Hola a tod@s,
En este post vamos a ver una buena práctica en nuestro Active Directory referente a la Group Policy Object (GPO).
- Cuando desplegamos los roles de Servicios de dominio de Active Directory en un Windows Server, por defecto las GPO “Default Domain Policy” y “Default Domain Controllers Policy”, ya están creadas y vinculadas a las siguientes ubicaciones:
- Como buena práctica, es aconsejable, no editar estas dos GPOs, ya que vienen con unas configuraciones por defecto, para que nuestro Active Directory funcione correctamente, todas las configuraciones las llevaremos a cabo, creándonos nuevas GPOs y vinculándolas sobre la OUs correspondientes.
- También otra buena práctica, y a ésta es a la que vamos a hacer referencia en este artículo, es que vamos a intentar evitar vincular sobre la raíz de nuestro dominio las nuevas GPOs que nos iremos creando a lo largo del tiempo, ¿y por qué hacemos esto?, pues la explicación es básica, si nos equivocamos diseñando una GPO con configuraciones de sistemas críticas y la vinculamos sobre la raíz del dominio, en muchas ocasiones la vuelta atrás no va a ser posible y la podemos liar bien gorda sobre la infraestructura, aquí muestro un ejemplo de lo que NO debemos de hacer:
- ¿Qué hacemos entonces?, en mi caso, lo que siempre hago, es crearme una Unidad Organizativa (OU) con el nombre de la empresa, podemos decir, que esta es la OU principal y dentro de ella voy anidando otras OUs:
- Ahora, todas las nuevas GPOs que nos vayamos creando a lo largo del tiempo, las iremos vinculando sobre las Unidades Organizativas que nos interesen, y no sobre la raíz del dominio:
Saludos y espero que os resulte de ayuda 😉