Ediciones ENI Editorial | líder en informática
Fundamentos de las directivas de grupo
Tecnología IntelliMirror
1. Introducción
La tecnología de gestión y administración IntelliMirror es un conjunto de potentes funciones desarrolladas para incrementar la disponibilidad de los sistemas y reducir el coste total de propiedad de los equipos que funcionan bajo Windows.
IntelliMirror llama a «directivas» para implementar los mecanismos de gestión de las modificaciones y de los cambios de configuración. De esta forma, la tecnología permite a los usuarios interactuar con una red mucho más dinámica. Los usuarios pueden de forma sencilla recuperar sus datos, su software y sus parámetros dentro de un entorno informático distribuido, estén conectados o no. La tecnología IntelliMirror se encuentra integrada de forma directa en el núcleo de los sistemas Windows y apareció con la primera versión de Active Directory con Windows 2000 Server y Windows 2000 Profesional.
Para beneficiarse de las nuevas características ofrecidas por la tecnología IntelliMirror, es obligatorio disponer de un entorno de dominio Active Directory y de puestos de trabajo funcionando con un sistema operativo cliente Microsoft Windows -sea cual sea la versión desde Windows 2000 Profesional hasta Windows 10 y futuras versiones. Los sistemas operativos antiguos tales como Windows NT, Windows 9x o incluso las versiones más recientes de Unix, Linux o los equipos Apple que funcionan bajo Mac OS no soportan las tecnologías Microsoft IntelliMirror, incluso si podemos utilizar los componentes cliente Samba para conectar estos sistemas a Active Directory.
Observación: hablaremos con frecuencia en este capítulo de equipos de tipo Windows o clientes Windows. Esta denominación se refiere a los equipos Windows 7, Windows 8, Windows 8.1, Windows 10, así como los sistemas operativos Windows Server asociados tales como Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 y Windows Server 2016. Cuando sea necesario se especificarán las versiones para ofrecer mayor claridad.
IntelliMirror se articula en torno a tres funciones principales:
-
La gestión de los datos de los usuarios.
-
La gestión de los parámetros de los usuarios y equipos.
-
La instalación y mantenimiento del software para los usuarios y también para los equipos.
Por supuesto, podemos utilizar...
Creación y configuración de objetos de directiva de grupo
1. Introducción
Las directivas de grupo se caracterizan por los puntos siguientes:
-
Se trata de objetos pertenecientes a los servicios de directorio Active Directory, cuyo principal objetivo es ayudar a los administradores de red Windows a ofrecer a los usuarios una herramienta y un entorno de trabajo adaptado aún más fiable, más seguro, y por lo tanto más eficiente.
-
Las directivas de grupo permiten simplificar la administración centralizada de los parámetros en el directorio Active Directory, por lo tanto, en el exterior de los equipos.
-
La administración es más fina, más eficiente, más rica, y también más sencilla.
-
Los parámetros de los usuarios se aplicarán de forma independiente de los equipos.
Descubriremos más adelante el modo de tratamiento con bucle de retorno. Este método permite manejar ciertas situaciones y en este caso los parámetros de usuario pueden no ser "considerados" en los equipos que implementan este modo de funcionamiento.
-
Los parámetros de equipo se aplicarán de forma independiente de los usuarios.
2. Directivas de grupo y relación con las tecnologías
Las directivas de grupo integran un importante número de tecnologías. Es indispensable saber ¿"Que hace qué"? El cuadro siguiente lista las tecnologías utilizadas para prestar el mejor servicio.
|
Tareas de administración |
Tecnologías utilizadas para implementar el servicio |
|
Gestión de los datos de usuario Active Directory |
Active Directory Directiva de grupo Archivos sin conexión Gestor de sincronización Cuotas de disco Perfiles de usuarios móviles |
|
Instalación y mantenimiento de software Active Directory |
Active Directory Directiva de grupo Windows Installer |
|
Gestión de parámetros de usuario |
Active Directory Directiva de grupo Perfiles de usuarios móviles |
|
Gestión de configuración de equipo |
Active Directory Directiva de grupo Cuentas de usuario y de equipo |
|
Servicios de instalación remota (RIS) Nota: hoy en día los servicios RIS están obsoletos y se han sustituido por los servicios WDS y el despliegue de los SO en modo LTI con MDT o ZTI con SCCM |
Active Directory Directiva de grupo Servicios de instalación remota... |
Configuración de los parámetros de actualización de las directivas de grupo
1. Refresco de las directivas de grupo
a. Refresco de las directivas en segundo plano
Además de las operaciones efectuadas durante la fase de arranque del equipo y de inicio de sesión del usuario, las directivas de grupo se aplican en segundo plano de forma periódica.
Los diferentes componentes de extensiones replican sus parámetros solo cuando es necesario, o cuando una directiva obliga a volver a aplicar de forma sistemática los parámetros, por posibles razones de seguridad o por el estado de la configuración.
Los componentes cliente especializados en la instalación del software o la redirección de carpetas solo vuelven a aplicar sus parámetros durante el arranque del equipo o el inicio de la sesión de usuario.
b. Ciclo de refresco
Por defecto, las directivas de grupo se verifican cada 90 minutos al que se añade un valor aleatorio comprendido entre 0 y 30 minutos. Por último, el tiempo máximo de refresco puede llegar hasta 120 minutos.
Veremos más adelante que es posible controlar cada CSE (Client Side Extensions), de forma que algunas extensiones, como por ejemplo los parámetros de seguridad de Internet Explorer, se apliquen siempre cuando las directivas de grupo no se modifiquen.
Este modo de operación es muy importante para la aplicación de los parámetros de seguridad por el principio de garantía «justo a tiempo» del nivel de conformidad configurado al inicio.
c. Refresco bajo demanda
Podemos evitar el reinicio del equipo al igual que el reinicio de sesión utilizando el comando Gpupdate. Observe que por defecto, los usuarios cuentan con la posibilidad de invocar este comando, que no es por cierto peligroso, pero puede generar un tráfico de red importante.
El comando Gpupdate.exe se ejecuta del lado del cliente. Observe que a partir de Windows Server 20112, 2012 R2 y Windows Server 2016 la consola de Administración de directivas de grupo permite refrescar de forma remota la aplicación de los objetos GPO de los equipos. Esta funcionalidad está soportada para todos los sistemas operativos destino que funcionen con Windows 7 hasta Windows 10 y puede ser realizada empleando el comando Windows PowerShell Invoke-GPUpdate. Para más información sobre esta nueva...
Gestión de directivas de grupo empleando GPMC
1. Operación de respaldo y restauración de directivas de grupo
La copia de seguridad de las directivas de grupo era, hasta la aparición de la consola de gestión de directivas de grupo, una operación reservada a las herramientas de protección y restauración de Active Directory.
Ahora, podemos utilizar la consola de administración de directivas de grupo para respaldar uno o varios objetos de tipo directiva de grupo, en cualquiera que sea su dominio de pertenencia. Para efectuar esta operación, procedemos de la siguiente manera:
Abrir Administración de directivas de grupo.
En el árbol de la consola administración de directivas de grupo, hacemos doble clic en Objetos de directiva de grupo en el bosque y el dominio que contenga las directivas de grupo que deseamos respaldar.
Para respaldar un único objeto de directiva de grupo, hacemos clic con el botón derecho sobre él, y luego clic en Hacer copia de seguridad.
Para guardar todos los objetos de directivas de grupo del dominio, hacemos clic con el botón derecho sobre Objetos de directivas de grupo, y luego hacemos clic en Hacer copia de seguridad de todos.
En el cuadro de diálogo Guardar objeto de estrategia de grupo, en la zona Ubicación, introduzca la ruta de acceso de la ubicación que desea almacenar los respaldos y haga clic en OK.
En la zona Descripción, introducimos una descripción de los objetos de directiva de grupo que deseamos guardar, y luego hacemos clic en Hacer copia de seguridad. Si almacenamos varios objetos de directiva de grupo, la descripción se aplicará a todos los objetos de directiva de grupo respaldados.
Una vez terminada, hacemos clic en Aceptar.
Los objetos de directivas de grupo contienen muchos parámetros de configuración. Por esto es importante pensar en la seguridad de las directivas de grupo respaldadas. Debemos garantizar que sólo los administradores autorizados tienen acceso al directorio al cual se exporta el objeto de directiva de grupo.
Para ejecutar este procedimiento, debemos contar con los permisos de lectura para el objeto de la directiva de grupo y permisos de escritura para la carpeta que contiene el respaldo del objeto de directiva de grupo.
Group Policy Management Console Scripting Samples:...
Verificación y resolución de problemas vinculados a las directivas de grupo con RsoP
Contamos con la posibilidad de simular el despliegue de las directivas de grupo para los usuarios y los equipos antes de implementarlas en realidad en el entorno de producción.
Esta funcionalidad de la consola Administración de directivas de grupo se conoce como conjunto resultante de directivas para el usuario (RSoP, Resultant Set of Policies) en modo de planificación.
Observe que el soporte del protocolo RsoP requiere al menos un controlador de dominio que ejecute Windows Server 2003 o una versión posterior, tal como Windows Server 2012 R2 o Windows Server 2016 en el bosque.
Para comprobar los parámetros de la directiva de grupo empleando el asistente Modelado de directivas de grupo, debemos primero crear una consulta de modelado de la directiva de grupo y mostrar esa consulta. Para crear una nueva consulta de modelado de la directiva de grupo, proceda de la siguiente manera:
Abra la consola Administración de directivas de grupo, navegue hasta el bosque en el que deseamos crear una consulta de modelado de la directiva de grupo, hacemos clic con el botón derecho en Modelado de directivas de grupo, luego Asistente para modelado de directivas de grupo.
En la página Asistente para modelado de directivas de grupo, hacemos clic en Siguiente; introducimos la información en las páginas del asistente...
Delegación del control administrativo sobre las directivas de grupo
La consola de Administración de directivas de grupo permite gestionar las operaciones de delegación de manera muy fácil. Así, es muy sencillo realizar las operaciones siguientes:
-
Crear objetos de directiva de grupo en un dominio.
-
Definir los permisos sobre un objeto de directiva de grupo.
-
Definir los permisos de directiva en un sitio, un dominio o una unidad organizativa.
-
Vincular los objetos de directiva de grupo a un sitio, un dominio o de una unidad organizativa determinados.
-
Iniciar análisis de modelado de directivas de grupo en un dominio o una unidad organizativa dados, pero no en un sitio.
-
Leer los datos de los resultados de la directiva de grupo para los objetos de un dominio o de una unidad organizativa dados, pero no de un sitio.
-
Crear filtros WMI en un dominio.
-
Definir los permisos de un filtro WMI.
Implementación de una delegación en la directiva de grupo Londres_Base_v1
La consola de administración de directivas de grupo simplifica mucho la delegación gestionando las diversas entradas de control de acceso (ACE, Access Control Entry) necesarias para una tarea como un único grupo de autorizaciones para la tarea. Sin embargo, como ya se ha visto en el marco del filtrado de directivas de grupo empleando los permisos Leer y Aplicar las directivas de grupo, siempre es posible acceder a los detalles de la lista de control de acceso utilizando el botón Opciones avanzadas... de la pestaña Delegación.
1. Conceder una delegación a través del grupo propietarios creadores (Creator Owner) de la directiva de grupo
El procedimiento siguiente permite la delegación de la creación de objetos de directiva de grupo. Proceda paso a paso:
Abrir Administración de directivas de grupo.
En el árbol de la consola, hacemos clic en Objetos de directiva de grupo para los que queremos delegar los permisos de creación de objetos de directiva de grupo. Para hacer esto, nos dirigimos a Nombre del bosque/Dominios/Nombre del dominio/Objetos de directiva de grupo.
En la pestaña de resultados, hacemos clic en la pestaña Delegación.
Para añadir un nuevo grupo o usuario empleando el grupo de propietarios creadores de la directiva de grupo: en la zona de la lista Grupos y usuarios, hacemos doble clic sobre Propietarios...
Recomendaciones para la definición de una directiva de grupo para la empresa
La planificación de una infraestructura de Active Directory requiere la creación de un plan que se tenga en cuenta las mejores prácticas para la empresa en relación con los temas presentados a continuación:
-
la herencia de las directivas de grupo.
-
la administración y el despliegue más adecuado en relación a la gestión de directivas de grupo.
Debemos hacerlo de la mejor manera para que la tecnología sea una baza, y sobre todo no un freno. Para lograrlo, considere la manera en que podemos implementar las directivas de grupo dentro de nuestra empresa.
Al final, no debemos dejar de pensar en la delegación de los permisos sobre la base de una reflexión que deberá reflejar las diferentes tareas de administración, la elección de un modelo de administración, así como la facilidad de diseño y ejecución.
Los puntos siguientes son las reglas que hay que tratar de respetar al máximo:
-
Aplicar los parámetros de la directiva de grupo al más alto nivel para aprovechar los mecanismos de herencia.
-
Determine los parámetros comunes de los objetos de directiva de grupo para el mayor contenedor, es decir, el objeto dominio Active Directory mismo.
-
Vincular la estrategia de grupo en el dominio,
-
Disminuya el número de directivas de grupo. Reducir el número...