Alterar el proceso de Directivas de Grupo

Puede que cuando creemos una Directiva necesitemos alterar el procesamiento predefinido. Para ello disponemos de cuatro opciones:

  • Bloqueo de herencia
  • No reemplazar
  • Filtrado de objetos de Directiva de Grupo
  • Procesado en modo bucle invertido (Loopback)

* También podemos utilizar filtros WMI en equipos Windows Server 2003 y Windows XP si tienen cuentas en un AD de Windows Server 2003.

Bloqueo de herencia

Puede que nos encontremos con una situación en la que un subcontenedor, una OU por ejemplo, no deba recibir Directivas desde objetos padre. Tenemos una directiva a nivel de dominio en la que hay partes que no queremos que se le apliquen a cierta OU, en este caso usaremos el bloqueo de la herencia para evitar que dicha OU reciba los valores establecidos desde el objeto padre. Tengamos en cuenta que el bloqueo resulta en todas las directivas de objetos padre que puedan afectar y no podemos hacerlo de forma individual, unas sí y otras no.

No reemplazar

Puede que seamos administradores de Directivas vinculadas al dominio y queremos asegurarnos que ciertas políticas se apliquen, aun si una OU tiene configurado el bloqueo de herencia o una Directiva configurada con valores opuestos entra en conflicto, lo que remplazaría el valor. En este caso, podemos marcar la directiva con la opción No reemplazar. Una directiva con esta opción establecida en un objeto padre se aplicará a pesar del bloqueo de herencia.

noreemplazar

*Si tenemos instalado GPMC la opción se denomina Forzado y no No Reemplazar.

forzado

Filtrado de objetos de Directiva

Cuando aplicamos una directiva a un contenedor, se aplica a todo equipo y usuario dentro del mismo y a su vez a sus sub-contenedores. Puede que necesitemos tener algunos equipos o usuarios exentos de tal aplicación. En lugar de crear un contenedor especial y utilizar series de No reemplazar y bloqueo de herencia, lo que podemos hacer es filtrar la directiva mediante DACLs en la propia directiva.

Podemos ver y modificar la configuración de seguridad en la pestaña ‘Seguridad’ en la página de propiedades de la directiva específica.

Para que una directiva se aplique a un equipo o usuario estos deben tener los permisos de lectura y aplicación de directiva en la GPO. DE forma predeterminada los miembros del grupo Usuarios auténticados tienen concedidos ambos permisos. Los equipos y usuarios automáticamente se convierten en miembros de este grupo en cuanto se validan sus credenciales con éxito y que sucede antes de la aplicación de la directiva. Por lo tanto, el comportamiento predeterminado es que todas las directivas se aplican a equipos y usuarios. Así mismo, de forma predeterminada los grupos de Administradores del dominio, Administradores de empresa y sistema local (Local system) tienen control total, sin la entrada (ACE) de control de acceso a Aplica directiva. Sin embargo, los administradores son miembros de Usuarios Auténticados, lo que significa que recibirán la configuración de la directiva predeterminadamente.

Impedir que una directiva se aplique a un grupo específico requiere que quitemos la entrada de Aplica directiva (ACE) de dicho grupo. Si la quitamos para los usuarios auténticados (desmarcar permitido), podemos, explícitamente, marcarlo a grupos de seguridad individuales que son a los que debe aplicarse la directiva. Es posible usar ‘denegar’ de forma explícita para los grupos a los que no debe aplicarse, ya que una denegación explícita siempre reemplaza al permiso ‘permitir’, el equipo o usuario no procesará la directiva.

Procesado en modo bucle invertido (Loopback)

Otro de los escenarios en el que puede que necesitemos alterar la aplicación de directivas predeterminado es cuando tenemos equipos y usuarios en distintos contenedores. La OU que mantiene el objeto usuario tiene una directiva restrictiva activada –como impedir a los usuarios modificar la configuración de red, quitarles el panel de control, y otras-. Cuando un usuario inicia sesión en su equipo , la directiva actúa protegiendo la red y estandarizando el escritorio; sin embargo, el usuario puede también administrar un servidor de impresión de windows 2000 server. Cuando el usuario inicia sesión en el servidor, la directiva impide que complete la administración de la tarea que el usuario necesita realizar. En lugar de crear cuentas separadas para el usuario use cuando administra el servidor, podemos implementar el modo bucle invertido.

El modo de bucle invertido en sí es una configuración de directiva que podemos habilitar en la parte de configuración de equipo de una directiva. Este modo dispone de dos configuraciones:

  • Replace (reemplazar) Si habilitamos el modo mediante esta configuración, la directiva que se aplica sobre el usuario no lo hará, en su lugar la configuración relacionada con el usuario se aplicará desde la ubicación de la cuenta de equipo unida a la configuración relacionada con el equipo. Es una configuración comúnmente utilizado para resolver el escenario comentado.
  • Merge (combinar) Con esta configuración, la configuración de usuario desde el objeto equipo será aplicado después de la correspondiente al usuario. Esto resulta en una combinación de ambos con un reemplazar en los posibles conflictos.

Podemos establecer este modo en la parte de configuración de equipo de Directiva\plantillas administrativas\sistema\directiva.

Leave a Reply

Your email address will not be published. Required fields are marked *