17

Administración de directivas de grupo (GPO) sobre MS Windows Server 2016

Hola a tod@s.

En este post vamos a ver como configurar las directivas de grupo para nuestro dominio ragasys.net sobre servidores Microsoft Windows Server 2016.

Las Directivas de Grupo, GPO, permiten implementar configuraciones específicas para uno o varios usuarios y/o equipos. Nos centraremos en cómo se debe hacer la gestión correcta de GPO en Active Directory de Microsoft Windows.

Para la configuración de GPO que sólo afecten a un usuario o equipo local se puede utilizar el editor de directivas locales gpedit.msc. En nuestro caso accederemos en el entorno de Servicios de Dominio de Active Directory, con la consola de administración gpmc.msc.

Las GPO permiten administrar objetos de usuarios y equipos, aplicando la más restrictiva en caso de existir más de una política. Se puede usar una GPO para casi cualquier cosa, como indicar qué usuario o grupo tiene acceso a una unidad de disco, o limitar el tamaño máximo que puede tener un archivo.

Las GPO se pueden diferenciar dependiendo del objeto al que configuran y se pueden entender en distintos niveles:

  • Equipo Local: tan solo se aplican en el equipo que las tiene asignadas independientemente del dominio al que pertenezca.
  • Sitio: se aplican a los equipos y/o usuarios de un sitio, independientemente del dominio.
  • Dominio: se aplican a todos los equipos y/o usuarios de un dominio.
  • Unidad Organizativa (OU): se aplican únicamente a los equipos y/o usuarios que pertenecen a la OU.

 

Dentro de la configuración de directiva se puede acceder a lo siguiente:

  • Configuración de equipo
  • Configuración de usuario

Fuente: https://cetatech.ceta-ciemat.es/

  • Para empezar a configurar las GPO nos vamos al Administrador del Servidor > Administración de directivas de grupo:

  • Por defecto las GPO “Default Domain Policy” y “Default Domain Controllers Policy”, ya están creadas y vinculadas a las siguientes ubicaciones:

  • Como buena práctica, es aconsejable, no editar estas dos GPOs, ya que vienen con unas configuraciones por defecto, para que nuestro Active Directory funcione correctamente, todas las configuraciones las llevaremos a cabo, creándonos nuevas GPOs y vinculándolas sobre la OUs correspondientes.
  • Aquí vemos la configuración por defecto de la GPO “Default Domain Policy”:

  • Aquí vemos la configuración por defecto de la GPO “Default Domain Controllers Policy”:

  • Una vez que hemos visto las dos GPOs por defecto, procederemos a crear nuevas GPOs para nuestro dominio y las vincularemos sobre las Unidades organizativas que nos interese o sobre el dominio completo, para crear nuevas GPOs, hacemos lo siguiente:

  • Le asignamos un nombre y clic sobre Aceptar:

  • Como podemos ver ya tenemos la nueva GPO creada:

  • Ahora la vinculamos sobre la unidad organizativa “Direccion”, así solo afectará a esta OU:

  • Como podemos ver ya la tenemos vinculada:

  • Nos hemos creado las siguientes GPOs y las hemos vinculado a las Unidades Organizativas que nos han ido interesando o las hemos vinculado al dominio para que afecten a todas las unidades organizativas:

  • Ahora mostraremos las configuraciones de cada GPO:
  • GPO “Bloqueo Automático Terminal”, esta GPO está vinculada sobre el dominio y su función será bloquear las sesiones de los usuarios cuando haya transcurrido un tiempo de inactividad en esas sesiones, cuando o usuarios quieran volver a desbloquear su sesión, deberán introducir sus credenciales:

  • GPO “Contraseñas y Bloqueo Cuentas”, esta GPO está vinculada sobre el dominio y su función será definir una política de contraseñas para nuestros usuarios y una política para el bloqueo de las cuentas de los usuarios de nuestro dominio:

  • Como la GPO “Default Domain Policy” ya tiene creada una política de contraseñas y bloqueo de cuentas, para que se aplique correctamente esta GPO, debemos moverla por encima de la GPO “Default Domain Policy”:

  • GPO “Deshabilitar Firewall”, esta GPO está vinculada sobre el dominio y su función será deshabilitar el firewall de Windows para el perfil de dominio en todos nuestros equipos:

  • GPO “No Ejecución Aplicaciones Especificadas”, esta GPO está vinculada sobre una OU (RAGASYS) y su función será no permitir la ejecución de las aplicaciones que hemos definido en la lista:

  • GPO “Bloqueo Inicio Sesion Local”, esta GPO está vinculada sobre una OU (Equipos Bloqueados) y su función será que los equipos que se encuentren dentro de esta OU sólo van a poder iniciar sesión en ellos los administradores del dominio, así evitaremos que el usuario que utilice ese equipo pueda iniciar sesión, ya sea por motivos de seguridad, despido del trabajador, sospechemos que ese usuario no está utilizando su equipo siguiendo las políticas de la empresa, etc…:

  • GPO “Bloquear Pendrives”, esta GPO no la hemos vinculado a nada, por lo tanto, no realizará la función que le hemos definido, una vez que la vinculemos sobre cualquiera de nuestras unidades organizativas, no permitirá la utilización de pendrives, CD, DVD, disquetes en los equipos de nuestra infraestructura:

  • Con esto terminamos este post sobre la administración de directivas de grupo, más adelante, en otros post, voy a mostrar otras configuraciones de GPO, por ejemplo, cuando monte WSUS sobre WS 2016, o un servidor de impresión para montar las impresoras por GPO, también definiremos GPOs para delegar la administración del Active Directory a otros usuarios administradores según su ubicación geográfica y que estos usuarios administren la OU que le corresponda (Barcelona, Bilbao, Madrid, Sevilla y Valencia), etc….

 

Saludos y espero que os resulte de ayuda 😉

 

Jose Ramon Ramos Gata

Técnico Superior STI

17 comentarios

  1. muchas gracias, por fin leo una explicacion clara y concisa que va a solventar mi problema.

  2. Excelente material. Todo muy bien explicado. Encantado por el blog.
    Muchas gracias José Ramón.

  3. Muchas Gracias por el articulo, Te pregunto algo Jose Ramon, no tendras un listado de las politicas de seguridad que debe haber en una empresa, ejemplo: deshabilitar el ejecutar en el menu de inicio, prohibir el acceso al panel de control. ETC.
    y otra pregunta es posible dejar la consola de comando (CMD) habilitada para los usuarios del dominio pero cuando la vayan a ejecutar les solicite credenciales de un administrador.

    Muchas Gracias.

  4. Me esta ocurriendo que algunas configuraciones me toca hacerlas con gpedit.msc como por ejemplo la política de contraseñas, cuando lo hago desde gpmc.msc estando en un dominio no consigo cambiarla, ¿podrías decirme por que pasa esto?, gracias.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.