El objeto de directiva de grupo (GPO) de Microsoft es una colección de configuraciones de directiva de grupo que define cómo se verá un sistema y cómo se comportará para un grupo definido de usuarios.
Microsoft proporciona un complemento de programa que le permite usar la Consola de administración de directivas de grupo (GPMC). Las selecciones dan lugar a un objeto de directiva de grupo. El GPO está asociado a contenedores seleccionados de Active Directory, como sitios, dominios o unidades organizativas (OU). El GPMC le permite crear un GPO que define políticas basadas en el registro, opciones de seguridad, opciones de instalación y mantenimiento de software, opciones de scripts y opciones de redirección de carpetas.
Tipos de GPO
Hay tres tipos de GPO: local, no local y starter.
- Objetos de Directiva de grupo local. Un objeto de directiva de grupo local se refiere a la colección de configuraciones de directiva de grupo que solo se aplican al equipo local y a los usuarios que inician sesión en ese equipo. Los GPO locales se utilizan cuando es necesario aplicar la configuración de directiva a un solo equipo o usuario de Windows. Los GPO locales existen de forma predeterminada en todos los equipos con Windows.
- Objetos de directiva de grupo no locales. Un objeto de directiva de grupo no local se utiliza cuando la configuración de directiva debe aplicarse a uno o más equipos o usuarios de Windows. Los GPO no locales se aplican a los equipos o usuarios de Windows una vez que están vinculados a objetos de Active Directory, como sitios, dominios o unidades organizativas.
- Objetos de Directiva de Grupo de inicio. Introducidos en Windows Server 2008, los GPO de inicio son plantillas para la configuración de directiva de grupo. Estos objetos permiten que un administrador cree y tenga un grupo de ajustes preconfigurados que representan una línea de base para cualquier directiva futura que se cree.
Objeto de Directiva de grupo y Seguridad de datos
Hay algunas configuraciones de directiva de grupo que pueden ayudar a proteger la red de una empresa. Por ejemplo, a través de la directiva de grupo, una organización puede ejecutar scripts, impedir que los usuarios accedan a ciertos recursos y realizar tareas simples, como forzar la apertura de una página de inicio determinada para cada usuario de la red.
Algunas de estas medidas de seguridad incluyen:
- Limitar el acceso al Panel de control through a través del Panel de control, una empresa puede controlar todos los aspectos de una computadora. Limitar quién tiene acceso a una computadora permite a las organizaciones mantener seguros los datos y otros recursos.
- Deshabilitar símbolo del sistema: Una empresa puede usar avisos de comandos para ejecutar comandos que brindan acceso de alto nivel a los usuarios y omiten otras restricciones del sistema. Es por eso que es prudente desactivar el símbolo del sistema para garantizar la seguridad de los recursos del sistema. Si un usuario intenta abrir una ventana de comandos después de que el símbolo del sistema se haya desactivado, el sistema mostrará un mensaje que indica que algunos ajustes lo impiden.
- Evitar instalaciones de software: si se permite a los usuarios instalar software, es posible que instalen aplicaciones no deseadas o malware que puedan comprometer el sistema de una empresa. Como tal, es mejor evitar las instalaciones de software a través de la Directiva de grupo.
Beneficios de los objetos de directiva de grupo
La implementación de GPO, además de la seguridad, ofrece varios beneficios, entre los que se incluyen:
- Administración más eficiente: los GPO ya implementados aplican un entorno estandarizado a todos los usuarios y equipos nuevos que se unen al dominio de una organización, lo que ahorra tiempo en la configuración.
- Facilidad de administración: los administradores de sistemas pueden implementar software, parches y otras actualizaciones a través de GPO.
- Mejor aplicación de la política de contraseñas: los GPO determinan la longitud de la contraseña, reutilizan las reglas y establecen otros requisitos para las contraseñas a fin de mantener segura la red de una empresa.
- Configuración de redirección de carpetas: Los GPO permiten a las empresas garantizar que los usuarios mantengan archivos importantes de la empresa en un sistema de almacenamiento centralizado y supervisado. Por ejemplo, una organización puede redirigir la carpeta de documentos de un usuario, que generalmente se almacena en una unidad local, a una ubicación de red.
Limitaciones de los objetos de directiva de grupo
Las limitaciones de los objetos de directiva de grupo incluyen:
- Se ejecutan secuencialmente actions Los GPO procesan acciones una tras otra. En consecuencia, si se tienen que configurar muchos GPO, los usuarios pueden tardar mucho tiempo en iniciar sesión.
- La flexibilidad es limitada : los GPO solo se pueden aplicar a usuarios o equipos. Por lo tanto, son limitados cuando se trata de aplicar configuraciones basadas en el contexto.
- Desencadenadores limitados: Los GPO solo se pueden aplicar al inicio del equipo, cuando un usuario inicia sesión o a intervalos establecidos. Los GPO no pueden reaccionar a los cambios en el entorno, como la desconexión o reconexión de la red.
- Difícil de mantener: no hay una opción de búsqueda o filtro integrada para encontrar una configuración específica dentro de un GPO, lo que dificulta encontrar o solucionar problemas con la configuración existente.
- Sin control de versiones: los cambios realizados en la configuración de GPO no se auditan. Por lo tanto, si se realiza un cambio incorrecto, es imposible saber qué fue el cambio o quién lo hizo.
Orden de procesamiento de los GPO
El orden de procesamiento de las directivas de grupo afecta la configuración que se aplica al equipo o al usuario final. Esta orden de procesamiento se conoce como LSDOU: local, sitio, dominio, unidad de organización. En primer lugar, se procesa la directiva de equipo local, seguida de las directivas de Active Directory desde el nivel del sitio hasta el dominio y, a continuación, en la unidad organizativa (los GPO de las unidades organizativas anidadas se aplican primero desde la unidad organizativa más cercana a la raíz y continúan desde allí). Si hay algún conflicto, la última política aplicada entrará en vigor.
Ejemplos de GPO
Los siguientes son ejemplos de objetos de directiva de grupo:
- Un GPO puede especificar la página de inicio que se muestra por primera vez cuando un usuario inicia Internet Explorer. Cuando el usuario inicia sesión en el dominio, ese objeto de directiva de grupo se recupera y se aplica a la configuración de Internet Explorer del usuario.
- Una organización puede implementar conexiones de impresora de red compartida a usuarios desde una unidad organizativa específica de Active Directory mediante la Directiva de grupo. Por lo tanto, cuando un usuario inicia sesión en Windows, aparecerá automáticamente una impresora de red asignada en la lista de impresoras disponibles.
- Los administradores pueden usar una directiva de grupo para ajustar la configuración, como desactivar las pantallas del ordenador durante un período de tiempo determinado, elegir programas predeterminados e impedir que los usuarios cambien las opciones de conexión a Internet.
Prácticas recomendadas
Algunas prácticas recomendadas para los GPO incluyen:
- Cree una estructura de unidad organizativa bien diseñada en Active Directory para simplificar la aplicación y la solución de problemas de la directiva de grupo.
- Asigne nombres descriptivos a los GPO para que los administradores puedan identificar rápidamente lo que hace cada GPO.
- Agregue comentarios a cada GPO explicando por qué se creó, cuál es su propósito y cuáles son sus configuraciones.
- No establezca GPO a nivel de dominio porque se aplicarán a todos los objetos del equipo y del usuario. Esto podría hacer que algunos ajustes se apliquen innecesariamente a algunos objetos.
- No utilice los equipos raíz ni las carpetas de usuario de Active Directory porque no son unidades organizativas y no pueden tener GPO vinculados a ellos. Cuando aparece un nuevo objeto de usuario u ordenador en estas carpetas, debe ir inmediatamente a la unidad organizativa adecuada.
- No deshabilite un GPO. En su lugar, elimine el enlace de una unidad organizativa en lugar de deshabilitar el GPO si no desea que se aplique. Deshabilitar el GPO evitará que se aplique por completo en el dominio. Eso podría ser un problema porque si esa Directiva de grupo en particular se usa en otra unidad organizativa, ya no funcionará allí.