7 OBJETOS DE POLÍTICAS DE GRUPO (GPOs)

Los GPOs (Group Policy Object) son objetos del directorio activo que permiten establecer de forma centralizada la configuración de grupos de usuarios y equipos. Estos GPOs se vinculan a uno o varios sitios, dominios u OUs del directorio (no a contenedores built-in) y son heredados por las ``sub-OUs''¹⁶.

Cada OU puede tener vinculados múltiples GPOs cuyas directivas son acumulativas.

Dentro de cada GPO, las directivas se organizan jerárquicamente en un árbol temático cuyo primer nivel distingue entre Configuración del equipo -que aplica solo a equipos- y Configuración de usuario -que aplica solo a usuarios y grupos-. Cuando un usuario inicia sesión en un equipo, se procesan los apartados Configuración del equipo de los GPOs aplicables al equipo y los apartados Configuración de usuario de los GPOs aplicables al usuario y sus grupos.

Se recomienda que los equipos residan en OUs diferentes de los grupos y usuarios, para aplicar diferentes GPOs sobre ellas. En este caso podemos mejorar el rendimiento del procesamiento de directivas deshabilitando una de las dos partes principales del GPO (equipo / usuario) que de todas formas no se va a aplicar.

En el segundo nivel las políticas se agrupan en ``Configuración de software'' (sobre instalación automática de software), ``Configuración de Windows'' y ``Plantillas administrativas'' (políticas que se guardan en el registro de Windows).

Las políticas de ``Plantillas Administrativas'' en Windows 2003 se guardan en un apartado específico del registro y dejan de aplicarse si el GPO deja de estar en uso, por lo que se les llama ``políticas verdaderas'' (``true policies'') en contraposición a las llamadas ``preferencias'' (``GP preferences'') que se usaban anteriormente para las ``Plantillas Administrativas'' y escribían permanentemente el registro.

El orden de aplicación de las directivas o políticas es¹⁷:

• Directivas locales (llamadas a veces LGPO)
• GPOs vinculadas a sitios
• GPOs vinculadas a dominios
• GPOs vinculadas a OUs de primer nivel
• GPOs vinculadas a OUs de segundo nivel
• ...

En cada nivel puede haber varios GPOs que se aplican por el orden indicado en la OU (de arriba a abajo en la ventana).

Las últimas directivas aplicadas prevalecen sobre las anteriores.

Las políticas se aplican automáticamente en el inicio del equipo, en el inicio de sesión de usuario y periódicamente cada 90 minutos +[0-30]. Además el administrador puede forzar la recarga manualmente con el comando ``gpupdate''.

Un usuario puede consultar toda la información sobre las políticas que se aplican sobre él en ese equipo con el comando ``gpresult''.

Notas al pie

...''¹⁶

Existe una GPO predefinida llamada ``Default Domain Controllers Policy'' vinculada a la OU -también predefinida- ``Domain Controllers''.

... es¹⁷

Hay que recordar que aunque en los dominios -estructura lógica- se heredan las políticas de los sitios -estructura física-, los dominios son límites de seguridad y sus políticas no se aplican en ningún otro dominio ascendente o descendente (dominios padres e hijos).

 
Puede descargar una versión en PDF del documento: Servidores Windows en PDF.

2009-05 Güimi (http://guimi.net)
Está permitido copiar, distribuir y/o modificar los documentos bajo los términos de la licencia
"Reconocimiento-Compartir bajo la misma licencia 3.0 España" de Creative Commons.
Puede ver una copia de esta licencia completa.

administración de windows, modelo de seguridad, directorio activo, active directory, políticas de grupo, sistema de archivos distribuido (DFS)