Home
About
Archives
Contactenos
Ayuda | Help
Soporte TeamViewer

19  01 2011

Como Administrar mejor nuestro Active Directory por medio de las Group Policies {Parte 1}

GP00El propósito de esta nota (que estará dividida en dos partes) es conocer a fondo qué son las políticas de grupo, para qué sirven y cómo se aplican.

Las políticas de grupo son una de las herramientas incluidas en los sistemas operativos de Microsoft. Este instrumento sirve para administrar entornos de usuarios y máquinas, aplicar políticas de IT, simplificar tareas administrativas e implementar configuraciones de seguridad.

En los distintos sistemas operativos de Microsoft, ya sea XP, Windows Server 2000/2003/2008, Windows Vista o 7, todos poseen políticas de grupo. De acuerdo al ámbito de
aplicación se pueden catalogar de la siguiente manera:

  • Active Directory: GPO (Group Policy Object)
  • Equipo Local: LGPO (Local Group Policy Object)

GP01Como dijimos antes, cada sistema operativo pertenezca o no a un dominio, posee políticas configurables por un administrador para customizar el comportamiento del equipo. Por medio de ellas podemos controlar y limitar la conducta de los usuarios en la utilización de los recursos y dispositivos de la red.

Objetivo de las políticas de grupo

En definitiva, las políticas permiten controlar y configurar centralizadamente diversos aspectos de la configuración que reciben los distintos usuarios al conectarse a la PC. Dentro de estos aspectos se encuentran las configuraciones de seguridad, ejecución de scripts, configuraciones de escritorios, configuraciones del Internet Explorer, instalación automática de software, etc.

Como podemos observar en la figura 1, las políticas se encuentran categorizadas en dos segmentos: una modifica la configuración del equipo y otra modifica el ambiente de los usuarios.

www.radians.com.ar © 2011

En la sección Computer Configuration se pueden configurar todo lo referido a la seguridad del equipo (sección “Security Settings”) como ser Account Policies (políticas de password y de bloqueo ante reiterados passwords invalidos), Local Policies (políticas de auditoria , derechos de usuarios y opciones de seguridad), entre otras configuraciones.

En la sección User Configuration se pueden configurar lo referido al ambiente de trabajo de los usuarios, como ser si se habilita o no el panel de control o alguno de sus componentes, la configuración del Internet Explorer y sus distintas configuraciones de seguridad y demás.

Como se aplican

Las políticas se pueden aplicar en distintos niveles del Active Directory, a nivel de Site, a nivel de Domain y a nivel de Organization Unit (OU) como podemos ver en la figura 2.

www.radians.com.ar © 2011Aquí podemos observar en el margen derecho cómo un sitio contiene a los distintos dominios, y éstos las unidades organizativas que contienen los usuarios y dispositivos, y sobre el margen derecho de la imagen observamos cómo aplican las políticas o directivas. La directiva 2 aplica al sitio, por ende aplica en el dominio y todos sus elementos. La directiva 1 aplica al dominio y sus elementos (Unidad Organizativa 1 y Unidad Organizativa 2) y la directiva 3 solo aplica a la Unidad Organizativa 2.

www.radians.com.ar © 2011Las políticas a nivel de OU sólo afectan a los equipos y usuarios que contienen. Las Ous pueden anidarse y a su vez se heredan de los niveles superiores, salvo que se indique lo contrario. No suelen aplicarse políticas a nivel de sitios ya que no es una práctica recomendada.

www.radians.com.ar © 2011Las políticas se aplican cuando un usuario inicia su sesión o cuando se inicia el equipo, y por defecto cada 90 minutos, aunque este valor puede ser modificado.

De acuerdo con lo visto hasta este momento podemos afirmar que la aplicación de las políticas de grupo sería la siguiente:

  • · Las políticas realizan cambios de configuración de parámetros que aplican sobre usuarios o sobre equipos.
  • Una política se vincula (link) a un Sitio, a un Dominio o a una Unidad Organizativa, aplicándose a todos los elementos que contengan (ya sean equipos o usuarios).
  • Las políticas se heredan de los niveles superiores.

En definitiva, las políticas no sólo se van heredando sino que también se acumulan, tal como puede verse en la figura 2. Debido a esto, las políticas se van aplicando en un orden determinado, para evitar conflictos entre ellas. Este orden es el siguiente:

  1. Local Group Policy Object (LGPO).
  2. GPOs vinculados a sitios.
  3. GPOs vinculados a dominios.
  4. GPOs vinculados a Organization Units de primer nivel. En su caso, posteriormente se aplicarían GPOs vinculadas a OUs de segundo nivel, de tercer nivel, etc.

También se pueden configurar las opciones de reemplazar y de heredar una política, pudiendo así manejar de esta forma su comportamiento. Asimismo, como todo elemento de Active Directory , las políticas de grupo poseen una solapa de seguridad en donde se pueden definir distintos permisos (a qué usuarios y/o grupos no aplican, quienes pueden leer o modificar dicha política, etc.)

Entre otras alternativas de la administración de las GPOs, se encuentra la de delegar la administración a un grupo o usuario determinado, es decir que si un usuario tiene permisos de control total va a poder administrarla.

Como vimos anteriormente las políticas incluidas en una GPO (Group Policy Object) se encuentran divididas en dos grandes grupos: Computer Configuration y User Configuration. A su vez cada uno se divide en tres nuevos grupos:

  • Software Settings: aquí se encuentran todos las configuraciones correspondientes a la instalación de software automática.
  • Windows Settings: contienen las configuraciones de algunos de los parámetros (de seguridad, scripts, etc.) de Windows.
  • Administrative Templates: contiene las políticas y configuraciones que se guardan dentro del registro de Windows.

Con esta explicación, damos por finalizada la primera parte. El día viernes estaré publicado la segunda. Espero que les sirva para aclarar algunos conceptos. Saludos, Roberto Di Lello.

Si te parecio util la informacion del blog hace click en el boton "DONATE" o Ayudar al Blog - DONAR Si te ha gustado este post, por favor considera Dejar un Comentario o Suscribirse a este sitio por medio de RSS para tener los futuros artículos desarrollados en su lector de feeds.

18 Comentarios to “Como Administrar mejor nuestro Active Directory por medio de las Group Policies {Parte 1}”

  1. Estimado amigo, dejame felicitarte por tu pagina realmente de mucha utilidad, quisieta saber si me pedes ayudar con un tema super importante para mi

    Tengo un servidor hp al cual le quiero poner el servicio de teminal server y que unos 150 usuarios accedan al mismo para poner un sistema en linea, este equipo tiene windows 2003 y 6GB de ram, disco duro de 140 sas 10k, lo que me paso que cuando tenia mas o menos unos 45 a 50 usuarios funcionaba bvien, pero luego al aumentr ese calor dejo de funcionar por lo que quiero medir cuanto de recursos, memoria ram procesador etc, me consume cada sesion que ocupa el sisyema, para esto he estado revisand informacion del perfmon en windows 2003, pero en el los enaces que encuentro solo hay una esplicacion de como funciona los contadores.

    Queria saber si me puedes ayudar, al querer agregar un nuevo contador,

    1. Debo seleccionar el equipo servidor y no el del cliente cierto?

    2. Tipo de rendimiento? cual deberia seleccionar
    Servicios de terminal server o Sesion de servicios de terminal server

    3.Al seleccionar la segunda opcion que contador deberia seleccionar para ver cuanto de memoria utiliza cada sesion. No encuantro ninguno queme diga algo de la memoria utilizada por la sesion.

    Ojala y alguien pueda darme una mano, e indicarme que contador deberia seleccionar para medir el consumo de ram y el de procesador.

    Gracias y sigue adelante
    Saludos

  2. Fernando, disculpa mi demora en contestar pero estuve medio complicado con los tiempos.

    El tema del sizing de un servidor de TS depende de muchos factores, cantidad de usuarios, tareas que realizan, servicios que consumen, etc., etc. Obviamente el cuello de botella puede estar en la memoria o en su defecto en el procesador de acuerdo a estos temas que debemos tener en cuenta. En principio se calula que para un power user, debemos tener unos 30MB por sesion.

    Te paso algunos links del tema:
    Terminal Server Capacity Planning http://technet.microsoft.com/en-us/library/cc786809(WS.10).aspx
    System sizing http://technet.microsoft.com/en-us/library/cc784229(WS.10).aspx
    Terminal Services Scaling and Performance on x64-Based Versions of Windows Server 2003 http://www.microsoft.com/downloads/en/details.aspx?FamilyID=9b1a8518-d693-4bbb-9af8-b91bbc0d2d55
    http://www.google.com.ar/url?sa=t&source=web&cd=3&ved=0CCgQFjAC&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F5%2Fd%2F6%2F5d6eaf2b-7ddf-476b-93dc-7cf0072878e6%2Ftermserve-size.doc&rct=j&q=sizing%20terminal%20services&ei=ZtA9Tdn4HILHgAfettmlCA&usg=AFQjCNHUUDzM5Hb_mvewc0pmTLr3CuZxDg&cad=rja
    Muchas gracias por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el.

    Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

    Best Regards | Saludos

  3. Amigo,
    queria saber si tu me puedes ayudar necesito instalar un aplicativo pequeño en tamaño pero a todos los usuarios de active directory queria saber si me puedes ayudar con los pasos para poder hacer esto, por favor estare infinitamente agradecido por tu ayuda…

  4. me gustaria si podes sacarme una duda con lo que es politica de seguridad implementada con active directory.
    desde ya muchas gracias

  5. Juanca, disculpa mi demora en contestar pero estuve en el TechEd en USA y estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Si no hay problema, decime cual es tu consulta?

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  6. tengo que realizar una tesina. sobre Politicas de Seguridad implementadas en Active Directory. pero despues de muchos años de dejar de estudiar sinseramente estoy perdido.
    tengo que poner Una problematica => un caso real de las PC en una red sin dominio de Active Directory. y una posible solucion.
    para que te des una idea tengo 51añito. a falta de un mes de cumplir 52. y empece de grande a estudiar.
    seria de mucha ayuda si me pudiese dar una mano.
    desde ya muchas gracias.
    tenes mi correo por si queres y podes ayudarme.

  7. Javier, disculpa mi demora en contestar pero estuve en el TechEd en USA y estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Depende de tu arquitectura, si el programa lo tienes con un msi para instalarlo no hay problema lo podrias hacer por politica. Sino con algun MMS, o algo de SystemCenter. Sino dependiendo de que tipo de programa sea, por ahi con algun script. Pero necesitaria mas informacion como para poder ayudarte.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  8. Juanca, disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    No hay problema, contame bien que es lo que necesitas??? en el caso de una maquina sin dominio, tenes solamente las politicas locales, con lo cual siempre aplica la configuracion que ahi definas.

    Muchas gracias por tus comentarios.Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  9. Hola buen día,

    excelente post un favor apenas son nueva en esto y necesito agregar una pagina al AD para administrarla pero no se como ingresarla me puedes ayudar, gracias

    saludos

  10. Bere, gracias por comentar! Disculpa mi demora pero tube algunos problemas con los mails y con las Q&A del Blog.

    Respecto a tu pregunta, no entendi a que te referis con agregar una pagina para administrarla. Fijate que podes utilizar la consola Active Directory Administrative Center que es gratuita y esa dentro de las tools de Windows. Cualquier duda volve a consultarme.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

  11. Hola, por favor necesito me orientes cómo configurar por GPO 2 páginas de inicio en el internet explorer (esto provocará 2 solapas simultáneas).
    Gracias!

  12. Hola! Buenas tardes, primero felicitarte por el blog, muy bueno! Y te cuento, me preguntaba cuáles son algunas políticas de grupo más utilizadas; estoy haciendo una máquina virtual como AD y me gustaría implementar algunas políticas, pero como en mi empresa no tenemos ninguna prevista, solo hacer unas de prueba para generar logs y revisarlas

  13. Cristina, muchas gracias por participar, y comentar. Mira, con respecto a las politicas, todo depende de tus necesidades, recorda que cuanto mas politicas aplicas mas complejidad agregas a tu arquitectura. Ahora algunas politicas comunes pueden ser las de WSUS, las de auditoria, generalmente tambien por politicas en entornos empresariales se cambian los fondos de pantallas, se agregan disclaimers en el logeo de las maquinas, se restingen configuraciones del explorer; se realiza la configuracion del proxy en todas las maquinas, etc., etc.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google. Saludos!

  14. Gustavo, muchas gracias por participar, y comentar. Respecto a tu pregunta, publique una nota al respecto: Definir una Home Page via Group Policy {HowTo} https://www.radians.com.ar/blog/?p=1873

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google. Saludos!

  15. Buen día amigo, tengo un problema. Un día cambié la dirección IP del AD por error, ya restableci la dirección pero desde ese día tengo problemas para que se apliquen las políticas en las computadoras. Incluso he creado una UO nueva para aplicarle políticas y hacer prácticas pero no se aplican. Alguna idea de cómo resolverlo? Tendrá qué ver el hecho que cambié la IP por error aunque ya haya puesto su IP correcta?

    Gracias por cualquier tip o ayuda

  16. Roberto Ahumada, disculpa mi demora en contestar pero estuve complicado y estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Cual fue el problema de la IP? verifica que la IP que tiene el servidor sea fija, y verifica que levanten todos los servicios necesarios. Principalmente verifica tus DNS y que figure como corresponde ahi. Por otro lado, en tu DHCP, la ip del dns deberia ser la IP de ese servidor (si es que es DNS, seguramente si). Una vez que pasa eso, deberias verificar en los clientes que tomen bien la ip y que tenga conectividad contra tu DC. Luego verifica el tema de las politicas, deberia funcionar sin problemas.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  17. Buen día Amigo, soy nuevo en este tema espero me puedas ayudar. Tengo que deshabilitar la opcion para q no puedan ver la clave inalambrica cuando uno la ingresa aunq le de no mostrar contraseña si me voy a propiedades de la red inalambrica y me voy a la pestaña de Seguridad y habilito la opcion de Mostrar Caracteres me da la contraseña de mi Red. Como puedo deshabilitar esa opcion para q no puedan obtenerla
    Gracias.
    Esta muy bueno tu blog.

  18. Adrian Spindola, disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, con el cambio de empresa he estado muy tapado de trabajo, pero voy respondiendo de a poco a medida que puedo y voy a responder todas las consultas.

    Respecto a tu pregunta, te paso este link en donde tenes una explicacion de como hacerlo y que es lo que muestra: Windows 7 Wireless Network Security Key easily shown with a click of the mouse: http://social.technet.microsoft.com/Forums/en-US/c5900c75-c031-4e02-9350-df7cb65bce04/windows-7-wireless-network-security-key-easily-shown-with-a-click-of-the-mouse?forum=w7itprosecurity

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”

    Seguimos en contacto! Saludos y gracias!

« »