuarios.
Cuando un objeto al que se aplica una GPO se transfiere de una Unidad Organizativa a otra, ste
continuaaplicandolasdirectivasligadasasuantiguaUOduranteunperiodode30minutos.Aesto
hay que aadir el tiempo de replicacin de Active Directory si el objeto est sobre un sitio remoto. El
comando GPUPDATE /FORCE obtiene inmediatamente los parmetros de directiva de la nueva Unidad
Organizativa.
- 5-
Aplicacincuandointervienenconexionesremotasyenlaces
lentos
Este captulo aplica, por ejemplo, al caso de un usuario itinerante. Supongamos un vendedor que tiene que
desplazarse con frecuencia por razones profesionales. Dispone de un ordenador porttil y una conexin VPN
(Virtual Private Network) que le permite acceder a la red interna de la empresa a partir de cualquier conexin a
Internet.
DurantesusdesplazamientosfueradelareddelaempresautilizaelaccesoVPNparaconectarsedeformaremota
alosservidores.SeautentificaenActiveDirectoryypuedeaccederalosdatosdelaredyutilizarlamensajera
Exchange.
TodaslasversionesdeWindowsrealizanunadeteccindelavelocidaddelasconexionesderedydeterminana
partirdelresultadosilasdirectivasdegrupopuedendescargarseono.
SegnsealaversindeWindowsinstalada,estadeteccinsehacedeformadiferente,losprotocolosempleados
nosonlosmismos,porloquelosresultadospuedenvariar.
Lossubapartadoscontenidosenestaseccinpresentanlasdiferentesformasdedetectarlasconexioneslentasy
describenlassituacionesquepuedenproducirsesegnelescenariodepartida.
1.DeteccindeconexioneslentasenWindows
a.Windows2000yXP
LosequiposconWindows2000yXPqueutilicenTCP/IPparaconectarsealservicioRAS(RemoteAccessService)
estnprogramadosparadescargarlasGPOapartirdeunavelocidadde500kbps(kilobitsporsegundo).
Windows2000yXPempleanelprotocoloICMP(InternetControlMessageProtocol)paradetectarlavelocidadde
conexin entre el puesto de trabajo y la red remota. ICMP emplea el sistema de ping para averiguar la
velocidad de la conexin. Es frecuente que los administradores tengan este protocolo desactivado en la
configuracindelosfirewalls.Sielprotocoloestdesactivado,los controladoresdedominionorespondenyla
descargadelasGPOsecancelaautomticamente.
b.WindowsVista
WindowsVistacuentaconotrossistemasdedeteccindeconexioneslentas,elprotocoloNLAoNLA2(Network
LocationAwareness).
NLAdetectainicialmentesilaconexineslentaonosinemplearelprotocoloICMP.
En un segundo paso, el protocolo NLA enva una peticin para encontrar un controlador de dominio. Si la
respuestaespositiva,lasdirectivasdegruposedescargan,encasocontrario,nosedescargan.
c.Parmetrosaplicadosatravsdeconexioneslentas
Si la deteccin de la velocidad de conexin da como resultado que sta es adecuada, slo una parte de las
directivasdegruposeraplicadasobrelospuestosdetrabajoremotos.
Noobstante,silavelocidaddeconexinesconsideradademasiadolenta,todavaseaplicaunapartedelas
directivas.
Heaqulalistadeloselementosdescargadossinimportarculsealavelocidaddelaconexinremota:
Parmetrosderegistro
- 1-
Parmetrosdeseguridad
Parmetrosderestriccindesoftware(paralasversionesXPysuperiores)
ParmetrosdeobtencindearchivosEFS(EncryptingFileSystem)
ParmetrosIPSec
Plantillasdeadministracin
GPOdepreferencias
Cuandosedetectaunaconexinlenta,lossiguienteselementospuedenaplicarseapesardetodo,peroesto
precisadeunaconfiguracinparticular.Heaqulalistadelosparmetrosaplicablesopcionalmenteparaelcaso
deunaconexinalaredlenta:
Configuracininalmbrica
ProgramadordepaquetesQoS
AsignacionesdezonadeInternetExplorer
MantenimientodeIE
WindowsSearch
Directivadegrupo802.3
ArchivossinconexindeMicrosoft
La aplicacin de las directivas de grupo depende del tipo de conexin remota empleada. Los parmetros de
seguridad y las plantillas de administracin de la configuracin del equipo se aplican despus de la
autentificacin del usuario cuando la conexin RAS empleada se haya establecido antes de la apertura de la
sesin(authentificacindialup).
Cuando la conexin RAS se efecta tras la autentificacin del usuario (VPN), los parmetros de directiva se
aplicanentre90a120minutosdespusdelaaperturadesesin.
Es posible modificar la velocidad mnima a partir de la que se aplicarn estas directivas. La velocidad por
defecto est establecida en 500 kpbs pero puede aumentarse o disminuirse de manera independiente de la
configuracindeequipoyusuario.
- 2-
Conclusinycomentarios
ActiveDirectoryylasdirectivasdegrupotrabajanenestrechacolaboracin.Estecaptulohacentradosuatencin
sobrelaimplementacindeunainfraestructurabasadasobreeldesplieguedeGPO.Conocerytenerencuentala
formaenqueseefectaelprocesamientodelasdirectivas,yaseaenlosservidoresoenlospuestosdetrabajo,
facilitalapuestaapuntodeunainfraestructuracompatibleconlasdirectivasdegrupo.
ComprenderyasimilarlaimportanciadelainfraestructuraActiveDirectorypermitepreparareldesplieguedelas
directivasdegrupoenlasmejorescondiciones.Laintegracindelprocesodeaplicacindelasdirectivasdegrupo
permite extender la facultad de identificar y detectar errores, as como malfuncionamientos que aparecen en
produccin.
LapartedeestecaptulodedicadaaActiveDirectorypreparayfacilitalacomprensindelcaptuloAdministrarlas
directivas con la consola GPMC 2.0 Administrar y gestionar las GPO. Efectivamente, dominar las diferentes
opcionesdisponiblesenlaconsoladeadministracindelasdirectivasdegrupoesunrecursofundamentalpara
garantizar el funcionamiento de las directivas de grupo. No obstante, despus de una breve exploracin de la
consolaGPMC,nospodemosdarcuentarpidamentedequetodalainterfazgrficaseapoyadirectamentesobre
laaplicacinUsuariosyequiposdeActiveDirectory.
Cuando la estructura Active Directory est implementada en conformidad con lo esperado en materia de
desplieguededirectivasdegrupo,yanosehacenecesariovolveratrsunaveziniciadoeltrabajoconlaconsola
de administracin de directivas de grupo. Es posible arrancar inmediatamente la puesta en marcha de las
directivasmsadecuadasparalaorganizacinquenosplanteemoscomoobjetivo.
Laimplementacindelasdirectivasdegrupopermitecentralizarlasconfiguracionesdelosdiferenteselementos
delospuestosdetrabajodelaempresa.
EncuantoUd.pongalasdirectivasdegrupoenfuncionamientosobrelared,severconfrontadoconproblemase
incidenciasligadasastas.Conunbuendominiodelprocesodeaplicacindispondrdeloselementosnecesarios
para realizar un anlisis eficaz de las causas de un mal funcionamiento. Le resultar ms fcil orientar sus
bsquedasenlabuenadireccinyresolverrpidamentelosproblemas.
- 1-
Introduccin
Con objeto de gestionar las directivas de grupo en un entorno Windows Server 2008 y 2008 R2, Microsoft
incorporalaconsoladeadministracindedirectivasdegrupooGPMC.Estaherramientaaparecialmismotiempo
que Windows Server 2003 ofreciendo un enfoque novedoso para su tiempo. Ha permitido el desarrollo de
directivasdegrupoenlaempresadeformaacentuada.LosservidoresinstaladosconWindows 2000obligabana
conocerelemplazamientoexactodeunadirectivaenActiveDirectoryparapodermodificarla.Desdesullegadacon
Server2003,laconsoladeadministracindedirectivasdegrupopermitelacentralizacindelosdatosrelativosa
lasGPOqueanteriormenteestabandiseminadosatravsdelared.
EstecaptulopresentadeformadetalladalanuevaconsoladeadministracindedirectivasdegrupodeWindows
Server2008y2008R2,conocidacomoGPMC 2.0.
Encomparacinconlasversionesprecedentes,laadministracindelasdirectivasdegrupoparecesimplificarseen
Server 2008 y 2008 R2. Efectivamente, la consola de administracin de directivas de grupo necesitaba
anteriormenteunadescargaeinstalacinmanualsobrelosservidoresolospuestosdetrabajodeladministrador
y gestor de las directivas de grupo. Recientemente, Microsoft ha elegido incorporar la GPMC 2.0 en las ltimas
versionesdeWindowsServer:2008y2008R2.
Podemos considerar la consola de administracin de directivas de grupo como el punto de acceso que permite
entrarenmateriasobreeltemadelasdirectivasdegrupo.
LainterfazdelaaplicacinsepresentabajolaformadeunaconsolaMMC(MicrosoftManagementConsole)clsica.
Una parte de la interfaz grfica de GPMC se basa en la aplicacin de administracin de objetos Active Directory
(UsuariosyEquiposActiveDirectory).Entrelasventajasdelaconsoladeadministracindedirectivasdegrupo,se
puedencitarlaeficienciayelniveldeeficaciadelaadministracindelasGPO,ascomoelaltoniveldecontrolde
estasltimasdentrodeldominio.
Paracomenzar,descubriremoslaherramientaGPMC2.0,abordandoacontinuacinsusfuncionalidadesascomo
sus novedades. Nuestro recorrido nos llevar a manipular las diferentes opciones disponibles en la GPMC y a
explicarsupapelascomosuimportancia.
- 1-
AdministrarygestionarlasGPO
La administracin de las directivas de grupo dentro de una infraestructura Microsoft representa uno de los ejes
principalesdelagestinydelmantenimientodelaarquitecturadelared.Eldesplieguemasivodelasdirectivasde
grupotienemuchasconsecuencias.Efectivamente,latotalidaddelacadenainformticaestimpactada,desdelos
servidores hasta los puestos de trabajo. Son varios los medios de que se dispone para realizar las tareas de
administracinrelativasalasdirectivasdegrupo.
Unodelosmtodosquesepuedenplanteareslaconexindirectaaunodeloscontroladoresdedominiodered.
EnestecasoesposiblecrearygestionarlasdirectivasapartirdelaGPMCinstaladaenellos.
Es perfectamente posible explotar los puestos de trabajo con XP o Vista instalado para administrar la red de la
misma forma. Si los administradores eligen emplear este mtodo, se debe tener en cuenta cierto nmero de
prerrequisitostcnicos.
La consola de administracin de directivas de grupo es una herramienta nativa de los sistemas operativos
WindowsServer2008y2008R2.Noseprecisaningunainstalacinadicionalcuandoseempleauncontroladorde
dominiobajoServer2008o2008R2paraadministrarogestionarlasdirectivasdegrupo.
SiseadministranlosservidoresapartirdepuestosconVistao7,esnecesarioinstalarelServicePack1ascomo
elpackRSAT(RemoteServerAdministrationTool),queestdisponibleparasudescargaenelsitiodeMicrosoft.
WindowsVistadisponedeformanativadelaconsolaGPMC,perostadesaparecetraslainstalacindel
ServicePack1.
ParaWindows7esnecesariodescargarelpackRSAT,aligualqueparaWindowsVista.Elpackestdisponibleen
la
direccin:
http://www.microsoft.com/downloads/eses/details.aspx?familyid=7d2f6ad7656b4313a005
4e344e43997d
Windows7debeestarenlaversinSP1parapoderinstalarelpackRSAT.
- 1-
AdministrarlasGPOconlaconsoladeadministracinde
directivasdegrupoGPMC2.0
1.ImplementarlaconsolaGPMC2.0
Segn la versin de Windows Server que est instalada en los controladores de dominio, la utilizacin de la
GPMCestsujetaacondiciones.
Los servidores sobre Windows Server 2008 y 2008 R2 edicin Estndar requieren la instalacin de la
funcionalidadAdministracindedirectivasdegrupo.
LosservidoresquecuentenconlaversionEnterprisedeWindowsServer2008y2008R2puedensacarpartido
delaconsoladeadministracindedirectivasdegrupodesdelapromocindelservidoralrangodecontrolador
dedominio.
a.InstalacindelafuncionalidadAdministracindedirectivasdegrupo
La instalacin de nuevas funcionalidades puede hacerse desde la aplicacin Administrador del servidor de
WindowsServer2008y2008R2.
UnavezenelAdministradordelservidor,siteseenelnivelResumendecaractersticasydespus
hagaclicenAgregarcaractersticas.
Acontinuacin,escojalacaractersticaAdministracindedirectivasdegrupo.
- 1-
HagaclicenSiguiente.
Laconsoladeadministracindedirectivasdegrupoestahorainstaladasobreelservidor.
Para abrir la GPMC, vaya al men Inicio Herramientas administrativas Administracin de
directivasdegrupo.
2.FuncionalidadesdelaconsolaGPMC2.0
a.Creacinymodificacindedirectivasdegrupo
La totalidad de las directivas de grupo del dominio se almacena en el contenedor Objetos de directiva de
grupo de la consola de administracin de las directivas de grupo. Hay dos directivas por defecto creadas al
mismo tiempo que el directorio base de Active Directory: las directivas Default Domain Controllers Policy y
Default Domain Policy. stas se aplican sobre los controladores de dominio y sobre el dominio,
respectivamente.
TraslaaperturadelaconsolaGPMC,esinteresanteanalizarsuarquitectura.Laestructuraenrboltienecomo
nivelrazeldelbosqueActiveDirectory,siguiendoconelniveldedominio.LaestructuradelaconsolaGPMCes
idnticaaladelaconsolaUsuariosyEquiposActiveDirectory,salvoporloscontenedoresBuiltin,Computersy
Users, que no son Unidades Organizativas y por tanto no se les puede asociar directivas de grupo. Los
directorios suplementarios como Objetos de directiva de grupo, Filtros WMI,GPO de inicio tan slo estn
disponiblesenlaconsoladeadministracindedirectivasdegrupo.
CreacindelaprimeraGPO
En este momento, estamos preparados para crear la primera directiva de grupo del dominio Empresa, que
pertenecealbosqueEmpresa.local.
Para crear una nueva directiva de grupo, despliegue el men contextual sobre la parte vaca del
contenedorObjetosdedirectivadegrupoyseleccioneNuevo.
- 2-
Leaparecerunaventanasolicitandounnombreparaladirectiva.Estepasoesesencialporqueelnombrees
partedelosdatosdeidentificacinenlareddelosobjetosdedirectiva.Nodebepasarseporaltoestepaso,
cuya utilidad se pone de manifiesto en las redes que contienen un gran nmero de GPO. Cuando se quiere
identificar una directiva rpidamente, el nombre dado al objeto constituye uno de los primeros criterios de
bsqueda.
Introduzcaunnombreparaladirectiva.
HagaclicenAceptarparacrearlanuevaGPO.
Una vez creado el nuevo objeto de directiva, aparece una GPO disponible en el contenedor Objetos de
directiva de grupo. Sin embargo, su contenido est vaco ya que todava no se ha modificado ningn
parmetroenestadirectiva.
En este momento es necesario editar el objeto y modificarlo en funcin de las tareas que la directiva deba
cumplir.Parafacilitarlacomprensindeestelibroseilustrarelcasosimplificadoenquesemodificaunnico
parmetro,pormsqueenuncasomsgeneralunasoladirectivapuedecubrirvariasfunciones.
Msadelanteenunsegundoejemplocompletaremosladirectivamodificandovarioscriterios.
Paraeditarladirectiva,despliegueelmencontextualdelaPrimeradirectivadegrupoyescojala
opcinEditar.
- 3-
Al escogerEditar aparece una nueva consola:Editor de administracin de directivas de grupo. Este editor
permiteaccederalosparmetrosdeconfiguracindelasdirectivasdegrupoysumodificacindeacuerdoalas
necesidadesidentificadas.
El editor de administracin de directivas de grupo se presenta bajo la forma de una consola MMC. No hay
ningunaformaalternativadeefectuarlasdiferentesconfiguracionesdelasdirectivasdegrupo.
- 4-
equipo.
Enlaparteizquierdadeleditor,despliegueelmenjerrquicodelnodoConfiguracindelequipo.
Seleccione el directorio en la ruta Directivas Configuracin de Windows Configuracin de
seguridadDirectivaslocalesDirectivadeauditora.
Enlapartederecha,hagadobleclicenAuditarlaadministracindecuentas.
De entre las opciones disponibles, seleccione Definir esta configuracin de directiva, Correcto y
Error.
- 5-
HagaclicenAceptar.
En este ejemplo, la directiva Primera directiva de grupo contiene un nico parmetro modificado. Esta
directiva se aplicar sobre las diferentes operaciones hechas sobre las cuentas de equipo o de usuarios
(modificacin de una contrasea, asignacin de derechos de administrador a una cuenta local...) que, en
adelante,sernauditadas.Estaauditoraestactivatantoencasodexitocomodefracaso.
Para hacer el ejemplo ms prximo a uno real (mltiples parmetros), podemos completar el objeto GPO
Primeradirectivadegrupodelasiguienteforma.
Vuelva al Editor de administracin de directivas de grupo al nivel Configuracin del equipo
Directivas Configuracin de Windows Configuracin de seguridad Directivas locales
Directivadeauditora.
DefinalosparmetrosaincluirenlaGPOyconfigrelos.Puedetomarcomoejemploelparmetrode
directivaAuditareventosdeiniciodesesin.
- 6-
Con el parmetro Auditar eventos de inicio de sesin activado, los administradores podrn supervisar qu
usuariossehanautentificadosobreunequipoconosinxito.
Tomemoselejemplodelmtododesecurizacindelascontraseas.Estaconfiguracingeneralmenteesparte
de las modificaciones de parmetros de la Default Domain Policy. En apariencia es sencilla, sin embargo esta
operacinoriginageneralmentenumerososincidentesparaelequipodesoportetcnico.Elhechodeteneren
cuentavariosparmetrosalmismotiempoparaunmismoobjetopuedeconvertirseenunafuentedeconfusin
paraalgunosusuarios.
Enestaseccindelcaptulo,hemoscreadoymodificadounobjetoGPO.
Estaoperacinessiempreidnticaparacualquiertipodedirectivacreadaeneldominio.Lasnecesidadesdesu
empresalellevarnamodificarlosdiferentesparmetrosdedirectivacontenidosenlasnumerosascategoras
delEditordeadministracindedirectivadegrupo.
b.Vincularobjetosdirectivadegrupo
Paraqueunadirectivadegrupoestoperativa,debedesplegarsesobrelaredparaquelospuestosclientela
puedanprocesaryaplicar.
UnavezlaGPOestconfiguradayactiva,esnecesariovincularlaalniveldeseado(Sitio,DominiooUO)para
ponerlaenfuncionamiento.
Hay varios mtodos para vincular una GPO a uno de los niveles Sitio, Dominio o Unidad Organizativa.
DetallaremosacontinuacinelmtodoclsicodeenlazarunanuevadirectivaaunaUnidadOrganizativa.
- 7-
Antesdeempezarconlospasosparaenlazarladirectiva,esprecisodecidiraquUnidadOrganizativasela
quiereasignar.Ennuestroejemplo,emplearemoslaUnidadOrganizativaEmpresa_Espaa.
Haga clic con el botn derecho sobre la UO escogida y seleccione la opcin Vincular un GPO
existente.
TambinesposiblevincularlosobjetosGPOempleandodrag&drop.
Cuandosemuestreunaventanadedilogocomoladelafigura,seleccioneenlalistaelobjetode
directivadegrupodeseado.
- 8-
HagaclicenAceptarparaconfirmarlaseleccin.
Una vez vinculado, el objeto GPO se mostrar bajo la Unidad Organizativa correspondiente en la parte
izquierdadelapantalla.
Haciendo doble clic en una Unidad Organizativa podr ver cuantos objetos de directiva tiene
vinculados.
DesplieguelossubnodosbajoelcontenedorEmpresa_Espaaparamostrarelnmerodeobjetosde
directivadegrupoquetienevinculados.
Podemos comprobar que, de momento, existe un nico objeto de directiva ligado a la Unidad Organizativa
Empresa_Espaa:Primeradirectivadegrupo.
c.UtilizarlaopcinExigido
ApartirdeWindowsServer2003,laopcinExigidopermiteforzarlaaplicacindeunadirectivadegruposobre
losobjetosdeloscontenedoreshijosdelcontenedoralqueestvinculada.
CuandoseactivalafuncinExigidosobreunadelasGPOvinculadasauncontenedordeActiveDirectory,los
parmetrosmodificadosseaplicaninclusoaunquealgunodeloscontenedoreshijobloqueelasherencias.
La opcin Exigido ya exista en Windows 2000 sin la herramienta GPMC el equivalente era No
reemplazar.
ParaemplearlaopcinExigido,despliegueelmencontextualdeladirectivaquedeseeforzar.
- 9-
SeleccionelaopcinExigido.
Cuando esta opcin queda activada, podemos comprobar que la GPO aparece como aplicada en la parte
derechadelapantalla,entreUbicaciny Vnculohabilitado.Adems,podemosverificarsiunadirectivaest
aplicadadesplegandosimplementesumencontextual.
CuandosehaaplicadolaGPO,apareceunpequeocandadoalaizquierdadeladirectivaaplicada
cuandoselavisualizadentrodelcontenedoralqueestvinculada.
- 10 -
Podemos comprobar que la directiva Primera directiva de grupo est vinculada a la Unidad Organizativa
Empresa_EspaaconlaopcinExigidoactivada.EstoquieredecirquecadaUnidadOrganizativahijadelaUO
Empresa_EspaaheredarlosparmetrosdedirectivadePrimeradirectivadegrupo.Losparmetrosdeuna
directivadegrupoenlaquelaopcinExigidoestactivadaseimpondrnsobrelosparmetrosdecualquier
objetohijoencasodeconflicto.Losparmetrosseaplicarn,delmismomodo,alasUnidadesOrganizativas
paralasquelaopcinBloquearherenciaestactivada.
d.Gestionarlaprecedenciadelasdirectivas
HastaahorahemosvistoelordendeaplicacindelasdirectivasdegrupoquesiguelacadenaniveldelSitio,
niveldeldominioyniveldelasUO.
CuandohayvariasdirectivasvinculadasaunaUnidadOrganizativacomn,elordendeaplicacinfuncionade
abajoaarriba.Ladirectivasituadaalfinaldelalistaseaplicarenprimerlugaryassucesivamentehastala
primeradelalista.
Parailustrarlosprincipiosdefuncionamienodelaprecedenciadedirectivas,hemoscreadounejemplocondos
GPO ficticias: GPO Ejemplo 1 y GPO Ejemplo 2. Las dos estn asociadas a la Unidad Organizativa
Empresa/Empresa_Espaa/Usuarios.
Segnlasreglasdeprecendenciadelasdirectivasdegrupo,podemoscomprobarquela GPO Ejemplo 1se
aplicaantesquelaGPO Ejemplo 2.Elobjetodedirectivadegrupoconelordendevinculacinmsbajose
procesaenltimolugary,comoconsecuencia,tienelaprioridadmsalta.
Las flechas a la izquierda de la lista permiten modificar el orden en el que se desea aplicar las directivas de
grupoeneldominio.
Hagaclicenlaflechaqueapuntahaciaarribaohaciaabajoparacambiarelordendelalista.
Atencin:recuerdequelaaplicacinsehaceenordeninversoaldeaparicin.Enlasiguientefigura,
laGPOEjemplo2seaplicaantesquelaGPOEjemplo1.
- 11 -
Los parmetros de las directivas de grupo se acumulan, pero si hay parmetros que entran en
conflicto,losdeladirectivadegrupocuyoordendevinculacinesmsbajosonlosprioritarios.
e.Gestionarlasherenciasdedirectivas
En el captulo anterior hemos mencionado la nocin de directivas acumulativas. Este trmino quiere decir, en
parte,queunadirectivavinculadaalniveldeSitiodeActiveDirectoryseaplicaralosnivelessiguientes,que
son Dominio y Unidades Organizativas. Continuando con este proceso, una directiva vinculada al nivel de
dominioseaplicaratodaslasUnidadesOrganizativashijasdeldominio.Y,finalmente,unadirectivavinculada
aunadelasUnidadesOrganizativasseaplicaracadaunadesusUnidadesOrganizativashijas.
Elconceptodetransmisindeparmetrosdedirectivasdesdeuncontenedordejerarquasuperioraotrose
denominaherenciadelasdirectivas.
Laherenciadedirectivasestactivadapordefecto.Desdeelmomentoenquesecreaunadirectivaystase
vinculaauncontenedorActiveDirectory,loscontenedoreshijosdebenrecibirlosparmetrosdelasdirectivasy
aplicarlos.Algunoscasosrequierenelbloqueodelasherenciasdedirectivasdegrupo.Paraloscasosenque
no se desee conservar la herencia, la consola de administracin de directivas de grupo permite bloquear las
herenciasalnivelqueserequiera.
Para ilustrar esto, en nuestro caso de ejemplo hemos modificado la estructura Active Directory del grupo
Empresa.
TodaslasfilialesdeEmpresaestnahoraagrupadasbajounaUnidadOrganizativa:Grupo_Empresa.
SehaconfiguradounanuevadirectivadegrupoysehavinculadoalaUnidadOrganizativaGrupo_Empresa.
Esta directiva, llamada Directiva de seguridad filial, se aplica a todos los contenedores hijos de la Unidad
OrganizativaGrupo_Empresa.Enotraspalabras,ladirectivaseaplicaatodaslasfilialesdelgrupo.
Ahora, nuestra tarea principal es bloquear la herencia de directivas a partir de la Unidad Organizativa
Empresa_Espaa.
Despliegue el men contextual de la Unidad Organizativa Empresa_Espaa y seleccione la opcin
Bloquearherencia.
- 12 -
Elicono
indicaquelaherenciaestbloqueadaapartirdeestaUO.
En nuestro caso, en cuanto se activa la opcin Bloquear herencia sobre la UO Empresa_Espaa, los
parmetros de directivas de grupo vinculados al dominio y a la UO Grupo_Empresa no se aplicarn a los
usuariosyequiposdelaUOEmpresa_Espaa.
- 13 -
f.ForzarlasdirectivasenlaGPMC
Respecto a la utilizacin de la opcin Bloquear herencia, es importante considerar que todas las GPO
vinculadasanivelessuperioressevernigualmentebloqueadas.
Con el objetivo de mantener la coherencia de la arquitectura de red, se hace necesario emplear la opcin
Exigidoparaaquellasdirectivasquedebantransmitirsemsalldelosbloqueosdeherencia.
Windows2000ServerinclualaopcinNoreemplazarparapermitirelbloqueoenlaaplicacindeparmetros
dedirectivasheredados.
CuandoseactivalaopcinExigidosobreunadirectivadegrupo,stasefuerzaapartirdelcontenedoralque
estvinculada.
Losparmetrosdeestadirectivadegruposeaplicarninclusosilaopcin Bloquearherenciaest
activasobreunaUOhija.Atencin,algunosparmetrosquedarnbloqueadosapesardetodo.
g.Buscardirectivas
Enunareddegrantamaoquecontenganumerosasdirectivasdegrupo,puedeserfcilperderse.Eltiempo
dedicado a la bsqueda de informacin puede alcanzar proporciones desmesuradas. La consola de
administracindedirectivasdegrupopermiterealizarbsquedasdeobjetosdirectivadegrupo,facilitandoas
eltrabajoalosadministradores.
Cuando una directiva debe modificarse urgentemente, la herramienta de bsqueda multicriterio permite
encontrarladeformarpidaysimple.
Despliegueelmencontextualdelcontenedorapartirdelquedeseelanzarlabsquedaydespus
hagaclicenBuscar.
Ennuestrocaso,labsquedaserealizasobrelatotalidaddeldominioempresa.local.
Al hacer clic en Buscar, se abre una ventana de dilogo de bsqueda que permite introducir los criterios de
direccindelabsqueda.
- 14 -
Supongamosquenuestroproblemanosllevaabuscarlaolasdirectivasqueguardenrelacinconlasfiliales
del grupo Empresa.local. Ser basndonos en los datos de identificacin nominativos de la directiva como
realizaremoslabsqueda.
IntroduzcaelvalorfilialenelcampoValor.
Unavezhayadadovaloraloscampos,hagaclicenAgregarydespusenBuscar.
- 15 -
Segn el nmero de objetos presentes en la red, la bsqueda mostrar los resultados ms o menos
rpidamente.Unavezsehaencontradounobjeto,stesepuedemodificar,osepuedeguardarelresultado
delabsquedaparausarloposteriormente.
3.Configuracindelosparmetrosdedirectivas
Para poder ser operativas, las directivas de grupo deben configurarse para que algunos de los parmetros
disponibles sean modificables en el editor de objetos de directiva de grupo. Les diferentes categoras que, en
conjunto, constituyen una directiva de grupo no varan de una directiva local a una directiva de dominio. La
estructura de una directiva de grupo se compone de los nodosConfiguracin del equipo yConfiguracin de
usuario.
Los parmetros modificados en el nodo Configuracin del equipo impactan nicamente a la configuracin del
puestodetrabajo.
LosparmetrosmodificadosenelnodoConfiguracindeusuarioimpactannicamentealaconfiguracindelos
perfilesdeusuariodelpuestodetrabajo.
Cuandosetieneabiertoeleditordeadministracindedirectivadegrupo,lasdoscategorasConfiguracindel
equipoyConfiguracindeusuarioaparecencomonodosrazenlaparteizquierdadelaconsola.
- 16 -
PorqumodificarlaConfiguracindeusuarioolaConfiguracindelequipoolasdosalavez?Paraempezar,
las dos categoras no muestran un conjunto de parmetros idntico entre un nodo y otro. Algunas
configuracionessonrelativasexclusivamentealosequiposyotrasalosusuarios.
Si el mismo parmetro se configura a la vez en Configuracin del equipo y en Configuracin de usuario,
entonceselparmetroqueseaplicaeseldeConfiguracindelequipo.
LasiguientefigurapermitedistinguirlasdiferenciasqueexistenentrelossubcontenedoresdeConfiguracindel
equipoylosdeConfiguracindeusuario.
Existendiferenciasentrelosparmetrosdedirectivaligadosalaseguridadentrelasplantillasadministrativas,y
laspreferenciasdedirectivasdisponiblesnosonlasmismas.
Las polticas de empresa definen la forma en la que se deben configurar las directivas. Estas ltimas deben
respetarloscriteriosdeseguridad,lasrestriccionesyespecificidadesrelativasalasnecesidadesdelaempresa.
En su mayora, los criterios de configuracin de directivas de grupo se definen en funcin de la actividad de la
- 17 -
empresaodesususuarios.
El uso de la Configuracin del equipo slo permite la parametrizacin de puestos de trabajo
independientementedelosusuariosqueseconectarnsobreellosposteriormente.Porejemplo,laconfiguracin
delospuestosclientepuedecorresponderaloscriteriosmnimosdeseguridaddelaempresamientrasquela
configuracindeperfilesdeusuariospuededependerdelosrolesyfuncionesdelosusuariosencuestin.
a.Configuracindelequipo
Hastaahora,sabemosquelaConfiguracindelequipotansloimpactaalpuestodetrabajosobreelquese
aplicaladirectivadegrupo.
Paracomprendermejorlosprincipiosdefuncionamientoylautilidaddedisponerdelosnodosequipoyusuario,
presentaremosacontinuacinunapropuestadeconfiguracindelnodoequipoenelmarcodeundespliegue
dedirectivasdegrupoenunaarquitecturaMicrosoft.
EnlaconsolaGPMC,creeunnuevoobjetodedirectivadegrupollamadoDirectivadeconfiguracin
depuestosdetrabajo.
ModificaremosladirectivadegrupoDirectivadeconfiguracindepuestosdetrabajoparaquerespondaalas
necesidadesdelgrupoEmpresa/Empresa_Espaa.
Modifique la Directiva de configuracin de puestos de trabajo usando la consola de administracin de
directivas de grupo. Puede referirse a la seccin Administrar las GPO con la consola de administracin de
directivasdegrupo GPMC2.0,FuncionalidadesdelaconsolaGPMC2.0deestecaptuloparalamodificacinde
losparmetrosdedirectiva.
LaDirectivadeconfiguracindepuestosdetrabajodeberespetarlossiguientescriterios.
ElvalorparacadaparmetrodedirectivadebeserHabilitada.
ComponentesdeWindows/WindowsMessenger
NopermitirqueseejecuteWindowsMessenger.
ComponentesdeWindows/WindowsMediaCenter
NopermitirqueseejecuteWindowsMediaCenter.
Paneldecontrol/Cuentasdeusuario
Aplicarlaimagendeiniciodesesinpredeterminadaatodoslosusuarios.
Paneldecontrol/Configuracinregionalydeidioma
Limita los idiomas de la interfaz de usuario que Windows usa para todos los usuarios que hayan
iniciadosesin.
Red/Archivossinconexin
ProhibirlaconfiguracindelusuariodeArchivossinconexin.
Sistema/Accesodealmacenamientoextrable
- 18 -
CDyDVD:denegaraccesodeescritura.
CDyDVD:denegaraccesodelectura.
Unidadesdedisquete:denegaraccesodeescritura.
Unidadesdedisquete:denegaraccesodelectura.
Sistema/Instalacindedispositivos/Restriccionesdeinstalacindedispositivos
Impedirlainstalacindedispositivosextrables.
Sistema/Instalacindecontroladores
Sistema/Iniciodesesin
Asignarundominiopredeterminadoparainiciarsesin.
Esperarsiempreladeteccinderedaliniciodelequipoydesesin.
Sistema/Perfilesdeusuario
Eliminarcopiasencachdeperfilesmviles.
Sistema/Cuotadedisco
Habilitarcuotasdedisco.
Aplicarunlmitedecuotadedisco.
Lmitedecuotayniveldeavisopredeterminados80GB/70GB.
Sistema/Restaurarsistema
DesactivarRestaurarsistema.
Una vez haya configurado los parmetros de directiva, salga del Editor de administracin de
directivadegrupoyvuelvaalaconsoladeadministracindedirectivasdegrupo.
LaDirectivadeconfiguracindepuestosdetrabajoestahoraparametrizadaylistaparaentrarenactividad
sobrelared.
b.Configuracindeusuario
Ahora,queremoscompletarlaarquitecturaconunadirectivaenlaquelaconfiguracinimpactenicamentea
losusuarios.
En la GPMC, cree un nuevo objeto de directiva de grupo llamado Directiva de configuracin de
perfilesdeusuario.
Modifique la directiva en el Editor de administracin de directiva de grupo y configure la directiva
segnlossiguientescriterios.
ElestadodecadaparmetrodedirectivadebeserHabilitada.
- 19 -
Escritorio
OcultareliconoUbicacionesdereddelescritorio.
QuitarelAsistenteparalimpiezadeescritorio.
QuitardelescritorioeliconodePapeleradereciclaje.
Escritorio/ActiveDesktop
Tapizdelescritorio\\SERV01\Rutadeacceso\logo.jpg.
MenuInicioybarradetareas
QuitarvnculosyaccesosaWindowsUpdate.
Paneldecontrol/Agregaroquitarprogramas
OcultarlapginaAgregaroquitarcomponentesdeWindows.
Paneldecontrol/Impresoras
Impedirlaeliminacindeimpresoras.
Red/Conexionesdered
ProhibirlaconfiguracinTCP/IPavanzada.
Sistema/Perfilesdeusuario
Limitareltamaodelperfil10000KB.
Enestemomentodisponemosdeunasegundadirectivadegrupoqueafectanicamentealosparmetrosde
losusuarios.
c.Generacindeinformes
Verificar el contenido de una GPO puede llevar un tiempo considerable si cada parmetro debe controlarse
manualmente.Parallevaracabounaverificacinmanual,sedeberaentrarenmodoedicinencadadirectivay
verificarelestadodecadaparmetrodisponible.
Parecepocoprobablequelosadministradoreselijanestemtodoteniendoencuentaelnmerotanelevado
deobjetosdisponibles.
Paraevitarestasprdidasdetiempo,laGPMCdisponedeunafuncionalidadquepermiterealizarestetipode
verificacin.Conellaesposiblegeneraruninformedetalladodecadaobjetodedirectivacreadoensudominio.
Enesteinformesepuedenconsultarlosdatosrelativosalosparmetrosmodificadosporladirectiva.
Para editar y consultar un informe, entre en la GPMC y sitese sobre el contenedor Objetos de
directivadegrupo.
Seleccione la directiva de la que desee analizar el contenido, en el ejemplo Directiva de
configuracindepuestosdetrabajo,yhagaclicenlapestaaConfiguracinenlapartederechade
lapantalla.
- 20 -
Espere a que termine de cargarse el informe detallado y haga clic en Show all para consultar los
parmetrosquetieneencuentaladirectiva.
Semuestralatotalidaddelosparmetrosmodificados,permitiendounavisibilidadmsomenosdirectadelas
diferentesfuncionesatribudasaladirectivaydesuimpactosobreeldominio.
Gracias a los informes detallados, resulta fcil saber si una directiva sigue estando al da o si ha quedado
obsoleta. Esta funcionalidad permite a su vez comprender las razones del comportamiento de un equipo o
cuentadeusuarioparticularencasodequepresenteconflictosounfuncionamientoincorrecto.
4.Seguridadydelegacin
Lasmetodologasempleadasenrelacinconlajerarquizacinyladelegacindepoderesadministrativosenun
dominiopuedenserdiferentes.Lasredesdegrandesdimensioneseligen,ensumayora,escalonarlospoderes
administrativos sobre la red. Por ejemplo, ciertas organizaciones prefieren delegar la administracin de las
UnidadesOrganizativasalosadministradoreslocalesdelossitios,yconservarlospoderesdeadministracindel
dominio y de la empresa en el seno de la direccin informtica. Otras organizaciones eligen uniformizar los
nivelesdepoderesadministrativosentretodoslosadministrativos.
Enelescenariodeunajerarquadefinidayenactivo,lasupervisindelasdirectivasdegrupoespartedelos
elementosdelaredparalosquedeberadefinirseunahabilitacinespecfica.
Cuandolosadministradoresdedominioquierenquelosadministradoresconcapacidadesmsrestringidasestn
autorizadosamodificarloselementospropiosdelasdirectivasdegrupo,puedenhacerusodeladelegacinde
poder.
Tanslolosadministradoresdedominiopuedendelegarelpoderalajerarquainferior.
Ennuestrocaso,imaginemosquedeseamosdelegarlasautorizacionesdemodificacindeunasoladirectivade
grupo.
Parahaceresto,estamosobligadosaaadirunobjetoenActiveDirectory.Esteobjetogrupodeseguridadnos
permitiridentificarlosintervinientesinformticosdelafilialEspaadelgrupoEmpresa.
- 21 -
Delegaremos, a continacin, los permisos de modificacin de las directivas vinculadas a la Unidad Organizativa
Empresa_EspaaalgrupoEquipoITLocal.
Abra la aplicacin Usuarios y equipos de Active Directory y cree un grupo de seguridad llamado
EquipoITLocalenEmpresa.local\Grupo_Empresa\Empresa_Espaa\Grupos.
Una vez haya finalizado la operacin, vuelva al contenedor Objetos de directiva de grupo en la
consoladeadministracindedirectivasdegrupo.
En este ejemplo, elegiremos la Primera directiva de grupo que est asociada a la Unidad Organizativa
Empresa_Espaa.
Hagaclicenladirectivaquedeseedelegar,ennuestrocasoPrimera directiva de grupo,ydespus
hagaclicenlapestaaDelegacinsituadaenlapartederechadelaconsola.
Entre los datos que se pueden consultar en la pestaa Delegacin figura la lista de autorizaciones de los
Gruposyusuarioshabilitadosparamodificarladirectiva.
Acontinuacin,aadiremosunnuevogrupodeseguridadyledelegaremoslasautorizacionesdecontroldeesta
directiva.
Paraaadirunnuevoobjetoenlalistademiembrosdelegados,hagaclicenelbotnAgregaryteclee
elnombredelusuarioogruporequerido.Ennuestrocaso,aadiremoselgrupodeseguridadEquipo
ITLocal.
- 22 -
HagaclicenComprobarnombresparaasegurarsedeladisponibilidaddelobjetoenActiveDirectory.
HagaclicenAceptarparacompletarlaoperacin.
UnavezActiveDirectoryhareconocidoyvalidadoelnombre,semuestralasiguienteventanadedilogo.
EstedilogopermiteelegirelniveldecontrolrequeridoparaelgrupoEquipoITLocalsobreladirectivaPrimera
directivadegrupo.EscogeremosunniveldecontroltotalparahacerqueEquipoITLocalseaautnomo.
SeleccionelaopcinEditarconfiguracin,eliminar,modificarseguridad.
Paraterminar,hagaclicenAceptar.
Una vez se ha aadido el grupo, ste queda visible en la GPMC al igual que las autorizaciones de las que
dispone.
- 23 -
5.Copiadeseguridadyrestauracindelasdirectivas
La copia de seguridad de datos informticos es uno de los elementos ms sensibles de un sistema de
informacin.Datoscuyovalorseconsiderainestimablepuedendesaparecerenmuypocotiempoypordiferentes
razones, como por ejemplo por errores de manipulacin, por daos materiales, o por averas procedentes del
exteriordelared.
Con objeto de preservar la integridad de datos en relacin con la configuracin de las directivas de grupo, la
GPMCofrecelaposibilidadderealizarcopiasdeseguridadyderestaurarlasGPO.
a.Hacercopiadeseguridaddeunadirectiva
Elusodelasfuncionesdecopiadeseguridaddelasdirectivasdegrupopermiterestablecersuconfiguracina
un estado operativo despus de una prdida de datos o una anomala que haya generado un mal
funcionamientodelosobjetosdedirectiva.
Estautilidadtambinresultatildurantelasmigracionesdeservidoresparaevitartenerquecreardenuevoel
conjuntodedirectivasdedominiosobrelosservidoresmigrados.
Parahacerunacopiadeseguridaddetodaslasdirectivasdegrupo,hagaclicconelbotnderecho
enObjetosdedirectivadegrupoyseleccioneHacer copiadeseguridaddetodo.
Pararealizarunacopiadeseguridaddeunadirectiva,siteseenelcontenedorObjetosdedirectiva
de grupo y haga clic con el botn derecho sobre la directiva a salvaguardar. En nuestro caso,
haremosunacopiadeseguridaddePrimeradirectivadegrupo.
EnelmencontextualdelaGPO,hagaclicenHacercopiadeseguridad.
- 24 -
Laventanadedilogosiguientelepedirqueintroduzcalarutadeldirectoriodecopiasdeseguridad
y,opcionalmente,unadescripcin.
Cuandohayaintroducidolosdatos,hagaclicenHacercopiadeseguridad.
Espereysupervisequeelprocesodesalvaguardasedesarrollesinproblemas.
- 25 -
HagaclicenAceptarparaterminarlacopiadeseguridad.
Paraasegurarsedeunacorrectaejecucindelacopiadeseguridad,serecomiendaencarecidamenteverificar
lapresenciadearchivosdedirectivaeneldirectoriodedestino.
Pararealizarestaverificacin,abraelexploradordeWindows.
Sitese en el directorio de copias de seguridad y verifique que los archivos de directivas estn
presentes.
b.Restaurarunadirectiva
Unavezquesehahechounacopiadeseguridaddelatotalidaddelasestrategiasdegrupo,puedeiniciarsela
migracin.Cuandolosservidoressehayanmigrado,sepodrnrestaurarlasdirectivassalvaguardadas.
- 26 -
Para simular una situacin adecuada para la operacin, suprimiremos la directiva de grupo salvaguardada
anteriormente:laPrimeradirectivadegrupo.
EnlaGPMC,siteseenelcontenedorObjetosdedirectivadegrupoydespliegueacontinuacinel
mencontextualdelaPrimeradirectivadegrupo.
Enelmencontextual,escogalaopcinEliminar.
HagaclicenScuandoaparezcalapeticindeconfirmacin.
UnavezsehayasuprimidoladirectivaenelcontenedorObjetosdedirectivadegrupo,siteseenla
partederechadelaconsolayhagaclicconelbotnderechosobrecualquierespaciovaco.
EscojalaopcinAdministrarcopiasdeseguridad.
Enlaventanadedilogosiguiente,podrconsultarlalistadetodaslasGPOsalvaguardadas.Ennuestrocaso
sloaparecelaPrimeradirectivadegrupo.
Seleccioneladirectivaquedeseerestaurar.
- 27 -
HagaclicenRestaurar.
Espereysuperviselaoperacinderestauracin.
- 28 -
HagaclicenAceptarunavezlarestauracinhayaterminadoconxito.
Cierre la ventana de dilogo Administrar copias de seguridad y verifique la presencia de la GPO
restauradaenelcontenedorObjetosdedirectivadegrupo.
Atencin:LosvnculosdelaGPOconloscontenedoresdeActiveDirectorynosesalvaguardannise
restauran!
c.Importarparmetros
Es posible que desee explotar la configuracin de parmetros de una directiva salvaguardada previamente y
quenofuecreadasobreelservidorenelqueahoradeseaqueseejecute.
Enestecaso,puedeahorrartiempoutilizandolaimportacindeparmetrosdedirectivas.Estaoperacinevita
alosadministradorestenerqueconfigurarunoaunolosparmetrosdedirectiva.
Cuidado con los parmetros personalizados que se repercutan sobre el sistema objetivo! Es
preferible emplear esta funcionalidad nicamente en los casos de GPO cuya parametrizacin slo
modificaobjetosestndar.
Paraimportarparmetrosdedirectiva,debedisponerdeunadirectivasalvaguardadaenundirectorioWindows
sobreelquetengalosderechosdeaccesosuficientespararealizarlaoperacin.Ennuestroejemplo,vamosa
importarunaGPOqueconfiguraelmenIniciodelosusuarios.
En la GPMC, sitese sobre el contenedor Objetos de directiva de grupo, despus haga clic con el
botnderechosobreunapartevacadelapantalla.
Enelmencontextual,seleccioneNuevoeintroduzcaunnombreparalanuevadirectivaquedesea
configurar.Ennuestroejemplo,lallamaremosMenIniciodelusuario.
Enprincipio,seimportanlosparmetrosdeunadirectivaqueyahayansidoconfigurados,elnombre
delaGPOestarportantoenconsonanciaconsucontenido.
HagaclicconelbotnderechosobreladirectivaqueacabadecrearyseleccionelaopcinImportar
configuracin
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 29 -
Enlaventanasiguiente,selepresentaruntextoexplicativoenrelacinconestamanipulacin.
HagaclicenSiguiente.
Acontinuacin,puedehacerunacopiadeseguridaddesudirectivaantesdeimportarparmetrosde
unadirectivaexistente.Ennuestrocaso,noesnecesario hacerestoyaquetenemoscomosituacin
departidaunadirectivavaca.
- 30 -
HagaclicenSiguiente.
En la ventana siguiente, debe introducir la ruta al directorio de almacenamiento de directivas
salvaguardadas.
Unavezhayaintroducidolarutacorrecta,hagaclicenSiguiente.
En la ventana siguiente, seleccione la directiva de origen a partir de la cual desea importar los
parmetros.
- 31 -
SeleccionelaestrategiadeorigenyhagaclicenSiguiente.
Verifiquequelaoperacinsedesarrollasinproblemas.
HagaclicenSiguiente.
Acontinuacin,verifiquelosparmetrosdelResumen.
- 32 -
HagaclicenFinalizarparaconfirmarlaimportacin.
Enlaventanasiguiente,superviseelprocedimientodeimportacindeparmetroshastasutrmino.
HagaclicenAceptar.
Losparmetrossehanimportadocorrectamente.
- 33 -
NuevasfuncionalidadesdelaGPMC2.0
Desde Windows Server 2003, las directivas de grupo se administran mediante la GPMC. En Windows 2000, la
administracin de las directivas de grupo exiga una organizacin y una metodologa minuciosa. Las facilidades
aportadasporWindows2003ylaGPMChanrevolucionadolasprcticasenmateriadedesplieguededirectivasde
grupo.
Windows Server 2008 y 2008 R2 utilizan las bases del funcionamiento de la consola GPMC 1.0 y ofrecen
funcionalidadessuplementarias.Enrazndesusnovedades,lanuevaconsoladeadministracindedirectivasde
grupofuebautizadacomoGPMC 2.0.
EntrelasnovedadesdelaGPMC 2.0,podemoscitarlasGPOdeinicio,lasnuevasposibilidadesdelosfiltrosWMIy
deloscomentarios,lapresenciadecercade500nuevasplantillasdeadministracindestinadasaconfigurarlos
puestos de trabajo con Vista o 7 instalado. Adems entre las mejoras notables podemos contar los nuevos
formatosdeconstitucindelasplantillasdeadministracin:losarchivosADMX(ADMinistrativeXMLtemplatefile)y
ADML (ADMinistrative XMLtemplate file). Su gestin simplificada y centralizada reemplaza ventajosamente a sus
predecesores:losarchivosADM(ADMinistrativetemplatefile).
Sinolvidarnosdelaspreferenciasdedirectivasdegrupo,queindudablementeformanpartedelasnovedadesms
interesantes e innovadoras de la consola GPMC 2.0. En el prximo captulo, enteramente dedicado a las
preferenciasdedirectivasdegrupo,seexplicarsufuncionamientoysuutilidad.
1.LasGPOdeinicio(GPOStarter)
En las empresas que disponen de una arquitectura compleja, las directivas de grupo forman parte del rea
tcnica de la que se responsabilizan nicamente los administradores de dominio o de la empresa. En cierta
manera, tan slo las personas situadas por encima en la jerarqua informtica se ven involucradas en la
definicindelaspolticasdedirectivasdegrupo.
Unavezlaspolticasdedirectivasdegrupohansidodefinidas,esnecesarioimplementarlasenlared.Cuando
los poderes administrativos se delegan, los administradores delegados tienen la posibilidad, y a veces la
responsabilidad,deponerenmarchaymantenerlasdirectivasdegrupo.
En estos tipos de organizacin, las GPO de inicio son tiles porque permiten crear modelos de estructura de
directivasdegrupoqueservirncomobaseestructuralparalasdirectivasfuturas.
De esta manera, los responsables de la coherencia entre las polticas de empresa y las directivas de grupo
desplegadasproporcionanunmodeloasussubordinadosconformeconlasnormasdelaempresa.Apartirdel
modeloGPOdeinicio,losadministradoresdelegadosdisponendeungradodeautonomaquelespermitecreary
desarrollarlainfraestructuraconnuevasdirectivasdegrupo.
Como conclusin, podemos decir que las GPO de inicio facilitan la cohesin de la infraestructura informtica y
permitenganartiempo.
a.CreareldirectorioGPOdeinicio
Para crear una GPO de inicio, es necesario haber entrado en la consola de administracin de directivas de
grupo.ElcontenedorGPOdeinicioestvisibleenlaparteizquierdadelaGPMC.
ExistenalgunascondicionestcnicasdepartidaparalacreacindeunobjetodeiniciodeGPO.Antesdecrear
elprimeriniciadordeGPO,sedebecreareldirectorioGPOdeinicioporprimeravez.
ParacreareldirectorioGPOdeinicio,hagaclicenelcontenedorGPOdeinicioenlaparteizquierda
delapantalla.
Enlapartederechadelapantalla,hagaclicenelbotnCrearcarpetadeGPOdeinicio.
- 1-
Cuando se confirma la creacin del directorio GPO de inicio ste se sita por defecto en la ruta
Windows\SYSVOL\domain\StarterGPOs.
Cada vez que se cree un nuevo objeto iniciador de directiva, ste se almacenar en el directorio
Windows\SYSVOL\domain\StarterGPOs de los controladores de dominio del dominio involucrado. Cada
objeto iniciador de directiva tiene asignado un identificador nico GUID desde el momento de su creacin, al
igualqueparalosobjetosyaconocidosdedirectivadegrupo.
b.CrearunobjetoGPOdeinicio
Unavezsehacreadoeldirectoriodealmacenamientodelosiniciadoresdedirectiva,seestpreparadopara
crearunprimerobjetoGPOdeinicio.
ParacrearunaGPOdeinicio,despliegueelmencontextualdelcontenedorGPOdeinicioyescojala
opcinNuevo.
LaventanadedilogosiguientelesolicitalosdatosrelativosalaGPOdeinicio.
Lepuedeatribuirunnombreyemplearelcampodestinadoaloscomentarios.
Trasintroducirlosdatosrequeridos,hagaclicenAceptar.
- 2-
Unavezsehacreadoelobjetoiniciadordedirectiva,stequedadisponibleeneldirectorioGPOdeiniciodela
consola de administracin de directivas de grupo. Tras su creacin, el objeto existe pero no tiene ningn
parmetroconfiguradodemomento.Paraconfigurarlo,esnecesarioentrarenmodoedicinymodificaralgunos
delosparmetrosdisponibleseneleditordeobjetosdedirectivadegrupo.
ParaeditareliniciadordeGPO,desplieguesumencontextualyseleccionelaopcinEditar(utiliceel
mismomtodoqueparaunaGPOnormal).
Tras editar el objeto iniciador de directiva, comprobaremos que los contenedores de objetos de directiva de
grupo races son idnticos que los de una directiva normal. Sin embargo, los subcontenedores de los nodos
Configuracin del equipo y Configuracin de usuario son menos numerosos. Efectivamente, tan slo los
contenedores Plantillas administrativas estn disponibles para la configuracin de un objeto iniciador de
directiva.
Recuerde:lasGPOdeiniciopermitennicamenteconfigurarlasPlantillasadministrativas.
Los iniciadores de directiva no son sino directivas de grupo en las que nicamente se pueden configurar los
objetosparmetrosdelasplantillasdeadministracin.SideseaejercitarseenlacreacindeobjetosGPOde
inicio,puedeusarlaseccinAdministrarlasGPOconlaconsoladeadministracindedirectivasdegrupoGPMC
2.0,FuncionalidadesdelaconsolaGPMC2.0deestecaptuloparacrearunmodelodedirectivaasuantojo.
c.IniciarunadirectivaapartirdeunaGPOdeinicio
Cuandoelolosmodelosdedirectivaestncreadosydisponiblesparasuuso,Ud.puedeemplearlosparala
creacin de directivas de grupo futuras. En ese momento, su estructura est dispuesta a emplear los
iniciadoresdedirectivacomomodelosdeconfiguracindelasnuevasdirectivasdegrupodeldominio.
ParaarrancarunadirectivadegrupoapartirdeunaGPOdeinicio,despliegueelmencontextualdel
objetoGPOdeiniciodesueleccin,ennuestroejemploGPOdeinicioEmpresa_Espaa.
EscojaacontinuacinNuevoGPOapartirdeGPOdeinicio.
- 3-
Enlaventanadedilogosiguiente,introduzcaelnombredelanuevadirectivayhagaclicenAceptar.
Podemos comprobar que, en el campo GPO de inicio de origen se nos informa del objeto GPO de
iniciodeorigen.
Una vez guardada, la directiva se almacena con las otras GPO del dominio en el contenedor Objetos de
directivadegrupo.
Funcionalidades como la copia de seguridad, restauracin y la delegacin de control de los objetos GPO de
inicioutilizanlosmismosprocedimientosquelasdirectivasclsicas.Sideseaefectuarunacopiadeseguridado
restaurar un iniciador de directiva, puede referirse a la seccin Administrar las GPO con la consola de
administracindedirectivasdegrupoGPMC2.0,Copiadeseguridadyrestauracindelasdirectivasdeeste
captulo.
Cuando Ud. decida crear una nueva directiva de grupo, tiene la posibilidad de utilizar la GPO de inicio de
origen.Unaventanadedilogolepermiteseleccionarunobjetoiniciadordedirectivaorigen.
Paraunamejorcomprensindeesteproceso,creeunadirectivadegruponueva.
Enlaventanadedilogosiguiente,escojalaGPOdeiniciodeorigenapropiada.
- 4-
HagaclicenAceptar.
d.IntercambiarlasGPOdeinicio
Los objetos iniciadores de directiva de grupo pueden salvaguardarse en un formato de archivo particular. La
opcindeexportacindelasGPOdeiniciopermitesalvaguardarlosiniciadorescomoarchivos.CAB(cabinet).
Estopermite intercambiarlosarchivos.CABentrelosdiferentescontroladoresdedominio.Estafuncionalidad
esinteresantecuandodeloquesetrataesdeintercambiararchivos.CABquecontenganGPOsdeinicioentre
los diferentes servidores de dominio. Efectivamente, la replicacin del directorio SYSVOL permite la puesta a
disposicindelosiniciadoressobretodosloscontroladoresdedominiodeunmismodominio.
2.Lasnuevasfuncionalidadesdelosfiltros
Con ms de 2400 objetos parametrizables, es imposible conocer de memoria todos los objetos de directiva
disponibles.
Laconsoladeadministracindedirectivasdegrupoofreceunaopcininteresante:elfiltradodeparmetros.
A pesar de su gran utilidad y efectividad, el filtrado de parmetros trae consigo algunos lmites a tener en
cuenta.Enrealidad,elfiltradonoesposiblemsquesobreloscontenedoresPlantillasadministrativasdelas
doscategorasConfiguracindelequipoyConfiguracindeusuario.
a.Utilizarlosfiltros
Al configurar una directiva de grupo, el administrador busca los parmetros que se corresponden con las
aplicacionesopartesdelsistemaquedeseaconfigurar.
En caso de que conciba una directiva adaptada a sus necesidades, pero no est seguro de que existan los
parmetrosquelepermitanponerlaenprctica,siemprepuedecontarconlaopcindelabsquedaporfiltros.
Sinembargo,estafuncinseconsideracompleja.Deentretodaslascategorasyopcionesdeconfiguracinde
filtrosdisponibles,lamayoranoguardanrelacinconelcasotpicodeusodefiltros.
Parautilizarlosfiltrosesnecesariomodificarunadirectivadegrupoexistenteocrearunanueva.Ennuestro
ejemplo,emplearemosladirectivadedominioDirectivadeseguridadfilial.
Despliegue el men contextual de la directiva Directiva de seguridad filial y seleccione la opcin
Editar.
EnelEditordeadministracindedirectivasdegrupo,despliegueelmencontextualdeldirectorio
PlantillasadministrativasenlaConfiguracindelequipoodeusuario.
- 5-
EscojalafuncinOpcionesdefiltro.
Laventanadedilogodeconfiguracindelosfiltrosdebsquedaconstadetresseccionesbiendiferenciadas:
Seleccione el tipo de configuracin de directiva que se va a mostrar, Habilitar filtros de palabra clave y
Habilitarfiltrosderequisitos.
- 6-
Seleccioneeltipodeconfiguracindedirectivaquesevaamostrar
En el campoAdministrado,laopcinseleccionadapordefectoesS.Enunfiltradotpico,sedebecambiarla
opcinaCualquierayaqueestofavorecelaextensindelabsquedaysuefectividad.
Habilitarfiltrosdepalabraclave
Elfiltradoporpalabrasclavefuncionacomotodoslosmotoresdebsquedaqueutilizanelsistemadepalabras
clave. Introduzca una palabra que guarde relacin con la configuracin deseada y espere al resultado de la
bsqueda.Recuerdequecuantomsprecisosea,mayoressernlasprobabilidadesdexito.
Habilitarfiltrosderequisitos
Losfiltrosdecondicionespermitenrealizarunabsquedaportipodeplataformasoportada.Estaopcinnoes
deusoobligadopararealizarconxitounabsquedadeparmetros.
En el marco de nuestro ejemplo, imaginaremos que ha surgido la necesidad de crear una nueva directiva de
grupo. Una parte de los usuarios de la filialEmpresa_Espaa son agentes comerciales con desplazamientos
habituales. Utilizan sus puestos de trabajo para conectarse a los servidores del Grupo_Empresa desde
sesiones de Escritorio remoto. Recientemente se han instalado en el dominio varios servidores dedicados a
recibir estas conexiones. Ahora, se necesita configurar los servicios de Escritorio remoto de acuerdo con las
normasdelaempresa.
Con este objetivo, se crear una nueva directiva de grupo llamada Directiva de configuracin de servicios
- 7-
RDS.
Una vez haya creado y modificado la directiva, haga clic con el botn derecho sobre el directorio
Configuracindelequipo\Directivas\PlantillasadministrativasyescojaOpcionesdefiltro.
Configure los parmetros de filtros segn la figura presentada anteriormente y marque la opcin
Habilitarfiltrosdepalabraclave.
Dado que la directiva que queremos crear est relacionada con los servicios RDS (Remote Desktop Services),
haremosunabsquedaporpalabrasclaveutilizandolostrminosTerminalServerenelcampoFiltrarporlas
palabras.
DejelaopcinHabilitarfiltrosderequisitossinmarcaryhagaclicenAceptar.
DespusdehacerclicenAceptar,desaparecelaventanadedilogoyapareceelEditordeadministracinde
directivasdegrupo.
Enlaparteafectadaporlabsqueda,uniconogrisenformadefiltromarcaelcontenedorapartirdelcualel
filtroestactivo.
ElcontenedorTodoslosvalorescontienetodoslosparmetrosqueguardanrelacinconlaspalabrasclavedel
filtro.
Enesteejemplo,aparecerlistadoenestecontenedortodocomponenteconfigurableasociadoalosservicios
de Escritorio remoto (tan slo del directorio Plantillas administrativas). De entre los parmetros, ser
- 8-
necesarioescogeraquellosquecorrespondananuestrasexpectativas.
3.Lautilizacindelasherramientasdecomentarios
El uso de los comentarios en informtica es un medio de comunicacin eficaz. Los desarrolladores son
particularmenteconscientesdelautilidaddeestemecanismocuandosonvariaslaspersonasquesevandando
elrelevoduranteeldesarrollodeunprograma.
De la misma forma, los administradores pueden usar los comentarios para administrar la red y mantener la
continuidad del servicio. De esta manera los equipos ganan tiempo cuando las personas en posesin de la
informacinrequeridanoestndisponiblesolocalizables.
Porestarazn,yconelobjetivodegarantizarlacalidaddelservicio,hayempresasqueestimulanlaaplicacin
deprocedimientosestrictos.
Enesoscasos,elaadircomentariosalasnuevasdirectivaddegrupoespartedeltrabajodeladministrador.
Para aadir comentarios, abra en el editor la directiva a comentar y haga clic con el botn derecho
sobreladirectivaDirectivadeconfiguracindeserviciosRDS.Sedesplegarsumencontextual.
Enelmenucontextual,escojalaopcinPropiedades.
- 9-
Laventanadedilogosiguienteleofrecer,deentrelasdiferentesopciones,unapestaaComentario.
- 10 -
Introduccin
Antes de la aparicin de la consola de administracin de directivas de grupo, las GPO se encontraban
desperdigadasportodalared.Cuandolosadministradoresnecesitabanlocalizarlassunicasalidaeramemorizar
ellugardealmacenamientodeladirectivaenActiveDirectory,enespecialelcontenedorconcretoalqueestuviera
vinculadalaGPOquesedeseabamodificar.
Adems, la administracin de las directivas de grupo desde la versin Server 2000 hasta Server 2008 R2 ha
evolucionadoconstantementeenladireccindesimplificareltrabajodelaadministracinderedes.
LoshitosmsnotablesdeestaprogresinsonlaaparicindelaGPMCconServer2003,yahoraconServer2008
y2008R2lanuevaconsolaGPMC2.0.
EnestecaptuloestudiaremosunadelasmejorasmsdestacadasdeGPMC 2.0quesedenominaPreferenciasde
directivadegrupo.
LasplataformasquesoportanestanovedadsonWindowsXP,Vistay7paralospuestosdetrabajoyWindows
Server2003,2008y2008R2paralosservidores.Estaherramienta,queahoraesnativaenWindowsServer2008
y 2008 R2 (integrada en la GPMC 2.0), apareci en el mercado de forma independiente. DesktopStandard
Corporationfuesucreadora,yMicrosofteseldueoactualtrasadquirirestaempresa.
Microsoft incorpor las preferencias de directiva en Windows Server 2008 y 2008 R2 tras la compra de
DesktopStandard. Desde entonces hasta hoy, han sido parte integrante de los parmetros de directivas
disponibles en el editor de directivas de grupo. Incluso cuentan con su propio contenedor raz en el editor de
administracindedirectivasdegrupo.
Laspreferenciasdedirectivafuncionandemanerasimple.Losparmetrosnumerososyvariadosqueofrecenpara
su configuracin son el origen de archivos DLL muy poderosos. Efectivamente, permiten configurar parmetros
corrientes del puesto de trabajo que hasta ahora no estaban disponibles en los parmetros por defecto de
directivasdegrupooplantillasdeadministracin.Paraquelaspreferenciasdedirectivafuncionencorrectamente
en los puestos de trabajo, stos deben disponder de una extensin del lado cliente llamada CSE (Client Side
Extension).NotodaslasversionesdeWindowsincorporanlasCSEpordefecto.WindowsServer2008,2008R2y
Windows 7 son las versiones que disponen de parmetros de preferencias y de extensiones CSE por defecto.
RespectoalasotrasversionesdeWindows,stasprecisanqueseinstalenlasCSEsobrelospuestosdetrabajo.
Enestecaptulovamosaexplorarlasposibilidadesyfuncionalidadesdelaspreferenciasdedirectivas,culesson
lasdiferentesformasdeexplotarlasyconqufinalidad.Explicaremos,asuvez,quinpuedeusarlaspreferencias
yqucondicionestcnicassedebendarparahacerlo.
- 1-
Explorarlaspreferencias
Tras la adquisicin de DesktopStandard, Microsoft decidi integrar las preferencias de directivas en elEditor de
administracindepreferenciasdegrupoconelfindefacilitarsuconfiguracin.
Laspreferenciasdisponendeiconosespecficosquerepresentanalcomponentequemodifican.Elestilovisualde
los iconos est basado en el de Microsoft para mantener los hbitos y los puntos de referencia de los
administradores.
Paravisualizarunapreferenciadedirectivaysucontenido,esnecesariomodificarunaGPOexistenteobiencrear
unanueva.
EnlaconsolaGPMC,creeunanuevadirectivadegrupollamadaDirectivadepreferencias.
A continuacin, modifique la directiva desde el Editor de administracin de directivas de grupo.
Observarquelosdoscontenedores,ConfiguracindelequipoyConfiguracindeusuarioofrecenun
subcontenedor Preferencias. Este directorio contiene los elementos configurables de las preferencias
dedirectivas.
Ambos nodos, Configuracin del equipo y Configuracin de usuario disponen de dos subcategoras. Estas
categorassoneldirectorioConfiguracindeWindowsyeldirectorioConfiguracindelPaneldecontrol.Todos
losobjetosdeparmetrosdedirectivasdepreferenciasseguardanenestoscontenedores.
La lista de parmetros disponibles en los nodos Configuracin del equipo y Configuracin de usuario es
diferente.Noobstante,lamayoradelosparmetrossoncomunesalosdoscontenedores.
1.Listadeparmetrosdepreferencias
Hay muchas opciones de preferencias disponibles en los nodos Configuracin del equipo y Configuracin de
usuarioquesoncomunes.CiertaspreferenciassinembargosloestndisponiblesenelnodoConfiguracinde
usuario.
Para comprender la utilidad de las preferencias de directiva, puede ser interesante enumerar los objetos de
directivasqueesposibleconfigurar.
- 1-
Noolvidequelosparmetrosencargadosdetenerunefectosobreelequipoylosquelotienensobreelusuario,
notienenlasmismasfunciones.
a.ConfiguracindelequipoConfiguracindeWindows
La siguiente figura muestra una lista de los objetos que Ud. puede parametrizar en la Configuracin del
equipo.
Hay16objetosdepreferenciasconfigurablesenlaConfiguracindelequipo.Losapartadosdeestecaptulo
explicansuutilidadysuconfiguracin.
b.ConfiguracindeusuarioConfiguracindeWindows
HeaqulalistadeparmetrosdepreferenciasdisponiblesenelnodoConfiguracindeusuario.
- 2-
2.Creacindeunobjetodepreferencia
Alahoradeconfigurarunobjetodepreferencia,hayciertasoperacionesquesoncomunesacadaobjetodelos
nodosConfiguracindelequipoyConfiguracindeusuario.
Este captulo presenta un ejemplo de configuracin para cada objeto de preferencias ofrecido por Windows
Server 2008 y 2008 R2. Para evitar las repeticiones en las instrucciones de manipulacin se presenta a
continuacinlaestructuraylaprocedimientocomnacadaobjetodepreferencias.
a.Configuracindeunobjetodepreferencia
Cuandodeseecrearunparmetrodepreferencias,despliegueelmencontextualyhagaclicenNuevo.
Segn la preferencia que seleccione, podr escoger entre una o varias categoras de objeto. Cuando la
propuesta es mltiple, podr elegir en funcin de criterios variables como la versin del sistema operativo
objetivo,laconfiguracindelosobjetoslocalesocompartidosoinclusolasversionesdelasaplicacionessobre
lasquesedeseaquetengaefecto.
Paranuestroejemplo,crearemosunobjetoconeleccinnicayunobjetoconeleccinmltiple.
Configuracindeunobjetoconeleccinnica
AbraenmodificacinladirectivadegrupoDirectivadepreferencias.
Despliegue los subnodos del nodo Configuracin del equipo hasta mostrar Preferencias
ConfiguracindeWindows.
HagaclicderechosobreelobjetodepreferenciaEntornoyseleccioneNuevoVariabledeentorno.
- 3-
Configuracindeunobjetoconeleccinmltiple
AbraenmodificacinladirectivadegrupoDirectivadepreferencias.
Despliegue los subnodos del nodo Configuracin del equipo hasta llegar a Preferencias
ConfiguracindelPaneldecontrol.
Haga clic derecho sobre el objeto de preferencia Usuarios y grupos locales y seleccione Nuevo
Grupolocaldeentrelasdosopciones.
- 4-
Para facilitar su comprensin, es importante que recuerde que estas operaciones se repiten para
cadaparmetrodePreferencias.
b.Determinarlaaccinquelapreferenciadebeefectuar
Para cada objeto de preferencia, deber definir la accin a realizar sobre los puestos objetivo. Hay cuatro
accionesposibles.
Listadeaccionesparacadaobjeto
Actualizarunparmetroenelequipoousuarioobjetivo.
Crearunparmetroenelequipoousuarioobjetivo.
Reemplazarunparmetroenelequipoousuarioobjetivo.
Suprimirunparmetroenelequipoousuarioobjetivo.
Listadelasfuncionesdecadaobjeto
Actualizar:modificaunobjetoexistenteenelequipoousuarioobjetivo.
Crear:permitecrearunnuevoobjetoenelequipoousuarioobjetivo.
Reemplazar:suprimeyrecreaunobjetoenelequipoousuarioobjetivo.Estafuncinreemplazatodos
losparmetrosexistentes.
Suprimir:permitesuprimirunobjetoexistenteenelequipoousuarioobjetivo.
- 5-
Configuracindelosobjetosdepreferencias
El amplio abanico de parmetros de preferencias es suficiente para configurar el entorno de los usuarios y
encargarsedelamayorpartedelosobjetosconfiguradoshoyporlosscriptsdesesindeusuario.
Paracomprendermejorelintersyfuncionamientodelosparmetrosdepreferencias,realizaremosunanlisisde
lafuncindecadaunodeellos.
Estapartedelcaptuloestorganizadadeformaqueseevitenlasrepeticionesdebidasaparmetrospresentes
enlasdoscategoras,ConfiguracindelequipoyConfiguracindeusuario.
1.ConfiguracindelaspreferenciasdelcontenedorConfiguracindeWindows
a.Parmetrosdepreferenciascomunesalosequiposyalosusuarios
Entorno
La opcin Entorno permite parametrizar nuevas variables de entorno para los usuarios y para el sistema
operativo.TambinesposiblereemplazarlasvariablesderutapordefectodeWindows(SystemPath).
Enesteejemplo,crearemosunavariabledesistemallamadaNewVarqueapuntaraldirectorioC:\NewVar.
CreeunnuevoobjetoVariabledeentorno.
Escojaeltipodeaccinaefectuar.Ennuestrocaso,seleccioneActualizar.
Introduzca el nombre de la variable en el campo Nombre (NewVar) y el valor en el campo Valor
(C:\NewVar).
- 1-
SiactivaelcasillaPATH,lavariableseaadircomorutadeejecucin.
Archivos
LaopcinArchivoslepermitecopiarunarchivodeunarutaorigenaunarutadedestino.Generalmente,esta
preferenciaseempleaparalacopiadeunoovariosarchivosdelaredaundirectoriolocalenunpuestode
trabajo.Noobstantesepuedeconfigurarparacopiarunarchivolocalaotrolugareneldiscolocal.
En este ejemplo, escogeremos un archivo origen situado en el servidor de archivos y un archivo de destino
situadoeneldirectorioTempdelaunidadC:delospuestosdetrabajo.
CreeunanuevapreferenciadeArchivo.
Escojaeltipodeaccinaefectuar.Ennuestrocaso,seleccioneActualizar.
SeleccioneelolosArchivosdeorigenascomoelArchivodedestino.
HagaclicenAceptarparaterminar.
Cuandoseapliquelapreferencia,elarchivoorigenListadepersonal.xlsxdeldirectoriocompartidosobrelared
sobreescribiralarchivoenlocalListadepersonal.xlsxenelpuestodetrabajo.
Tambinesposiblerenombrarelarchivodedestinocuandosecrealapreferencia.
Carpetas
La preferencia Carpetas le permite efectuar operaciones sobre los directorios de los puestos de trabajo. Es
posible crear nuevos directorios, reemplazar directorios existentes, suprimir su contenido o el directorio
completo.
Enesteejemplo,borraremoselcontenidodeldirectorioC:\TempsirvindonosdelaaccinReemplazar.
CreeunapreferenciadeCarpetas.
- 2-
Escojaeltipodeaccinaefectuar.Ennuestrocaso,seleccioneReemplazar.
Introduzcalarutadeaccesodeldirectorioinvolucrado,enestecaso:C:\Temp.
Deentrelasopcionesadicionales,seleccionelassiguientes:
Eliminartodoslosarchivosdelascarpetas.
Permitireliminacindearchivosocarpetasdeslolectura.
Omitirerroresdearchivosocarpetasquenopuedeneliminarse.
HagaclicenAceptarparaterminar.
Archivos.ini
Los archivos INI o INF son archivos de configuracin cuya funcin es almacenar parmetros destinados a
modificar la configuracin de ciertas aplicaciones o del sistema operativo. Esta preferencia permite crear,
reemplazar,actualizarosuprimirunarchivoINIoINFenelsistemaoperativodelospuestoscliente.
Esposiblecrearentradastantoparaunarchivonuevocomoparaunoexistente.
En este ejemplo, crearemos una preferencia de directiva cuyo papel ser el de actualizar el valor de la
propiedadaplnamedelarchivoaplnegocio.ini.
CreeunapreferenciadeArchivos.ini.
Escojaeltipodeaccinaefectuar.Ennuestrocaso,seleccioneActualizar.
IntroduzcavaloresenloscamposrequeridosNombredeseccin,NombredepropiedadyValorde
propiedadquesedeseaaadiralarchivo.
- 3-
HagaclicenAceptarparaterminar.
Registro
Este parmetro de los objetos de preferencia es especialmente interesante por su alcance. Efectivamente,
permitemodificardirectamenteelregistro(registry)delospuestoscliente.
Esimprescindibletomarelmximodeprecauciones,comoparatodaslasmanipulacionesquesehagansobreel
registro.Enefecto,cualquieroperacindescuidadaessusceptibledecausarunfalloirremediableenelsistema
impactado.
CuandosemodificaunapreferenciadeRegistrosepuedecrearunaclavenueva,modificarunvalor,osuprimir
unaclaveexistente.
La categora adicional llamada Elemento de coleccin permite organizar las modificaciones por grupos. El
filtradotieneefectoaniveldelacoleccin,yanoesindividualparacadamodificacindeclave.
Enesteejemplo,medianteunamodificacindelregistro,definiremoseleditorHMTLpordefectodelaaplicacin
InternetExplorer.
Elasistentepermitemodificardeunasolavezvariosvaloresdeunsubrbolexistenteyguardarlo
enunacoleccin!
CreeunnuevoarchivoderegistroayudndosedelAsistenteparaelregistro.
CuandoseempleaelAsistente,noserequiereningntipodeaccinparaestadirectiva.
Escojaelorigendelquedeberextraerseelvalorderegistro.
- 4-
Paranuestroejemplo,escojaEquipolocal.
HagaclicenSiguiente.
Escojaenelregistrolocallaclavequedeseeextraeryaplicarcomopreferenciasobresuspuestosde
trabajo.
En el registro local, optaremos por el valor de registro que define el editor HTML por defecto de Internet
Explorer.
SeleccionelaclaveyhagaclicenFinalizar.
Ud.puedecrearigualmentesuspropiosvaloresderegistrocomopreferenciassinayudadelAsistenteparael
- 5-
registro.
Enesecaso,esnecesariodominarlosprincipiosdefuncionamientodelregistrodeWindows.
Recursoscompartidosdered
Estapreferencialepermitecompartirautomticamenteundirectoriocontodoslosequiposdelared.
Es posible definir un lmite para el nmero de accesos simultneos al directorio compartido (por defecto este
valorlmiteesde10paralospuestosclientes)oactivarodesactivarlafuncinABE(AccessBasedEnumeration)
paraocultarlosrecursoscompartidosdelarednoaccesiblesalosusuarios.
Enesteejemplo,crearemosycompartiremosundirectoriodestinadoalosmiembrosdeuncomitdeempresa.
Estedirectoriocompartidosenecesitamientrasdurelafusindedosorganizacionesenprocesodeasociarse.
Elaccesoaldirectoriodeberestarrestringidoalos5miembrosdelcomitdeempresa.
CreeunnuevoobjetodepreferenciaRecursoscompartidosdered.
Escojaeltipodeaccinaefectuar.Ennuestrocaso,seleccioneCrear.
IntroduzcaelRecursocompartido,seleccionelaRutadeaccesoalacarpeta(directorioacompartir)
yaadacomentariossifuesenecesario.
HagaclicenAceptar.
Accesosdirectos
Lapreferencia Accesosdirectos permite crear accesos directos en el Escritorio a aplicaciones en los puestos
objetivo.
Enesteejemplo,crearemosunaccesodirectoalaaplicacindenegociodelosmiembrosdelserviciodediseo
grficoentresdimensiones.LaaplicacinsellamaDesign3DydebeestaraccesibledesdeelEscritoriodelos
- 6-
usuarios.
CreeunnuevoobjetodepreferenciaAccesosdirectos.
Escojaeltipodeaccinaefectuar.Ennuestrocaso,seleccioneCrear.
Escoja el Nombre y Ubicacin de destino para el acceso directo y el Tipo de destino entre las
diferentes opciones. Determine, a continuacin, laRuta de destino y los Argumentosdelobjeto,si
los necesita. En la ltima seccin, introduzca el directorio de arranque de la aplicacin, un mtodo
abreviadodetecladosiaplica,eltamaodelaventana,uncomentarioascomolarutadeaccesoa
laimagendelicono.
HagaclicenAceptar.
b.Parmetrosdepreferenciasdelosusuarios
Aplicaciones
EsteobjetodepreferenciapermiteconfigurarrpidamenteaplicacionesMicrosofttalescomoelpaqueteOffice,
Outlook2003y2007,MicrosoftVisiooProject...
ElobjetodepreferenciaexistepordefectoenlaconfiguracindeWindowsServer2008perosuusorequiere
queseinstalenpreviamentelascorrespondientesextensionesdelasaplicaciones.
Asignacionesdeunidades
Yanoesnecesariomodificarcontinuamentelosscriptsdeiniciodesesinparaasignarlasnuevasunidadesde
lecturaalosusuarios.
Conestapreferenciaesposibleconectarydesconectarlosvolmenesdered,yasignarlesunaletradeunidad
delectura.
- 7-
En este ejemplo, crearemos y daremos acceso a un volumen de red destinado a almacenar los archivos
pblicosdelaempresa.Elvolumensedebecrearenelservidordearchivos,ylaunidaddebetenerasignadala
letraP.
CreeunnuevoobjetodepreferenciaUnidadasignada.
Escojaeltipodeaccinaefectuar.Ennuestrocaso,escojaCrear.
Configureelvolumenderedalquedeseadaraccesoconlosparmetrosadecuados.Siaslodesea,
puede asignar una cuenta de usuario especfica para conectarse al volumen. Tambin puede
personalizarlasopcionesdevisualizacindelaunidadenelexploradordeWindowsobjetivo.
HagaclicenAceptar.
2.ConfiguracindelaspreferenciasdelcontenedorConfiguracindelpaneldecontrol
a.Parmetrosdepreferenciascomunesalosequiposyalosusuarios
Orgenesdedatos
ElusodebasesdedatosdetipoSQLServer,Oracle,Access,ExcelyarchivosCSVrequierelaconfiguracinde
loscorrespondientesorgenesdebasededatos.Estapreferenciapermiteconfigurarelorigendedatospara
una aplicacin especfica y escoger si se desea aplicar esta parametrizacin al sistema o a los usuarios, en
funcindeloquesenecesite.
Enesteejemplo,actualizaremoslafuentededatosMSAccessDatabaseenelsistemaobjetivo.Supondremos
que, al haber cambiado la contrasea de la cuenta AdminMDB, los equipos ya no tienen la autorizacin para
conectarsealabasededatosAccess.
CreeunnuevoobjetodepreferenciaOrigendedatos.
Escojaeltipodeaccinaefectuar.Ennuestrocaso,seleccioneActualizar.
- 8-
Escoja el Nombre origen datos (DSN) y el Controlador que le corresponde utilizar de entre los
disponibles.Enesteejemplo,elegiremosMDBparalasbasesdedatosMicrosoftAccess.Enlaseccin
correspondiente, tendremos que designar, a su vez, una cuenta (con su contrasea) con los
permisosnecesariospararealizarlasconexiones.
HagaclicenAceptar.
Dispositivos
Es posible activar o desactivar ciertos dispositivos empleando una preferencia de directiva. Es posible
desactivarunobjetodeformaunitaria,obienunaclasedeobjetos.
En este ejemplo, desactivaremos la clase de dispositivo del sistema de audio con el objetivo de impedir el
funcionamientodedispositivosdeaudioenlospuestoscliente.Nosepodrescucharmsicasobrelospuestos
impactadosporestapreferencia.
CreeunnuevoobjetodepreferenciaDispositivo.
Escoja el tipo de Accin a efectuar. En nuestro caso, seleccione No usar este dispositivo
(deshabilitar).
- 9-
La ventana de dilogo Dispositivo parece mostrarse de forma errnea. En efecto, los botones de
seleccindeAccinydeClasededispositivonoaparecenporcompleto.ParaescogerlaAccin,es
necesariohacerclicenelcampodirectamenteyparaaccederalmenClasededispositivo,esnecesario
hacerclicenlapartedelbotnquesemuestra.
EscojalaClasededispositivooeldispositivoindividualquedeseeactivarodesactivar.
Cuandohayaescogido,hagaclicenSeleccionar.
- 10 -
HagaclicenAceptar.
Opcionesdecarpeta
La preferencia Opciones de carpeta del nodo Configuracin del equipo permite asociar una extensin de
nombre de archivo a un programa especfico en Windows. Se puede igualmente asociar una extensin de
archivoaunaclaseespecficadearchivo.
En este ejemplo, crearemos una preferencia Opciones de carpeta que tendr como objetivo asociar los
archivosdeimagenPNGconelprogramaPaintbrushdeWindows.
CreeunnuevoobjetodepreferenciaOpcionesdecarpetaTipodearchivo.
EscojaeltipodeAccinaefectuar.Ennuestrocaso,seleccioneActualizar.
IntroduzcaelvalorparaExtensinarchivoquedeseeasociaryelprograma(Claseasociada)alque
quedarasignado.
HagaclicenAceptar.
Usuariosygruposlocales
Esteparmetrodedirectivaesdeintersparatodoslosmiembrosdeldepartamentoinformtico.Graciasalas
preferenciasdedirectiva,esfactibleahoramodificarlascuentaslocalesdelospuestosdetrabajo.
Renombrar, suprimir o modificar las autorizaciones de las cuentas locales de administradores o usuarios,
cambiarlacontrasea,inclusocrearcuentassuplementarias,sondesdeahoratareassencillas.
Las operaciones como la creacin o supresin de los grupos locales, la adicin o supresin de miembros de
diferentesgruposlocalesson,igualmente,posibles.
Enesteejemplo,crearemosunacuentadeadministradorlocalsobrelospuestosdetrabajoqueserviralos
equipos tcnicos durante una migracin. El proyecto de migracin debe haber concluido para finales de abril,
- 11 -
porloquelacuentaestprevistoqueexpireel30/04/2013.
CreeunnuevoobjetodepreferenciaUsuariolocal.
EscojaeltipodeAccinaefectuar.Ennuestrocaso,seleccioneCrear.
Introduzca los datos de identificacin de la cuenta as como la Contrasea correspondiente.
Configureacontinuacinlasopcionesdelacuentasegnsusnecesidades.
HagaclicenAceptar.
Opcionesdered
Esta preferencia es interesante para las organizaciones en las que los usuarios externos disponen de una
configuracin especfica. Tanto ms cuando, con mucha frecuencia, estas configuraciones son especficas y
estnsecurizadas,yaquedebendaraccesoalaredlocaldesdeelexteriordelaempresa.
LasopcionesderedlefacilitanlatareacuandosetratadecrearydesplegarconexionesVPN(VirtualPrivate
Network)oDUN(DialUpNetwork).
Entre los parmetros, es posible configurar las opciones de rellamada, el nmero de reintentos de conexin
antesdeabandonar,ascomoelintervaloentrestos.
La parte Seguridad le permite administrar los parmetros necesarios para la autentificacin. Puede escoger
entreprotocolosestndaroprotocolosavanzadosenlosqueelniveldeseguridadesmselevado.
Enesteejemplo,crearemosunaconexinVPNparalosusuariosexternosdelared.
CreeunnuevoobjetodepreferenciaOpcionesderedyescojaConexinVPN.
EscojaeltipodeAccinaefectuar.Ennuestrocaso,seleccioneCrear.
Acontinuacin,configurelosparmetrosdeconexinenfuncindesured.
- 12 -
HagaclicenlapestaaOpciones.
ConfigurelasopcionesdellamadayrellamadaparalosreintentosdeconexinVPN.
HagaclicenlapestaaSeguridadparaconfigurarlasopcionesdecifradodedatos,siesnecesario.
- 13 -
HagaclicenAceptar.
Opcionesdeenerga
Sobreesteobjetoesposibleencontrarnumerososartculosenvariossitiosdeinternetespecializados.Sutema
central es ofrecer la configuracin de las opciones de alimentacin y su despliegue mediante directivas de
grupoconelobjetivodereducirelconsumoenergticodelaempresa.
Enprimerlugar,esimportantesealarqueestapreferenciaestaprevistaparaquefuncioneconWindowsXP
nicamente.Adems,lapreferenciadedirectivaOpcionesdeenergasedivideendoscategorasdistintas.En
efecto, Ud. tiene posibilidad de gestionar independientemente las opciones de alimentacin y el modo de
gestindelaalimentacin.Windowsproporcionaunciertonmerodeperfilespordefectodelmododegestin
delaalimentacin.SinosonlosqueUd.necesita,puedecrearunosnuevosmsadaptadosalasnecesidades
desuorganizacin.
Finalmente, tambin tiene la posibilidad de configurar opciones de seguridad tales como la peticin de
contraseatraselmododeesperadelospuestosylahabilitacindelahibernacin.
Enesteejemplo,configuraremoslasopcionesdealimentacindelospuestosdetrabajoy,acontinuacin,su
mododegestin.
Escogeremosunaconfiguracinpersonalizadaparalasopcionesdemododeespera,paraseguirlasnormasde
nuestraempresa.
CreeunnuevoobjetodepreferenciaOpcionesdeenerga(WindowsXP).
Marque las opciones Solicitar contrasea cuando el equipo se active tras el modo de espera y
Habilitarhibernacin.
Escojalasopciones:MododeesperaCuandocierrelatapadelequipoporttil,Preguntarmequ
hacerCuandopresioneelbotndeencendidodelequipoyMododeesperaCuandopresioneel
botndesuspensindelequipo.
- 14 -
HagaclicenAceptar.
Ahora, configuraremos la preferencia Combinacin de energa para definir en qu casos se debe activar el
mododeespera.
CreeunnuevoobjetodepreferenciaCombinacindeenerga(WindowsXP).
EscojaeltipodeAccinaefectuar.Ennuestrocaso,seleccioneActualizar.
Acontinuacin,definaelperfilquedeseaconfigurarconlosintervalosdetiempomsconvenientes
parasuorganizacin.
- 15 -
HagaclicenAceptar.
Atencin,lasopcionesdealimentacintanslofuncionansobresistemasoperativosWindowsXP.
Impresoras
Las impresoras generalmente dan mucho trabajo a los equipos tcnicos. Las necesidades de instalacin o
reinstalacindeimpresoraslocalesocompartidasenlareddanpieanumerososdesplazamientos.
Ensumayorparte,lasintervencionesrelacionadasconlainstalacindeimpresorasolaactualizacindesus
controladorestienenlugardirectamentesobrelosequipos.
Ahora,sepuedeemplearWindowsServer2008ylaspreferenciasdedirectivaparainstalarimpresoraslocales
oenredydesplegarlasdesdelaconsoladeadministracindedirectivasdegrupo.Estopermiteevitareluso
descriptsyofrecelaposibilidadderealizartodaslasoperacionesdesdelosservidores.
Enesteejemplo,configuraremosunaimpresoraderedqueutilizaelprotocoloTCP/IPparadesplegarlasobre
lospuestosdetrabajodelosdiferentesdepartamentosquelaemplearn.
Cree un nuevo objeto de preferencia Impresoras y escoja Impresora TCP/IP para instalar una
impresoradered.
EscojaeltipodeAccinaefectuar.Ennuestrocaso,seleccioneCrear.
Indiquela DireccinIP de la impresora, introduzca su nombre as como su ruta de acceso en red.
LasseccionesUbicacinyComentariosepuedenutilizarparalocalizarlaimpresorarpidamente.
- 16 -
Paraconfigurarlasopcionesrelativasalpuertoempleadoporlaimpresora,hagaclicenlapestaa
Configuracindepuerto.
Esposibleescogerelprotocoloutilizadoporlaimpresora,ascomoelnmerodepuerto.
TambinsedisponedeconfiguracinparalagestindecolasySNMP.
HagaclicenAceptar.
- 17 -
Despusdevariaspruebasrealizadasenempresas,sepuedeconcluirqueesteparmetro,siest
permanentementeactivado,puederalentizarconsiderablementelosiniciosdesesin.
Tareasprogramadas
Esteparmetrodepreferenciapermitecreartareasprogramadasotareasurgentes,paralasquelaejecucin
debeserinmediata.
Lasopcionesdelastareasprogramadaslepermitendefinirlasfechasyhorasalasquesedebenejecutary
asociarlasconlasaplicacionesquepermitensuejecucin.
Enesteejemplo,crearemosunatareaprogramadaasociadaaunscriptdeejecucincuyafuncineseliminar
losarchivosdelogdeunaaplicacindenegocio.
Cree un nuevo objeto de preferencia Tarea programada y escoja la creacin de una Tarea
programada.
EscojaeltipodeAccinaefectuar.Ennuestrocaso,seleccioneCrear.
Introduzcalosparmetrosdeconfiguracindelatarea,sunombre,elscriptolaaplicacinquedebe
arrancar,enqueruta,ascomolasautorizacionesnecesariasparasuejecucin.
HagaclicenlapestaaProgramarparaconfigurarlosparmetrosdelaplanificacin.
Definalafrecuenciadeejecucindelatareaylahoraalaquedebecomenzar.
- 18 -
EsposibleconfiguraropcionescomplementariasenlapestaaConfiguracinsisedeseaaumentarelnivelde
controlsobrelatareaprogramada.
HagaclicenAceptar.
- 19 -
Servicios
Esta preferencia elimina la necesidad de scripts o del uso de la consola de recuperacin para gestionar los
serviciossobrelospuestosdetrabajoylosservidores.
Ahora, es posible modificar las propiedades de los servicios escogiendo entre sus posibilidades de
configuracin,comopuedensereltipodearranqueydeaccinarealizar,ylacuentaquepermiteejecutarlas
operacionesprogramadas.
Es posible definir las configuraciones por defecto de los servicios y actualizar los puestos de trabajo con las
preferenciasdedirectiva.Adems,puederesolverincidenciassobrelared,porejemploenlasqueunservicio
seveespordicamenteinterrumpidosobreunconjuntodeequipos.
Enesteejemplo,crearemosunapreferenciadedirectivadeServiciosconelobjetivodedesactivarelTerminal
Serversobreciertospuestosdeldominioalosqueelaccesoestfuertementerestringido.
CreeunnuevoobjetodepreferenciaServicio.
EscojalaformadeInicio.Ennuestrocaso,seleccioneDeshabilitado.
Haga clic en el botn al lado del campo Nombre de servicio para seleccionar el servicio que ser
desactivado.
- 20 -
Unavezelegidoelservicio,hagaclicenSeleccionar.
HagaclicenAceptar.
b.Parmetrosdepreferenciasdelosusuarios
Opcionesdecarpeta
Losparmetrosdisponiblesenestapreferenciapermitenmodificarlasopcionesdelosdirectoriosigualquecon
el men ofrecido por el explorador de Windows. Se puede configurar la forma en que los directorios se
muestranyorganizanascomoelniveldedetalledelosdatossobrelosdirectoriosylosarchivos.
Enesteejemplo,escogeremosmostrarlarutacompletaenlabarradettulo,mostrarlosdirectoriosocultosy
nomostrarlasextensionesdelosarchivosdelosqueseconoceeltipo.
Atencin:estapreferenciasloesdeaplicacinenlasversionesXPyVistadeWindows.
CreeunnuevoobjetodepreferenciaOpcionesdecarpeta(WindowsVista).
Modifiquelasopcionesqueleinteresenenfuncindelasnecesidadesdelosusuarios.
- 21 -
HagaclicenAceptar.
ConfiguracindeInternet
Actualmente, Internet Explorer es el navegador empleado por defecto en gran nmero de empresas. La
aplicacin contiene numerosas opciones de configuracin. En esta preferencia de directiva, los parmetros
disponiblesvaranenfuncindelasversionesdeInternetExplorerinstaladas.
Por ejemplo, se tiene la posibilidad de configurar las zonas de seguridad, los sitios de confianza, o tambin
activarlosfiltrosantipopupyantiphishing.
En este ejemplo, configuraremos la pgina de inicio por defecto as como el nivel de seguridad de la Zona
Internet. Escogeremos la configuracin de Internet Explorer 7 frente a la de las versiones 5 y 6 que estn
igualmentedisponibles.
CreeunnuevoobjetodepreferenciaConfiguracindeInternetyescojaInternetExplorer7.
DefinalasopcionesdeInternetExplorerquedeseeactivarsobrelospuestosdetrabajoyconfigure
losparmetrosdelaspestaasquenecesite.
Ennuestrocaso,introduzcalaURLpordefectoparalapginadeiniciodelosusuarios.
- 22 -
- 23 -
HagaclicenAceptar.
Configuracinregional
Esteparmetrodepreferencialepermitedefinirelidiomapordefectoutilizadoenelsistemaoperativoobjetivo.
La eleccin de pas tiene un impacto sobre el formato con que se muestra la hora, las cifras, la fecha, las
monedasytambinelidiomadelteclado.
Existe la posibilidad de definir el pas para que queden definidos automticamente el resto de parmetros.
Pero,silodesea,tambinpuededefinirlosvaloresdelasotraspestaasdeformamanual.
En este ejemplo, crearemos un parmetro de preferencia Configuracin regional cuya configuracin estar
basada en el pas Espaa. Modificaremos los parmetros de la pestaa Moneda para cambiar la moneda de
euro a dlar. En efecto, los usuarios del departamento de Importacin estn constantemente realizando
transaccionesconEstadosUnidosycompransumercancaendlares.
CreeunnuevoobjetodepreferenciaConfiguracinregional.
Configurelasopcionesregionalesrespectoatodosloscriteriosdisponiblessegnsusnecesidades.
Ennuestrocaso,definaelpasenlapestaaConfiguracinregionalparaqueseaEspaol(Espaa,
internacional).
- 24 -
Ahora,modificaremoslamonedaempleada.
HagaclicenlapestaaMoneda.
HagaclicenAceptar.
- 25 -
MenInicio
Esta preferencia le permite configurar el men Inicio. En primer lugar, puede escoger entre el men de
WindowsXPyeldeWindowsVista.Adems,lepermitircrearlosaccesosdirectosqueestimeoportunosyque
estarn solos en la barra de tareas del men Inicio de Windows. Puede configurar el men Inicio de los
usuariosdeformapersonalizadayaimagendesuempresa.
Enesteejemplo,escogeremosunmenIniciosimplificadoparalosusuariosdelared.
CreeunnuevoobjetodepreferenciaMenInicioyescojaelMenInicioWindowsVista.
HagaclicenAceptar.
3.LasopcionesdelapestaaComunes
Comohabrpodidoobservar,cadaunadelaspreferenciastieneunapestaacomnllamadaComunes.Todas
lasopcionesdisponiblesenelinteriordeestapestaasonlasmismasparacadaobjeto.
EnlasiguientefiguralaventanadedilogomuestralasopcionesdelapestaaComunesseguidasdeuntexto
descriptivodetalladoparacadaparmetro.
- 26 -
Detenerprocesam.elementosenextensinsiseproduceunerror
YahemosvistoqueesposibleefectuarvariasaccionesdesdeunamismaGPO.
Se impone la puesta en marcha de un sistema de gestin de errores. Si la primera accin de la GPO crea una
nuevacuentadeusuario,lasegundamodificalacontrasea,ylatercerayltimaaadelacuentaaungrupo,
pareceevidentequelasdosltimasaccionestanslosepuedenejecutarsilacuentahasidocreadaconxito.
Seleccionando esta opcin, el proceso de aplicacin de los parmetros de la GPO se interrumpir en caso de
error.Sepasaraanalizarladirectivasiguiente.
Ejecutarencontextoseg.usuarioconsesininiciada(dir.usuarios)
LacuentaempleadapordefectoparalaspreferenciasdedirectivaeslacuentaLocalSystem.
Alseleccionarestaopcin,laspreferenciasdedirectivasemplearnlascredencialesdelacuentadeusuario.
Quitaresteelementocuandoyanoseaplique
Estaopcinpermitesuprimirlosobjetoscreadosporlaspreferenciasdedirectivacuandoyanoestnactivos.
Aplicarunavezynovolveraaplicar
Seleccione esta opcin si desea aplicar la directiva una sola vez. Por defecto, las directivas de preferencia se
aplicancada90minutos,igualquelasdirectivasdegruponormales.
Destinatariosdeniveldeelemento
Establezcadeformaprecisaaquusuariosyaquequiposdeseaaplicarlaspreferencias.
Activeestaopcinenprimerlugar,despushagaclicenelbotnDestinatariosparaescogereldestinodecada
elementograciasalEditordedestinatarios.
- 27 -
4.Lasopcionesdeobjetosdepreferenciasexistentes
Cadaparmetrodepreferencia,yasearecincreadooexistente,disponedeciertasopcionesenel Editorde
administracindedirectivasdegrupo.Esposibleefectuaroperacionestalescomomostrarlosdatosdelobjeto
enformatoXML,exportarlalistaaarchivodetexto,oactivar/desactivarobjetos.
Una vez se ha creado un objeto preferencia en elEditor de administracin de directivas de grupo,
seleccioneelobjetoenlapartederechadelapantalla.
Trasefectuarlaseleccin,labarrademensituadaencimayalaizquierdadelobjetopermiteefectuar
lasoperacionessiguientes:
- 28 -
Cortar,pegar,eliminarymodificarlaspropiedadesdeunobjeto.
Imprimiryactualizarelobjeto.
Exportarlalistadeobjetosaunarchivodetexto.
MostrarlosdatosXMLdeunobjeto.
Desactivaroactivarunobjeto.
Arquitecturayfuncionamientodelaspreferenciasdedirectiva
Los apartados anteriores ponen de relieve que las preferencias de directiva son una de las principales
innovacionesdeWindowsServer2008y2008R2.
Laconfiguracindeestasdirectivassedefinesobrelosservidoresolospuestosdeadministracinquedisponen
de los componentes objetos de preferencias. Las modificaciones y las parametrizaciones se aplican sobre los
puestos de trabajo cuando stos disponen de las CSE (Client Side Extensions) de Windows. Es interesante
recordar la composicin bsica de las extensiones del lado cliente que permiten ejecutar las peticiones de
modificacin de parmetros requeridos por las preferencias de directiva. Las CSE se apoyan sobre archivos DLL
muypotentescapacesdetratarloscambiosdeconfiguracinquelaspreferenciascomportan.
1.Administrarlaspreferencias
Para aplicar correctamente las preferencias de Windows Server 2008 y 2008 R2, un puesto de trabajo debe
disponerdelasCSE.Enelmomentoactual,delasdiferentesversionesdeWindowsanterioresaWindows2008
yVistaningunaincluyepordefectoniloscomponentes,nilasextensionesdelladocliente.
Los sistemas que permiten la creacin y la implementacin de preferencias de directiva son necesariamente
WindowsServer2008oWindowsVistacomoestacindeadministracin.
Los componentes de preferencias se suministran con Windows Server 2008 y 2008 R2, tan slo se precisa la
instalacin adicional del objeto Applications. Si los administradores desean administrar tanto las directivas de
grupo como las preferencias desde un puesto Windows Vista o 7, es preciso que instalen los componentes
adicionalesquepermitenrealizardichasoperaciones.
2.Aplicarlaspreferencias
Unavezsehandefinidoydesplegadolaspreferencias,esnecesarioconfigurarlospuestosclientesobjetivo.Las
preferenciasdedirectivadegrupotienenunaseriederequisitospreviosparapoderfuncionarsobrelospuestos
detrabajo.
sta es la lista de los diferentes sistemas operativos con la configuracin mnima requerida para procesar las
preferencias:
WindowsXPconServicePack2instalado
WindowsServer2003conServicePack1instalado
WindowsVistaconlasCSE
WindowsServer2008
WindowsServer2008R2
Windows7.
3.Instalacindelasextensionesdelladoclientesobrelosequipos
Paratenerunavisindecontextosobreelmododefuncionamientodelaspreferenciasdegrupo,recordaremos
questeconstadedosfasesdiferenciadas.
Laprimerafaseconsisteencrearyconfigurarlosobjetosdepreferenciassobrelosservidoresolospuestosde
administracinquedispongandelasherramientasadecuadas.
Lasegundafaseconsisteenaplicarestasparametrizacionessobrelospuestosdelared.Enefecto,losequipos
objetivo deben tener la capacidad para procesar las preferencias de directiva y para aplicar las modificaciones
questasaportan.Enestecaso,todoslospuestosobjetivotienenlaobligacindedisponerdelasextensiones
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
delladocliente.
a.WindowsServer2008y2008R2
Windows Server 2008 y 2008 R2 estn equipados por defecto con los componentes necesarios para el
funcionamientodelaspreferenciasdedirectiva.
b.WindowsServer2003,WindowsXP
ParaqueWindowsServer2003yWindowsXPpuedanaplicarlaspreferenciasdeladirectiva,esimprescindible
instalarlasCSEsobrelosequipos.
En estas versiones de Windows es obligatoria la instalacin de XMLlite previamente a la aplicacin de los
parches de preferencias. Podr localizar los archivos de instalacin en el sitio de Microsoft
(http://www.microsoft.com)conlaayudadesumotordebsqueda.
c.WindowsVista
Windows Vista tan slo requiere la descarga e instalacin del parche .MSU (MicroSoft Update patch) desde el
sitiodeMicrosoft.Deestaforma,dispondrdelasextensionesdelladoclienteparaaplicarlaspreferencias.
d.Windows7
Windows7noprecisadeningunainstalacinsuplementariaparapoderprocesarlaspreferencias.
e.InstalacindelasCSE
Las extensiones del lado cliente estn contenidas en archivos ejecutables .EXE o .MSU. No es posible
desplegarlosdeformamasivamediantedirectivasdegrupo.ExistelaposibilidaddeutilizarunservidorWSUS
(WindowsServerUpdateServices)ounaherramientaequivalentesilainstalacinmanualnoesposible.Deno
seras,deberrealizarlasinstalacionesunaaunasobrecadapuestoclienteenelquedeseepoderaplicarlas
preferenciasdedirectiva.
4.Gestionarloscomponentesdepreferenciassobrelospuestosdeadministracin
Enestemomento,lospuestosclientesestaranlistos.
La eleccin de emplear una estacin de administracin de Windows Vista o 7, o directamente uno de los
servidores para administrar e implementar las directivas de grupo forma parte de la poltica de empresa.
Generalmente son los administradores quienes deciden cules son los medios tcnicos ms eficaces para
administrarlared.
a.AdministrarlaspreferenciasdedirectivadesdeunequipoWindowsVistao7
Si ha escogido un puesto de trabajo para administrar las directivas de grupo, hay que configurarlo en
consecuencia.
Loscomponentesrelacionadosconlaspreferenciasdedirectivaseinstalanendostiempos:
- 2-
El paquete RSAT (Remote Server Administration Tool) est disponible para su descarga en el sitio de
Microsoft.Contienelosprincipalescomponentesdelaspreferenciasdedirectivas.
Una herramienta adicional est igualmente disponible para su descarga en el sitio de Microsoft. Se
tratadelobjetodepreferenciaAplicacionesquepermitegestionardiferentesaplicacionespublicadas
porMicrosoft.
b.AdministrarlaspreferenciasdedirectivadesdeunservidorWindowsServer2008o2008R2
Recuerde que los componentes de preferencias de directiva se suministran por defecto con Windows Server
2008y2008R2.
LosparmetrosdepreferenciasestndisponiblesatravsdelaGPMCenlosdirectoriosPreferenciasdelos
nodos Configuracin de equipo y usuario. Nos centraremos en el nodo Configuracin de usuario
Preferencias Configuracin de Windows.EstecontenedordisponedelobjetodepreferenciaAplicaciones,
perohayundetallesutilatenerencuenta.
Efectivamente,leserposiblecrearesteobjeto,perosteserinutilizableporquelaventanadedilogonole
permitirseleccionarunaaplicacinenparticular.
Estaparticularidadtienesurazndeserenmotivoslegalesdifcilmentecomprensibles.Noobstante,esposible
descargar el componente Aplicaciones (archivo DLL) desde el sitio de Microsoft e instalarlo siguiendo las
instrucciones.
- 3-
Enlacesydescarga
Este enlace le permitir acceder a la descarga de las extensiones del lado cliente para Vista:
http://www.microsoft.com/downloads/details.aspx?FamilyID=ab60dc87884c46d582cd
f3c299dac7cc&DisplayLang=es
- 1-
Conclusinycomentarios
LaspreferenciasdedirectivapuedenconsiderarseunadelasnovedadesmsnotablesdeWindowsServer2008y
2008R2.
Desdesuaparicinhastalafecha,elfuncionamientodelasdirectivasdegrupohasufridomuchasmodificaciones.
Algunas estn relacionadas con su funcionamiento, otras con los parmetros de objetos disponibles y con las
formasdeaplicarlosenActiveDirectory.
Laspreferenciasdedirectivapuedenversecomounresumendelasprincipalesopcionesdeconfiguracindelos
perfilesdeusuariodelospuestosdetrabajoenunaredempresarialMicrosoft.
Las preferencias reemplazan la mayor parte del contenido de los scripts de inicio de sesin y de las
parametrizacionesdelosperfilesdeusuario.Familiarizndoseconlasherramientasdepreferenciasdedirectivasy
utilizndolasdemaneraptima,sealigerandeformaconsiderablelastareasdeadministracinderedes.
No siempre es sencillo elegir entre usar las preferencias o usar las directivas de grupo. Como elementos a
considerarennuestradecisin,compararemosdeformanoexhaustivalosmodosdefuncionamientodecadauna
delasdosopciones.
Enprimerlugar,laspreferenciasdedirectivafuncionandeformadiferentealasdirectivasdegruponormales.En
efecto, podr darse cuenta de que su apariencia en la consola de administracin de directivas de grupo es
diferentedeladelasGPOestndar.Losiconosempleados,yladisposicindelosdiferentesobjetosnosehan
concebido para que se correspondan con los otros tipos de parmetros del editor de administracin de las
directivasdegrupo.
Les preferencias de directivas constituyen una entidad autnoma considerada como una parte del sistema de
administracindelaspolticasdedirectivasdegrupo.
RecordemosquelosparmetrosdepreferenciasseencuentranaccesiblesenelmismolugarquelosdelasGPO.
Noobstante,susfuncionamientosrespectivossonligeramentediferentes.
Enefecto,cuandounparmetrodedirectivadegruposedefineyaplicasobreunpuestodetrabajo,laseccindel
registro del equipo cliente impactada por la modificacin de configuracin queda protegida. Lo que esto quiere
decir es que un usuario no tiene posibilidad de modificar el registro manualmente de tal forma que elimine los
efectosdeladirectivadegruposobresupuesto.
Losaccesosalasclavesdelregistrodelasdirectivasdegrupoquedanbloqueadosparaimpedirlaanulacindela
aplicacin de los parmetros por parte de los usuarios. Una vez escrito en el registro, un parmetro de
configuracin aplicado mediante una GPO queda inaccesible para los usuarios, salvo que dispongan de los
permisosnecesarios.
Las preferencias tienen un funcionamiento algo distinto. De hecho, las preferencias no guardan sus
parametrizacionesenlasclavesdelregistro(Policieskeys)bloqueadasporelsistemaoperativo.Lasaplicaciones
impactadas por los parmetros de preferencias obtienen los datos de configuracin de otro emplazamiento del
registro,enelquelosaccesosnoestnrestringidos.
Silasclavesdelregistrocorrespondientesaparametrizacionesdepreferenciasestuviesenguardadasen
el mismo sitio que las claves de registro de los parmetros de directiva de grupo, las preferencias
sencillamentenopodranfuncionarenlospuestosdetrabajo.
Por tanto, los archivos que contienen las configuraciones y parametrizaciones de preferencias pueden ser
modificadosyeliminadosdelospuestosdetrabajoporpartedelosusuarios.
En Active Directory, cuando se mueve un objeto usuario o equipo de una unidad organizativa a otra, los
parmetrosdepreferenciaspermanecenactivosenelequipo.Enefecto,laspreferenciasquedanregistradasenel
sistemacliente,dondepersistenapesardeesamodificacin.
Sinembargo,enelcasodeunaeliminacindeunaclavederegistroquecontengaunparmetrodepreferencia,
- 1-
ste ser reescrito en el momento en que se aplique la directiva de grupo que lo contiene. Adems, los
parmetros de preferencias se aplican con la misma frecuencia y al mismo tiempo que los de las directivas de
grupo. Si un usuario ha modificado uno de los parmetros aplicados como preferencia, ste se realinear
automticamenteconladirectivadesplegadaencuantostasevuelvaaaplicar.
Porejemplo,imaginemosunapreferenciadedirectivacuyopapelseacrearelaccesoaunvolumencompartidoen
la red en el puesto de trabajo de un usuario. Y que el usuario, intencionadamente o no, desconecta la unidad
asociada.Enesecaso,enlasiguienteaplicacindelasdirectivasdegrupoydelaspreferencias,launidaddered
sereconectarautomticamenteenelperfildelusuario.
Existen diferentes maneras de aplicar los parmetros de preferencias, segn se ha visto en la seccin
ConfiguracindelosobjetosdepreferenciasLasopcionesdelapestaaComunes.
HemosconstatadoqueciertosparmetrosdeGPOydepreferenciaserefierenalosmismosobjetos.
Tambin,durantelaadministracin,nospuedensurgirdudassobresisedebeparametrizarciertoobjetoconlos
objetosdeparmetrosdedirectivasdegrupoestndar,oconlosdelaspreferencias.
Aunque hay similitudes, son ms las diferencias. As, los parmetros de directiva vendran a complementar las
funcionalidadesdesushomnimosdisponiblesenlasdirectivasdegrupo.
Es primordial recordar que las preferencias actan como parametrizaciones personalizadas con el objetivo de
mejorareldaadadelosusuarios.Sondiferentesencuantoasupropsitoyfuncionamientodelaspolticasde
directivaaplicadas.
Losparmetrosyopcionessobrelosquelaspreferenciasactanpuedenmodificarseporpartedelosusuarios.
Losparmetrosdedirectivadefinidosporlasdirectivasdegruposonalgoimpuesto,quelosusuariosnopueden
modificar.
LasGPOestndartienenuncarcterobligatoriomientrasquelaspreferenciassepareceranmsasugerencias.
En caso de conflicto entre una directiva de grupo y una preferencia de directiva, es la directiva de grupo la que
resultaefectiva.
- 2-
Introduccin
En las versiones anteriores a Windows Server 2008/2008 R2 y Vista/7, los archivos ADM eran la base de las
plantillas administrativas configurables en las directivas de grupo. Los modificaciones de los valores del registro
hechas mediante los archivos ADM tenan una sintaxis difcil de comprender y modificar. Cuando los
administradoresqueranpersonalizarvaloresderegistroadicionalesalosqueWindowsproporcionapordefecto
(losarchivosADMestndar),eraprecisocrearunarchivoADMpersonalizado,loquerequeraelaprendizajedela
sintaxisdesulenguajedeprogramacin.
Un archivo ADM quedaba almacenado en el directorio de la directiva de grupo en el que se creaba, con lo que
aada al tamao de este directorio unos 4 MB. La replicacin de los controladores de dominio se vea
sensiblementeralentizadaporestecomportamiento,generandounproblemacomnmenteconocidocomoSysvol
bloat.
A partir de Windows Server 2008 y Windows Vista, aparece una novedad en el mbito de la gestin de las
plantillasadministrativas:losarchivosconformatoADMXyADML.
LosarchivosADMXsonlossucesoresdelosarchivosADMpresentesenlasversionesanterioresdeWindows.
Esenestosarchivos,programadosenlenguajeXML,enlosquesebasanlasopcionesquecomponenlasplantillas
administrativas. Al igual que los archivos ADM, los formatos ADMX afectan a la configuracin del registro de los
puestos objetivo. Las modificaciones de los objetos de directiva de grupo se realizan desde la interfaz de la
consoladeadministracindedirectivasdegrupo,deformaidnticaacomoseconfiguraunaGPOestndar.Los
archivosADMXdefinenlosparmetrosderegistroquesernactivados,desactivadosomodificadosenlospuestos
detrabajoobjetivo.
Paraprofundizarenlagestinyladepuracindelasdirectivasdegrupoesprecisoestudiarlaestructuradelos
archivosADMX.Laadministracindelasdirectivasdegrupoadquiereasunadimensinmsamplia.
EnestecaptulopresentaremoslosformatosdearchivoADMX,ADMLycompararemossusfuncionalidadesconlas
desuspredecesores.Paraterminar,daremosunrepasoalasdiferentesherramientasadicionales,comoelADMX
Migrator.
- 1-
LosarchivosADMyADMX
LosarchivosADMtienencomoobjetivogenerarlasmodificacionesderegistrorequeridasparalaparametrizacin
delasplantillasadministrativasenlasdirectivasdegrupo.
Su gestin individual representa mucho trabajo para los administradores si debe identificar uno, localizarlo y
despusreplicarlosobrelospuestosdetrabajo.
LosarchivosADMXsonlossucesoresdelosarchivosADM,suestructurahacambiadoascomosusmtodosde
gestin.
1.Losentornosmixtos
Se puede plantear el uso sobre un entorno mixto de las nuevas funcionalidades proporcionadas por Windows
Server2008y2008R2paralagestindelasdirectivasdegrupo.Noobstante,esimportantesaberqueelnico
mediodeaprovechartodaslasnuevasfuncionalidadesdeWindowsServer2008y2008 R2esmigrartodoslos
puestosdetrabajohasta,comomnimo,WindowsVista,ocualquierversinposterior.
Enefecto,ungrannmerodelosparmetrosnuevosestprevistoparaquefuncioneconunnivelfuncionalde
dominio Server 2008 o 2008 R2. Adems, la mayor parte de las nuevas funcionalidades aportadas por la
GPMC 2.0slosepuedenexplotarsilospuestosclienteestnenVistao7,comomnimo.
WindowsVistay7contienencercade700objetosdedirectivaparaparametrizar,mientrasqueWindowsXPtan
sloposee200.
Cuando un administrador modifica o crea una directiva de grupo, los parmetros disponibles en el contenedor
PlantillasadministrativasenlosnodosConfiguracindelequipoyConfiguracindeusuarioserepartenentre
aquellosqueaplicanparaVistao7yaquellosqueaplicanparalasversionesanteriores.
En un entorno que incluya versiones mixtas de Windows, la parametrizacin de las GPO, en particular de las
plantillasadministrativas,sedeberhacerenfuncindelasversionesdeWindows.
LaconsoladeadministracindedirectivasdegrupodeWindowsServer2003nocontienelosmismos
parmetros que la GPMC 2.0 (Windows Server 2008 y 2008 R2). Ciertas novedades solo estn
accesiblesconWindowsServer2008y2008R2.
- 1-
ADMXyADML
Los archivos ADMX son los elementos que contienen los parmetros de directiva por definir en la consola de
administracin de directivas de grupo bajo el nodo Configuracin del equipo y de usuario Plantillas
administrativas.
CadaarchivoADMXsecorrespondeconunparmetrodedirectivaparaunaaplicacinespecfica.
Los archivos ADMX que contienen los parmetros de configuracin del registro se almacenan en el directorio %
systemroot%\PolicyDefinitions (C:\Windows\PolicyDefinitions) de los controladores de dominio y de los
puestosdetrabajo.
CadaarchivoADMXimplicalacreacindeunarchivoADML.LosarchivosADMLsealmacenanenlassubcategoras
deldirectorioprincipaldedestinoC:\Windows\PolicyDefinitions,eneldirectoriodelidiomacorrespondiente(es
ESparaelespaol).
- 1-
EnlasversionesanterioresdeWindows,losarchivosADMnotenanencuentaelidioma.Ahora,losarchivosADMX
cuentanconsuarchivoADMLqueespecificaelidioma.
Las plantillas administrativas se construyen a partir de archivos ADMX y su archivo de idioma correspondiente
ADML.
NuevasfuncionalidadesdelosarchivosADMXyADML
Funcionalidad
Detalle
Ventajas
Archivo de directiva en
lenguajeXML
Funcionalidad
multi
idiomayversionado
Almacncentral
Centralizacin de los
archivosADMXyADMLa
niveldeldominio
NosobrecargalosdirectoriosSYSVOLdelos
controladoresdedominio.
PermiteevitarelSYSVOLbloat.
1.RequisitospreviosparalacreacindearchivosADMX
El lenguaje de programacin de los archivos AMDX es el XML. Para comprender la composicin de un archivo
ADMX,hayqueconocersuconstruccin.
LacreacindearchivosADMXimplicaelconocimientodellenguajedeprogramacinXML.
ParacreararchivosADMXvlidos,hayqueconocerloselementossiguientes:
- 2-
DefinicindeundocumentoXMLbienformado.
LoselementosXML.
LosatributosXML.
LosespaciosdenombreXML.
Atencin:ellenguajeXMLdistingueentremaysculasyminsculas.
2.EstructuradelosarchivosADMX
La estructura de un archivo ADMX se compone de dos categoras principales. Cada una define un conjunto de
parmetrosrelativosalpropioarchivooalosparmetrosdedirectivasquemodifica.
Entre estas categoras, la declaracin XML y PolicyDefinitions estn al mismo nivel jerrquico, mientras que las
cincocategorasrestantessoncategorashijasdePolicyDefinitions.
EsperfectamenteposiblecrearunomismosuspropiosarchivosADMXylosarchivosADMLasociadossiempreque
serespetenciertosprincipiosdefuncionamiento.
En primer lugar, es importante precisar que la creacin de archivos ADMX y ADML aplica exclusivamente a
Windows Server 2008 en lo referente a la infraestructura. Estos archivos se convertirn en las plantillas
administrativasdesplegadasporlasdirectivasdegrupo,procesadasydespusaplicadasporlasextensionesdel
ladoclientedelosequiposqueejecutenWindowsVista.
a.Esquemadelarchivo
ElesquemasiguienterepresentaunarchivoADMXdivididoensusdiferentescategoras.
- 3-
b.Estructurabsicadelarchivo
La Declaracin XML: elemento indispensable para especificar que el archivo se basa en el lenguaje
XML.
ElElementoPolicyDefinitionscontienetodaslascategorashijaqueconstituyenelarchivo.admx.
El Elemento PolicyNameSpaces define el espacio de nombres nico del archivo .admx. Contiene a su
vez la correspondencia de los espacios de nombre de archivos externos cuando estos tienen
referenciasaelementoscategoradefinidosenotroarchivo.admx.
El Elemento Resources (.admx) indica las condiciones requeridas para los recursos especficos al
idioma.
ElElementoSupportedOnhacereferenciaalascadenasdetextolocalizadascuyopapelesdefinirlos
sistemasoperativosolasaplicacionesimpactadasporunparmetrodedirectiva.
ElElementoCategoriesestablecelascategorasenlasqueelparmetrodedirectivadebemostrarse
enlaconsoladeadministracindedirectivasdegrupooeleditordedirectivadegrupo.
Cuando se usa un nombre de categora igual a otro contenido en otro archivo ADMX, se genera un nodo
duplicado. Microsoft tiene disponible en Internet informacin relativa a listas de nombres de categoras para
evitarlaaparicindenodosduplicados.
- 4-
ElElementoPoliciescontienelasdefinicionesdecadaparmetrodedirectivaindividual.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
3.EstructuradelosarchivosADML
Los archivos ADML contienen los recursos de idioma de los parmetros de directiva contenidos en el archivo
ADMX.
Estopermitequelaconsoladeadministracindedirectivasdegrupooeleditordedirectivadegrupomuestren
unparmetrodedirectivaenelidiomadeseado.
El archivo ADML posee una estructura bsica formada por dos categoras principales, la Declaracin XML y la
PolicyDefinitionResources,queasuvezcontieneunsubelementoResources(.adml).LascategorasStringTabley
PresentationTablesonpropiamentelossubelementosdelacategoraPolicyDefinitionResources.
a.Esquemadelarchivo
ElarchivoADMLestconstruidosegnseilustraenelsiguienteesquema:
b.Estructurabsicadelarchivo
DeclaracinXML:elementoimprescindibleparaespecificarqueelarchivosebasaenellenguajeXML.
- 5-
archivo.adml.
4.ArchivobsicoADMXpersonalizado
Enocasiones,losadministradoresdereddeseancreararchivos.admxparaquesemuestrenbajounnodode
categoranicaeneleditordedirectivadegrupodelaconsoladeadministracindedirectivasdegrupo.
Enesecaso,lointeresanteescrearunarchivobsicoADMXpersonalizado.
Unnicoarchivobsicopersonalizadoqueintegrevariascategoraspredefinidasascomotextodefinidoporel
elementoSupportedOn,puedereutilizarsedesdevariosarchivos.admx.
TomemoscomoejemplolacreacindeunarchivobsicopersonalizadoparalaorganizacinGrupo_Empresa.
LosadministradoresdelGrupo_EmpresaquierencrearvariosarchivosADMXpersonalizadosagrupadosbajoun
nodo de categora nica llamado Grupo_Empresa. Este nodo estar visible como contenedor en la consola de
administracindedirectivasdegrupo,enparticulareneleditordeadministracindedirectivasdegrupodurante
lacreacinomodificacindeunadirectiva.
LacreacindeunarchivobsicoADMXpersonalizadopermitedefinirlacategoracentralGrupo_Empresaenel
editor de administracin de directivas de grupo. Todos los archivos ADMX que modifican parmetros
personalizadossealmacenanenestacategora.
LacreacindeunarchivobsicoADMXpersonalizadoconllevalacreacindelmodeloADMLasociado.
5.Comentarios
Un archivo ADMX siempre va acompaado de su archivo ADML asociado. Los archivos ADMX definen los
parmetrosdedirectivaamodificarenelregistro.ElarchivoADMLasociadodefinelosparmetrosdeidiomadel
archivoADMX.
Eleditordedirectivadegrupoesperaencontrarunarchivo.admlconelmismonombrequeeldelarchivo.admx.
Cuandoestonoesas,eleditordeobjetosdedirectivamuestraunmensajedeerror.
Existe una cierta cantidad de archivos ADMX disponibles por defecto en Windows Server 2008 y 2008 R2 o
Windows Vista y 7. E igualmente se pueden descargar archivos ADMX de Internet e integrarlos en el almacn
centralconelpropsitodequeestndisponiblesenlaconsoladeadministracindedirectivasdegrupo.
Como ltima opcin puede generar estos archivos Ud. mismo si ninguno de los archivos predeterminados o
disponiblesparadescargarsatisfacesusnecesidadesosusexpectativas.
La oportunidad de generar uno mismo sus archivos ADMX extiende considerablemente las posibilidades de
personalizacindelared.Losadministradorespuedendefinirculessonlasnecesidadesdecreacinenmateria
deplantillasadministrativasy,as,hacerlonecesarioparadesplegarlassobrelospuestosdetrabajo.
ParalacreacindearchivosADMX,hayqueconocerlosprincipiosbsicosdelasestructurasdearchivosXMLas
comoelesquemadeconstruccindelosarchivosADMXyADML.
Una vez se han creado y probado estos archivos, se deben integrar en el almacn central para aumentar el
conjuntodeplantillasadministrativasdisponibles.
- 6-
No dude en crear un archivo bsico personalizado siempre que su empresa tenga desplegadas mltiples
plantillasadministrativaspersonalizadas.
- 7-
Elalmacncentral
Elalmacncentral(Centralstore)esunadelasnovedadesmsinteresantesdeWindowsServer2008y2008R2
relativasalagestindeplantillasadministrativas.
Este directorio es el lugar de almacenamiento comn para los archivos ADMX y ADML en los controladores de
dominio.
Enefecto,lasplantillasadministrativasusadasporlasdirectivasdegrupoprocedendelalmacncentral.
Adems, cada una de las GPO que contiene archivos ADMX accede al almacn central para obtener la ltima
versindecadaplantilladeadministracindesplegada.Lapuestaaldaregulardelalmacncentralgarantizala
puestaaldadelosobjetosdeparmetrosmodificadosporladirectivasobrelosclientes.
No obstante, el almacn central hay que crearlo antes de poder emplearlo. Microsoft recomienda la creacin del
almacn central sobre el controlador de dominio principal. La replicacin de Active Directory se encarga de
actualizarloscontroladoresdedominiosecundarios.
1.Crearelalmacncentral
Lacreacindelalmacncentralsedebeefectuardeformamanualenelexploradordearchivosdelcontrolador
de dominio principal. Para poder hacer esto es necesario conectarse al controlador con una cuenta habilitada
pararealizarestetipodemodificaciones.
Conctese al controlador de dominio principal con una cuenta de administrador de dominio y abra el
exploradordeWindows.
Cree
un
nuevo
directorio
llamado
PolicyDefinitions
en
el
C:\Windows\SYSVOL\sysvol\nombre
del
dominio\Policies.
En
nuestro
C:\Windows\SYSVOL\sysvol\empresa.local\Policies.
directorio
ejemplo,
- 1-
LosarchivosdeidiomaADMLdebenestarguardadosenunsubdirectoriodePolicyDefinitions.
Existeunaconvencindenomenclaturaparacadaidioma.ParaEspaa,empleeesES.
DentrodelnuevodirectorioPolicyDefinitions,creeunnuevodirectorioesES.
2.Aumentarelalmacncentral
Unavezhayacreadoelalmacncentral,podralbergarenllosarchivosADMXdelosquedisponga.
Paraaumentaryactualizarelalmacncentral,puedeemplearvariosmtodos.
Presentaremos, no obstante, uno de los mtodos ms simples y eficaces. Se trata simplemente de copiar los
archivosADMXdirectamenteeneldirectoriodelalmacncentral:SYSVOL\domain\Policies\PolicyDefinitions.
Noimportaelmtododecopiaqueemplee,copiamanual,porunscriptocualquierotra,perorecuerdequedebe
copiarlosarchivosADMLeneldirectoriodelidiomacorrespondientealarchivoADMX.
- 2-
Fuentesexternasdeplantillasadministrativas
Los archivos ADMX corresponden a las plantillas administrativas disponibles en el editor de administracin de
directivas de grupo. Las plantillas administrativas suministradas por defecto con Windows Server 2008 son
numerosasperonocubrentodaslasposibilidades.
PuededescargarplantillasADMXdesdeotrasfuentesexternas,ajenasaWindows.
1.DescargadearchivosADMXdeunafuenteexterna
HaynumerosossitiosInternetqueproveenplantillasadministrativasadicionalesparalagestindesured.Las
fuentesdedescargasonmltiplesyesdifcilasegurarsedemaneraciertadelaintegridaddelosarchivos.Se
recomiendaprobarlosantesdeintegrarlosenproduccin.
2.PlantillasadministrativasparaMicrosoftOffice
Microsoft ofrece para su descarga numerosas plantillas administrativas cuyo objetivo es personalizar Microsoft
Officeparalosusuariosdelared.
Una vez se han descargado las plantillas administrativas sobre los servidores o sobre los puestos de
administracin,essuficienteconintegrarestosarchivosenelalmacncentraldeloscontroladoresdedominio
parapoderemplearlos.
- 1-
ADMXMigrator
YasabemosquelosarchivosADMseempleanconWindowsXPmientrasquelosarchivosADMXseempleancon
WindowsVista.ElalmacncentralnoincorporafuncionesquepermitenexplotarlosarchivosADM.
Si, a pesar de todo, desea utilizar archivos ADM y utilizar los parmetros de directivas que modifican para
incrementarelalmacncentralconantiguasplantillasadministrativas,necesitarlautilidadADMXMigrator.
ADMXMigratorpermiteconvertirtodoslosarchivosADMenarchivosADMX.
EstdisponibleparasudescargaenelsitiodeMicrosoft.
DuranteelprocesodeconversindeunarchivoADMenunarchivoADMX,AMDXMigratortransformaelarchivoADM
en dos archivos distintos: un archivo ADMX que contiene los parmetros de directiva y un archivo ADML que
contienelosparmetrosdeidioma.
Cuando ha terminado la conversin, los archivos transformados se pueden integrar en el almacn central o
incorporarsedirectamenteenunpuestodetrabajoparaprobarlos.
EnversionesanterioresdelautilidadADMSMigratorpersistanalgunoserroresdeconversin,peroapartirdela
versin1.2stoshansidocorregidos.
SinoempleaADMXMigratorperodeseaconservarlasparametrizacionesdelosarchivosADM,estarobligadoa
recreartodoslosmodelosdeadministracin.
1.EscenarioidealdeusodelosarchivosADMX
HayunescenarioidealdeadministracindearchivosADMX,perotraeconsigounaseriederequisitosprevios.Si
Ud. slo desea emplear los archivos ADMX y su almacn central, deber migrar todos los puestos de
administracindelaredaWindowsVistao7.Adems,todoslosservidoresdedominiodebentenerinstalado
WindowsServer2008o2008R2.
Respectoalasplantillasadministrativas,latotalidaddelosarchivosADMpresentesenlareddebenconvertirse
enarchivosADMX.
Y, finalmente, no puede haber en ejecucin en el dominio ninguna directiva de grupo destinada a puestos de
trabajoconversionesdeWindowsinstaladasanterioresaVista.
Si se cumplen todas estas condiciones, puede suprimir los archivos ADM de forma segura. En este caso, los
archivoshanquedadoobsoletosysepuedeliberarelespacioqueocupanenlared.
2.Enlacesydescargas
Para descargar ADMX Migrator, utilice el enlace: http://www.microsoft.com/downloads/details.aspx?
FamilyId=0F1EEC3D10C44B5F962597C2F731090C&displaylang=en
- 1-
SeleccionarelobjetivodelasGPOconlaayudadelosfiltrosWMI
LosfiltrosWMI(WindowsManagementInstrumentation)formanpartedelasherramientasdeseleccindelaGPMC.
Sonmuypotentes,ypermitenseleccionarlospuestosclientesdeunadirectivadegrupoconprecisin.
Las bsquedas de informacin ejecutadas mediante los filtros WMI pueden hacer uso de un sinnmero de
parmetrosrelativosalospuestosdetrabajo.Losfiltrosdebsquedapuedenestarbasadosenelhardwareque
constituye el puesto de trabajo, la versin del sistema operativo instalada, las versiones de las aplicaciones
instaladasolaconfiguracindelsistemaactivaenelequipo.
Los filtros WMI se pueden emplear sobre tecnologas Windows Server 2000, 2003, 2008 y 2008 R2 para los
servidoresysobreWindowsXP,Vistay7paralospuestosdetrabajo.
LomsfrecuenteesqueunaredMicrosoftsecompongadepuestosclientecondiferentesversionesdelsistema
operativo Windows. De hecho, es probable que se puedan encontrar varios objetos equipo con versiones de
sistemaoperativodiferentesenunamismaUnidadOrganizativadeActiveDirectory.
Cuando se crea una directiva de grupo para aplicar a una Unidad Organizativa de ese tipo, es posible que los
equiposclientenecesitenunaconfiguracindiferenteenfuncindelaversindeWindowsinstaladaparaquela
directivadegrupopuedafuncionar.
TomemoscomoejemploeldeunadirectivadegrupovinculadaaunaUOquecontieneunequipoconWindowsXP
yotroconWindows Vistao7.Ladirectivadegrupodebemodificarciertosparmetrosenfuncindelaversindel
sistemaoperativodelospuestoscliente.
Debidoaesto,sehacenecesarioconfigurardosobjetosdedirectivadegrupo.Unprimerparmetrodedirectiva
estdestinadoalamodificacindelospuestosconXPyelsegundoalamodificacindelospuestosconVista/7.
Enesecaso,sedebeprestaratencinparagarantizarqueseapliquenlosparmetrosdedirectivatansloalos
equiposadecuados.
Es posible plantear varios mtodos para llevar a cabo esta operacin, entre ellos el uso de filtros de WMI. En
efecto, los filtros WMI permiten distinguir los equipos segn criterios relativos al sistema o a las aplicaciones.
Adems, el uso de filtros WMI permite mantener la organizacin de Active Directory a pesar de la diversidad de
sistemas operativos en los puestos cliente. En otros trminos, no es preciso poner a punto una estructura de
UnidadesOrganizativasenfuncindelasversionesdeWindowsdesplegadaseneldominio.
Durantelacreacindeunadirectivadegrupo,sepuedeaadirunfiltroWMIalobjetodedirectivasdegrupopara
determinarloscriteriosindispensablesparalaaplicacindestasobreunpuestocliente.
Atencin:losfiltrosWMInofuncionanenpuestosconsistemaoperativoWindows2000.
1.LasintaxisdelosfiltrosWMI
LosfiltrosWMIsebasanenellenguajeWQL(WMIQueryLanguage),muyprximoallenguajedeprogramacin
SQL(StructuredQueryLanguage).
HayvariasformasdecrearfiltrosWMI,yaseaconunprogramaespecializado,obienconlainterfazdisponible
paraelloenlaconsoladeadministracindedirectivasdegrupo.
Porejemplo,elprogramaScriptomatic2esbastantepopularentrelosprogramadoresyestdisponibleenelsitio
deMicrosoft.
LosfiltrosWMIsonpeticionesenviadasalospuestosdetrabajoobjetivo.Estaspeticionescontienenparmetros
quesealanalservidorqueproveelasdirectivasdegrupoculessonloscriteriosdeaplicacinonoaplicacin
paracadaunadelasdirectivasdegrupo.
- 1-
a.SintaxisWMIbsica
CadapeticinWMIdestinadaaconstituirunfiltrodebetomarlaformabsicasiguiente:
Noobstante,algunaspeticionesespecializadasrequierenunasintaxismscomplejayunamayorcantidadde
datos.
b.EjemplodepeticinWMI
Lasiguientepeticinpermitedeterminarsielespaciolibreenlasunidadeslocalesdeunpuestodetrabajoes
inferiora10MB.
Enfuncindelresultado,ladirectivaqueempleaestefiltroWMIseaplicaronosobrelospuestoscliente.
2.CrearunfiltroWMI
La creacin de los filtros WMI se realiza desde la consola de administracin de directivas de grupo. Una vez
creadoelfiltro,stesepuedeasignaraunaovariasdirectivasdegrupodelcontenedorObjetosdedirectivade
grupo.
Para crear un filtro WMI, se debe tener preparada la peticin en la que se basa. Si se crea la peticin en un
programa independiente de la consola de administracin de directivas de grupo, ser necesario copiarla y
pegarlaenelcampocorrespondientedelaventanadedilogodelacreacindeunnuevofiltroWMI.
Noobstante,tambinsetienelaposibilidaddeescribirlapeticinenelmomentodelacreacindelfiltro.
ParaincorporarunapeticinaunfiltroWMI,abralaconsoladeadministracindedirectivasdegrupoy
sitesesobreelcontenedorFiltrosWMI.
DespliegueelmencontextualdeldirectorioyescojaNuevo.
Introduzcaelnombrequedeseadaralfiltroascomosudescripcin.Lomshabitualesaprovechar
paradefinirlaaccindelfiltroenestecampo.
- 2-
Una vez haya introducido correctamente los datos de identificacin, deber incorporar la peticin WMI al filtro
paraquestepuedafuncionar.
Tienelaopcindeescribirlapeticindirectamente,obiendecopiarypegaruntextoquecontengaunapeticin
enelcampoConsultas.
HagaclicenAgregarparaincorporarlapeticinWMIalfiltro.
HagaclicenAceptar.
LapeticinWMIsehaaadidoalfiltro.
Los parmetros de peticiones hacen uso del espacio de nombres CIMv2. Todos los parmetros
recogidosbajoesteespaciodenombrespuedenutilizarseparacrearpeticionesWMI.
- 3-
HagaclicenGuardarparafinalizar.
Una vez guardada, la peticin queda visible en la consola de administracin de directivas de grupo en el
directorioFiltrosWMI.
Adems,elfiltroquedaahoradisponibleparaserasignadoaunadelasdirectivasdegrupodeldominio.
3.AsociarunfiltroWMI
Tras la creacin de un filtro WMI, mientras no est asociado a una directiva, est disponible pero inactivo. Es
necesarioasociarloaunadirectivadegrupoparaquetengaefecto.
En la consola de administracin de directivas de grupo, cree una nueva directiva de grupo llamada
Directivadeclculodelespacioendisco.
- 4-
SitesesobreestadirectivayverifiquequenotieneningnfiltroWMIasociadoenelapartadoFiltrado
WMIenlaparteinferiorderechadelapantalla.
En ese mismo apartado, haga clic en el men desplegable y escoja el filtro WMI adecuado. Para
nuestroejemplo,elfiltroClculodelespaciolibreeneldiscoinferiora10MB.
HagaclicenSparahacerefectivalaaplicacindelfiltrocuandoaparezcalapeticindeconfirmacin.
Los parmetros de la directiva de grupo tan slo se aplicarn a los equipos y/o usuarios que satisfagan la
peticinWMI.
4.ImportaryexportarlosfiltrosWMI
Aligualqueocurreconmuchasdesusopciones,Windowsofrecelaposibilidaddeimportaryexportarlosfiltros
WMI.
Gracias a esta funcionalidad, se pueden importar y exportar los filtros entre los diferentes controladores de
dominio de varios dominios. Tambin es posible importar los filtros de servidores ya obsoletos tras haber sido
migradosodesdefuentesexternas.
A las funciones de importacin y exportacin se accede desde la consola de administracin de directivas de
grupo.AlexportarunfiltroWMI,secreaunarchivoconlaextensin.MOFenlarutaqueseespecifique.
a.Importarunfiltro
Enlaconsoladeadministracindedirectivasdegrupo,siteseenelcontenedorFiltrosWMI.
Hagaclicconelbotnderechosobreunreavacadelapantalla.
EscojaImportar.
Lasiguienteventanadedilogolepermitirbuscarelarchivo.MOFquecontieneelfiltroque
deseaimportar.
HagaclicenAbrir.
- 5-
HagaclicenImportar.
b.Exportarunfiltro
La exportacin de un filtro WMI se hace partiendo directamente del filtro en cuestin. En la GPMC,
siteseenelcontenedorFiltrosWMI.
HagaclicconelbotnderechosobreelfiltroquedeseeexportaryescojaExportar.
LasiguienteventanadedilogolepermitirguardarelfiltroWMIenunarchivodeextensin.MOF
enlarutaqueUd.elija.
HagaclicenGuardar.
- 6-
- 7-
Enlacesydescargas
Use este enlace para obtener documentacin detallada sobre el funcionamiento de los archivos ADMX y ADML:
http://technet.microsoft.com/eses/library/cc772507%28WS.10%29.aspx
Use este enlace si desea crear sus propios archivos ADMX. La descarga del esquema ADMX le ayudar al
proporcionar el soporte bsico para la creacin de archivos ADMX y ADML: http://go.microsoft.com/fwlink/?
LinkId=86094
EsteenlacelepermitiraccederadocumentacinqueleguiarparacrearunarchivobsicoADMXpersonalizado:
http://technet.microsoft.com/eses/library/cc770905%28WS.10%29.aspx
EsteenlacelepermitirdescargarlasplantillasadministrativasylosarchivosdepreferenciaADMXparaWindows
Server
2008:
http://www.microsoft.com/downloads/details.aspx?FamilyID=927fc7e3853c410aacb5
9062c76142fa&DisplayLang=en
Este enlace le permitir descargar las plantillas administrativas ADM, ADMX y ADML para Microsoft Office 2010:
http://www.microsoft.com/download/en/details.aspx?id=18968
ElusocombinadodelosprogramasRegtoAdmyADMXMigratorlepermitecreararchivosADMXyADML
explotables en Windows Server 2008 y 2008 R2. Tenga precaucin, puesto que las pruebas han
mostradoquepuedenaparecererrores.
- 1-
Conclusinycomentarios
LautilizacindelosarchivosADMX,ADMLydelosfiltrosWMIrequierealgunasnocionesavanzadasenmateriade
programacin.SidominalasdiferentesherramientascomoellenguajeXMLyellenguajeWQL,podradentrarse
eneluniversodelapersonalizacindecomponentesloquelepermitiradministrarlaredenformastodavams
avanzadas.
LapotenciadelasplantillasadministrativaspresentauninterssuperiorfrentealautilidaddelosfiltrosWMI.Las
plantillas administrativas personalizadas permiten configurar los puestos de trabajo en conformidad con las
expectativasynecesidadesdeunaempresa.
Lapuestaadisposicindeunalmacncentralaumentalacentralizacindelosdatosdelaredypermiteactualizar
todosloscontroladoresdedominiograciasalareplicacin.
ElerrorporSysvolBloathadejadodeexistir.
En cuanto a los filtros WMI, son herramientas muy potentes para filtrar segn numerosos criterios y de varias
formas. Cuanto mayor sea su conocimiento de las diferentes partes del sistema que se pueden filtrar, ms
eficazmentepodrutilizarWMI.Sinembargo,elfiltradoporpeticinWMIsuponetiempoyespacio.Siseaplican
demasiadosfiltrosWMIsobrelospuestosenelmomentodeaplicarlasdirectivasdegrupo,laredylospuestosde
trabajosevernralentizadosdeformanotable.
Adems, las peticiones WMI deben probarse antes de ser desplegadas y aplicadas de forma masiva. Las
peticiones WMI incorrectas pueden alterar seriamente el funcionamiento de las directivas de grupo, y es difcil
determinar las causas exactas del problema. Microsoft recomienda desplegar las peticiones WMI en los
laboratoriosdepruebasyverificarsubuenfuncionamientoantesdeincorporarlasalossistemasenproduccin.
ElnmerodeparmetrosconfiguradosenlaGPMCinfluyesobrelavelocidaddelintercambiodedatosenlared.
- 1-
Introduccin
En el dominio de la informtica, la seguridad es uno de los elementos ms sensibles. El trmino seguridad es
amplioyenglobamultituddeconceptos.Laseguridadfsicadelosdatosdelaempresa,laintegridaddelosdatos
informticos,sudisponibilidadylarealizacindecopiasdeseguridadcontribuyenalasubsistenciadelaempresa.
En la actualidad, la mayora de las redes de empresa estn conectadas a Internet. Existen dos grandes
categoras:laseguridadinternaylaseguridadexterior.
Laseguridadinternatratasobretodaslasmanipulacionesquepuedendaarlaintegridaddelaredlocal,yasea
deformaintencionadaoporerror.Laseguridadexteriordebeimpedirlosataquesylaaccindelosvirusuotros
programasmalintencionados.stosprovienenensumayorpartedelexteriordelaempresa.Lomsfrecuentees
queestasintrusionesprovengandeInternetodemediosdealmacenamientoextrables.
UnconocimientoexpertodelasdirectivasdegrupoenentornosWindowsincrementalacapacidaddesecurizacin
de la empresa. Las GPO permiten configurar un sinnmero de parmetros de directiva relacionados con la
seguridaddelospuestosdetrabajoydelosservidores,ascomocondatosdelared.
Las polticas de seguridad varan de una organizacin a otra segn sus actividades y las necesidades que se
definan.Unavezsehaestablecidoelniveldeseguridadrequerido,esposibleconfigurarlasdirectivasdegrupo
correspondientes.
Noeselobjetivodeestelibroenumerarydetallartodasycadaunadelasopcionesdeseguridadysuimpacto,
sinoquemsbiennosconcentraremossobreloselementosprincipalesrelacionadosconlaseguridaddeWindows
atravsdelasdirectivasdegrupo.
Enestecaptulosepresentarnlosparmetrosdeseguridadconsideradoscomomsimportantes.Seexplicarn
susefectosyseexplorarnlosdiferentesnivelesdedirectivasdeseguridad.
- 1-
Creacindeldominioydirectivaspordefecto
Enundominioyaexistente,losadministradoresautorizadossonlosnicosresponsablesdelacreacindenuevas
directivas de grupo, de sus vinculaciones con los sitios, los dominios o las unidades organizativas, y de los
parmetrosquemodifican.
Cuando se crea un nuevo dominio, hay ciertas operaciones que se ejecutan automticamente, entre ellas la
creacindedirectivasdegrupopordefecto.
Inicialmente, al promocionar un servidor a controlador de dominio, se crea la unidad organizativa Domain
ControllersenActiveDirectory.Enestaunidadorganizativasealmacenarnlosobjetoscontroladoresdedominio
pordefecto.
A continuacin, se crea y vincula a nivel de dominio la directiva de grupo Default Domain Policy. Esta GPO es la
directiva de dominio por defecto. Los parmetros definidos se aplican a todos los objetos contenidos en Active
Directory.
Paraterminar,secrealadirectivadegrupoDefaultDomainControllersPolicyysevinculaalaunidadorganizativa
DomainControllers.EstaGPOdefinelosparmetrosdedirectivasqueseaplicanaloscontroladoresdedominiode
laempresa.
Microsoft recomienda modificar nicamente los parmetros de seguridad de estas directivas de grupo. Para
cualquier modificacin que no guarde relacin con la seguridad, es preferible crear GPOs aparte. Si fuese
necesario,stassepuedenvincularalniveldedominioposteriormente.
Precaucin: si se altera la integridad de las directivas de grupo Default Domain Policy y Domain
ControllersPolicy,resultamuydifcildeshacerloscambios!
1.LadirectivaDefaultDomainPolicy
LadirectivaDefaultDomainPolicyestvinculadaaldominioActiveDirectorypordefecto.
Elobjetivoprincipaldeestadirectivaesdefinirlaspolticasutilizadasporlascuentasdeusuariodeldominio.
Estossonlostresparmetrosdedirectivaquepresentanmayorinters:
Directivadecontraseas
Directivadebloqueodecuenta
DirectivaKerberos
Estos tres parmetros definen la forma en que van a funcionar las cuentas de usuario en la red. Es posible
modificar directamente la directiva de grupo Default Domain Policy o crear una nueva GPO para configurar los
parmetrosdelascuentasdeusuariodelaorganizacin.UnavezsehacreadolaGPO,bastaconvincularlaal
dominioparaquefuncionedemaneraidnticaaladirectivapordefectoDefaultDomainPolicy.
ElempleodeestaposibilidadgarantizalaintegridaddeladirectivaDefaultDomainPolicyynocuestamstiempo
deconfigurar.Enestecaso,esimprescindibletenerencuentaelordendeprecedenciadelasGPO.
a.Losparmetrosdedirectivadedominio
Haycincoparmetrosdedirectivaque,unavezmodificados,slosurtenefectosilaGPOestvinculadaanivel
dedominio.staeslalistadeesosparmetrosysusfunciones:
Forzar la desconexin de las sesiones de usuario: es posible definir las franjas horarias de
- 1-
funcionamientodelascuentasActiveDirectorydelosusuarios.Sisobrepasanellmite,sedesconecta
alosusuariosdesussesiones.
Estosparmetrosdedirectivatanslofuncionansiseaplicanaldominioentero.
b.ModificarlaDefaultDomainPolicyocrearunanueva
EsposiblemodificardirectamentelaDefaultDomainPolicyparaconfigurarelcomportamientodelascuentasde
usuariodeldominioocrearunaestrategiacompletamentenuevayvincularlaaniveldedominio.
SieligecrearunanuevaGPOparaconfigurarlascuentasdeusuario,surgeelproblemadelaprecedenciade
las GPO. En el captulo Administrar las directivas con GPMC 2.0 (Administrar las GPO con la consola de
administracin de directivas de grupo GPMC 2.0), hemos indicado que la ltima GPO en aplicarse es la que
"gana". Har falta por tanto cambiar la precedencia de la directiva de las cuentas de usuario para que se
apliquelaltima,despusdeDefaultDomainPolicy.
Si no, los parmetros de configuracin de las cuentas de usuario no surtirn efecto sobre los puestos de
trabajoyaquesernanuladosyreemplazadosporlosdelaDefaultDomainPolicy.
SerecomiendamodificarlaDefaultDomainPolicydirectamenteparalosparmetrosdedirectivadelascuentas
de usuario. Se debe tener presente el asignarle el nivel de precedencia ms alto y evitar la aparicin de
conflictos,yaquetendrprioridadsobrelasotrasGPOdeldominio.
2.DirectivaDefaultDomainControllersPolicy
En un dominio Active Directory, todos los servidores promovidos al rango de controladores de dominio quedan
automticamenteincorporadosalaUnidadOrganizativaDomainControllers.
La directiva Default Domain Controllers Policy, creada por defecto durante la puesta en marcha del dominio,
definelosparmetrosdedirectivaqueseaplicanatodosloscontroladoresdedominiocontenidosenlaUnidad
OrganizativaDomainControllers.
Del mismo modo, es posible crear una nueva GPO para configurar los controladores de dominio y asignarle el
nivelmsaltodeprecedenciaparaqueseapliquedespusdeladirectivapordefecto.Perolorecomendadoes
emplearlaDefaultDomainControllersPolicydisponibleparaestepropsito.
3.Repararlasdirectivaspordefecto(DefaultDomainPolicyyDefaultDomain
ControllersPolicy)
Puede ocurrir que las directivas por defecto se corrompan y ya no funcionen correctamente. Se recomienda
utilizarlascopiasdeseguridaddelasdirectivaspordefectoque,idealmente,sehabrnrealizadopreviamentea
cualquiermodificacin.
Sinosehahechoningunacopiadeseguridad,WindowsServer2008y2008R2proporcionanutilidadesporlnea
de comando que permiten restaurar las directivas de grupo a su estado inicial. Estos comandos funcionan a
partirdelaversin2003deWindowsServeryofrecenlassiguientesfuncionalidades:restauracindeladirectiva
- 2-
DefaultDomainPolicyodeDefaultDomainControllersPolicyodelasdosalmismotiempo.
Para realizar una restauracin de directivas de dominio por defecto hay que estar conectado al servidor
controladordedominioprincipalconlosderechosdeadministracinrequeridos.
Unavezautentificado,abraunaventanadecomandoDOSyescribaelcomando DCGPOFIXespecificandouno
delossiguientesparmetros:
DCGPOFIX /Target:DomainpararestaurarlaDefaultDomainPolicy.
DCGPOFIX /Target:DCpararestaurarlaDefaultDomainControllersPolicy.
DCGPOFIX /Target:BOTHpararestaurarlasdos.
En cualquier caso, DCGPOFIX no funcionar si el esquema Active Directory ha sufrido cambios desde la
instalacindelcontroladordedominio.
Enesecaso,empleeelsiguientecomando:
GPOFIX /ignoreschemaparaignorarlasmodificacionesdelesquema.
Truco:pararestaurarlasGPOpordefectodeuncontroladordedominioWindowsServer2000,puede
descargarselautilidadRecreateDefPoldelsitiodeMicrosoft.
- 3-
ConfigurarlaDefaultDomainPolicy
Comosehamencionadoantesenestecaptulo,laDefaultDomainPolicycontienetresparmetrosprincipalesde
inters para su configuracin. Recordemos que estos parmetros conciernen a la seguridad, en particular a la
administracindelascuentasdeusuariodeldominio.
LosobjetosdedirectivaestnlocalizadosenelnodoConfiguracindelequipoDirectivas Configuracinde
WindowsConfiguracindeseguridadDirectivasdecuenta.
En esta seccin, definiremos y pondremos en marcha una poltica de administracin de cuentas de usuario del
dominio.
Atencin,estadirectivaseaplicaratodoslosusuariosquetenganunacuentaeneldominio.
Utilice la consola de administracin de directivas de grupo, para abrir la directiva Default Domain
PolicyenelEditordeadministracindedirectivasdegrupo.
ExpandaelrbolhastaDirectivasdecuenta.
- 1-
EnDirectivasdecuentaseencuentrantresgruposdeparmetros:
Directivadecontraseas
Directivadebloqueodecuenta
DirectivaKerberos
Directivadecontraseas:
Las opciones disponibles permiten definir el nivel de seguridad, de complejidad y los criterios de gestin de
contraseas.
Directivadebloqueodecuenta:
- 2-
Lostresparmetrosdisponiblesparaconfigurarelbloqueodelascuentaspermitendefinirladuracindelbloqueo
decuenta,eltiempodebloqueodelacuentadespusdeunciertonmerodereintentosfallidosyelumbralde
bloqueosdecuenta.
DirectivaKerberos:
Los parmetros de la directiva Kerberos permiten definir los modos de autentificacin de los clientes sobre los
controladorsdedominio,eltiempodevalidezdelosvalesdeusuarioylaformaenqueestosvalesserenuevan.
EnelsiguienteejemplodeconfiguracindeunadirectivaDefaultDomainPolicysehanempleadovaloresalazar
para los parmetros. Puede Ud. definir por s mismo los valores de los parmetros de directiva, generalmente
stosvendrndefinidosporlaspolticasenvigorenlaempresa.
1.ConfiguracindelaDirectivadecontraseas
Exigirhistorialdecontraseas:8contraseasrecordadas.
Vigenciamximadelacontrasea:42das.
Vigenciamnimadelacontrasea:30das.
Almacenarcontraseasconcifradoreversible:Noestdefinido.
Lacontraseadebecumplirlosrequisitosdecomplejidad:Habilitada.
Longitudmnimadelacontrasea:10caracteres.
- 3-
2.ConfiguracindelaDirectivadebloqueodecuenta
Duracindelbloqueodecuenta:3minutos.
Restablecerelbloqueodecuentadespusde:3minutos.
Umbraldebloqueodecuenta:3intentosdeiniciodesesinnovlidos.
3.ConfiguracindelaDirectivaKerberos
ParalaconfiguracindelosparmetrosdedirectivaKerberossenecesitacomprenderbiensuutilidad.Enefecto,
unavezconfigurados,losdiferentesparmetrospodranralentizarlosintercambiosdedatosenfuncindelos
criteriosquesedefinan.
Aplicarrestriccionesdeiniciodesesindeusuario:
EsteparmetrodeseguridadpermitedeterminarsielcentrodedistribucindelasclavesKerberosdebevalidar
individualmentecadaunadelaspeticionesdevaledesesin(todaslaspeticionesdesesin)conlosderechos
delusuarioautentificado.
Vigenciamximadelvaledeservicio:
Esteparmetropermitedefinireltiempomximo(enminutos)duranteelqueunvaledesesinemitidoporel
centrodedistribucindeclavesKerberosesutilizableparaaccederaunservicioespecfico.Laduracinmnima
devidadeunvaledebesersuperiora10minutos.
Los vales de sesin se utilizan para autentificar nuevas conexiones con los servidores de dominio. Si un vale
expiramientraslaconexinentreelpuestodetrabajoyelservidoresttodavaactiva,stanoseveafectada.
Vigenciamximadelvaledeusuario:
Este parmetro de seguridad permite definir el tiempo mximo de utilizacin de un vale que concede vales de
usuariooTGT(TicketGrantingTicket).UnTGTexpiradoconllevasurenovacinolapeticindeunnuevoTGT.
- 4-
Vigenciamximaderenovacindevalesdeusuario:
EsteparmetropermitedefinirelperiododuranteelqueelusuariopuederenovarunTGT.
Toleranciamximaparalasincronizacindelosrelojesdelosequipos:
Este parmetro permite establecer la diferencia mxima de tiempo aceptada por el centro de distribucin de
clavesKerberosparalasincronizacinentreelrelojdelservidoryeldelpuestocliente.
Aplicarrestriccionesdeiniciodesesindeusuario:Deshabilitada.
Vigenciamximadelvaledeservicio:600minutos.
Vigenciamximadelvaledeusuario:10horas.
Vigenciamximaderenovacindevalesdeusuario:34 das.
Toleranciamximaparalasincronizacindelosrelojesdelosequipos:3 minutos.
- 5-
Seguridadycontraseas
En las versiones anteriores de Windows Server (2000 y 2003), la poltica de contraseas definida en la directiva
DefaultDomainPolicyseaplicabaatodoslosusuariosdeldominio.
Qu ocurre cuando se crea una GPO que modifica la poltica de contraseas y se vincula a una Unidad
Organizativa?
LaltimaGPOaplicadatieneefectonicamentesobrelascontraseasdelascuentaslocales.stasdeberncumplir
loscriteriosdefinidosporladirectiva.
Cmosehaceparadefinirpolticasdecontraseadiferentesenunmismodominio?
La respuesta llega de la mano de Windows Server 2008. Entre los parmetros de directiva disponibles, nos
familiarizaremos con el objeto FGPP (Fine Grained Password Policy). Este mecanismo permite crear polticas de
contraseasdiferentesparalosusuariosdedominio.Estopermite,porejemplo,aumentarelniveldeseguridadde
las cuentas de usuarios con privilegios elevados o que tengan acceso a datos muy sensibles. No obstante, el
funcionamiento de la FGPP requiere una preparacin especfica. No se puede crear directivas de contraseas y
aplicarlas a las Unidades Organizativas. Para la puesta a punto y correcto funcionamiento de la FGPP, sta debe
organizarse tomando como base Active Directory. Se detallarn a continuacin los diferentes pasos para
implementarlasdirectivasdecontraseasconFGPP.
EstossonlosdiferentespasosdelapuestaenmarchadeunapolticaFGPP:
CreacindeunPSO(PasswordSettingObject).
ConfiguracindelasopcionesdelPSOconlaayudadelasistenteADSI(ActiveDirectoryServiceInterface).
VinculacindelosPSOconlosusuariosogruposdeseguridad.
1.PrepararlaimplementacindeFGPP
ParaqueFGPPestactivo,elnivelfuncionaldeldominiodeberserWindowsServer2008y2008R2.Sinoesel
caso,esnecesarioaumentarelnivelfuncionalenActiveDirectory.
Paraaumentarelnivelfuncionaldeldominio,abraActiveDirectoryyhagaclicconelbotnderechosobre
eldominio.
Enelmencontextual,escojalaopcinElevarelnivelfuncionaldeldominio.
- 1-
EscojaacontinuacinelnivelfuncionalWindowsServer2008o2008R2yhagaclicenAceptar.
a.CrearunPSO
Unavezsehaactualizadoelnivelfuncionaldeldominio,elprocedimientoparaemplearFGPPrequierelacreacin
deunoovariosPSO.
WindowsServer2008y2008R2almacenalasFGPPenelesquemaActiveDirectory.Existendosnuevasclases
deobjeto:lasclasesPSC(PasswordSettingsContainer)yPSO.
La clase PSC se almacena por defecto en el contenedor System del dominio y alberga los objetos PSO del
dominioencuestin.
LosPSOsecreanenADSIEdit.ADSIEditvieneahoraintegradoenlasplataformasWindowsServer2008y2008
R2.
ParaabrirADSIEdit,abralaventanadedilogoEjecutar...delMenInicio.
Escribaadsiedit.mscyhagaclicenAceptar.
EnADSIEdit,hagaclicconelbotnderechosobreEditorADSIyescojaConectara....
- 2-
Cuando aparezca la ventana de configuracin de los parmetros de conexin, deje las opciones por
defecto.
HagaclicenAceptar.
DespusdehaberhechoclicenAceptar,estarUd.conectadoalesquemaActiveDirectory.ParacrearunPSO,
hay que dirigirse al contenedor Password Settings Container siguiendo la ruta: Contexto de nomenclatura
predeterminado/FQDN/CN=System/CN=PasswordSettingsContainer.
Haga clic con el botn derecho en el espacio vaco a la derecha del directorio Password Settings
ContaineryescojaNuevo,despusObjeto.
- 3-
Lapantallasiguientenoofrecealternativas,peroverifiquequelaclaseesmsDSPasswordSettings.
HagaclicenSiguiente.
Cada una de las ventanas de dilogo que se suceden permite la configuracin de uno de los parmetros del
PSO.SedebenconfiguraruntotaldeonceparmetrosantesdelacreacindecadaPSO.
Estatablaresumelasdiferentesopcionesaparametrizarysusefectos.
- 4-
Atributo
Descripcin
Valor
CN
NombredelPSO.Espreferibleestablecer
una convencin de nombres cuando el
nmerodePSOesgrande.
PSOInvestigacin
msDS
PrecedenciadelosPSO.Cuantomayores
Superiora0
PasswordSettingsPrecedence
MsDSPasswordReversible
EncryptionEnabled
TrueoFalse
msDSPasswordHistoryLength
Nmerodecontraseasmemorizadaspor
elsistema.
0a1024
MsDSPassword
ComplexityEnabled
TrueoFalse
MsDSMinimumPasswordLength
Longitudmnimadeunacontrasea.
0a255
MsDSMinimumPasswordAge
Edadmnimadeunacontrasea.
864000000000
(1 da)
MsDSMaximumPasswordAge
Edadmximadeunacontrasea
36288000000000
(42 das)
msDSLockoutThreshold
0a65535
MsDSLockout
Window
18000000000
(6 minutos)
Duracindelbloqueodelacuenta.
18000000000
(6 minutos)
Observation
msDSLockoutDuration
Los
atributos
msDSMaximumPasswordAge,
msDSMinimumPasswordAge,
msDS
LockoutObservationWindow y msDSLockoutDuration deben introducirse con el formato d:hh:mm:ss o
conelformatoI8.
Unavezsehaconfiguradoelltimoparmetro,aparecelasiguienteventana.
EsposibleconfiguraratributossuplementarioshaciendoclicsobreelbotnMsatributos.
- 5-
Demomento,hagaclicenFinalizar.
TrashaberhechoclicenFinalizar,elPSOcreadoapareceenelcontenedorADSIPasswordSettingsContainer.
Haga clic con el botn derecho sobre el PSO, que hemos llamado PSO Investigacin y seleccione
Propiedades.
Enlaventanadedilogosiguiente,podrvisualizarlalistadeatributosdelPSOquesehanconfigurado,ysus
valores.
- 6-
HagaclicenelbotnFiltro.
- 7-
Marquetodaslasopciones,comosemuestraenlafigura.
Trashaberseleccionadolosdiferentesfiltros,ciertosatributosaparecenenlaspropiedadesdelPSO.
b.AsignarunPSO
UnadeestasoptionesesmsDSPSOAppliesTo,quepermiteasignarelPSOaungrupoousuario.
RecuerdequeespreferibleasignarlosPSOagruposdeActiveDirectoryquealosusuarios.
ParaasignarunPSO,hagadobleclicsobreelobjetoyseleccioneelatributomsDSPSOAppliesTo.
- 8-
HagaclicenEditar.
Enlasiguienteventanadedilogo,puedeescogerentrelasopcionesAgregarcuentadeWindows(Cuentade
ActiveDirectory)oAgregarDN(agregarunnombrenico).
HagaclicenAgregarcuentadeWindows.
- 9-
ElPSOquehemoscreadosellamaPSOInvestigacinporqueimplicaparmetrosdeseguridadespecficosalos
usuariosdeldepartamentodeinvestigacindelaempresa.EstePSO,enconsecuencia,debeaplicarsealgrupo
InvestigacindeActiveDirectory.
Seleccione el grupo al que debe aplicarse el PSO, en nuestro caso Investigacin, y haga clic en
Aceptar.
AhorapuedeverificarlosgruposalosqueseaplicaelPSOysuSID.
Unavezterminadalaverificacin,hagaclicenAceptar.
Enlasiguienteventanadedilogo,elatributomsDSPSOAppliesTocontieneelvalor(SID)delgrupoalquese
aplicaahoraelPSO.
- 10 -
HagaclicunaltimavezenAceptarparaconfirmarlaoperacin.
c.PSOyActiveDirectory
Una vez se han creado y asignado los PSO, es posible realizar verificaciones en Active Directory en las
propiedadesdelosgrupos.
ParapermitirqueActiveDirectorymuestreestasopciones,deberactivarlasfuncionalidadesavanzadas.
AbraUsuariosyequiposdeActiveDirectoryydespliegueelmenVer.
EscojalaopcinCaractersticasavanzadas.
Cuando esta opcin est activada, Active Directory muestra nuevos contenedores y permite visualizar nuevos
parmetrosenlaspropiedadesdelosdiferentesobjetos.
VayaalcontenedordegruposdeseguridaddeActiveDirectory,ennuestroejemploenGrupoEmpresa
EmpresaEspaaGrupos,yabralaspropiedadesdelgrupoInvestigacin.
- 11 -
SeleccionelapestaaEditordeatributosdelobjeto.
El valor del atributo msDSPSOApplied contiene los datos del PSO asignado al grupo de seguridad
Investigacin. Observe que el nombre del PSO (CN= PSO Investigacin) se corresponde con las operaciones
realizadasenActiveDirectory.
2.Conclusinycomentarios
EnlosapartadosanterioresdeestecaptulohemosseguidolospasosdelaimplementacindeFGPP.
EsimportanterecordarqueFGPPsirveparaponerenprcticapolticasdecontraseadiferentesparalosusuarios
deunmismodominio.
ParautilizarFGPP,esnecesariocrearPSOsyasignarlasalosgruposobjetivoenelADSI.
AhoraqueUd.conocecmoemplearlosPSO,noseolvidedelaDefaultDomainPolicy.Esenestadirectivadonde
sedefinenlaspolticasdecontraseaenprimerlugar.CuandoseempleaunPSO,laDefaultDomainPolicysigue
actuandodeformasubyacente.SiUd.asignaunPSOdirectamenteaunusuario,serlapolticadecontraseas
definidaenelPSOlaqueseimpongasobrelaDefaultDomainPolicy.CuansosonvarioslosPSOasignadosaun
usuario, es el PSO con el nivel de precedencia ms bajo el que se impone sobre los dems. Una entrada en el
registrodeeventosmarcalaasignacin devariosPSOaesteusuario.As:
- 12 -
Si un usuario es miembro de un nico grupo de seguridad global y se asigna un PSO a ese grupo, la
polticadecontraseasdeesePSOseimpondrsobrelaDefaultDomainPolicy.
SielusuarioesmiembrodevariosgruposdeseguridadglobalvinculadosadiferentesPSOs,serelPSO
conelniveldeprecedenciamsbajoelqueseimpondrsobrelosdems.
SilosusuariosnotienenningnPSOvinculadoasucuentaActiveDirectoryoalosgruposdeseguridad
delosquesonmiembros,serlaDefaultDomain Policylaqueseaplique.
CiertosatributosdelascuentasdeusuariotienenautoridadsobrelosPSOsiestndefinidosenActiveDirectory:
Almacenarcontraseasusandocifradoreversible.
Sincontraseanecesaria.
Lacontraseanuncacaduca.
SiunodeestosatributosestdefinidoenActiveDirectory,seaplicaralacuentadeusuarioapesardelPSO.
a.UtilizarSpecops
LacreacindeobjetosPSOpuedeparecercomplicadadeponerenprctica.Y,deigualforma,laconexinyla
manipulacindelADSIpuedenparecerfastidiosas.
Specops es una utilidad grfica disponible en Internet que permite gestionar los PSO de forma intuitiva y
simplificada. Si desea utilizarla, descargue el programa Specops desdehttp://www.specopssoft.com e instlelo
enelservidoropuestodetrabajodesdeelquegestionelasGPO.LautilidadPowershelldebeestarinstalada
paraqueSpecopspuedafuncionar.
- 13 -
Aumentarelniveldeseguridadconlasherramientasdeauditora
Las posibilidades de auditora son numerosas en Windows Server 2008. Estas potentes herramientas, que ya
estaban presentes en versiones anteriores de Windows Server, sirven para trazar las acciones que han sido
efectuadassobrelosdiferentesservidoresopuestosdetrabajo,parasaberqumodificacionessehanrealizado,
porquinyenqumomento.
LamayoradelasopcionesdeauditorasonconfigurablesconlasGPO.Noobstante,WindowsServer2008y2008
R2ofrecennuevasposibilidadesdeauditoracuyaactivacinserealizadeformaindependientealasdirectivasde
grupo.
EstapartedelcaptulopresentaprimerolasmltiplesopcionesdeauditoraposiblesgraciasalasGPO,ydespus
lasherramientasdeauditoraquenoprovienendeellos.
1.Utilizarlasdirectivasdegrupoparaauditar
Siimplementaunadirectivadegrupodeauditora,puedevincularlaalaUnidadOrganizativaDomainControllerssi
desea auditar las acciones realizadas sobre el controlador de dominio. Del mismo modo, puede configurar
directivas de auditora y vincularlas a otras Unidades Organizativas de su estructura Active Directory, esto
dependerdelossistemasyelementosqueUd.deseeauditar.
a.Losdiferentesparmetrosdeauditora
Los parmetros de auditora configurables se encuentran en la ruta Configuracin del equipo Directivas
ConfiguracindeWindowsConfiguracindeseguridadDirectivaslocalesDirectivadeauditora.
Paravisualizarestosparmetros,abralaGPMCymodifiquelaDefaultDomainControllersPolicy.
SiteseacontinuacinenlaposicindelaDirectivadeauditora.
Windows Server 2008 y 2008 R2 ofrecen nueve parmetros de auditora. La siguiente tabla describe las
diferentesaccionesyrecomendacionesparautilizarlosdeformaptima.
- 1-
ParametrodeAuditora
Descripcin
Valorpordefecto
Auditar la administracin
decuentas
Valor = Correcto o
Errneo
Auditar el acceso
serviciodedirectorio
al
Valor=Correcto
Auditar
objetos
Valor=Sinauditora
Auditarelseguimientode
procesos
Registraendetallelosdatosdeseguimiento
de eventos como el arranque de un
programa,elfindeunproceso...
Valor=Sinauditora
Valor=Sinauditora
Valor=Correcto
Auditar
sistema
del
Valor=Correcto
Auditar el cambio de
directivas
Valor=Correcto
Auditar
el
privilegios
Registracadavezqueseusaunderechode
usuario, como por ejemplo los de copia de
seguridadorestauracin.
Valor=Sinauditora
el
acceso
eventos
uso
de
b.Auditarlasdirectivasdegrupoconunadirectivadegrupo
La creacin de directivas de grupo con los parmetros de auditora descritos en la seccin anterior tiene por
objetivoauditarlosequiposyservidoresdelared.SiUd.deseaauditarlasaccioneshechassobrelaspropias
directivasdegrupo,entoncesdeberutilizarunadirectivadegrupoparaauditaralasanteriores.
c.Auditarlasmodificacionesdeobjetos
Cuandosecrea,suprimeomodificaunaGPOsegeneranvariasentradasenelregistrodeeventosdeWindows
Server2008oWindowsServer2008R2.
ElobjetodedirectivaAuditarelaccesoalserviciodedirectorioestactivadopordefectoenlaDefaultDomain
ControllerPolicycuandoelservidorejecutaWindowsServer2003.Encambio,enWindowsServer2008y2008
R2,laopcinnoestdefinidapordefectosinoprogramada"afuego"paraquefuncionepermanentemente.
Deformamsprecisa,laauditoraestactivasobreelcontenedorPoliciesenActiveDirectory.Estecontenedor
sloestvisiblesilasfuncionalidadesavanzadasdeActiveDirectoryhansidoseleccionadas.
- 2-
El directorioPolicies alberga los GPC (Group Policy Container) de cada GPO en Active Directory. La auditora se
realizasobreelconjuntodelasoperacioneshechassobreestedirectorio.
Para verificar la existencia y el contenido del directorio Policies,abra Usuarios y equipos de Active
Directory.
Escojaquesemuestrenlasfuncionalidadesavanzadas.
AbraeldirectorioDominio(empresa.local)SystemPolicies.
Cada directorio corresponde con una de las directivas de grupo creadas en la consola de administracin de
directivasdegrupo.
Elijaunadelasdirectivasdegrupopresentes,hagaclicconelbotnderechosobreellayseleccione
Propiedades.
- 3-
Haga clic en el botn Opciones avanzadas para mostrar las propiedades avanzadas del objeto.
Cuandoaparezcalaventanadedilogo,escojalapestaaAuditora.
En esta ventana, podemos comprobar que las entradas de auditora tienen el valor Correcto. Todas las
modificaciones hechas correctamente sobre los contenedores de Active Directory auditados generarn una
entradaenelregistrodeeventosdelcontroladordedominio.
- 4-
Paravisualizarlasentradasenelvisordeeventos,abraunaventanadecomandoEjecutaryescriba
eventvwr.
En el visor de eventos, sitese en el directorio Registros de Windows Seguridad y busque los
eventosconelnmerodeID4662.
PodemosverquelosaccesosaActiveDirectoryseauditanconxito.
Hagadobleclicsobreuneventoenparticularsideseaanalizarsusdetalles.
- 5-
d.Directoryservicechanges
Con Windows Server 2008 y 2008 R2, aparecieron algunas novedades para las auditoras. Ahora es posible
auditar4nuevosIDdeeventosparalasoperacioneshechasenActiveDirectory.
Estaeslalistadeeventosysudescripcin:
Event5136:Mostrarlosatributosmodificados.
Event5137:Mostrarlosatributoscreados.
Event5138:Mostrarlosatributosnosuprimidos.
Event5139:Mostrarlosatributosdesplazados.
Estos eventos informan nicamente de que se han hecho modificaciones, pero no del contenido de stas. Por
ejempo, podr saber que una nueva GPO ha sido modificada pero no a qu parmetros ha afectado la
modificacin.
ParaemplearlosDirectoryservicechangesconestepropsito,hayherramientasdisponiblesparasudescarga.
e.ActivarDirectoryservicechanges
Laactivacindelaauditoradelosdirectoryservicechangessehaceporlneadecomandosobrecadaunode
loscontroladoresdedominioquedeseeauditar.
AbraunaventanadecomandoEjecutaryescribaCMD.
EnlaventanadecomandoDOS,escriba:
auditpol /set /subcategory:"directory service changes"
/success:enable
f.Auditarunobjetoespecfico
- 6-
Ahora que la auditora de los Directory service changes est operativa, podr activar la auditora sobre los
objetosqueleinteresen.
Es posible auditar cualquier objeto de Active Directory pero eso requiere una manipulacin. Para nuestro
ejemplo,auditaremosunaUnidadOrganizativaconcreta.
AbraUsuariosyequiposdeActiveDirectory.
SiteseenelcontenedorGrupo_Empresa,hagaclicconelbotnderechosobrelaUnidadOrganizativa
Empresa_EspaayseleccionePropiedades.
HagaclicenlapestaaSeguridad,despussobreOpcionesavanzadasyescojalapestaaAuditora.
HagaclicenAgregar.
En la siguiente ventana, escoja los grupos o usuarios especficos a auditar. En nuestro ejemplo,
aplicaremoslaauditoraaTodosdentrodelaUOEmpresa_Espaa.
EscribaTodosyhagaclicenComprobarnombres.
- 7-
CuandoelnombredelobjetohayasidovalidadoporActiveDirectory,hagaclicenAceptar.
Lasiguienteventanadedilogopermiteefectuarlaconfiguracindelaauditora.Puedeescogeraquobjetos
aplicalaauditorayqutiposdeaccesodebenserauditados.
Para nuestro ejemplo, escoja en el men desplegable Aplicar en la opcin Usuario objetos
descendientes.
SeleccioneelaccesoEscribirtodaslaspropiedades.
HagaclicenAceptar.
HagaclicenAceptarparatodaslasventanasdedilogorestantes.
Paraverificarlosresultadosdelaauditoraquehemospuestoapunto,sonnecesariasalgunasmanipulaciones.
EnActiveDirectory,siteseenelcontenedorparaelquesehaactivadolaauditoraycreeunnuevousuario.
Ennuestroejemplo,siteseenlaUnidadOrganizativaGrupo_EmpresaEmpresa_EspaaUsuarios
ycreeunnuevousuario.
Verifique a continuacin en el Visor de eventos que se ha creado una nueva entrada. En cualquier
casoexistiruneventoconunID4662yaquesehabrauditadounaccesoaActiveDirectory.
g.Auditarlosaccesosalosarchivosenlared
Sideseasaberquusuariosaccedenaquarchivosdelaredyenqumomento,necesitarauditarlosarchivos
compartidos.
Enestecaso,puedeactivarlaauditorasobrecadaunodelosservidoresdearchivosoutilizarunadirectivade
grupo.
SieligeutilizarunaGPO,sernecesariomodificarlaestructuradesuActiveDirectorydelasiguientemanera:
- 8-
CreeunaUnidadOrganizativaparalosservidoresdearchivos.
MuevalascuentasdeequipodelosservidoresdearchivosaestaUO.
CreeunaGPOyvinclelaaestaUO.
Activelaauditoradelosobjetosenladirectivadegrupo.
En las propiedades de un directorio, haga clic en la pestaa Seguridad, y despus en Opciones
avanzadas.HagaclicenEditarenlapestaaAuditorayespecifiquequusuariosoqugruposdesea
auditarparacuandoelresultadoesCorrectoy/oErrneo.
2.Conclusinycomentarios
Enestapartedelcaptulohemosabordadoelfuncionamientoylautilidaddelasdirectivasdeauditora.
Hemoscomprobadoquehayunnmeroindefinidodeobjetosyeventossusceptiblesdeserauditados.Elinters
delasdirectivasdeauditoraesquegarantizanunaseguridadreforzadayunmejorcontroldelared.Esposible
saberqumanipulacinsehahechosobrequobjeto,enqumomentoyporquusuariooadministrador.
Lapuestaenprcticadelasdirectivasdeauditorarequierenoobstanteelcontrolylasupervisindeloseventos
auditados. Si el visor de eventos o los registros de logs no se inspeccionan regularmente, la auditora estar
activa pero desgraciadamente ser intil. No se debe olvidar que cuanto mayor sea el nmero de objetos
auditados,mslargoyminuciososereltrabajoderevisindeloseventos.
Ciertas organizaciones de gran tamao se encuentran con un nmero elevado de entradas en los registros de
eventos.HerramientascomoMicrosoftMOMoEventLogSentryIIpermitenunacentralizacindelogspararealizar
unanlisismsadecuado.
- 9-
Directivaderestriccindesoftware
Muchos incidentes sobre los puestos de trabajo son debidos a virus contenidos en los correos, a programas
malintencionados descargados desde Internet, y a programas que no debieran instalarse en el marco de la
actividaddelosusuarios.
Para evitar prdidas de tiempo recurrentes, Microsoft proporciona la posibilidad de implementar polticas de
restriccin de software que permiten a los administradores determinar qu programas podrn o no ejecutarse
sobrelospuestoscliente.
LasversionesXPysuperioresdeWindowsincluyenciertasCSE.UnadeestasCSEesladirectivaderestriccinde
softwarequepermiterestringirelfuncionamientodelosprogramasparaunusuarioenparticularoparatodoslos
usuariosdeunpuestodetrabajoenparticular.
PorsupuestolasGPOderestriccindesoftwaresepuedenaplicarperfectamentealrestodenivelesdeldirectorio
ActiveDirectory.
Estodependedelaformaenquelosadministradoresdesearorganizarlasrestricciones.Siseaplicaunadirectiva
de restriccin de software a nivel del dominio, ninguno de los usuarios del dominio ser capaz de usar los
programasrestringidos.SeseaplicalaGPOalniveldeunaUnidadOrganizativa,ningunodelosusuariosdeesta
UOtendrposibilidaddeutilizarlosprogramasrestringidos,perolosusuariosdeotraUOsipodrn.
Las directivas de restriccin de software pueden aplicarse igualmente a los equipos. Si los equipos estn
impactadosporestasGPO,lesprogramasrestringidosenladirectivanosepodrnusarenelequipoencuestin
porpartedeningnusuario.
Para poner a punto una directiva de restriccin de software, abra la consola de administracin de
directivasdegrupoycreeunanuevadirectivallamadaDirectivaderestriccindesoftware.
ModifiqueladirectivaysiteseenelcontenedorConfiguracindelequipoDirectivasConfiguracin
deWindowsConfiguracindeseguridadDirectivasderestriccindesoftware.
Haga clic con el botn derecho sobre el directorio Directivas de restriccin de software y escoja
Nuevasdirectivasderestriccindesoftware.
Hechoesto,eleditordeadministracindedirectivasdegrupomostrarlosdiferentesobjetosdedirectivaquees
posibleconfigurar.
ElcontenedorDirectivasderestriccindesoftwarecontienedossubdirectorios,NivelesdeseguridadyReglas
adicionales as como tres objetos de directiva, Cumplimiento, Tipos de archivo designados y Editores de
confianza.
- 1-
Losnivelesdeseguridad
LostresparmetrospresentesenelcontenedorNivelesdeseguridaddeterminanelniveldeseguridaddeacceso
alosdiferentesprogramas.
ElniveldeseguridadpordefectoparalasdirectivasdecertificadoesIlimitado.Puedecambiaresteparmetroen
cadaventanadedilogoNopermitido,UsuariobsicooIlimitado.
- 2-
Reglasadicionales
Para definir una regla suplementaria, haga clic con el botn derecho sobre el contenedor Reglas
adicionalesyelijaentrelasnuevasreglasdisponibles.
Regladenuevocertificado
Lasreglasdecertificadoutilizancertificadosfirmadoscriptogrficamente.Ud.puedefirmarsuspropiasaplicaciones
oscriptsconunaregladecertificado.AdicionalmenteUd.puedeutilizarotraregladecertificadoparaaprobarun
publicador,comoporejemploeldepartamentodeinformticaoMicrosoft.
Losusuarios,losadministradoresolosadministradoresdelaempresapuedenespecificarsecomopublicadoresde
confianza.
Noobstante,parautilizarestareglaesnecesarioactivarunparmetrodeseguridadenladirectivaderestriccin
- 3-
desoftware.Esteobjetodedirectivapermitiralospuestosclientegestionarloscertificados.
ParaactivaresteparmetrovayaaConfiguracindelequipoDirectivas ConfiguracindeWindows
DirectivaslocalesOpcionesdeseguridad.
Habilite,segnmuestralafigura,Configuracindelsistema:usarreglasdecertificadoenejecutables
deWindowsparadirectivasderestriccindesoftware.
Regladenuevohash
En informtica, elhashsecorrespondeconunvalornumriconicoasociadoaunarchivo,comolahuelladigital
para un ser humano. El valor del hash est basado en el contenido binario del archivo. Si se modifica este
contenido,elhashtambincambiar.
Cuandosecreaunaregladenuevohash,lasrestriccionesqueentranenjuegoutilizanelhashdelosprogramas
noautorizados.
Nuevaregladezonadered
Lo ms frecuente es que los virus y los programas malintencionados provengan de descargas de Internet. Las
reglasdezonaderedpermitendefinirquzonasdeInternetExplorerautorizanlasdescargas:Internet,Intranet,
sitiosrestringidos,sitiosdeconfianzaoequipolocal.
Es importante observar que esta regla nicamente impide la descarga de archivos MSI. El resto de formatos de
archivoestnexentosdelaregla.
Regladenuevarutadeacceso
Conestareglaesposibleautorizarorestringirelaccesoaciertasaplicacionesenfuncindellugardondeestn
instaladaseneldiscoduro.
- 4-
Lasvariablesdeentornopordefectofuncionanensumayorparteyesposibleespecificarotrasnuevas(crearuna
variabledeentornoconlasGPOdepreferencias).
1.Crearunadirectivaconunareglaadicional
Paraefectuarunapruebaderestriccinsoftware,modificaremosladirectivadegrupoDirectiva de restriccin
softwareeincluiremosunareglaadicional.
HemosdecididobloqueartodoeldirectoriodejuegosdeWindowsmedianteunaregladerutadeacceso.
CreeunaRegladenuevarutadeacceso.
En la ventana de dilogo del parmetro, introduzca la ruta de acceso al directorio de juegos de
Windows. La ruta por defecto es %PROGRAMFILES%\Microsoft Games ya que emplearemos la
variabledeentorno%PROGRAMFILES%.
La ruta de acceso debe corresponder a la de los puestos de trabajo sobre los que la GPO va a
aplicarse segn su versin. Esto tambin es as si se desea crear otra regla ya que el servidor no
siempre dispone de la misma configuracin de sistema que los puestos de trabajo. Las diferentes
versionesdeWindows2000aVistao7disponenigualmentedeconfiguracionesdesistemadiferentes.
ConfigureelniveldeseguridadaNopermitidosideseaunnivelmximoderestriccin.
HagaclicenAceptar.
Lareglaadicionalhasidocreadaysemuestraenelcontenedor Reglasadicionales,debajodelasreglaspor
defecto.
EspreferiblenomodificarlasreglaspresentespordefectoeneldirectorioReglasadicionales.
- 5-
Apartirdeestemomento,puedevincularladirectivadegrupoalaUnidadOrganizativacorrespondienteyprobar
sufuncionamiento.
No olvide forzar la aplicacin de las GPO con ayuda del comando GPUPDATE para verificar directamente los
resultados.
2.CmoycundoaplicarlasGPOderestriccin?
En el momento de la autentificacin de un usuario sobre un puesto, el sistema ejecuta el programa shell
Explorer.exe,cuyopapelesarrancarasuvezotrosprogramas.
Explorer.exeinspeccionaelregistro(entreotros)paraaplicarlasposiblesrestriccionesenvigor.Lasdirectivasde
restriccin
se
guardan
en
el
registro
en
la
clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifier.
A partir de la aplicacin de la directiva de restriccin sobre el puesto de trabajo, no puede crearse ninguna
instanciadelasaplicacionesrestringidas.
Silosprogramasrestringidosyaestnenfuncionamientoantesdelaaplicacindeladirectivadegrupo,podrn
serutilizadoshastaquesecierren.Unavezcerrados,nopodrnvolverainiciarse.
3.Depurarlasdirectivasderestriccin
HaydosmanerasdeinvestigarelfalloenelfuncionamientodelasGPOparapoderrepararlas.
Esposibleinspeccionarmanualmenteelregistroparaverificarsitodoslosparmetrosdedirectivasderestriccin
encursosonadecuados,otambin,crearunregistrodeeventosespecficoparalasdirectivasderestriccin.
a.Verificarmanualmenteelregistro
Lasdirectivasderestriccinsoftwareseguardanenelregistrobajolaclave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
o
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Una vez situado en el registro en uno de estos dos lugares, podr comprobar que las diferentes reglas
adicionalessealmacenanenlassubramasdeldirectorioCodeIdentifiers.Tendrlaposibilidaddecompararlos
- 6-
nmeros dehash de las aplicaciones restringidas por regla de hash o las rutas de acceso definidas para los
programasrestringidosporregladerutadeacceso.
b.Crearunregistrodeeventos
Es posible crear un registro de eventos especfico a los errores de aplicacin de las directivas de restriccin
software.
Para
crear
el
registro
de
log,
sitese
en
el
registro
en
el
lugar:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers.
CreeunnuevovalordecadenallamadoLogFileName.
Haga doble clic sobre el nuevo valor creado y, en el campo Datos del valor, introduzca la ruta
completadealmacenamientodelarchivodelog,porejemploC:\Temp\Logsrl.txt.
Unavezsehayarealizadoestaoperacin,secrearunaentradaenelregistrodeeventoscreadoparacada
arranque de una aplicacin sobre el puesto de trabajo. Los motivos de su funcionamiento o de sus fallos
quedarnexplicadosall.
- 7-
DirectivadeseguridadconInternetExplorer
InternetExplorereselnavegadorInternetpordefectoincluidoencadaversindeWindows.
La versin incluida con las ltimas versiones de Windows es Internet Explorer 8 y 9 con el Service Pack 1 de
Windows7.LaconfiguracindeInternetExploreresmuyimportanteenlamedidaenquelamayorpartedelos
ataquesprovienendeInternet.
Obviamente, el primer plano en lo concerniente a la seguridad en la red corresponde a los cortafuegos, pero
securizar Internet Explorer es tambin un punto clave para asegurar la estabilidad de los puestos cliente y,
finalmente,ladelaredcompleta.
Establecer la configuracin de Internet Explorer lleva tiempo. Hay que considerar todas las opciones y su
importancia, verificar si la conexin a Internet pasa por servidores PROXY y asegurarse de adaptar el nivel de
seguridad requerido para los diferentes tipos de usuarios. Poner a punto la configuracin de Internet Explorer
puedellevartodavamstiemposicadaparametrizacindebehacersedirectamentesobrelospuestosdetrabajo.
ConlasdirectivasdegrupotienelaposibilidaddeprepararlaconfiguracindeInternetExplorerenlaconsolade
administracindedirectivasdegrupoydesplegarlasobrelospuestosdetrabajo.
LosparmetrosdeconfiguracindelaaplicacinInternetExplorerformanpartedelasPlantillasadministrativas
delaConfiguracindelequipoydelaConfiguracindeusuario.EnelnodoConfiguracindeusuario,existeun
directorioespecficoparaelmantenimientodeInternetExplorer.
1.ParmetrosdedirectivadeInternetExplorer
Internetylaseguridadvandelamano.LosusuariosnosiempretienenpresentequeInternetesunapuertade
entrada para los virus y que es muy importante configurar la seguridad del navegador para impedir estas
intrusiones.
La aplicacin posee numerosas opciones que, una vez configuradas, podrn facilitar la navegacin de los
usuarios de la red. Las directivas de grupo permiten configurar el navegador Internet Explorer de varias
maneras.Laaplicacinensmismapuedeconfigurarseapartirdelasplantillasadministrativas(archivosADMX)y
loselementosdemantenimientodelaaplicacinestnaccesiblescomodirectivas.
a.ConfigurarelnavegadorInternetExplorer
ParaconfigurarInternetExplorer,abralaconsoladeadministracindedirectivasdegrupoycree
unanuevadirectivadegrupollamadaConfiguracinIEusuarios.
Enel Editordeadministracindedirectivasdegrupo,siteseenelcontenedor Configuracinde
usuarioDirectivasPlantillasadministrativasComponentesdeWindowsInternetExplorer.
Como podr comprobar la lista de parmetros de directiva configurables es exhaustiva. No es necesario que
configurecadaunodelosparmetrosdisponibles,elijatansloaquellosquesecorrespondanconlanecesidad
deladirectivayconfigrelos.
Para una mejor comprensin de este libro, nos centraremos en la configuracin de los elementosBarras de
herramientasyPaneldecontroldeInternet.
EnelcontenedorBarrasdeherramientas,escojalasiguienteconfiguracin:
Desactivarherramientadeactualizacindelabarradeherramientas:Habilitada
Desactivarpersonalizarlabarradeherramientasdelexplorador:Habilitada
Desactivarpersonalizarbotonesdelabarradeherramientasdelexplorador:Habilitada
CuandohagaclicsobreelparmetroConfigurarbotonesdelabarradeherramientas,establzcalo
- 1-
enHabilitadayelijalosbotonesquedeseapublicarparasususuarios.
Unavezterminadalaconfiguracin,hagaclicenAceptar.
La seccin Barras de herramientas ha quedado ahora configurada para los usuarios del dominio que se
beneficiarndeestadirectivadegrupo.
Acontinuacin,configuraremoslosparmetrosenPaneldecontroldeInternet.
SitesesobreelcontenedorPaneldecontroldeInternet.
Lalistadelosparmetrosdisponiblesesdenuevoexhaustivaynosllevarademasiadotiemposituvisemos
querecorrerlaendetalle.
- 2-
Deformageneral,esposibleconfigurarlaspestaasdeseguridadparareforzarlaseguridaddelaaplicaciny
desactivar las pestaas en Internet Explorer para limitar la distribucin de informacin sobre los puestos de
trabajo.Enesecaso,losadministradoressonlosnicosusuarioshabilitadosparamodificarlosparmetrosde
seguridaddelaaplicacin.
Ud.podrrecorrerlosobjetosdedirectivadisponiblesyformarseunaopininsobresueficaciaosunecesidad
parasured.
De los objetos disponibles, no todos aplican para la ltima versin de Internet Explorer. Puede emplear los
filtrosparamostrarlosparmetrosquecorrespondenalasversionesdeInternetExplorerqueleinteresen.
2.MantenimientodeInternetExplorer
ComonovedadenWindowsServer2008y2008R2,elmantenimientodeInternetExplorerestdisponiblebajo
la forma de directivas de grupo. Puede utilizar los parmetros de mantenimiento de Internet Explorer para
configurarlaformaenquelosusuariosvanautilizarelnavegador.
Estos parmetros estn disponibles en Configuracin de usuario Directivas Configuracin de Windows
MantenimientodeInternetExplorer.
- 3-
a.Personalizacindelnavegador
La parametrizacin de la interfaz de usuario del navegador sirve generalmente para personalizar Internet
Exploreraimagendelaempresa.
Puedeconfigurarlabarradettulodelaaplicacin,cambiarellogotipodeInternetExplorerparamostrarelde
su empresa o personalizar las imgenes en segundo plano de la barra de herramientas y los botones
disponiblesdesta.
Parapersonalizarlabarradettulodelnavegador,vayaaInterfazdeusuariodelexploradoryhaga
dobleclicenelparmetroTtulodelexplorador.
IntroduzcaeltextoadecuadoyhagaclicenAceptar.
Talycomoseindicaenlaventanadedilogo,eltextodelabarradettuloapareceracontinuacindeltexto
por defecto. Segn nuestro ejemplo, el texto mostrado una vez modificado serWindows Internet Explorer
proporcionadoporGrupo_Empresa.
- 4-
b.Configurarlosparmetrosdeconexin
EldirectorioConexindeldirectoriodeMantenimientodeInternetExplorerproporcionavariosparmetrosde
directivaparaconfigurarlasopcionesdeconexindelnavegador.
Es posible importar los parmetros de conexin, configurar directamente las conexiones de red o a Internet
deseadas, y configurar los servidores PROXY o el navegador para apuntar automticamente hacia una URL
especficaparalosintentosdeconexinaInternet.
c.GestionarlasURL
La pgina de arranque de Internet Explorer, los favoritos y enlaces pueden definirse y parametrizarse en la
seccinDireccionesURLdeldirectorioMantenimientodeInternetExplorer.
d.SeguridaddeInternetExplorer
ExistenvariosnivelesdeseguridadparaelnavegadorInternetExplorerconfigurablesenlaseccinSeguridad
deldirectorioMantenimientodeInternetExplorer.
Esposibledefinir:laszonasdeseguridad,elniveldeseguridaddelnavegador,laszonasIntranet,lossitiosde
confianzayelniveldeconfidencialidad.
e.Parmetrosdeprogramas
La seccin Programas le permite definir el editor HTML, el programa de correo electrnico o el tipo de
calendarioaemplearporInternetExplorer.
- 5-
Conclusinycomentarios
Sideseasecurizarsuarquitectura,necesitalasdirectivasdegrupo.Laseguridaddeunaredenteranodepende
nuncadeunslofactor.Lasamenazassonmltiplesylasformasderesponderaellastambinlosson.
Laprofundidadylaprecisinenlaconfiguracindelospuestosdetrabajoylosservidorestanslosonposibles
conlasGPO.Ningunaotraherramientalepermitesertanespecficoenlaparametrizacindeunentornocliente
Windowsodelasaplicaciones.
Es posible restringir el acceso a los discos, impedir la conexin de elementos externos, definir quin puede
conectarsealaWiFi,lacomplejidadaexigirenlascontraseas.Sonvariosmileslosparmetrosdisponibles.
Lafiabilidaddeunaempresapasaporlaseguridad.Cuantomsaltasealaseguridad,msfiablessonlosdatos,
msestablessonlospuestosdetrabajoymssealigeraeltrabajocotidianodelosequipos.
Es necesario definir el nivel de seguridad deseado, hasta qu punto los usuarios deben ser dueos de sus
puestosdetrabajo.Ciertasempresaseligennoprotegerlospuestosdetrabajonilaredporqueesmssimple
intercambiardatosdeestamanera.Otrasprefierenaumentarydarprioridadalaseguridadhastaelmsaltonivel
porquesuactividadlorequiere.
Lossistemasinformticosdelasempresassonlapiedraangulardesuactividad.Unosequiposconstantemente
averiados no permiten alcanzar una productividad estable ya que se ve interrumpida permanentemente. Sin
embargo,elfuncionamientodelosdepartamentosinformticosdependedirectamentedelosmtodosdegestin
empleadosporlaorganizacin.
LasdirectivasdegruposonhoylaherramientamspotenteparaconfigurarlospuestosdetrabajoMicrosoft.Los
parmetrosconfigurablesenlaGPMCtansloestnaccesiblesparalasGPO.Todoslosparmetrosdisponiblesen
la consola de administracin de directivas de grupo permiten realizar una configuracin en profundidad y
securizada. Los errores de manipulacin sobre los puestos de trabajo o el comportamiento malintencionado
puedenanticiparseeimpedirse.
- 1-
Introduccin
A pesar de sus numerosas ventajas, trabajar con las directivas de grupo no es siempre sencillo. Los casos de
erroresenelfuncionamientodelasdirectivasdegruposonnumerososy,enocasiones,noesfcilidentificarla
causa del problema. Para corregir errores de las GPO lo ms rpidamente posible, es indispensable conocer la
estructura de su funcionamiento. En efecto, dominar los diferentes pasos de los procesos de aplicacin de las
directivasdegrupoyconocerloscaminosquetomandesdesucreacinhastasuaplicacinsobreunpuestode
trabajoaumentalaprobabilidaddeidentificarrpidamentelosproblemasexistentes,yresolverlos.
Para corregir una directiva es necesario discernir en qu momento de su recorrido ha quedado bloqueada la
directivaencuestin.Unavezsehayaaveriguadoesto,sepodrndeterminarlasrazonesdelerroryponeren
prcticaprocedimientosderesolucin.
Son varios los elementos de infraestructura involucrados en la aplicacin correcta de las directivas de grupo. El
directorioActiveDirectory,elservidorDNS,elserviciodereplicacindearchivosFRS(File Replication System)son
actoresprincipalesenlosprocesosdeaplicacindelasGPO.Sinomitirlaimportanciadelpapeldelasextensiones
delladoclientequegarantizaneltratamientodelasdirectivasylaaplicacindesusparmetrosenlospuestosde
trabajo.
Esevidentequeenlasredesdegrantamao,losequipostcnicosnotienennecesariamentesiempreeltiempo
paracomunicarentreelloslasdiferentesintervencionesrealizadassobrelared.Cuandosedetectaunaavera,la
causapuedesersimplementeladesactivacinolasupresindeladirectivaporunodelosadministradores,sin
que nadie se haya dado cuenta. La informacin de la presencia de una avera no es detectada por los
administradores hasta que se reporta un incidente en los puestos de trabajo. Aunque es posible supervisar
permanentementelaaplicacincorrectadelasdirectivasdegrupodelared,elvolumendetrabajodelosequipos
tcnicosgeneralmentenopermiteestetipodeorganizacin.
Algunosolvidos,aunquenoseangraves,puedenigualmenteprovocarunfuncionamientoerrneodelasdirectivas
degrupo.UnsimpleclicpuedeimpedirqueunaGPOfuncioneopuedepermitirquefuncionedenuevo.
En este captulo, abordaremos los elementos esenciales que permiten detectar y reparar los fallos en el
funcionamientodelasdirectivasdegrupo.
- 1-
Metodologa
La implementacin de las directivas de grupo en una empresa exige un nivel de conocimiento elevado de su
infraestructura de red. Es imprescindible conocer los principios de constitucin de una arquitectura de red, la
jerarquaexistenteentrelasdiferentespartes,susdependenciasmutuasysuinteroperabilidad.
Lasrazonesdelosfallosdefuncionamientodelasdirectivasdegrupopuedentenervariosorgenesligadosalos
entornostcnicosoalaformaenqueestnorganizados.
Windows Server 2008 y 2008 R2 ofrecen herramientas que permiten diagnosticar los errores y resolverlos.
Descomponer el ciclo de tratamiento de una directiva de grupo en varias categoras permite estructurar la
bsquedadelasolucin.Losciclosdeaplicacindelasdirectivasdegruposiguenuncaminopreciso.
Lossiguienteselementosconstituyenpuntosdepartidaparafacilitarlabsqueda,ladetecinylaresolucinde
losfallosligadosalasdirectivasdegrupo.
1.Elementosdebsqueda
a.Lasexigenciasligadasalainfraestructura
Los problemas ligados a la aplicacin de las directivas de grupo tienen que ver frecuentemente con las
tecnologas sobre las que se apoya la propia directiva. Algunos olvidos en la puesta en prctica de las
directivastambinpuedenserorigendefallos.
Unanlisisdelasinterdependenciasentrelasdiferentestecnologaspermiteidentificarrpidamenteelorigen
deloserroresdefuncionamientoligadosalasdirectivasdegrupo.
En particular, Active Directory y DNS (Domain Name System) tienen un lugar importante en el proceso de
aplicacindelasdirectivasdegrupo.
El servidor DNS, as como el servicio DNS sobre los puestos cliente, deben funcionar correctamente. Los
protocolos de red deben funcionar correctamente para permitir la comunicacin entre los controladores de
dominioylospuestosdetrabajo.
Asmismo, la implementacin de una estructura Active Directory slida y organizada facilita el proceso y la
aplicacin de las directivas de grupo. El funcionamiento de la replicacin entre los diferentes sitios es
indispensable para que los controladores de dominio designados para suministrar las GPO obtengan sus
actualizaciones.
LosentornosActiveDirectoryqueposeanrelacionesdeaprobacinentrevariosdominiossonigualmenteuna
fuentepotencialdefallos.
b.Losentornosmixtos
LasversionesXPyVista/7deWindowsnotienenlamismaformadetrataryaplicarlasdirectivasdegrupo.Por
esto,puedensurgirproblemasenunaredcompuestaporequiposconsistemasoperativosmixtos.
c.Lasautorizaciones
Las directivas de grupo estn vinculadas a los diferentes contenedores Active Directory. La verificacin de la
presencia de usuarios con errores en los diferentes Sitios, Dominios y Unidades Organizativas del directorio
forma parte de los mtodos de resolucin. Es importante verificar igualmente los derechos y permisos de los
usuariosaaplicarsobrelasGPO.
d.EldominioActiveDirectory
- 1-
LasGPOfuncionanapartirdeWindows2000.Lospuestosquetenganinstaladaslasversiones95,98yNTde
Windowsnopuedenprocesaryaplicarlasdirectivasdegrupo.NosepuedenconcebirGPOsobreservidores
quetenganinstaladaslaversinNT.
Es preciso emplear las reglas de herencia y precedencia de las directivas de grupo en la concepcin de la
estructuraActiveDirectory.stadebecorresponderalosrequisitosdefuncionamientoencuantoalautilizacin
delasdirectivasdegrupo.
Para recibir los objetos de directiva de grupo que se crean y almacenan a nivel del dominio, el usuario o el
equipodebensermiembrosdeunSitio,Dominio,odeunaUnidadOrganizativa.Unadirectivadegrupotambin
debe estar vinculada a uno de estos objetos. La pertenencia de las cuentas de equipos o de usuarios a un
grupodeseguridadnoformapartedelosfundamentosdefuncionamientodelasdirectivasdegrupo.Elusode
laspertenenciasalosdiferentesgruposdeseguridadcomocriteriodeaplicacindeunadirectivadegrupose
denominafiltradodeseguridad.Estemecanismoseusaparticularmenteparalasrestriccionesdesoftwarede
lasdirectivasdegrupo.
e.Laconectividadconlared
Paraquelasdirectivasdegruposeapliquensobrelospuestoscliente,sedebeestablecerunaconexinentre
lospuestosyuncontroladordedominio.Existenvariosparmetrosquepuedenafectaralaconectividadconla
red:
LaarquitecturadelareddebebasarseenTCP/IPparaquelasGPOpuedandifundirse.
ElprotocoloICMP(InternetControlMessageProtocol)debeestaractivosobrelasredesqueempleenun
cortafuegos.
Losiniciosdesesinsobredominiosconcachpuedengenerarproblemasdeconectividad.
Si el reloj de un equipo no est sincronizado con los dems relojes de la red pueden aparecer
problemas ligados a la autentificacin. Estos problemas de autentificacin podran quedar
enmascarados cuando un usuario tiene posibilidad de conectarse al equipo con credenciales
guardadasencach.Enestoscasos,enaparienciaelusuariohaabiertounasesinconxitoperono
escapazdeaccederalosrecursosdelsistema,incluyendolasdirectivasdegrupo.
f.Lasdirectivasaplicadasaenlaceslentos
Ladeteccindeenlaceslentosfuncionadeformaautnomayesdiferentedelfuncionamientodelasdirectivas
enunaredestndar.Puedenaparecerciertosproblemassilosenlacesderednosoportanlosintercambiosde
datos.
g.LosservidoresDNS
LospuestosclienteutilizanlosnombresdedominiototalmentecalificadosFQDN(FullyQualifiedDomainName)
para comunicar con los controladores de dominio. Durante la lectura de una GPO, se solicita un acceso al
volumencompartidoSYSVOLdelcontroladordedominio.LosservidoresDNSdebenestaractivosparaquelos
clientes puedan obtener los nombres de dominio totalmente calificados, conectarse a los controladores de
dominioyobtenerlosdatosdelasdirectivasdegrupoquefinalmenteseaplicarn.
Ciertos parmetros de directiva que emplean las CSE deben tener acceso a los recursos de la red. Las CSE
utilizan nombres de dominio totalmente calificados para conectarse a la red de la empresa, tambin en este
casolosrecursosDNSdebenestarfuncionando.
h.ElvolumencompartidoSYSVOL
LosdatosrelativosalasGPOsealmacenanendoslugaresdiferentesdelainfraestructura(captuloGPO,ADy
losprocesosdeaplicacin).LaparteGPCdeladirectivaseguardaenActiveDirectoryylapartedelaplantilla
GPT en el archivo Policies del directorioSYSVOL de los controladores de dominio. Los clientes deben tener
capacidadparaaccederaldirectorioSYSVOLyobtenerlosdatosdelasplantillasdedirectivasdegrupopara
poderaplicarlas.
- 2-
i.LareplicacinActiveDirectoryyFRS
LareplicacinActiveDirectoryyladelosarchivosdelsistemasonnecesariasparaelbuenfuncionamientode
lasdirectivasdegrupo.Esimprescindiblequelosdostiposdereplicacinestnoperativos.Enelcasodeque
tansloestoperativalareplicacinActiveDirectory,todavasonposibleslamodificacinolaadministracin
deladirectivadegrupoenActiveDirectorySitiosyServiciosyen Configuracindeusuarioy deequipo.Sin
embargo,laaplicacindeladirectivadegruposobrelospuestosclientenosepodrefectuar.
j.Lasdirectivaspordefecto
Las dos directivas instaladas por defecto durante la creacin de un dominio Active Directory son la Default
DomainPolicyylaDefaultDomainControllersPolicy.Engeneral,noserecomiendamodificarestasdirectivasde
grupo, a excepcin de ciertos parmetros de seguridad. Si estos parmetros se configuran de manera
incorrecta, pueden aparecer problemas de autentificacin de los clientes, de replicacin del directorio, de
replicacin FRS y de otros componentes. Para eliminar estas anomalas, se deber restaurar Default Domain
PolicyyDefaultDomainControllersPolicy.
k.EnlaGPMC
La consola de administracin de directivas de grupo permite realizar numerosas operaciones que, si se
efectan de forma errnea, o simplemente se olvidan, pueden alterar el funcionamiento de las GPO sobre la
red.
Cuandoseproducenfallosrelacionadosconunadirectivadegrupo,esinteresanteintegrarestoselementosen
losprocedimiendosdedeteccindefallos,yaqueunsoloclicpuedesersuficienteparaprovocarungrandao.
A continuacin se muestra una lista de elementos suplementarios que permiten resolver ciertos incidentes
ligadosalasdirectivasdegrupo.
Vincularlosobjetos
Cuando una GPO no funcione, verifique que se ha vinculado correctamente al contenedor Active Directory
adecuado.Sinofueseelcaso,corrijalavinculacinyefecteunaactualizacindelasGPOsobrelospuestosde
trabajoafectados.
Losobjetosdesactivados
Siestdesactivadaunadelaspartes,equipoousuario,deunadirectivadegrupo,puedetenerproblemassi
losparmetrosqueleinteresanseencuentranenelcontenedorinactivo.Enesecaso,conctesealaconsola
deadministracindedirectivasdegrupoyactvelo.
Laprecedencia
No se olvide de la precedencia de las GPO. La vinculacin a uno de los niveles Sitio, Dominio o Unidad
Organizativatienecaractersticasespecficasqueinfluyensobreelordendeaplicacindelasdirectivassobre
losequipos.Recuerdelaregla:laltimaGPOaplicadaeslaqueseimpone.
EstnenellugarcorrectolosobjetivosdelaGPO?
Cuandounusuarioounequiponorecibelosparmetrosdedirectivaqueselehabanprevisto,verifiqueque
estn presentes los objetos en los contenedores a los que estn vinculadas las GPO. Si no fuese el caso,
efectelasoperacionesnecesarias.
2.Organizarlospermisos
- 3-
Unaempresadegrantamaoposeeunareddegrantamao.Cuantomayorymscomplejaeslared,mayores
el nmero de intervinientes tcnicos. La mayora de organizaciones de este tipo emplean Active Directory de
maneraextensivaparajerarquizarlosequiposdeadministradorespornivel.
Seempleaelsistemadelgicapiramidal,quepermiteteneradministradorescontodoslosprivilegios,otroscon
unospocosmenos,yassucesivamente.
Jerarquizar los niveles de acceso de los administradores permite saber, en caso de conflicto, qu interviniente
puedehaberoriginadoelfalloenelciclodeprocesamientodelasGPO.Losderechosrequeridosparaefectuar
unaoperacinpermitendeterminaralresponsableencadacaso.
La comunicacin entre los equipos es uno de los elementos esenciales para el buen funcionamiento de una
organizacin. Generalmente, los errores se comenten cuando los intervinientes estn desbordados por su
trabajoynotienentiempoparaactuardeacuerdoalasrecomendacionesenvigor.
Emplear las herramientas que Microsoft ofrece para una mejor gestin de la informacin, tales como la
delegacindecontrol,puedeserventajosocuandolasituacinsevuelveurgente.
- 4-
Lasherramientasdediagnstico
1.GPOTool
GPOTool.exeesunaherramientaconinterfazdeusuarioporlneadecomandosenWindowsServer2008y2008
R2. Esta aplicacin est prevista para emplearse internamente en los entornos de dominio Windows que
contenganmsdeuncontroladordedominio,yenlosquelareplicacinActiveDirectoryestactiva.
El papel de esta herramienta es el de determinar la validez de la sincronizacin entre los objetos GPC y GPT
asociadosalasdirectivasdegrupo.
GPOTool recorre el conjunto de los controladores de dominio y verifica cada error de coherencia entre el
contenedor de directivas de grupo (la informacin contenida en el GPC) y la plantilla de directiva de grupo (la
GPT,informacincontenidaenlaunidadcompartidaSYSVOLdeloscontroladoresdedominio).
La herramienta verifica tambin la coherencia de las directivas de grupo desplegadas en el dominio. Cuando
haya finalizado el proceso de verificacin, dispondr de informacin en detalle sobre los objetos GPO que han
sidoreplicadosentretodosloscontroladoresdedominio.Esimportantesealarqueelprocesodeverificacinde
GPOToolpuedellevarmuchotiemposiexistenmuchosobjetosdedirectivadegrupoeneldominio.
GPOTool le permite efectuar una verificacin sobre un objeto de directiva de grupo concreto especificando su
GUID.
a.PrepararlautilizacindeGPOTool
La herramienta GPOTool est disponible a partir de la version Windows Server 2000. Se puede descargar
gratuitamenteysepuedeemplearsobreWindowsServer2000,2003,2008y2008R2.Noparecequeexistan
modificacionesenlaherramientadesdelaversindeWindowsServer2003.
b.UtilizarGPOTool
El directorio de instalacin por defecto de GPOTool es C:\Program Files (x86)\Windows Resource
Kits\Tools.SerecomiendaarrancarlaaplicacinapartirdeunaventanadelneadecomandoDOS.
AbraunaventanadelneadecomandoDOSeintroduzcalarutadelaaplicacin.
Tecleegpotool/?paramostrarlalistadecomandosdisponiblesenlaherramienta.
gpotool
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 1-
Estecomandopermitearrancarunprocesodeverificacindetodaslasdirectivasdegrupo
existenteseneldominio.
gpotool/gpo
Estecomandopermiteespecificarladirectivadegrupoquesedeseaverificar.Sepuedeemplearel
GUIDdeladirectivaosunombre.stedebeespecificarseconformealadenominacinque
muestrelaconsoladeadministracindedirectivasdegrupo.
gpotool/domain
EstecomandopermiteespecificarelnombreDNSdeldominiodelasGPOquesedeseaverificar.
gpotool/dc
Estecomandopermiteespecificareloloscontroladoresdedominioquesedeseaverificar.
gpotool/checkacl
EstecomandopermiteverificarlavalidezdelaslistasACLeneldirectorioSYSVOL.Atencin,esta
verificacinpuedellevarmuchotiempo.
gpotool/verbose
Estecomandomuestrainformacindetalladadelosinformesdeverificacin.
Arranque el comando gpotool sobre uno de los controladores de su dominio. En nuestro ejemplo,
efectuaremosunaverificacincompletasobreelnicocontroladordedominioexistente.
Sehacompletadolaverificacindelatotalidaddelasdirectivasdegrupodeldominio.Elinformeindicaquelas
directivassonvlidasyfuncionales.
c.Aislarloserroresdereplicacin
Es importante aislar los errores asociados a la replicacin para un buen funcionamiento de las directivas de
- 2-
grupo. Cuando se crea o modifica un nuevo objeto de directiva de grupo sobre uno de los controladores de
dominio,esimprescindiblequeseareplicadosobretodoslosdemscontroladoresdedominiodelared.
Inicialmente se poda instalar la utilidad Replmon que permita mejorar la probabilidad de detectar los fallos
ligadosalareplicacin.WindowsServer2008y2008R2nosoncompatiblesconlaversinactualdeReplmon.
Si el uso de Replmon es indispensable para la estabilidad de la red, se puede emplear desde un puesto de
administracinconXPounservidorquetengainstaladoWindowsServer2003.
2.DeterminarunconjuntoresultantededirectivasRsOP
Paracasosenquelosadministradoresdeseanverificarlacorrectaaplicacindelosparmetrosdedirectivade
grupo sobre los puestos cliente, Microsoft proporciona la posibilidad de mostrar un conjunto resultante de
directivas para una o varias directivas de grupo aplicadas a diferentes objetivos. Es posible obtener los
conjuntosresultantesdedirectivasdelospuestosclientesremotosadistanciaconlaayudadelasutilidadesde
laconsoladeadministracindedirectivasdegrupoolocalmentesobrelospuestosempleandolasutilidadespor
lneadecomandosdeGpresult.Adems,sepuedeagregarelcomplementoConjunto resultante de directivas
paragenerarlosdatosRSOP.
En Windows Server 2008 y 2008 R2, es posible determinar el conjunto resultante de directivas desde los
servidoresgraciasalavisualizacindelosResultadosdedirectivasdegrupo.Estafuncionalidadlepermitela
consultadeinformesdetalladossobrelosparmetrosdedirectivaaplicadossobrelospuestosdetrabajodesu
dominio.Esposiblevisualizarlosparmetrosdedirectivaaplicadosalosusuariosyalosequiposconunasesin
abiertaenlared.LasopcionesdeldirectorioResultadosdedirectivasdegrupodelaconsoladeadministracin
dedirectivasdegrupolepermitenmostrarinformacindelconjuntoresultantededirectivasutilizandoelmodo
deregistrodeRsOP.
Laconsoladeadministracindedirectivasdegrupopermite,asuvez,simularlosparmetrosdedirectivaque
debenaplicarsesobreunpuestoounusuarioalquenoleesposiblecontactarutilizandolared.Lasopciones
del directorio Modelacin de directivas de grupo de la consola de administracin de directivas de grupo
permiten visualizar informacin del conjunto resultante de directivas empleando el modo de planeamiento de
RsOP.
Los componentes necesarios para la visualizacin de los conjuntos resultantes de directivas RSoP estn
disponiblesenlaconsoladeadministracindedirectivasdegrupo.
a.Resultadosdedirectivasdegrupo
Cuando una directiva de grupo no se est aplicando correctamente sobre un puesto de trabajo, hay ciertos
datosquesonindispensablesparacomprenderloserroresqueseestnproduciendo.
La funcionalidad Resultados de directivas de grupo ofrece la visualizacin detallada de los conjuntos
resultantesdedirectivasparalosequiposylosusuarios.stospermitenrealizarunanlisisenprofundidadde
loserroresenlaaplicacindeunadirectivadegrupo.
Para hacer una prueba con el modo de registro de RsOP, abra la consola de administracin de directivas de
grupoysitesesobreelcontenedorResultadosdedirectivasdegrupo.
Despliegue el men contextual del directorio y escoja la opcin Asistente para Resultados de
directivasdegrupo.
- 3-
Se muestra la ventana del Asistente para Resultados de directivas de grupo y tan slo permite hacer clic
sobreSiguiente.
HagaclicenelbotnSiguiente.
Lasiguienteventanadedilogoleproponelaseleccindeparmetrosrelativosalequipo.Tienelaposibilidad
de seleccionar el ordenador local sobre el que est ejecutando el asistente o un ordenador remoto de los
recogidosenActiveDirectory.
Tambinpuedeescogernomostrarlosparmetrosdeequipodelasdirectivasdegrupo.
EscojalaopcinOtroequipoyhagaclicenExaminar.
- 4-
Introduzca el nombre netbios del ordenador objetivo afectado por los Resultados de directivas de
grupo.
HagaclicenAceptar.
HagaclicenSiguiente.
A continuacin, la ventana de dilogo del asistente le ofrece la seleccin de parmetros relativos al usuario.
Puedeescogerentremostrarlosresultadosparaelusuarioencursoolosdeunusuarioespecfico.
Tienecomoeleccinelnomostrarlosparmetrosdelosusuarios,silodesea.
Por defecto, las opciones del usuario estn seleccionadas. No escoja la opcin No mostrar
configuracindedirectivadeusuarioenresultados.
HagaclicenSiguiente.
Laventanadedilogoquesemuestralepermitevalidarlosdatosintroducidosenlospasosanteriores.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 5-
Siestdeacuero,hagaclicenSiguiente.
HagaclicenFinalizarparaconfirmarlaoperacin.
Una vez terminado el proceso del asistente, se ha creado un nuevo objeto en el directorio Resultados de
directivasdegrupo.Parafacilitarlaidentificacindeestosobjetos,susnombressecomponendelnombredel
usuarioyeldelequipoinvolucrados.
- 6-
LapestaaResumen
LapestaaConfiguracin
LapestaaEventosdedirectiva
LapestaaResumen
Lapestaa Resumen reune la informacin relativa a la infraestructura que permite aplicar la GPO en las dos
categoras principales:Configuracin del equipo yConfiguracin de usuario. Estas dos categoras tienen la
mismaestructuraymuestraninformacindelmismotipo.
LaseccinGeneralcontienelosdatosidentificativosdelobjetivodeResultadosdedirectivasdegrupocomo
sonelnombredelobjeto,sudominio,ysusitio,ascomolahoradelaltimaaplicacindelasdirectivassobre
esteobjeto.
Laseccin Objetos de directiva de grupoenumeralasdirectivasaplicadassobreelobjetoascomolasque
hansidorechazadas.
El apartado Causa denegada le puede servir de orientacin para corregir una directiva que no se
aplicacorrectamente.
LaseccinPertenenciaagruposdeseguridadcuandoseaplicladirectivadegrupolepermiteverificarlos
gruposdeseguridadalosquepertenecaelobjetoenelmomentodeaplicarlasdirectivas.
LaseccinFiltrosWMImuestralosfiltrosquepudierahaberasociadosalasdirectivasaplicadas.
- 7-
La seccin Estado del componente le informa del xito o fracaso en la aplicacin de ciertas funciones que
permitenaplicarlasGPOsobrelosobjetos.
LapestaaConfiguracin
La pestaa Configuracin rene todas los datos relativos a los parmetros aplicados. Muestra todos los
objetosdeparmetrosdetodaslasdirectivasaplicadas,juntoasudefinicinyconfiguracin.
- 8-
LapestaaEventosdedirectiva
LapestaaEventosdedirectivasepresentabajolaformadeunvisordeeventosdedicadoexclusivamenteal
objetoverificado.
Los registros son notificaciones informativas, de error, y advertencias que permiten profundizar en la
investigacindelosfallos.
- 9-
b.Modeladodedirectivasdegrupo
Esta utilidad permite verificar el impacto de una directiva de grupo sobre los puestos objetivo. El mtodo
empleadosebasaenlasimulacindelaaplicacindeladirectiva.
El modelado de directivas puede anticipar posibles fallos que pueden surgir en produccin. Una directiva de
grupo no probada sobre la red puede suponer fallos con graves consecuencias. Los problemas que puede
acarrearsedebenresolverconurgenciaylosequiposITpierdentiempoenelrestablecimientodelequilibrioen
lared.Estafuncionalidadevitaestetipodecontrariedades.
Paraprobarelmododeplaneamiento,abralaconsoladeadministracindedirectivasdegrupoy
sitesesobreelcontenedorModeladodedirectivasdegrupo.
Despliegue el men contextual del directorio y escoja la opcin Asistente para modelado de
directivasdegrupo.
- 10 -
Esposibleseleccionarelcontroladordedominioapartirdelcualseefectuarelmodelado.Loscontroladores
de dominio propuestos son aquellos que ejecuten una versin superior o igual a Windows Server 2003 o el
controladoralqueseestconectado.
En nuestro caso, procederemos al modelado a partir del controlador de dominio sobre el que estamos
conectadosenestemomento.
Unavezhechalaeleccin,hagaclicenSiguiente.
- 11 -
LasiguienteventanadedilogolepermiteseleccionarelcontenedorInformacinsobreelusuarioascomoel
de Informacin del equipo. Adems tiene la posibilidad de escoger una cuenta de usuario y de equipo
directamenteenActiveDirectoryparaseleccionarlosresultadosdeformaprecisa.
Laconfiguracindelasopcionesesopcionalynoesindispensableparaelbuenfuncionamientodelaoperacin
demodelado.Enestecaso,puedepasardirectamentealltimopasoseleccionandolacasillaIrdirectamentea
laltimapginadeesteasistentesinrecopilarmsinformacin.
En caso contrario, puede simular una aplicacin de directiva de grupo mediante enlace lento o en bucle,
escogerelsitio,verificarloslugaresActiveDirectorydelosobjetosseleccionados,laspertenenciasagruposde
seguridaddelusuarioodelequipo,laeleccindefiltrosWMIasociadosalasimulacinparaelusuarioyparael
equipoantesdeiniciarelmodelado.
Ennuestrocaso,notenemosnecesidaddeparmetrosadicionalesparaefectuarelmodeladodeladirectivade
grupoaplicadaaMaraQuinterosobreLaptop01.
Marque la opcin Ir directamente a la ltima pgina de este asistente sin recopilar ms
informacinyhagaclicenSiguiente.
Elasistentelemuestraunresumendesusselecciones.Unavezverificadas,puedeempezarelmodelado.
- 12 -
HagaclicenSiguiente.
Eltiempodesimulacindependedelnmerodedirectivasaplicadasalpuestoyalusuario.
Una vez terminado el modelado, el asistente muestra una ltima ventana de dilogo antes de permitir
consultarlosresultadosdelasimulacin.
HagaclicenFinalizar.
Cuandoelmodeladohaterminado,sehacreadounnuevoobjetoenelcontenedorModeladodedirectivasde
grupo de la consola de administracin de directivas de grupo. El nombre de objeto se construye de forma
idnticaaladelosobjetosResultadosdedirectivasdegrupo.
- 13 -
Cada objeto Modelado de directivas de grupo se compone de tres pestaas que contienen informacin
detallada sobre las directivas aplicadas al equipo, al usuario, o a ambos: la pestaa Resumen, la pestaa
ConfiguracinylapestaaConsulta.
SonidnticasalasdelosobjetosResultadosdedirectivasdegrupo.
LapestaaResumen
En esta pestaa encontrar la misma informacin que en la pestaa Resumen del objeto Resultados de
directivasdegrupo.
- 14 -
LapestaaConfiguracin
Enestapestaaencontrarlamismainformacinqueenlapestaa ConfiguracindelobjetoResultadosde
directivasdegrupo.
- 15 -
LapestaaConsulta
LapestaaConsultapresentaunresumendeloscriteriosquecomponenlapeticindemodelado.
- 16 -
c.GPResult
GPResultesunautilidadsuplementariaconinterfazporlneadecomandosquepermitemostrarunresultado
dedirectivadegruposobreunpuestodetrabajoounservidorsobreelqueseejecutandirectivasdegrupo.
Entre las opciones disponibles se incluyen distintos niveles de detalle para los informes de ejecucin de las
GPO.
LosinformesdeejecucindeGPResultsepuedenexportaraarchivosXML,HTMLotexto.
ParautilizarGPResult,hayqueabrirunaconsoladecomandoDOSenelpuestooservidorobjetivo.
TecleeelcomandoGPResult/Rypulse[Enter].
- 17 -
GPResultlepermiteverificarlasdirectivasdegrupoaplicadasynoaplicadas.
ElsiguientecomandolepermitirexportaruninformeRSOP(ResultantSetOfPolicy)aunarchivodetexto.
Encontrarelarchivoenlarutaenquelohayaexportado.braloconuneditorparaanalizarlo.
- 18 -
Heaquunejemplodeinformeexportadoaunarchivodetexto.
3.GPDBPA
GPDBPA es una utilidad gratuita de Microsoft para el anlisis y recogida de datos de configuracin de las
directivasdegrupo.
- 19 -
Permite, por ejemplo, analizar una configuracin de directiva de grupo para buscar errores de configuracin
corrientes,detectarydiagnosticarlosproblemasencursoorecopilardatosdearchivado.
Lautilidadrealizapruebassobrelaconfiguracindelasdirectivasdegrupodeunentornodefinido.Losdatos
recogidos como resultado de las pruebas de configuracin se almacenan en un archivo de salida con formato
XML.
a.CondicionesdeusodeGPDBPA
GPDBPAtansloestdisponibleparaWindowsXPoWindowsServer2003.
La cuenta empleada para la ejecucin de la utilidad debe disponer de acceso a la base de datos de Active
DirectoryyaldirectorioSYSVOLdeloscontroladoresdedominio.
El equipo desde el que desee emplear GPDBPA debe tener instalado el framework .NET en versin 1.1 o
superior.ElservicioWMI(WindowsManagementInstrumentation)debeestarejecutndoseenloscontroladores
dedominiodesuentorno.
b.UtilizarGPDBPA
CuandosuentornoWindowsestcorrectamenteconfigurado,elsoftwarepermitelocalizarlasinterrupciones
deservicioquepuedencausarfallosenelcursodelasoperacionesligadasalasdirectivasdegrupo.
Enlacesydescargas
Elenlaceparadescargarlautilidadeselsiguiente:http://support.microsoft.com/kb/940122/es
4.Dcgpofix
Sialgunodelosobjetosdedirectivadegrupopordefecto,DefaultDomainPolicyoDefaultDomainControllers
Policy,sehacorrompidoohaquedadoinutilizable,lautilidadDcgpofixlepermitirrestaurarelestadoinicial.
Cuidado!:unavezsehayanrestauradolasdirectivasdegrupopordefecto,losparmetrospersonalizadosde
lasdirectivashabrndesaparecido.
5.Gpupdate
Sisedetectanerroresrelacionadosconlasdirectivasdegrupoenlospuestosdetrabajo,puedeocurrirquelos
parmetros de directivas no se hayan aplicado todava si las modificaciones han tenido lugar durante los
intervalos de aplicacin de las GPO. En estos casos, la ejecucin del comando Gpupdate puede resolver el
incidente.
6.Replmon
Replmon permite supervisar la replicacin de Active Directory de forma ms profunda que la aplicacin Sitios y
servicios de Active Directory. Esta utilidad permite forzar la replicacin de la base de datos del directorio,
rebasandoloslmitesimpuestosporlossitiosActiveDirectory.
Esta utilidad no est disponible por el momento en las versiones Server 2008 y 2008 R2. Si desea emplearla,
necesitarunpuestodeadministracinXPounservidorconWindowsServer2003ensudominio.
- 20 -
Losregistrosdeeventos
Estautilidadpuedeversecomounafuentedeinformacinconvenientesobrelosfallosdelosdiferenteselementos
delared.
LasnotificacionesdelosregistrosdeeventosrelativasalasdirectivasdegrupodeWindowsServer2008y2008
R2,ascomoWindowsVistay7,hancambiadodesdelasversionesprecedentes.Lasnotificacionesdeeventosse
localizanenlaseccinSistemadelvisordeeventos,mientrasqueenversionesanterioresdeWindowsformaban
partedelaseccinAplicacin.Ahora,loseventosligadosalasdirectivasdegrupoaparecenconunvalorparael
campoorigendeGroupPolicy.PuedefiltrarlosIDdeloseventosutilizandoelnombredelorigenparaprocederal
anlisisdeloserroresenlaaplicacindelasdirectivasdegrupo.
1.ElvisordeeventosdeWindowsVista
HaydostiposderegistrosdeeventosenlospuestosconWindowsVista.
El visor de eventos normal muestra registros dedicados integramente a las directivas de grupo. A partir de
Windows Server 2008 y Windows Vista, el visor de eventos ofrece un modo avanzado equivalente al verbose
loggingdeWindowsXP(elverboseloggingesunmododevisualizacindelogsquemuestraunamayorcantidad
de informacin). Esta parte del visor muestra informacin complementaria sobre las directivas de grupo y su
funcionamientosobrelospuestos.
a.Visordeeventosenmodonormal
Para consultar los eventos ligados al funcionamiento de las directivas de grupo, se deber situar en la
categoraRegistrosdeWindows/Sistemadelvisordeeventos.
PuedeemplearlacolumnaorigenconelvalorGroupPolicycomocriteriodeordenacindelalistaparalocalizar
los eventos relacionados con las directivas de grupo, que son los que le guiarn en la investigacin de los
errores.
LasentradasconorigenGroupPolicydebidamenteagrupadaslefacilitarnelanlisis.
- 1-
Las entradas GroupPolicy del visor de eventos le permiten verificar un gran nmero de datos importantes
relativosalprocesodelasdirectivasdegruposobreunpuestodetrabajo.
Porejemplo,tendrlaposibilidaddeverificardatostantosihahabidounaaplicacincorrectadeunaGPOcomo
sino,qucontroladordedominiosehautilizadoparaalimentarlasdirectivasdegrupoaunpuestodetrabajo
concreto, cuntas directivas se procesan y cunto tiempo lleva su aplicacin. No obstante, el visor no le
proporcionarnecesariamentelosmotivosdelosfallos.
UnaentradaGroupPolicyenelvisordeeventossecomponededospestaas:GeneralyDetalles.
LapestaaGeneral
LapestaaGeneralmuestradatosgeneralesrelativosaldesarrollodelasoperacionesligadasalprocesode
lasdirectivasdegrupo.Ennuestroejemplo,lanotificacininformativaindicaquelaaplicacindelaGPOhasido
unxito.
- 2-
LapestaaDetalles
LapestaaDetallespermiteverificarinformacincomplementariarelativaalaentrada.
CuandohagaclicenlapestaaDetalles,muestrelosdatosdisponiblesenVistadescriptiva.
LosdatosinteresantesseencuentranenlaseccinEventData.
Por ejemplo, el campo ProcessingTimeInMilliseconds indica el tiempo de proceso de la directiva en
- 3-
milisegundosporpartedelpuestodetrabajo.Ennuestrocaso,alpuestolehallevadocercade1,5segundos
(1482milisegundos)aplicarladirectiva.
ElcampoProcessingModeprecisaelmtodoempleadoparaprocesarlasdirectivasdegrupo.Unvalor0indica
queelmodoesnormal.Conunvalorde1o2,elmodoserarespectivamentebucleinvertido(loopbackmode)o
mododereemplazo(replacemode).
Porltimo,elcampoDCNameindicaelcontroladordedominiosolicitadoduranteelltimociclodetratamiento
delasdirectivasdegruposobreelpuesto.Ennuestrocaso,eselcontroladordedominioSERV01.
Cuando se produce un error de proceso, una notificacin de error en el visor de eventos le permitir estar
informadodelfallodeunaovariasdirectivasdegrupoydelascausaspotencialesdeestefallo.
Enelejemplosiguiente,laentradaconnmerodeevento1058nosinformadequelaaplicacindeladirectiva
degrupohafracasadoporproblemasenlalecturadeunarchivoasociadoalamisma.
b.Visordeeventosenmodoavanzado
Elregistroavanzadodeloseventosligadosalasdirectivasdegrupopresentaunindudableintersparatodos
losadministradoresdeempresa.
Desde Windows Vista y en Windows 7, es posible consultar informacin detallada del registro de datos de
directivadegrupoenelvisordeeventos.Enefecto,seencuentradisponibleunanuevacategoraenelvisor:
Registrosdeaplicacionesyservicios/Microsoft/Windows/GroupPolicy,mientrasqueparaWindowsXPera
necesariomodificarelregistrodeWindowsparagenerarelmododeregistroavanzado.
RegistroavanzadoenWindowsXP
steeselprocedimientoquepermiteactivarelmododeregistroavanzadoenWindowsXP.
ConctesealpuestoconWindowsXPcomoadministradorlocal.
- 4-
AbralaventanaEjecutarytecleeREGEDIT.
En
el
editor
del
Registro,
despliegue
los
nodos
en
la
HKEY_Local_Machine\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon.
seccin:
AgregueunvalorREG_DWORDllamadoUserEnvDebugLevel.
Modifiqueelobjeto,asgneleunvalorhexadecimalde10002yhagaclicenAceptar.
Una vez realizados estos pasos, el registro avanzado de eventos de directiva habr quedado activo en el
puestodetrabajo.
LasentradasderegistroseencuentranenlarutaC:\Windows\debug\usermodeenelarchivoUserenv.log.
RegistroavanzadoenWindowsVistay7
Volvamosahoraalostemasprincipalesdeestaseccin:losmodosavanzadosdeWindowsVistay7.
En el visor de eventos, despliegue los nodos de la categora Registros de aplicaciones y
Servicios/Microsoft/Windows/GroupPolicy.
EldirectorioGroupPolicycontieneunnicoarchivollamadoOperativo.stecontienelosregistrosdeeventos
conorigenGroupPolicyenmododeregistroavanzado.
Estaseccindelvisordeeventoscentralizalainformacinasociadaalmotordeprocesamientodedirectivasde
grupoenelpuestodetrabajo.Ponedemanifiestoeldilogoentreelpuestodetrabajoylasdiferentespartes
delsistemasolicitadasdurantelosprocesosdeaplicacindelasdirectivasdegrupo.
Esposibleemplearlasfuncionesdefiltradodeeventosydedefinicindevistaspersonalizadasparasimplificar
los anlisis. Puede, por ejemplo, utilizar el filtrado para no mostrar ms que las notificaciones de error del
registro.Estolepermitirganartiempoalcentrarsusinvestigacionesenloserroresdetectados.
Las entradas del registro tienen la misma composicin que las del registro de eventos del sistema y ofrecen
tambininformacindedetallecontenidaenlapestaaDetalles.
- 5-
Esta informacin es difcil de analizar y puede orientar la investigacin del problema, pero en ningn caso
determinarsucausa.
Cuando investigue errores en las directivas de grupo, el considerar la informacin de la pestaaDetalles le
generaruntrabajodeinvestigacinadicional.Enefecto,losvaloresdelosobjetossonnumerosos,varanen
funcindeltipodeeventoydebenanalizarsedeformaespecficaparacadaentrada.
c.Elvisordeeventosenloscontroladoresdedominio
EnloscontroladoresdedominioWindowsServer2008y2008R2,sedisponedeinformacinderegistrodedos
tipos:normalyavanzada.Enloquerespectaalasdirectivasdegrupo,elvisordeeventosdeloscontroladores
dedominioestestructuradodemaneraidnticaaldelospuestosdetrabajoVistay7.
Paraanalizarloseventosencursosobreloscontroladoresdedominio,laconsultadeeventosenmodonormal
sedebehacerenlaseccinSistemadelvisor.
- 6-
Alinspeccionarindividualmentelasentradasdelregistrodeeventossetieneaccesoainformacinmsprecisa
sobrelasnotificacionesinformativasoloserroresproducidos.Lasiguientefiguramuestralascaractersticasde
unaentradacuandosehacedobleclicsobreella.
LapestaaDetallesmuestralainformacindetalladadelaentradaencuestin.
- 7-
Si quiere profundizar el anlisis mediante el uso de los datos de eventos del modo de registro avanzado,
debersituarseenlaseccinGroupPolicydelacategoraRegistrosdeaplicacionesyserviciosdelvisor.
Para comprender mejor el inters del visor de eventos en el anlisis de fallos en el funcionamiento de las
directivasdegrupo,presentaremosunescenarioqueponederelievesuutilidad.
- 8-
Supongamosqueunusuarioinformadeunproblemaensupuestodetrabajo,delquesedesconocelacausa.
Unodelosadministradoresdeempresapiensaquesetratadeunerrorligadoaunamalaaplicacindeunade
lasdirectivasdegrupodeldominio.Paraverificarsuhiptesis,consultarelvisordeeventos.
TomemoselejemplodeunerrorasociadoalaresolucindenombresdedominioDNS.Enesecaso,existiruna
entradasealandounerrordeestetipoenelregistrodeeventos.
El administrador podr entonces verificar el funcionamiento del servicio DNS, vaciar la cache, comprobar las
direcciones DNS que se distribuyen automticamente por el DHCP (Dynamic Host Configuration Protocol) del
controladordedominioyconstatarlaexistenciadeunerrorqueafectaalprocesodelasdirectivasdegrupo.La
resolucindelincidentepermitirquelaspartesdelsistemainterdependientesfuncionendenuevo.
Para comprobar la solucin puesta en prctica, el administrador se puede conectar al puesto de trabajo del
usuario y efectuar una actualizacin de los componentes de directivas de grupo mediante el comando
GPUPDATE. De esta forma podr verificar la correcta ejecucin de las directivas de grupo en el puesto de
trabajoquepresentabaerrores.
Tras efectuar la actualizacin con xito y aplicar las directivas de grupo de nuevo, los errores habrn
desaparecido.
- 9-
Conclusinycomentarios
SaberemplearlasherramientasylosmtodosdecorreccindeerroresdelasGPOespartedelastareasquees
indispensabledominarparallevaracabolaadministracinyelmantenimientodeunainfraestructurabasadaenla
implementacindelasdirectivasdegrupo.
El conocimiento de los elementos interdependientes de la red permite alcanzar buenos niveles de precisin y
eficacia en el anlisis de errores. En efecto, la comprensin del orden seguido por la cadena de eventos de los
elementosqueparticipanenlaaplicacindelasdirectivasdegrupopermitelocalizarloserroresmsrpidamente.
Noexisteunmtodogenricopreferidoentrelasmltiplesherramientasparaladeteccindeerroresyorientacin
delabsquedadesoluciones.Losprocedimientossonnumerososysernmsomenosapropiadosenfuncinde
lostiposdeerror.Laeficaciadelosprocedimientosderesolucinaumentacuandolosdatosproporcionadospor
lasdiferentesherramientassecotejanyanalizanenprofundidad.Enlaresolucindefallosinformticos,cruzary
comparar las diferentes fuentes de informacin es una parte de la metodologa bsica a emplear. En efecto,
apoyarsesobredatosobtenidosdevariasfuentesenvezdeemplearunasolapermiterealizarunanlisisms
precisoymsseguro.
Al final, la eficacia en la resolucin de fallos depende de la metodologa y de los procedimientos empleados, del
conocimientodelosdiferenteselementosinterdependientesdelaredydelacapacidaddededuccinporparte
deladministradordelosdatosobtenidos.
- 1-
Introduccin
Estelibrohaabordadoeltemadelasdirectivasdegrupoyhapresentadolasherramientasquerepresentanun
recursofundamentalparalaexplotacinylacomprensindelfuncionamientodelasmismas.
Active Directory es indispensable para una correcta ejecucin de las GPO, as como el manejo de la GPMC. En
produccin,elconocimientoprofundodelossistemasoperativossoportadospermitediscriminarlasdirectivasque
sepuedenponerenprcticaylasqueno.
Losprocesosdeejecucinyaplicacindelasdirectivaspermitensaberlosmomentosenlasquesonemitidaspor
el servidor, y recibidas por los puestos de trabajo. Una vez asimilado el funcionamiento de los procesos de
aplicacin de las GPO, no slo resulta ms fcil el anlisis y la deteccin de fallos, sino tambin su rpida
resolucin.
EstelibropermitecomprenderydemostrarelintersdeutilizarlasdirectivasdegrupoenunaredMicrosoft.La
implementacin de tales directivas es indispensable para reforzar la seguridad, prevenir los fallos y mejorar la
gestincotidianadelosusuarios.
Estecaptulodetallacasosconcretosquepuedenencontrarseenlaempresa.
Ciertas configuraciones de red son comunes a muchas empresas. Las particularidades y complejidades varan
segneltamaoylaactividaddestas.Respectoaldesplieguededirectivasdegrupo,esimportanterecordar
quelaplanificacin,eldimensionamiento,lasupervisinyelseguimientodeundesplieguesonpasosnecesarios,
sinoindispensables,paraelbuendesarrollodeunaoperacinsimilar.
Aspues,enestecaptuloabordaremoslapuestaenprcticadecasostpicosyquizotrosmsparticularesde
implementacin de directivas de grupo. Determinaremos a travs de este anlisis su impacto y su utilidad y los
puntosesencialesquepermitenponerenmarchaproyectoscomoeldesplieguemasivodedirectivasdegrupo.
- 1-
Casosprcticos
Aun cuando emplean sistemas similares, las redes informticas de las empresas difieren en cuanto a su
configuracin, personalizacin, o utilizacin. Las tecnologas empleadas requieren ciertas configuraciones por
defectoparafuncionar.Perogranpartedelastecnologasempleadasespersonalizableslohastaciertopunto.
Por lo que respecta a las opciones, la administracin de la informacin, los mtodos empleados y los objetivos
perseguidos,stossonpropiosdelaempresa.Microsoftrecomiendaunametodologaadaptadaenfuncindelas
diferentes operaciones que se efecten habitualmente en una red y otorga a los intervinientes informticos
libertadparaponerapuntoelsistemaidealenfuncindeloqueconvengaacadauno.
Las directivas de grupo ofrecen miles de parmetros que configurar y poner en prctica, pero algunos se han
vueltoindispensables.
Las dos directivas de grupo por defecto representan el mejor ejemplo. Su creacin ocurre en el momento de la
puestaapuntodeActiveDirectoryyserecomiendanosuprimirlas.Enefecto,losfallospotencialesseranenese
casomuydifcilesderesolver.Enestasdirectivas,laadministracindecuentasdeusuarioformapartedeestos
parmetros importantes cuya configuracin es casi obligatoria. El carcter obligatorio de una configuracin de
parmetros forma parte de las decisiones que deben tomar los diferentes intervinientes de la organizacin.
Corresponde a los responsables de la red actuar de forma que sta tome la forma deseada y definida por las
polticasdelaempresa.
Enestapartedelcaptulo,propondremosunacombinacindedirectivasdegrupoaplicadasalosequiposyalos
usuarios,ydirectivasdepreferenciasquepuedenserdeintersparaunamejoradministracindelared.
1.DirectivasdelaConfiguracindelequipo
a.Caso1ConfigurarelcortafuegosdeWindowsmediantedirectivasdegrupo
Enestaparte,crearemosunadirectivadegrupoparaconfigurarelcortafuegosdeWindowsparalospuestos
detrabajodenuestrared.
Noobstante,mipropiaexperienciamehapermitidoconstatarqueelcortafuegosdeWindowsestdesactivado
enlamayoradeempresas.Lasrazonesquellevanalosadministradoresadesactivarloporcompletoson,por
ejemplo, las interferencias que crea entre ciertas aplicaciones cliente/servidor y el no poder ejecutar el
comandoping.Adems,lasredesestnprotegidasdeataquesporunoovarioscortafuegos(detipohardware)
quedisminuyenlosriesgosquecrealadesactivacindelcortafuegosdeWindowsenlospuestosdetrabajo.
Enconsecuencia,crearemosenunasegundaparteunadirectivadegrupoquedesactiveelcortafuegossobre
lospuestosdetrabajo.
ConfigurarelcortafuegosenlaGPMC
Paraconfigurarelcortafuegosparalospuestosdetrabajo,abralaconsoladeadministracindelas
directivasdegrupoycreeunanuevadirectivallamadaConfiguracindelfirewalldeWindows.
EditeladirectivaysiteseenelcontenedorConfiguracindelequipoDirectivasConfiguracin
WindowsConfiguracindeseguridad.
UnavezeneldirectorioFirewalldeWindowsconseguridadavanzada,extiendalossubnodosdel
directorio.
Haga clic con el botn derecho en Firewall de Windows con seguridad avanzada y escoja
Propiedades.
- 1-
Lasiguienteventanadedilogolepermiteconfigurarelcortafuegosysusdiferentesopciones.
Configuraremos el cortafuegos de forma estndar, empleando la parametrizacin por defecto para la mayor
partedelasopciones.
ConfigureelEstadodelfirewall,lasConexionesentrantesylasConexionessalientes.
- 2-
Cuandohayaterminadolaconfiguracin,hagaclicenAplicar.
EnlaseccinConfiguracin,hagaclicenPersonalizar.
- 3-
Seleccionelasopcionessegnconvenga.
HagaclicenAceptar,tambinparalasventanassiguientes.
El firewall est ahora activado para los puestos de trabajo del dominio. Las conexiones entrantes estn
bloqueadas por defecto. En este caso, el firewall est configurado para bloquear toda conexin que no
correspondaconunaregladefinida.
Lasconexionessalientesestnactivadaspordefecto.Enestecaso,elfirewallautorizatodaslasconexiones
salientesaexcepcindeaquellasparalasquehayunareglaactiva.
En las opciones de personalizacin, hemos activado la opcin de visualizacin de notificaciones cuando se
bloqueen conexiones entrantes. En cada tentativa de conexin entrante con el puesto de trabajo, Windows
mostrarunmensajenotificandoalusuarioquesehabloqueadounaconexinexterior.
La ltima opcin de personalizacin (zona Combinacin de reglas) permite bloquear la aplicacin de los
parmetros del firewall local. Hemos escogido activar esta opcin para evitar conflictos entre la configuracin
delfirewalldedominioyladelpuestodetrabajo.
El firewall de Windows ofrece multitud de opciones adicionales para configurar en el Editor de directivas de
grupo. Es posible parametrizar las conexiones entrantes o salientes a base de autorizar o bloquear las
conexiones de programas y de puertos. Dispone tambin de la posibilidad de emplear numerosas reglas
predefinidasuoptarporlapersonalizacindeunaregla.
Atencin:cuandodespliegueel FirewalldeWindowsconseguridadavanzadaconlaayudadelas
directivas de grupo, tenga la precaucin de configurar las reglas salientes de tal forma que los
puestosdetrabajopuedanrecibirladirectiva,oactualizarla.
DesactivarelfirewallenlaGPMC
- 4-
Paradesactivarelfirewallenlospuestosdetrabajo,creeunanuevadirectivallamadaDesactivarel
firewalldeWindows.
EditeladirectivaysiteseenelcontenedorConfiguracindelequipoDirectivasConfiguracin
deWindowsConfiguracindeseguridad.
UnavezeneldirectorioFirewalldeWindowsconseguridadavanzada,extiendalossubnodosdel
directorio.
Haga clic con el botn derecho en Firewall de Windows con seguridad avanzada y seleccione
Propiedades.
Seleccionelassiguientesopciones:
Estadodelfirewall:Inactivo
Conexionesentrantes:Noconfigurado
Conexionessalientes:Noconfigurado
Despus,hagaclicenelbotnPersonalizarenlaseccinConfiguracin.
EnlaseccinCombinacindereglas,seleccioneNoenlaopcinAplicarreglasdefirewalllocal.
- 5-
Estopermiteevitarconflictosentrelaconfiguracinlocaldelfirewallenelpuestoylaconfiguracindel
firewall mediante directiva de grupo. Es la parametrizacin de la directiva quien se impone en este
caso.
HagaclicenAceptar,tambinenlasventanassiguientes.
Elfirewallestahoradesactivadoenladirectivadegrupoyenlospuestosdetrabajoenloqueconcierneal
perfil del dominio. No hay ninguna regla entrante o saliente configurada y los parmetros locales del firewall
Windowsnopodrnaplicarsemientrasladirectivadegrupoestactiva.
EnelEditordeadministracindedirectivasdegrupo,podrcomprobarelestadodelfirewallparaladirectiva
DesactivarelfirewalldeWindows.
Puede repetir estas opciones de configuracin para los dems perfiles del firewall (Perfil privado y Perfil
- 6-
pblico).
Una vez haya terminado de configurar el firewall, es necesario vincular la directivas de grupo al contenedor
ActiveDirectoryrequeridoparaqueseactiveenlospuestosdetrabajodeldominio.
Enlacesydescargas
Emplee este enlace si desea profundizar sus conocimientos sobre el funcionamiento del firewall en las
directivasdegrupo:
http://technet.microsoft.com/eses/library/cc748991%28WS.10%29.aspx
Para obtener ms informacin acerca de la configuracin de directivas de red inalmbrica, puede consultar el
sitiodeMicrosoftTechnet:
http://technet.microsoft.com/eses/library/cc730878%28WS.10%29.aspx
b.Caso2Configurarlasdirectivasderedinalmbricadeformacentralizada
Lasredesinalmbricashicieronsuaparicinhacealgunosaosysonmuypopularesenlasredesdomsticas.
Actualmente es algo corriente encontrar redes inalmbricas disponibles gratuitamente en lugares pblicos o
comerciales.
Lasempresasnohanhechoprogresarsusredeslocalesinalmbricashaciaredesempresarialesinalmbricas
porrazonesdeseguridad.Noobstante,noesextraoverunapartedelaredlocaldestinadaalosusuarios
configuradacomoinalmbica.
WindowsServer2008y2008R2permitenconfigurarelaccesoalaredinalmbricaparalosclientesmediante
directivasdegrupo.Enefecto,ciertosusuariosdelaredsevenobligadosadesplazarsedentrodelaempresa.
Suaccesoalareddebemantenerseoperativodurantelosdesplazamientos.Enestecaso,lasconexionesala
redinalmbricaserevelancomolamejorsolucin.Unaconfiguracinderedsecurizadapuedecomplicarlafase
de parametrizacin de sta en los puestos de trabajo. Adems, es interesante configurar este mecanismo
mediantedirectivasdegrupo.
Configuracindelaredinalmbrica
Para configurar la red inalmbrica, abra la consola de administracin de directivas de grupo, y cree
unanuevadirectivallamadaConfiguracindelaredinalmbrica.
EditeladirectivaysiteseenelcontenedorConfiguracindelequipoDirectivasConfiguracin
deWindowsConfiguracindeseguridadDirectivasderedinalmbrica(IEEE802.11).
En este directorio, haga clic con el botn derecho en un espacio vaco y elija entre las dos
extensiones del lado cliente disponibles: Crear una nueva directiva de red inalmbrica para
WindowsVistayversionesposterioresoCrearunanuevadirectivadeWindowsXP.
- 7-
Ennuestroejemplo,elegiremosunadirectivadestinadaapuestosVista.
LasiguienteventanadedilogopermitedefinirelnombredeladirectivadeconexininalmbricaparaVistaas
comoladescripcindelamisma.
- 8-
Relleneloscamposconlainformacinrequerida.
SidejaactivadalaopcinUsarelserviciodeconfiguracinautomticadeWLANdeWindowspara
clientes,lospuestosclienteVistadeldominiotendrnlaposibilidaddeconectarseautomticamente
alaredinalmbricaunavezhayasidodetectadaporelpuesto.
Unavezhayaintroducidolainformacin,hagaclicenelbotnAgregar.
DebeelegirentreagregarunperfildeconexininalmbricaInfraestructuraoAdHoc.
- 9-
ElperfilInfraestructura
Elperfilseencargadelasconfiguracionesderedinalmbricaquedisponendeelementoscomo
puntosdeaccesoinalmbrico.
ElperfilInfraestructuraeselmsapropriadoparalamayoradeorganizaciones.
ElperfilAdHoc
Esteperfilseencargadelasconexionesderedinalmbricamediantecomunicacinpuestoa
puesto.
ConfiguracindeunperfilInfraestructura
Los ejemplos presentados en este captulo se refieren principalmente a casos encontrados en las empresas,
porloqueelegiremosponerapuntolaconfiguracindeunperfilInfraestructura.
EnlaventanadedilogodelasPropiedadesdelaconexin,enlapestaaRedespreferidas,escoja
Agregar,despusInfraestructura.
Lasiguienteventanadedilogolepermiteconfigurarelperfildeconexinalaredinalmbrica.
- 10 -
Losparmetrosdisponibleslepermitenintroducirinformacingeneraldelperfiltalcomoelnombre,elnombre
conquesepublicarenlared(SSID),yalgunasopcionesrelativasalaautomatizacindelaconexin.
Unavezhayaintroducidolainformacinylasopcionesadecuadas,hagaclicenAgregar.
Acontinuacin,puededefinirlosparmetrosdeseguridaddelperfildeconexinenlapestaaSeguridad.
HagaclicenlapestaaSeguridad.
- 11 -
Normasdeseguridad
Losestndaresdeseguridadempleadosvarandeunaempresaaotra.Lasvariacionesconciernentantoalas
preferenciasenmateriadesistemasdeclavescomoalaeleccindelostiposdecifradoparastas.
Los parmetros de directivas relativos a las directivas de red inalmbrica tienen en cuenta las diferentes
normasdeseguridaddelmercado.Eslaconfiguracindelaconexindeaccesoinalmbricoenelrouterlaque
definelaparametrizacindelasinterfacesdeconexininalmbricadelospuestoscliente.
Puede elegir entre diferentes protocolos de Autenticacin como WEP, WPA Enterprise y Personal, WPA2
EnterpriseyPersonalobien802.1X.
Adems,puedeescogerelCifradodelaclavecomoporejemploTKIP,AESoinclusoenabierto.
Los protocolos PEAP, LEAP y EAP aparecen como opciones para el campo Seleccione un mtodo de
autenticacindered.
Losmodosdeautenticacinaescogerpuedenserusuario,equipooinvitado.Estasopcionessedebendefinir
en la pestaa Seguridad para permitir a los usuarios conectarse a la red inalmbrica con parmetros
correctamentepreconfigurados.
Enesteejemplo,laempresahaescogidolaautenticacinporclaveWPA2EnterprisecontipodecifradoAES.El
mtododeautenticacinderedempleadoserMicrosoftPEAPascomounmodocuyaautenticacinserladel
equipo.
HagaclicenAceptar,tambinenlasventanassiguientes.
La conexin a la red inalmbrica est ahora configurada para funcionar como directiva de grupo. Los
administradorespuedenahoravincularlaalcontenedorrequeridoparaquepuedanbeneficiarselosusuariosde
- 12 -
laredencualquierpuntodelaempresadondelasealestactiva.
c.Caso3Ponerapuntounadirectivadeclavepblica
Laseguridadreforzadadelasredesinformticasnosiemprehasidounaprioridadparalosadministradores.La
solapresenciadeunacuentaenlaredjustificabaantessuidentidadascomosupertenenciaasta.Hoyen
da, las prcticas han evolucionado hacia redes ms complejas constituidas por tecnologas interconectadas.
Los archivos de red, los sitios de Internet, Extranet e Intranet, la mensajera son sistemas independientes
unosdeotrosy,sinembargo,interconectadossobreunmismoconjunto.
Ahorabien,laimportanciadelainformacindigitalnohahechosinoaumentarconeltiempo.Elpatrimoniodela
empresaestconstituidoprincipalmenteporlosdatosinformticosdesta.Ylamultituddedatosdisponibles
en una red de empresa est accesible potencialmente a personas no autorizadas para consultar o modificar
estosdatos.
Se revela como algo primordial el asegurar la identidad de los usuarios que acceden a la red y controlar sus
accesosalainformacin.Losproveedoresdeserviciosyotrosproyectosquemezclanintervinientesexternose
internosexigentomarprecaucionesespeciales.Losusuariosexternosdebenteneraccesoaciertosdatosdela
empresaparapoderllevaracabosutrabajo.Sinembargo,estosaccesosdebenestardefinidosycontrolados
conobjetoderespetarlaspolticasdeseguridaddelaempresa.
Qu herramienta es necesario emplear para administrar de forma segura la informacin relativa a la
identificacindelosusuarios?
Las directivas de grupo aportan una respuesta al permitir la definicin de directivas de clave pblica. Las
directivas de clave pblica permiten verificar y autentificar la identidad de cada uno de los miembros de una
transaccin.Lasinfraestructurasdeclavepblicautilizanlossistemasdecertificadodigital,deautoridadesde
certificacin y de inscripcin que se apoyan en la criptografa por clave pblica para efectuar estas
verificaciones. Los sistemas de validacin por clave pblica son omnipresentes en el sector del comercio
electrnico. Sus normas estn en permanente evolucin con el objetivo de aumentar la seguridad de las
transacciones.
Ponerapuntounadirectivadeclavepblicaenlareddelaempresanospermiteestarsegurosdelaidentidad
del usuario que accede a una informacin determinada. En otros trminos, certificar el acceso a los datos
medianteclavepblicapermitetenerlaseguridaddequeunusuariodefinidoestarautentificadoparaacceder
alasdistintaspartesdelsistemainformtico.
Integrar una directiva de clave pblica en una organizacin permite a los administradores gestionar los
certificadosaescaladelaempresa.
Requisitospreviosparalacreacindeunadirectivadeclavepblica
Lapuestaenprcticadeunainfraestructuradeclavepblicaesunpasoobligadoparaquepuedafuncionarla
directivadeclavepbilca.
DurantelaimplementacindeunainfraestructuradeclavepblicaPKI(PublicKeyInfrastructure),esnecesario
definirunaautoridaddecertificacinrazqueestarsituadaenelnivelmsaltodelajerarquadecertificacin
delainfraestructuradeclavepblica.Cadaequipooperifricoqueutiliceloscertificadosparacomunicardebe
referirseauncertificadorazcomn.
LoscertificadosrazdetercerosconocidosexistenpordefectoenlaconfiguracindelosequiposconWindows.
Durantelapuestaapuntodeunainfraestructuradeclavepblicadebeinstalarseelcertificadoraz.Hayvarios
mtodosposiblesparallevarloacabo.
Creacindeunadirectivadeclavepblica
Para configurar una directiva de clave pblica, abra la GPMC y cree una nueva directiva llamada
Directivadeclavepblica.
EditeladirectivaysiteseenelcontenedorConfiguracindelequipoDirectivasConfiguracin
deWindowsConfiguracindeSeguridadDirectivadeclavepblica.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 13 -
Aquestnlos12objetosdedirectivadisponiblesquepermitenconfigurarunadirectivadeclavepblica.
Objetosdedirectivadeunadirectivadeclavepblica
Sistemadecifradodearchivos(EFS)
ElsistemadearchivosEFS(EncryptingFileSystem)permitecifrarlosarchivosylosdirectoriosenlosservidores
dearchivosascomoenlosordenadorescliente.Adems,losdatosestnprotegidosdeintentosdeaccesopor
partedeusuariosnoautorizadosoinclusoexternosalaempresa(pirateodedatos).
Esteparmetrodeladirectivalepermitecrearoaadirunagentederecuperacindedatos.
Configuracindelasolicituddecertificadosautomtica
Las inscripciones de certificados reunen los procesos de peticin, recepcin e instalacin de certificados. La
configuracindesolicitudautomticadecertificadolepermiteinscribirlosequiposdirectamenteacertificados
mediantesuasociacinalosobjetosdedirectivadegrupo.Siesteparmetronoestconfigurado,losequipos
debeninscribirsedeformaespecficacadaunodeellos.
Una vez configurado el parmetro de solicitud automtica de certificado para los ordenadores implicados, la
solicitudseefectaduranteeliniciodesesindeusuarioenlospuestosdetrabajo.
Esteparmetrodeladirectivalepermitecrearunanuevasolicitudautomticadecertificadosconlaayudade
lasplantillasdecertificadosautomticos.
Entidadesdecertificacinracesdeconfianza
La creacin de una autoridad de certificacin raz de confianza es uno de los pasos indispensables en la
implementacin de una infraestructura PKI. La autoridad de certificacin raz representa una fuente de
aprobacinparatodosloscertificadossubordinadosaella.
Esteparmetrodeladirectivalepermiteimportareloloscertificadosracesdeconfianzadesuempresaenel
almacndecertificados.
Confianzaempresarial
Es posible asignar una lista de certificados de confianza a un objeto de directiva de grupo. Puede crear una
nuevalistadecertificadosdeconfianzaoimportarunalistayaexistente.Enelcasodeunacreacin,stadebe
estar firmada con un certificado emitido a tal efecto por una autoridad de certificacin raz. Los certificados
racesincluidosenlalistadecertificadosdeconfianzadebenestarespecificados.
Este parmetro de la directiva le permite importar el o los certificados de confianza de su empresa en el
almacndecertificados.
- 14 -
Entidadesdecertificacinintermedias
Esteparmetrodeladirectivalepermiteimportareloloscertificadosdeentidadesdecertificacinintermedias
desuempresaenelalmacndecertificados.
Editoresdeconfianza
El uso del mecanismo de firma de software crece permanentemente. Los fabricantes de software integran
estas firmas con el objetivo de certificar que las aplicaciones que suministran provienen de una fuente de
confianza.
Este parmetro de la directiva le permite importar el o los certificados de los proveedores aprobados por su
empresaenelalmacndecertificados.
Certificadosenlosquenoseconfa
Las directivas de clave pblica le permiten impedir la utilizacin de ciertos certificados en su empresa. Para
conseguiresto,esnecesarioaadirloscertificadosnoautorizadosalalmacndecertificadosenlosquenose
confa.
Este parmetro de la directiva le permite importar el o los certificados no autorizados de su empresa en el
almacndecertificados.
Personasdeconfianza
Esteparmetrodeladirectivalepermiteimportareloloscertificadosdepersonasdeconfianzadesuempresa
enelalmacndecertificados.
Implementarladirectivadeclavepblica
Despusdehaberconsultadoycomprendidolasfuncionesdelosdiferentesparmetrosdedirectivadeclave
pblica, edite la Directiva de clave pblica que ha creado anteriormente en la GPMC con el Editor de
administracindedirectivasdegrupo.
La puesta a punto de una infraestructura de clave pblica exige una planificacin minuciosa y precisa. El
procesodeimplementacindeunaPKIpuedellevartiempoysucomplejidadexigeundominiodelosdiferentes
elementosquelaconstituyen.Paraunamejorcomprensindeestelibro,emplearemosunaDirectivadeclave
pblicasimplificadacomoejemplo.
Sitese de nuevo en el contenedor Configuracin del equipo Directivas Configuracin de
WindowsConfiguracindeseguridadDirectivadeclavepblica.
HagaclicconelbotnderechosobrelosparmetrosSistemadecifradodearchivos(EFS)yescoja
laopcinCrearAgentederecuperacindedatos.
- 15 -
Elagentederecuperacindedatossecreaautomticamenteyapareceenelespaciosituadoaladerechadel
contenedorSistemadecifradodearchivos(EFS).
Cuandosecreaelagentederecuperacindedatosenladirectivadeclavepblica,loscertificadosseemiten
pordefectoparaelAdministradordeldominio.
Delmismomodopuedeaadirunagentederecuperacindedatossilodesea.Asegresedequeelagentede
recuperacindedatosagregadoposeeloscertificadosapropiadosascomolasautorizacionespararecuperar
losarchivoscifradosconlaclavepblicadeldominiodelaempresa.
Acontinuacin,configuraremoselparmetrodesolicitudautomticadecertificado.Losequipossobrelosque
seapliqueelparmetroefectuarnunasolicituddecertificadoaliniciodelasesindeusuarioenelpuestode
trabajo.
Situse en el contenedor Configuracin del equipo Directivas Configuracin de Windows
ConfiguracindeseguridadDirectivadeclavepblica.
- 16 -
HagaclicconelbotnderechoenelobjetoConfiguracindelasolicituddecertificadosautomtica,
escojaNuevoyacontinuacinSolicituddecertificadosautomtica.
SeabreelAsistenteparainstalacindesolicitudautomticadecertificadoofreciendolasopcionesdehacer
clicenSiguienteoCancelarlaoperacin.
HagaclicenSiguiente.
Cuando se crea el almacn de certificados en Windows Server 2008, existen por defecto algunos tipos de
certificados.
Puede seleccionar uno de estos certificados en funcin de la necesidad de la directiva de clave pblica. En
nuestro ejemplo, escogeremos una plantilla de certificado de equipo. sta permitir validar las peticiones de
autentificacindelosequiposalosservidoresdelared.
- 17 -
Seleccionelaplantilladecertificadoqueleinterese,enestecasoEquipo,yhagaclicenSiguiente.
El Asistente para instalacin de solicitud automtica de certificado solicita la confirmacin para agregar el
certificadoseleccionado.
Verifiquequelaplantilladelcertificadocreadocumplelasnecesidadesdeladirectivayhagaclicen
Finalizar.
Hemosdichoanteriormentequeunaentidaddecertificacinrazdeconfianzadebeestardefinidaypuestaa
puntoparaqueunainfraestructuradeclavepblicapuedafuncionar.
VamosaaadirunaentidadrazdeconfianzaanuestraDirectivadeclavepblica.
- 18 -
HagaclicenSiguiente.
Lasiguienteventanadedilogolepermiteespecificarelarchivodecertificadorazdeconfianzaaimportar.
- 19 -
HagaclicenelbotnExaminaryseleccioneelarchivodecertificadoquedeseeimportar.Larutade
acceso por defecto es C:\Windows\System32\certsrv\CertEnroll. Los archivos de certificados se
almacenanenestedirectorioenelmomentodesucreacin.
HagaclicenSiguiente.
Laventanadedilogosiguientepermiteespecificarelalmacndecertificadosenelquesedeseaconservarel
certificadoimportado.Ennuestrocaso,elalmacnapropiadoesEntidadesdecertificacinrazdeconfianza.
- 20 -
HagaclicenSiguiente.
Una vez terminado el trabajo del asistente, verifique los parmetros del certificado importado antes de
confirmarlaoperacin.
- 21 -
HagaclicenFinalizar.
Lasiguienteventanaemergenteconfirmaelxitodelaimportacindelcertificado.
HagaclicenAceptar.
Tras hacer clic enAceptar, compruebe la presencia del certificado importado en el contenedor Entidades de
certificacinrazdeconfianza.
Enestemomento,ladirectivadeclavepblicaposeeuncertificadorazdeconfianzasobreelquesepueden
apoyarotroscertificadosparavalidarlastransaccioneselectrnicas.
La solicitud de certificado de los puestos de trabajo del dominio, basada en la plantilla Equipo, se puede
automatizarmediantelaconfiguracindelparmetrodedirectivaConfiguracindelasolicituddecertificados
automtica.
Otrosparmetrosdedirectivadeclavepblica
LosrestantesparmetrosdelcontenedorDirectivadeclavepblicafuncionandemanerasimilaralparmetro
Entidadesdecertificacinrazdeconfianza.
Lanicaopcindisponiblecuandorealizaclicconelbotnderechoesimportarunoovarioscertificadosenel
- 22 -
almacncorrespondientealobjetodedirectivadegrupo.
Cuandoimportauncertificadodeconfianzaempresarial,automticamentequedaguardadoenelalmacnde
certificadosConfianzaempresarial.Lomismoocurreconlosparmetrossiguientes.
EnWindowsServer2008R2,quedantresparmetrosdedirectivadegrupo:
ClientedeServiciosdeservidordecertificadosDirectivadeinscripcindecertificados
Configuracindevalidacinderutasdecertificados
ClientedeServiciosdeservidordecertificadosInscripcinautomtica
HagadobleclicenConfiguracindevalidacinderutasdecertificadosparaconfigurarelobjeto.
Segnpodemoscomprobar,nohayningnparmetrodefinidopordefectoalabriresteobjetodedirectiva.
Lasdiferentespestaascontienenvariostiposdeparmetrosconfigurablesparaladirectivadeclavepblica.
Seleccione la casilla Definir esta configuracin de directiva para que los parmetros aparezcan
comodisponiblesenvezdeinhabilitados.
- 23 -
Detallaremos,acontinuacin,losparmetrosysusfuncionalidades.
PestaaAlmacenes
Permitirelusodeentidadesdecertificacinrazdeconfianzaparavalidarcertificados(recomendado)
Laactivacindeestaopcinpermitealosusuarioselegirloscertificadosdeentidadesdecertificacinrazque
seemplearnparavalidarloscertificados.
Aldesactivarestaopcinseimpidealosusuariosqueapruebencertificadosqueprovengandeunacadenano
securizada,perosepuedenprovocarerroresenelfuncionamientodeciertasaplicaciones.Adems,estopuede
llevar a algunos usuarios a no considerar las posibilidades de los certificados raz de confianza para la
validacindelcertificadoenelpuestodetrabajo.
Permitirquelosusuariosconfenencertificadosdeconfianzadelmismonivel(recomendado)
Laactivacindeestaopcinpermitealosusuarioselegirloscertificadosdelmismoniveldignosdeconfianza.
Aldesactivarestaopcinseimpidequelosusuariosconfenencertificadoscuyoorigenesinciertoperopuede
provocarerroresenelfuncionamientodeciertasaplicaciones.Adems,estopuedellevaraalgunosusuariosa
noconsiderarlasposibilidadesdeloscertificadosdestinadosaestablecerunarelacindeconfianza.
Los propsitos de certificado disponibles permiten emplear los certificados para establecer un vnculo de
confianzaentrepares.
Estos propsitos de certificado estn accesibles al hacer clic en el botn Seleccionar propsitos del
- 24 -
certificado.
Entidadesdecertificacinrazenlasquepuedenconfiarlosequiposcliente
Estaseccinlepermiteelegirquentidadesdecertificacinrazpuedenaprobarlosusuariosdeldominio.
CArazdetercerosyCArazdeempresa(recomendado)
Los usuarios pueden aprobar los certificados de empresa y los certificados noMicrosoft suministrados por
terceros.
SloCArazdeempresa
Los usuarios tan slo pueden aprobar los certificados internos de la empresa. En este caso, la confianza se
limitaaloscertificadospublicadosenlosserviciosADDS(ActiveDirectoryDomainServices).
Las CA tambin deben ser compatibles con las restricciones de nombre principal del usuario (no
recomendado)
Los usuarios no tendrn la posibilidad de confiar en certificados de autenticacin no conformes con las
condicionesdenombresdeusuariosprincipales.
PestaaEditoresdeconfianza
- 25 -
Los proveedores de software utilizan cada vez ms el mecanismo de firma digital en los programas que
publicanparacertificardeestamaneraquesondignosdeconfianza.Sinembargo,sonnumerososlosusuarios
queignoranlafirmadestoscuandoinstalanaplicacionesensuspuestos.
Las opciones disponibles en la pestaa Editores de confianza permiten a los administradores configurar las
personasautorizadasparadecidirlasaccionesallevaracaborespectoaloseditoresdeconfianza.Esposible
autorizaralosgrupossiguientesparaquevalidenloscertificadosdeloseditoresdeconfianza:
Losadministradoresylosusuarios.
Slolosadministradores.
Slolosadministradoresdeempresa.
Enestapestaa,puededefinirlassiguientesopcionesrelativasaloscertificadosdeeditoresdeconfianza:
Comprobarquenoestnrevocados.
Comprobarquelasmarcasdetiempo(timestamp)seanvlidas.
PestaaRecuperacindered
- 26 -
LosdatosdecertificadocomoloscertificadosdelprogramadecertificadosrazdeMicrosoftascomolaslistas
CRLdebenactualizarseregularmente.Cuandoelvolumendedatostransferidosessuperioralvolumenoriginal
pueden surgir errores durante los procesos de validacin de certificados, de recuperacin de informacin de
revocacindeloscertificadosydeloscertificadoscruzados.
Enestecaso,losparmetrosderecuperacindelaredpermitenalosadministradoresrealizarlassiguientes
tareas:
Habilitarlarecuperacindecertificadosdelemisordurantelavalidacinderutas.
Definirlafrecuenciadedescargadeloscertificadoscruzados.
PestaaRevocacin
- 27 -
Los servicios AD DS del dominio se encargan de verificar la informacin de revocacin. Utilizan las listas CRL,
CRL Delta as como las respuestas OCSP (Online Certificate Status Protocol) proporcionadas por los
respondedoresenlnea.
Lasopcionesdisponiblesenestapestaapermitenalosadministradoresoptimizarlosmtodosdeutilizacin
delaslistasCRLylosdelosrespondedoresenlnea.Enefecto,enelcasodelistasCRLmuyvoluminosas,los
intercambiosdedatospuedenralentizarlavelocidaddelared.
Estossonlosparmetrosquesepuedenconfigurar:
Preferirsiempreelusoderespuestasdelistasderevocacindecertificados(CRL)envezderespuestas
deProtocolodeestadodecertificadosenlnea(OCSP)(norecomendado)
Generalmente, los clientes utilizan los datos de revocacin ms recientes, independientemente de que
provengandeunalistaderevocacindecertificadosodeunrespondedorenlnea.Siseleccionaestaopcin,la
consulta de informacin de revocacin a un respondedor en lnea no se realiza ms que en caso de que
ningunalistaCRLoCRLDeltaestdisponible.
PermitirquelasrespuestasCRLyOCSPsigansiendovlidastrasfinalizarsuduracin(norecomendado)
Estaopcinresultatilcuandohayclientesque,porperiodosdetiempoprolongados,notienenlaposibilidad
deconectarseaunpuntodedistribucindelistaCRLoaunrespondedorenlnea.
Tiempoquepuedeextenderseelperododevalidez(enhoras)
Esta opcin le permite configurar la duracin del periodo de validez de las listas CRL o de las respuestas de
protocoloOCSP.
- 28 -
Enlacesydescargas
PuestaapuntodeunaPKI:
http://technet.microsoft.com/enus/library/cc772393%28WS.10%29.aspx(eningls)
http://technet.microsoft.com/enus/library/cc773138%28WS.10%29.aspx(eningls)
http://www.microsoft.com/downloads/details.aspx?FamilyID=3c670732c9714c65be9c
c0ebc3749e24&displaylang=en(eningls)
DetallessobreEFS:
http://technet.microsoft.com/eses/library/cc749610%28WS.10%29.aspx
Administrarlavalidacinderutasdecertificados:
http://technet.microsoft.com/eses/library/cc731638%28WS.10%29.aspx
DetallessobrenuevosparmetrosenWindowsServer2008:
http://technet.microsoft.com/eses/library/cc725911%28WS.10%29.aspx
Detallessobrelasolicitudautomticadecertificados:
http://technet.microsoft.com/eses/library/cc759371%28WS.10%29.aspx
d.Caso4Desplegarlasaplicacionesconlasdirectivasdegrupo
LasGPOnopemitendesplegarcualquiertipodesoftware.Enefecto,lasGPOpermiteninstalarremotamente
tansloelsoftwarequetengaunaextensinMSI(MicrosoftSoftwareInstaller).
EstetipodedirectivapuedeservirparaeldesplieguedetodoslospaquetesMSIcomo,porejemplo,Microsoft
Office,lasaplicacionesespecficasotambinlainstalacinurgentedeunservicepack.
LosdesplieguesdepaquetesMSIresultantilesporquesonnumerosaslasaplicacionesMicrosoftdisponibles
en formato MSI. Existe tambin la posibilidad de crear estos paquetes con la ayuda de herramientas
especializadas.
Requisitospreviosparaeldesplieguedeunpaquete
Hayalgunosrequisitospreviosparalacorrectaejecucindeundesplieguedepaquetemediantedirectivade
grupo.
Los archivos desplegados deben tener la extensin MSI. Deben estar almacenados en un sitio de la red
compartido y accesible para los usuarios del dominio. Los derechos de acceso a la red y la comparticin de
archivosdebenestarcomprobadosyoperativos.
ENI Editions - All rights reserved - Sergio Ramirez Ramirez
- 29 -
Si se cumplen estas condiciones, puede iniciar el procedimiento de puesta en marcha de una directiva de
instalacindesoftware.
Desplegarunpaquete
Paradesplegarunaaplicacin,abralaconsoladeadministracindedirectivasdegrupoycreeuna
nuevadirectivallamadaDesplieguedelpaqueteTeamviewer.
Abra la directiva con el editor y sitese en el contenedor Configuracin del equipo Directivas
Configuracindesoftware.
Haga clic con el botn derecho en el objeto Instalacin de software. Escoja Nuevo y despus
Paquete.
Laventanadedilogoqueaparecelepermitiridentificarelarchivoquecontieneelpaqueteenelsitiodered
dondeestalmacenado.
SeleccioneelpaquetequedeseedesplegaryhagaclicenAbrir.
La siguiente ventana de dilogo le pide escoger entre los parmetros de despliegue para la aplicacin
AsignadayAvanzada.
- 30 -
Asignada
Esteparmetrolepermitedesplegarlaaplicacinempleandolosparmetrosdeconfiguracinpor
defecto.
Avanzada
Esteparmetrolepermitemodificarmanualmentelosparmetrospordefectodelaaplicacinque
despliegue.
Se recomienda emplear la opcin Asignada si no se conocen los parmetros a configurar en el
paquete.
Marquelaopcinquedeseeemplear.EnesteejemploescogemoslaopcinAsignada.
HagaclicenOK.
Despusdehabervalidadoelmododedesplieguedelaaplicacin,secrearunnuevoobjetoenelcontenedor
InstalacindesoftwaredelEditordeadministracindedirectivasdegrupo.
Paramodificarlaspropiedadesdelaaplicacindesplegada,desplieguesumencontextualyescoja
laopcinPropiedades.
La ventana de dilogo de las propiedades del objeto le permite modificar las opciones de puesta a nivel del
paquete,lasautorizacionesencursosobreelobjeto,ylascategorasenqueseclasificarnlospaquetesenel
menAgregar/QuitarprogramasdeWindows.
- 31 -
EnestemomentopuedevincularladirectivadegrupoaunodeloscontenedoresActiveDirectory.Laaplicacin
Team Viewer se instalar en los equipos presentes en la Unidad Organizativa implicada con las opciones de
configuracinasignadaspordefecto.
2.DirectivasdelaConfiguracindeusuario
a.Caso5Configurarelescritorioidealparasususuarios
ElEscritorioeselpuntodeentradadelosusuariosenunpuestodetrabajo.UnEscritoriosobrecargadoser
siempreunestorboparaelbuendesarrollodelastareascotidianasdeunusuario.
LasdirectivasdegrupoofrecenalosadministradoreslaposibilidaddeconfigurarelEscritoriodelosusuarios.
Es posible aumentar la seguridad con ayuda de restricciones de acceso a ciertas opciones y facilitar la
administracincotidianadelosusuariosconlaconfiguracindeunEscritorioadaptadoasusactividades.
ConfigurarelEscritorio
Para configurar el Escritorio, abra la consola de administracin de directivas de grupo, cree una
nuevadirectivallamadaConfiguracindelEscritorio.
Enel Editordeadministracindedirectivasdegrupo,siteseenelcontenedor Configuracinde
usuarioDirectivasPlantilladeadministracinEscritorio.
Dispone de varios parmetros para configurar el Escritorio de los usuarios. El contenedor Escritorio/Active
Desktop contiene parmetros de configuracin relativos a la visualizacin (Fondo de escritorio, uso de Active
Desktop).
EneldirectorioEscritorio/ActiveDesktop,configurelossiguientesparmetros:
- 32 -
DeshabilitarActiveDesktop:Habilitada
Tapizdelescritorio:Habilitada
Cuando desee definir el fondo de escritorio por defecto para los usuarios, introduzca la ruta UNC (Universal
NamingConvention)delaimagenaemplear.
Ahora,elfondodeEscritoriodelosusuariosquedaconfiguradopordefectoconlaimagendelaempresa.Active
Desktopestdesactivadoporresultarintilencasodequeseempleeunfondodepantallaenformatomapa
debits.
ConfiguraremosahoraotrosparmetrosdisponiblesenlaconfiguracindelEscritorio.
Enel Editordeadministracindedirectivasdegrupo,siteseenelcontenedor Configuracinde
usuarioDirectivasPlantillasadministrativasEscritorio.
Hay varias posibilidades para responder a las necesidades definidas durante la planificacin de la puesta en
marcha de la directiva de grupo. Nos limitaremos a mostrar algunas de las posibilidades a travs de los
siguientesejemplos.
Modifiquelossiguientesparmetros:
Prohibiralosusuarioslaredireccinmanualdelascarpetasdeperfiles:Habilitada
QuitarelAsistenteparalimpiezadeescritorio:Habilitada
OcultareliconoUbicacionesdereddelescritorio:Habilitada
QuitarelelementoPropiedadesdelmencontextualdeliconoEquipo:Habilitada
QuitardelescritorioeliconodePapeleradereciclaje:Habilitada
Prohibirelajustedelasbarrasdeherramientasdelescritorio:Habilitada
- 33 -
ElEscritorioestahorapersonalizadoparalosusuariosdeldominio.Algunasdelasmodificacionesprovienen
de prioridades de seguridad (por ejemplo, Ocultar el icono Ubicaciones de red del Escritorio). Disuadir a
ciertosusuariosdeexplorarenciertosmensdeWindowsevitaavecesprdidasdetiempoconsiderables.
b.Caso6Restringirelaccesoalpaneldecontrol
El panel de control de Windows es una herramienta que se debe manipularse con precaucin. Ciertas
modificaciones hechas desde este lugar pueden tener consecuencias nefastas para los usuarios y los
administradores.
Porestarazn,ciertosadministradoresderedespiensanqueesnecesariorestringirelaccesoalasopciones
delpaneldecontrolparaunamejorestabilidaddelospuestosdeusuario.
Configurarelpaneldecontrol
Paragestionarlasopcionesdelpaneldecontrol,abralaconsoladeadministracindedirectivasde
grupoycreeunanuevadirectivallamadaConfiguracindelpaneldecontrol.
Enel Editordeadministracindedirectivasdegrupo,siteseenelcontenedor Configuracinde
usuarioDirectivasPlantillasadministrativasPaneldecontrol.
Noscentraremosenunnicoparmetro,perodegraninters.Permitesuprimirelementosdelpaneldecontrol
parahacerlosinaccesiblesalosusuarios.
Modifique el parmetro Ocultar los elementos especificados del Panel de control. Para empezar,
asgneleelvalorHabilitada.
- 34 -
HagaclicenAplicarparavalidartemporalmentesueleccindeconfiguracin.
A continuacin, haga clic en Mostrar para informar los elementos que Windows no mostrar en el
paneldecontrol.
Agreguecadaelementodeseadoescribiendosunombreypulsando[Enter].Cuidado,elusodemaysculasy
minsculasenestaventanadedilogoyenelPaneldecontroldebencoincidir.
- 35 -
Unavezhayaterminadolalista,hagaclicenAceptarparavalidarsusdatos.
HagaclicenAceptarenlaventanasiguiente.
Enestemomento,elPaneldecontroldelosusuariosdeldominioestconformealasnormasdesuempresa.
Podragregarosuprimirnuevoselementoseditandoladirectivaymodificndola.
3.Directivasdepreferencias
LasdirectivasdepreferenciashansidoobjetodelcaptuloLaspreferenciasdedirectivadegrupodeestelibroy
aparecencomounadelasnovedadesmsinteresantesdelaadministracindedirectivasdegrupoenWindows
Server 2008 y 2008 R2. En efecto, las directivas de preferencias facilitan las tareas de administracin
reemplazandoalosscriptsqueseempleabanhastaahora.
Lossiguientesejemplosilustranestasventajas.
a.Caso7GestionarlosusuariosygruposlocalesdelospuestosdetrabajodesdelaGPMC
LosgruposlocalesenWindowsXP,Vistay7contribuyencotidianamentealtrabajodelosequipostcnicos.La
contraseaperdidaoquenofuncionaparaeladministradorlocal,lapresenciaengruposlocalesdeantiguos
usuarios(loqueseoponealaspolticasdeseguridad),sonejemplosdeproblemasrecurrentes.
Conlasdirectivasdegrupo,losadministradorespuedendefinirygestionarlosusuariosylosgruposlocalesde
formacentralizada.Launiformidaddelascuentaslocalesenlospuestosdetrabajoseconvierteenunobjetivo
queahorasepuedealcanzarfcilmente.
ConfigurarlosUsuariosygruposlocales
Para configurar los Usuarios y grupos locales, abra la consola de administracin de directivas de
grupoycreeunanuevadirectivallamadaConfiguracindelosgruposlocales.
EnelEditordeadministracindedirectivasdegrupo,siteseenelcontenedorConfiguracindel
equipoPreferenciasConfiguracindelPaneldecontrolUsuariosygruposlocales.
Para este ejemplo, escogeremos la actualizacin de las cuentas de Administrador local de los equipos. El
objetivoseruniformizarlascontraseasdelascuentasdeadministradorlocaldelospuestosdetrabajo.
HagaclicconelbotnderechoenelcontenedorUsuariosygruposlocales,escojaNuevoydespus
seleccione Usuario local o Grupo local en funcin de las necesidades de la directiva. En nuestro
ejemplo,escogeremosUsuariolocal.
Seleccione la accin Actualizar y despus escoja la cuenta Administrador propuesta en la lista
desplegabledelcampoNombredeusuario.
RelleneelcampoDescripcinsiloestimaoportunoeintroduzcalacontraseaaasignaralacuenta
Administradorlocaldelosequipos.
Desmarque la opcin El usuario debe cambiar la contrasea en el siguiente inicio de sesin y
asegresedemarcarlaopcinLacontraseanuncaexpirasideseaestablecerhastanuevaorden
la contrasea introducida, o bien especifique una fecha de expiracin como forma de reforzar la
seguridad.
Marque la opcinLa cuenta nunca expiraparaevitarcrearunasituacindebloqueosiunodelos
puestosdetrabajorequiereunaconexinalacuentadeadministradorlocal.
- 36 -
HagaclicenAceptarcuandohayaterminadolaconfiguracin.
CuandoestadirectivasehayavinculadoaunodeloscontenedoresActiveDirectorydesuorganizacin,todos
los puestos de trabajo sobre los que se aplique la directiva tendrn una contrasea de la cuenta de
administradorlocaluniformegraciasalaspreferencias.
b.Caso8Conectarlasunidadescompartidasderedgraciasalaspreferencias
La mayor parte de los datos profesionales se almacenan en los servidores de archivos de la empresa. La
conexin de las unidades de red mediante preferencias, mediante script o manualmente, forma parte de las
operaciones cotidianas obligatorias. En efecto, un usuario slo puede ser productivo si el acceso a los datos
estpermitidoyoperativo.
Laspreferenciaspermitenespecificarlaconexinparalasunidadesdereddelosusuariosdesdelaconsolade
administracindedirectivasdegrupo.
Asignarlasunidades
Paraasignarlasunidadesdered,abralaconsoladeadministracindedirectivasdegrupoycreeuna
nuevadirectivallamadaConfiguracindelasunidadesdered.
Enel Editordeadministracindedirectivasdegrupo,siteseenelcontenedor Configuracinde
usuarioPreferenciasConfiguracindeWindowsAsignacionesdeunidades.
En este caso, conectaremos el recurso de red compartido Marketing para los miembros del departamento de
Marketing.
Cree una nueva preferencia de unidad asignada y configure los diferentes elementos para que se
correspondanconsusrequisitos.
- 37 -
La accin llevada a cabo es la creacin de un nueva unidad lectora que se corresponde con un directorio
compartidoenlaredenelservidorSERV01.LaletraempleadaparalaunidadserlaMynosehaespecificado
ninguna informacin de autentificacin. Las credenciales de conexin del usuario bastarn para autentificarle
frente al controlador de dominio. De esta forma podr aprovechar todos los accesos que le hayan sido
destinados.
SisepierdelaconexinalaunidadMarketing,elusuariodeberesperarunanuevaaplicacindeladirectiva
de preferencia o aplicar los parmetros de preferencia manualmente con ayuda de los comandos disponibles
paraello.
c.Caso9Facilitarelaccesoalasaplicacionesdelosusuarios
LosaccesosdirectosdeWindowsenelEscritoriofacilitaneltrabajodelosusuarios.
Silosaccesosdirectosdesaparecenodejandefuncionar,elusuariopuedequedarbloqueado.Paraestabilizar
el funcionamiento de los puestos de trabajo, las directivas de preferencias le ofrecen la creacin de accesos
directosenelEscritoriodelosusuarios.
d.Caso10Permitirquesuempresaahorreenerga
Las directivas de preferencias le permiten implementar una poltica de gestin de energa en los puestos de
trabajoenbeneficiodelmedioambienteydelosgastosdelaempresa.
- 38 -
Conclusinycomentarios
Enloscaptulosanterioreshemosdetalladoloselementosbsicosdelfuncionamientodelasdirectivasdegrupo.
Hemos subrayado cmo, en una empresa que disponga de un Active Directory de gran tamao, es muy
recomendableplanificardemaneramuyestrictalapuestaapuntoeimplementacindelasdirectivasdegrupo.
Cuantomscentralizadassonlasarquitecturas,msaumentaelintersporherramientascomolasGPO.Puede
serviableestudiarcasoporcasoenorganizacionespequeasomedianas,dondelosproblemasseidentifican
rpidamenteyrequierenpocaoningunaplanificacinparamanteneryactualizarlared.Peroestonosesostieme
en organizaciones de gran tamao donde los proyectos informticos deben presentar inexcusablemente un
carcterestructurado.
Es posible reducir el coste total de propiedad (Total Cost of Ownership) de una empresa nicamente con las
directivas de grupo. Una estrategia de despliegue de GPOs adecuada y bien preparada permite anticipar las
prdidasdetiempopararesolverproblemasinformticos.Laproduccindelaempresaestmenossujetaalas
interrupciones,ylasprdidasdisminuyenenconsecuencia.
Cuandoseprevundesplieguededirectivasdegrupo,esimportantepreguntarsecmoabordarsuplanificaciny
culessonlosparmetrosatenerencuentarespectoalaorganizacinsobrelaquesedespliega.Adicionalmente,
esnecesariodefinirlosproyectosdedesplieguequetieneninters,losquetienenmenos,ycmodistinguirlos.
Windows Server 2008 y 2008 R2 le permiten gestionar las directivas de grupo con la consola de administracin
GPMC 2.0. Puede implementar las directivas del equipo y usuarios, las plantillas administrativas, las polticas de
seguridad,losdesplieguesdesoftwareydescripts,utilizarlaspreferencias...
Paraplanificarydesplegarlasdirectivasdegrupodeunaformaadecuadaalasnecesidadesdesuempresa,es
primordialidentificarlasnecesidadesdesta.Laactividaddelaempresaeslaquedefineinicialmenteloscriterios
quehayquetenerencuenta.
Cuanto mayor sea el conocimiento de los procedimientos en vigor en la empresa, mejor ser el ajuste de la
configuracindelaredalasnecesidadesdelaorganizacin.Ensudiseoinicial,lasredesMicrosoftsonidnticas
deunaempresaaotracuandolastecnologasempleadassonlasmismas,peroconelpasodeltiempolaredse
personalizaaimagendecadaempresa.
Esimportanteconocerbienlahistoriadelared,suevolucinylasposibilidadesrealesdealcanzarlosobjetivos
fijados para llevar a buen trmino una operacin de despliegue de directivas de grupo. Por ejemplo, si los
entornosdelusuariosonvariablesdeunaversindeWindowsaotra,lasGPOnoseaplicarndelamismaforma.
Losparmetrosmodificablesnosonsiemprelosmismosylosresultadospuedenserdesalentadores.
Cuantomayorseaelnmerodeparmetrostenidosencuenta,msprecisaserlaplanificacinymenossernlas
sorpresasdesagradables.
Uno de los principales intereses de la gestin de parques informticos mediante directivas de grupo es la
transparenciadelasoperacionesparaelusuario.
Los administradores preparan las modificaciones a nivel de los servidores para, posteriormente, aplicarlas a los
puestosdetrabajodeunamaneratransparenteparalosusuarios.
Lasrazonesparalacreacinydesplieguededirectivasdegrupodependendirectamentedelasnecesidadesdela
empresa.
- 1-
NubeprivadayNubepblica
Los mtodos actuales de gestin de los sistemas informticos tienen por origen una filosofa orientada hacia la
implementacin de organizaciones informticas centralizadas, uniformes y coherentes. La contrapartida de este
tipo de sistema es, generalmente, un coste financiero elevado que conlleva la redefinicin de los mtodos de
gestinydelosprocedimientosdetrabajodelosdepartamentosdelaempresa.
Lasrestriccionesdeordentcnicosepuedenavecescompensarconlosmediosfinancierosapropiados,mientras
quelasrestriccionesqueprovienendelaorganizacinrequierenmsbiendeunesfuerzointelectualimportante.
La combinacin de estas dos problemticas, junto a la llegada del Cloud Computing, invita a una reflexin que
permitaplantearlasolucindeambasalmismotiempo.
En efecto, las empresas que sacan al mercado ofertas basadas en tecnologas Cloud ofrecen cada vez ms
servicios,aplicacionesyespacioalbergadosdeformafederada.Estopermite,conuncostereducido,elaccesoa
unservicioeficienteyrico.Enconsecuencia,aquelloqueantesresultabatancarodeposeeryponerenmarcha
paradisponerenlaempresadeunsistemafiable,profesionalysecurizado,seencuentrahoyaccesibleenalquiler.
Adems,elCloudComputingtienelaparticularidadderecrearelefectodecohesintcnicadeseadoporlosque
tomanlasdecisionesdeordeninformtico,ancuandoobliguegeneralmenteadescentralizar las herramientas
empleadasparallegaraesteresultado.Unaempresaenterapuedeestarconectadaygestionadamedianteun
sistemacomncuyoselementosestnrepartidosporelmundo.
La centralizacin de los datos, de los medios de intercambio, y de las herramientas de produccin de las
organizaciones empuja a reunir y contener los elementos del sistema informtico en un mismo lugar fsico. No
obstante, la presencia cada vez ms extendida de las redes, entre ellas Internet, las posibilidades de
interconexin crecientes y las tecnologas tanto de Cloud Computing como de virtualizacin permiten plantear
formasinnovadorasdedefiniryconstruirlasinfraestructurasinformticasdelasempresas.
EsposibleimaginarunaorganizacinenlaquelosservidoresdemensajeraestnsituadosenEuropamientras
que los servidores de archivos estn en Asia, y los servidores de bases de datos residan en Australia. Las
aplicaciones,quecadavezmsestndesarrolladasparalaWeb,puedenestaraccesiblesdesdecualquierlugar,
enunmundoconectadoaInternet.
Uno de los indicadores ms apropiados de la viabilidad de estos mtodos de trabajo parece ser el tiempo de
respuesta.Elaccesoeshoyalgoquesepuededominarygarantizar.Eltiempoderespuestaesundatodelque
pocaspersonassehacenresponsables,yconrazn,yaqueesmuydifcildesaberaldetallesilasrutastomadas
porlosdatosquetransitanporlaredestnsaturadas,sonfiablesoestnsecurizadas.
Las directivas de grupo son indispensables para gestionar en la capa profunda del sistema los equipos y
servidores que emplean Windows. Tan slo las directivas de grupo o la configuracin del registro de Windows
permitengarantizarlaestabilidaddelasparametrizacionesdelosequiposolosservidoresdelaorganizacin.
Lasaverasyreconfiguracionesfrecuentesennadacontribuyenaunaproductividadcreciente,oalconfortenel
trabajodelosusuariosodelosmiembrosdelosequipostcnicos.
En una arquitectura virtual o Cloud, las directivas deben manejarse con precaucin, ya que pueden saturar
rpidamenteelanchodebandaolosenlacesdeconexinentrelosdiferentesequipos.Lomsadecuadoparece
serlapuestaenmarchadesistemasqueempleenclientesligeros.LasarquitecturasbasadasenTerminalServer,
servicios de Escritorio remoto o incluso Remote Desktop Services (RDS) permiten la configuracin de numerosas
directivasdegrupoparalosservidoresRDSdelaempresa.
- 1-
Lasarquitecturasbasadasenclientesligeros
1.UnmodelodeestructuraActiveDirectoryparaRDS
Durantelaimplementacindeunainfraestructuracentralizadabasadantegramenteenelusodelosserviciosde
Escritorio remoto (antes Terminal Server), es necesario e incluso obligatorio planificar la estructura Active
DirectoryadaptadaaldesplieguedeGPO,delamismamaneraqueenunaarquitecturaclienteservidorclsica.
Los servidores utilizados para albergar las sesiones de Escritorio remoto deben estar configuradas
exclusivamenteparaestatareaylassesionesdeusuariosdeben,igualmente,estarsujetasaparametrizaciones
adecuadasyprecisas.
Porejemplo,sinoseconfiguraningunadirectivadegrupoparalimitarlosaccesosdeperfilesdeusuariosalos
sistemasdeservidoresdesesionesdeEscritorioremoto,stospodranrearrancarlosaccidentalmenteoincluso
teneraccesoalosvolmenessobrelosqueestninstaladoslossistemasoperativosdelosservidores.Elacceso
a los directorios y archivos del sistema parece intil para un usuario estndar de la organizacin y aumenta
considerablementelavulnerabilidaddelosservidoresimplicados.
Alahoradeponerenmarchaproyectosdeesteestilo,sonbastanteslosargumentosquellevanaconcluirque
la elaboracin de directivas de grupo exclusivamente dedicadas a configurar los perfiles de los usuarios de
Escritorioremotoesunpasoindispensable.
Semuestra,acontinuacin,unmodelodeorganizacinydeestructuraenActiveDirectoryparaeldesplieguede
directivasdegrupoenunaarquitecturaqueutilicelosserviciosdeEscritorioremoto.
Modelodeorganizacin
Elporqudeestemodelo
UnmodelocomoelpresentadopermiteparametrizarGPOsparaconfigurarlosservidoresdeEscritorioremotoen
la UO Servidores RDS. Las directivas de seguridad locales por defecto de los servidores deben, generalmente,
modificarseparasecurizarlosaccesosyreducirlasposibilidadesdeprovocardaos,yaseanintencionadasono.
El principal inters de la estructura de Active Directory propuesta reside en la flexibilidad que ofrece para
configurardiferentesnivelesdeaccesoparalosperfilesdeusuariodeEscritorioremoto.Elhechodecrearuna
UO para cada departamento de la empresa permite desplegar directivas adaptadas a las necesidades de los
usuariosfinales.
- 1-
Gracias a este ejemplo, nos damos cuenta de que es sencillo imponer un modelo de funcionamiento para las
sesionesRDSsegnelniveldeaccesoylasnecesidadesdelaactividad.
Unavezms,nosapoyamosenActiveDirectoryparaestructurarelsistemainformticoensuconjunto.
2.SecurizaryestabilizarlosperfilesdeEscritorioremotodelosusuarios
En una implementacin de GPO en un entorno de Escritorio remoto, es primordial actuar con rigor, ya que el
menor acceso que quede abierto inadvertidamente puede llevar a consecuencias graves. Debido a que los
recursos se comparten entre varios usuarios, ciertas modificaciones no deseadas aplicadas al conjunto del
sistemapuedenpenalizaracadaunodelosusuariosconectadosconunasesindeEscritorioremoto.
He aqu ejemplos de directivas tiles para centralizar, simplificar y securizar la gestin de perfiles de Escritorio
remotodelosusuariosdesuempresa.
En la consola de administracin de directivas de grupo, cree una nueva GPO que llamaremos
ConfiguracindelosperfilesdeEscritorioremoto.
HagaclicenAceptar.
Unavezcreada,hagaclicconelbotnderechoenelobjetodirectivadegrupoyseleccioneEditar.
Modificarelregistroparaimpedirelaccesoalasherramientasdeadministracin
Sitese en el nodo Configuracin de usuario/Preferencias/Configuracin de Windows/Registro y
despushagaclicconelbotnderechoenunreavaca.
SeleccioneNuevoydespusElementodelRegistro.
- 2-
Enlasiguienteventana,seleccioneparaelmendesplegableAccin:Reemplazar.
A continuacin, seleccione el subrbolHKEY_CURRENT_USER y despus haga clic sobre el botn
situadoaladerechadelcampoRutadelaclave.
hasta
llegar
al
EscojalaclavederegistroStart_AdminToolsRootyhagaclicenSeleccionar.
- 3-
A continuacin, modifique los datos del valor por defecto de la clave sin seleccionar la casilla
Predeterminado.
ParaactivarelmenHerramientasadministrativasenelmenIniciodelosusuarios,dejeelvalorde
laclavea00000002.
Paradesactivarlo,cambieelvalordelaclavea00000000,opcinquetomaremosparanuestro
ejemplo.
DejeelparmetroBaseconHexadecimalseleccionadoyhagaclicenAplicar.
VerifiquelaexactituddelosparmetrosyhagaclicenAceptarparaconfirmar.
- 4-
ImpedirelaccesoalasunidadesA,B,CyD
SiteseenelnodoConfiguracindeusuario/Directivas/Plantillasadministrativas/Componentesde
Windows/ExploradordeWindows.
BusqueyseleccioneelparmetroOcultarestasunidadesespecificadasenMiPC.
Enlasiguienteventana,seleccionelaopcin Habilitadayelijalaopcinmsapropiadadeentrelas
que se ofrecen. En nuestro ejemplo, restringiremos el nmero mximo de unidades de disco en el
sistema,esdecirelparmetroRestringirslolasunidadesA,B,CyD.
- 5-
HagaclicenAceptar.
Si escoge la opcin que permite restringir el acceso a todas las unidades del puesto de trabajo no
podrmostrarlasunidadesderedalasquelosusuariosdebenconectarseensusesin.Delmismo
modo,esimportanterenombrarlasunidadeslocalesA,B,CoDsobreelservidordesesionesdeEscritorio
remoto.SiunodelosvolmeneslocalesseidentificaconlaletraE,losusuariosvernelvolumenaccesible
enelexploradordeWindowsdesuperfil.
Despus,conctesealasesindeunusuarioyabraelExploradordeWindows.
- 6-
Compruebequelasunidadesocultadasporladirectivadegrupoestn,efectivamente,ausentes.
Bloquearlasaplicaciones
SiteseenelnodoConfiguracin de usuario/Directivas/Configuracin Windows/Configuracin de
seguridad/Directivasderestriccindesoftware.
Acontinuacin,hagaclicconelbotnderechoenelcontenedorDirectivasderestriccindesoftware
yescojaNuevasdirectivasderestriccindesoftware.
Como resultado de esta operacin aparecen dos nuevos subcontenedores: Niveles de seguridad y Reglas
adicionales.
SitesesobreelcontenedorReglasadicionalesydespushagaclicconelbotnderechoenlaparte
vacaaladerechadelapantalla.
Enelmencontextual,seleccioneRegladenuevohash.
- 7-
Deseamos bloquear las ventanas que ofrecen actualizar el software Adobe Reader. Para hacer esto,
bloquearemoselprogramaUpdateManagerlanzadoporAdobeenunperfildeusuario.
HagaclicenExaminar.
Enlasiguienteventana,introduzcalarutaynombredelejecutabledelprogramaquedeseabloquear
alosusuarios.
- 8-
HagaclicenAbrir.
A continuacin, escoja el nivel de seguridad que desee aplicar. Los tres niveles disponibles son No
permitido,UsuariobsicoeIlimitado.
SeleccioneNopermitidoyhagaclicenAceptar.
- 9-
VerifiqueacontinuacinlapresenciadelanuevaregladehashenReglasadicionales.
Los usuarios podrn ahora utilizar Adobe Reader sin restricciones pero no podrn mostrar el mdulo
quepermitelaactualizacindelprograma.Elintersprincipaldelaoperacinresideenqueyanose
molestaalosusuariosconlaspeticionesregularesdeactualizacindelsoftware.
Despus,conctesealasesindeunusuarioyabralaaplicacinAdobeReaderoAdobeStandard.
HagaclicenAyudayBuscaractualizaciones.
Siladirectivaestconfiguradacorrectamente,obtendrelsiguientemensajedeerror.
HagaclicenAceptar.
ParaactualizarAdobeReader,puedeaplicarlasactualizacionesdelprogramacomoadministrador.
Configurarlosaccesosdirectosestndarparasususuarios
Sitese en el nodo Configuracin de usuario Preferencias Configuracin Windows Accesos
directos.
- 10 -
Despus,hagaclicconelbotnderechoenelespaciovacoaladerechadelapantallayseleccione
NuevoyAccesodirectoenelmencontextual.
Introduzcaloscamposnecesariosparalacreacindeunaccesodirectoenelescritoriodelosusuarios.
HagaclicenAplicarydespusenAceptar.
Si no da un valor correcto al campo Ruta del icono, el acceso directo funcionar pero no mostrar
ningnicono.
VerifiquelapresenciadelobjetoenelcontenedorAccesosdirectos.
- 11 -
A continuacin, modificaremos dos parmetros de directiva en la misma directiva que permitirn a los usuarios
utilizarexclusivamentelosaccesosdirectoscreadosautomticamentemediantedirectivadegrupo.
Para empezar, impediremos que los programas aparezcan en la lista de programas frecuentes del men Inicio
(sloesvlidoenWindowsServer2008o2008R2yWindows7).
Acontinuacin,prohibiremosanclarprogramasalabarradetareasparaquelosaccesosdirectossemantengan
sin cambios respecto a cuando fueron creados. Los usuarios no podrn aadir o suprimir por s mismos los
accesosdirectospresentesenlabarradetareas.Deestaformanotendrnposibilidaddeperderlosaccesosa
programasorecursosimportantesparasuactividadporculpadeunerrordemanipulacin.
ParaimpedirquelosprogramasaparezcanenlalistadeprogramasfrecuentesdelmenInicio,sitese
enelcontenedorConfiguracindeusuario DirectivasPlantillasadministrativasMenInicioy
barradetareas.
Despus, haga doble clic en el parmetro Quitar del men Inicio la lista de programas de uso
frecuente.
SeleccionelaopcinHabilitadayhagaclicenAceptar.
- 12 -
- 13 -
SeleccionelaopcinHabilitadayhagaclicenAceptar.
- 14 -
GPOyCloud
Imagineunainfraestructurasinunsoloservidoropuestodetrabajopresenteensuempresa.Imagineunared
informtica para su organizacin completamente centralizada que tan slo almacena fsicamente los mdems,
routers,firewallsyVPN.
Cuandosetratedeconsultarinformacin,lastabletasgrficasoinclusolossmartphonespodrandarsoportea
conexionesconlosrecursosdelaempresa.Enmateriadeproduccinoexplotacin,probablementeseatodava
ms prctico introducir informacin o crear contenidos en sesiones sobre un sistema operativo clsico, lo que
conllevacontarconlasaplicacionesnecesariasyunmaterialdetrabajoadecuado(pantallasconlasdimensiones
correctas,ratn,teclado,potenciadeclculodelosprocesadores).
A la vista de los numerosos sistemas y mtodos de trabajo emergentes, el futuro de las directivas de grupo
parece potencialmente amenazado, al ser dependiente exclusivamente de la presencia de Microsoft en la
infraestructuradelasempresas.
El xito consolidado del fabricante permite presagiar la pervivencia de las GPO y nos recuerda que es difcil
configurarenprofundidadlossistemasclientedelasredesdeempresasinemplearestemododefuncionamiento.
Laestabilidaddelosdepartamentosdelaempresarepresentaunagananciaenproductividadyunadisponibilidad
delosdatoscuyovaloresinestimable.
Un puesto de trabajo instalado de forma personalizada y que contenga nicamente las herramientas de la
empresa,sinpermisosniposibilidaddemodificarningunaopcinquepuedaconllevarfallosenelservicio,yqueal
mismo tiempo proporcione los accesos necesarios para el buen desarrollo de la actividad de los usuarios, es lo
ideal. Un equipo con gran nmero de programas que se activan durante el arranque, multitud de aplicaciones
intilesyvidasderecursosyunaccesoabiertoalsistema,porprincipiotraeconsigounriesgomuyseriodefallos
ensufuncionamiento.Lasconsecuenciasdirectassetraducenenlentituddelsistemadurantesuuso,fallosenlos
servicioseindisponibilidadderecursos.
Alfinal,silainformacinnoestdisponible,nopuedecumplirconsupapeloriginal:informar.
En la actualidad, una empresa que no puede disponer de su informacin de forma estable y rpida tiene poca
credibilidad.Enelfuturoprximo,ninguna.
1.GPO,puestosdetrabajoWindowsyservidoresalojadosenCloud
Lasdirectivasdegruposedifundenatravsdelared.Sutrayectotienecomopuntodepartidaelservidorde
directivasdegrupo,quetransmitelaconfiguracinenelmomentodelarranquedelpuestoodelaautentificacin
delusuario.Despus,segnlaconfiguracinexistente,lasGPOseaplicandenuevoaintervalosregulares.Esta
forma de funcionar es, en el momento actual, indisociable de una red local rpida, o de una red inalmbrica
remotaunidamedianteenlacesdebandaancha(fibraptica)establesydealtorendimiento.
En definitiva, su funcionamiento parece prcticamente imposible en una infraestructura de tipo Cloud porque
transitarademasiadainformacinporlared.
2.GPO,puestosRDSyservidoresdeEscritorioremotoalojadosenCloud
Mezclaryarmonizarunareddeempresadegranpermetrogeogrficorequieredemediostcnicosyfinancieros
muyelevados.PuedenobtenerselosbeneficiosdeunainfraestructurabasadaenlaimplementacindeGPOsin
ponerapuntounsistemainalmbricoapropiadomedianteelusodelosserviciosdeEscritorioremoto.
De esta manera, la metodologa y la normativa tcnica pueden desplegarse rebasando los lmites fsicos del
hardwareylainfraestructura.Serequiereunaltoniveldedetalleparalautilizacindelasdirectivasdegrupoen
unentornodeserviciosdeEscritorioremoto,porqueelimpactodeunamodificacinpuedeafectaratodoslos
usuarios,tantosilaharealizadounadministradorcomolosusuariosporsmismos,yaseadeformavoluntariao
no.
- 1-
Conclusin
Alfinal,tantolosusuarioscomolosexpertostcnicostienencomoobjetivocomnelexplotar,conelmnimode
restricciones,elmximodefuncionalidades.
Losclientesdeseaninformacinentiemporealsobreunpermetrolomsamplioposible.Losproveedoresdesean
proporcionarestoaunmenorcostesindejardegarantizarlaseguridadylaviabilidaddesussistemas.ElCloud
permitealquilarsistemasdelujosinlosinconvenientesdetenerlosenpropiedad.Lacontrapartidapareceserel
descensoenelniveldeseguridadsiemprequelainformacindeunaempresaseguardaencualquierotrositio
quenoseasuspropiosservidoresysuspropiosinmuebles.
Cuandounaempresadetamaomedio,conunpresupuestoinformticorazonable,contratalosserviciosdeuna
empresa del tamao de Microsoft para que aloje su plataforma de mensajera, uno puede imaginar que los
sistemas de seguridad de la empresa contratada compensan ampliamente los que el cliente puede poner en
prctica.Enesecaso,elCloudaportaunaseguridadsuplementaria,ademsdeserprcticoyamigable.Subsiste
laposibilidaddeunaintrusinodelaconsulta,copiaosupresindedatosalmacenadosenunproveedordeeste
tipodeservicios.Estosriesgosexistenigualmentecuandolossistemassetienenenpropiedad,presentesenlas
instalacionesdelcliente.
Es difcil predecir si el Cloud es el futuro de los sistemas informticos o una simple moda pasajera. Las GPO
constituyen hoy una forma armoniosa de estructurar los sistemas cliente y evitar errores de funcionamiento.
AunquelasinfraestructurasterminarnporintegrarherramientasCloudalmximo,noporellodejadesercierto
que los puestos o terminales a partir de los que los usuarios trabajen tendrn que seguir gestionndose de
manera global. La metodologa requerida para administrar informticamente los puestos de usuario puede
aplicarseaotrossoportescomolastabletasolossmartphones,sillegaranareemplazaralosordenadoresenla
empresa pero siempre sera preciso que pudieran ser configurados por directivas de grupo o un mecanismo
equivalente.
- 1-
Conclusin
Las redes informticas evolucionan, y con ellas las necesidades. Un conocimiento profundo de las herramientas
disponiblespermiteorientarestaevolucinenlamejordireccin.Elintersclavedeunaproblemticadeevolucin
no consiste en la obtencin de una red sobreequipada con las ltimas tecnologas del mercado. Con mucha
frecuencia, resultan ms eficaces un anlisis en profundidad de las necesidades y la puesta en prctica de las
herramientasmsadaptadasyapropiadas.
Elpotencialtcnicodelasdirectivasdegrupocubreunreaextensaypermiteresponderatiposdeproblemas
muydiversos.Recordemosquelasdirectivasdegrupopermitennosloponerenprcticapolticasdeseguridad
avanzadasypersonalizarelfuncionamientodelaredenfuncindelaorganizacindelaempresa,sinotambin
mantener la coherencia en la administracin de varias entidades de una misma empresa dispersas
geogrficamente.
Utilizarlasdirectivasdegrupoesgarantizarlacapacidaddeevolucionarylasupervivenciadeunaorganizacin.
Enefecto,lasdirectivasdegrupopermitenrebasarlaslimitacionesimpuestasporsitiosdistantesgeogrficamente
ylasrestriccionestcnicasimpuestasporlatecnologaempleada.Lautilizacindedirectivasdegrupoaumentala
capacidadderealizarintercambiossecurizados,permitiendoascrearunsistemadecomunicacindecalidad.
El uso de mtodos de comunicacin eficaces forma parte de los criterios indispensables para el xito de una
empresa. Entre sus muchas ventajas, las directivas de grupo permiten traducir las necesidades en materia de
organizacin en realidades tcnicas. En ese caso, el uso de directivas de grupo determina la implicacin de los
miembrosdelosequiposdeITenlosprocesosdedecisinrelativosalaadministracindelaempresa.
Estaobraproponeherramientasconlasqueguiarseenelvastomundodelasdirectivasdegrupo.Obviamente,
existenposibilidadesmsextensasquelasquesehancubiertoenestelibro,pero,paraaquellosquelodeseen,
stelespermitiraprenderlasdiferentesmanerasdeexplorarenprofundidadlosmilesdeparmetrosyopciones
ligadasalasdirectivasdegrupoparaoptimizarlas.
La centralizacin de las redes parece hoy el ltimo nivel en la evolucin de los mtodos de gestin de la
informacin.Enefecto,laformadeorganizarlosdatoshaconocidovariasrevolucionesdesdelacreacindelos
sistemasautomatizadosynohadejadodemodificarnuestrocomportamientorespectoacmoaccedemosalos
datosyquusohacemosdeellos.
Endefinitiva,lasdirectivasdegrupotienencomoobjetivofacilitarconsiderablementelatareadequienesquieren
adaptarseaestosnuevosmtodosdegestindelainformacinenlaempresa.
Paraterminar,sepuederesumirelfuncionamientodelasdirectivasdegrupoenunasolafrase:reflexionaruna
nicavez,aplicarmltiplesveces.
- 1-
LossitiosInternet
HeaquunalistadesitiosInternetenlosquepodrencontrarayudatcnicaenfuncindeloquenecesite.
http://technet.microsoft.com/eses/default.aspx
Este sitio se encuentra entre las referencias en materia de documentacin tcnica. Entre la gran cantidad de
informacin disponible, encontrar artculos tcnicos detallados sobre los diferentes productos Microsoft, entre
ellos,lasdirectivasdegrupo.
http://techfaq.com/
www.laboratoiremicrosoft.org
www.gpanswers.com
www.grouppolicy.biz
- 1-
Losforos
Losforossonunafuenteconstantedeinformacin,decasosprcticosconcretosquesedanenlaempresayde
leccionesaprendidas.
- 1-