Saltar a contenido

Directivas de Grupo (GPO).

Son políticas/normas/directivas que se pueden aplicar sobre usuarios/grupos/equipos.

Ejemplos de uso:

  • Limitar acceso de usuarios o grupos a ciertas unidades de disco.

  • Limitar el tamaño máximo de ciertos archivos.

Niveles.

Las GPO tienen varios niveles:

  • Locales: Tan solo se aplican en el equipo local. No tiene sentido en un ámbito de Active Directory.

  • Sitio: Se aplican a los usuarios/equipos que forman el sitio. Es independiente del dominio.

  • Dominio: Afecta a todos los usuarios del dominio.

  • Unidad Organizativa: Afecta a todos los usuarios/equipos dentro de una OU.

Al crear una GPO se puede configurar para “Equipos” o “Usuarios”, el menú de ambos es muy parecido, pero las acciones dentro de dichos menús son diferentes.

Existe la posibilidad de añadir una política ya creada previamente (descargada de la web de Microsoft o de terceros).

Prioridades.

En caso de que existan varias unidades organizativas puede suceder dos cosas:

a. Las políticas se contradicen, en cuyo caso prevalece la de mayor prioridad (OU > Dominio > Sitio > Local). En caso de que ambas GPO sean del mismo nivel, prevalecerá la más restrictiva.

b. Las políticas no se contradicen, en cuyo caso se unifican.

Vídeo Explicativo.

Herencia en las GPOs.

Carpeta SYSVOL.

Filtros GPOs.

Anexo.

  • No se puede aplicar GPOs directamente sobre la carpeta por defecto “Users”. Por ello es muy recomendable crear nuestros usuarios en nuestras propias Unidades Organizativas y no dejarlas en la carpeta “Users” por defecto.

  • No es recomendable modificar el “Default Domain Policy” que afecta a todo el dominio.

  • Si queréis aplicar los cambios en los equipos clientes sin necesidad de cerrar sesión, esperar o reiniciar, podemos forzar la actualización de las políticas mediante el comando “gpupdate /force”

  • Con el comando “gpresult /R” podemos comprobar que GPOs se están aplicando en mi usuario.

Comandos que se lanzan desde el cliente.

#Fuerza la sincronización de las GPOs.
gpupdate /force

##Comprueba las GPOs aplicadas.
gpresult /R

Comandos que se lanzan desde el servidor

#Actualizar Todos los equipos de una OU
Get-ADComputer –filter * -Searchbase "OU=Equipos,OU=XXXXXXX,DC=XXXXXXXXXX,DC=local" | foreach{ Invoke-GPUpdate –computer $_.name -force -RandomDelayInMinutes 0}

#Actualizar un equipo en especifico
Get-ADComputer –Filter 'Name -like "NOMBREEQUIPO*"' -Searchbase "OU=Equipos,OU=XXXXXXXXXXXXX,DC=XXXXXXXXXXXXX,DC=local" | foreach{ Invoke-GPUpdate –Computer $_.name -Force -RandomDelayInMinutes 0}