Beruflich Dokumente
Kultur Dokumente
iii. Plantillas administrativas f. Configuracin del usuario, que al igual que la de Windows se divide en: i. Configuracin de software ii. Configuracin de Windows iii. Plantillas administrativas Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de stas son diferentes las polticas que se encuentran.
Pulsando el botn Nueva se crear una nueva GPO debajo de la Default Domain Policy a la que llamaremos Pulsar CTRL+ALT+SUPR Si ahora seleccionamos la nueva GPO y pulsamos SUPR en el teclado podramos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podr ser utilizada ms adelante o en otro contenedor; eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos Cancelar Ya tenemos creada la GPO; ahora debemos modificar la poltica para que obligue a los usuarios del dominio a hacer CTRL+ALT+SUPR para iniciar sesin en los equipos.
Nos desplazamos en el rbol a Configuracin del equipo/Configuracin de Windows/Configuracin de seguridad/Directivas locales/Opciones de seguridad :
Hacemos doble click sobre la directiva Inicio de sesin interactivo: no requerir Ctrl. +Alt+Supr y podremos definir sta poltica como deshabilitada:
La casilla Definir esta configuracin de directiva tiene el efecto: Marcada Sin Marcar La poltica quedar definida con el valor seleccionado en las opciones de debajo. La poltica hereda su definicin o no y si est habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio).
A su vez, cuando la casilla est marcada podemos elegir entre las opciones: Habilitada Hace que la poltica quede habilitada. Esto significa que se realizar la configuracin que la propia poltica define con su nombre y por tanto, en nuestro ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesin. Cuando se deshabilita la poltica, se impide que se realice la configuracin que la propia poltica define con su nombre. Por tanto, en el ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR para iniciar sesin.
Deshabilitada
Seleccionamos aqu la GPO que queremos vincular. Hay tres formas de buscarlas, una por pestaa: Pestaa Muestra las GPOs Dominios y OUs Que estn aplicadas en el dominio y sus UOs, vindose las OUs como carpetas y las polticas con su icono caracterstico. El desplegable Buscar en nos permite alternar entre los dominios del bosque. Sitios Que estn aplicadas en un sitio. Con el desplegable Buscar en podemos cambiar entre los sitios que integran el bosque. Toda Que estn almacenadas en un dominio. Con el desplegable Buscar en podemos alternar entre los dominios del bosque. Simplemente tendremos que sealar la GPO que queramos vincular y pulsar Aceptar para hacerlo.
Vnculos
Seguridad
Sirve para establecer los permisos de la GPO. Podemos asignar permisos a los siguientes objetos: 1. Usuarios 2. Equipos 3. Grupos 4. Principios de seguridad incorporados
Filtro WMI (slo en Windows XP y Windows Server 2003 y con al menos un controlador de dominio que sea Windows Server 2003)
Sirve para realizar bsquedas basadas en WMI de caractersticas especficas de los equipos a los que se aplica la GPO. Pueden ser: 1. Un patrn de nombre de equipo 2. Tipo de Sistema Operativo 3. Nivel de Service Pack 4. Cualquier caracterstica del equipo que podamos consultar con WQL Los equipos con Windows 2000 ignoran este tipo de filtros y procesan las GPOs sin tener en cuenta si por sus caractersticas deberan hacerlo o no. Por ello, una forma de ejecutar polticas que slo se apliquen a equipos con Windows 2000 es filtrar con WMI poniendo que el tipo de SO es Windows 2000 o que el tipo de SO no es Windows XP. Si queremos aplicar polticas con filtros WMI a equipos con tan slo XP o 2003, ser necesario que nos llevemos las cuentas de los Windows 2000 a otra OU en la que no estaran vinculadas esas GPOs.
Pestaa Seguridad
La pestaa Seguridad nos permite realizar dos tareas con las GPOs: 1. Filtrar el alcance de la GPO, permitiendo que sea slo aplicada a los usuarios, equipos, grupos y/o Principios de seguridad incorporados (objetos Builtin, etc.). 2. Delegar el control de la GPO, permitiendo as la modificacin, etc., a determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados. Hay que tener en cuenta que esto se hace sobre toda la GPO, no se puede especificar nicamente a algunas polticas de la GPO, si no que se hace para todas las contenidas en la GPO. Para realizar el filtrado del alcance y la delegacin del control se utilizan permisos que se aplican a los objetos en que estn especificados. Estos permisos pueden ser concedidos o denegados, prevaleciendo la denegacin sobre la concesin. De forma predeterminada estas son las entradas de seguridad de una GPO (se indican aquellos permisos que estn, concedidos): Grupo de seguridad Usuarios autentificados CREATOR OWNER Administradores del Dominio Administracin de empresas SYSTEM Configuracin predeterminada Leer, aplicar directiva de grupo y permisos adicionales Permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales
Los botones y sus acciones son: Botn Aceptar Accin Aplica a la GPO el filtro WMI que est seleccionado en la lista Filtros WMI y cierra el cuadro de dilogo. Cancelar Cierra el cuadro de dilogo sin aplicar cambios al filtrado WMI de la GPO. Ayuda Muestra la ayuda de administracin de filtros WMI. Columnas Nos permite especificar qu columnas aparecern en la lista de filtros. De forma predeterminada aparecen todas, es decir, Descripcin, Autor, Fecha de modificacin y Fecha de creacin. La columna Nombre siempre aparece en la lista de filtros, no es una columna que se pueda ocultar. Avanzadas Expande o contrae el cuadro de dilogo para ocultar o mostrar en la parte de abajo los controles de edicin de filtros WMI. Nuevo Nos permite crear un nuevo filtro WMI. Eliminar Nos permite eliminar el filtro WMI seleccionado en la lista Filtros WMI. El filtro se elimina, pero no las vinculaciones a GPOs que tenga; es necesario eliminar esos vnculos de forma manual, ya sea configurando otro filtro en su lugar o deshabilitando los filtros WMI en las GPOs afectadas. Duplicar Nos permite crear un nuevo filtro en base al que se encuentre seleccionado en la lista Filtros WMI. Importar Permite importar un filtro que antes fuera exportado a un fchero MOF. Exportar Nos permite exportar un filtro a un fichero MOF. Guardar Guarda el filtro con el nombre, descripcin y consulta que lo compone. Esto es as tanto en filtros creados como en filtros que se modifican. No se deben aplicar filtros WMI alegremente, ralentizan el inicio del equipo.
Unidad Organizativa
Dominio
Sitio
Equipo Local
En la figura 1 vemos, de forma resumida, cul es la prioridad de las GPOs. Las GPOs de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras; las polticas se suman, slo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio habilitamos la poltica de deshabilitacin del panel de control y en la OU deshabilitamos esta poltica, y suponemos que ninguna otra de las polticas a nivel de dominio entra en contradiccin con ninguna otra de las de la OU, el resultado que se aplicar a un objeto contenido dentro de la OU ser la suma de ambas GPOs, salvo que la poltica que se aplica respecto a la deshabilitacin del panel de control ser la de la OU, no la del dominio, y por tanto el panel de control ser visible. En la figura 2 vemos un diagrama de flujo que nos explica cmo son aplicadas las GPOs; se puede apreciar el orden en que son ledas y como se acta en caso de que se contradigan o no. Como se puede suponer, si hubiera una OU de tercer nivel, sta prevalecera sobre la hija y obviamente una de cuarto nivel sobre la de tercer nivel y as sucesivamente:
Se leen las GPOs locales Se leen las GPOs del Sitio S Se contradicen? No Se suman Se leen las GPOs del Dominio S Se contradicen? No Se suman Se leen las GPOs de la OU
Figura 2
S
Se contradicen? No Se suman Se leen las GPOs de la OU hija S Se contradicen? No Se suman
Se aplica el resultado
Esto no significa que una GPO anule a las que estn situadas debajo de ella; al igual que vimos con la competencia entre los objetos sobre los que se pueden aplicar, las polticas en realidad se suman cuando no se contradicen entre ellas, slo en el caso de contradecirse es cuando prevalece la superior (la forma de aplicacin es exactamente la misma que veamos en el diagrama de flujo de la figura 2, slo que en cada salto lo que se evala es la GPO, empezando por la inferior y terminando en la superior).
Para activar el procesamiento en modo de bucle inverso debemos situarnos en el rbol de la consola de directiva de grupo en el nodo Configuracin del equipo/Plantillas administrativas/Sistema/Directiva de grupo y en panel de detalles hacer doble clic sobre la poltica Modo de procesamiento de bucle invertido de la directiva de grupo de usuario. Se nos abre un dilogo en el que podremos configurar la poltica. Hay dos modos de procesamiento de bucle inverso: Modo Sustituir Efecto Las directivas sustituyen a las que se le aplicaran normalmente al usuario. De esta manera hacemos que las configuraciones propias del usuario sean las de la GPO, unificando la configuracin para los usuarios a los que tenga alcance. Combinar Se combinarn ambas, las propias del usuario ms las que especifica la GPO; en caso de contradiccin en una poltica prevalece la de la GPO sobre las propias del usuario. As conseguimos que determinadas opciones sean iguales para todos los usuarios a los que alcance y que conserven sus configuraciones propias que no entren en conflicto con las de la GPO.
Herencia
Las GPOs se heredan
Las GPOs, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir: 1. Las OUs de primer nivel heredan del Dominio 2. Las OUs hijas heredan de las de primer nivel 3. Las OUs de nivel 3 heredan de las hijas . . . n-1. Las OUs de nivel n-1 heredan de las de nivel n-2 n. Las OUs de nivel n heredan de las de nivel n-1 Si nos fijamos en la figura 4, vemos que el dominio contiene a la OU-padre, sta a la OU-hija, que a su vez contiene a la OU-3 quien, por ltimo, contiene a la OU-4. En base a este ejemplo explicaremos la herencia.
En la siguiente tabla vemos qu poltica es asignada a cada contenedor; que quede bien claro que tan slo se ver, en la pestaa Directiva de grupo de las propiedades del contenedor, la GPO que le corresponde en la tabla: Contenedo r Dominio UO padre OU hija OU-3 OU-4 GPO asignada GPO del Dominio GPO padre GPO hija GPO 3 GPO 4
Segn esta relacin de contenedores y de GPOs, en la siguiente tabla vemos, marcado por X, qu GPOs afectan a qu contenedores; se ve claramente cmo son heredadas las GPOs por los contenedores: Dominio GPO Dominio GPO padre GPO hija GPO 3 GPO 4 del X OU padre X X OU hija X X X OU 3 X X X X OU 4 X X X X X
Si la casilla estuviese en la GPO hija en vez de en la padre: Dominio GPO Dominio GPO padre GPO hija GPO 3 GPO 4 del X OU padre X X X X X X X X OU hija OU 3 OU 4
Si estuviera activada en ambas: Dominio GPO Dominio GPO padre GPO hija GPO 3 GPO 4 del X X X X X X X X OU padre OU hija OU 3 OU 4
Hay que sealar que las polticas de grupo locales(las aplicadas en la misma mquina con gpedit.msc) no pueden ser bloqueadas.
De esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la GPO Padre el resultado sera: Dominio GPO Dominio GPO padre GPO hija GPO 3 GPO 4 del X OU padre X X OU hija X X X X X X X X OU 3 OU 4
Si activamos el bloqueo en la OU Hija y no reemplazar en la GPO del Dominio: Dominio GPO Dominio GPO padre GPO hija GPO 3 GPO 4 del X OU padre X X X X X X X X OU hija X OU 3 X OU 4 X
2. Por equipos: Se basa en vincular todas las GPOs al dominio en vez de a las OUs; el alcance de las GPOs se filtrar en base a grupos de seguridad. De esta forma se aplicarn una GPO a todos los usuarios pertenecientes a un grupo de seguridad determinado independientemente de la OU a la que pertenezcan. a. Ventajas: Se minimizan las vinculaciones de GPOs a OUs y se centraliza la administracin de las GPOs. b. Desventaja: El inicio de sesin ser ms lento cuantos ms equipos de trabajo existan. c. Adecuado: Para organizaciones en las que no corresponda el trabajo a realizar segn roles, sino segn tareas (por ejemplo, en un proyecto de desarrollo de software habr desarrolladores, comerciales, administrativos, directivos, etc., que necesitarn determinadas configuraciones comunes a ellos, como la carpeta del proyecto; un comercial puede estar en ms de un proyecto y necesitar acceso a las carpetas de los proyectos en los que est implicado). Tambin es adecuado cuando se quiere que la administracin de las polticas est centralizada y sea muy flexible a las cambiantes necesidades de la organizacin.
Qu estrategia seguir?
Estas estrategias que hemos descrito, no son ms que una categorizacin de estrategias segn las necesidades y prestaciones deseadas. Cada organizacin es un caso totalmente distinto, y por ello, cada organizacin deber llevar la estrategia que ms le convenga. En algunos casos la estrategia deseable ser alguna de las estrategias anteriores tal y como han sido descritas; en otras habrn de ser personalizadas y a veces habrn de mezclarse dos o ms de ellas, e incluso estando retocadas las integrantes de la mezcla.