Redes de área local: Aplicaciones y servicios WINDOWS · Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser asociadas a un grupo de usuarios o grupos de equipos

Redes de área local:Aplicaciones y servicios

WINDOWS

10. Directivas o políticas de grupo

1

Índice

Definición de Directivas o Políticas de Grupos                                                                                   .............................................................................   3  Unidades Organizativas                                                                                                                     ...............................................................................................................   5  Directivas de Equipo y de Usuario                                                                                                      ................................................................................................   9  

2

Definición de Directivas o Políticas de GruposDefinición de Directivas o Políticas de GruposLa   configuración   de   Directiva   de   Grupo   define   los   distintos   componentes   del   entorno   de Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor Windows 2003, de modo que el administrador del sistema determina cuales le serán aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa; entre las directivas que pueden especificarse, por ejemplo, podemos indicar aquellos programas que deseemos se encuentren disponibles   para   nuestros   usuarios,   los   programas   que   aparecerán   en   su   Escritorio,   las opciones del menú Inicio, las opciones del navegador, etc.

Para crear una configuración específica de Escritorio para un grupo de usuarios en particular, se utilizan las Directiva de Grupo. La configuración de Directiva de Grupo está contenida en un objeto de Directiva de Grupo, de modo que se asocia dicha directiva a los Sitios, Dominios o Unidades Organizativas indicadas en Active Directory.

Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser asociadas a un grupo de usuarios o grupos de equipos (sólo a Sitios, Dominios o Unidades Organizativas), aunque el resultado de su aplicación afecte únicamente a los usuarios y a los equipos de Active Directory.

Las directivas se aplican en este orden:

1. En primer lugar se aplica el objeto de Directiva de Grupo local único.2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden 

especificado administrativamente. 3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden especificado 

administrativamente.4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas, de 

Unidad Organizativa principal a secundaria, y en orden especificado dministrativamente en el nivel de cada Unidad Organizativa.

3

5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas con anterioridad cuando las directivas son incoherentes. Sin embargo, si no hay incoherencias de configuración, tanto las directivas anteriores como las posteriores contribuyen a la directiva efectiva, es decir, se suman las configuraciones de las distintas directivas asociadas al objeto en cuestión.

Podemos resumir el funcionamiento de las Directivas de Grupo como sigue:

La Directiva de Grupo se aplica de manera jerárquica desde el grupo menos restrictivo (Sitio) al grupo más restrictivo (Unidad Organizativa). La Directiva de Grupo también es acumulativa. Los contenedores de servicio de directorio secundarios heredan la Directiva de Grupo de los contenedores primarios y el procesamiento de la Directiva de Grupo tiene lugar en el siguiente orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva de Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explícita una Directiva de Grupo para un contenedor secundario, dicha directiva suplantará a la del contenedor primario, si es que son contradictorias, y se sumará a la anterior si no lo son.

Es  importante   resaltar  que  las Directivas de Grupo  tienen prioridad sobre  las opciones de configuración del perfil del usuario en caso de que se cree un conflicto.

En   los   siguientes   apartados   nos   centraremos   en   definir   una   estructura   de   Unidades Organizativas para nuestro centro educativo, así como en asociar las Políticas o Directivas de Grupo al dominio o a las Unidades Organizativas anteriormente creadas.

Vamos a citar y definir los siguientes términos, con los que trabajaremos habitualmente a lo largo de este apartado:

Sitio .­ Podemos definir un sitio como un conjunto de equipos en una o varias subredes IP. Los sitios suelen representar la estructura física de la red.

Dominio .­ Un dominio tiene un nombre único y permite el acceso a las cuentas de usuario y de grupo  centralizadas  mantenidas  por  el   administrador  del   dominio.  Cada dominio   tiene  sus propias directivas de seguridad y relaciones de seguridad con otros dominios, y representa límite de seguridad en una red Windows 2003. Active Directory está compuesto de uno o varios dominios, cada uno de los cuales puede abarcar más de una ubicación física. Los dominios representan la estructura lógica de la organización.

Unidad   Organizativa  .­  Es  un   objeto   contenedor  de  Active  Directory  que  se  utiliza  en   los dominios. Las Unidades Organizativas son contenedores lógicos en los que pueden colocarse usuarios, grupos, equipos y otras Unidades Organizativas. Sólo pueden contener objetos de su dominio principal. Una U.O. es el ámbito más pequeño al que se puede aplicar una Directiva de Grupo.

4

Unidades OrganizativasUnidades OrganizativasPara poder asociar las Políticas o Directivas de Grupo deseadas a los usuarios o equipos de nuestro dominio, vamos a crear una estructura de Unidades Organizativas que nos permita gestionar dichas directivas como deseemos.

Obviamente la estructura de U.O. que crearemos a continuación no debe ser un "estándar" a aplicar en cualquier centro; cada administrador deberá, en función de las necesidades propias de su centro, planificar las U.O. que debe crear, así como estructurarlas adecuadamente, para que las Directivas de Grupo se apliquen como desee.

En  nuestro  planteamiento,  como  las directivas asociadas a   los Equipos  del  dominio  serán siempre   las  mismas,  no  necesitamos crear  ninguna U.O.  para  asociar   las  directivas  a   los equipos,  pues  asociándolas  al  dominio   "micentro.edu"  se  aplicarán de   forma automática  a todos los equipos del dominio.

Entre las directivas que vamos a asociar a los Usuarios del dominio, habrá algunas comunes para  todos  los usuarios  de nuestro  centro  (profesores y  alumnos),   las cuales asociaremos igualmente al dominio "micentro.edu", pero como habrá algunas directivas que serán aplicadas a los profesores pero no a los alumnos y viceversa, crearemos 2 contenedores de nombres respectivos "Profesores" y "Alumnos" bajo del dominio "micentro.edu". En la U.O. "Profesores" definiremos  las  directivas  propias  de   los  profesores  y  en   la  U.O.   "Alumnos"   las  directivas propias de los alumnos, de modo que dichas directivas se apliquen posteriormente a la propia del dominio, según el orden indicado en el apartado anterior.

Lo primero que vamos a hacer para crear las Unidades Organizativas deseadas en nuestro centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble clic sobre "Usuarios y Equipos de Active Directory".

En la pantalla que se muestra a continuación, sobre el Dominio "micentro.edu", pulsamos con el   botón   derecho   del   ratón   y   seleccionamos   la   opción   "Nuevo"   y   posteriormente   "Unidad organizativa".

5

Indicamos el nombre de  la nueva U.O. a crear,   tecleando "Profesores" en  la caja de  texto destinada a tal efecto.

Procederemos de igual manera para crear la U.O. correspondiente a los alumnos; tras ello en la  pantalla  de   los   "Usuarios   y  equipos  de  Active  Directory"   observaremos   como  han   sido creadas las U.O. "Profesores" y "Alumnos".

6

Para finalizar, debemos incluir a los profesores del centro ("javier", "joaquin" y "miguel") en el contenedor correspondiente a la U.O. "Profesores"; para ello accedemos a la carpeta "Users" y seleccionamos  los  3  usuarios  profesores  que  previamente  habíamos creado;  con  el   botón derecho del ratón pulsamos sobre la selección efectuada y elegimos la opción "Mover".

En la ventana que se muestra especificamos que deseamos mover dichos usuarios a la U.O. "Profesores", y pulsamos sobre el botón "Aceptar".

7

Procederemos de  igual  modo con  los alumnos "Bachiller"  y "ESO",  pero ahora a estos  los incluiremos en la U.O. "Alumnos";  tras ello observaremos como en las U.O. "Profesores" y "Alumnos",   se   encuentran   ubicados   los   usuarios   correspondientes   que   hemos   movido anteriormente.

NOTA:  Este   mismo   planteamiento   lo   podemos   extender   a   los   equipos,   por   ejemplo   si dispusiéramos de dos aulas de ordenadores, de modo que el software que quisiéramos instalar en cada una de ellas no fuera común, podríamos crear dos U.O. "Aula1" y "Aula2" para cada sala de ordenadores, y mover todos los equipos del Aula 1 a la U.O. "Aula 1" y todos los del Aula 2 a la U.O. "Aula 2"; tras ello definiríamos en la Directiva de Grupo asociada al dominio "micentro.edu" aquel software que se fuera a distribuir de modo común a todos los equipos del centro, y en  la U.O. "Aula1" definiríamos una nueva directiva con el software propio de los equipos de dicho aula, procediendo de igual manera en la U.O. "Aula 2". La distribución de software será abordada en el siguiente capítulo del curso.

8

Además de  todo  lo  comentado anteriormente,  es  MUY IMPORTANTE,  que bloqueemos  la herencia de directivas para el controlador de dominio "SERVIDOR", pues sino se aplicarán al servidor todas las directivas propias del dominio. Si accedemos a la U.O. "Domain Controllers", veremos   nuestro   equipo   "SERVIDOR";   como   está   incluido   en   una   U.O.   bajo   el   dominio "micentro.edu", las directivas anteriores y las que posteriormente asociaremos de distribución de software, se le aplicarán exactamente igual que a cualquier estación de trabajo; para evitarlo pulsaremos   con   el   botón   derecho   del   ratón   sobre   la   U.O.   "Domain   Controller"   y seleccionaremos  la opción "Propiedades",  y posteriormente nos ubicamos sobre  la pestaña "Directiva de Grupo",  en  la cual activaremos  la casilla "Bloquear  la herencia de directivas"; finalmente pulsaremos sobre el botón "Aceptar"

De este modo evitaremos que por defecto las directivas del dominio sean aplicadas a nuestro servidor Windows 2003, pero sí se apliquen a todos los equipos clientes de nuestro dominio.

Directivas de Equipo y de UsuarioDirectivas de Equipo y de UsuarioSegún el planteamiento expuesto en el apartado anterior, asignaremos una Directiva de Grupo de primer nivel en el dominio, para que sea aplicada de forma común a todos los usuarios del dominio "micentro.edu" (profesores y alumnos de nuestro centro). En esa misma Directiva de Grupo asociada al dominio, modificaremos las directivas asociadas a los equipos, para que se apliquen de forma común a todos los equipos del dominio (ubicados por defecto en la carpeta "Computers"); si hubiera alguna contradicción en dicha Directiva de Grupo entre las políticas de usuario y las de equipo, prevalecerían estas últimas frente a las primeras.

9

Por debajo del dominio "micentro.edu", definiremos 2 nuevas directivas de grupo, una asociada a la Unidad Organizativa "Profesores", en la cual especificaremos las políticas que deseamos se apliquen únicamente a los profesores, y la otra asociada a la U.O. "Alumnos", en el cual especificaremos las directivas propias únicamente de los alumnos del centro.

Vamos pues a proceder con lo indicado en los párrafos anteriores.

Lo primero que vamos a hacer para definir las Directivas de Grupo deseadas en nuestro centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble clic sobre "Usuarios y Equipos de Active Directory", y pulsando con el botón derecho del ratón sobre el dominio "Micentro.edu", seleccionar la opción "Propiedades"; en la ventana que se muestra a continuación nos situamos sobre la pestaña "Directiva de Grupo".

Observaremos que ya hay definida una política de dominio por defecto; podríamos crear una nueva   que   también   sería   aplicada   a   todos   los   usuarios   y   equipos   del   dominio,   pero aprovecharemos  la ya existente,  seleccionándola y pulsando a continuación sobre el  botón "Editar" para personalizar lo que deseemos.

10

Como   observamos   existen   2   entradas   principales   en   la   Directiva   de   Grupo   que   estamos editando; una de ellas es relativa a la "Configuración del equipo" y la otra a la "Configuración de usuario"; las entradas existentes en cada uno de dichos elementos no son similares, si bien algunas de ellas sí son comunes; en caso de que definamos 2 políticas contradictorias en dos entradas   comunes,   una   en   equipos   y   otra   en   usuarios,   prevalecerá   la   primera   de   ellas. Obviamente las políticas que definamos en "Configuración del equipo" serán aplicadas a los equipos del  dominio y  las que definamos en "Configuración de usuario"  se aplicarán a  los usuarios del dominio.

Tanto   para   los   equipos   como   para   los   usuarios,   la   primera   directiva   susceptible   de   ser configurada está relacionada con la "Configuración de software"; por la importancia que tiene esta política  le dedicaremos  íntegramente un capítulo a  lo  largo del curso. De hecho en el apartado "Configuración de equipo", utilizaremos esta entrada para especificar todo el software que se instalará en todos los equipos del centro.

Vamos a centrarnos en las entradas del apartado "Configuración de usuario", que serán las que aplicaremos de forma común a los usuarios de nuestro centro. Existen multitud de directivas configurables, pero nosotros incidiremos en aquellas que consideramos más interesantes.

En la entrada "Configuración de Windows"­> "Mantenimiento de Internet Explorer"­> "Interfaz de usuario del explorador", haremos doble clic sobre la directiva "Título del explorador".

11

En la ventana mostrada podremos personalizar el título del explorador; activaremos la casilla "Personalizar barras de título" y en la caja de texto correspondiente indicaremos "MiCentro", de modo que  cuando  un  usuario  del  dominio   cargue  el   navegador,  en   la  barra  del   título  del navegador   se   muestre   el   texto   "Microsoft   Internet   Explorer   proporcionado   por   MiCentro"; finalmente pulsamos sobre el botón "Aceptar".

Si disponemos de un proxy en nuestra red por el cual deseamos que salgan a Internet todos los equipos del centro, en la entrada "Configuración de Windows"­> "Mantenimiento de Internet Explorer"­> "Conexión", haremos doble clic sobre la directiva "Configuración de los servidores proxy".

12

En   la   ventana   mostrada,   activaríamos   la   casilla   "Habilitar   configuración   del   proxy"   e indicaríamos la dirección del proxy y el puerto de salida, así como las posibles excepciones para   las  direcciones   locales   (si  procediera);  en nuestro  caso  NO vamos a configurar  esta directiva, pues no dispondremos de proxy en nuestra red, pero creemos interesante comentarla por  si   se  dispone  de  un  proxy  en   la   red;  así   pues  pulsaremos   finalmente  sobre  el   botón "Cancelar".

En la misma entrada ("Configuración de Windows"­> "Mantenimiento de Internet Explorer"­> "Conexión"),   haremos   doble   clic   sobre   la   directiva   "Cadena   del   agente   de   usuario",   y personalizaremos la cadena de información que el navegador del usuario de la estación de trabajo del dominio enviará a los servidores visitados.

13

En   la   entrada   "Configuración   de   Windows"­>   "Mantenimiento   de   Internet   Explorer"­> "Direcciones URL", haremos doble clic sobre la directiva "Favoritos y Vínculos", e indicaremos aquellas URL que deseamos que aparezcan entre los "Favoritos" de los usuarios de nuestro centro; para ello en  la ventana mostrada pulsaremos sobre el botón "Agregar URL" y en la nueva   ventana   indicaremos   como   nombre   "CNICE"   y   como   Dirección   URL "http://www.cnice.mecd.es";   al   pulsar   sobre   el   botón   "Aceptar"   obtendremos   el   siguiente resultado:

De este modo dicha entrada aparecerá como uno de los "Favoritos" existente para los usuarios del dominio de nuestro centro; finalmente pulsaremos sobre el botón "Aceptar".

En   la   misma   entrada   anterior   ("Configuración   de   Windows"­>   "Mantenimiento   de   Internet Explorer"­> "Direcciones URL"), pero en la directiva "Direcciones URL importantes", podemos especificar por ejemplo la página de inicio que deseamos se vea en nuestros navegadores; haciendo doble clic en dicha directiva, me mostrará la siguiente ventana, en la cual activaremos la casilla  "Personalizar dirección URL de la página principal",  y en  la caja de  texto adjunta indicaremos   la   dirección   "http://www.micentro.edu";   finalmente   pulsaremos   sobre   el   botón "Aceptar".

14

NOTA: La dirección URL indicada como página de inicio de los navegadores, ahora mismo no estará disponible, de modo que cuando desde una estación de trabajo lancemos el navegador, no encontrará dicha página web, provocándose un error; ¿por qué la ponemos entonces como página de  inicio  de  los navegadores de  los equipos del  dominio  de nuestro  centro?;  pues porque   más   adelante,   cuando   abordemos   el   capítulo   correspondiente   al   servidor   IIS, definiremos un sitio Web denominado "www" en el dominio "micentro.edu", e incluiremos en nuestro servidor DNS una entrada "host" correspondiente a "www.micentro.edu" apuntando a la dirección  IP  de  nuestro  servidor  web   (192.168.0.220);   a  partir   de  dicho  momento,  cuando carguemos los navegadores de las estaciones de trabajo del dominio, se abrirá la página web principal de la Intranet de nuestro centro.

Otra directiva interesante es "Deshabilitar el cambio de configuración de proxy", existente en la entrada "Plantillas Administrativas­> Componentes de Windows­> Internet Explorer", si es que hemos definido anteriormente un servidor proxy para los usuarios de nuestro centro; si en esta directiva seleccionamos la opción "Habilitada", impediremos que los usuarios puedan modificar en sesión  la configuración del  proxy,  pues las opciones del  proxy aparecerán atenuadas e inaccesibles; en nuestro caso pulsaremos sobre el botón "Cancelar" y no la habilitaremos.

15

Posteriormente,   en   la   entrada   "Plantillas   Administrativas­>   Sistema­>   Perfiles   de   usuario", haremos doble clic sobre la directiva "Excluir directorios en el perfil móvil", para evitar que se almacenen en el servidor Windows 2003 las carpetas "Configuración local", "Historial", "Temp" y   "Archivos   temporales   de   Internet"   pertenecientes   al   perfil   del   usuario   (para   evitar   que aumente el tamaño del perfil, con el consiguiente retraso en su descarga desde el servidor). Una  vez  en dicha directiva  seleccionaremos  la  opción  "Habilitada",  especificaremos dichas carpetas separadas por puntos y comas, y finalmente pulsaremos sobre el botón "Aceptar".

Hasta aquí hemos definido las directivas propias para todos los usuarios y equipos del centro, modificando la directiva "Default Domain Policy" del dominio "micentro.edu"; cerraremos pues la pantalla correspondiente a dicha directiva si es que no lo hemos hecho aun.

16

A   continuación   pulsaremos   con   el   botón   derecho   del   ratón   la   U.O.   "Profesores"   y seleccionaremos la opción "Propiedades", situándonos sobre la pestaña "Directiva de Grupo"; en este caso observaremos que no hay ninguna directiva predefinida.

Así   pues   pulsaremos   sobre  el   botón   "Nuevo",   e   indicamos  el   nombre   "directiva   de  grupo profesores".

17

Tras ello seleccionamos la directiva recientemente creada y pulsamos sobre el botón "Editar" y en la entrada "Plantillas Administrativas­> Sistema­> Perfiles de usuario" correspondiente a la "Configuración de usuario", haremos doble clic sobre la directiva "Limitar el tamaño del perfil", activando la casilla "Habilitada" y especificando 30.000 Kb. (30 Mb.) como tamaño máximo de almacenamiento   para   los   profesores;   además   activaremos   la   casilla   "Notificar   al   usuario cuando se exceda el espacio de almacenamiento de perfiles", con el fin de que se le informe cuando exceda dicho límite.

18

Esta será  la única configuración de directiva que llevaremos a cabo para los profesores del centro; el siguiente caso es personalizar las políticas que serán aplicadas a los alumnos del centro;   para   ello   pulsaremos   con   el   botón   derecho   del   ratón   sobre   la   U.O.   "Alumnos"   y seleccionaremos la opción "Propiedades", situándonos sobre la pestaña "Directiva de Grupo"; observaremos que no hay ninguna directiva predefinida, por lo cual pulsamos sobre el botón "Nuevo" y nombramos a la directiva "directiva de grupo alumnos", tras lo cual la seleccionamos y pulsamos sobre el botón "Editar".

En la entrada "Plantillas Administrativas­> Sistema­> Perfiles de usuario" correspondiente a la "Configuración de usuario", haremos doble clic sobre la directiva "Limitar el tamaño del perfil", activando la casilla "Habilitada" y especificando 15.000 Kb. (15 Mb.) como tamaño máximo de almacenamiento para los alumnos; además activaremos la casilla "Notificar al usuario cuando se exceda el espacio de almacenamiento de perfiles", con el fin de que se le informe cuando exceda  dicho   límite.  En  nuestro   caso  esta  directiva  no   tendrá   ninguna  utilidad  pese  a   su aplicación, pues el  perfil  que hemos asociado a nuestros alumnos es obligatorio,   luego no podrán modificarlo nunca y por tanto nunca podrá  exceder el tamaño inicial; pese a ello, si deseamos   que   algún   alumno   en   particular   disponga   de   un   perfil   móvil   no   obligatorio, incluiríamos a dicho usuario en la U.O. "Alumnos" y direccionaríamos la ruta de su perfil  a "\\SERVIDOR\Perfiles$\%username%\", pasando esta directiva a tener plena funcionalidad.

También, y por seguridad, podemos limitar a nuestros alumnos ciertas opciones mediante las correspondientes   directivas;  por   ejemplo,   si   fuera   de   nuestro   interés,   podemos  evitar   que accedieran al "Panel de Control", en la entrada "Plantillas Administrativas­> Panel de Control" correspondiente a la "Configuración de usuario", haremos doble clic sobre la directiva "Prohibir el   acceso   al   Panel   de   Control"   y   seleccionaremos   la   opción   "Habilitada";   finalmente pulsaríamos sobre el botón "Aceptar".

19

Obviamente hemos pasado muy por encima de muchas directivas  interesantes, debido a la gran cantidad de ellas existentes; el administrador del dominio deberá  analizar una por una cuales   son   de   su   interés   y   aplicarlas   en   su   caso;   para   entender   perfectamente   el funcionamiento de cualquier directiva, cuando hacemos doble clic sobre cualquiera de ellas, seleccionando la pestaña "Explicación" obtendremos un detallado resumen de su funcionalidad.

20

Una cuestión importante es que aunque algunas de las Directivas asignadas a los usuarios pueden   ser   modificadas   por   éste   en   sesión   de   trabajo,   los   cambios   realizados   no   serán almacenados, de forma que la próxima vez que el usuario inicie sesión en cualquier máquina del dominio, se le volverán a aplicar las directivas definidas por el administrador del dominio, obviando aquellas configuraciones que el usuario hubiera podido realizar.

NOTA: Para concluir este apartado, hemos de indicar que algunas directivas NO se aplican de modo   inmediato,   luego  si   queremos   tener  garantía  de  su  correcta   aplicación,   deberíamos reiniciar el equipo servidor Windows 2003, y posteriormente los equipos clientes.

21