GPO : Group Policy Objects
Las políticas de grupo son un método para controlar qué pueden hacer y qué no tanto usuarios como equipos. P.e. Se puede configurar el firewall del equipo, controlar el acceso del usuario al panel de control, determinar la ubicación del perfil de usuario ...
Hay dos tipos de Group Policies:
- local
- non-local
Las políticas locales podemos encontrarlas en cualquier equipo con Windows instalado, y podemos acceder a ellas mediante el comando gpedit.msc
Las non-local están en el dominio. Hablamos de ellas como GPO: Group Policies Objects (Objetos de políticas de grupo) y se almacenan en un contenedor especial del AD. Para ver ese contenedor desde la consola de AD Users and Computers (dsa.msc), hay que activar las “Advanced Features”, y lo encontraremos en: System → Policies:
Una política tiene una parte de configuración del equipo, y otra de configuración de usuario.
Las configuraciones de equipo se ejecutan al arrancar el equipo y con independencia del usuario que se valide en el equipo.
Las configuraciones de usuario se aplican con independencia del equipo en que se valide el usuario, y se aplican al iniciar sesión.
Los ficheros que almacenan las políticas están en la carpeta :
c:\windows\sysvol\sysvol\<nombre_dominio>\policies
La carpeta c:\windows\sysvol\sysvol\ es una carpeta compartida y se trata de un DFS (Distributed FileSystem) de modo que se replica entre todos los Domain Controller (DC). Por eso todos los equipos del dominio pueden acceder a las políticas y éstas son homogéneas en todo el dominio.
Dado que las políticas se pueden aplicar a diferentes niveles, existe un orden en la aplicación de políticas de modo que las políticas que se aplican más tarde pueden sobreescribir configuraciones establecidas por otras anteriores.
Orden de aplicación de políticas:
- local policies
- site policies
- domain policies
- OU policies
Así si p.e. si configuramos el firewall a nivel de dominio para todos los equipos del dominio, podemos modificar esa configuración para una OU en concreto creando una nueva política para esa OU que sobreescriba esa configuración de firewall.
Además, las configuraciones de usuario sobreescriben las configuraciones de equipo.
Estados de una política:
Una política tiene 3 estados:
No configurada | Not configured |
Habilitada | Enabled |
Deshabilitada | Disabled |
No configurada
Si no está configurada significa que no realiza ningún cambio sobre ese aspecto. Es la opción por defecto.
Habilitada:
If you enable a policy setting, you are enabling the action of the policy setting.
For example, to revoke someone’s access to Control Panel, you enable the
policy setting Prohibit access to the Control Panel.
Deshabilitada:
Deshabilitar una política significa negar la acción que la describe.
Por ejemplo:
Por defecto un usuario puede acceder al panel de control, y por eso no es necesario deshabilitar la política: Prohibit access to the Control Panel para que pueda acceder al panel de control. Ahora bien, si previamente, en un nivel superior hemos habilitado una política que prohíbe el acceso al panel de control, y queremos habilitarlo en un nivel inferior, tendremos que deshbilitar la política.
Recomendaciones de uso
La recomendación de Microsoft es crear políticas bastante específicas, y aplicar tantas como sean necesarias antes que crear grandes políticas que configuren muchos aspectos.
Además, dado que las políticas están contenidas en ficheros, podemos ajustar los permisos sobre ellas de forma evitar su aplicación a usuarios que no toque.
Herramientas disponibles
Gpupdate:
En Windows 2000, en lugar de gpupdate, se usa secedit.
Su uso es:
Se trata de una utilidad de línea de comandos que permite refrescar las políticas de AD que se aplican sobre una máquina. En caso contrario, las políticas se refrescan por defecto cada 90mn.
Las opciones más habituales son:
/force: fuerza el refresco de todas las políticas, y no sólo de aquellas que han sido modificadas (comportamiento por defecto)
/target: permite refrescar sólo las políticas de equipo o las de usuario.
Gpresult:
Informa de las políticas que se aplican sobre un usuario o equipo. Su sintaxis es:
En palabras de microsoft:
The gpresult command displays Group Policy settings and Resultant Set of
Policy (RSoP) data for a user or a computer. You can use gpresult to see what
policy setting is in effect and to troubleshoot problems.
Algunos ejemplos de uso son:
C:\gpresult /user targetusername /scope computer
C:\gpresult /s srvmain /u maindom/hiropln /p p@ssW23 /user targetusername /scope USER
C:\gpresult /s srvmain /u maindom/hiropln /p p@ssW23 /user targetusername /z >policy.txt
C:\gpresult /s srvmain /u maindom/hiropln /p p@ssW23
GPMC:
Una nueva consola para la gestión de los GPO disponible a partir de windows 2003 R2. Está disponible para su descarga de la web de microsoft.
