Políticas de grupo de Active Directory

¿Que son las políticas de grupo?

Group Policy es una herramienta de arquitectura de Active Directory que brinda administrar de manera centralizada la configuración de servidores de dominio y estaciones de trabajo. Además resaltar que el uso de la directiva de grupo facilita la distribución de software. Es decir un administrador puede definir políticas de grupo en un lugar y luego aplicarlas a un grupo objetivo.

Resaltar que en diversas empresas, por lo general, se utiliza la división de departamentos que se describen en contabilidad, abogados, departamento de gestión de sistemas, entre otros. Y donde se espera que cada departamento tenga sus propios requisitos mínimos de software y las estaciones de trabajo deben configurarse para necesidades y tareas específicas. Por lo tanto resaltar que gracias a las políticas de grupo, es posible crear configuraciones para ciertos grupos de usuarios de un dominio.

Los GPO de Active Directory brindan que un administrador defina y administre conjuntos de configuraciones estandarizadas específicamente para contabilidad o recursos humanos.

Tambien resaltar que la configuración de las estaciones de trabajo como las computadoras y usuarios es más fácil y eficiente porque están ubicadas centralmente y requieren duplicación en cada computadora.

Componentes de GPO

El componente del servidor es un complemento de Microsoft Management Console (MMC) donde esta diseñado para configurar la directiva de grupo. En la MMC se puede utilizar para crear políticas, administrar y controlar plantillas administrativas, configuraciones de seguridad como instalación de software, scripts, etc... El nombre general de las funciones se llama extensión. Y cada complemento puede tener un complemento secundario que le bronde agregar nuevos componentes o eliminar componentes antiguos y actualizarlos.

El cliente acepta y aplica la configuración de la política de grupo. Las extensiones de cliente son componentes que se ejecutan en el sistema operativo del cliente y son responsables de interpretar y procesar los objetos de directiva de grupo.

Tambien resaltar que para administrar un objeto de directiva de grupo, se deben resaltar los complementos de MMC y la consola de administración de directivas de grupo mejor conocida como GPMC y Editor de administración de directivas de grupo.

Escenarios de uso de GPO de Active Directory

Aplicar reglas específicas basadas en la ubicación del usuario.
Configuración de seguridad centralizada.
Redirección de directorios dentro del dominio.
Configuración de derechos de acceso a aplicaciones y programa del sistemarams.
Configuración de navegadores web e impresoras.
Instalación y actualización de SOFTWARE.
Configuración centralizada del paquete de software de Microsoft Office.
Configuración centralizada de la administración de energía de la computadora.

Una herramienta para la gestión de las configuraciones

En este punto resaltar que si tenemos un dispositivo o un grupo más reducido de ellos, es posible realizar los ajustes manualmente, aunque su centralización permite reutilizar los mismos ajustes en nuevos dispositivos o incluso si alguno de los existentes se reinstala por algún motivo.

Entonces para solventar esta problematica, existe la gestión de la configuracion, siendo una forma de gestionar los equipos en la que se da un enfoque centralizado a la gestion de cambios en usuarios y equipos. Es de este modelo de gestion del que dependen las GPO, aunque no son la unica forma de implementarlo.

Cuando resaltamos la gestión de la configuración, debemos pensar que básicamente tiene tres elementos principales que son configuración, alcance y aplicación

configuración

En este podemos resaltar que es una definición del estado deseado de un usuario, dispositivo o grupo de ellos...

alcance

Para el alcance se puede definir como el conjunto de usuarios o equipos a los que se aplica la configuración.

aplicación

Resaltar que es una herramienta o mecanismo utilizado para ajustar el alcance

Solo mencionar que cuando hablamos de directivas o directivas de grupo, debemos saber que nuestro elemento principal es la configuración de directivas individuales, normalmente se denomina directiva, que se encarga de definir un cambio de configuración concreto. Por ejemplo, uno que evita que el usuario abra el Panel de control, vea la unidad C:, use dispositivos USB o instale software.

Como decíamos antes, las políticas se aplican a usuarios o equipos, por lo que debemos considerar que existen dos tipos de directivas según a quién se apliquen...

Si afectan al equipo, estamos hablando de directivas para ajustar la composición del equipo. Estos ajustes se realizan cuando se inicia la máquina o se actualizan automáticamente cada 90-120 minutos después de que se inicia la máquina.

Si afectan al usuario, estamos hablando de directivas de configuración de usuario. Estos ajustes se realizan cuando inicia una sesión o se actualizan automáticamente cada 90-120 minutos después de comenzar.

Un punto muy importante en agregar es que además de ejecutar una política cuando los usuarios se inician o apagan, o cuando las máquinas se inician o apagan, también puede forzar la aplicación de la política con el comando "gpupdate /force", que hace que los GPO de la máquina en ejecución se vuelvan a activar. resaltar que es una buena manera de probar o crear problemas de solución de problemas.

Resumen de una GPO

Un GPO es básicamente un objeto que almacena uno o más valores de configuración que se aplican a un usuario o computadora, y también puede brindar más de un usuario o conjunto de computadoras. Una GPO es básicamente un contenedor de configuraciones, reglas y estados deseados, pero resaltar que este contenedor no tiene nada que ver con un contenedor AD DS.

El principal problema que pueden causar las GPO no es la complejidad del diseño y la creación o la complejidad de la gestión y el mantenimiento, sino el uso de GPO heredadas, porque las GPO se pueden implementar en diferentes niveles...

Por lo tanto, es muy importante conocer los niveles en los que se pueden vincular los GPO y cómo interactúan entre sí para evitando de esta manera comportamientos no deseados. Porque cuando vinculamos un GPO, se usa en el contenedor de nivel superior pero se propaga a niveles inferiores.

Por ejemplo, si tenemos una estructura como la de la imagen y enlazamos la GPO Zaragoza a la OU, dicha GPO afectará a las OU de diferentes departamentos utilizando el usuario "Juan Perez" por ejemplo. perteneciente al Departamento Técnico de Zaragoza y afectará a este GPO de asignación de impresoras vinculadas de la unidad organizativa de Zaragoza.

Un dato a resaltar que necesitamos saber que los GPO se pueden habilitar en los siguientes niveles

Nivel de Sitio
Nivel de Dominio
Nivel local
Nivel de OU (Unidad Organizativa)

Cuando se trata del orden de las aplicacion, seria de esta manera:

GPO Locales
GPO a nivel de Sitio
GPO a nivel de Dominio
GPO a nivel de OU

¿Cuál es el uso de las GPO en una explotación?

Agregar en este punto que generalmente cuando hablamos de políticas de grupo, debemos pensar en configuraciones básicas, unidades de red o mapeos de impresoras, y en algunos casos resaltar que también podemos recordar la habilitación automática de programas, pero la implementación de políticas y configuraciones puede ir mucho más allá.

Para iniciar, como ya hemos resaltado, nos permiten estandarizar nuestros entornos de trabajo configurando, por ejemplo, fondo de pantalla, navegador predeterminado, página de inicio, etc...

La configuración de la red se puede configurar a través de GPO que le permiten establecer restricciones, como evitar que las computadoras portátiles se conecten a redes inalámbricas no autorizadas o solo a los SSID que están en la lista blanca de la empresa.

Por supuesto, esto nos brinda configurar el uso compartido de unidades de red y grupos, como departamentos, ubicaciones e incluso unidades personales para evitar scripts de mapeo antiguos o uso compartido manual. Lo mismo sucede con las impresoras, que se pueden asignar mediante GPO de forma mucho más rápida y cómoda que mediante el uso compartido manual.

La implementación de software también es uno de los puntos más importantes de las GPO porque nos permite instalar automáticamente programas en formato .msi o incluso dejar que el usuario decida si quiere instalar un software específico o no.

¿Qué herramientas usamos para la gestión de las GPO?

En este punto agregar que existen diversas herramientas para administrar políticas de grupo, desde aquellas basadas en una interfaz gráfica de usuario, es decir. herramientas propias del entorno Windows, hasta el clásico CMD (Command) o cmdlets de PowerShell.

Por otro lado, tenemos la consola de administración de políticas de grupo, también conocida como "GPMC". Esta consola se utiliza para ejecutar y vincular instrucciones.

Luego resaltar que tenemos el Editor de administración de políticas de grupo, que permite la creación de políticas y generalmente se usa para desarrollar una política de GPMC.

¿Dónde se almacenan las GPO?

La configuración de GPO consta básicamente de dos elementos principales; por un lado tenemos repositorios de instrucciones y por otro tenemos plantillas de configuración.

Un contenedor de políticas es uno de los objetos que componen AD DS y está diseñado esencialmente para mantener los GPO contenidos y organizados en un espacio. Y como todo elemento que conforma la estructura de AD DS, este contenedor tiene un identificador global único que lo identifica en el directorio.

Por último, se debe resaltar que la plantilla de directiva de grupo consiste en un conjunto de archivos que se encuentran en la carpeta SYSVOL, que es una carpeta replicada para cada controlador, almacenada en la carpeta SYSVOL y específicamente %SystemRoot%\SYSVOL\Domains\Policy\GPOGUID, donde el GUID de GPO es el GUID del contenedor.

Como se resalto en la presente wiki, las directivas de grupo o GPO son una de las herramientas más importantes que podemos utilizar para mantener nuestra infraestructura empresarial bajo control, rápida y eficiente, especialmente si tiene muchos hosts.

Y a través de ellos, el software puede implementarse automáticamente o brindar configuraciones estándar para conjuntos de hosts que podemos definir según nuestra ubicación en la estructura AD DS, dependiendo de la unidad organizativa OU a la que se encuentra.