2. Índice
1. Directivas de grupo
2. Componentes y estructura de las directivas
de grupo
3. Consola de las directivas de grupo
Tema 11. Directivas 2
3. Directivas de grupo
Di i d
• P
Proporcionan a l administradores el control central
i los d i i d l l l
sobre los privilegios, permisos y capacidades de los
usuarios y los equipos
q p
• Se usan para definir configuraciones automatizadas
para grupos de usuarios y equipos, incluyendo
opciones de config ración del registro secuencias de
configuración registro, sec encias
comandos de inicio de sesión o fin, opciones de
seguridad, etc.
• Son un conjunto de reglas y configuraciones que
ayudan a administrar usuarios y equipos, y que rigen
las acciones que pueden realizar los usuarios con un
objeto
Tema 11. Directivas 3
4. Directivas de grupo (ii)
• P
Permiten:
i
– Controlar el acceso a los componentes de Windows, recursos
del sistema, recursos de red, utilidades del p
, , panel de control,
,
el escritorio y el menú de inicio
– Configurar las directivas para el bloqueo de cuentas y
contraseñas, auditorías, asignación de derechos a los
, , g
usuarios y seguridad
• En un Dominio de Active Directory se pueden aplicar a
sitios, dominios
sitios a dominios, a unidades organizativas (a un subgrupo dentro
de un dominio) o a sistemas individuales (se verá en el tema 13)
• En un equipo independiente, que NO pertenece a un
dominio,
dominio se aplicarán las directivas de grupo local, que se local
definen y guardan en el sistema local
Tema 11. Directivas 4
5. Directivas de grupo (iii)
• Un equipo independiente dispone de tres niveles de
directivas:
– Directiva de grupo local: Aplicar a todos los usuarios del
sistema las mismas opciones de configuración tanto de E i
it l i i d fi ió t t d Equipo
como de Usuario
– Directiva de grupo local para administradores y no
g p p
administradores: Sólo contiene configuración de Usuario. Se
define una directiva (y se aplica) para los usuarios que
pertenecen al grupo Administradores y otra para los que no
pertenecen.
– Directiva de grupo local para usuarios: Sólo contiene
configuración Usuario. Se define una directi a para un
config ración de U i na directiva n
usuario o grupo concreto, y sólo se aplica a él/ellos.
Tema 11. Directivas 5
6. Componentes y estructura de las
directivas de grupo
• La configuración de las directivas de grupo se divide en
dos categorías según el momento de aplicación:
categorías,
– Configuración de Equipo
• Agrupan todos los parámetros de configuración que pueden
establecerse a nivel de equipo
• Se aplican durante el inicio del sistema, con independencia del
usuario que vaya a iniciar la sesión
– Configuración de Usuario
• Agrupan parámetros de configuración que pueden establecerse a
nivel de usuario
• Se aplican durante el inicio de sesión del usuario, con
independencia del equipo en el q haya iniciado la sesión
p q p que y
Tema 11. Directivas 6
7. Componentes y estructura (ii)
• C d categoría de las directivas de grupo se divide:
Cada t í d l di ti d di id
– Configuración de Software. Contiene la configuración, del equipo o
del usuario, de la instalación automática de software
,
– Configuración de Windows. Contiene la configuración de ciertos
parámetros de Windows, como parámetros de seguridad o scripts,
p
para el equipo o el usuario
q p
– Plantillas administrativas. Contiene las políticas y configuraciones
que se guardan en el registro de Windows, para el equipo o el
usuario
• La misma directiva puede existir para equipos y para
usuarios, aunque, generalmente, con significados y
parámetros distintos
á di i
• Si hay conflicto al aplicar una directiva, la última en aplicar
es la válida
Tema 11. Directivas 7
8. Componentes y estructura (iii)
• Configuración software
– Configura las directivas para la configuración e instalación de
software
– Contiene el objeto Instalación del software, que es usado para
distribuir SW y actualizaciones de SW a los usuarios
– Al asignar una aplicación a los usuarios, se le avisa la próxima
usuarios
vez que inicie la sesión, pero se instalará la primera vez que la
ejecute
– Si la asignación es a un equipo, la aplicación se anuncia y se
il i ió i l li ió i
instala automáticamente cuando el equipo se reinicie o un
usuario inicie la sesión
– Sólo en directivas de dominio
Tema 11. Directivas 8
9. Componentes y estructura (iv)
• Configuración de Windows
– Configura las directivas para redirección de carpetas,
ficheros de comandos y seguridad
– Se tienen las opciones:
• Archivos de comandos (inicio/apagado)
• Configuración de seguridad
– Archivos de comandos (inicio/apagado)
• Se indican los ficheros que se ejecutarán automáticamente
durante el inicio o apagado del equipo o durante el inicio o
cierre de sesión del usuario
• En Configuración del equipo → inicio/apagado del equipo
• En Configuración del usuario → el inicio/cierre de sesión por
un usuario
Tema 11. Directivas 9
10. Componentes y estructura (v)
• Conf Windows: Archivos de comandos
Conf. (continúa...)
– Archivos de comandos para Inicio/Apagado de equipos
• Los ficheros a utilizar se deben almacenar en el directorio
%SystemRoot%System32GroupPolicyMachineScripts
– Dentro del subdirectorio Startup para el inicio
– En el subdirectorio Shutdown para el apagado
p p g
– Archivos de comandos para Inicio/Cierre de sesión de usuario
• Los ficheros a usar se deben almacenar en el directorio
%SystemRoot%System32GroupPolicyUserScripts
– Dentro del subdirectorio Logon para el inicio de sesión
– En el subdirectorio Logoff para el cierre de sesión
Tema 11. Directivas 10
11. Componentes y estructura (vi)
C t t t ( i)
• Conf. de Windows: Configuración de seguridad (continúa...)
– Las directivas de Configuración de seguridad permiten configurar
los aspectos referentes a la seguridad del sistema. Se definen
fundamentalmente a nivel de equipo
– Los tipos de directivas de Configuración de seguridad son:
• Directivas de cuentas: que permiten configurar directivas sobre
las cuentas de los usuarios. Se tienen 2 grupos:
– Directiva de contraseña, restricciones relacionadas con el tamaño
y duración temporal de las contraseñas
– Directiva de bloqueo de cuentas, duración, umbral y contador de
restablecimiento de bloqueo
Tema 11. Directivas 11
12. Componentes y estructura (vii)
C t t t ( ii)
• Conf. de Windows: Configuración de seguridad (continúa...)
– Los tipos de directivas de Configuración de seguridad son …
• Directivas locales, engloban las siguientes directivas:
– Directiva de auditoría, permite fijar los parámetros de observación
del sistema para realizar el control del mismo,
activando/desactivando el registro de sucesos específicos
i d /d i d l i d ífi
– Asignación de derechos de usuario, define derechos tales como
“inicio de sesión local”, “el acceso a la red”, “crear ficheros de
paginación”, “denegar el inicio de sesión localmente”, etc
paginación denegar localmente etc.
– Opciones de seguridad, permite modificar valores del registro
específicos relacionados con la seguridad, p.e. “Comportamiento
ante la instalación de un controlador no firmado o “Pedir al
firmado” Pedir
usuario que cambie la contraseña antes de que caduque”, o
“Estado de la cuenta invitado”, etc.
Tema 11. Directivas 12
13. Componentes y estructura (viii)
• Plantillas administrativas
– Contiene todas las configuraciones de políticas basadas en el
g p
registro de W2008, incluyendo las que controlan el funcionamiento
del sistema operativo, de los componentes y de algunas aplicaciones,
la apariencia del escritorio, etc.
– S configuran con l ficheros d plantillas, que se pueden agregar o
Se fi los fi h de l till d
eliminar, según se quiera configurar o no los detalles de esa plantilla
– Podemos modificar cada plantilla para habilitar o deshabilitar sus
directivas
– Proporcionan una manera sencilla de acceder a las configuraciones
de las directivas basadas en registro que puede configurar
– Cada directiva tiene una explicación detallada de la misma
– Las configuraciones se guardan en el registro en
HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER
Tema 11. Directivas 13
14. Componentes y estructura (ix)
• Plantillas administrativas ((continúa...))
i ú
– Para la configuración del equipo se tienen plantillas para: (entre otras …)
• Componentes de Windows que permiten configurar los componentes
del sistema operativo, como Internet Explorer o Windows Update
operativo
• Sistema que ayudan a controlar funcionalidades del sistema, como los
perfiles de usuario, las cuotas de disco, detalles del inicio de sesión:
– P.e., dentro de Inicio de sesión, “Permitir sólo perfiles de usuario locales”
o “C
“Cerrar l sesión de los usuarios cuando hay un error en el perfil móvil”
la ió d l i d h l fil ó il”
– Dentro de Cuotas, “Habilitar las cuotas de disco” o “Límite de cuota o
nivel de aviso predeterminado”
• Red para ajustar los componentes del sistema operativo que conectan
p j p p q
un equipo cliente a la red, por ejemplo, cómo trabajar con los archivos
de red sin conexión
• Impresoras contiene configuraciones para administrar impresoras de
red y la publicación de opciones. Por ejemplo:
opciones
– Permitir que se publiquen impresoras
– Publicar automáticamente impresoras nuevas en Active Directory
Tema 11. Directivas 14
15. Componentes y estructura (x)
• Plantillas administrativas (continúa )
(continúa...)
– En la configuración del usuario hay plantillas para:
• Componentes de Windows que permiten configurar los componentes
del sistema operativo, como Internet Explorer o Windows Update.
operativo Update
P.e., en Explorador de Windows se tiene “Quitar el menú Opciones de
carpeta del menú Herramientas”
• Menú de Inicio y barra de tareas para agregar, eliminar y deshabilitar
partes del menú de Inicio y la barra de tareas. P.e., “Quitar el menú
Favoritos del menú Inicio” o “Deshabilitar Cerrar sesión en el menú
Inicio”
• Panel de control que permite ajustar el panel de control y detalles sobre
las impresoras, la pantalla, la acción de Agregar o quitar programas etc.
P.e., “Deshabilitar el panel de control” o “Protectores de pantalla”
• Si
Sistema para controlar aspectos como los perfiles de usuario, aspectos
t l t l fil d i t
de inicio de sesión, o de las opciones de Ctrl+Alt+Supr. P.e.: Dentro de
“Opciones de Ctrl+Alt+Supr” está “Quitar el bloqueo de equipos”
Tema 11. Directivas 15
16. Consola de directivas de grupo
• Administración de directivas de grupo local:
– Abrir la Consola de administración de equipos (con la orden mmc)
– A continuación, agregar el complemento Editor de objetos
de directiva d
d di ti de grupo
• Puede seleccionar el equipo local o uno remoto
• Puede seleccionar un usuario/grupo o Administradores/No
administradores
– Dos nodos principales:
• Configuración de Equipo
• Configuración de Usuario
– Ambos tendrán los subnodos:
• C fi
Configuración software
ió f
• Configuración de Windows
• Plantillas administrativas
Tema 11. Directivas 16
17. Consola de directivas de grupo (iii)
• A l di ti
las directivas de C fi
d Configuración de seguridad, t bié se
ió d id d también
puede acceder desde el menú Herramientas
administrativas, con Directivas de seguridad local
g
• La actualización de las directivas de grupo se realiza:
– Cada vez que se arranca el sistema, las directivas de equipo
– Cuando un usuario inicia una sesión, las de usuario
– Durante la actualización en segundo plano de la directiva de grupo,
que se realiza cada 90 minutos, con un desplazamiento aleatorio
li d i t d l i t l t i
entre 0 y 30 minutos
– De forma manual, al ejecutar la herramienta gpupdate.exe
Tema 11. Directivas 17