Política de grupo

Característica de la familia de sistemas operativos Microsoft Windows NT

Editor de políticas de seguridad local en Windows 11

La directiva de grupo es una característica de la familia de sistemas operativos Microsoft Windows NT (incluidos Windows 8.1, Windows 10, Windows 11) que controla el entorno de trabajo de las cuentas de usuario y de las cuentas de equipo. La directiva de grupo proporciona una gestión y configuración centralizadas de los sistemas operativos, las aplicaciones y las configuraciones de los usuarios en un entorno de Active Directory . Un conjunto de configuraciones de directiva de grupo se denomina objeto de directiva de grupo ( GPO ). Una versión de la directiva de grupo denominada directiva de grupo local (LGPO o LocalGPO) permite la gestión de objetos de directiva de grupo sin Active Directory en equipos independientes. ^{[1] [2]}

Los servidores de Active Directory difunden políticas de grupo al incluirlas en su directorio LDAPgroupPolicyContainer bajo objetos de clase . Estos hacen referencia a rutas de servidor de archivos (atributo gPCFileSysPath) que almacenan los objetos de política de grupo reales, normalmente en un recurso compartido SMB \\ domain.com \ SYSVOL compartido por el servidor de Active Directory. Si una política de grupo tiene configuraciones de registro, el recurso compartido de archivos asociado tendrá un archivo registry.polcon las configuraciones de registro que el cliente debe aplicar. ^[3]

El Editor de políticas (gpedit.msc) no está disponible en las versiones Home de Windows XP/Vista/7/8/8.1/10/11.

Operación

Las políticas de grupo controlan, en parte, lo que los usuarios pueden y no pueden hacer en un sistema informático. Por ejemplo, una política de grupo se puede utilizar para aplicar una política de complejidad de contraseñas que impida a los usuarios elegir una contraseña demasiado simple. Otros ejemplos incluyen: permitir o impedir que usuarios no identificados de equipos remotos se conecten a un recurso compartido de red , o bloquear o restringir el acceso a determinadas carpetas. Un conjunto de estas configuraciones se denomina objeto de política de grupo (GPO).

Como parte de las tecnologías IntelliMirror de Microsoft , la directiva de grupo tiene como objetivo reducir el costo de brindar soporte a los usuarios. Las tecnologías IntelliMirror se relacionan con la administración de máquinas desconectadas o usuarios itinerantes e incluyen perfiles de usuario itinerantes , redirección de carpetas y archivos sin conexión .

Aplicación

Para lograr el objetivo de la administración central de un grupo de equipos, los equipos deben recibir y aplicar GPO. Un GPO que reside en un solo equipo solo se aplica a ese equipo. Para aplicar un GPO a un grupo de equipos, la directiva de grupo se basa en Active Directory (o en productos de terceros como ZENworks Desktop Management ) para su distribución. Active Directory puede distribuir GPO a equipos que pertenecen a un dominio de Windows .

De forma predeterminada, el tiempo de actualización de las directivas de grupo de Microsoft Windows se establece en 90 minutos para los usuarios y 5 minutos para los controladores de dominio ; Microsoft Windows lo hace cada cinco minutos. Durante la actualización, descubre, recupera y aplica todos los GPO que se aplican a la máquina y a los usuarios que han iniciado sesión. Algunas configuraciones, como las de instalación de software automatizada, asignaciones de unidades, scripts de inicio o scripts de inicio de sesión, solo se aplican durante el inicio o el inicio de sesión del usuario. Desde Windows XP , los usuarios pueden iniciar manualmente una actualización de la directiva de grupo mediante el gpupdate comando desde un símbolo del sistema . ^[4]

Los objetos de política de grupo se procesan en el siguiente orden (de arriba a abajo): ^[5]

1. Local : cualquier configuración de la política local del equipo. Antes de Windows Vista, solo se almacenaba una política de grupo local por equipo. Windows Vista y las versiones posteriores de Windows permiten políticas de grupo individuales por cuenta de usuario. ^[6]
2. Sitio : cualquier política de grupo asociada con el sitio de Active Directory en el que reside el equipo. (Un sitio de Active Directory es una agrupación lógica de equipos, cuyo objetivo es facilitar la administración de dichos equipos en función de su proximidad física). Si hay varias políticas vinculadas a un sitio, se procesan en el orden establecido por el administrador.
3. Dominio : cualquier política de grupo asociada con el dominio de Windows en el que reside la computadora. Si hay varias políticas vinculadas a un dominio, se procesan en el orden establecido por el administrador.
4. Unidad organizativa : políticas de grupo asignadas a la unidad organizativa (OU) de Active Directory en la que se ubica el equipo o el usuario. (Las OU son unidades lógicas que ayudan a organizar y administrar un grupo de usuarios, equipos u otros objetos de Active Directory). Si hay varias políticas vinculadas a una OU, se procesan en el orden establecido por el administrador.

Las configuraciones de directiva de grupo resultantes aplicadas a un determinado equipo o usuario se conocen como Conjunto resultante de directivas (RSoP). La información de RSoP se puede mostrar tanto para equipos como para usuarios mediante el gpresultcomando. ^[7]

Herencia

Una configuración de política dentro de una estructura jerárquica se transmite normalmente de padre a hijo, y de hijo a nieto, y así sucesivamente. Esto se denomina herencia . Se puede bloquear o aplicar para controlar qué políticas se aplican en cada nivel. Si un administrador de nivel superior (administrador de empresa) crea una política cuya herencia está bloqueada por un administrador de nivel inferior (administrador de dominio), esta política se procesará igualmente.

Cuando se configura una configuración de preferencia de política de grupo y también hay una configuración de política de grupo equivalente configurada, entonces el valor de la configuración de política de grupo tendrá prioridad.

Filtración

El filtrado WMI es el proceso de personalizar el alcance de la GPO mediante la elección de un filtro (WMI) para aplicar. Estos filtros permiten a los administradores aplicar la GPO solo a, por ejemplo, equipos de modelos específicos, memoria RAM, software instalado o cualquier elemento disponible a través de consultas WMI.

Política de grupo local

La directiva de grupo local (LGP o LocalGPO) es una versión más básica de la directiva de grupo para equipos independientes y no pertenecientes a un dominio, que existe al menos desde Windows XP ^{[ ¿cuándo? ]} y se puede aplicar a equipos pertenecientes a un dominio. ^{[ cita requerida ]} Antes de Windows Vista , LGP podía aplicar un objeto de directiva de grupo para un único equipo local, pero no podía crear directivas para usuarios individuales o grupos. A partir de Windows Vista, LGP también permite la gestión de directivas de grupo locales para usuarios individuales y grupos ^[1] y también permite la copia de seguridad, importación y exportación de directivas entre equipos independientes a través de "paquetes GPO": contenedores de directivas de grupo que incluyen los archivos necesarios para importar la directiva al equipo de destino. ^[2]

Preferencias de directiva de grupo

Las preferencias de directiva de grupo son una forma de que el administrador establezca políticas que no son obligatorias, sino opcionales para el usuario o el equipo. Existe un conjunto de extensiones de configuración de directiva de grupo que antes se conocían como PolicyMaker. Microsoft compró PolicyMaker y luego las integró con Windows Server 2008. Desde entonces, Microsoft ha lanzado una herramienta de migración que permite a los usuarios migrar elementos de PolicyMaker a las preferencias de directiva de grupo. ^[8]

Las preferencias de directiva de grupo agregan una serie de nuevos elementos de configuración. Estos elementos también tienen una serie de opciones de destino adicionales que se pueden utilizar para controlar de forma granular la aplicación de estos elementos de configuración.

Las preferencias de directiva de grupo son compatibles con las versiones x86 y x64 de Windows XP, Windows Server 2003 y Windows Vista con la incorporación de las extensiones del lado del cliente (también conocidas como CSE). ^{[9] [10] [11] [12] [13] [14]}

Las extensiones del lado del cliente ahora están incluidas en Windows Server 2008 , Windows 7 y Windows Server 2008 R2 .

Consola de administración de directivas de grupo

Originalmente, las directivas de grupo se modificaban utilizando la herramienta de edición de directivas de grupo que estaba integrada con el complemento Microsoft Management Console (MMC) de usuarios y equipos de Active Directory, pero luego se dividió en un complemento MMC independiente llamado Group Policy Management Console (GPMC). La GPMC es ahora un componente de usuario en Windows Server 2008 y Windows Server 2008 R2 y se proporciona como descarga como parte de las herramientas de administración remota del servidor para Windows Vista y Windows 7. [ ^{15] [16] [17] [18]}

Gestión avanzada de políticas de grupo

Microsoft también ha lanzado una herramienta para realizar cambios en la directiva de grupo denominada Advanced Group Policy Management ^[19] (también conocida como AGPM). Esta herramienta está disponible para cualquier organización que haya adquirido la licencia de Microsoft Desktop Optimization Pack (también conocida como MDOP). Esta herramienta avanzada permite a los administradores tener un proceso de registro de entrada y salida para la modificación de objetos de directiva de grupo, realizar un seguimiento de los cambios en los objetos de directiva de grupo e implementar flujos de trabajo de aprobación para los cambios en los objetos de directiva de grupo.

AGPM consta de dos partes: servidor y cliente. El servidor es un servicio de Windows que almacena sus objetos de directiva de grupo en un archivo ubicado en el mismo equipo o en un recurso compartido de red. El cliente es un complemento de la consola de administración de directivas de grupo y se conecta al servidor AGPM. La configuración del cliente se realiza a través de la directiva de grupo.

Seguridad

Las aplicaciones de destino aplican voluntariamente la configuración de la directiva de grupo. En muchos casos, esto consiste simplemente en deshabilitar la interfaz de usuario para una función en particular. ^[20]

Como alternativa, un usuario malintencionado puede modificar o interferir en la aplicación para que no pueda leer con éxito su configuración de política de grupo, imponiendo así valores predeterminados de seguridad potencialmente inferiores o incluso devolviendo valores arbitrarios. ^[21]

Mejoras de Windows 11

Windows 11 ha introducido una nueva función llamada Actualización de directiva de grupo. Esta función permite a un administrador forzar una actualización de la directiva de grupo en todos los equipos con cuentas en una unidad organizativa en particular. Esto crea una tarea programada en el equipo que ejecuta el gpupdatecomando en un plazo de 10 minutos, ajustado por un desfase aleatorio para evitar sobrecargar el controlador de dominio.

Se introdujo el estado de la infraestructura de política de grupo, que puede informar cuando algún objeto de política de grupo no se replica correctamente entre los controladores de dominio. ^[22]

El Informe de resultados de la directiva de grupo también tiene una nueva función que cronometra la ejecución de componentes individuales al realizar una actualización de la directiva de grupo. ^[23]

Véase también

• Plantilla administrativa
• Mejoras en la directiva de grupo en Windows Vista
• Administrador de grupo de trabajo

Referencias

1. LLC), Tara Meyer (Aquent (25 de julio de 2008). "Guía paso a paso para administrar varios objetos de directiva de grupo local". go.microsoft.com .
2. Sigman, Jeff. "SCM v2 Beta: LocalGPO Rocks!". Microsoft . Consultado el 24 de noviembre de 2018 .
3. "[MS-GPOD]: Descripción general de los protocolos de directiva de grupo". Microsoft. Sección 1.1.5 Almacenamiento de datos de directiva de grupo . Consultado el 22 de febrero de 2020 .
4. Actualización de gp
5. "Procesamiento y precedencia de directivas de grupo". Microsoft Corporation. 22 de abril de 2012.
6. "Directiva de grupo: aplicar a un usuario o grupo específico - Foros de ayuda de Windows 7". www.sevenforums.com .
7. Archiveddocs (18 de abril de 2012). "Gpresult". technet.microsoft.com .
8. "Herramienta de migración de preferencias de directiva de grupo (GPPMIG)". Microsoft .
9. "Extensiones del lado del cliente de preferencias de directiva de grupo para Windows XP (KB943729)". Centro de descargas de Microsoft .
10. "Extensiones del lado del cliente de preferencias de directiva de grupo para Windows XP x64 Edition (KB943729)". Centro de descargas de Microsoft .
11. "Extensiones del lado del cliente de preferencias de directiva de grupo para Windows Vista (KB943729)". Centro de descargas de Microsoft .
12. "Extensiones del lado del cliente de preferencias de directiva de grupo para Windows Vista x64 Edition (KB943729)". Centro de descargas de Microsoft .
13. "Extensiones del lado del cliente de preferencias de directiva de grupo para Windows Server 2003 (KB943729)". Centro de descargas de Microsoft .
14. "Extensiones del lado del cliente de preferencias de directiva de grupo para Windows Server 2003 x64 Edition (KB943729)". Centro de descargas de Microsoft .
15. "Cómo instalar GPMC en Server 2008, 2008 R2 y Windows 7 (a través de RSAT)". 23 de diciembre de 2009. Archivado desde el original el 26 de diciembre de 2009. Consultado el 12 de marzo de 2010 .
16. Herramientas de administración remota de servidores de Microsoft para Windows Vista
17. Herramientas de administración remota de servidores de Microsoft para Windows Vista para sistemas basados ​​en x64
18. Herramientas de administración remota de servidores para Windows 7
19. "Windows - Sitio oficial del sistema operativo Microsoft Windows 10 Home y Pro, computadoras portátiles, PC, tabletas y más". www.microsoft.com .
20. Raymond Chen , "La política de Shell no es lo mismo que la seguridad"
21. Russinovich, Mark (26 de junio de 2019) [12 de diciembre de 2005]. "Elusión de la directiva de grupo como usuario limitado". Centro de la comunidad de Microsoft . Microsoft . Consultado el 10 de junio de 2023 .
22. "Actualizado: Novedades de la directiva de grupo en Windows 8". 17 de octubre de 2011.
23. "Función de solución de problemas de rendimiento de la directiva de grupo de Windows 8". 23 de enero de 2012.

Lectura adicional

1. "Directiva de grupo para principiantes". Biblioteca técnica de Windows 7. Microsoft. 27 de abril de 2011. Consultado el 22 de abril de 2012 .
2. "Consola de administración de directivas de grupo". Centro de desarrollo - Escritorio . Microsoft. 3 de febrero de 2012 . Consultado el 22 de abril de 2012 .
3. "Guía paso a paso para administrar varios objetos de directiva de grupo local". Biblioteca técnica de Windows Vista . Microsoft. 25 de julio de 2008. Consultado el 22 de abril de 2012 .
4. "Procesamiento y precedencia de directivas de grupo". Ayuda del producto Windows Server 2003. Microsoft. 21 de enero de 2005. Consultado el 22 de abril de 2012 .

Enlaces externos

• Sitio web oficial
• Blog del equipo de directivas de grupo Archivado el 20 de abril de 2010 en Wayback Machine
• Referencia de configuración de directiva de grupo para Windows y Windows Server
• Forzar actualización de la GPU