1.

Introduccin
Las directivas son el grupo de polticas del sistema que se aplican. Cada poltica del sistema
requiere una configuracin en el objeto al que afecta.
Dependiendo de la funcin
que cumplan
Directivas de Seguridad Nivel Dominio: se aplica a
todos los equipos en el
Dominio
Nivel Controlador de
Dominio: Slo se aplican a
nivel de Controladores de
Dominio, siempre y cuando
no se encuentren
desacuerdos ( de haber
desacuerdos, se aplica la de
Dominio)
GPO. Directiva de Grupo
(Quin puede acceder al
Panel de Control?)
Mquina local

Zona
Dominio
Unidad Organizativa
Dependiendo del objeto al
que afecte
Configuracin del equipo Software (*)
Configuracin Windows (**)
Plantillas
Administrativas(***)
Configuracin del usuario Software (*)
Configuracin Windows (**)
Plantillas
Administrativas(***)

Las GPO (Group Policy Object) definen diferentes componentes cuando el usuario se valida
contra un Dominio. El administrador define a qu programa acceder, cmo aparecer el
men Inicio, etc
Las directivas de grupo (GPO) tienen preferencia sobre el perfil del usuario y no se pueden
aplicar a grupos (de usuarios o equipos).
Algunos conceptos:
- Sitio: Alude a estructura fsica de una o varias redes.
- Dominio: tiene un nombre (zubiri.local) y centraliza los usuarios, equipos, etc .
representa la estructura lgica de la empresa.
- Unidad Organizativa: Es un objeto lgico del Active Directory. Reune a los usuarios,
equipos, grupos y otras OU. Las GPO son los objetos ms pequeos que se pueden
aplicar.
Este el orden de preferencia de las directivas:
1. Local
2. Sitio
3. Dominio
4. OU, desde la de primer nivel a la de segundo, etc.
5. Despus, en caso de desacuerdo, las primeras se sobre escriben por las posteriores. Si
n, a las primeras se le agregan las posteriores.



Algoritmo de aplicacin:


2. Directivas Generales Windows 2008

Antes de comenzar hay que tener muy en cuenta lo siguiente:
Se debe bloquear la herencia:
Para llevar a cabo el proceso descrito en el prrafo anterior, cerramos Usuarios y equipos de
Active Directory y posteriormente lanzamos la Administracin de directivas de grupo desde las
Herramientas administrativas, situndonos sobre la unidad organizativa Domain Controllers y
pulsando sobre la misma con el botn derecho del ratn para elegir la opcin Bloquear
herencia en el desplegable correspondiente, tal y como vemos en la imagen inferior.



Podremos comprobar que la herencia ha sido bloqueada, pulsando sobre la pestaa Herencia
de directivas de grupo de la unidad organizativa Domain Controllers, y asegurndonos de que
la nica GPO que se muestra es Default Domain Controllers Policy, tal y como vemos en la
imagen inferior.


Definir directivas de grupo:

Para definir las directivas de grupo globales deseadas para nuestro dominio, deberemos lanzar
Administracin de directivas de grupo desde las Herramientas administrativas y situarnos
sobre la directiva Default Domain Policy del dominio. Pulsar sobre ella con el botn derecho
del ratn para elegir en el desplegable mostrado a continuacin la opcin Editar, tal y como
vemos en la imagen inferior.



Como resultado de la accin anterior pasar a mostrarse la siguiente ventana, en la cual
podremos observar que para la directiva de dominio por defecto (Default Domain Policy)
podemos interactuar con directivas que pueden ser aplicadas a los usuarios del dominio
(Configuracin de usuario) y otras que pueden serlo a los equipos del dominio (Configuracin
del equipo). En caso de que definamos 2 polticas contradictorias en dos entradas similares,
una en equipos y otra en usuarios, prevalecer la primera de ellas.

Ejemplo (equipo):

Si deseamos que en nuestros equipos clientes no pueda utilizarse Windows Messenger,
actuaremos sobre la directiva No permitir que se ejecute Windows Messenger, ubicada en
Configuracin de equipo Directivas Plantillas administrativas Componentes de
Windows Windows Messenger, situndonos sobre ella y haciendo doble clic sobre la misma.


Como resultado de la accin anterior ser mostrada la siguiente ventana, en la cual
activaremos el radio botn Habilitada, tras lo cual pulsaremos en ella sobre el botn Aceptar.


Una vez configurada la directiva de grupo anterior, podremos comprobar que ser aplicada
convenientemente, pues su Estado pasa a tomar el valor Habilitada, tal y como vemos en la
imagen inferior.

Aplicar GPO a una OU:

En primer lugar deberemos situarnos sobre la unidad organizativa sobre la que queremos
interactuar Profesores en este caso, y sobre ella pulsar con el botn derecho del ratn para
seleccionar la opcin Crear un GPO en este dominio y vincularlo aqu en el desplegable
correspondiente, para proceder a crear directiva de grupo asociada a esta unidad organizativa.



En la nueva ventana mostrada teclearemos en la caja de texto "Nombre", el nombre con el que
deseamos reconocer a la nueva directiva de grupo, Directiva de Grupo Profesores en este caso,
tal y como vemos en la imagen inferior, tras lo cual en ella pulsaremos sobre el botn Aceptar.



Una vez completada la accin anterior, podremos comprobar la existencia de una nueva GPO
de nombre Directiva de grupo Profesores en la unidad organizativa Profesores.



Una vez que ha sido creada la Directiva de Grupo Profesores, procederemos a su edicin
pulsando sobre ella con el botn derecho del ratn para elegir la opcin Editar en el
desplegable correspondiente, tal y como vemos en la imagen inferior.



Como resultado de la accin anterior se muestra el editor de administracin de directiva de
grupo con las configuraciones propias de la Directiva de grupo Profesores, que actualmente no
tendr configuracin alguna.

Para los profesores de nuestro dominio configuraremos la directiva de grupo Limitar el tamao
del perfil ubicada en Configuracin de usuario Directivas Plantillas Administrativas
Sistema Perfiles de usuario, haciendo doble clic sobre la directiva y activando la casilla
Habilitada, para posteriormente indicar el valor 30.000 Kb. (30 Mb.) como tamao mximo de
almacenamiento para los profesores; adems activaremos la casilla Notificar al usuario cuando
se exceda el espacio de almacenamiento de perfiles, con el fin de que se le informe cuando
exceda dicho lmite, tras lo cual confirmaremos la configuracin realizada pulsando sobre el
botn Aceptar en dicha ventana.





3. Directivas Generales Windows 2003
Qu mejor forma de ver cmo se crea una GPO que poniendo un caso prctico. Vamos a
obligar a los usuarios del dominio a hacer CTRL+ALT+SUPR para poder iniciar sesin. Para ello
abrimos Usuarios y Equipos de Active Directory. Hacemos clic derecho sobre el nodo con el
nombre del dominio y pulsamos Propiedades:


En la ventana que se abre pulsamos la pestaa Directiva de Grupo:



Pulsando el botn Nueva se crear una nueva
GPO debajo de la Default Domain Policy a la
que llamaremos Pulsar CTRL+ALT+SUPR


Si ahora seleccionamos
la nueva GPO y
pulsamos SUPR en el
teclado podramos
quitar la GPO de la
lista o eliminarla de
Active Directory.
Quitar de la lista evita
que se aplique la GPO,
pero sigue existiendo
en Active Directory, de
forma que podr ser
utilizada ms adelante
o en otro contenedor;
eliminar hace que la
GPO sea eliminada de
Active Directory.
Pulsamos Cancelar


Ya tenemos creada la GPO; ahora debemos modificar la poltica para que obligue a los usuarios
del dominio a hacer CTRL+ALT+SUPR para iniciar sesin en los equipos.

Cmo se definen polticas?

Si seleccionamos con el ratn la GPO que hemos creado y pulsamos el botn Modificar se
nos abrir una consola de directiva de grupo:

Nos desplazamos en el rbol a Configuracin del equipo/Configuracin de
Windows/Configuracin de seguridad/Directivas locales/Opciones de seguridad:

Hacemos doble click sobre la directiva Inicio de sesin interactivo: no requerir Ctrl.+Alt+Supr
y podremos definir sta poltica como deshabilitada:



Cmo se vincula una poltica ya existente?
A pesar de que una GPO es creada en un contenedor, sto slo es una apariencia. Realmente
es creada alojndola en el dominio desde el que es creada y vinculada al contenedor desde el
que es creada. Esto nos permite crear una sola GPO y aplicarla en cualquier parte del bosque al
que pertenece el dominio donde est alojada la GPO; es decir, a todos los sitios, dominios y
OUs del bosque. Imaginemos un bosque con tres dominios; agregando a cada dominio la GPO
que creamos antes, obligaremos a pulsar CTRL+ALT+SUPR a los usuarios de los tres dominios,
habiendo creado una nica GPO.
Para vincular una poltica pulsamos Agregar en la pestaa Directiva de grupo de las
propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente dilogo:



Forzar la aplicacin de directivas:

Si un Administrador cambia una GPO, esto slo ocurrir en ese Controlador de Dominio. Para
que esto suceda en el resto de equipos, por medio del copiado del SYSVOL en el Active
Directory. Se ejecutar en el shell:

gpupdate /force




http://freyes.svetlian.com/GPOS/GPOS.htm
http://www.ite.educacion.es/formacion/materiales/85/cd/windows/11Directivas/unidades_or
ganizativas.html