¡Hola a todos!
En ésta entrada veremos un poco de información básica sobre las directivas (o políticas) de grupo. ¿Qué es Directiva de Grupo? Es una de las características que vienen dentro de la familia de Windows Server; básicamente, es un conjunto de reglas que controlan el medio ambiente de trabajo de cuentas de usuario y cuentas de equipo, lo cual permite una gestión centralizada y configuración de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory.
En pocas palabras, controla lo que los usuarios pueden y no pueden hacer en un sistema informático; A menudo, se utiliza para restringir ciertas acciones que pueden presentar riesgos de seguridad potenciales, por ejemplo:
- Bloquear el acceso al Administrador de tareas.
- Restringir el acceso a determinadas carpetas.
- Deshabilitar la descarga de archivos ejecutables.
- Establecer un papel tapiz estándar en los equipos, etc.
Tomar en cuenta que los valores de configuración de directiva de grupo que cree se guardan en un GPO (Group Policy Object); para crear y editar un GPO, se debe de usar la Consola de administración de directivas de grupo (GPMC). Las GPO se pueden vincular con:
- Sitios
- Dominios
- UO (Unidades Organizativas)
¿Qué necesito para implementar GPO’s? Tener un claro entendimiento de las necesidades empresariales, además de saber los acuerdos de nivel de servicio (SLA – Contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio); también, los requisitos de seguridad, red y TI de la organización.
Requisitos administrativos de la directiva de grupo:
- Debe de contar con un Controlador de Dominio (Active Directory) en el servidor.
- Las directivas de grupo de equipos se aplican al iniciar Windows.
- Las directivas de grupo de usuario se aplican al iniciar sesión.
- Los clientes actualizan la configuración de directiva cada 90 minutos aproximadamente (por defecto).
- Algunos ajustes sólo se aplican durante el reinicio o inicio de sesión del usuario de la computadora.
- Los equipos de escritorio y servidor de destino deben ejecutar las versiones de Windows:
- Servidor: Windows Server desde 2003 – 2016
- Clientes: Windows XP a 10.
- En Windows XP y 7 algunas características no funcionarán bien dependiendo del nivel del bósque. La mayoría sí.
Alguans características del GPMC:
- Importar y exportar GPO.
- Copiar y pegar GPO.
- Realizar copias de seguridad y restaurar GPO.
- Buscar GPO existentes.
- Creación de informes de la configuración de GPO y datos RSoP en formato HTML que se pueden guardar e imprimir.
- Interfaces que admiten scripts y permiten todas las operaciones que están disponibles en GPMC.
¿Qué son las Directivas? Son plantillas administrativas con interfaces y valores; Realizan cambios en el registro de los clientes Windows según las indicaciones de la plantilla. Dos tipos de Directivas:
- Equipo (HKLM)
- Usuario (HKCU)
¿Qué son Preferencias? Fueron introducidas desde MS Windows 2008, las cuales proporcionan una alternativa al uso de scripts para realizar tareas comunes (no eran fáciles de hacer en las Directivas). Permiten modificar valores del Registro Local, grupos y usuarios locales, archivos y carpetas, impresoras, servicios locales, unidades de red, y otros muchos valores locales.
¿Cuál es la diferencia entre Directivas y Preferencias? Las Preferencias NO son obligatorias. Los usuarios pueden realizar cambios, pero requieren algún tipo de credenciales administrativas.
A continuación, vídeo tutorial que muestra cómo crear algunas de las GPO más comunes. El Windows Server utilizado es 2008, pero es idéntico el procedimiento hasta para 2016, solo hay un par de directivas que están en diferente ubicación.
Creación de directivas de grupo y preferencias (Usuario).
Según el vídeo mostrado, a continuación una breve descripción de cada política.
- Tapiz del escritorio.
- Especifica el fondo de escritorio que se mostrará en los escritorios de los usuarios en la UO.
- Ubicación: Configuración de usuario → Directivas → Plantillas administrativas → Active Desktop → Active Desktop
- Redirección de carpetas: Escritorio
- Con esto, la información almacenada en el Escritorio del usuario será copiado a la ubicación que nosotros establezcamos. En nuestro caso, se copiará en un recurso compartido del servidor.
- Ubicación: Configuración de usuario → Directivas → Configuración de Windows → Redirección de carpetas
- Configuración de los servidores proxy (Preferencia).
- Hay empresas en donde la navegación de Internet es permitido únicamente mediante el proxy http. En éstos casos, nos interesaría configurar de forma desatendida dicho proxy en las estaciones de trabajo de los usuarios. Aplica únicamente para Internet Explorer.
- Ubicación: Configuración de usuario → Preferencias → Configuración de panel de control → Configuración de Internet
- Desactivar Reproducción automática.
- Cuando se conecta una memoria USB o un CD/DVD en el lector del equipo, generalmente se habré una ventana para la “Reproducción automática”, pero muchos virus (más que todo en memorias USB) se pueden ejecutar mediante ésta reproducción automática. Es mejor desactivarla para todos los usuarios de la UO.
- Ubicación: Configuración de usuario → Directivas → Plantillas administrativas → Componentes de Windows → Directivas de reproducción automática
- Prohibir el acceso al Panel de Control.
- Por cuestiones de seguridad y de integridad del equipo, se desactiva el panel de control para el usuario final de tal manera no pueda cambiar configuraciones y dejar que ésta sea una tarea netamente del departamento TI.
- Ubicación: Configuración de usuario → Directivas → Plantillas administrativas → Panel de control
- Quitar opción Cambiar contraseña.
- Con ésta opción se asegura que el usuario no estará cambiando su contraseña únicamente cuando la política de complejidad de contraseña lo establezca.
- Ubicación: Configuración de usuario → Directivas → Plantillas administrativas → Sistema → Opciones de Ctrl+Alt+Supr
- Accesos directos.
- Crear un acceso directo en el escritorio de los usuarios de la UO.
- Ubicación: Configuración de usuario → Preferencias → Accesos Directos
Creación de directivas de grupo (Equipo)
- Directivas o Preferencias a implementar.
- La contraseña debe cumplir los requisitos de complejidad
Solo por efectos de práctica, se realizará para poder colocar contraseñas simples a los equipos de ésta UO. No es lo más recomendado. - Ubicación: Configuración del equipo → Directivas → Configuración de Windows → Configuración de seguridad → Directiva de cuenta → Directiva de contraseñas
- La contraseña debe cumplir los requisitos de complejidad
- Servicios del sistema.
- Si se ha creado un servicio institucional y se desea configurar de forma desatendida, se deberá de configurar dicha directiva. En nuestro caso, el servicio “Temas” se dejará para ver cómo funciona.
- Ubicación: Configuración del equipo
Directivas → Configuración de Windows → Configuración de seguridad → Servicios del sistema
- Deshabilitar la página Conexiones.
- Quita la ficha conexiones de la interfaz en el cuadro de dialogo “Opciones de Internet”.
- Ubicación: Configuración del equipo → Directivas → Plantillas administrativas → Componentes de Windows → Internet Explorer → Panel de control Internet
- Asistencia remota solicitada.
- Para obligar la configuración de permitir asistencia remota en las máquinas de los clientes (usuarios de la UO)
- Ubicación: Configuración del equipo → Directivas → Plantillas administrativas → Sistema → Asistencia remota
Comprobación de políticas de usuario y equipo.
Se debe de unir al dominio el equipo Windows donde se harán las pruebas, el objeto de AD computadora debe de estara en la UO respectiva donde se creó la GPO para Equipos y, el usuario con el que se deberá de iniciar sesión, deberá estar en la UO donde se dcreó la GPO para Usuarios.
Deberá, entonces, iniciar sesión con un usuario al que se le debería de aplicar las políticas de grupo y verificar que todas las directivas y preferencias sean ejecutadas correctamente.
Para poder forzar que se apliquen las políticas de grupo, se puede recurrir al comando siguiente desde CMD:
gpupdate /force
y para verificar si se ha aplicado la directiva, se puede recurrir al comando:
gpresult /h reporte.html
Si abrimos el archivo generado, veremos qué GPO’s se aplicaron, cuales no, y los detalles.
Espero que les sea de utilidad. Hay cientos de directivas y preferencias que se pueden hacer, pero éste es un vistazo rápido de lo que se puede hacer. ¡Saludos!
Que buena onda camañe.. me re sirvio para refrescar el mate.
que buena informacion socio
De nada, saludos!