Articles

Gestión de directivas de grupo

On noviembre 20, 2021 by

La directiva de grupo es una tecnología de gestión de Active Directory para Windows que proporciona una gestión centralizada de los ajustes de configuración. Aunque no es la única solución de gestión disponible -también se puede utilizar PowerShell Desired State Configuration (DSC) y Mobile Device Management (MDM)-, la directiva de grupo es la tecnología recomendada para los dispositivos cliente unidos a un dominio porque proporciona un control más granular que otras soluciones.

Consola de gestión de directiva de grupo

Los ajustes de la directiva de grupo se configuran en objetos de directiva de grupo (GPO). Puede vincular los GPO a dominios, sitios y unidades organizativas (OU). Para obtener un control aún mayor, los GPO se pueden aplicar según los resultados de los filtros de Windows Management Instrumentation (WMI), aunque los filtros WMI se deben utilizar con moderación porque pueden aumentar significativamente el tiempo de procesamiento de las políticas.

La Consola de administración de directivas de grupo (GPMC) es una herramienta de administración de Windows incorporada que permite a los administradores gestionar la directiva de grupo en un bosque de Active Directory y obtener datos para la solución de problemas de la directiva de grupo. Puede encontrar la Consola de administración de directivas de grupo en el menú Herramientas de Microsoft Windows Server Manager. No es una buena práctica utilizar los controladores de dominio para las tareas de gestión diarias, por lo que debe instalar las Herramientas de administración de servidores remotos (RSAT) para su versión de Windows.

Instalación de la Consola de administración de directivas de grupo

Si utiliza la versión 1809 o posterior de Windows 10, puede instalar GPMC mediante la app Configuración:

  1. Abra la app Configuración pulsando WIN+I.
  2. Haga clic en Aplicaciones en Configuración de Windows.
  3. Haga clic en Administrar características opcionales.
  4. Haga clic en + Añadir una característica.
  5. Haga clic en RSAT: Herramientas de administración de directivas de grupo y luego haga clic en Instalar.

Figura 1. Instalación de la consola de administración de directivas de grupo mediante la interfaz de la aplicación Setting

Si utiliza una versión anterior de Windows, tendrá que descargar la versión correcta de RSAT desde el sitio web de Microsoft.

Para mayor comodidad, es posible que desee instalar también Server Manager. Pero si decide no hacerlo, puede añadir GPMC a una consola de administración de Microsoft (MMC) y guardar la consola.

Uso de la consola de administración de directivas de grupo

Cada dominio de AD tiene dos GPO predeterminadas:

  • Directiva de dominio predeterminada, que está vinculada al dominio
  • Directiva de controladores de dominio predeterminada, que está vinculada a la OU del controlador de dominio

Puede ver todas las GPO de un dominio haciendo clic en el contenedor Objetos de directiva de grupo en el panel izquierdo de GPMC.

Figura 2. Interfaz de la consola de administración de directivas de grupo

Crear un nuevo objeto de directiva de grupo

No cambie ni la directiva de controladores de dominio predeterminada ni la directiva de dominio predeterminada. La mejor manera de añadir su propia configuración es crear un nuevo GPO. Hay dos maneras de crear un nuevo GPO:

  • Haga clic con el botón derecho del ratón en el dominio, sitio u OU al que desea vincular el nuevo GPO y seleccione Crear un GPO en este dominio y Vincularlo aquí… Cuando guarde el nuevo GPO, se vinculará y habilitará inmediatamente.
  • Haga clic con el botón derecho del ratón en el contenedor de objetos de directiva de grupo y seleccione Nuevo en el menú. Deberá vincular manualmente la nueva GPO haciendo clic con el botón derecho en un dominio, sitio u OU y seleccionando Vincular una GPO existente. Puede hacer esto en cualquier momento.

Independientemente de cómo cree un nuevo GPO, en el cuadro de diálogo Nuevo GPO debe dar un nombre al GPO y puede elegir basarlo en un GPO existente. Consulte la siguiente sección para obtener información sobre las demás opciones.

Editar un objeto de directiva de grupo

Para editar un GPO, haga clic con el botón derecho en él en GPMC y seleccione Editar en el menú. El Editor de gestión de directivas de grupo de Active Directory se abrirá en una ventana independiente.

Figura 3. Interfaz del Editor de administración de directivas de grupo

Las GPO se dividen en configuraciones de equipo y de usuario. Las configuraciones de equipo se aplican cuando se inicia Windows, y las configuraciones de usuario se aplican cuando un usuario inicia sesión. El procesamiento en segundo plano de las directivas de grupo aplica las configuraciones periódicamente si se detecta un cambio en un GPO.

Políticas frente a preferencias

Las configuraciones de usuario y de equipo se dividen a su vez en directivas y preferencias:

  • Las directivas no tatúan el registro: cuando se cambia una configuración de un GPO o el GPO queda fuera del ámbito de aplicación, se elimina la configuración de la directiva y se utiliza el valor original en su lugar. Los ajustes de las directivas siempre sustituyen a los ajustes de configuración de una aplicación y aparecerán en gris para que los usuarios no puedan modificarlos.
  • Las preferencias tatúan el registro de forma predeterminada, pero este comportamiento es configurable para cada ajuste de preferencia. Las preferencias sobrescriben los ajustes de configuración de una aplicación pero siempre permiten a los usuarios cambiar los elementos de configuración. Muchos de los elementos configurables en las Preferencias de la directiva de grupo son los que podrían haberse configurado previamente mediante un script de inicio de sesión, como las asignaciones de unidades y la configuración de impresoras.

Puede ampliar las directivas o las preferencias para configurar sus parámetros. Estas configuraciones se aplicarán entonces a los objetos de ordenador y usuario que entren en el ámbito del GPO. Por ejemplo, si vincula su nuevo GPO a la OU del controlador de dominio, la configuración se aplicará a los objetos de equipo y usuario ubicados en esa OU y en cualquier OU secundaria. Puede utilizar la configuración de Bloqueo de la herencia en un sitio, dominio u OU para impedir que los GPO vinculados a los objetos principales se apliquen a los objetos secundarios. También se puede establecer el indicador Enforced en GPO individuales, que anula el ajuste Block Inheritance y cualquier elemento de configuración en GPO que tenga mayor precedencia.

Precedencia de GPO

Se pueden vincular múltiples GPO a dominios, sitios y OU. Al hacer clic en uno de estos objetos en GPMC, aparecerá una lista de GPO vinculadas a la derecha en la pestaña Objetos de directiva de grupo vinculados. Si hay más de un GPO vinculado, los GPO con un número de orden de enlace más alto tienen prioridad sobre los ajustes configurados en los GPO con un número más bajo.

Puede cambiar el número de orden de enlace haciendo clic en un GPO y utilizando las flechas de la izquierda para moverlo hacia arriba o hacia abajo. La pestaña Herencia de políticas de grupo mostrará todas las GPO aplicadas, incluidas las heredadas de los objetos padre.

Figura 4. Información sobre todos los GPO aplicados en GPMC

Administración avanzada de directivas de grupo

Administración avanzada de directivas de grupo (AGPM) está disponible como parte del Microsoft Desktop Optimization Pack (MDOP) para los clientes de Software Assurance. A diferencia de GPMC, AGPM es una aplicación cliente/servidor en la que el componente servidor almacena los GPO sin conexión, incluyendo un historial para cada GPO. Los GPO gestionados por AGPM se denominan GPO controlados porque son gestionados por el servicio AGPM y los administradores pueden comprobar su entrada y salida, de forma similar a como se pueden comprobar los archivos o el código dentro y fuera de GitHub o de un sistema de gestión de documentos.

AGPM proporciona un mayor control sobre los GPO que es posible con GPMC. Además de proporcionar control de versiones, permite asignar roles como revisor, editor y aprobador a los administradores de políticas de grupo, lo que ayuda a implementar un estricto control de cambios durante todo el ciclo de vida de las GPO. La auditoría de AGPM también ofrece una mayor visión de los cambios de la directiva de grupo.

Consultor de TI y autor especializado en tecnologías de gestión y seguridad. Russell tiene más de 15 años de experiencia en TI, ha escrito un libro sobre seguridad en Windows y es coautor de un texto para la serie de cursos académicos oficiales de Microsoft (MOAC).

Deja una respuesta

Tu dirección de correo electrónico no será publicada.