¿Cómo crear un Group Policy en Active Directory?

Dominando las Directivas de Grupo en Active Directory

14/01/2024

Valoración: 4.28 (10263 votos)

En el corazón de la administración de redes basadas en Windows Server, las Directivas de Grupo (Group Policy Objects o GPO) representan una herramienta fundamental para centralizar y automatizar la configuración de sistemas operativos, aplicaciones y ajustes de usuario. Su correcta implementación no solo garantiza la seguridad y la consistencia en el entorno informático, sino que también optimiza significativamente las tareas de los administradores de sistemas. Este artículo desglosará paso a paso cómo crear y gestionar GPO en Active Directory, incluyendo consideraciones para entornos Windows Server 2016 y la introducción a herramientas de gestión avanzada como AGPM.

¿Cuáles son las tareas de gestión sobre las GPO?
Dentro de las tareas de gestión sobre las GPO, es importante mencionar que se pueden configurar, restaurar, copiar y delimitar utilizando la GPMC o consola de administración de directivas. Puesto que las GPO contienen configuraciones de directiva de grupo, esto permite llevar un control mucho más directo sobre ellas.

La capacidad de aplicar configuraciones uniformes a miles de usuarios y equipos con solo unos clics es lo que convierte a las Directivas de Grupo en un pilar esencial para cualquier organización. Desde forzar contraseñas complejas hasta instalar software automáticamente o ejecutar scripts al inicio de los equipos, las posibilidades son vastas y permiten mantener un control estricto y una experiencia de usuario consistente en toda la infraestructura.

Índice de Contenido

¿Qué son los Objetos de Directiva de Grupo (GPO)?

Un Objeto de Directiva de Grupo (GPO) es una colección virtual de configuraciones de políticas que pueden aplicarse a usuarios, equipos o unidades organizativas (OU) específicas dentro de un entorno de Active Directory. Cada GPO posee un identificador único global (GUID) y se compone de dos elementos principales:

  • Contenedor de Directiva de Grupo (GPC): Almacena información sobre las propiedades del GPO en Active Directory.
  • Plantilla de Directiva de Grupo (GPT): Guarda los datos de configuración del GPO en la carpeta SYSVOL del controlador de dominio.

Los GPO son cruciales para controlar los entornos informáticos y de usuarios, lo que resulta en experiencias de usuario consistentes y un mantenimiento robusto de la seguridad del sistema. Existen también las Directivas de Grupo Locales, que son específicas de cada equipo individual y se almacenan en el directorio C:\Windows\System32\GroupPolicyUsers. Aunque los GPO basados en Active Directory tienen mayor prioridad, las directivas locales siempre se procesan.

Términos Clave Relacionados con GPO

  • Objeto de Directiva de Grupo (GPO): Un conjunto de configuraciones de políticas que se aplican a unidades organizativas en Active Directory.
  • Consola de Administración de Directivas de Grupo (GPMC): Un complemento de Microsoft Management Console (MMC) que centraliza la gestión de todas las tareas relacionadas con las Directivas de Grupo.
  • Unidad Organizativa (OU): Un contenedor dentro de Active Directory que puede albergar usuarios, grupos, computadoras y otras OU. Es el ámbito más pequeño al que se puede aplicar un GPO.
  • Política de Grupo Local: Un GPO específico para computadoras individuales, no asociado con Active Directory.

Creación de un Objeto de Directiva de Grupo (GPO)

La creación de un GPO es el primer paso para implementar cualquier configuración centralizada. A continuación, se detalla el proceso en un entorno Windows Server 2016.

¿Qué rol es necesario para eliminar un GPO?
Para eliminar un GPO, es necesario iniciar sesión con una cuenta de usuario a la que se le asigne el rol aprobador. En el árbol De la consola de administración de directivas de grupo, seleccione Cambiar control en el bosque y dominio en el que desea administrar los GPO.

Consideraciones Previas

La siguiente guía está diseñada para un ambiente Windows Server 2016. Es fundamental contar con permisos de administrador de dominio o los permisos adecuados para crear y vincular GPO.

Pasos para Crear un Nuevo GPO Desvinculado

  1. Abrir el Administrador del Servidor: Inicie el Administrador del Servidor desde el icono en el menú de inicio.
  2. Acceder a la Consola GPMC: En la esquina superior derecha, haga clic en «Herramientas» y seleccione «Administración de Directivas de Grupo».
  3. Navegar a Objetos de Directiva de Grupo: En la consola GPMC, expanda el árbol de Active Directory (AD) hasta su dominio y haga clic en el contenedor «Objetos de Directiva de Grupo».
  4. Crear Nuevo GPO: Haga clic derecho en «Objetos de Directiva de Grupo» y seleccione «Nuevo» en el menú contextual.
  5. Nombrar el GPO: En el cuadro de diálogo, asigne un nombre significativo al GPO (por ejemplo, «GPO_ScriptsDeArranque») y haga clic en «Aceptar».

Con estos pasos, ha creado un GPO desvinculado, lo que significa que aún no está aplicando ninguna configuración a los usuarios o equipos de su dominio.

Configuración de un Script de Arranque en el GPO

Una vez creado el GPO, el siguiente paso es editarlo para añadir las configuraciones deseadas. Por ejemplo, configuraremos un script de arranque.

¿Qué es un GPO en Active Directory?
Un GPO se puede vincular a varios contenedores de Active Directory. Los GPO se almacenan por dominio. Por ejemplo, si vincula un GPO a una unidad organizativa, el GPO no se almacena en esa unidad organizativa. Un GPO es un objeto por dominio que puede vincularse en cualquier parte del bosque.
  1. Editar el Nuevo GPO: Busque el GPO recién creado en la lista, haga clic derecho sobre él y seleccione «Editar» en el menú. Esto abrirá el Editor de Administración de Directivas de Grupo.
  2. Navegar a la Configuración de Scripts: En el panel izquierdo del Editor, expanda «Configuración del equipo», luego «Directivas» y finalmente «Configuración de Windows» > «Scripts (Inicio/Apagado)».
  3. Seleccionar Script de Inicio: En el panel derecho, haga doble clic en «Inicio».
  4. Añadir el Script: En la ventana de Propiedades de Inicio, haga clic en el botón «Mostrar archivos» para abrir la carpeta donde se deben guardar los scripts. Copie su script (por ejemplo, un archivo .bat o .ps1) a esta ubicación.
  5. Agregar el Script a la Lista: Vuelva a la ventana de Propiedades de Inicio, haga clic en «Agregar», luego en «Examinar» y seleccione el archivo de script que acaba de copiar. Si su script requiere parámetros adicionales, puede especificarlos en el cuadro correspondiente. Haga clic en «Aceptar» para guardar el script.
  6. Establecer Orden y Tipo de Script (Opcional): Puede establecer el orden de ejecución de los scripts utilizando los botones «Subir» y «Bajar». También puede definir scripts de PowerShell y su prioridad.
  7. Finalizar Configuración: Haga clic en «Aceptar» en la ventana de Propiedades de Inicio.

Vincular el GPO al Dominio, OU o Sitio

Para que las configuraciones del GPO tengan efecto, debe vincularlo al ámbito deseado (dominio completo, una Unidad Organizativa específica o un sitio de Active Directory).

  1. Volver a la Consola GPMC: Regrese a la consola de Administración de Directivas de Grupo.
  2. Seleccionar la Ubicación de Enlace: Haga clic derecho en el dominio, la OU o el sitio donde desea aplicar el GPO.
  3. Vincular GPO Existente: Seleccione la opción «Vincular un GPO existente…» del menú contextual.
  4. Seleccionar el GPO: En el cuadro de diálogo «Seleccionar GPO», elija el GPO que acaba de crear y haga clic en «Aceptar».

Nota Importante: Es fundamental considerar que los equipos de usuario normalmente tienen un tiempo por defecto para verificar los cambios en las Directivas de Grupo, el cual corresponde a 90 minutos (con una desviación aleatoria de hasta 30 minutos). Por lo tanto, es probable que deba esperar al menos 2 horas para que la política sea recibida por el equipo y se proceda a su ejecución. Para una aplicación inmediata en un equipo específico, puede ejecutar gpupdate /force desde la línea de comandos.

Tareas de Gestión Básicas sobre las GPO

La Consola de Administración de Directivas de Grupo (GPMC) es la herramienta principal para la gestión de GPO. Permite realizar diversas tareas:

  • Importar y Exportar GPO: Útil para replicar configuraciones entre dominios o para propósitos de respaldo.
  • Copiar y Pegar GPO: Facilita la creación de nuevos GPO basados en configuraciones existentes.
  • Copia de Seguridad y Restauración: Esencial para la recuperación ante desastres o errores de configuración.
  • Búsqueda de GPO: Ayuda a localizar GPO específicos en entornos grandes.
  • Generación de Informes: Permite obtener informes HTML sobre la configuración de un GPO o el conjunto resultante de directivas (RSoP).

Edición de un GPO Existente

Para modificar la configuración de un GPO ya creado:

  1. En el árbol de consola de la GPMC, expanda «Objetos de Directiva de Grupo».
  2. Haga clic derecho en el GPO que desea editar y seleccione «Editar».
  3. En el Editor de Administración de Directivas de Grupo, navegue hasta la configuración deseada.
  4. Haga doble clic en la configuración para modificarla y luego haga clic en «Aceptar».
  5. Cierre el Editor de Administración de Directivas de Grupo.

Cambio del Orden de Vínculo de GPO

El orden en que se aplican los GPO es crucial, ya que las configuraciones de GPO posteriores pueden sobrescribir las anteriores. El orden de vínculo se gestiona en la GPMC:

  1. Seleccione el sitio, dominio o unidad organizativa donde está vinculado el GPO.
  2. En el panel de la derecha, verá la lista de GPO vinculados.
  3. Seleccione el GPO cuyo orden desea cambiar y utilice los botones de flecha (Arriba/Abajo) para ajustar su prioridad. Un número de orden de vínculo más bajo indica mayor prioridad.

Desvincular un GPO

Desvincular un GPO significa que ya no se aplicará a la ubicación donde estaba vinculado, pero el GPO en sí permanece en la lista de Objetos de Directiva de Grupo y puede ser vinculado nuevamente o a otra ubicación.

¿Cómo crear un Group Policy en Active Directory?
En el lado superior derecho buscar el boton «Tools», seleccionar Group Policy Management. En la consola Group Policy Management Console (GPMC), expandir el arbol del Active Directory (AD), dominio y dar click al contenedor Group Policy Objects. Damos click derecho Group Policy Objects y seleccionar New en el menu.
  1. En la GPMC, navegue hasta el sitio, dominio o OU donde el GPO está vinculado.
  2. Seleccione el GPO vinculado que desea desvincular.
  3. En el panel de detalles, seleccione la pestaña «Ámbito».
  4. En la sección «Vínculos», haga clic derecho en el objeto de Active Directory con el vínculo que desea eliminar y seleccione «Eliminar vínculos».

Deshabilitar Configuración de Usuario o Equipo en un GPO

Para optimizar el rendimiento y evitar procesar configuraciones innecesarias, puede deshabilitar la configuración de usuario o equipo dentro de un GPO si solo va a usar uno de los dos tipos.

  1. Haga clic derecho en el GPO en la GPMC.
  2. En la lista «Estado del GPO», seleccione una de las siguientes opciones:
    • Configuración del equipo deshabilitada: Si el GPO solo contiene configuraciones de usuario.
    • Configuración de usuario deshabilitada: Si el GPO solo contiene configuraciones de equipo.
    • Todas las configuraciones de políticas deshabilitadas: Deshabilita el GPO por completo.
    • Habilitado (predeterminado): Ambas configuraciones están activas.

Administración Avanzada de Directivas de Grupo (AGPM)

Microsoft Advanced Group Policy Management (AGPM) es una herramienta que extiende las capacidades de la GPMC, proporcionando un control de cambios robusto y flujos de trabajo de aprobación para la gestión de GPO. AGPM es esencial en entornos grandes o con múltiples administradores de Directivas de Grupo, ya que evita conflictos y asegura la coherencia.

Roles Estándar de AGPM

AGPM introduce roles específicos para delegar permisos y establecer un flujo de trabajo controlado:

  • Administrador de AGPM (Control Total): Tiene control total, puede configurar AGPM, asignar roles y delegar acceso.
  • Aprobador: Puede revisar y aprobar las solicitudes de creación, edición, implementación y eliminación de GPO.
  • Editor: Puede crear y modificar GPO sin conexión, y luego solicitar su implementación.
  • Revisor: Puede ver la configuración de los GPO y generar informes, pero no modificarlos.

Funcionalidades Clave de AGPM

  • Archivo Central: Permite a los administradores crear y modificar GPO sin conexión antes de implementarlos en producción.
  • Control de Versiones: Capacidad de revertir a cualquier versión anterior de un GPO en el archivo y limitar el número de versiones almacenadas.
  • Check-in y Check-out: Funcionalidad para asegurar que los administradores no sobrescriban accidentalmente el trabajo de otros.
  • Delegación de Permisos: Roles estandarizados para delegar el control de GPO.
  • Funcionalidad de Búsqueda y Filtrado: Para localizar GPO con atributos específicos.

Requisitos de AGPM

AGPM Server 4.0 requiere Windows Server 2012 o Windows 10 y versiones posteriores, junto con GPMC de las Herramientas de Administración Remota del Servidor (RSAT). El cliente AGPM también tiene requisitos similares y debe instalarse en los equipos de los administradores de Directivas de Grupo.

¿Qué son los objetos de política de grupo?
Los objetos de política de grupo (GPO) proporcionan administración y configuración centralizada de sistemas operativos, aplicaciones y configuraciones de usuarios en un entorno de Active Directory.

Proceso de Gestión de GPO con AGPM (Flujo de Trabajo)

AGPM transforma la gestión de GPO en un proceso estructurado con aprobación. Aquí se resumen los pasos clave:

  1. Crear un GPO (Editor > Aprobador): Un Editor solicita la creación de un nuevo GPO. Un Aprobador revisa y aprueba la solicitud, moviendo el GPO al estado «Controlado» en el archivo.
  2. Editar un GPO (Editor > Aprobador): El Editor realiza un «desprotección» (check-out) del GPO del archivo para editarlo sin conexión. Una vez finalizadas las ediciones, el Editor lo «protege» (check-in) de nuevo y solicita la implementación.
  3. Revisar e Implementar un GPO (Aprobador): El Aprobador revisa los cambios (pudiendo comparar versiones) y, si está de acuerdo, implementa el GPO en el entorno de producción.
  4. Usar una Plantilla (Editor): Los Editores pueden crear plantillas a partir de GPO existentes para usarlas como punto de partida para nuevos GPO, agilizando la creación de políticas con configuraciones comunes.
  5. Eliminar y Restaurar un GPO (Aprobador): Un Aprobador puede eliminar un GPO del archivo y de producción. Si se elimina por error, un Aprobador puede restaurarlo desde la Papelera de Reciclaje de AGPM. La restauración en el archivo no implica su reimplementación automática en producción.
  6. Revertir a una Versión Anterior (Aprobador): Si los cambios recientes causan problemas, un Aprobador puede revertir el GPO a cualquier versión anterior almacenada en el historial de AGPM.

La implementación de AGPM es un proceso que implica la instalación del servidor AGPM, el cliente AGPM, la configuración de la conexión del servidor, la notificación por correo electrónico para los flujos de trabajo y, crucialmente, la delegación de acceso a los diferentes roles.

Comparativa: GPMC vs. AGPM

opa

AGPM es, en esencia, una capa de gestión y control de versiones sobre la funcionalidad base de GPMC, diseñada para entornos empresariales con requisitos de auditoría y control de cambios rigurosos.

Preguntas Frecuentes (FAQ) sobre Directivas de Grupo

A continuación, respondemos algunas de las preguntas más comunes sobre la gestión de GPO:

¿Cuánto tiempo tarda un GPO en aplicarse a los equipos?
Por defecto, los equipos cliente actualizan sus políticas cada 90 minutos, con un desfase aleatorio de hasta 30 minutos. Los controladores de dominio lo hacen cada 5 minutos. Puede forzar una actualización con gpupdate /force.
¿Cómo puedo saber qué GPO se están aplicando a un equipo o usuario?
Puede usar la herramienta Resultant Set of Policy (RSoP) en la GPMC, o ejecutar gpresult /r en la línea de comandos en el equipo cliente. Con AGPM, los informes de diferencias también son muy útiles.
¿Qué es un filtro WMI en un GPO?
Un filtro WMI (Instrumental de Administración de Windows) permite aplicar un GPO solo a equipos o usuarios que cumplan con criterios específicos, como un modelo de computadora, una versión de sistema operativo o la cantidad de RAM, proporcionando una gran flexibilidad en la aplicación de políticas.
¿Puedo hacer una copia de seguridad de mis GPO?
Sí, la GPMC permite realizar copias de seguridad de GPO individuales o de todos los GPO en un dominio. AGPM automatiza este proceso mediante su archivo central.
¿Qué sucede si elimino un GPO por error?
Si el GPO no estaba bajo control de AGPM, necesitará restaurarlo desde una copia de seguridad manual. Si estaba bajo AGPM, un Aprobador puede restaurarlo fácilmente desde la Papelera de Reciclaje de AGPM.
¿Cuál es la diferencia entre un GPO desvinculado y un GPO deshabilitado?
Un GPO desvinculado existe en el dominio pero no se aplica a ningún objeto. Un GPO deshabilitado está vinculado a un objeto, pero su configuración (de usuario, equipo o ambas) está inactiva y no se procesa.

Conclusión

Las Directivas de Grupo son una de las herramientas más potentes y versátiles en la administración de un entorno Windows Server con Active Directory. Dominar su creación, configuración y gestión es fundamental para cualquier administrador de sistemas. Ya sea a través de la GPMC para entornos más pequeños o con la robustez y los flujos de trabajo de AGPM para organizaciones más grandes, una correcta implementación de los GPO garantiza la seguridad, la coherencia y la eficiencia operativa. Al entender cómo funcionan, cómo se aplican y cómo se pueden gestionar sus cambios, estará bien equipado para mantener un control optimizado y una seguridad mejorada de su sistema.

CaracterísticaGPMC (Consola de Administración de Directivas de Grupo)AGPM (Administración Avanzada de Directivas de Grupo)
Funcionalidad PrincipalCreación, edición, vinculación, copia de seguridad y restauración de GPO.Control de versiones, flujo de trabajo de aprobación, roles de delegación, archivo de GPO sin conexión.
Control de CambiosBásico, sin historial detallado ni reversión fácil.Avanzado, con historial completo, reversión a cualquier versión.
Flujo de TrabajoNinguno, cambios directos en GPO.Basado en roles (Editor, Aprobador), requiere aprobación para cambios en producción.
ColaboraciónRiesgo de sobrescritura en equipos grandes.Funcionalidad de Check-in/Check-out que previene conflictos.
RecuperaciónDesde copias de seguridad manuales.Desde el archivo, con versiones históricas fácilmente accesibles.
ComplejidadMenor, ideal para entornos pequeños.Mayor, pero ofrece mayor control y seguridad en entornos grandes.

Si quieres conocer otros artículos parecidos a Dominando las Directivas de Grupo en Active Directory puedes visitar la categoría Policía.

Subir