Política de grupo

Característica de la familia de sistemas operativos Microsoft Windows NT

Editor de políticas de seguridad local en Windows 11

La Política de grupo es una característica de la familia de sistemas operativos Microsoft Windows NT (incluidos Windows XP, Windows 7, Windows 8.1, Windows 10, Windows 11 y Windows Server 2003+) que controla el entorno de trabajo de las cuentas de usuario y de las cuentas de computadora. La política de grupo proporciona administración y configuración centralizada de sistemas operativos, aplicaciones y configuraciones de usuarios en un entorno de Active Directory . Un conjunto de configuraciones de política de grupo se denomina objeto de política de grupo ( GPO ). Una versión de la Política de grupo llamada Política de grupo local (LGPO o LocalGPO) permite la administración de objetos de política de grupo sin Active Directory en computadoras independientes. ^{[1] [2]}

Los servidores de Active Directory difunden políticas de grupo enumerándolas en su directorio LDAP bajo objetos de clase groupPolicyContainer. Estos se refieren a rutas de servidor de archivos (atributo gPCFileSysPath) que almacenan los objetos de política de grupo reales, generalmente en un recurso compartido SMB \\ domain.com \ SYSVOL compartido por el servidor Active Directory. Si una política de grupo tiene configuración de registro, el recurso compartido de archivos asociado tendrá un archivo registry.polcon la configuración de registro que el cliente debe aplicar. ^[3]

El Editor de políticas (gpedit.msc) no se proporciona en las versiones Home de Windows XP/Vista/7/8/8.1/10/11.

Operación

Las políticas de grupo, en parte, controlan lo que los usuarios pueden y no pueden hacer en un sistema informático. Por ejemplo, se puede utilizar una política de grupo para aplicar una política de complejidad de contraseñas que impida a los usuarios elegir una contraseña demasiado simple. Otros ejemplos incluyen: permitir o impedir que usuarios no identificados de computadoras remotas se conecten a un recurso compartido de red , o bloquear/restringir el acceso a ciertas carpetas. Un conjunto de tales configuraciones se denomina objeto de política de grupo (GPO).

Como parte de las tecnologías IntelliMirror de Microsoft , la Política de grupo tiene como objetivo reducir el costo de soporte a los usuarios. Las tecnologías IntelliMirror se relacionan con la administración de máquinas desconectadas o usuarios itinerantes e incluyen perfiles de usuarios itinerantes , redirección de carpetas y archivos sin conexión .

Aplicación

Para lograr el objetivo de la administración central de un grupo de computadoras, las máquinas deben recibir y aplicar GPO. Un GPO que reside en una sola máquina solo se aplica a esa computadora. Para aplicar un GPO a un grupo de equipos, la Política de grupo depende de Active Directory (o de productos de terceros como ZENworks Desktop Management ) para su distribución. Active Directory puede distribuir GPO a computadoras que pertenecen a un dominio de Windows .

De forma predeterminada, Microsoft Windows actualiza su configuración de políticas cada 90 minutos con un intervalo aleatorio de 30 minutos. En los controladores de dominio , Microsoft Windows lo hace cada cinco minutos. Durante la actualización, descubre, recupera y aplica todos los GPO que se aplican a la máquina y a los usuarios que han iniciado sesión. Algunas configuraciones, como las de instalación automatizada de software, asignaciones de unidades, secuencias de comandos de inicio o secuencias de comandos de inicio de sesión, solo se aplican durante el inicio o el inicio de sesión del usuario. Desde Windows XP , los usuarios pueden iniciar manualmente una actualización de la política de grupo utilizando el gpupdate comando desde el símbolo del sistema . ^[4]

Los objetos de política de grupo se procesan en el siguiente orden (de arriba a abajo): ^[5]

1. Local : cualquier configuración en la política local de la computadora. Antes de Windows Vista, sólo había una política de grupo local almacenada por computadora. Windows Vista y versiones posteriores de Windows permiten políticas de grupo individuales por cuenta de usuario. ^[6]
2. Sitio : cualquier política de grupo asociada con el sitio de Active Directory en el que reside la computadora. (Un sitio de Active Directory es una agrupación lógica de computadoras, destinada a facilitar la administración de esas computadoras en función de su proximidad física). Si hay varias políticas vinculadas a un sitio, se procesan en el orden establecido por el administrador.
3. Dominio : cualquier política de grupo asociada con el dominio de Windows en el que reside la computadora. Si hay varias políticas vinculadas a un dominio, se procesan en el orden establecido por el administrador.
4. Unidad organizativa : políticas de grupo asignadas a la unidad organizativa (OU) de Active Directory en la que se encuentra la computadora o el usuario. (Las unidades organizativas son unidades lógicas que ayudan a organizar y administrar un grupo de usuarios, computadoras u otros objetos de Active Directory). Si hay varias políticas vinculadas a una unidad organizativa, se procesan en el orden establecido por el administrador.

La configuración de política de grupo resultante aplicada a una computadora o usuario determinado se conoce como conjunto resultante de políticas (RSoP). La información RSoP se puede mostrar tanto para las computadoras como para los usuarios que usan el gpresultcomando. ^[7]

Herencia

Una política establecida dentro de una estructura jerárquica normalmente se transmite de padres a hijos, y de hijos a nietos, y así sucesivamente. A esto se le llama herencia . Se puede bloquear o imponer para controlar qué políticas se aplican en cada nivel. Si un administrador de nivel superior (administrador empresarial) crea una política cuya herencia está bloqueada por un administrador de nivel inferior (administrador de dominio), esta política aún se procesará.

Cuando se configura una configuración de preferencia de política de grupo y también hay una configuración de política de grupo equivalente configurada, el valor de la configuración de política de grupo tendrá prioridad.

Filtración

El filtrado WMI es el proceso de personalizar el alcance del GPO eligiendo un filtro (WMI) para aplicar. Estos filtros permiten a los administradores aplicar el GPO solo, por ejemplo, a computadoras de modelos específicos, RAM, software instalado o cualquier cosa disponible a través de consultas WMI.

Política de grupo local

La Política de grupo local (LGP o LocalGPO) es una versión más básica de la Política de grupo para computadoras independientes y sin dominio, que existe al menos desde Windows XP , ^{[¿ cuándo? ]} y se puede aplicar a las computadoras del dominio. ^{[ cita necesaria ]} Antes de Windows Vista, LGP podía aplicar un objeto de política de grupo para una sola computadora local, pero no podía establecer políticas para usuarios o grupos individuales. Desde Windows Vista en adelante, LGP también permite la administración de políticas de grupo local para usuarios individuales y grupos, ^[1] y también permite realizar copias de seguridad, importar y exportar políticas entre máquinas independientes a través de "Paquetes GPO": contenedores de políticas de grupo que incluyen los archivos necesarios para importar la política a la máquina de destino. ^[2]

Preferencias de política de grupo

Las Preferencias de Política de Grupo son una forma para que el administrador establezca políticas que no son obligatorias, pero sí opcionales para el usuario o la computadora. Hay un conjunto de extensiones de configuración de políticas de grupo que anteriormente se conocían como PolicyMaker. Microsoft compró PolicyMaker y luego los integró con Windows Server 2008 . Desde entonces, Microsoft ha lanzado una herramienta de migración que permite a los usuarios migrar elementos de PolicyMaker a las Preferencias de políticas de grupo. ^[8]

Preferencias de política de grupo agrega una serie de nuevos elementos de configuración. Estos elementos también tienen una serie de opciones de orientación adicionales que se pueden utilizar para controlar de forma granular la aplicación de estos elementos de configuración.

Las preferencias de política de grupo son compatibles con las versiones x86 y x64 de Windows XP, Windows Server 2003 y Windows Vista con la adición de las extensiones del lado del cliente (también conocidas como CSE). ^{[9] [10] [11] [12] [13] [14]}

Las extensiones del lado del cliente ahora se incluyen en Windows Server 2008 , Windows 7 y Windows Server 2008 R2 .

Consola de administración de políticas de grupo

Originalmente, las políticas de grupo se modificaban utilizando la herramienta de edición de políticas de grupo que se integraba con el complemento Microsoft Management Console (MMC) de usuarios y equipos de Active Directory, pero luego se dividió en un complemento MMC separado llamado Consola de administración de políticas de grupo ( GPMC). GPMC ahora es un componente de usuario en Windows Server 2008 y Windows Server 2008 R2 y se proporciona como descarga como parte de las herramientas de administración remota del servidor para Windows Vista y Windows 7 . ^{[15] [16] [17] [18]}

Gestión avanzada de políticas de grupo

Microsoft también ha lanzado una herramienta para realizar cambios en la política de grupo llamada Administración avanzada de políticas de grupo ^[19] (también conocida como AGPM). Esta herramienta está disponible para cualquier organización que tenga licencia de Microsoft Desktop Optimization Pack (también conocido como MDOP). Esta herramienta avanzada permite a los administradores tener un proceso de entrada y salida para modificar los objetos de política de grupo, realizar un seguimiento de los cambios en los objetos de política de grupo e implementar flujos de trabajo de aprobación para cambios en los objetos de política de grupo.

AGPM consta de dos partes: servidor y cliente. El servidor es un servicio de Windows que almacena sus objetos de política de grupo en un archivo ubicado en la misma computadora o en un recurso compartido de red. El cliente es un complemento de la Consola de administración de políticas de grupo y se conecta al servidor AGPM. La configuración del cliente se realiza a través de la Política de grupo.

Seguridad

Las aplicaciones de destino aplican voluntariamente la configuración de la política de grupo. En muchos casos, esto consiste simplemente en desactivar la interfaz de usuario para una función concreta. ^[20]

Alternativamente, un usuario malévolo puede modificar o interferir con la aplicación para que no pueda leer correctamente la configuración de su Política de grupo, imponiendo así valores predeterminados de seguridad potencialmente más bajos o incluso devolviendo valores arbitrarios. ^[21]

Mejoras de Windows 8

Windows 8 ha introducido una nueva característica llamada Actualización de políticas de grupo. Esta característica permite a un administrador forzar una actualización de la política de grupo en todas las computadoras con cuentas en una unidad organizativa particular. Esto crea una tarea programada en la computadora que ejecuta el gpupdatecomando en 10 minutos, ajustada mediante un desplazamiento aleatorio para evitar sobrecargar el controlador de dominio.

Se introdujo el estado de la infraestructura de políticas de grupo, que puede informar cuando algún objeto de política de grupo no se replica correctamente entre los controladores de dominio. ^[22]

El Informe de resultados de la política de grupo también tiene una nueva característica que cronometrar la ejecución de componentes individuales al realizar una actualización de la política de grupo. ^[23]

Ver también

• Plantilla administrativa
• Mejoras en la política de grupo en Windows Vista
• Gerente de grupo de trabajo

Referencias

1. LLC), Tara Meyer (Aquent (25 de julio de 2008). "Guía paso a paso para administrar múltiples objetos de política de grupo local". go.microsoft.com .
2. Sigman, Jeff. "SCM v2 Beta: ¡LocalGPO es genial!". Microsoft . Consultado el 24 de noviembre de 2018 .
3. "[MS-GPOD]: descripción general de los protocolos de políticas de grupo". Microsoft. Sección 1.1.5 Almacenamiento de datos de políticas de grupo . Consultado el 22 de febrero de 2020 .
4. Actualización
5. "Procesamiento y precedencia de políticas de grupo". Corporación Microsoft. 22 de abril de 2012.
6. "Política de grupo: aplicar a un usuario o grupo específico - Foros de ayuda de Windows 7". www.sevenforums.com .
7. Documentos archivados (18 de abril de 2012). "Gpresultado". technet.microsoft.com .
8. "Herramienta de migración de preferencias de políticas de grupo (GPPMIG)". Microsoft .
9. "Extensiones del lado del cliente de preferencia de política de grupo para Windows XP (KB943729)". Centro de descarga de Microsoft .
10. "Extensiones del lado del cliente de preferencia de política de grupo para Windows XP x64 Edition (KB943729)". Centro de descarga de Microsoft .
11. "Extensiones del lado del cliente de preferencia de política de grupo para Windows Vista (KB943729)". Centro de descarga de Microsoft .
12. "Extensiones del lado del cliente de preferencia de política de grupo para Windows Vista x64 Edition (KB943729)". Centro de descarga de Microsoft .
13. "Extensiones del lado del cliente de preferencia de política de grupo para Windows Server 2003 (KB943729)". Centro de descarga de Microsoft .
14. "Extensiones del lado del cliente de preferencia de política de grupo para Windows Server 2003 x64 Edition (KB943729)". Centro de descarga de Microsoft .
15. "Cómo instalar GPMC en Server 2008, 2008 R2 y Windows 7 (a través de RSAT)". 2009-12-23. Archivado desde el original el 26 de diciembre de 2009 . Consultado el 12 de marzo de 2010 .
16. Herramientas de administración remota del servidor de Microsoft para Windows Vista
17. Herramientas de administración remota del servidor de Microsoft para Windows Vista para sistemas basados ​​en x64
18. Herramientas de administración remota del servidor para Windows 7
19. "Windows: sitio oficial para sistemas operativos Microsoft Windows 10 Home y Pro, computadoras portátiles, PC, tabletas y más". www.microsoft.com .
20. Raymond Chen , "La política de Shell no es lo mismo que la seguridad"
21. Russinovich, Mark (26 de junio de 2019) [12 de diciembre de 2005]. "Eludir la política de grupo como usuario limitado". Centro comunitario de Microsoft . Microsoft . Consultado el 10 de junio de 2023 .
22. "Actualizado: Novedades de la política de grupo en Windows 8". 17 de octubre de 2011.
23. "Función de solución de problemas de rendimiento de la política de grupo de Windows 8". 23 de enero de 2012.

Otras lecturas

1. "Política de grupo para principiantes". Biblioteca técnica de Windows 7 . Microsoft. 27 de abril de 2011 . Consultado el 22 de abril de 2012 .
2. "Consola de administración de políticas de grupo". Centro de desarrollo: escritorio . Microsoft. 3 de febrero de 2012 . Consultado el 22 de abril de 2012 .
3. "Guía paso a paso para administrar varios objetos de política de grupo local". Biblioteca técnica de Windows Vista . Microsoft. 25 de julio de 2008 . Consultado el 22 de abril de 2012 .
4. "Procesamiento y precedencia de políticas de grupo". Ayuda del producto Windows Server 2003 . Microsoft. 21 de enero de 2005 . Consultado el 22 de abril de 2012 .

enlaces externos

• Página web oficial
• Blog del equipo de políticas de grupo Archivado el 20 de abril de 2010 en Wayback Machine.
• Referencia de configuración de políticas de grupo para Windows y Windows Server
• Forzar actualización