¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Windows Server 2016
  3. Infraestructura de directivas de grupo
Extrait - Windows Server 2016 Las bases imprescindibles para administrar y configurar su servidor (2ª edición)
Extractos del libro
Windows Server 2016 Las bases imprescindibles para administrar y configurar su servidor (2ª edición) Volver a la página de compra del libro

Infraestructura de directivas de grupo

Introducción a las directivas de grupo

Una directiva de grupo permite automatizar la configuración del entorno de usuario y de equipos. Es posible aplicar configuraciones (autorizar o bloquear cierto menú…), desplegar aplicaciones (archivos MSI) o simplemente implementar unas políticas de seguridad. De este modo, las directivas de grupo permiten homogeneizar la configuración del parque informático. Es posible atribuir GPO (Group Policy Object) de dominio a un puesto de trabajo o un servidor miembro. Estas últimas se configuran en un servidor que posea el rol de controlador de dominio. También es posible realizar la configuración de GPO locales, que se configuran directamente sobre el puesto (a excepción de los controladores de dominio).

1. Orden de aplicación en el puesto de trabajo

Las directivas de grupo se aplican en el puesto en función de un orden preciso bien definido. La primera directiva que se aplica en el puesto es la directiva local (si existe alguna directiva presente). A continuación, se recuperan las GPO de Active Directory y se aplican en el siguiente orden.

La GPO del sitio AD es la primera que se recupera. Las directivas aplicadas a la raíz del dominio (Default Domain Policy o cualquier otra directiva configurada) se recuperan a continuación. Por último, se recuperan las configuradas sobre una OU o una sub-OU.

images/ch12fig1bis.png

Es posible realizar este vínculo sobre una entidad de seguridad (equipo o usuario). Es necesario enlazarla a algún contenedor (OU, dominio...). La directiva que se aplica en último lugar es aquella definida a nivel de OU. En caso de conflicto con algún parámetro, es la última GPO recuperada (es decir, la correspondiente a la OU) la que se aplica. Para modificar este orden de prioridad es posible bloquear la herencia o aplicar (forzar) una directiva específica....

Procesamiento de bucle

1. Introducción

Cuando se abre sesión en un servidor TS (Terminal Server) o en un puesto cliente, la directiva resultante que se aplica es una combinación de la configuración del usuario y del equipo. Puede ser necesario, en un servidor TS, prohibir la aplicación de la configuración del usuario conectado.

El procesamiento de bucle permite aplicar los parámetros Configuración de usuario de la directiva de grupo del equipo sobre la que se inicia la sesión. Todos los usuarios reciben los mismos parámetros.

Es posible configurar dos modos: el modo Sustituir y el modo Fusionar. El primero elimina los parámetros Configuración de usuario configurados en la cuenta de usuario para atribuirles aquellos configurados en la GPO de la cuenta de equipo sobre la que se abre la sesión. El segundo modo realiza una fusión entre los parámetros Configuración de usuario de la cuenta de usuario y aquellos configurados en la directiva de grupo de la cuenta del equipo.

De este modo es posible asegurar la uniformidad de la configuración para el conjunto de usuarios que inician una sesión en el servidor TS (Terminal Server). El modo se selecciona mediante el parámetro Configurar el modo de procesamiento de bucle invertido de la directiva de grupo de usuario existente en Configuración del equipo\Directivas\Plantillas administrativas\Sistema\Directiva...

Administración de las directivas de grupo

Cualquier operación sobre una directiva de grupo se realiza mediante la consola Administración de directivas de grupo. La consola está ubicada en el grupo de Herramientas administrativas en el menú Inicio.

1. Creación de un objeto y vinculación a una OU

 Abra la consola Administración de directivas de grupo.

 Despliegue los nodos Bosque, Dominios y, a continuación, Formacion.local.

 Haga clic con el botón derecho en el contenedor Objetos de directiva de grupo y, a continuación, haga clic en Nuevo.

 En el campo Nombre, escriba PC Libre Disposición y, a continuación, haga clic en Aceptar.

 Haga clic con el botón derecho en la directiva que acaba de crear y, a continuación, seleccione la opción Editar.

Se abre el Editor de administración de directivas de grupo.

...

Plantillas administrativas

Las plantillas administrativas permiten implementar restricciones sobre un conjunto de componentes del sistema operativo.

1. Archivo ADMX/ADML

Los parámetros de las plantillas administrativas están contenidos en archivos con la extensión ADMX. Estos archivos se ubican en C:\Windows\PolicyDefinitions y es posible abrirlos con Notepad.

images/12RI18.png

A diferencia de las antiguas plantillas administrativas de Windows Server 2003, los archivos ADMX son archivos XML. Resulta, por tanto, mucho más sencillo crear un archivo personalizado. Se utilizan dos tipos de archivo:

  • Archivos con la extensión admx, que permiten definir la ubicación del parámetro, los elementos de la ventana de diálogo Propiedades y la modificación que debe realizarse en el registro.

  • Archivos con la extensión adml, encargados de mostrar el texto de la interfaz de usuario en un idioma concreto. De este modo, es muy sencillo cambiar el idioma de representación recuperando los archivos adml adecuados. La carpeta es-ES contiene los correspondientes al idioma español.

images/12RI19.png

Es posible agregar plantillas antiguas basadas en el modelo adm.

 Haga clic con el botón derecho en Default Domain Policy y, a continuación, seleccione Modificar.

 Despliegue la carpeta Directivas para la configuración de usuario y, a continuación, haga clic con el botón derecho en Plantillas administrativas...

Administración de la herencia

La herencia permite a un contenedor hijo recuperar los parámetros configurados por encima de él (en los padres). La directiva resultante puede, entonces, ser diferente al resultado esperado. Como ocurre con las autorizaciones NTFS, puede que algún conflicto modifique el resultado final y, por tanto, elimine alguna restricción configurada por el administrador.

Para administrar la herencia, es posible bloquear o, al contrario, aplicar la directiva.

1. Bloquear la herencia

Bloquear la herencia consiste en implementar un bloqueo a cierto nivel de la arborescencia. Esta funcionalidad permite evitar conflictos (dos parámetros aplicados que se contradicen, por ejemplo) asegurando que las GPO configuradas en el padre no se atribuyen al hijo. Para verificar el orden de aplicación de las directivas es posible utilizar la pestaña Herencia de directivas de grupo. Esta pestaña está presente haciendo clic en una OU.

images/CAP12_Pag_37_ES.PNG

 Haga clic con el botón derecho en la OU Despliegue de Software y, a continuación, seleccione la opción Bloquear herencia.

No se aplica, en adelante, ninguna directiva sobre la OU.

images/CAP12_Pag_39_ES.PNG

El círculo azul ubicado sobre el icono de la OU permite resaltar que existe un bloqueo en la herencia.

2. Aplicar una directiva de grupo

La opción Aplicar una directiva de grupo no consiste en vincular una GPO a una OU; el propósito de esta opción...

Preferencias de directivas de grupo

1. Presentación de las preferencias de las directivas

Las preferencias de directivas de grupo ofrecen a los administradores la posibilidad de configurar nuevos parámetros. Ahora es posible configurar las opciones de las carpetas, las impresoras, las tareas planificadas, los servicios, el menú Inicio...

Además, el destino ofrece una flexibilidad mayor que las directivas (GPO). Es posible ajustarlo a partir de diversos elementos (sistema operativo, rango de direcciones IP...).

A diferencia de las directivas, que entorpecen la interfaz de usuario (el usuario no puede modificar la configuración establecida por el administrador), las preferencias dejan la posibilidad a un usuario de modificarlas. Tomemos como ejemplo el Proxy de IE: si configura la conexión al proxy en IE mediante las preferencias, el usuario tendrá la posibilidad de anular la conexión a un proxy cuando esté fuera de la empresa.

2. Configuración de parámetros mediante preferencias

 Abra la consola Administración de directivas de grupo.

 Cree una GPO llamada ConfiguracionPuesto y después haga clic con el botón derecho del ratón en esta última. En el menú contextual, haga clic en Modificar.

 La GPO debe estar en la raíz del dominio.

 En Configuración del equipo, despliegue el nodo Preferencias.

 Haga clic en Configuración...

Ejecución de scripts PowerShell con una GPO

Como hemos visto antes, una directiva de grupo es capaz de desplegar un conjunto de parámetros. También es posible desplegar scripts.

Es posible encontrar parte de estos scripts aquí: http://bit.ly/2cPKCFr

1. Creación de un usuario local

La primera etapa es la elaboración de un script. Las distintas etapas se detallan a continuación; sin embargo es posible recuperar el script final (CuentaLocal.ps1) desde la página Información.

En primer lugar vamos a definir las variables que contendrán el nombre de la cuenta de usuario local y la del equipo.

$localUsers='LocalAdmin'  
$ComputerName=$Env:COMPUTERNAME

A continuación vamos a recuperar en la variable $AllLocalAccounts el conjunto de cuentas de usuario presentes en la base SAM del ordenador. El nombre de este último se define mediante la variable $Computer.

$AllLocalAccounts = Get-WmiObject -Class Win32_UserAccount   
-Namespace "root\cimv2" -Filter "LocalAccount='$True'"   
-ComputerName $ComputerName -ErrorAction Stop

Si el ordenador contiene una cuenta llamada LocalAdmin, el script se detiene. En caso contrario, se crea la cuenta. La contraseña definida en la variable $pass se utiliza para el usuario. La cuenta local se agrega al grupo Administradores del equipo local y a continuación se configura la opción "la contraseña nunca expira".

if($AllLocalAccounts.name -Contains $localUsers)  
  {  
       exit     
  }  
   else  ...