Saltar a contenido

Directivas de Grupo (GPO).

Son políticas/normas/directivas que se pueden aplicar sobre usuarios/grupos/equipos.

Se almacenan en la carpeta compartida SYSVOL.

Ejemplos de uso.

  • Limitar acceso de usuarios o grupos a ciertas unidades de disco.

  • Limitar el tamaño máximo de ciertos archivos.

  • Evitar que realicen instalaciones.

  • Programar las actualizaciones a ciertas horas.

Niveles.

Las GPO tienen varios niveles:

  • Locales: Tan solo se aplican en el equipo local. No tiene sentido en un ámbito de Active Directory.

  • Sitio: Se aplican a los usuarios/equipos que forman el sitio. Es independiente del dominio.

  • Dominio: Afecta a todos los usuarios del dominio.

  • Unidad Organizativa: Afecta a todos los usuarios/equipos dentro de una OU.

  • Al crear una GPO se puede configurar para “Equipos” o “Usuarios”, el menú de ambos es muy parecido, pero las acciones dentro de dichos menús son diferentes.
  • Existe la posibilidad de añadir una política ya creada previamente (descargada de la web de Microsoft o de terceros).

Prioridades.

GPOs de diferente Nivel.

  • Si se contradicen prevalece la de mayor nivel OU > Dominio > Sitio > Local.

  • Si no se contradicen se unifican.

GPOs de mismo Nivel.

  • En caso de que existan del mismo nivel, por ejemplo de OU, y se apliquen en carpetas diferentes, por ejemplo una en una carpeta padre y otra en la carpeta hijo:

    🔥 Si se contradicen prevalece la más específica, es decir si afecta a un usuario de la carpeta hijo, prevalecerá la GPO (UO) aplicada en dicha subcarpeta.

    🔥 Si no se contradicen se unifican.

  • En caso de que sean GPOs del mismo nivel y aplicadas en la misma UO.

    🔥 Si hay contradicción prevalece la que esté forzada.

    🔥 Si no hay ninguna forzada prevalece la que mayor prioridad tenga (menor número de orden).

    🔥 Si no hay contradicción se unifican.

  • Las políticas no se contradicen, en cuyo caso se unifican.

Filtros de Seguridad.

  • Podemos indicar a qué grupos / usuarios / equipos afectará la GPO.

  • Podemos también indicar a quién no afectará dicha GPO.

  • Los filtros WMI sirven para crear filtros específicos dependiendo de la arquitectura, si es de 32 o 64 bits.

Herencia.

Las GPOs al igual que los permisos en los recursos compartidos se heredan.

  • Podemos bloquear dicha herencia para que no herede las políticas.

Plantillas.

Podemos generar plantillas, esto nos sirve para cuando queramos crear varias GPOs con una misma base.

Ejemplo.

Queremos crear políticas diferentes en la OU Alumnos, en la de Profesores y en la de Inspectores, pero todas las políticas tienen en común que las contraseñas deben ser de más de 12 caractéres, deben contener símbolos, etc...

Crearíamos una plantilla con esas restricciones de contraseña y las GPOs que creasemos en las OUs (Alumnos, Profesores, Inspectores) se crearían partiendo de dicha plantilla.

Vídeo Explicativo General.

Ejemplos.

Bloquear la consola (CMD) en los clientes.

Bloquear powershell en los clientes.

  1. Sacamos la ruta absoluta del ejecutable:
  1. Usamos la ruta absoluta para crear una directiva de software.

Anexo.

  • No se puede aplicar GPOs directamente sobre la carpeta por defecto “Users”. Por ello es muy recomendable crear nuestros usuarios en nuestras propias Unidades Organizativas y no dejarlas en la carpeta “Users” por defecto.

  • No es recomendable modificar el “Default Domain Policy” que afecta a todo el dominio.

  • Si queréis aplicar los cambios en los equipos clientes sin necesidad de cerrar sesión, esperar o reiniciar, podemos forzar la actualización de las políticas mediante el comando “gpupdate /force”

  • Con el comando “gpresult /R” podemos comprobar que GPOs se están aplicando en mi usuario.

Comandos que se lanzan desde el cliente.

#Fuerza la sincronización de las GPOs.
gpupdate /force

##Comprueba las GPOs aplicadas.
gpresult /R

Comandos que se lanzan desde el servidor

#Actualizar Todos los equipos de una OU
Get-ADComputer –filter * -Searchbase "OU=Equipos,OU=XXXXXXX,DC=XXXXXXXXXX,DC=local" | foreach{ Invoke-GPUpdate –computer $_.name -force -RandomDelayInMinutes 0}

#Actualizar un equipo en especifico
Get-ADComputer –Filter 'Name -like "NOMBREEQUIPO*"' -Searchbase "OU=Equipos,OU=XXXXXXXXXXXXX,DC=XXXXXXXXXXXXX,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}