domingo, 6 de noviembre de 2011

TEMA 4 - Administración de Políticas de Grupo

TEMA 4: Administración de Políticas de Grupo


4.1 Introducción


Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando se conectan a una máquina del dominio.


4.2 Objeto de la Política de Grupo (GPO)


Cuando hay muchos equipos que administrar, resultaría incómodo tener que establecer este comportamiento uno por uno .

Un GPO es un objeto que incluye como atributos cada una de las políticas (también denominadas directivas) que puede establecerse en Windows Server 2003 para equipos y usuarios. Los GPOs se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo . Utilizando sólo el Directorio Activo, cada equipo y cada usuario del dominio puede recibir una configuración apropiada según el tipo de tarea que debe desempeñar. (Builtin, Users y Computers) no se les pueden asociar GPOs .


Existen dos nodos principales que separan las configuraciones para equipos y para usuarios:



   1. La configuración del equipo.

   2. Las configuración de usuario.


Además de esa aplicación inicial de las políticas (en el inicio de los equipos y en el inicio de sesión de los usuarios), éstas se reevalúan automáticamente bajo demanda del administrador y, además, de forma periódica.


El administrador puede deshabilitar selectivamente las políticas de equipo y/o de usuario .


4.3 Aplicación de Políticas de Grupo


Un mismo GPO puede contener indistintamente parámetros o políticas) de configuración que deben aplicarse a equipo y a usuarios.

Cada GPO se vincula a un contenedor del directorio activo:

-Los sub-contenedores heredarán el GPO completo.


Las políticas de grupo son heredables y acumulativas.


Es posible que se produzcan conflictos entre los distintos GPOs que afectan a un usuario/equipo. Resulta necesario que exista un orden de aplicación :


1. Se aplica la política de grupo local del equipo (denominada Local Group Policy Object, o LGPO).

2. Se aplican los GPOs vinculados a sitios.

3. Se aplican los GPOs vinculados a dominios.

4. Se aplican los GPOs vinculados a unidades organizativas de primer nivel. En su caso, posteriormente se aplicarían GPOs vinculados a unidades de segundo nivel, de tercer nivel, etc.


Una política que se aplica más tarde prevalece sobre otras establecidas anteriormente .

      1. Forzado
      2. Bloquear herencia de directivas


4.4 Políticas de Grupo y grupos de seguridad


Estas DACLs establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de los GPOs, esta asociación de permisos a grupos de usuarios (o grupos de seguridad) permite filtrar el ámbito de aplicación de un GPO y delegar su administración.



4.5 Principales políticas incluidas en un GPO


Configuración de equipo y Configuración de usuario. Se subdivide en tres grupos:

      1. Configuración de Software
      2. Configuración de Windows
      3. Plantillas Administrativas


4.5.1 Plantillas Administrativas


En la terminología de Windows Server 2003, las nuevas políticas se denominan políticas verdaderas (true policies), mientras que las que no cumplen con esta nueva filosofía se denominan preferencias (Group policy preferences), y su uso está claramente desaconsejado.


4.5.2 Configuraciones de seguridad


      1. Políticas de Cuentas.
      2. Políticas Locales.
      3. Registro de Eventos.


4.5.3 Instalación de software


Se puede asignar y/o publicar aplicaciones a equipos o a usuario en el dominio:


      1. Asignar una aplicación significa que los usuarios que la necesitan la tienen disponible en su escritorio sin necesidad de que un administrador la instale.
      2. Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario de instalar dicha aplicación bajo demanda (a voluntad), pero no se realiza ninguna acción automática en el equipo .


4.5.4 Guiones (Scripts)


Se pueden asignar scripts a equipos o usuarios.

1. Inicio (equipo). Se ejecuta cada vez que el equipo arranca.

2. Apagado (equipo). Se ejecuta cada vez que el equipo va a detenerse.

3. Inicio de sesión (usuario). Se ejecuta cada vez que el usuario inicia una sesión interactiva (local) en un equipo.

4. Cierre de sesión (usuario). Se ejecuta cada vez que el usuario se finaliza una sesión interactiva en un equipo.


4.5.5 Redirección de carpetas


Permite redirigir la ubicación local predefinida de ciertas carpetas particulares de cada usuario .


4.5.6 Otras políticas


-Mantenimiento de Internet Explorer,.

-Servicios de Instalación Remota .


4.6 Recomendaciones de uso


-Administración de GPOs .

-Separar usuarios y equipos en unidades organizativas diferentes .

-Organización homogénea de unidades organizativas.

-Miniminzar los GPOs asociados a usuarios o equipos.

-Minimizar el uso de "No reemplazar" y de "Bloquear la herencia" .

-Evitar asignaciones de GPOs entre dominios.
Publicado por Miiguelillo en 14:24

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
 
;