miércoles, 19 de octubre de 2011

Administración de las políticas de grupo

Cada sistema Windows Server 2003 dispone de una política local que el administrador del dominio puede editar libremente según las exigencias de la organización, este tipo de recursos se llaman políticas de grupo que es una herramienta de configuración centralizada en dominios Windows 2003.

Las políticas se especifican mediante objetos de directorio denominados Objetos de Política de Grupo o GPOs, que es un objeto que incluye como atributos cada una de las políticas que se establecen tanto a equipos como a usuarios. Los GPOs se crean y se vinculan en distintos contenedores de forma que a los usuarios y grupos que cuelguen de este contenedor se les aplicarán dichas políticas.

La unidad organizativa or defecto "Domain.Controllers" ya viene con un mínimo de políticas de grupo, en cambio las unidades organizativas "Builtin,Users y Computer" ne se les pueden asociar GPOs, por lo que habrá que crear una estructura adecuada de OUs.

Las políticas de grupo se organizan jerárquicamente y existen dos nodos principales:

  •  La configuración del equipo: se establecen a nivel de equipo ( se aplican cada vez que se inicie)
  • La configuración de usuario: se aplican a  nivel de usuario (se aplican a cualquier usuario idependiente del equipo en el que se encuentre)
El administrador puede deshabilitar la selectivamente las políticas de equipo/usuario, por ejemplo, si se configuran políticas de equipo (pero no de usuario) el sistema seguirá procesando las políticas de usuario aunque no se apliquen, si se dehabilitan se evitará el retraso que esto genera en el inicio de sesión de dicho usuario.

Aplicación de políticas de grupo
Las políticas de grupo se aplican de la siguiente manera:
  • Un mismo GPO puede contener parámetros o políticas de configuración que deben de aplicarse a usuarios y a grupos.
  •  Cada GPO se vinvula a un contenedor del directorio activo (un sitio, un dominio, OU) afectando a los objetos que residen en él:
      • Los equipos
      • Los usuarios
      • Los sub-contenedores ( los GPOs vinculados a un sitio son heredados por su dominio a su vez estos GPOs mas los que estén vinculados por el dominio son heredados por la unidades organizativas del dominio)
  • Existe una relación "muchos a muchos" entre contenedores y GPOs: un mismo GPO puede vincularse a múltiples contenedores y un contenedor puede tener vinculados multiplis GPOS.
Las GPO son heredables y acumulativaas y debido a que incorporan los mismos parámetros de configuración se pueden producir conflictos. Para evitar estos conflictos es necesario un orden de apliación concreta para que se sepa que políticas afectarán a cada equipo o usuario:



  1. Se aplica la política de grupo local del equipo (Local Group Policy LGPO)
  2. Se aplican los GPOs vinculados a sitios.
  3. Se aplican los GPOs vinculados a dominios.
  4. Se aplican los GPOS vinculados a unidades organizativas de primer nivel, después de segundo nivel y así sucesivamente.
El orden de aplicación decide la prioridad entro los GPOs debido a que una política que se aplica mas tarde prevalece sobra las que se aplicaron con anterioridad.
Este comportamiento se puede refinar con los siguientes parámetros:
  1. Forzado (Enforced). Se puede activar independientemente a cada vínculo de un GPO , sus políticas no pueden ser sobreescritas por GPOs que se apliquen posteriormente (a subcontenedores de dicho contenedor).
  2. Bloquear la herencia de directivas (Block policy inheritance). Pertenece a los contenedores del Directorio Activo, desactiva la herencia de las políticas establecidas en contenedores superiores (excepto a aquellas que corresponde a GPOs con el parámetro Forzado).

En el caso de las políticas de usuarios su comportamiento se puede refinar utilizando grupos de seguridad.

Políticas de grupo y grupos de seguridad

Los GPOS poseen listas de control de acceso (DACLs) que en el caso de los GPOs permiten filtrar el ámbito de aplicación de un GPO y delegar su administración.

Filtrar el ámbito de aplicación de un GPO
Uno de los permisos de GPO es aplicar directivas de grupos (aplicar). Por defecto este permiso lo tienen concedido el grupo Usuarios autentificados (que incluyen a todos los usuarios del dominio).
Hay que tener en cuenta una seria de circunstancias:
  • Si degamos el permiso Aplicar a un grupo, impediremos que sus políticas afecten a cualquiera de sus miembros, aunque pertenezca a otros grupos que tengan este permiso concedido.
  • El permiso "aplicar" debe asignarse conjutamente con el permiso leer, ya que el GPO se procesa para todos los usuarios que poseen este permiso pero solo se aplica a los que posean además el de "aplicar".
  • Hay casos en el que si la política "aplicar" no debe establecerse para el grupo de administradores no es posible eliminiar el permiso "Leer" ya que sin este no podrían administrar el GPO.
Delegar la administración de un GPO

El grupo administrador de un GPO dispone del permiso "Control Total" aunque este puede ser asignado a cualquier usuario. Por defecto este permiso lo tienen:


  • El grupo Administración de Empresas
  • El grupo Administración del Dominio
  • El creador del GPO
  • El sistema
Este grupo no tienen concedido el permiso "aplicar a" aunque por formar parte del grupo usuarios autentificados reciben este permiso.
La administración de un GPO consta de dos actividades que pueden ser delegadas a cualquier usuario independientemente:
  • Creación de un GPO.
  • Vinculación de un GPO a un contenedor.



Principales políticas incluidas en un GPO.
 Cada GPO consta de un árbol de políticas que se subdivide en tres grupos , "Configuración de equipo" que contiene la configuración del equipo o usuario de la instalación autómatica del software, " Configuración de software" que contiene la configuración de ciertos parámetros de Windows y "Plantillas admnistrativas".




Plantillas administrativas

Que contienen todas las configuraciones de políticas basadas en el registro de Windows 2003, incluyendo aquellas que controlan el funcionamiento y apariencia del escritorio, de los componentes de Windows Server 2003 y de algunas aplicaciones que utilizan estas políticas.

Configuraciones de seguridad
Podemos destacar entre:
  • Políticas de cuentas
  • Políticas Locales
  • Registro de Eventos
Instalación de software


Se puede asignar y/o publicar aplciaciones a equipos o a usuarios en el dominio:
  • Asignar significa que un usuario tiene una aplicación disponible sin necesidad de que el administrador la instale, esta se instala automáticamente en su primera ejecución.
  • Publicar significa que un equipo o un usuario le da la oportunidad  al usuario de instalas dicha aplicación pero no se realiza automáticamente sino que ésta queda disponible en el panel de control para que el usuario la instale.

Scripts
Se pueden asignar los siguientes scripts:
  • Inicio (equipo)
  • Apagado (equipo)
  • Inicios de sesión (usuario)
  • Cierre de sesión (usuario)
 Redirección de carpetas
 Permite redirigir la ubicación de la carpeta predefinida de ciertas carpetas de cada usuario a otra ubicación( en la misma máquina o en otra máquina)

  Recomendaciones de uso
  • Administración de GPOs
  • Separar usuarios y equipos en unidades organizativas diferentes
  • Organización homogénea de unidades organizativas
  • Minimizar los GPOs asociados a usuarios o equipos
  • Minimizar el uso de "No reemplazar " y de "Bloquear la herencia"
  • Evitar asignaciones de GPOs entre dominios
  • Utilizar el proceso Loopback sólo cuando sea necesario
Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)