En esta entrada, vamos a tratar puntos esenciales en la administración de las políticas de grupo y las herramientas de la que disponemos nativamente en Windows Server 2003 para centralizar la administración y configuración de usuarios y equipos del dominio.
Antes de continuar un breve resumen de que son las políticas de grupo: Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando estos acceden a un equipo del dominio. Esto engloba las configuraciones del registro, políticas de seguridad, direccionamiento de recursos del dominio, etc.
Todos los sistemas WS2003 tienen una política local independientemente de si este pertenece a un dominio o no, y dicha política puede ser editada por el administrador del sistema para ajustarlo a unas determinadas necesidades. Ahora bien ¿Qué ocurre cuando tenemos que administrar las políticas de varios equipos?, pues para ello WS2003 ha integrado una herramienta dentro de la administración del Directorio Activo.
Dicha herramienta especifica las políticas mediante objetos de directorio denominados Objetos de Política de Grupo o simplemente GPOs. Un GPO contiene una serie de atributos que son vinculados a un conjunto de "contenedores" del Directorio Activo, de forma que tanto los usuarios como equipos se encuentran dentro del los mismos contenedores, y que reciben a su vez la configuraciones establecidas por los GPOs.
El sistema además tiene por defecto una serie de GPOs preconfigurados y vinculados a los contenedores que representan al dominio y a la unidad organizativa una vez hayamos creado nuestro dominio.
Dentro de cada GPO, las políticas se encuentran organizadas jerárquicamente en forma de "árbol" en los que debajo del nodo raíz se encuentran una series de nodos hijos. Los dos nodos más relevantes son los que separan las configuraciones para los equipos y los usuarios.
Dicho esto nos viene la pregunta ¿Y cómo se aplican las políticas de grupo?, resumiendo, las póliticas de grupos son heredables y acumulativas. Y se aplican siguiendo un estricto orden:
1. Se aplica la política de grupo local del equipo (denominada Local Group Policy
Object, o LGPO).
2. Se aplican los GPOs vinculados a sitios.
3. Se aplican los GPOs vinculados a dominios.
4. Se aplican los GPOs vinculados a unidades organizativas de primer nivel. En su
caso, posteriormente se aplicarían GPOs vinculados a unidades de segundo nivel, de tercer nivel, etc
Por tanto este orden decide la prioridad entre las distintas GPOs, puesto que una política que se aplica más tarde prevalece sobre otras establecidas anteriormente.
Aún así este comportamiento puede ser alterado mediante dos comandos:
-Forzado (Enforced).
-Bloquear herencia de directivas (Block policy inheritance).
Para terminar, decir que como todos los objetos que se encuentran en el Directorio Activo, los GPOs poseen listas de acceso (DACLs). Estas DACLs establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de los GPOs, esta asociación de permisos a grupos de usuarios (o grupos de seguridad) permite filtrar el ámbito de aplicación de un GPO y delegar su administración.
Otros puntos de interés a tener en cuenta respecto la las GPOs son:
-Uno de los permisos de cada GPO es "Aplicar Directiva" o "Aplicar".
-La delegación de administración de un GPO que comprende:
-Creación de un GPO.
-Vinculación de un GPO a un contenedor.
-Las principales políticas incluidas en un GPO se dividen en:
-Configuración de Software.
-Configuración de Windows.
-Plantillas Administrativas.
-Configuraciones de seguridad:
-Políticas de cuentas.
-Políticas Locales.
-Registro de Eventos.
-La instalación de software mediante el cual se puede Asignar o Publicar aplicaciones a equipos o a
usuarios en el dominio:
-Asignar.
-Publicar.
-El uso de "guiones" (Scripts) que se pueden asignar a equipos o usuarios y los cuales se clasifican en cuatro tipos distintos:
-Inicio.
-Apagado.
-Inicio de sesión.
-Cierre de sesión.
-Redirección de carpetas, etc.
No hay comentarios:
Publicar un comentario