Diferencia entre revisiones de «Objeto de directiva de grupo»
(Página creada con ' {{Definición |nombre=Directiva de grupo |imagen= |tamaño= |concepto= Es lo que utiliza el servicio de directorio de Active Directory para gestión de usuarios y equipos en l...') (Etiqueta: nuestro-nuestra) |
(→Objetos de los contenedores de las GPO’s) (Etiqueta: nuestro-nuestra) |
||
| (No se muestran 6 ediciones intermedias de 3 usuarios) | |||
| Línea 1: | Línea 1: | ||
| − | + | {{Definición | |
|nombre=Directiva de grupo | |nombre=Directiva de grupo | ||
|imagen= | |imagen= | ||
|tamaño= | |tamaño= | ||
|concepto= Es lo que utiliza el servicio de directorio de Active Directory para gestión de usuarios y equipos en la red. | |concepto= Es lo que utiliza el servicio de directorio de Active Directory para gestión de usuarios y equipos en la red. | ||
| − | }} | + | }}<div align=justify> |
| − | + | '''Objeto de directiva de grupo''' (GPO: Group Policy Object). Es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. | |
==Conocimientos fundamentales de la directiva de grupo== | ==Conocimientos fundamentales de la directiva de grupo== | ||
| − | + | * Cuando se usan directivas de grupo, puede definirse el estatus del entorno de trabajo de un usuario una vez, y confiar en que [[Windows Server 2003]] aplicará constantemente los valores configurados de la directiva definida. | |
| − | + | * La directiva puede ser aplicada a través de una organización entera, o, sólo a usuarios, grupos o equipos específicos. | |
| − | |||
| − | |||
| − | |||
==Tipos troncales de directivas== | ==Tipos troncales de directivas== | ||
| − | |||
Podemos definir dos categorías de tipos troncales de directivas: | Podemos definir dos categorías de tipos troncales de directivas: | ||
| − | ===Según | + | ===Según su función=== |
| − | Existen | + | Existen dos tipos troncales de directivas según su función: |
| − | * | + | * Directivas de seguridad: ¿Cuántos caracteres tiene una contraseña? ¿Cada cuanto tiempo debe ser cambiada ésta?, etc. Pueden ser aplicadas: |
| − | A | + | ** A nivel de dominio: Son aplicadas en todas las máquinas del dominio. |
| − | + | ** A nivel de controladores de dominio: Se aplican tan sólo en los controladores de dominio, pero sin suplantar a las del dominio en caso de entrar en contradicción una y otra, se aplica la del dominio, no la de los controladores de dominio). | |
| − | A | + | * Directivas de Entorno (GPO -> Group Policy Object): ¿Quién tiene acceso al panel de control? ¿Cuál es el tamaño máximo delarchivo de registro de sistema? Pueden ser aplicadas: |
| − | + | ** Nivel de equipo local | |
| − | * | + | ** Nivel de sitio |
| + | ** Nivel de dominio | ||
| + | ** Nivel de Unidad Organizativa (OU -> Organizational Unit). | ||
| + | |||
| + | ===Directivas según el objeto al que configuran=== | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Respecto al objeto al que configuran también son dos: | Respecto al objeto al que configuran también son dos: | ||
| + | * Configuración del equipo: que se divide en: | ||
| + | * Configuración de [[software]] | ||
| + | * Configuración de [[Windows]] | ||
| + | * Plantillas administrativas | ||
| + | * Configuración del usuario, que al igual que la de [[Windows]] se divide en: | ||
| + | * Configuración de software | ||
| + | * Configuración de Windows | ||
| + | * Plantillas administrativas | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
==Objetos de los contenedores de las GPO’s== | ==Objetos de los contenedores de las GPO’s== | ||
| − | |||
Las GPO’s pueden estar contenidas en cuatro tipos de objetos: | Las GPO’s pueden estar contenidas en cuatro tipos de objetos: | ||
| − | Equipos | + | Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer). |
Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan. | Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan. | ||
| Línea 60: | Línea 45: | ||
Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio. | Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio. | ||
| − | Unidades | + | [[Unidades Organizativas]] de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU). |
==Crear, quitar o eliminar una GPO== | ==Crear, quitar o eliminar una GPO== | ||
| Línea 84: | Línea 69: | ||
La pestaña “Seguridad” nos permite realizar dos tareas con las GPO’s: | La pestaña “Seguridad” nos permite realizar dos tareas con las GPO’s: | ||
| − | |||
Filtrar el alcance de la GPO, permitiendo que sea sólo aplicada a los usuarios, equipos, grupos y/o Principios de seguridad incorporados (objetos “Builtin”, etc.). | Filtrar el alcance de la GPO, permitiendo que sea sólo aplicada a los usuarios, equipos, grupos y/o Principios de seguridad incorporados (objetos “Builtin”, etc.). | ||
Delegar el control de la GPO, permitiendo así la modificación, etc., a determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados. | Delegar el control de la GPO, permitiendo así la modificación, etc., a determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados. | ||
| + | |||
* Pestaña “Filtro WMI” | * Pestaña “Filtro WMI” | ||
| − | |||
La pestaña “[[Filtro WMI]]” nos permite filtrar el alcance de la GPO en función a características de los equipos que están dentro del alcance de la GPO. Para acceder a estas características se utilizan búsquedas WQL, el lenguaje de búsqueda en WMI basado en SQL. Sólo se puede aplicar un filtro WMI a una GPO, filtro WMI que consiste en una o más búsquedas WQL. Al igual que pasaba con los permisos establecidos en la pestaña seguridad, el filtro es aplicado a toda la GPO, no se puede aplicar a determinadas directivas solamente. | La pestaña “[[Filtro WMI]]” nos permite filtrar el alcance de la GPO en función a características de los equipos que están dentro del alcance de la GPO. Para acceder a estas características se utilizan búsquedas WQL, el lenguaje de búsqueda en WMI basado en SQL. Sólo se puede aplicar un filtro WMI a una GPO, filtro WMI que consiste en una o más búsquedas WQL. Al igual que pasaba con los permisos establecidos en la pestaña seguridad, el filtro es aplicado a toda la GPO, no se puede aplicar a determinadas directivas solamente. | ||
| − | + | ==Tipos de diseños de la GPO’s== | |
| − | |||
Tenemos tres tipos de diseños de GPO’s según las políticas que configuran: | Tenemos tres tipos de diseños de GPO’s según las políticas que configuran: | ||
| − | GPO de directiva única: cuando está orientada a un solo tipo de configuración (por ejemplo propiedades de Active Desktop). Es adecuado para organizaciones que delegan responsabilidades administrativas en muchos usuarios. | + | *GPO de directiva única: cuando está orientada a un solo tipo de configuración (por ejemplo propiedades de Active Desktop). Es adecuado para organizaciones que delegan responsabilidades administrativas en muchos usuarios. |
| + | |||
| + | *GPO de directiva múltiple: cuando está orientada a varios tipos de configuración (por ejemplo, configuración de IE, de explorador de Windows, de instalación de software, etc.). Adecuado para organizaciones en las que la administración esté centralizada. | ||
| − | + | *GPO de directiva dedicada: cuando configura sólo políticas de equipo o de usuario. Aumenta el número de GPO’s a ser procesadas en el inicio de sesión, alargando éste, pero es útil para aislar los problemas en la aplicación de una GPO. | |
| − | |||
| − | |||
==Fuente== | ==Fuente== | ||
| − | |||
* Libros en línea de Windows 2000 Resource Kit | * Libros en línea de Windows 2000 Resource Kit | ||
* Ayuda de Windows 2000 | * Ayuda de Windows 2000 | ||
* “Microsoft Windows 2000 Active Directory Services. Curso oficial de certificación MCSE” de la editorial Mc Graw Hill ISBN: 84-481-2889-3 | * “Microsoft Windows 2000 Active Directory Services. Curso oficial de certificación MCSE” de la editorial Mc Graw Hill ISBN: 84-481-2889-3 | ||
| − | * http://technet.microsoft.com/es-es/library/cc179081.aspx#create_GPO | + | == Enlaces externos== |
| − | + | * Artículo: [http://technet.microsoft.com/es-es/library/cc179081.aspx#create_GPO Crear un GPO]. Disponoble en: "technet.microsoft.com". Consultado: 13 de septiembre de 2011. | |
| − | * http://msmvps.com/blogs/juansa/archive/2006/07/28/106062.aspx | + | * Artículo: [http://msmvps.com/blogs/juansa/archive/2006/07/28/106062.aspx Directivas de Grupo - Group Policy - GPO]. Disponoble en: "msmvps.com". Consultado: 13 de septiembre de 2011. |
[[Category:Redes_informáticas]] | [[Category:Redes_informáticas]] | ||
última versión al 19:50 10 abr 2012
| ||||
Objeto de directiva de grupo (GPO: Group Policy Object). Es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta.
Sumario
Conocimientos fundamentales de la directiva de grupo
- Cuando se usan directivas de grupo, puede definirse el estatus del entorno de trabajo de un usuario una vez, y confiar en que Windows Server 2003 aplicará constantemente los valores configurados de la directiva definida.
- La directiva puede ser aplicada a través de una organización entera, o, sólo a usuarios, grupos o equipos específicos.
Tipos troncales de directivas
Podemos definir dos categorías de tipos troncales de directivas:
Según su función
Existen dos tipos troncales de directivas según su función:
- Directivas de seguridad: ¿Cuántos caracteres tiene una contraseña? ¿Cada cuanto tiempo debe ser cambiada ésta?, etc. Pueden ser aplicadas:
- A nivel de dominio: Son aplicadas en todas las máquinas del dominio.
- A nivel de controladores de dominio: Se aplican tan sólo en los controladores de dominio, pero sin suplantar a las del dominio en caso de entrar en contradicción una y otra, se aplica la del dominio, no la de los controladores de dominio).
- Directivas de Entorno (GPO -> Group Policy Object): ¿Quién tiene acceso al panel de control? ¿Cuál es el tamaño máximo delarchivo de registro de sistema? Pueden ser aplicadas:
- Nivel de equipo local
- Nivel de sitio
- Nivel de dominio
- Nivel de Unidad Organizativa (OU -> Organizational Unit).
Directivas según el objeto al que configuran
Respecto al objeto al que configuran también son dos:
- Configuración del equipo: que se divide en:
- Configuración de software
- Configuración de Windows
- Plantillas administrativas
- Configuración del usuario, que al igual que la de Windows se divide en:
- Configuración de software
- Configuración de Windows
- Plantillas administrativas
Objetos de los contenedores de las GPO’s
Las GPO’s pueden estar contenidas en cuatro tipos de objetos:
Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer).
Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan.
Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.
Unidades Organizativas de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).
Crear, quitar o eliminar una GPO
Qué mejor forma de ver cómo se crea una GPO que poniendo un caso práctico. Vamos a obligar a los usuarios del dominio a hacer CTRL+ALT+SUPR para poder iniciar sesión. Para ello abrimos “Usuarios y Equipos de Active Directory”. Hacemos clic derecho sobre el nodo con el nombre del dominio y pulsamos “Propiedades”:
En la ventana que se abre pulsamos la pestaña “Directiva de Grupo”:
Pulsando el botón “Nueva” se creará una nueva GPO debajo de la “Default Domain Policy” a la que llamaremos “Pulsar CTRL+ALT+SUPR”.
Si ahora seleccionamos la nueva GPO y pulsamos SUPR en el teclado podríamos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podrá ser utilizada más adelante o en otro contenedor; eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos “Cancelar”
Ya tenemos creada la GPO; ahora debemos modificar la política para que obligue a los usuarios del dominio a hacer CTRL+ALT+SUPR para iniciar sesión en los equipos.
Propiedades de una GPO
Accedemos a las propiedades de la GPO pulsando el botón “Propiedades” de la pestaña “Directiva de grupo” de las propiedades de un contenedor. En la ventana de propiedades encontramos tres pestañas:
Pestaña General: Muestra información sobre la GPO y permite deshabilitar toda la rama de configuración del equipo y/o toda la rama de configuración de usuario. Esto sirve para agilizar la aplicación de la GPO, mejorando el rendimiento. Como en nuestro caso la política que obliga a hacer CTRL+ALT+SUPR para iniciar sesión es una configuración de equipo, podremos marcar la casilla que deshabilita los parámetros de configuración de usuario.
Pestaña: Vínculos:Permite buscar los sitios, dominios y OU’s en los que está agregada la GPO. Con el desplegable “Dominio” podemos seleccionar el dominio del bosque en el que buscamos.
Pestaña “Seguridad”
La pestaña “Seguridad” nos permite realizar dos tareas con las GPO’s: Filtrar el alcance de la GPO, permitiendo que sea sólo aplicada a los usuarios, equipos, grupos y/o Principios de seguridad incorporados (objetos “Builtin”, etc.).
Delegar el control de la GPO, permitiendo así la modificación, etc., a determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados.
- Pestaña “Filtro WMI”
La pestaña “Filtro WMI” nos permite filtrar el alcance de la GPO en función a características de los equipos que están dentro del alcance de la GPO. Para acceder a estas características se utilizan búsquedas WQL, el lenguaje de búsqueda en WMI basado en SQL. Sólo se puede aplicar un filtro WMI a una GPO, filtro WMI que consiste en una o más búsquedas WQL. Al igual que pasaba con los permisos establecidos en la pestaña seguridad, el filtro es aplicado a toda la GPO, no se puede aplicar a determinadas directivas solamente.
Tipos de diseños de la GPO’s
Tenemos tres tipos de diseños de GPO’s según las políticas que configuran:
- GPO de directiva única: cuando está orientada a un solo tipo de configuración (por ejemplo propiedades de Active Desktop). Es adecuado para organizaciones que delegan responsabilidades administrativas en muchos usuarios.
- GPO de directiva múltiple: cuando está orientada a varios tipos de configuración (por ejemplo, configuración de IE, de explorador de Windows, de instalación de software, etc.). Adecuado para organizaciones en las que la administración esté centralizada.
- GPO de directiva dedicada: cuando configura sólo políticas de equipo o de usuario. Aumenta el número de GPO’s a ser procesadas en el inicio de sesión, alargando éste, pero es útil para aislar los problemas en la aplicación de una GPO.
Fuente
- Libros en línea de Windows 2000 Resource Kit
- Ayuda de Windows 2000
- “Microsoft Windows 2000 Active Directory Services. Curso oficial de certificación MCSE” de la editorial Mc Graw Hill ISBN: 84-481-2889-3
Enlaces externos
- Artículo: Crear un GPO. Disponoble en: "technet.microsoft.com". Consultado: 13 de septiembre de 2011.
- Artículo: Directivas de Grupo - Group Policy - GPO. Disponoble en: "msmvps.com". Consultado: 13 de septiembre de 2011.
