Gestión Avanzada de Directivas de Grupo en Active Directory

Administración de Directivas de Grupo

Para gestionar el entorno, se debe ejecutar la herramienta administrativa de Administración de Directivas de Grupo. Un ejemplo práctico es evitar que un usuario acceda a las herramientas de edición del registro; en este caso, el usuario será incapaz de ejecutar herramientas tales como Regedit.exe.

Creación y Personalización de GPOs

Para crear y personalizar la GPO asociada a una Unidad Organizativa (OU), se deben seguir estos pasos:

• Seleccionar la Unidad Organizativa.
• Hacer clic con el botón derecho.
• Seleccionar "Crear un GPO en este dominio y vincularlo aquí" o "Vincular un GPO existente".

Una vez que se ha creado o vinculado, se debe seleccionar la directiva y pulsar Editar para personalizar la GPO. Esto abrirá el Editor de Administración de Directivas de Grupo (GPME). Posteriormente, se realiza doble clic sobre la configuración de la directiva en Propiedades.

Configuración de una Directiva

Las directivas presentan tres estados posibles: no configurada, habilitada y deshabilitada. Al inicio, cualquier directiva estará como no configurada, lo que significa que la GPO no modificará la configuración existente. Si procedemos a habilitar la directiva "Impedir el acceso a herramientas de edición del registro", los usuarios serán incapaces de ejecutar el editor de registro Regedit.exe.

GPOs Predeterminadas en el Sistema

Cuando se instala AD DS (Active Directory Domain Services), se crean automáticamente dos GPO:

• Directiva predeterminada de dominio (Default Domain Policy): Está vinculada al dominio y no tiene grupos de seguridad o filtros WMI aplicados inicialmente.
• Directiva predeterminada de controladores de dominio (Default Domain Controllers Policy): Está vinculada específicamente a la OU de controladores de dominio.

Ámbito de Aplicación

El ámbito permite delimitar el alcance de una GPO. Es fundamental entender que la modificación de la configuración de un objeto no afecta a los equipos o usuarios de la empresa hasta que hayamos especificado el ámbito al que se aplicará. El ámbito se define como el grupo de usuarios y equipos que recibirán las configuraciones establecidas en el GPO.

Administración del Ámbito

Para administrar el ámbito de forma efectiva, se pueden utilizar los siguientes métodos:

• Vincular los GPO a sitios, dominios y unidades organizativas dentro de Active Directory.
• Filtros de seguridad: Permiten especificar grupos de seguridad global a los que el GPO debería o no aplicarse.
• Filtros del Instrumental de administración de Windows (WMI): Especifican un ámbito utilizando características técnicas del sistema, tales como las versiones del sistema operativo o el espacio libre en disco.

Procedimientos Técnicos de Gestión

Crear el ámbito inicial del GPO

Hacer clic con el botón secundario en el contenedor y seleccionar "Vincular un GPO existente". Para gestionar sitios, pulsar el botón secundario en "Mostrar sitios", elegir el sitio que queremos administrar y seleccionar "Crear un vínculo". También se puede hacer clic derecho sobre el sitio y seleccionar "Crear un GPO en este dominio y vincularlo aquí".

Delegación y Permisos

• Permisos para vincular la GPO: Seleccionar el contenedor, hacer clic en la pestaña Delegación, entrar en Permisos y seleccionar "Vincular objetos de directiva de grupo".
• Editar GPO: Realizar clic derecho sobre el contenedor Objetos de Directiva de Grupo y seleccionar Editar.
• Permisos de la GPO: Seleccionar la GPO específica en Objetos de Directiva de Grupo y hacer clic en Delegación en el panel de detalles.
• Modificar vínculo de GPO: Pulsar con el botón secundario sobre el vínculo de la GPO y desactivar la opción "Vínculo habilitado" si se desea suspender su aplicación.