PDF de programación - 10. Directivas o políticas de grupo - Redes de área local: Aplicaciones y servicios WINDOWS

Redes de área local:
Aplicaciones y servicios

WINDOWS

 

10. Directivas o políticas de grupo

1

Índice

Definición de Directivas o Políticas de Grupos
                                                                              
 
 
 
.............................................................................
 
 3  
Unidades Organizativas
                                                                                                                
 
...............................................................................................................
 
 5  
 
 
                                                                                                 
Directivas de Equipo y de Usuario
................................................................................................
 
 9  
 
 
 

2

Definición de Directivas o Políticas de Grupos
Definición de Directivas o Políticas de Grupos
La   configuración   de   Directiva   de   Grupo   define   los   distintos   componentes   del   entorno   de 
Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor Windows 
2003, de modo que el administrador del sistema determina cuales le serán aplicadas a cada 
usuario englobado en un sitio, dominio o unidad organizativa; entre las directivas que pueden 
especificarse, por ejemplo, podemos indicar aquellos programas que deseemos se encuentren 
disponibles   para   nuestros   usuarios,   los   programas   que   aparecerán   en   su   Escritorio,   las 
opciones del menú Inicio, las opciones del navegador, etc.

Para crear una configuración específica de Escritorio para un grupo de usuarios en particular, 
se utilizan las Directiva de Grupo. La configuración de Directiva de Grupo está contenida en un 
objeto de Directiva de Grupo, de modo que se asocia dicha directiva a los Sitios, Dominios o 
Unidades Organizativas indicadas en Active Directory.

Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser asociadas a un 
grupo de usuarios o grupos de equipos (sólo a Sitios, Dominios o Unidades Organizativas), 
aunque el resultado de su aplicación afecte únicamente a los usuarios y a los equipos de Active 
Directory.

Las directivas se aplican en este orden:

1. En primer lugar se aplica el objeto de Directiva de Grupo local único.
2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden 

especificado administrativamente. 

administrativamente.

3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden especificado 

4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas, de 

Unidad Organizativa principal a secundaria, y en orden especificado 
dministrativamente en el nivel de cada Unidad Organizativa.

3

5.

Finalmente, de forma predeterminada, las directivas aplicadas posteriormente 
sobrescriben las directivas aplicadas con anterioridad cuando las directivas son 
incoherentes. Sin embargo, si no hay incoherencias de configuración, tanto las 
directivas anteriores como las posteriores contribuyen a la directiva efectiva, es decir, 
se suman las configuraciones de las distintas directivas asociadas al objeto en 
cuestión.

Podemos resumir el funcionamiento de las Directivas de Grupo como sigue:

La Directiva de Grupo se aplica de manera jerárquica desde el grupo menos restrictivo (Sitio) al 
grupo más restrictivo (Unidad Organizativa). La Directiva de Grupo también es acumulativa. 
Los contenedores de servicio de directorio secundarios heredan la Directiva de Grupo de los 
contenedores primarios y el procesamiento de la Directiva de Grupo tiene lugar en el siguiente 
orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva 
de Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica 
a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos equipo 
y usuario de cada contenedor. Sin embargo, si especifica de manera explícita una Directiva de 
Grupo para un contenedor secundario, dicha directiva suplantará a la del contenedor primario, 
si es que son contradictorias, y se sumará a la anterior si no lo son.

Es importante resaltar que las Directivas de Grupo tienen prioridad sobre las opciones de 
configuración del perfil del usuario en caso de que se cree un conflicto.

En   los   siguientes   apartados   nos   centraremos   en   definir   una   estructura   de   Unidades 
Organizativas para nuestro centro educativo, así como en asociar las Políticas o Directivas de 
Grupo al dominio o a las Unidades Organizativas anteriormente creadas.

Vamos a citar y definir los siguientes términos, con los que trabajaremos habitualmente a lo 
largo de este apartado:

Sitio .­ Podemos definir un sitio como un conjunto de equipos en una o varias subredes IP. Los 
sitios suelen representar la estructura física de la red.

Dominio .­ Un dominio tiene un nombre único y permite el acceso a las cuentas de usuario y de 
grupo centralizadas mantenidas por el administrador del dominio. Cada dominio tiene sus 
propias directivas de seguridad y relaciones de seguridad con otros dominios, y representa 
límite de seguridad en una red Windows 2003. Active Directory está compuesto de uno o varios 
dominios, cada uno de los cuales puede abarcar más de una ubicación física. Los dominios 
representan la estructura lógica de la organización.

Unidad Organizativa  .­ Es un objeto contenedor de Active Directory que se utiliza en los 
dominios. Las Unidades Organizativas son contenedores lógicos en los que pueden colocarse 
usuarios, grupos, equipos y otras Unidades Organizativas. Sólo pueden contener objetos de su 
dominio principal. Una U.O. es el ámbito más pequeño al que se puede aplicar una Directiva de 
Grupo.

4

Unidades Organizativas
Unidades Organizativas
Para poder asociar las Políticas o Directivas de Grupo deseadas a los usuarios o equipos de 
nuestro dominio, vamos a crear una estructura de Unidades Organizativas que nos permita 
gestionar dichas directivas como deseemos.

Obviamente la estructura de U.O. que crearemos a continuación no debe ser un "estándar" a 
aplicar en cualquier centro; cada administrador deberá, en función de las necesidades propias 
de su centro, planificar las U.O. que debe crear, así como estructurarlas adecuadamente, para 
que las Directivas de Grupo se apliquen como desee.

En nuestro planteamiento, como las directivas asociadas a los Equipos del dominio serán 
siempre las mismas, no necesitamos crear ninguna U.O. para asociar las directivas a los 
equipos, pues asociándolas al dominio "micentro.edu" se aplicarán de forma automática a 
todos los equipos del dominio.

Entre las directivas que vamos a asociar a los Usuarios del dominio, habrá algunas comunes 
para todos los usuarios de nuestro centro (profesores y alumnos), las cuales asociaremos 
igualmente al dominio "micentro.edu", pero como habrá algunas directivas que serán aplicadas 
a los profesores pero no a los alumnos y viceversa, crearemos 2 contenedores de nombres 
respectivos "Profesores" y "Alumnos" bajo del dominio "micentro.edu". En la U.O. "Profesores" 
definiremos las directivas propias de los profesores y en la U.O. "Alumnos" las directivas 
propias de los alumnos, de modo que dichas directivas se apliquen posteriormente a la propia 
del dominio, según el orden indicado en el apartado anterior.

Lo primero que vamos a hacer para crear las Unidades Organizativas deseadas en nuestro 
centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble clic 
sobre "Usuarios y Equipos de Active Directory".

En la pantalla que se muestra a continuación, sobre el Dominio "micentro.edu", pulsamos con 
el  botón  derecho  del  ratón  y  seleccionamos   la   opción   "Nuevo"  y  posteriormente  "Unidad 
organizativa".

5

Indicamos el nombre de la nueva U.O. a crear, tecleando "Profesores" en la caja de texto 
destinada a tal efecto.

Procederemos de igual manera para crear la U.O. correspondiente a los alumnos; tras ello en 
la pantalla de los "Usuarios y equipos de Active Directory" observaremos como han sido 
creadas las U.O. "Profesores" y "Alumnos".

6

Para finalizar, debemos incluir a los profesores del centro ("javier", "joaquin" y "miguel") en el 
contenedor correspondiente a la U.O. "Profesores"; para ello accedemos a la carpeta "Users" y 
seleccionamos los 3 usuarios profesores que previamente habíamos creado; con el botón 
derecho del ratón pulsamos sobre la selección efectuada y elegimos la opción "Mover".

En la ventana que se muestra especificamos que deseamos mover dichos usuarios a la U.O. 
"Profesores", y pulsamos sobre el botón "Aceptar".

7

Procederemos de igual modo con los alumnos "Bachiller" y "ESO", pero ahora a estos los 
incluiremos en la U.O. "Alumnos"; tras ello observaremos como en las U.O. "Profesores" y 
"Alumnos",   se   encuentran   ubicados   los   usuarios   correspondientes   que   hemos   movido 
anteriormente.

NOTA:  Este   mismo   planteamiento   lo   podemos   extender   a   los   equipos,   por   ejemplo   si 
dispusiéramos de dos aulas de ordenadores, de modo que el software que quisiéramos instalar 
en cada una de ellas no fuera común, podríamos crear dos U.O. "Aula1" y "Aula2" para cada 
sala de ordenadores, y mover todos los equipos del Aula 1 a la U.O. "Aula 1" y todos los del 
Aula 2 a la U.O. "Aula 2"; tras ello definiríamos en la Directiva de Grupo asociada al dominio 
"micentro.edu" aquel software que se fuera a distribuir de modo común a todos los equipos del 
centro, y en la U.O. "Aula1" definiríamos una nueva directiva con el software propio de los 
equipos de dicho aula, procediendo de igual manera en la U.O. "Aula 2". La distribución de 
software será abordada en el siguiente capítulo del curso.

8

Además de todo lo comentado anteriormente, es  MUY IMPORTANTE, que bloqueemos la 
herencia de directivas para el controlador de dominio