gestion de directivas de grupo
TRANSCRIPT
Gestión de directivas de grupo
Introducción
• Políticas o directivas de grupo:– Configurar políticas de seguridad para bloqueo de
cuentas, contraseñas, Kerberos y auditoría.– Redireccionar carpetas especiales como
Documentos.– Bloquear configuraciones de escritorio.– Definir scripts de inicio y cierre de sesión y de
encendido y apagado de equipo.– Automatizar la instalación de software.– Mantener Internet Explorer y configurarlo.
Directivas locales y directivas de grupo en Active Directory
• Las directivas locales se almacenan en los equipos individuales y se aplican a cada equipo.
• Las directivas de grupo de AD (GPOs) se almacenan en la carpeta Sysvol. Al principio hay dos:– Default Domain Policy: se aplica a todas las
máquinas del dominio.– Default Domain Controllers Policy: se aplica a todos
los controladores de dominio.
Configuración de Políticas de Grupo
• Dos categorías:– Configuración de equipo. Se aplican a los equipos.– Configuración de usuario. Se aplican a los usuarios.
• Cada categoría tiene tres clases:– Configuración de software. Permite instalar/desinstalar software
en los equipos y mantenerlo.– Configuración de Windows. Permite gestionar configuraciones de
Windows, incluyendo scripts y seguridad.– Plantillas administrativas. Permite controlar la configuración del
registro que afecta al sistema operativo, componentes de Windows y algunas aplicaciones..
Crear y vincular una nueva GPO
Editar una GPO existente
Trabajar con las GPOs por defecto
• Como se ha mencionado, al instalar Active Directory se crean dos GPOs:– Default Domain Policy.– Default Domain Controllers Policy.
• Sólo debes editar la GPO Default Domain Policy para gestionar la configuración por defecto de ciertas cosas, como las cuentas de usuario.
• El resto de las directivas debes configurarlas en una GPO nueva y vincularlo al nivel que desees.
¿Qué editar en la GPO Default Domain Policy?
• Directiva de contraseñas.• Directiva de bloqueo de cuentas.• Directiva Kerberos.
¿Para qué usar la GPO Default Domain Controllers?
• Debes utilizar esta GPO solamente para establecer los derechos de usuario y las auditorías en los controladores de dominio.
• ¡Cuidado! Si mueves un controlador de dominio fuera de la Unidad Organizativa Domain Controllers, ya no se le aplicará la GPO Default Domain Controllers, por lo que se comportará de forma diferente al resto de controladores. Eso es malo, malo, malo.
Por lo tanto…
• Sólo debes mover un controlador de dominio fuera de su UO si sabes muy bien lo que estás haciendo y si tienes controlado qué va a pasar con las directivas de grupo sobre ese controlador.
Herencia de directivas de grupo
• Las GPO se pueden vincular a sitios, dominios y unidades organizativas. En función del nivel, unas directivas prevalecerán sobre otras.
• Las directivas se procesan en un determinado orden en función del nivel el que están vinculadas.
• Las directivas que se ejecutan más tarde son las que más prioridad tienen (porque tienen la última palabra).
Orden de aplicación de las directivas
Las directivas se procesan en el siguiente orden:1. Directivas locales.2. Directivas vinculadas al sitio.3. Directivas vinculadas al dominio.4. Directivas vinculadas a la UO.
Si en el mismo nivel hay varias, hay que especificar:
¿Y si se contradicen?
• Las directivas pueden diferentes valores:– No definido.– Habilitada / Deshabilitada.– Otros valores (como listas de grupos, por ejemplo).
• Entonces: si en una UO deshabilitamos “Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr”, pero en la Default Domain Policy está habilitada, ¿qué pasará?
• RESPUESTA: Los equipos dentro de esa UO no requerirán Ctrl+Alt+Supr para acceder a la pantalla de bienvenida, porque la GPO de la UO se ejecuta más tarde.
Entonces, ¿cómo sobreescribo la herencia?
• De dos formas:1. Deshabilitando una directiva que se hereda
habilitada.2. Habilitando una directiva que se hereda
deshabilitada.
¿Se puede bloquear la herencia?
• Sí, se puede. Si la herencia está bloqueada en un nivel, sólo las GPO de ese nivel se aplicarán, por lo que no se recibirán directivas de niveles superiores.
• Botón derecho en el nivel (dominio o UO) –> bloquear herencia.
¿Se puede evitar que bloqueen la herencia?
• También se puede. En este caso, las directivas de esa GPO se aplican forzosamente en todos los niveles inferiores.
• Botón derecho sobre la GPO -> Exigido.
¿Cuándo se procesan las directivas?
• Las directivas de configuración de equipo se aplican durante el arranque del sistema operativo.
• Las directivas de configuración de usuario se procesan cuando el usuario inicia sesión en un equipo.
Descripción detallada del proceso (1/4)
1. Cuando el equipo cliente arranca, pregunta al controlador de dominio por las directivas que se deben aplicar.
2. Aplicando lo que se explicó en “Orden de aplicación de las directivas”, el controlador de dominio calcula las directivas aplicables y se las envía al equipo cliente.
¿Mis directivas de equipo?
Toma tus directivas
Descripción detallada del proceso (2/4)
3. El equipo cliente procesa las directivas recibidas y ejecuta scripts de arranque si los hay.
Descripción detallada del proceso (3/4)
4. Cuando un usuario inicia sesión en el equipo, éste carga el perfil de usuario y pide al controlador de dominio una lista de las GPOs que se aplican al usuario.
Toma las GPOs para Carmen
¿Las GPOs para Carmen?
Yo soy CarmenYo soy Carmen
Descripción detallada del proceso (4/4)
5. Después de procesar las GPOs del usuario, el equipo ejecuta los scripts de inicio de sesión, si los hay.
6. Si el usuario sale de la sesión, se ejecutarán los scripts de cierre de sesión, si los hay.
7. Por último, si se apaga el equipo, se ejecutarán los scripts de apagado, si los hay.
Para practicar…
1. Haz que los miembros de Usuarios del dominio puedan iniciar sesión en los controladores de dominio.
2. Haz que las contraseñas no tengan que ser complejas.3. Haz que la vista del Panel de Control sea, por defecto,
una vista de iconos (pista: está en “plantillas administrativas”).
4. Impide que se eliminen los sitios web que el usuario visita en Internet Explorer.
5. Cambia la página principal de Internet Explorer y no permitas que los usuarios la cambien.