4.Administración de Políticas de Grupo.
4.1.Introdución
Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando se conectan a una máquina del dominio. Estos aspectos incluyen configuraciones del registro, políticas de seguridad, instalación automática de software, ejecución de scripts, etc.
4.2.Objeto de Política de Grupo
Permite facilitar el trabajo al administrador de la red ya que permite establecer el comportamiento de los equipos de los clientes sin tener que configurar uno por uno cada máquina.
En concreto, las políticas se especifican mediante objetos de directorio denominados Objetos de Política de Grupo o GPOs. Los GPOs o Directivas se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs. De esta forma asignamos a cada usuario o grupo de usuarios las funciones que queremos que desempeñen en el sistema. Cuando instalamos el servicio en nuestro sistema se nos crea unas unidades organizativas por defecto (Builtin, Users, Computers) pero no se les pueden asociar GPOs, por lo tanto a la hora de crear un dominio debemos crear una estructura addecuada de Unidades Organizativas y distribuir en ella los usuarios y equipos de la red.
Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático con dos nodos para equipos y usuarios:
- La configuración del equipo agrupan todos aquellos parámetros de configuración que pueden establecerse a nivel de equipo.
- Las configuración de usuario agrupan los parámetros de configuración que pueden establecerse a nivel de usuario.
4.3.Aplicación de Políticas de Grupo.
Así se aplican las políticas de grupo:
- Un mismo GPO puede contener indistintamente parámetros o políticas de configuración que deben aplicarse a equipo y a usuarios.
- Cada GPO se vincula a un contenedor del directorio activo (un sitio, un dominio o una unidad organizativa), afectando implícitamente a todos los objetos que residen en él
- Un mismo GPO puede vincularse a múltiples contenedores y un contenedor puede tener vinculados múltiples GPOs
Hay que seguir un orden a la hora de establecer las Políticas de Grupo ya que pueden darse conflictos al contradecirse, que afecten a usuarios o grupos. Tendríamos que empezar por establecer la Política de Grupo del Equipo Local y terminaríamos por establecer los grupos a las unidades organizativas y posteriormente a las unidades de segundo y tercer nivel.
4.4.Políticas de Grupo y grupos de seguridad.
4.4.1.Filtrar el ámbito de aplicación de un GPO.
4.4.2.Delegar la Administración de un GPO.
Cualquier usuario o grupo que tenga concedido el permiso de Control Total sobre un GPO puede administrarlo. Por defecto, lo tienen el grupo de Administración de Empresas, Administradores de Dominio, el creador del GPO y el Sistema
4.5. Principales políticas incluidas en un GPO.
Como se ha visto en previamente, cada GPO consta de un árbol de políticas, subdividido
en su nivel más alto en dos subárboles denominados Configuración de equipo y Configuración de usuario. La jerarquía de políticas en cada uno de ellos se subdivide en tres grupos:
en su nivel más alto en dos subárboles denominados Configuración de equipo y Configuración de usuario. La jerarquía de políticas en cada uno de ellos se subdivide en tres grupos:
1. Configuración de Software (Software Settings). Contiene la configuración, bien del equipo o bien de usuario, de la instalación automática de software.
2. Configuración de Windows (Windows Settings). Contiene la configuración de ciertos parámetros de Windows, como parámetros de seguridad o scripts, para el equipo o para el usuario.
3. Plantillas Administrativas (Administrative Templates). Contiene las políticas y configuraciones que se guardan en el registro de Windows, para el equipo o para el usuario.
A continuación se exponen los grupos de políticas más importantes que pueden configurarse mediante un GPO, independientemente de su ubicación concreta dentro de la jerarquía.
4.5.1. Plantillas administrativas.
Este grupo contiene todas las configuraciones de políticas basadas en el registro de
Windows 2003, incluyendo aquellas que controlan el funcionamiento y aparienciadel escritorio, de los componentes de Windows Server 2003 y de algunas aplicaciones que utilizan estas políticas. Por defecto,
todas las políticas que pueden seleccionarse bajo el apartado de Plantillas Administrativas de un GPO son verdaderas.
Windows 2003, incluyendo aquellas que controlan el funcionamiento y aparienciadel escritorio, de los componentes de Windows Server 2003 y de algunas aplicaciones que utilizan estas políticas. Por defecto,
todas las políticas que pueden seleccionarse bajo el apartado de Plantillas Administrativas de un GPO son verdaderas.
4.5.2. Configuraciones de seguridad.
En este apartado se encuentra la configuración de muchos de los aspectos de seguridad que pueden establecerse en un sistema Windows Server 2003. Aspectos de seguridad a nivel de equipo,podemos destacar:
1. Políticas de Cuentas. Se pueden configurar todos los aspectos sobre el plan de cuentas , “Otras directivas de seguridad”, tales como caducidad de contraseñas, bloqueo de cuentas, configuración de Kerberos,etc.
2. Políticas Locales. Bajo este apartado se encuentran las configuraciones que corresponden
a la denominada "Directiva local", “Otras directivas de seguridad”, es decir, la configuración de la auditoría, la asignación de derechos y privilegios de usuario y las opciones de seguridad.
3. Registro de Eventos. Aquí se controla el registro de eventos en los registros de aplicación, seguridad y sistema, que posteriormente pueden visualizarse con la herramienta Visor de Sucesos.
2. Políticas Locales. Bajo este apartado se encuentran las configuraciones que corresponden
a la denominada "Directiva local", “Otras directivas de seguridad”, es decir, la configuración de la auditoría, la asignación de derechos y privilegios de usuario y las opciones de seguridad.
3. Registro de Eventos. Aquí se controla el registro de eventos en los registros de aplicación, seguridad y sistema, que posteriormente pueden visualizarse con la herramienta Visor de Sucesos.
4.5.3. Instalación de software.
Mediante este apartado se puede asignar y/o publicar aplicaciones a equipos o a
usuarios en el dominio:
1. Asignar una aplicación significa que los usuarios que la necesitan la tienen disponible en su escritorio sin necesidad de que un administrador la instale. Cuando se asigna una aplicación a un usuario o equipo, se crea una entrada para ella en el menú de inicio y se configura el registro adecuadamente. La primera vez
que el usuario ejecuta la aplicación, ésta es automáticamente instalada en el equipo cliente.
2. Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario de instalar dicha aplicación bajo demanda (a voluntad), pero no se realiza ninguna acción automática en el equipo (no se modifica el menú de inicio ni el registro).La lista de aplicaciones publicadas para un usuario aparecen en el Panel
de Control, bajo la herramienta de Añadir/Eliminar Programas, desde donde pueden ser instaladas.
usuarios en el dominio:
1. Asignar una aplicación significa que los usuarios que la necesitan la tienen disponible en su escritorio sin necesidad de que un administrador la instale. Cuando se asigna una aplicación a un usuario o equipo, se crea una entrada para ella en el menú de inicio y se configura el registro adecuadamente. La primera vez
que el usuario ejecuta la aplicación, ésta es automáticamente instalada en el equipo cliente.
2. Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario de instalar dicha aplicación bajo demanda (a voluntad), pero no se realiza ninguna acción automática en el equipo (no se modifica el menú de inicio ni el registro).La lista de aplicaciones publicadas para un usuario aparecen en el Panel
de Control, bajo la herramienta de Añadir/Eliminar Programas, desde donde pueden ser instaladas.
4.5.4. Guiones (Scripts).
Bajo este apartado, se pueden asignar scripts a equipos o usuarios. En concreto, existen cuatro tipos de scripts principales:
1. Inicio (equipo). Se ejecuta cada vez que el equipo arranca.
2. Apagado (equipo). Se ejecuta cada vez que el equipo va a detenerse.
3. Inicio de sesión (usuario). Se ejecuta cada vez que el usuario inicia una sesión interactiva (local) en un equipo.
4. Cierre de sesión (usuario). Se ejecuta cada vez que el usuario se finaliza una sesión interactiva en un equipo.
En todos esos casos, los scripts pueden implementarse en cualquiera de los lenguajes que entiende el soporte de scripts independiente del lenguaje de Windows Server 2003.
4.5.5. Redirección de carpetas.
Este grupo de políticas permite redirigir la ubicación local predefinida de ciertas
carpetas particulares de cada usuario (como "Mis Documentos" o el menú de inicio) a otra ubicación, bien sea en la misma máquina o en una unidad de red.
carpetas particulares de cada usuario (como "Mis Documentos" o el menú de inicio) a otra ubicación, bien sea en la misma máquina o en una unidad de red.
4.5.6. Otras políticas.
Existen muchas otras políticas como el Mantenimiento de Internet Explorer, que controla la apariencia y la configuración personal de este navegador de web para cada usuario, y los Servicios de Instalación Remota, que permiten configurar automáticamente las opciones de instalación de clientes Windows (Windows 2000 Professional, Windows XP).
4.6. Recomendaciones de uso.
Reglas básicas para un administrador a la hora de administrador el sistema:
• Administración de GPOs. Un adecuado diseño de la administración y delegación de GPOs es crucial en empresas medianas y grandes, en las que generalmente los dominios se encuentran muy jerarquizados en unidades organizativas.
• Separar usuarios y equipos en unidades organizativas diferentes. Esta decisión de diseño simplifica la aplicación de GPOs, ya que al diseñarlas sólo hay que tener en cuenta la configuración de usuarios o de equipos. Por otra parte, este diseño facilita que las labores de administrar equipos y administrar usuarios puedan repartirse entre grupos de administradores distintos.
• Organización homogénea de unidades organizativas. La organización de las unidades organizativas debe partir de la organización de la empresa y debe ser consistente con ella. Si se sobrediseña esta estructura, resultará más difícil aplicar correctamente las políticas de grupo a equipos y usuarios.
• Minimizar los GPOs asociados a usuarios o equipos. El tiempo de inicio de un equipo y el tiempo de inicio de sesión de un usuario se incrementan conforme más GPOs se aplican a dicho equipo o usuario. Resulta más interesante conseguir las configuraciones adecuadas con el menor número posible de GPOs.
• Evitar asignaciones de GPOs entre dominios. Aunque es técnicamente posible vincular a un contenedor de un dominio un GPO creado en otro dominio, esta práctica está desaconsejada. El motivo es que los GPOs están almacenados en sus dominios respectivos y al utilizarlos desde otros dominios, el tiempo para su proceso se incrementa.
• Utilizar el proceso Loopback sólo cuando sea necesario. ticas de usua-
...
• Administración de GPOs. Un adecuado diseño de la administración y delegación de GPOs es crucial en empresas medianas y grandes, en las que generalmente los dominios se encuentran muy jerarquizados en unidades organizativas.
• Separar usuarios y equipos en unidades organizativas diferentes. Esta decisión de diseño simplifica la aplicación de GPOs, ya que al diseñarlas sólo hay que tener en cuenta la configuración de usuarios o de equipos. Por otra parte, este diseño facilita que las labores de administrar equipos y administrar usuarios puedan repartirse entre grupos de administradores distintos.
• Organización homogénea de unidades organizativas. La organización de las unidades organizativas debe partir de la organización de la empresa y debe ser consistente con ella. Si se sobrediseña esta estructura, resultará más difícil aplicar correctamente las políticas de grupo a equipos y usuarios.
• Minimizar los GPOs asociados a usuarios o equipos. El tiempo de inicio de un equipo y el tiempo de inicio de sesión de un usuario se incrementan conforme más GPOs se aplican a dicho equipo o usuario. Resulta más interesante conseguir las configuraciones adecuadas con el menor número posible de GPOs.
• Evitar asignaciones de GPOs entre dominios. Aunque es técnicamente posible vincular a un contenedor de un dominio un GPO creado en otro dominio, esta práctica está desaconsejada. El motivo es que los GPOs están almacenados en sus dominios respectivos y al utilizarlos desde otros dominios, el tiempo para su proceso se incrementa.
• Utilizar el proceso Loopback sólo cuando sea necesario. ticas de usua-
...
No hay comentarios:
Publicar un comentario