DEPARTAMENTO DE ING. EN COMPUTACIN TCNICO EN ING.

DE SISTEMAS INFORMTICOS

GESTION DE REDES I
Docente:

LIC. LILIAN JUDITH SANDOVAL

Estudiante:

Juan Jos Recinos Crdova

POLITICAS DE GRUPO WINDOWS 2003 SERVER

Carnet:

537012 SISV01

Martes, 24 de abril de 2012

Polticas de Grupo Las Polticas de Grupo y la infraestructura de servicios del Directorio Activo en Windows Server 2003 permiten a los administradores de TI automatizar la gestin "uno-a-muchos" de usuarios y mquinas, simplificando las tareas administrativas y reduciendo los costes de TI. Con la aparicin de la Consola de Gestin de Polticas de Grupo (GPMC), la administracin basada en polticas es an ms fcil. Los administradores pueden implantar de forma efectiva los parmetros de seguridad, aplicar de forma obligatoria las polticas de TI y distribuir software adecuadamente dentro de un sitio, un dominio o un rango de unidades organizativas (OUs). Qu es una directiva de grupo? Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o ms polticas del sistema. Cada una de las polticas del sistema establece una configuracin del objeto al que afecta. Por ejemplo, tenemos polticas para: Establecer el ttulo del explorador de Internet Ocultar el panel de control Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE Establecer qu paquetes MSI se pueden instalar en un equipo Etc Cules son los tipos Principales de directivas? Podemos definir dos categoras de tipos troncales de directivas: 1. Segn su funcin 2. Segn su objeto de configuracin Directivas segn su funcin Hay dos tipos troncales de directivas segn su funcin: 1. Directivas de seguridad: Cuntos caracteres tiene una contrasea? Cada cuanto tiempo debe ser cambiada sta?, etc. Pueden ser aplicadas:

a.

A nivel de dominio: Son aplicadas en todas las mquinas del dominio. b. A nivel de controladores de dominio: Se aplican tan slo en los controladores de dominio, pero sin suplantar a las del dominio (en caso de entrar en contradiccin una y otra, se aplica la del dominio, no la de los controladores de dominio). 2. Directivas de Entorno (GPO -> Group Policy Object): Quin tiene acceso al panel de control? Cul es el tamao mximo del archivo de registro de sistema? Pueden ser aplicadas: a. b. c. d. A nivel de equipo local A nivel de sitio A nivel de dominio A nivel de Unidad Organizativa (OU -> Organizational Unit).

Directivas segn el objeto al que configuran Respecto al objeto al que configuran tambin son dos: e. Configuracin del equipo: que se divide en: i. Configuracin de software ii. Configuracin de Windows iii. Plantillas administrativas f. Configuracin del usuario, que al igual que la de Windows se divide en: i. Configuracin de software ii. Configuracin de Windows iii. Plantillas administrativas Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de stas son diferentes las polticas que se encuentran.

Qu objetos son los contenedores de las GPOs? Las GPOs pueden estar contenidas en cuatro tipos de objetos: 1. Equipos Locales: son aplicadas nicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con gpedit.msc. Estas son las nicas polticas que se aplican a los equipos que no estn en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer). Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan. Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio. Unidades Organizativas de Active Directory: se aplican nicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).

2.

3.

4.

Cmo se crea, quita o elimina una GPO? Qu mejor forma de ver cmo se crea una GPO que poniendo un caso prctico. Vamos a obligar a los usuarios del dominio a hacerCTRL+ALT+SUPR para poder iniciar sesin. Para ello abrimos Usuarios y Equipos de Active Directory. Hacemos clic derecho sobre el nodo con el nombre del dominio y pulsamos Propiedades:

En la ventana que se abre pulsamos la pestaa Directiva de Grupo:

Pulsando el botn Nueva se crear una nueva GPO debajo de la Default Domain Policy a la que llamaremos Pulsar CTRL+ALT+SUPR

Si ahora seleccionamos la nueva GPO y pulsamosSUPR en el teclado podramos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podr ser utilizada ms adelante o en otro contenedor; eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos Cancelar Ya tenemos creada la GPO; ahora debemos modificar la poltica para que obligue a los usuarios del dominio a hacer CTRL+ALT+SUPRpara iniciar sesin en los equipos.

Cmo se definen polticas? Si seleccionamos con el ratn la GPO que hemos creado y pulsamos el botn Modificar se nos abrir una consola de directiva de grupo:

Nos desplazamos en el rbol a Configuracin del equipo/Configuracin de Windows/Configuracin de seguridad/Directivas locales/Opciones de seguridad:

Hacemos doble click sobre la directiva Inicio de sesin interactivo: no requerir Ctrl.+Alt+Supr y podremos definir sta poltica como deshabilitada:

La casilla Definir esta configuracin de directiva tiene el efecto: Marcada Sin Marcar La poltica quedar definida con el valor seleccionado en las opciones de debajo. La poltica hereda su definicin o no y si est habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio).

A su vez, cuando la casilla est marcada podemos elegir entre las opciones: Habilitada Hace que la poltica quede habilitada. Esto significa que se realizar la configuracin que la propia poltica define con su nombre y por tanto, en nuestro ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesin. Cuando se deshabilita la poltica, se impide que se realice la configuracin que la propia poltica define con su nombre. Por tanto, en el ejemplo, obliga al usuario a pulsarCTRL+ALT+SUPR para iniciar sesin.

Deshabilitada

Cmo se vincula una poltica ya existente? A pesar de que una GPO es creada en un contenedor, sto slo es una apariencia. Realmente es creada alojndola en el dominio desde el que es creada y vinculada al contenedor desde el que es creada. Esto nos permite crear una sola GPO y aplicarla en cualquier parte del bosque al que pertenece el dominio donde est alojada la GPO; es decir, a todos los sitios, dominios y OUs del bosque. Imaginemos un bosque con tres dominios; agregando a cada dominio la GPO que creamos antes, obligaremos a pulsar CTRL+ALT+SUPR a los usuarios de los tres dominios, habiendo creado una nica GPO. Para vincular una poltica pulsamos Agregar en la pestaa Directiva de grupo de las propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente dilogo:

Seleccionamos aqu la GPO que queremos vincular. Hay tres formas de buscarlas, una por pestaa: Pestaa Muestra las GPOs Dominios y OUs Que estn aplicadas en el dominio y sus UOs, vindose las OUs como carpetas y las polticas con su icono caracterstico. El desplegable Buscar en nos permite alternar entre los dominios del bosque. Sitios Que estn aplicadas en un sitio. Con el desplegable Buscar en podemos cambiar entre los sitios que integran el bosque. Toda Que estn almacenadas en un dominio. Con el desplegable Buscar en podemos alternar entre los dominios del bosque. Simplemente tendremos que sealar la GPO que queramos vincular y pulsar Aceptar para hacerlo.

Cules son las propiedades de una GPO?

Pestaa General

Vnculos

Funcin Captura Muestra informacin sobre la GPO y permite deshabilitar toda la rama de configuracin del equipo y/o toda la rama de configuracin de usuario. Esto sirve para agilizar la aplicacin de la GPO, mejorando el rendimiento. Como en nuestro caso la poltica que obliga a hacerCTRL+ALT+SUPR para iniciar sesin es una configuracin de equipo, podremos marcar la casilla que deshabilita los parmetros de configuracin de usuario. Permite buscar los sitios, dominios y OUs en los que est agregada la GPO. Con el desplegable Dominio podemos seleccionar el dominio del bosque en el que buscamos.

Seguridad

Sirve para establecer los permisos de la GPO. Podemos asignar permisos a los siguientes objetos: 1. Usuarios 2. Equipos 3. Grupos 4. Principios de seguridad incorporados

Filtro WMI(slo en Windows XP y Windows Server 2003 y con al menos un controlador de dominio que sea Windows Server 2003)

Sirve para realizar bsquedas basadas en WMI de caractersticas especficas de los equipos a los que se aplica la GPO. Estas caractersticas pueden ser: 1. Un patrn de nombre de equipo 2. Tipo de Sistema Operativo 3. Nivel de Service Pack 4. Cualquier caracterstica del equipo que podamos consultar con WQL Los equipos con Windows 2000 ignoran este tipo de filtros y procesan las GPOs sin tener en cuenta si por sus caractersticas deberan hacerlo o no. Por ello, una forma de ejecutar polticas que slo se apliquen a equipos con Windows 2000 es filtrar con WMI poniendo que el tipo de SO es Windows 2000 o que el tipo de SO no es Windows XP. Si queremos aplicar polticas con filtros WMI a equipos con tan slo XP o 2003, ser necesario que nos llevemos las cuentas de los Windows 2000 a otra OU en la que no estaran vinculadas esas GPOs.

Accedemos a las propiedades de la GPO pulsando el botn Propiedades de la pestaa Directiva de grupo de las propiedades de un contenedor. En la ventana de propiedades encontramos tres pestaas: Pestaa Seguridad La pestaa Seguridad nos permite realizar dos tareas con las GPOs: 1. Filtrar el alcance de la GPO, permitiendo que sea slo aplicada a los usuarios, equipos, grupos y/o Principios de seguridad incorporados (objetos Builtin, etc.). 2. Delegar el control de la GPO, permitiendo as la modificacin, etc., a determinados usuarios, equipos, grupos y/o Principios de seguridad incorporados. Hay que tener en cuenta que esto se hace sobre toda la GPO, no se puede especificar nicamente a algunas polticas de la GPO, si no que se hace para todas las contenidas en la GPO. Para realizar el filtrado del alcance y la delegacin del control se utilizan permisos que se aplican a los objetos en que estn especificados. Estos permisos pueden ser concedidos o denegados, prevaleciendo la denegacin sobre la concesin. De forma predeterminada estas son las entradas de seguridad de una GPO (se indican aquellos permisos que estn, concedidos): Grupo de seguridad Usuarios autentificados CREATOR OWNER Administradores del Dominio Configuracin predeterminada Leer, aplicar directiva de grupo y permisos adicionales Permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales Leer, escribir, crear todos los objetos secundarios, eliminar todos los objetos secundarios y permisos adicionales

Administracin de empresas

SYSTEM

Pestaa Filtro WMI La pestaa Filtro WMI nos permite filtrar el alcance de la GPO en funcin a caractersticas de los equipos que estn dentro del alcance de la GPO. Para acceder a estas caractersticas se utilizan bsquedas WQL, el lenguaje de bsqueda en WMI basado en SQL. Slo se puede aplicar un filtro WMI a una GPO, filtro WMI que consiste en una o ms bsquedas WQL. Al igual que pasaba con los permisos establecidos en la pestaa seguridad, el filtro es aplicado a toda la GPO, no se puede aplicar a determinadas directivas solamente. Para establecer los filtros WMI (aplicables slo en Windows XP y Windows Server 2003; adems, es necesario que al menos un controlador de dominio sea un Windows Server 2003) se hace desde la pestaa Filtro WMI, marcamos la opcin Este filtro y pulsamos el botn Examinar/administrar, apareciendo el cuadro de dilogo Administrar filtros WMI, donde podremos crear filtros, modificarlos, eliminarlos, importar/exportar y seleccionar el que queramos aplicar. Para crear, modificar y eliminar deberemos hacer click sobre el botn Avanzadas >> con lo que el cuadro de dilogo queda as:

Los botones y sus acciones son: Botn Aceptar Cancelar Ayuda Columnas Accin Aplica a la GPO el filtro WMI que est seleccionado en la lista Filtros WMI y cierra el cuadro de dilogo. Cierra el cuadro de dilogo sin aplicar ningn cambio al filtrado WMI de la GPO. Muestra la ayuda de administracin de filtros WMI. Nos permite especificar qu columnas aparecern en la lista de filtros. De forma predeterminada aparecen todas, es decir, Descripcin, Autor,Fecha de modificacin y Fecha de creacin. La columna Nombresiempre aparece en la lista de filtros, no es una columna que se pueda ocultar. Expande o contrae el cuadro de dilogo para ocultar o mostrar en la parte de abajo los controles de edicin de filtros WMI. Nos permite crear un nuevo filtro WMI. Nos permite eliminar el filtro WMI seleccionado en la lista Filtros WMI. El filtro se elimina, pero no las vinculaciones a GPOs que tenga; es necesario eliminar esos vnculos de forma manual, ya sea configurando otro filtro en su lugar o deshabilitando los filtros WMI en las GPOsafectadas. Nos permite crear un nuevo filtro en base al que se encuentre seleccionado en la lista Filtros WMI. Nos permite importar un filtro que anteriormente fuera exportado a unfchero MOF. Nos permite exportar un filtro a un fichero MOF. Guarda el filtro con el nombre, descripcin y consulta que lo compone. Esto es as tanto en filtros creados como en filtros que se modifican.

Avanzadas

Nuevo Eliminar

Duplicar Importar Exportar Guardar

Debemos tener en cuenta que no se deben aplicar filtros WMI alegremente, pues ralentizan el inicio del equipo. Cmo se procesan las GPOs? Competencia entre contenedores Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios, dominios y unidades organizativas (en adelante OU). Como

un usuario, por ejemplo, estar en un equipo local que a su vez se ubicar en un sitio, pertenecer a un dominio y ser miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.). Se podra dar el caso, por tanto, de que las GPOs contuvieran polticas que se contradijeran entre s. Cuando se dan casos de estos, el sistema de GPOs est implementado para asegurar que siempre se aplicarn las polticas, y para ello establece una forma de prioridad entre stas por la cual, segn dnde estn asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas que a continuacin, con la ayuda de dos figuras, describiremos.

En la figura 1 vemos, de forma resumida, cul es la prioridad de las GPOs. Las GPOs de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras; las polticas se suman, slo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio habilitamos la poltica de deshabilitacin del panel de control y en la OU deshabilitamos esta poltica, y suponemos que ninguna otra de las polticas a nivel de dominio entra en contradiccin con ninguna otra de las de la OU, el resultado que se aplicar a un objeto contenido dentro de la OU ser la suma de ambas GPOs, salvo que la poltica que se aplica respecto a la deshabilitacin del panel de control ser la de la OU, no la del dominio, y por tanto el panel de control ser visible. En la figura 2 vemos un diagrama de flujo que nos explica cmo son aplicadas las GPOs; se puede apreciar el orden en que son ledas y como se acta en caso de que se contradigan o no. Como se puede suponer, si hubiera una OU de tercer nivel, sta prevalecera sobre la hija y obviamente una de cuarto nivel sobre la de tercer nivel y as sucesivamente:

Competencia dentro de un mismo contenedor Tambin se puede dar el caso de que en un mismo contenedor, por ejemplo una OU, se aplique ms de una GPO. Esta posibilidad abre otra; la de que puedan contradecirse entre s las GPOs que son aplicadas a se contenedor. Cmo se resuelve esta problemtica? Muy simple: prevalecer la de la GPO que est ms alta en la lista de las aplicadas al contenedor, como se ve en la figura 3.

Figura 3: Prevalencia en un mismo contenedor Esto no significa que una GPO anule a las que estn situadas debajo de ella; al igual que vimos con la competencia entre los objetos sobre los que se pueden aplicar, las polticas en realidad se suman cuando no se contradicen entre ellas, slo en el caso de contradecirse es cuando prevalece la superior (la forma de aplicacin es exactamente la misma que veamos en el diagrama de flujo de la figura 2, slo que en cada salto lo que se evala es la GPO, empezando por la inferior y terminando en la superior).

Procesamiento en modo de bucle inverso Cuando tenemos equipos que estn en un entorno en el cual se desea tener control sobre su configuracin independientemente del usuario que inicie sesin en l, como por ejemplo laboratorios, aulas, bibliotecas, quioscos, etc., precisamos de un mecanismo que altere la forma de ordenacin del procesamiento en las directivas de configuracin de usuario. Supongamos que hemos creado un aula, y que queremos que los usuarios que inicien sesin en los equipos del aula no puedan acceder al entorno de red. Lo lgico ser crear una OU a la que moveremos los equipos del aula, crear una GPO que deshabilite el entorno de red y vincularla a la OU del aula. Bien, esto no funcionara, ya que como la deshabilitacin del panel de control es una configuracin de usuario y el usuario no pertenece a la OU, no se ve afectado por esta poltica. El procesamiento en modo de bucle inverso permite hacer que s se apliquen las polticas de configuracin de usuario a pesar de no pertenecer el usuario a la OU en la que se aplica. Para activar el procesamiento en modo de bucle inverso debemos situarnos en el rbol de la consola de directiva de grupo en el nodo Configuracin del equipo/Plantillas administrativas/Sistema/Directiva de grupo y en panel de detalles hacer doble clic sobre la poltica Modo de procesamiento de bucle invertido de la directiva de grupo de usuario. Se nos abre un dilogo en el que podremos configurar la poltica. Hay dos modos de procesamiento de bucle inverso: Modo Sustituir Efecto Las directivas sustituyen a las que se le aplicaran normalmente al usuario. De esta manera hacemos que las configuraciones propias del usuario sean las de la GPO, unificando la configuracin para los usuarios a los que tenga alcance. Combinar Se combinarn ambas, las propias del usuario ms las que especifica la GPO; en caso de contradiccin en una poltica prevalece la de la GPO sobre las propias del usuario. As conseguimos que determinadas opciones sean iguales para todos los usuarios a los que alcance y que conserven sus configuraciones propias que no entren en conflicto con las de la GPO.

Herencia Las GPOs se heredan Las GPOs, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir: 1. Las OUs de primer nivel heredan del Dominio 2. Las OUs hijas heredan de las de primer nivel 3. Las OUs de nivel 3 heredan de las hijas

n-1. Las OUs de nivel n-1 heredan de las de nivel n-2 n. Las OUs de nivel n heredan de las de nivel n-1 Si nos fijamos en la figura 4, vemos que el dominio contiene a la OU-padre, sta a la OU-hija, que a su vez contiene a la OU-3 quien, por ltimo, contiene a la OU-4. En base a este ejemplo explicaremos la herencia.

Figura 4: Vemos en esta figura cmo estn contenidas unas OU en otras

En la siguiente tabla vemos qu poltica es asignada a cada contenedor; que quede bien claro que tan slo se ver, en la pestaa Directiva de grupo de las propiedades del contenedor, la GPO que le corresponde en la tabla: Contenedor Dominio UO padre OU hija OU-3 OU-4 GPO asignada GPO del Dominio GPO padre GPO hija GPO 3 GPO 4

En la figura 5 vemos un ejemplo de cmo es asignada la GPO en el contenedor:

Figura 5: La poltica de grupo GPO 3 es asignada a la unidad organizativa OU-3

Segn esta relacin de contenedores y de GPOs, en la siguiente tabla vemos, marcado por X, qu GPOs afectan a qu contenedores; se ve claramente cmo son heredadas las GPOs por los contenedores: Dominio X OU padre X X OU hija X X X OU 3 X X X X OU 4 X X X X X

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

La herencia de las GPOs se puede bloquear Si en la pestaa Directiva de grupo de las propiedades de una OU activamos la casilla Bloquear la herencia de directivas (figura 6), conseguiremos que no se apliquen las GPOs de los objetos que la contienen. Siguiendo el ejemplo de antes, si activsemos esta casilla en la OU Padre el resultado sera: Dominio X OU padre OU hija OU 3 OU 4

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

X X

X X X

X X X X

Si la casilla estuviese en la GPO hija en vez de en la padre: Dominio X OU padre X X X X X X X X OU hija OU 3 OU 4

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

Si estuviera activada en ambas: Dominio X OU padre OU hija OU 3 OU 4

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

X X X X X X X

Figura 6: bloqueando herencia en OU-Hija Hay que sealar que las polticas de grupo locales(las aplicadas en la misma mquina con gpedit.msc) no pueden ser bloqueadas.

Los bloqueos de herencia pueden saltarse Si a una GPO le habilitamos la opcin no reemplazar (figura 7) se saltar los bloqueos, de forma que siempre ser aplicada:

De esta manera si activamos el bloqueo en la OU 3 y activamos no reemplazar en la GPO Padre el resultado sera: Dominio X OU padre X X OU hija X X X OU 3 OU 4

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

X X

X X X

Si activamos el bloqueo en la OU Hija y no reemplazar en la GPO del Dominio: Dominio X OU padre X X X X X X X X OU hija X OU 3 X OU 4 X

GPO Dominio GPO padre GPO hija GPO 3 GPO 4

del

Cmo debo implementar las GPOs? Se tiene que tener en cuenta principalmente la estructura presente y futura de la organizacin que se administra, la estructura administrativa del dominio y la forma deseada de procesamiento en s de las directivas, para crear el modelo que mejor responda a nuestras necesidades e intereses. Como las herramientas para establecer las polticas en el dominio son las GPOs, que son conjuntos de una o ms polticas, lo primero definiremos los tipos de GPOs segn su diseo, para posteriormente estudiar las estrategias segn diferentes conceptos. Qu tipos de diseos tenemos de GPOs Tenemos tres tipos de diseos de GPOs segn las polticas que configuran: 1. GPO de directiva nica: cuando est orientada a un solo tipo de configuracin (por ejemplo propiedades de Active Desktop). Es adecuado para organizaciones que delegan responsabilidades administrativas en muchos usuarios. 2. GPO de directiva mltiple: cuando est orientada a varios tipos de configuracin (por ejemplo, configuracin de IE, de explorador de Windows, de instalacin de software, etc.). Adecuado para organizaciones en las que la administracin est centralizada. 3. GPO de directiva dedicada: cuando configura slo polticas de equipo o de usuario. Aumenta el nmero de GPOs a ser procesadas en el inicio de sesin, alargando ste, pero es til para aislar los problemas en la aplicacin de una GPO.

Qu estrategias de aplicacin de GPOs hay? Hay dos estrategias de en funcin de cmo sern aplicadas las GPOs: 1. Por capas: en esta estrategia se busca el que aparezca en el menor nmero posible de GPOs un tipo de configuracin en concreto. De esta manera, se parte de una poltica comn a todo el dominio aplicada a ste, en la cual no aparecen las configuraciones que son individuales para una OU .Pongamos que la configuracin de escritorio es diferente en cada OU y la configuracin de Proxy para el Internet Explorer es igual en todas las OUs; definiramos a nivel de dominio la configuracin de Proxy (ya sea con una GPO de directiva nica o unida con otras directivas comunes a todas las OUs en una directiva mltiple) y crearamos una GPO por OU con la configuracin de escritorio propia de la OU en una directiva nica: a. Ventaja: La administracin es ms simple, al estar localizados perfectamente los puntos de aplicacin de cada configuracin y ser ms fcil realizar cambios por tener que hacerlo en menos GPOs. b. Inconveniente: El tiempo de inicio de sesin se alarga, al tener que procesarse mltiples GPOs. c. Adecuado: Para organizaciones cuya configuracin de seguridad es comn y con cambios frecuentes de directivas. 2. Monoltico: Lo que se busca con este enfoque es que se apliquen el menor nmero posible de polticas; el ideal sera que se aplique tan slo una. Para ello se configura una nica GPO de directiva mltiple en cada OU y no se aplica GPO alguna en el dominio. a. Ventaja: el inicio de sesin est optimizado para que sea lo ms rpido posible. b. Desventaja: la administracin es ms trabajosa; si necesitamos hacer un cambio de configuracin comn a todo el dominio, tendremos que retocar tantas GPOs como OUs tengamos. c. Adecuado: Para organizaciones en las cuales se pueden clasificar en muy pocos grupos la asignacin de las directivas (digamos pocas OUs,) de forma que el aumento de las tareas administrativas orientadas a las directivas no sea preocupante.

Qu estrategias hay en funcin del trabajo? En funcin de la forma de la organizacin de realizar su trabajo, hay dos estrategias: Por roles: Se utiliza una estructura de OUs que refleje los tipos de trabajo de la organizacin, como pueda ser comerciales, administrativos, marketing, etc. Aplicando el menor nmero posible de GPOs. Digamos que es un diseo por capas en el cual las GPOs de directiva nica de las OUs son fusionadas en una nica GPO de directiva mltiple por OU. a. Ventaja: Los inicios de sesin son ms rpidos que en una estrategia por capas. b. Desventaja: La administracin es algo ms trabajosa que en una estrategia por capas. c. Adecuado: Para organizaciones en las cuales el trabajo est muy definido en funcin a roles. 2. Por equipos: Se basa en vincular todas las GPOs al dominio en vez de a las OUs; el alcance de las GPOs se filtrar en base a grupos de seguridad. De esta forma se aplicarn una GPO a todos los usuarios pertenecientes a un grupo de seguridad determinado independientemente de la OU a la que pertenezcan. a. Ventajas: Se minimizan las vinculaciones de GPOs a OUs y se centraliza la administracin de las GPOs. b. Desventaja: El inicio de sesin ser ms lento cuantos ms equipos de trabajo existan. c. Adecuado: Para organizaciones en las que no corresponda el trabajo a realizar segn roles, sino segn tareas (por ejemplo, en un proyecto de desarrollo de software habr desarrolladores, comerciales, administrativos, directivos, etc., que necesitarn determinadas configuraciones comunes a ellos, como la carpeta del proyecto; un comercial puede estar en ms de un proyecto y necesitar acceso a las carpetas de los proyectos en los que est implicado). Tambin es adecuado cuando se quiere que la administracin de las polticas est centralizada y sea muy flexible a las cambiantes necesidades de la organizacin. 1.

CUESTIONARIO
1: Qu es WMI? Windows Management Instrumentation: un Standard de administracin. Existe una estructura jerrquica de objetos facilitados por proveedores, para acceder y modificar configuraciones de Windows o una aplicacin de forma local o remota. Muchas herramientas de administracin se estn basando en esta tecnologa 2: Qu es RSOP? Resultand Set of Policies. Ose, en cristiano, el conjunto de las polticas resultantes que se aplican a un equipo y a un usuario. 3: Si se quiere eliminar una poltica desde GPMC, desde la lista de todas las polticas del dominio, te pregunta si quieres borrar la poltica y el link se borrara la poltica y la OU donde est aplicada? La OU no. Solo se borra la poltica. Lo del Link a lo que se refiere es que con la herramienta tu primero creas la poltica y luego la "linkas" con una OU. Por tanto al borrar la poltica, se tiene que borrar el link, que la asocia con una OU. 4: Con el GPMC puedo aplicar polticas a usuarios con Windows 2000 y XP, desde mi servidor, y debemos tener necesariamente el Active Directory, para que funcione? La GPMC es una herramienta para administrar las polticas existentes en el directorio activo de forma ms efectiva. La respuesta pues es si hace falta tener Directorio Activo, y si podemos aplicar las polticas administradas por GPMC a equipos tanto Windows 2000 como Windows XP que pertenezcan a un dominio 5: Hay alguna opcin para predeterminar la pagina de inicio de Internet Explorer o tenemos que hacerlo tocando el registro ? Las opciones de Internet Explorer se pueden definir mediante polticas en Windows 2003, estas opciones se encuentran debajo de userconfiguration/Windows settings/Internet Explorer mantenaince/important url 6: bibliografa para aprender mas sobre las polticas de grupos? http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx