El propósito de esta nota (que estará dividida en dos partes) es conocer a fondo qué son las políticas de grupo, para qué sirven y cómo se aplican.

Las políticas de grupo son una de las herramientas incluidas en los sistemas operativos de Microsoft. Este instrumento sirve para administrar entornos de usuarios y máquinas, aplicar políticas de IT, simplificar tareas administrativas e implementar configuraciones de seguridad.

En los distintos sistemas operativos de Microsoft, ya sea XP, Windows Server 2000/2003/2008, Windows Vista o 7, todos poseen políticas de grupo. De acuerdo al ámbito de
aplicación se pueden catalogar de la siguiente manera:

• Active Directory: GPO (Group Policy Object)
• Equipo Local: LGPO (Local Group Policy Object)

Como dijimos antes, cada sistema operativo pertenezca o no a un dominio, posee políticas configurables por un administrador para customizar el comportamiento del equipo. Por medio de ellas podemos controlar y limitar la conducta de los usuarios en la utilización de los recursos y dispositivos de la red.

Objetivo de las políticas de grupo

En definitiva, las políticas permiten controlar y configurar centralizadamente diversos aspectos de la configuración que reciben los distintos usuarios al conectarse a la PC. Dentro de estos aspectos se encuentran las configuraciones de seguridad, ejecución de scripts, configuraciones de escritorios, configuraciones del Internet Explorer, instalación automática de software, etc.

Como podemos observar en la figura 1, las políticas se encuentran categorizadas en dos segmentos: una modifica la configuración del equipo y otra modifica el ambiente de los usuarios.

En la sección Computer Configuration se pueden configurar todo lo referido a la seguridad del equipo (sección “Security Settings”) como ser Account Policies (políticas de password y de bloqueo ante reiterados passwords invalidos), Local Policies (políticas de auditoria , derechos de usuarios y opciones de seguridad), entre otras configuraciones.

En la sección User Configuration se pueden configurar lo referido al ambiente de trabajo de los usuarios, como ser si se habilita o no el panel de control o alguno de sus componentes, la configuración del Internet Explorer y sus distintas configuraciones de seguridad y demás.

Como se aplican

Las políticas se pueden aplicar en distintos niveles del Active Directory, a nivel de Site, a nivel de Domain y a nivel de Organization Unit (OU) como podemos ver en la figura 2.

Aquí podemos observar en el margen derecho cómo un sitio contiene a los distintos dominios, y éstos las unidades organizativas que contienen los usuarios y dispositivos, y sobre el margen derecho de la imagen observamos cómo aplican las políticas o directivas. La directiva 2 aplica al sitio, por ende aplica en el dominio y todos sus elementos. La directiva 1 aplica al dominio y sus elementos (Unidad Organizativa 1 y Unidad Organizativa 2) y la directiva 3 solo aplica a la Unidad Organizativa 2.

Las políticas a nivel de OU sólo afectan a los equipos y usuarios que contienen. Las Ous pueden anidarse y a su vez se heredan de los niveles superiores, salvo que se indique lo contrario. No suelen aplicarse políticas a nivel de sitios ya que no es una práctica recomendada.

Las políticas se aplican cuando un usuario inicia su sesión o cuando se inicia el equipo, y por defecto cada 90 minutos, aunque este valor puede ser modificado.

De acuerdo con lo visto hasta este momento podemos afirmar que la aplicación de las políticas de grupo sería la siguiente:

• · Las políticas realizan cambios de configuración de parámetros que aplican sobre usuarios o sobre equipos.
• Una política se vincula (link) a un Sitio, a un Dominio o a una Unidad Organizativa, aplicándose a todos los elementos que contengan (ya sean equipos o usuarios).
• Las políticas se heredan de los niveles superiores.

En definitiva, las políticas no sólo se van heredando sino que también se acumulan, tal como puede verse en la figura 2. Debido a esto, las políticas se van aplicando en un orden determinado, para evitar conflictos entre ellas. Este orden es el siguiente:

1. Local Group Policy Object (LGPO).
2. GPOs vinculados a sitios.
3. GPOs vinculados a dominios.
4. GPOs vinculados a Organization Units de primer nivel. En su caso, posteriormente se aplicarían GPOs vinculadas a OUs de segundo nivel, de tercer nivel, etc.

También se pueden configurar las opciones de reemplazar y de heredar una política, pudiendo así manejar de esta forma su comportamiento. Asimismo, como todo elemento de Active Directory , las políticas de grupo poseen una solapa de seguridad en donde se pueden definir distintos permisos (a qué usuarios y/o grupos no aplican, quienes pueden leer o modificar dicha política, etc.)

Entre otras alternativas de la administración de las GPOs, se encuentra la de delegar la administración a un grupo o usuario determinado, es decir que si un usuario tiene permisos de control total va a poder administrarla.

Como vimos anteriormente las políticas incluidas en una GPO (Group Policy Object) se encuentran divididas en dos grandes grupos: Computer Configuration y User Configuration. A su vez cada uno se divide en tres nuevos grupos:

• Software Settings: aquí se encuentran todos las configuraciones correspondientes a la instalación de software automática.
• Windows Settings: contienen las configuraciones de algunos de los parámetros (de seguridad, scripts, etc.) de Windows.
• Administrative Templates: contiene las políticas y configuraciones que se guardan dentro del registro de Windows.

Con esta explicación, damos por finalizada la primera parte. El día viernes estaré publicado la segunda. Espero que les sirva para aclarar algunos conceptos. Saludos, Roberto Di Lello.