Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando se conectan a una máquina del dominio.
Cuando hay muchos equipos que administrar en un dominio, resultaría incómodo tener que establecer este comportamiento uno por uno. Por este motivo, las políticas de grupo se han integrado dentro de la administración del Directorio Activo como una herramienta de configuración centralizada en dominios Windows 2003.
Las políticas se especifican mediante objetos de directorio denominados Objetos de Política de Grupo (Group Policy Objects), o simplemente GPOs. Un GPO es un objeto que incluye como atributos cada una de las políticas (también denominadas directivas) que puede establecerse en Windows Server 2003 para equipos y usuarios. Los GPOs se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs.
Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático en el que existen dos nodos principales que separan las configuraciones para equipos y para usuarios.
Las políticas de grupo son heredables y acumulativas. Eso quiere decir que, desde el punto de vista de un equipo o de un usuario concreto, la lista de GPOs que les afecta depende de su ubicación en Directorio Activo.
Resulta necesario que exista un orden de aplicación concreto y conocido, de forma que se sepa finalmente qué política afectarán a cada usuario y equipo. Este orden es el siguiente:
1. Se aplica la política de grupo local del equipo (denominada Local Group Policy
Object, o LGPO).
2. Se aplican los GPOs vinculados a sitios.
3. Se aplican los GPOs vinculados a dominios.
4. Se aplican los GPOs vinculados a unidades organizativas de primer nivel. En su caso, posteriormente se aplicarían GPOs vinculados a unidades de segundo nivel, de tercer nivel, etc.
Este orden de aplicación decide la prioridad entre los GPOs, puesto que una política que se aplica más tarde prevalece sobre otras establecidas anteriormente (las sobrescribe).
Este comportamiento puede ser refinado mediante los siguientes dos parámetros:
1. Forzado (Enforced)
2. Bloquear herencia de directivas
Como todos los objetos del Directorio Activo, los GPOs poseen listas de control de acceso (o DACLs). En general, estas DACLs establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de los GPOs, esta asociación de permisos a grupos de usuarios (o grupos de seguridad) permite filtrar el ámbito de aplicación de un GPO y delegar su administración.
Es posible delegar la administración de GPOs a otros usuarios y grupos. En realidad, la administración de un GPO consta de dos actividades distintas y complementarias, que pueden delegarse independientemente:
-Creación de un GPO.
-Vinculación de un GPO a un contenedor.
Las principales políticas incluidas en un GPO
-Configuración de Software
-Configuración de Windows
-Plantillas Administrativas
Las configuraciones de seguridad que se pueden establecer son las siguientes:
-Políticas de cuentas
-Políticas locales
-Registro de eventos
Mediante este apartado se puede asignar y/o publicar aplicaciones a equipos o a usuarios en el dominio:
1. Asignar una aplicación significa que los usuarios que la necesitan la tienen disponible
en su escritorio sin necesidad de que un administrador la instale.
2. Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario
de instalar dicha aplicación bajo demanda (a voluntad), pero no se realiza ninguna
acción automática en el equipo
Se pueden asignar scripts a equipos o usuarios. En concreto, existen cuatro tipos de scripts principales:
-Inicio (equipo)
-Apagado (equipo)
-Inicio de sesión (usuario)
-Cierre de sesión (usuario)
Existe también una política denominada redireccionamiento de carpetas.
Este grupo de políticas permite redirigir la ubicación local predefinida de ciertas carpetas particulares de cada usuario (como "Mis Documentos" o el menú de inicio) a otra ubicación, bien sea en la misma máquina o en una unidad de red.
Existen otras políticas como el mantenimiento de internet explorer y los servicios de instalación remota.
No hay comentarios:
Publicar un comentario