Directivas de grupo en Windows 10

Manual de Windows 10 de Miniacademia

INDICE DEL MANUAL

     Las Objetos de Directiva de Grupo (GPO) permiten realizar una gestión centralizada de las configuraciones de los equipos y las sesiones de usuario en una red basada en Active Directory de Microsoft.

   Con el uso de directivas pueden configurarse aspectos de seguridad y experiencia de usuario e instalar aplicaciones y ejecutar scripts en los equipos, entre otras muchas posibilidades.

   Para poder describir en profundidad la administración de GPOs y los procesos asociados sería necesaria una documentación extensa y compleja. En el caso de esta lección, el objetivo es que a su finalización se hayan asimilado y practicado los conceptos básicos fundamentales.



Manual de Windows 10 de Miniacademia - Directivas de grupo GPO


LECCIÓN CON PRÁCTICAS
MDOM01 MWST01 Manual de Windows 10 de Miniacademia - Diagrama Laboratorio
MWST04 MAL102

 


1.- Consola de administración de directivas de grupo

   La mayor parte de las tareas de administración de las GPO se realizan a través de la consola de Administración de directivas de grupo. Esta consola está disponible en nuestro controlador de dominio.

    La consola de Administración de directivas de grupo puede abrirse desde la aplicación “Administración del servidor”, haciendo clic en “Herramientas” en la parte superior derecha, y eligiendo “Administración de directivas de grupo”. También puede abrirse ejecutando gpmc.msc en Inicio (Btn. derecho) -> “Ejecutar”.

Manual de Windows 10 para la empresa - Consola de directivas de grupo

Imagen 7.1 – Consola de administración de directivas de grupo.

   En un primer acercamiento a la consola debemos fijarnos en algunos de los nodos que pueden observarse en la imagen 7.1:

  • GPOs existentes en el dominio: durante la configuración inicial de un nuevo dominio Active Directory, se crean por defecto dos GPOs:
    • Default Domain Controllers Policy.
    • Default Domain Policy.

   Ambas establecen un marco de seguridad de base para los dominios Active Directory. En el caso de Default Domain Policy, esta se encuentra vinculada al nodo MINIACADEMIA.LOCAL. Es decir, al dominio completo, por lo que las configuraciones que contiene se aplicarán a todos los usuarios y equipos unidos al dominio. Default Domain Controllers Policy por su parte está vinculada al contenedor de los controladores del dominio, por lo que su configuración sólo se aplica a estos (y a los objetos que incluyamos en ese contenedor).

  • Nodo “Objetos de directivas de grupo”: en él aparecerán todas las GPOs que se vayan creando en la consola.

2.- Las GPO y la estructura de Active Directory

   Antes de empezar con la creación de nuevas directivas de grupo, hay que tener en cuenta un aspecto fundamental: la estrecha relación entre las GPOs y la estructura del Active Directory de la empresa.

   Active Directory es servicio de directorio que permite almacenar información de los recursos de la empresa de manera organizada para distintos usos. Es habitual (y recomendable) que la estructura del directorio refleje la organización de la empresa. Esto permite entre otras cosas ajustar adecuadamente las directivas de grupo, ya que permite aplicar distintas GPOs a cada departamento.

   Práctica 7.1: Preparación de de la estructura de Active Directory para la aplicación de directivas de grupo.

   En esta práctica se crearán unas unidades organizativas del directorio de Miniacademia a imagen de su estructura departamental. Los departamentos (o ubicaciones) que la componen son:

  • Administración.
  • Informática.
  • Profesores.
  • Aulas.
  • CPD.

   En cada uno de estos departamentos o ubicaciones puede haber usuarios y equipos. Por tanto, se creará una unidad organizativa (a partir de ahora OU) por cada departamento y dentro de ella una para los usuarios y otra para los equipos. También se creará otra OU además de las departamentales en la que se ubicarán los grupos de usuarios y equipos que sean necesarios.

   Después de crear la estructura, se procederá a mover los usuarios y equipos ya creados en el laboratorio a su ubicación adecuada.

  1. Se inicia sesión en el controlador de dominio MDOM01. La aplicación “Administración del servidor” debería lanzarse automáticamente al iniciar sesión con el administrador del dominio.
  2. Una vez disponible el “Administrador del servidor”, haciendo clic en “Herramientas” en la parte superior derecha, se elige “Usuarios y equipos de Active Directory”.
  3. Se expande el contenedor principal “MINIACADEMIA.LOCAL”, en el panel izquierdo. Sobre el nombre del dominio, en el menú contextual se elige “Nuevo” -> “Unidad Organizativa”.
  4. Ventana “Nuevo objeto:unidad organizativa”: en el valor de “Nombre” se escribe “Miniacademia”. Se hace clic en “Aceptar”.

    Imagen 7.2 - Creación de la OU para Miniacademia

    Imagen 7.2 – Creación de la OU para Miniacademia

  5. Sobre la OU “Miniacademia” recién creada se elije de nuevo en su menú contextual la opción “Nuevo” -> “Unidad Organizativa”. Se le da el Nombre “Administración”. De esta manera se crea la OU del departamento de Administración de Miniacademia.
  6. Bajo la OU de “Administración” se crean dos OUs llamadas “Equipos” y “Usuarios”.
  7. Se repite la operación hasta crear OUs análogas para el resto de departamentos, además de la denominada “Grupos”.
  8. La estructura final estará formada por OUs de cada departamento, además de la de “Grupos”, colgando de la OU “Miniacademia”. Dentro de cada una de las OUs secundarias, debe haber otras dos llamadas “Equipos” y “Usuarios”. El resultado puede compararse con la imagen 7.3.

    Manual de Windows 10 para la empresa - Estructura de Active Directory.

    Imagen 7.3 – Estructura final del AD de Miniacademia.

  9. Si por algún motivo es necesario eliminar alguna de las OUs creadas, se debe seleccionar la opción “Ver” -> “Características avanzadas” en el menú principal de la consola “Usuarios y equipos de Active Directory”. Después, seleccionando la OU a eliminar, se elije en el menú contextual “Propiedades”. En la pestaña “Objeto” se debe desmarcar “Proteger objeto contra eliminación accidental”. Se hace clic en aceptar. De esta manera ya se podrá eliminar la OU desde su menú contextual.
  10. En el panel izquierdo de la consola “Usuarios y equipos de Active Directory”, seleccionar el contenedor “Computers”. Ahí estarán las cuentas de los equipos unidos al dominio “MWST01″ y MWST04”. A través de la opción de menú contextual de cada uno de ellos “Mover..” se debe ubicar cada equipos en las siguientes OU:
    1. MWST01: Miniacademia->Administración->Equipos.
    2. MWST04: Miniacademia->Informática->Equipos.
  11. Igualmente, desde el contenedor “Users” se deben mover los usuarios:
    1. Laura Administrativa (ladministrativa): Miniacademia->Administracion->Usuarios.
    2. Antonio Técnico (atecnico): Miniacademia->Informática->Usuarios.
    3. Alumno 102 (a102): Miniacademia->Aulas->Usuarios.
  12. Si se refresca la consola de Administración de directivas de grupo, la nueva estructura de Active Directory debe quedar reflejada.

3.- Creación y edición de GPO

   Ahora sí que entraremos de lleno en el tema que nos ocupa: la creación y aplicación de las directivas. Estas tareas, como casi todas las relacionadas con las GPOs, se lleva a cabo con la consola “Administración de directivas de grupo”.

   Crear una GPO es sólo un primer paso. El segundo es especificar a qué usuarios o equipos se quiere aplicar. Para esto se debe vincular la GPO creada a algún contenedor de usuarios y equipos de Active Directory . Los tipos de contenedores a los que se puede aplicar son:

  • Sitio.
  • Dominio.
  • Unidad organizativa.

Práctica 7.2 : Creación de directiva de grupo para habilitar el acceso por escritorio remoto a los equipos cliente.

   Procederemos a crear una directiva de grupo que habilitará el acceso por escritorio remoto a los equipos de los departamentos de Administración, Aulas, Informática y Profesores. Además el acceso se configurará como cifrado y sólo podrán utilizarlo los miembros de un grupo de seguridad en el que estarán incluidos los miembros de soporte informático.

  1. Se inicia sesión en el controlador de dominio MDOM01. La aplicación “Administración del servidor” debería lanzarse automáticamente al iniciar sesión con el administrador del dominio.
  2. Creación del grupo de seguridad “gs_soporte_informatico”: Los miembros de este grupo serán los que puedan acceder por escritorio remoto a los equipos de escritorio de la empresa. Para crearlo, desde “Administrador del servidor”, haciendo clic en “Herramientas” en la parte superior derecha se elige “Usuarios y equipos de Active Directory”, y se navega en el panel izquierdo hasta la OU “Miniacademia” -> “Grupos” -> “Usuarios”. En esta OU, en el menú contextual se elige “Nuevo”->”Grupo”.
  3. Ventana “Nuevo objeto: Grupo” se escribe “gs_soporte_informatico” en el valor de “Nombre del grupo”. Se hace clic en “Aceptar”.

    Manual de Windows 10 de Miniacademia - creación de grupo de seguridad

    Imagen 7.4 – Creación de un grupo de seguridad para los técnicos de soporte.

  4. Una vez creado el grupo, se selecciona este en el panel derecho de la consola y se elige “Propiedades” en su menú contextual. En la pestaña “Miembros” se añade el usuario atecnico.
  5. Creación de la directiva de grupo “Soporte informático”: Esta directiva agrupará una serie de configuraciones que facilitarán la administración de los equipos por parte de los informáticos de la empresa. Por ahora sólo incluirá la posibilidad de conectarse a los equipos a través de escritorio remoto, pero serán añadidas más configuraciones posteriormente a lo largo del manual. Habilitar el escritorio remoto implica varios pasos: permitir en el firewall de Windows de cada equipo cliente las conexiones por escritorio remoto, habilitar el acceso por escritorio remoto en los equipos, asegurar el cifrado de la conexión por escritorio remoto (opcional), y elegir el grupo del directorio que al que se le permitirá conectar por escritorio remoto a los equipos.
  6. Para comenzar, desde la aplicación “Administrador del servidor”, haciendo clic en “Herramientas” en la parte superior derecha, se elige “Administración de directivas de grupo”. Se abrirá la consola de directivas.
  7. En el menú contextual del nodo “Objetos de directiva de grupo” se elige “Nuevo”.
  8. Ventana “Nuevo GPO”: se escribe el nombre de la GPO que se va a crear. En este caso “Soporte informático”. Se hace clic en Aceptar.

    Manual de Windows 10 para la empresa - nombre de la nueva GPO

    Imagen 7.5 – Nombre de la nueva GPO.

  9. Se expande el nodo de “Objetos de directiva de grupo”. Aparecerá la nueva GPO “Soporte informático”. En su menú contextual se elige “Editar”.

    Manual de Windows 10 para la empresa - Edición de GPO

    Imagen 7.6 – Edición de la nueva GPO creada.

  10. Aparecerá la herramienta de “Editor de administración de directivas de grupo”.
  11. Para configurar el firewall de los equipos cliente para que admita conexiones por escritorio remoto, se debe navegar hasta el nodo: “Configuración de equipo” -> “Directivas” -> “Configuración de Windows” -> “Configuración de seguridad” -> “Firewall de Windows con seguridad avanzada” -> “Reglas de entrada”. En el menú contextual de “Reglas de entrada” elegir “Nueva regla”.

    Manual de Windows 10 para la empresa - Regla de entrada del Firewall por directivas.

    Imagen 7.7 – Regla de entrada del Firewall por directivas.

  12. Ventana “Asistente para nueva regla de entrada”: marcar “Predefinida” y en el correspondiente desplegable seleccionar “Escritorio remoto”. Hacer clic en “Siguiente”.
  13. Ventana “Reglas predefinidas”: se muestran las reglas agrupadas en el grupo predefinido de reglas “Escritorio remoto”. Dejar todas seleccionadas. Estas serán las reglas que serán habilitadas en los equipos cliente cuando se aplique esta directiva. Hacer clic en “Siguiente”.

    Manual de Windows 10 para la empresa - Regla predefinida de escritorio remoto.

    Imagen 7.8 – Se elige la regla predefinida para escritorio remoto.

  14. Ventana “Acción”: seleccionar “Permitir la conexión”. Hacer clic en “Finalizar”.
  15. El segundo paso para habilitar el acceso por escritorio remoto es permitir en los equipos el acceso por escritorio remoto. Para ello, se debe abrir la directiva “Configuración de equipo” -> “Directivas” -> “Plantillas administrativas” -> “Componentes de Windows” -> “Servicios de escritorio remoto” -> “Host de sesión de escritorio remoto” -> “Conexiones” -> “Permitir que los usuarios se conecten de forma remota mediante Servicios de escritorio remoto”. Seleccionar “Habilitada”. Hacer clic en “Aceptar”.

    Manual de WIndows 10 para la empresa - habilitar escritorio remoto por directivas.

    Imagen 7.9 – Directiva para habilitar el acceso por escritorio remoto.

  16. El tercer paso para habilitar el acceso por escritorio remoto es asegurar el cifrado de la conexión. Para ello se debe abrir la directiva “Configuración de equipo” -> “Directivas” -> “Plantillas administrativas” -> “Componentes de Windows” -> “Servicios de escritorio remoto” -> “Host de sesión de escritorio remoto” -> “Seguridad” -> “Establecer el nivel de cifrado de conexión de cliente”. Seleccionar “Habilitada”. En “Nivel de cifrado” en nuestro laboratorio elegiremos “Nivel Alto” (clientes RDP antiguos podrían no funcionar). Hacer clic en “Aceptar”.
  17. Por último hay que seleccionar el grupo del directorio que podrá realizar las conexiones por escritorio remoto como cliente. El grupo ha sido creado en esta misma práctica, gs_soporte_informatico, del que forma parte atecnico. Por defecto, los usuarios que pueden establecer una conexión RDP con un equipo son los incluidos en el grupo local (de cada equipo) “Usuarios de escritorio remoto”. Así que habrá que incluir gs_soporte_informatico en dicho grupo. Para ello, se debe ir a  “Configuración de equipo”->”Directivas”->”Configuración de Windows”->”Grupos restringidos”. En “Grupos restringidos” se debe elegir en la opción “Agregar grupo” del menú contextual.
  18. Ventana “Agregar grupo”: se debe escribir el grupo local de cada equipo que se quiere configurar. Por tanto, se debe escribir “Usuarios de escritorio remoto”. Se hace clic en “Aceptar”.
  19. Ventana “Usuarios de escritorio remoto Propiedades”: en “Miembros de este grupo” se debe agregar “MINIACADEMIA\gs_soporte_informatico”. Se hace clic en “Aceptar”.

    Manual de Windows 10 para la empresa - Grupos restringidos

    Imagen 7.10 – Se agrega el grupo gs_soporte_informatico al grupo local Usuarios de escritorio remoto.

  20. En este momento ya se tiene creada una configuración válida de la directiva de grupo “Soporte informático”. Pero ahora hay que hacer que se aplique a las OUs que se estime oportuno. El departamento de Informática de Miniacademia debe prestar soporte tanto a los usuarios internos como a los alumnos. Por tanto, se vinculará la directiva de grupo “Soporte informático” con los departamentos de Administración, Aulas, Informática y Profesores. A continuación veremos cómo hacerlo.
  21. En el panel izquierdo de la consola “Administración de directivas de grupo”, se expande el dominio “MINIACADEMIA.LOCAL” y la OU “Miniacademia”. En la OU secundaria “Administración” se elige la opción “Vincular un GPO existente…”.

    Manual de Windows 10 para la empresa - vincular una GPO

    Imagen 7.11 – Se vincula la GPO creada a las OUs que corresponda.

  22. Ventana “Seleccionar GPO”: se elige “Soporte informático”. Se hace clic en “Aceptar”. Se repite la operación para los departamentos de Aulas, Informática y Profesores.
  23. Ahora ya está todo preparado para que los equipos se configuren automáticamente para aceptar conexiones de escritorio remoto por parte del soporte técnico de Miniacademia. Pero para ello primero se debe realizar el proceso de aplicación de la nueva directiva de grupo a  los equipos.

 

   Una vez creada una directiva, es habitual tener que editarla para ampliarla, realizar cambios o corregir problemas. Para ello, desde la consola de “Administración de directivas de grupo”, se debe elegir  la opción del menú contextual “Editar..”. Así se abrirá el editor de directivas para la GPO en cuestión.

Práctica 7.3 : Edición de directiva de grupo para habilitar el acceso por WMI a los equipos cliente.

   Otra configuración necesaria para una correcta administración remota de equipos es la posibilidad de acceder a al Instrumental de administración de Windows (WMI) de los equipos de la red. Esto permite obtener una gran cantidad de datos de hardware y configuración de los equipos remotos. En breve será necesario que podamos utilizar WMI para depurar la aplicación de las directivas de grupo más abajo en esta lección. Así que aprovecharemos para practicar la modificación de una GPO, añadiendo a la que acabamos de crear (Soporte informático) la apertura del firewall para las solicitudes WMI.

  1. En la consola de Administración de directivas de grupo, en el panel izquierdo, navegar hasta “MINIACADEMIA.LOCAL”->”Objetos de directiva de grupo”. En la GPO “Soporte informático” elegir la opción de menú contextual “Editar…”. Se abrirá el Editor de administración de directivas de grupo para “Soporte informático”.
  2. Para configurar el firewall de los equipos cliente para que admita conexiones por WMI, se debe navegar hasta el nodo: “Configuración de equipo” -> “Directivas” -> “Configuración de Windows” -> “Configuración de seguridad” -> “Firewall de Windows con seguridad avanzada” -> “Reglas de entrada”. En el menú contextual de “Reglas de entrada” elegir “Nueva regla”.
  3. Ventana “Asistente para nueva regla de entrada”: marcar “Predefinida” y en el correspondiente desplegable seleccionar “Instrumental de administración de Windows”. Hacer clic en “Siguiente”.
  4. Ventana “Reglas predefinidas”: se muestran las reglas agrupadas en el grupo predefinido de reglas “Instrumental de administración de Windows”. Dejar todas seleccionadas. Estas serán las reglas que serán habilitadas en los equipos cliente cuando se aplique esta directiva. Hacer clic en “Siguiente”.
  5. Ventana “Acción”: seleccionar “Permitir la conexión”. Hacer clic en “Finalizar”.
  6. Para asegurarse de la aplicación de la nueva directiva, se debería forzar su actualización con alguno de los métodos explicados anteriormente.

 

   El conjunto de las configuraciones que se han añadido a una directiva puede visualizarse, seleccionando la GPO en cuestión, en la pestaña “Configuración” del panel derecho de la consola de Administración de directivas de grupo.

Manual de Windows 10 para la empresa - detalles de GPO

Imagen 7.12 – Configuración de una GPO.

4.- Forzar la aplicación de las GPO

   Una vez creada la nueva GPO, después de un tiempo (ya hablaremos de esto más adelante), las configuraciones dictadas por dicha GPO comenzarán a tener efecto en los departamentos especificados.

   Seguiremos siendo prácticos un poco más antes de teorizar. Vamos a forzar que las directivas se apliquen inmediatamente. Esto se puede hacer de varias maneras. La más recurrente, cuando se quiere que alguna GPO se aplique en el mismo momento que el técnico informático está intentando resolver alguna incidencia en un puesto de usuario, es utilizar el comando gpupdate en dicho equipo.

   El comando gpupdate permite ejecutar en tiempo real el proceso de actualización de los cambios de directivas. Con el parámetro /force se obliga a que se apliquen todas, no solo las modificadas.

Práctica 7.4 : Forzar la aplicación de las directivas.

   Para asegurar la aplicación de la GPO Soporte informático recién creada, se forzará la aplicación de directivas al menos en el equipo del laboratorio susceptible de necesitar soporte, el MWST01 del departamento de Administración. Para comenzar esta práctica es necesario:

  • MWST01 con sesión iniciada por el usuario ladministrativa.
  • MWST04 con sesión iniciada por atecnico.
  • MDOM01 iniciado.

   El escenario podría ser el siguiente: atecnico necesita conectarse por escritorio remoto desde su equipo (MWST04) al de la usuaria ladministrativa (MWST01), ya que va a realizar alguna tarea de mantenimiento en este pero quiere hacerlo desde su propio puesto de trabajo. Como la GPO Soporte informático acaba de ser creada, aun no puede conectarse. Así que va al puesto de la usuaria para ejecutar el comando gpupdate.

  1. En MWST01 se abre un intérprete de comandos cmd (Inicio->”Todas las aplicaciones”->”Sistema de Windows”->”Intérprete de comandos”).
  2. En la línea de comandos escribir gpupdate /force. Cuando el comando termina de procesarse, atecnico vuelve a su propio equipo.

    Manual de Windows 10 de Miniacademia - gpupdate

    Imagen 7.12 – Ejecución de gpupdate /force.

  3. Desde MWST04 iniciar un cliente de terminal. Para ello se puede hacer clic con el botón derecho sobre Inicio y elegir “Ejecutar”. En “Abrir” se debe escribir mstsc.
  4. Ventana “Conexión a escritorio remoto”: En “Equipo” se escribe el nombre del equipo al que se quiere conectar. En este caso MWST01. Se hace clic en “Conectar”.
  5. Una vez escritas las credenciales, se podrá acceder por escritorio remoto al equipo remoto. Al tener sesión iniciada el usuario ladministrativa en el MWST01, esta usuaria deberá aceptar la solicitud de conexión.

   Existen otras maneras de aplicar en tiempo real las GPOs. Una de ellas es el cmdlet de Powershell Invoke-GPUpdate. Con este comando se puede realizar la aplicación de las directivas actualizadas en un equipo remoto. Para que esto funcione, se deben tener habilitadas las siguientes reglas del Firewall de Windows en el equipo remoto.

  • Administración remota de tareas programadas (RPC).
  • Administración remota de tareas programadas (RPC-ERMAP).
  • Instrumental de Administración de Windows (WMI-IN).

   Así pues, para realizar una operación similar a la de la Práctica 8.4 pero con el comando Invoke-GPUpdate, se podría abrir la consola de PowerShell desde Inicio -> “Todas las aplicaciones” -> “Windows Powershell” -> “Windows Powershell”.

NOTA: es recomendable anclar a Inicio el acceso a Windows Powershell ya que se utilizará muy a menudo en las prácticas.

   El comando completo que se debería ejecutar es:

PS C:\Users\Administrador> Invoke-GPUpdate -computer MWST01 -force -RandomDelayInMinutes 0

   Para que el efecto sea similar a gpupdate /force, se debe utilizar el parámetro RandomDelayInMinutes 0. Así la aplicación de las GPOs será inmediata en el equipo destino. Hay que tener en cuenta que al ejecutar este cmdlet, en el escritorio equipo cliente aparecerá una ventana cmd durante la actualización de las directivas.

   Otra manera de forzar una aplicación de directivas se puede llevar a cabo desde la consola “Administración de directivas de grupo”. En cualquier OU, en el menú contextual se debe elegir “Actualización de directiva de grupo…”.

 

5.- Anatomía de una GPO

   Una GPO, como su nombre indica, es un objeto. Y como tal tiene atributos. Por otra parte, una GPO contiene las configuraciones que quieren aplicarse a los equipos y usuarios. Utilizando términos técnicos, una GPO se compone de:

  • GPC (Group Policy Container): es un objeto de Active Directory que contiene una serie de atributos asociados a la GPO. Estos objetos se pueden visualizar en la consola de “Usuarios y dominios de Active Directory” (teniendo activada la opción del menú principal “Ver” -> “Características avanzadas”), en el nodo “MINIACADEMIA.LOCAL” -> “System” -> “Policies”
  • GPT (Group Policy Template): conjunto de carpetas y ficheros en la ruta “\\miniacademia.local\SYSVOL\MINIACADEMIA.LOCAL\Policies” que contienen los valores de configuración de directiva que se quieren aplicar a equipos y usuarios.

   Cada GPO tiene un identificador ID único. En la consola de “Administración de directivas de grupo”, seleccionando cualquier GPO, el valor  del ID puede obtenerse en el panel derecho, pestaña “Detalles”. Este ID se puede utilizar para identificar la GPC y la GPT en sus correspondientes ubicaciones. Otro valor muy importante que se muestra en la misma ventana es el número de versión de la GPO, tanto de usuario (“Versión de usuario”) como de equipo (“Versión de equipo”). Cuando se realiza una modificación de una GPO en la parte de usuario o de equipo, el correspondiente número de versión se incrementa.

Manual de Windows 10 para la empresa - componentes de una GPO

Imagen 7.13 – GPC, GPT y algunos atributos de una GPO. de una GPO

 

6.- Procesamiento de las GPO

   Ya hemos creado la primera GPO y hemos aprovechado sus ventajas al poder conectar a cualquier escritorio remoto de usuario en Miniacademia. En esta sección vamos a profundizar en el funcionamiento de las directivas de grupo.

   Si no se fuerza la aplicación de las GPO con alguno de los métodos explicados antes, el sistema lo hace del siguiente modo: las directivas configuradas a nivel de equipo se aplican durante el arranque del mismo, y la parte de directivas de usuario se aplican cuando este inicia sesión (con matices que veremos un a continuación). Además, cada cierto tiempo los equipos vuelven a cargar los cambios realizados por los administradores en las directivas de grupo. Si esto no se configura de otro modo mediante directivas, el chequeo de cambios se realiza cada 90 minutos (con un margen de + o – 30 minutos) en el caso de sistemas operativos de escritorio, y cada 5 minutos en el caso de servidores. Para optimizar el proceso de aplicación de las directivas, solo se aplican las que han sido modificadas. Es decir, aquellas cuyo número de versión no coincida con el que tiene aplicado el equipo (sin embargo, con el comando gpupdate /force  se aplican todas).

   Pero con todo esto también interacciona el procesamiento síncrono o asíncrono de las directivas. Cuando se inicia un equipo, el procesamiento de directivas no obliga al equipo a esperar a que se establezca la conexión de red para permitir que el usuario pueda iniciar sesión. Las directivas se procesarán en el momento en el que se establezca esa conexión, de modo asíncrono. Si alguna directiva (por sus características) debe ser procesada obligatoriamente con procesamiento síncrono (como una desinstalación de software), se programará su ejecución para el próximo inicio del equipo.

Una información detallada sobre el procesamiento de directivas se puede encontrar en https://technet.microsoft.com/es-es/library/jj573586.aspx

   Es un buen momento para profundizar un poco más en los destinatarios de las directivas. Sólo hemos visto que estas se pueden vincular en distintos tipos de contenedores: dominio, sitio y unidades organizativas. Los usuarios y equipos que “cuelguen” de dichos nodos recibirán las configuraciones vinculadas a ellos. Pero se pueden filtrar aun más los destinatarios:

  • Filtrado de seguridad: grupos de Active Directory de usuarios o equipos. Por defecto, se aplica a cualquier usuario o equipo del dominio, ya que el grupo “Usuarios autentificados”, el asignado por defecto, los contiene a todos ellos. Esto se puede cambiar en la Consola de administración de directivas de grupo, seleccionando la directiva en cuestión. En el panel derecho, en la parte inferior, el valor aparece en la sección “Filtrado de seguridad”.
  • Filtros WMI: qué grupos de usuarios o equipos que cumplan con determinada consulta WMI. Se pueden crear nuevas consultas WMI en el nodo “Filtros WMI” del panel izquierdo, y cambiar el valor en cada directiva en el panel derecho de la consola, en la parte inferior, en la sección “Filtrado WMI”.
Manual de Windows 10 para la empresa - Filtrado GPO

Imagen 7.14 – Filtrado de seguridad y WMI.

7.- Herencia de las GPO

   Hasta ahora, en nuestro laboratorio sólo hemos creado una GPO llamada “Soporte informático”. Pero en un entorno real el número de directivas de grupo será normalmente mucho mayor. En algunos casos se opta por crear pocas directivas con un gran número de configuraciones en cada una. El otro extremo sería crear una GPO por cada configuración que se quiera aplicar. En el primer caso la administración puede ser más fácil, pero el procesamiento más lento (cualquier mínimo cambio en alguna GPO obliga al procesamiento de dicha directiva al completo). En el segundo, la administración se puede volver compleja al tener que administrar el impacto de un gran número de directivas.

   En la siguiente práctica se definirá una nueva GPO llamada “Configuración puesto de trabajo corporativo”. El objetivo de la GPO es configurar los puestos de trabajo a medida de las necesidades de la empresa Miniacademia. Por ahora, sólo incluirá la conexión de una unidad de red en los equipos a una carpeta compartida en el controlador de dominio.

Práctica 7.5 : Creación de directiva para conectar unidad de red a una carpeta compartida en el servidor desde los equipos cliente.

   Los pasos para la creación de la GPO no serán tan detallados como en las anteriores prácticas. Por otra parte, la seguridad que se va a aplicar a la carpeta compartida no es aconsejable a un entorno de producción, ya que cualquier usuario (de los incluidos en el grupo que crearemos) podrá acceder a todos los archivos.

  1. Creación del grupo de seguridad de de Active Directory que contenga los usuarios que podrán acceder a la carpeta compartida: en la consola “Usuarios y equipos de Active Directory”, crear el grupo “gs_trabajadores_miniacademia” en el nodo “Miniacademia”->”Grupos”->”Usuarios”. Incluir en él a los usuarios atecnico y ladministrativa.
  2. Creación de la carpeta compartida que se conectará como unidad de red desde los clientes: en MDOM01 crear la carpeta “C:\DATOS_COMPARTIDOS”. Sobre la carpeta, elegir la opción de menú contextual “Compartir con”->”Usuarios específicos”.
  3. Ventana “Archivos compartidos”: incluir el grupo gs_trabajadores_miniacademia con permisos de lectura y escritura. Se hace clic en “Compartir” y después en “Listo”. Los usuarios ya podrían entrar en la carpeta compartida a través de la red. Ahora queda configurar por directivas que automáticamente tengan disponible una unidad de red para entrar en dicha carpeta compartida.
  4. En la consola Administración de directivas de grupo crear la GPO “Configuración puesto de trabajo corporativo” en el nodo “Objetos de directiva de grupo”.
  5. Editar la GPO recién creada y navegar al nodo “Configuración de usuario” -> “Preferencias” -> “Configuración de Windows” -> “Asignaciones de Unidades”. En el menú contextual elegir “Nuevo” -> “Unidad asignada”.
  6. Ventana “Nuevas propiedades de controlador”:
    • “Acción”: “Reemplazar”.
    • “Ubicación”: “\\mdom01\datos_compartidos”.
    • “Reconectar”: Marcado.
    • “Etiquetar como”: “Compartido”.
    • “Usar”: Elegir la unidad “X”. Se hace clic en “Aceptar”. Se cierra el editor de la GPO.

      Manual de Windows 10 de miniacademia.es - Preferencias de directiva

      Imagen 7.15 – Propiedades de la unidad de red a conectar.

  7. Vincular la GPO recién creada en la consola de Administración de directivas de grupo a las OUs de Administración, Informática y Profesores, a través del menú contextual de cada una de ellas en la opción “Vincular un GPO existente…” y eligiendo “Configuración puesto de trabajo corporativo”.
  8. Iniciar sesión de nuevo con usuario atecnico en el equipo MWST04. Esto es necesario para que se aplique correctamente la pertenencia de ese usuario al nuevo grupo “gs_trabajadores_miniacademia” y pueda acceder a la carpeta de red compartida en el servidor.
  9. En el Explorador de archivos, dentro de “Equipo”, debería aparecer la unidad X: conectada a \\mdom01\datos_compartidos, ya que al ser una directiva de usuario debería procesarse al inicio de su sesión. Si no es así, se puede ejecutar el comando gpudate /force.

 

   Ahora existen varios departamentos de Miniacademia en los que se aplica más de una GPO. Por ejemplo, seleccionando el departamento de Administración en la pestaña “Objetos de directiva vinculados” aparecen las dos GPO que se le han vinculado manualmente. El valor de la columna “Orden de vínculos” determina la prioridad con la que se aplica cada una. Este orden puede modificarse con las flechas a la izquierda de la columna.

Manual de Windows 10 de Miniacademia.es - GPO Orden vínculos

Imagen 7.16 – Orden de vínculos en una OU

   Pero además existe la GPO “Default Domain Policy”, vinculada a la raíz del dominio, como puede verse en la imagen 7.16, cuya aplicación se heredará en los nodos inferiores. Las GPO que se finalmente se heredan en cada nodo se pueden consultar en la pestaña “Herencia de directivas de grupo”. En la columna “Prioridad” se muestra un indicador de la importancia de cada GPO en el resultado final.

Manual de Windows 10 de miniacademia.es - Herencia de directivas

Imagen 7.17 – Herencia de directivas.

   El procesamiento de las GPO provee mecanismos para gestionar las herencias de las directivas a través de las OUs anidadas y los conflictos que esto puede ocasionar cuando más de una GPO incluye la misma configuración pero con distintos valores. Por ello existe un orden de procesamiento de las directivas, de manera que pueda controlarse el estado final de configuración del equipo o usuario. Es decir, cuál de todas es la que persiste,

   A continuación veremos un poco más en profundidad los conceptos de orden de vínculos y prioridad en la herencia. Para ello crearemos una GPO temporal de prueba que incluya una configuración conflictiva. Una vez creada se definirán los mismos valores para algunas de estas configuraciones en la directiva “Soporte informático” creada anteriormente de manera que ambas GPOs entren en conflicto, y así poder practicar la precedencia y herencia de GPOs.

   Como ya hemos dicho, las GPO pueden vincularse a un sitio, un dominio, o una unidad organizativa. También existen las directivas locales (de las cuales aun no hemos hablado), definidas con la herramienta gpedit.msc y cuyo alcance es el propio equipo.

   Las primeras en ser procesadas son los directivas locales. Luego las vinculadas a un sitio, después las vinculadas al dominio, y por último las vinculadas a una unidad organizativa. Si el objeto (usuario o equipo) está ubicado en una unidad organizativa secundaria (esto es, se encuentra en una estructura de unidades organizativas anidadas), las directivas se van procesando desde la OU de nivel superior hasta la de nivel inferior, pasando por todas las intermedias Esto es la herencia. Según se van aplicando las directivas estas van “sobrescribiendo” las anteriores, por lo que en cada paso la última en aplicarse es la de mayor prioridad.

   Pero en un mismo nodo del directorio puede haber más de una directiva vinculada. Ahí es donde entra en juego el factor de orden del vínculo. Aquí el criterio es de algún modo distinto. El número de orden de vínculo más bajo es el que mayor prioridad tiene, y por tanto será el último en aplicarse. Por tanto, la GPO con orden de vínculo 1 es la que prevalece.

   Existen varias posibilidades para alterar este sistema de priorización de la herencia de las directivas. Se puede:

  • Bloquear la herencia de las directivas.
  • Forzar el procesamiento de una GPO aunque se encuentre bloqueada su herencia.
  • Deshabilitar el vínculo de una GPO en un nodo.

Práctica 7.6 : Creación de directiva para practicar conflicto.

   Crearemos una nueva directiva “Prueba denegar escritorio remoto” que expresamente denegará las conexiones por escritorio remoto, lo que es excluyente con la directiva ya creada “Soporte informático”. En la práctica se harán pruebas de cambiar el orden de vínculos, bloquear y exigir directivas.

  1. Antes de comenzar, se necesita:
    1. MDOM01: iniciada sesión con administrador de dominio.
    2. MWST01: iniciada sesión con ladministrativa.
    3. MWST04: iniciada sesión con atecnico.
  2. Comprobar que, en la situación actual, se puede establecer una conexión por escritorio remoto desde MWST04 a MWST01, ya que la GPO “Soporte informático” se está aplicando efectivamente.
  3. En MDOM01, en la consola “Administración de directivas de grupo” crear una GPO en el contenedor “Objetos de directiva de grupo” llamada “Prueba denegar escritorio remoto”.
  4. Editar la nueva directiva. Configurar una regla de entrada para el Firewall de Windows (de manera análoga a la práctica 8.2) para las conexiones de Escritorio remoto, en la ventana “Acción” del asistente elegir “Bloquear la conexión” en vez de “Permitir la conexión”. Cerrar el Editor.
  5. En la consola “Administración de directivas de grupo” vincular la nueva GPO a la OU “Administración” en la cual está incluida el equipo MWST01.
  6. Orden de vínculos: seleccionando “Administración” en el panel izquierdo de la consola, observar en la pestaña “Objetos de directiva de grupo vinculados” el “Orden de vínculos”. Seleccionar “Prueba denegar escritorio remoto” (debe estar con orden 3) y con las flechas a la izquierda subir su valor de orden de vínculo hasta el valor 1. Esto obliga a que esta GPO sea la de mayor prioridad.
    Manual de Windows 10 de miniacademia.es - orden de vínculos

    Imagen 7.18 – Orden de vínculos antes de ser modificado.

    Manual de Windows 10 de miniacademia.es - orden de vínculos

    Imagen 7.19 – Orden de vínculos después de ser modificado.

  7. En MWST01, ejecutar gpupdate /force.
  8. Intentar realizar una conexión por escritorio remoto desde MWST04 a MWST01. Ya que “Prueba denegar escritorio remoto” es la de mayor prioridad, el intento de conexión fallará.
  9. Bloqueo de herencia: en el contenedor “Administración” -> “Equipos” seleccionar la opción de menú contextual “Bloquear herencia” (hay que observar que cambia el icono del contenedor “Equipos”). En la pestaña “Herencia de directivas de grupo” asociada a “Administración” -> “Equipos” no aparecerá por tanto ninguna GPO, ya que precisamente se ha bloqueado la herencia (quizá sea necesario elegir “Actualizar” en el menú contextual del contenedor “Equipos”) .

    Manual de Windows 10 de miniacademia.es - Bloqueo de herencia de GPO

    Imagen 7.20 – Bloqueo de herencia de GPO.

  10. En MWST01, ejecutar gpupdate /force.
  11. En este momento no se aplica ninguna directiva a los equipos de Administración. Por defecto no estará abierto el Firewall de Windows para las conexiones de Escritorio remoto (nosotros creamos las reglas en la primera GPO Soporte informático que debido al bloqueo tampoco se aplica). Intentar realizar una conexión por escritorio remoto desde MWST04 a MWST01. Ya que ninguna regla de del Firewall lo permite el intento de conexión fallará.
  12. Vínculo exigido: en el vínculo de la directiva “Soporte informático” existente en “Administración”,  seleccionar “Exigido” en su menú contextual (hay que observar que cambia el icono del vínculo). En la pestaña “Herencia de directivas de grupo” asociada a “Administración” -> “Equipos” aparecerá la GPO “Soporte informático” como exigida (quizá sea necesario elegir “Actualizar” en el menú contextual del contenedor “Equipos”).

    Manual de Windows 10 para la empresa de miniacademia.es - vínculo exigido

    Imagen 7.21 – Opción de menú de vínculo exigido.

  13. En MWST01, ejecutar gpupdate /force.
  14. De nuevo será posible realizar una conexión de escritorio remoto desde MWST04 a MWST01. Ya que la GPO de Soporte informático será heredada al ser exigida (a pesar de estar bloqueada la herencia en la OU de Administración.
  15. Desactivar el vínculo exigido.
  16. Desactivar el bloqueo de herencia.
  17. Eliminar la GPO “Prueba denegar escritorio remoto”.

.

 

8.- Plantillas administrativas para Windows 10

   Como es de esperar, Windows 10 dispone de un nuevo conjunto de directivas que no aparecen en la consola de administración de directivas de grupo de un controlador de dominio Windows Server 2012 R2. Es necesario crear el almacén central e importar las plantillas administrativas para Windows 10. Las plantillas administrativas se componen de archivos .admx  y archivos .adml específicos de cada idioma.

Práctica 7.7 : Cargar las plantillas administrativas para Windows 10.

   El sistema operativo del controlador de dominio MDOM01 de Miniacademia es Windows Server 2012 R2. Para que las directivas específicas de Windows 10 estén disponibles en la consola de directivas de grupo es necesario cargar las plantillas administrativas de Windows 10 en el almacén central.

NOTA: El archivo a descargar desde Microsoft es un instalable msi. Su instalación simplemente copia las plantillas en la ubicación que elijamos. Posteriormente esas carpetas las copiaremos en una ubicación precisa. En un entorno de producción no es aconsejable instalar software que no sea estrictamente necesario en un controlador de dominio. En nuestro laboratorio, por simplificar las instrucciones, sí lo haremos. En cualquier caso, se podría instalar el archivo msi en cualquier otro equipo y posteriormente realizar el proceso de copia que indicaremos más abajo como administrador del dominio.

    1. Iniciar sesión como atecnico en MWST04 y como administrador de dominio en MDOM01.
    2. Creación del almacén central de GPOs para el dominio MINIACADEMIA: en MDOM01 crear la carpeta “PolicyDefinitions” en C:\Windows\SYSVOL\sysvol\MINIACADEMIA.LOCAL\Policies\. En ella se copiarán las plantillas administrativas .admx de Windows 10 que descargaremos más tarde. Dentro de la carpeta recién creada “PolicyDefinitions” crear una carpeta con el nombre de localización de lenguaje correspondiente. En nuestro caso, crearemos una carpeta llamada “ES-ES”. En ella se copiarán los archivos .adml de lenguaje correspondientes.
    3. En MWST04 descargar las plantillas administrativas desde Microsoft. La URL de descarga en Español es https://www.microsoft.com/es-ES/download/details.aspx?id=53430 (Administrative Templates (.admx) for Windows 10 and Windows Server 2016).
    4. Se copia el archivo msi descargado al controlador de dominio MDOM01. Se podría utilizar la unidad X: creada anteriormente, ya que es una unidad de red sobre la carpeta de MDOM01 C:\DATOS_COMPARTIDOS.
    5. En MDOM01 realizar la instalación en la ruta por defecto que ofrece el programa.

      Manual de Windows 10 para la empresa de miniacademia.es - plantillas administrativas.

      Imagen 7.22 – Instalador de las plantillas administrativas.

    6. Una vez terminada la instalación, ir a la ruta de instalación y copiar los archivos .admx a “C:\Windows\SYSVOL\sysvol\MINIACADEMIA.LOCAL\Policies\PolicyDefinitions”.
    7. Después copiar también las subcarpetas es-ES y en-US (esta es opcional, pero evita errores si faltan archivos de lenguaje español) a la carpeta del almacén central “C:\Windows\SYSVOL\sysvol\MINIACADEMIA.LOCAL\Policies\PolicyDefinitions”. En este momento ya estarían disponibles las directivas actualizadas para Windows 10 en la consola de Administración de directivas de grupo. Para comprobarlo, se puede navegar dentro de ella a “Configuración de equipo” -> “Plantillas administrativas” -> “Componentes de Windows” -> “Windows Update” -> “Aplazar actualizaciones de Windows” y allí ya encontraremos la directiva “Selecciona cuando quieres recibir actualizaciones de calidad”.

      Manual de Windows 10 de miniacademia.es - directiva de Windows 10

      Imagen 7.23 – Directiva específica de Windows 10.

   Por último, haremos un breve apunte sobre las directivas locales. El alcance de estas es el propio equipo local. La consola de administración de directivas locales puede abrirse ejecutando gpedit.msc desde el menú secundario de Inicio -> “Ejecutar” ó en la caja de texto de Cortana.

 

9.- Informes de GPO

   En esta lección hemos creado dos GPOs con varias configuraciones en cada una. Son sólo dos, pero puede que queramos tener claro qué configuraciones implementa cada una. En un entorno real con gran cantidad de GPOs esto es una necesidad prioritaria.

   La consola de Administración de directivas de grupo ofrece dos herramientas que ayudan a la planificación del despliegue de las GPOs y a la resolución de problemas asociados. Son el “Modelado de directivas de grupo” y “Resultados de directivas de grupo”. Ambas se encuentran en la parte inferior de su panel izquierdo.

4.1- Modelado de directivas de grupo

   Esta herramienta permite simular el resultado de las GPOs planeadas para una determinada ubicación, teniendo en cuenta parámetros que pueden afectar a ese resultado. Por ejemplo, los vínculos de enlace lento, los filtros WMI o los grupos a los que se aplica la GPO.

4.2-  Resultados de directiva de grupo

   Resultados de directiva de grupo realiza una consulta a un equipo sobre las directivas efectivamente aplicadas sobre el equipo y usuario (si este ya ha iniciado sesión en el equipo en algún momento).

Práctica 7.8: Resultados de directiva de grupo.

   Para generar un resultado de la aplicación de GPOs en un equipo y usuario dados, se pueden seguir los siguientes pasos:

  1. Iniciar sesión en MDOM01 como administrador. El equipo MWST01 debe estar iniciado.
  2. En la consola de Administración de directivas de grupo, en el panel izquierdo, elegir la opción de menú contextual “Asistente para Resultados de directivas de grupo” en el nodo “Resultados de directivas de grupo”.
  3. Ventana “Este es el Asistente para Resultados de directivas de grupo”. Se hace clic en “Siguiente”.
  4. Ventana “Selección de equipo”: se escribe el nombre del equipo remoto, MWST01. Se hace clic en “Siguiente”.
  5. Ventana “Selección de usuario”: aparecen los usuarios que han iniciado sesión en el equipo remoto. Se elige “MINIACADEMIA\ladministrativa”. Se hace clic en “Siguiente”.
  6. Ventana “Resumen de las selecciones”: si todo es correcto se hace clic en “Siguiente”.
  7. Ventana “Finalización del Asistente para Resultados de directivas de grupo”. Se hace clic en “Finalizar”.
  8. Se ha creado el informe “ladministrativa en MWST01”. Si se selecciona, en el panel derecho, pestaña “Detalles” aparece gran cantidad de información: GPOs aplicadas, denegadas, configuración realizada por cada GPO para usuario y equipo, filtro WMI, etc…

    Manual de Windows 10 de miniacademia.es - resultados de directiva de grupo.

    Imagen 7.24 – Informe de Resultados de directiva de grupo

4.3- Utilidad gpresult

   Otra manera de visualizar el conjunto resultante de directivas es utilizar el comando gpresult. Dispone de bastantes parámetros, que pueden consultarse escribiendo simplemente gpresult en la línea de comandos. Entre ellos destacaremos:

  • /R: datos de resumen del resultados de directivas de grupo.
  • /H nombre_de_informe.html: genera un informa del resultado de directivas en formato html.
  • /SCOPE USER|COMPUTER: si los resultados se quieren obtener para el usuario o el equipo.
  • /USER nombre_de_usuario: usuario para el que se quieren obtener los resultados de directivas.
  • /S nombre_equipo: los resultados se obtienen para un equipo remoto.

   Si se necesitan obtener los datos de usuario y equipo conjuntamente, se puede ejecutar gpresult /R desde un intérprete de comandos con elevación de privilegios, especificando con /USER el usuario del que se necesitan informar las directivas.


Siguiente lección.

8.- Administracion de una red de equipos Windows.


4 pensamientos en “Directivas de grupo en Windows 10

  1. Yorman Urdaneta

    tu pos es genial lastima que muy muy pocas personas sepan las genialidades que se pueden hacer conociendo estas cosas sobre todo si andas en la seguridad informática saludos bro

  2. AnSca

    Muy bueno tu pos! Una pregunta si quieres tener instaladas varias plantillas ya que en tu organizacion dispones de equipos con diferentes versiones de Windows ¿cómo habría que configurar el almacen central para poderlas aplicar a cada uno de los equipos?

    Un saludo,

    1. ebhum Autor

      Disculpa por la tardanza.

      Lo ideal sería tener la última versión disponible instalada, ya que en principio contiene las anteriores.

      Y gracias!

Los comentarios están cerrados.