Group Policy

ObjectsMarc SalvadorMVP Windows Server – Directory ServicesMCSA / MCSE 2003MCTS: Windows Server 2008marcs@mvps.org

Group Policy Objects¿Qué es una Group Policy Object (GPO)?

Es una colección de políticas que se aplican de modo centralizado a objetos del Direcotrio Activo tales como equipos, aplicaciones y/o usuarios

¿Para qué sirven?Sirven para crear, mantener y establecer diferentes configuraciones y comportamientos sobre los objetos del Directorio Activo sobre los que aplicamos esas GPOs.

¿Cómo las usamos?Esta es la gran pregunta. Y no tiene una única respuesta pero se puede resumir en «depende»

Estructura de una GPOToda GPO está basada en unos valores por defecto, configurados.

Existen también unas «Plantillas administrativas» donde se establecen la gran mayoría de configuraciones. Estas plantillas son personalizables,

Por defecto, hay dos GPOs aplicadas:La Default Domain Policy, que viene por defecto y se crea al crear el dominio.La Default Domain Controllers Policy, que está aplicada sobre la OU «Domain Controllers»

Estructura de una GPOEn versiones anteriores de Windows 2008:

Son archivos de texto de extensión .adm.Se guardan dentro de %SystemRoot%\Inf Son complicados de entender y gestionar

A partir de Windows 2008:

Son archivos XML de extenxion .admx y .admlSe facilita su comprensión al separar la política en sí (.admx) del idioma de la misma (.adml)Los .admx, se guardan en %SystemRoot%\policyDefinitionsLos .adml, en %SystemRoot%\PolicyDefinitions\[MUICulture]

Estructura de una GPOArchivos .adm

Estructura de una GPOArchivos .admx y .adml

.

¿Dónde y cómo se aplican? Las GPOs se pueden aplicar sobre los siguientes objetos del Directorio Activo

UsuariosEquipos

La aplicación de las mismas se hace «linkandolas» sobre el dominio directamente, sobre el site o sobre Unidades Organizativas (OUs).

No es posible aplicar una GPO sobre un grupo, pero sí usar grupos para definir alcances y filtrados de las mismas.

El orden de aplicación de las GPOs es:Primero las locales, seguidas de las de Site, Dominio y finalmente, OUs

¿Dónde y cómo se aplican? Se puede configurar cómo se comportan las GPOs una vez implantadas:

No override: Cualquier GPO puede establecerse como “No Override”, esto es, que no sobreescriba los valores de otras GPOs aplicadas en su mismo nivel.

Block policy inheritance: Si se activa esta propiedad, se bloquea la aplicación de cualquier GPO de nivel superior y sólo es afectiva la última aplicada. Si hay más de una, la suma de las últimas. Las GPOs configuradas con «No override» se siguen aplicando.

Loopback processing: Literalmente, procesamiengo inverso de las GPOs. Casi imprescindible en entornos de Terminal Services, pero no exclusivo. Funcionan en modo «Merge» o «Replace»

¿Dónde y cómo se aplican? El resultado de la aplicación de mútiples GPOs en diferentes niveles:

Un valor de GPO (Enabled o Disabledconfigurado en una OU “padre”, y el mismo valor sin configurar en las OUs “hijas” hace que éstas hereden ese valor.

Un valor de GPO (Enabled o Disabledconfigurado en una OU “padre”, y el mismo valor configurado en las OUs “hijas” hace que éstas sobreescriban ese valor.

Si una política no está definida o configurada, no se hereda.

Diferentes valores compatibles en diferentes GPOs configurados en una UO “padre” y una OU “hija” provoca que sus valores se sumen. SI no lo son, no se heredan.

Gestión de GPOs¿Qué herramientas tenemos para la gestión de las GPOs?

Muchas y varias: GPMC, GPResult, GPUpdate, RSoP…

Hagamos un poco de historia¿Cómo se gestionaban en Windows 2000 Server?

¿Y en Windows Server 2003 / R2?

Las novedades de Windows Server 2008

Las mejoras de Windows Server 2008 R2

Windows 2000 ServerEl inicio de todo. Bueno, en NT4 existía «PolEdit» pero no era lo mismo.

La no-consola de Administración.

En efecto, no existía una consola donde se centralizara la gestión y creación de GPOs

¿Cómo se hacía, entonces?: Sencillo, usando el método tradicional: papel y bolígrafo

Es decir, era complicado saber qué GPOs estaban aplicando y cómo

Windows 2000 ServerEl número de parámetros configurables en Windows 2000 era de unos 400/450.

Era difícil diseñarlas y mantenerlas.

Para refrescar y/o forzar la aplicación de nuevas GPOs, se usa el comando:

secedit /refreshpolicy

Windows Server 2003 / R2Hereda todo lo bueno de Windows 2000 Server…

… y se añaden del orden de 1.200 «settings» a configurar, teniendo del orden de 1.600 posibles valores por GPO. Sin contar con el resto de «Administrative templates» que es posible añadir, como los de Office.

También se añaden más herramientas para el control y el modelaje:

La administración mejora con la incorporación de la Group Policy Management Console, aka GPMC 1.1, de descarga separada y gratuita.

Se añade la opción de «backup/restore» de GPOs

Gestión: Windows Server 2003Otras cosas interesantes:

Se posibilida la importación/exportación, el Copiar/Pegar de las GPOs y se integran con Windows Management Instrumentation (WMI) para filtrar la aplicación y alcance

Se simplifica la administración de las GPOs en cuanto a las configuraciones relacionadas con la seguridad.

Desde la GPMC, es posible obtener un resumen de la GPO en formato HTML.

También desde la GPMC, es posible saber cuál será el resultado de aplicación de la GPO (RSoP) antes de aplicarla sobre un objeto.

Gestión: Windows Server 2003Más mejoras

Microsoft publica una herramienta para inventariar las GPOs: GPInventory

El comando «secedit» es substituido por «gpudate»

Existe la opción de comprobar y arreglar GPOs corruptas con «dcgpofix», incluso la Default Domain Policy

Se añade texto descriptivo en cada GPO para facilitar su comprensión y los efectos de activar/desactivar sus parámetros

Gestión: Windows Server 2003Una imagen de la GMPC

Gestión: Windows Server 2008También hereda todo lo bueno de Windows 2003

Server…

… y se añaden del orden de 800 «settings» a configurar, teniendo del orden de casi 2.500 valores por GPO.

El editor de GPOs cambia, integrando de modo nativo el «PolicyMaker», una versión mucho más sencilla, fácil y potente.

La GPMC viene de serie, pero en versión 2.0

Gestión: Windows Server 2008Una de las grandes novedades: las Starter GPOs

Una «Starter GPO» es una GPO «especial» de «Sólo lectura» que deriva de una GPO «normal» y que contiene las configuraciones base para un escenario concreto. Son GPOs «pre-definidas»

Tienen la limitación de que sólo es posible configurar parámetros del apartado «Administrative Templates»

La gran ventaja es que se pueden usar como plantillas para crear de modo rápido una serie de GPOs donde sólo varían unos poco parámetros específicos.

Windows Server 2008Una de las grandes novedades de 2008: las Starter GPOs

Una «Starter GPO» es una GPO «especial» de «Sólo lectura» que deriva de una GPO «normal» y que contiene las configuraciones base para un escenario concreto. Son GPOs «pre-definidas»

Son exportables entre dominios y bosques.

Es posible añadir comentarios a las GPOs, a modo de texto descriptivo

Windows Server 2008Tienen la limitación de que sólo es posible configurar parámetros del apartado «Administrative Templates»

Windows Server 2008La gran ventaja es que se pueden usar como plantillas para crear de modo rápido una serie de GPOs donde sólo varían unos poco parámetros específicos.

Windows Server 2008

Windows Server 2008Desde la GPMC es posible realizar búsquedas de GPOs, filtrando por diferentes criterios:

Tipos de GPO

Por palabras

Por requerimientos de la GPO

Windows Server 2008Ejemplo de búsqueda por Requeimiento de la GPO

Windows Server 2008 Group Policy Preferences, o cómo simplificar la vida a los administradores.

Las GP Preferences permiten:Asignar recursos compartidos y/o impresoras a usuarios o grupos

Tareas de copias de archivos

Accesos directos en el EscritorioCreación de enlaces ODBC

Y, muy interesante, creación de valores en las ramas de registro para aplicaciones no administrables via GPOs

Windows Server 2008 Consola de Group Policy Preferences

Gestión: Windows Server 2008 Consola de Group Policy Management Editor

Gestión: Windows Server 2008 R2

La versión R2 de Windows Server 2008 introduce las System Starter GPOs

Una «System Starter GPO» también es una GPO «especial» de «Sólo lectura» que deriva de una Starter GPO y que también contiene las configuraciones base para un escenario concreto.

También introduce la opción de administrarlas a través algunos de los 25 cmdlets de PowerShell v2.0

Creación, eliminación, backup e importación

Gestión: Windows Server 2008 R2

PowerShel 2.0

Asociar GPOs con contenedores de Active Directory: creación de links, actualización y eliminación.

Gestión de la herencia entre OUs

Configuración de Group Policy Preferences

Creación y edición de Starter GPOs

Gestión: Windows Server 2008 R2

Se añaden nuevas funcionalidades a las Group Policy Preferences, tales como:

Control de la Gestión de energía

Control de las Tareas programadas

Control de la personalización de Internet Explorer 8

Control sobre las Tareas imediatas

Turno de preguntas y respuestas

Es el momento de las dudas y aclaraciones.

Adelante, pues