PowerShell y las GPO

Con Active Directory desplegado en nuestra entorno deberíamos ser capaces de controlar la seguridad, administración y el acceso a los recursos desde una ubicación centralizada. Y además administrar y controlar los escritorios!

Cómo hemos ido viendo en multitud de ocasiones, AD tiene una herramienta… Group Policy (Directiva de grupo), para centralizar los escritorios. Con ella podemos administrar virtualmente todo en los sistemas de nuestro entorno, desde el fondo del escritorio hasta qué aplicaciones pueden ejecutarse. Incluyendo no sólo los escritorios cliente sino también los servidores.

Directiva de grupo nos permite obligar el cumplimiento de nuestras políticas, implementar cualquier configuración de seguridad que queramos e, implementar un entorno estándar a través de todo el Directorio Activo.

Con un entorno estándar proporcionamos una base consistente y además aligerar las llamadas de soporte al departamento. Antes de ver como podemos trabajar con Poweshell y GP, repasemos algunas cuestiones básicas:

Conocer sobre:

DESCRIPCIÓN

GPMC
Consola administración Directivas
Interfaz principal, aquí creamos los GPOs. Definimos a qué se aplicarán los enlaces creados. Disponemos de tres ámbitos o alcances: Sites, Dominios y OUs.
GPO
Objeto de Directiva de Grupo
Objeto que contiene la configuración que queremos aplicar a usuarios y/o equipos. Se enlazan a OUs.
Enlace de Directiva de Grupo Enlaza un GPO a la parte del entorno AD al qué queremos que se le aplique. Conocido como ámbito o alcance: Sites, Dominios y OUs.
Archivo ADMX Archivo de plantilla administrativa, define la ubicación de la configuración y valores en el sistema local, y crea el interfaz que usamos para modificar dicha configuración/valores desde el Editor de Directivas de grupo, que no es más que un GUI de administración de las mismas.
Preferencias de Directiva de Grupo Proporciona alternativas para trabajar con imágenes en toda la organización y así administrar configuraciones que no son fáciles desde la Directiva de Grupo. Esta configuración, inicialmente establecida por el administrador, refleja un estado del sistema predeterminado y que no es obligatorio.
RSoP Conjunto de configuraciones de directiva aplicadas después del completo proceso de las mismas. Puede ser una combinación de muchos niveles de Directivas.

En cuanto a los ámbitos o alcance hemos de tener en cuenta qué:

El ámbito más grande es el SITE y aquí se ven afectados todos los dominios y objetos que contenga.

En el DOMINIO se verán afectados todos los objetos contenidos en él.

En las OU, todos los objetos que contengan, así como los sucesivos anidamientos de OUs y sus objetos.

El uso de unos u otros se determina por las necesidades, si bien hay algunas recomendaciones al efecto:

Configuración de seguridad de red o IPSec, a nivel de SITE.

Contraseñas y resto de valores de seguridad, DOMINIO.

Aplicación de Directivas de Grupo en las OU, es lo que más recomiendan, proporcionan facilidad de administración y localización de nuestras Directivas.

Administrar las Directivas de Grupo

Como otras herramientas, powershell ha dedicado un módulo para almacenar los cmdlets que podemos usar en la administración de Directivas de Grupo. Éste módulo no está disponible en todos los sistemas en los que Powershell está instalado. Sólo se encuentra en DCs, servidores miembros con GPMC instalada o Windows 7 con RSAT instaladas.

Para importar el módulo usamos el comando:

Import-Module grouppolicy

Aunque si lo intentamos en un equipo que no cumpla los requisitos recibiremos un mensajito…

importmodulegrouppolicyNO

Pero sigamos en uno que sí,

importmodulegrouppolicySI

Una vez importado podemos listar los cmdlets disponibles, Get-Command –module grouppolicy 

importmodulegrouppolicylist

El comando Get-GPO –All nos permite ver las GPO del dominio.

Establece un valor de Preferencia. Igual que el anterior, hay que conocer la ubicación en el Registro.

Cmdlet

Qué hace:

Get-GPO Lista las GPO en el Dominio, podemos listar una específicamente o todas.
New-GPO Crea una nueva GPO en el dominio.
New-GPLink Crea un nuevo vínculo de GPO hacia una GPO existente en el dominio.
Set-GPRegistryValue Establece un valor de directiva. Para que este cmdlet sea efectivo en la GPO, hay que conocer la ubicación de la misma en el Registro.
Set-GPPrefRegistryValue Establece un valor de Preferencia. Hay que conocer la ubicación en el Registro.

Ejemplos: Get-GPO –All

gpoAll

Podemos ver la configuración de una en particular, por ejemplo listamos las que hay en SySVol…

dirGPOSysVOL

Y con su GUID…

GPO-ID

Y con su nombre…

GPO-DisplayName

 

¿Problemas con Directivas de Grupo?

Cuando se trabaja con Directivas de Grupo podemos tener algunos problemas en su aplicación, así qué hay que usar algunas herramientas para buscar solucionarlos y no perder nuestro tiempo de administración.

Las herramientas integradas se enfocan en predecir el cómo se aplican y el cómo buscar el resultado de esa aplicación. Group Policy Modeling Wizard (GPMW), Group Policy Results Wizard (GPRW), GPresult.exe, y el elemento de MMC: RSOP. Por último, estas herramientas nos permitirán ver el orden de precedencia en acción. Podemos ver qué directivas se aplicaron sobre el sistema y cuáles son las qué vencieron.

Además, ya que las directivas se basan en la red, todas las herramientas que utilizamos para comprobarla –desde el ping a la resolución de nombres- son válidas para solucionar problemas de directiva.

GPMW  Modelado de directivas de grupo

GPMW nos permite previsualizar nuestras directivas de grupo. La herramienta modela los resultados de las directivas antes de implementarlas. Esta herramienta construye informes basados en lo qué está configurado a nivel de sitios, dominios y OUs, tanto para equipos como para usuarios. Basado en las reglas de aplicación de directivas, la herramienta nos proporciona una instantánea de las directivas que se aplicarán. También nos muestra cómo afectará cualquier filtro WMI o de seguridad.

GPMW se encuentra en la consola GPMC. Es importante recalcar que GPMW evalúa sólo un RSOP teórico basado en todas las directivas y filtros establecidos vía Active Directory.

Para crear un modelado:

  1. Clic derecho en Modelado de directivas de grupo, clic en Asistente para modelado de directivas de grupo.
    modelado01
  2. Siguiente en la ventana de bienvenida.
    modelado02
  3. Seleccionamos el Controlador de dominio que queremos utilizar para procesar la solicitud de modelado y siguiente.
    modelado03
  4. Escoger que queremos modelar. Podemos elegir un usuario o equipo individual, o un ámbito (dominio u OU) para cualquiera de ellos (equipo o usuario). Una combinación de lo anterior. …
    modelado04
  5. También podemos simular una red lenta o un bucle invertido en la página de diálogo de simulación.
    modelado05
  6. Elegiremos la ruta de AD alternativo u otras ubicaciones a simular. (Esta página podría no mostrarse dependiendo de la elección en el paso 3)
  7. Simular los cambios en el grupo de seguridad del usuario.
    modelado06
  8. O, simular los cambios en el grupo de seguridad del equipo.
    modelado06b
  9. Los filtros para usuarios.
    modelado07
  10. Los filtros para equipo.
    modelado07b
  11. Vemos un resumen y siguiente para la creación del modelado.
    modelado08
  12. Pulsamos en finalizar y obtenemos el informe, aparece bajo el nodo de modelado de directivas de grupo.
    modelado09

El informe queda bajo el nodo de Modelado.

modelado10modelado11

modelado12modelado13

GPRW o Asistente de Resultados de Directivas de Grupo

Hay algunas herramientas que nos permiten obtener el RSOP. Una de ellas se encuentra en la consola, GPMC, el asistente de Resultados de directiva de grupo.

Una vez localizada en el árbol de la izquierda:

  1. Clic derecho y seleccionamos Asistente de resultado de directivas de grupo.
    rsdg01
  2. Siguiente en la ventana de bienvenida.
    rsdg01b
  3. Seleccionamos el equipo, local o remoto. Siguiente.
    rsdg02
  4. Seleccionamos la cuenta de usuario para el que queremos el RSOP, Siguiente.
    rsdg03
  5. Ventana resumen, siguiente.
    rsdg04
  6. Pulsamos en finalizar para volver a GPMC y ver el informe.
    rsdg05rsdg06

GPResult.exe

Herramienta desde él símbolo del sistema, nos permite ver los resultados de directiva de grupo tanto para el sistema local y usuario actual, como equipos remotos y otros usuarios. Como otros comandos, dispone de commutadores y parámetros que proporcionan información adicional. Pueden entubarse los resultados hacia un archivo de texto y utilizar el comando en archivos de lotes y/o scripts.

rsdg09

RSOP, elemento de MMC, conjunto resultante de directivas.

Sólo hemos de abrir la MMC y añadirlo. También podemos iniciarlo desde el elemento Usuarios y equipos de ACtive Directory.

rsdg08rsdg07

Esta herramienta es similar al asistente de resultados de directiva, pero con la ventaja de que puede mostrar los resultados de múltiples directivas. Disponible en dos modos, Planning i Logging modes. La diferencia principal entre ellos es el cómo proporcionamos el RSOP. Planning mode es similar a GPMW, simula el proceso de directivas, mientras Logging mode consulta la BD WMI de un equipo específico, que se reune cuando se aplica la directiva. Podemos ver información del usuario con esta herramienta sólo si el usuario ha iniciado sesión en el sistema. Además, veremos sólo aquéllas directivas que se hayan procesado en el sistema.

Ambos modos tienen ventajas. La principal de Planning es la generación de informes basados en los valores que serán procesados antes de serlo. Permite la simulación de comportamientos y solucionar problemas antes de aplicar las directivas en producción. En cuanto a Logging, la principal ventaja es la exactitud, ya que el informe está basado en lo qué realmente se ha procesado.

 

Automatizando tareas administrativas: Copia de seguridad de las GPO del dominio

Tener una copia de seguridad de las Directivas de Grupo nos vendrá bien en algunos casos. Para realizar dicha copia podemos acceder simplemente a la Consola de administración de Directivas y hacer unos pocos pasos:

  1. Clic derecho en los objetos de Directiva de Grupo y clic en hacer copia de seguridad de todos
    backupdomainGPOs
  2. Indicamos la ruta y la descripción, y se realiza la copia de seguridad.
    backupdomainGPOs02backupdomainGPOs03backupdomainGPOs04backupdomainGPOs05

Aunque también podemos hacerlo con Powershell, por ejemplo desde El script-center tenemos un script para copiar las Directivas de Grupo modificadas en el mes.

http://blogs.technet.com/b/grouppolicy/archive/2009/03/26/powershell-script-backup-all-gpos-that-have-been-modified-this-month.aspx

El código es prácticamente el mismo, pero he traducido las cadenas y añadido import-ActiveDirectory para que pueda usar los cmdlets de AD, y cambiado la sentencia que recoge las GPO para que hiciera el backup de todas en lugar de las modificadas.

1 # El siguiente script busca todas las Directivas de Grupo en el dominio que hayan sido modificadas este mes. Entonces genera una copia de seguridad y un informe de configuración por cada una. Finalmente lista todas las que se han copiado. 2 ## depende de si se accede por el acceso a la consola powershell de AD o se ha navegado hacia allí primero 3 4 # necesario para usar los cmdlets de directiva de grupo y Active Directory 5 import-module ActiveDirectory 6 import-module grouppolicy 7 8 #Sacar todas las directivas de grupo enlazadas en el dominio del equipo local 9 #el primer paso es obtener el objeto dominio 10 # intro "get-ADDomain -?" para la ayuda 11 12 $mydomain = get-ADDomain -current LocalComputer 13 14 # el siguiente paso es obtener todas las directivas de grupo actualmente en el dominio que hayan sido modificadas este mes 15 16 $currentDate = get-Date 17 18 # $ModGPOs = get-gpo -domain $mydomain.DNSRoot -all | where {$_.ModificationTime.Year.equals($currentDate.Year) -And $_.ModificationTime.Month.equals($CurrentDate.Month)} 19 20 $ModGPOs = get-gpo -domain $mydomain.DNSRoot -all 21 22 # bucle de las directivas de grupo 23 24 $RootPath = "C:\GPOBackup\Reports\" 25 26 Foreach ($GPO in $ModGPOs) { 27 # Copia de seguridad de la directiva en la ruta especificada 28 $GPOBackup = backup-GPO $GPO.DisplayName -path "C:\GPOBackup" 29 30 # Primero crea la ruta del informe, luego lo genera con la configuración guardada. 31 $ReportPath = $RootPath + $GPO.ModificationTime.Month + "-"+ $GPO.ModificationTime.Day + "-" + $GPO.ModificationTime.Year + "_" + $GPO.Displayname + "_" + $GPOBackup.Id + ".html" 32 get-GPOReport -Name $GPO.DisplayName -path $ReportPath -ReportType HTML 33 } 34 35 # Salida de cuales directivas de grupo se han guardado correctamente. 36 37 "Las siguientes " + $ModGPOs.count + " Directivas de Grupo se han guardado correctamente:" | out-host 38 39 Foreach ($GPO in $ModGPOs) { 40 " " + $GPO.DisplayName | out-host 41 } 42 43 "Ir a " + $RootPath + " para ver los informes de configuración de las Directivas de Grupo guardadas." | out-host 44



scriptbackup01



scriptbackup02



scriptbackup03



scriptbackup04


Directivas y Preferencias

Si leemos GPMC, herramienta principal de creación de Directivas.

Una GPO es un objeto que contiene la configuración de valores que queremos aplicar a usuarios y/o equipos. En español, Directiva de Grupo.

Un Link de Directiva de Grupo es lo que enlaza la directiva a la parte del entorno de AD donde queremos aplicarla. Referido a su ámbito, en el que hay tres niveles donde las aplicamos: Sitios, dominios y OUs.

El Editor de Directivas de grupo es la herramienta que se utiliza para modificar los valores de las directivas, y los valores disponibles se basan en las plantillas administrativas disponibles y cargadas.

Los archivos ADMX tienen dos propósitos. El primero es definir los valores y la ubicación de configuración (en el equipo local) para aquéllos. La segunda es crear el interfaz que usamos para las modificaciones desde el Editor.

Las PREFERENCIAS proporcionan una alternativa para trabajar con imágenes en toda la organización y administrar valores que no se han configurado antes en una GPO. Inicialmente esta configuración establecida por el administrador del sistema refleja un estado predeterminado del sistema operativo y, estos valores no son obligatorios necesariamente.

Cuando hablamos de RSOP nos referimos al conjunto resultante de configuración de Directivas de Grupo aplicadas al finalizar completamente su proceso. Podría ser una combinación de varios niveles de Directivas.

Directivas vs Preferencias

Dos son las formas de configurar sistemas, las Directivas y las Preferencias. Ambas pueden modificar los objetos equipo y usuario, sin embargo la razón de su uso es muy diferente. La más importancia su obligatoriedad, las Directivas lo son, mientras que las Preferencias no lo son estrictamente.

Directivas:

Los valores e interfaz se basan en plantillas administrativas. Realizan cambios en el Registro según las indicaciones de la plantilla. Hay secciones especiales de las ramas del Registro que se controlan mediante Directivas, conocidas como las verdaderas. En caso de valores de Equipo:

    • HKEY_LOCAL_MACHINE\SOFTWARE\policies
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies

y para el Usuario:

    • HKEY_CURRENT_USER\SOFTWARE\policies
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies

Cada vez que el sistema procesa una Directiva y obtiene el RSOP, estas ramas del Registro (claves y valores) son borrados y reescritos con la nueva RSOP. Esto pasa sólo en la medida que una Directiva de grupo válida se sigue aplicando al equipo o usuario.

Finalmente, podemos crear nuestros propios valores de Directiva modificando una de las plantillas administrativas existentes o creando una nueva. Esto nos permite trabajar con el Registro completo (exceptúando las ramas mencionadas antes). Sin embargo, es muy importante advertir que estos valores tatuarán el Registro. En otras palabras, los valores quedarán establecidos permanentemente hasta que específicamente los revertamos en la Directiva. Esto significa que si eliminamos nuestra Directiva, este tipo de valores no desaparecen y debemos revertirlos a mano.

Preferencias:

Introducidas desde MS Windows 2008, nos proporcionan una alternativa al uso de scripts para realizar tareas comunes. Estas tareas, en todo caso, no eran fáciles de hacer en las Directivas. Las preferencias nos permiten ahora modificar valores del Registro Local, grupos y usuarios locales, archivos y carpetas, impresoras, servicios locales, unidades de red, y otros muchos valores locales. Ya que las Preferencias no son obligatorias, los usuarios pueden realizar cambios. Además, son de utilidad para aplicaciones a las que las Directivas no cuenta y valores del sistema. Sin embargo, siempre que un usuario decide cambiar algo, lo más probable es que no disponga del permiso necesario para hacerlo ya que la mayoría de las Preferencias requieren algún tipo de credenciales administrativas.

También podemos aplicar elementos de preferencias individuales mediante el filtrado de Directivas, aunque de forma distinta a las Directivas verdaderas, ya que en las segundas no podemos individualizar valores dentro de la Directiva.

En Windows Server 2008 R2, la edición de Preferencias se ha mejorado.

Veamoslo con un ejemplo:

Hasta ahora, yo mismo usaba un script de vbs para asignar unidades de red e impresoras a los usuarios, por ejemplo:

Dim oNet
Set oNet = CreateObject("WScript.Network")
ONet.MapNetworkDrive "Z:", "\\SRVDOMpruebas\compartido"
Set WshNetwork = CreateObject("WScript.Network")
PrinterPath = "\\SRVDOMpruebas\hpbusiness"
PrinterDriver = "HP BUSINESS injeck 1000"
WshNetwork.AddWindowsPrinterConnection PrinterPath, PrinterDriver
WshNetwork.SetDefaultPrinter "\\SRVDOMpruebas\hpbusiness"

Una unidad mapeada como Z que apunta al recurso ‘compartido’ y una impresora instalada en SRVDOMpruebas denominada hpbusiness, que ademas se establecía como predeterminada.

Bien, ahora esto podemos hacerlo con una GPP , es decir, Group Policy Preferences o Preferencias de Directiva de Grupo.

Crear una GPP es como crear una GPO, abrimos la consola de Administración de Directivas y vamos con el ejemplo.

  1. Seleccionamos Objetos de Directiva de Grupo, clic derecho y NUEVA, le damos un nombre descriptivo y dejamos el origen como sale.
    newGPOPreferences00newGPOPreferences01
  2. Clic derecho en la nueva directiva y Editar.
    newGPOPreferences02
  3. Unidad de red:
    1. En el editor escogemos la ruta, Configuración de Usuario|Preferencias|Configuración de Windows|Unidades de red, clic derecho, Nueva Unidad y seguimos el asistente.
      newGPOPreferences03
    2. El valor de Acción es lo más importante, cuatro posibilidades:
      1. Crear. La preferencia se configurará si la configuración no existe, por el contrario si ya existe, no se realizará ninguna acción.
      2. Reemplazar. Se elimina y se recrea de nuevo la configuración.
      3. Actualizar. La más poderosa, con ella lo hacemos todo, lo crea si no existe y si existe la actualiza.
      4. Eliminar. Se quita la configuración.
      newGPOPreferences05newGPOPreferences04
    3. Realizada la configuración como queda en la imagen, seguimos con el siguiente paso, configurar a qué usuarios les afectará la preferencia. (En este caso, esta es una de las dos configuraciones que residirán en la misma GPO que se enlazará a los usuarios de una OU, la otra es la impresora.) Para elegir los destinatarios de la OU receptora que pertenecerán al grupo ‘pruebas’.
      1. Pestaña ‘Comunes’.
        newGPOPreferences06
      2. Marcar la casilla ‘Destinatarios de nivel de elemento’.
      3. Pulsar el botón ‘Destinatarios’.
    4. Aquí tenemos el Editor de Destinatarios, vamos a individualizar, en este caso usuarios pero podríamos hacerlo con equipos también.
      1. En este caso los destinatarios son los usuarios del grupo pruebas, Nuevo elemento, grupo de seguridad.
        newGPOPreferences07
        newGPOPreferences08
      2. Pulsamos en el botón y elegimos el grupo.
        newGPOPreferences09
      3. Aceptar para finalizar la configuración.

Aquí ya tenemos la UNIDAD DE RED en Z:\, equivalente a la primera parte del script de ejemplo.

Para añadir la impresora realizaremos los mismos pasos, pero esta vez elegiremos Impresora compartida.

newGPOPreferences10 newGPOPreferences11

Y también escogeremos los destinatarios, en este caso por rango de IP.

 newGPOPreferences12

Juansa©2011

Directivas: Tareas administrativas 01

Antes de administrar Directivas debemos tener instaladas las herramientas, en Windows Server 2008 R2 lo están por defecto en los controladores de dominio, pero en otros sistemas deben instalarse manualmente.

Windows Server 2008 R2

Iniciamos sesión en el equipo.

Administrador del servidor, de las herramientas administrativas.

Accedemos al nodo de Características del árbol izquierdo.

Pinchamos en Agregar características del panel derecho.

Bajamos en la lista ofrecida hasta Administración de directivas y marcamos la casilla de verificación. Siguiente.

Aceptamos la selección y pinchamos en instalar.

Al finalizar la instalación cerramos la mmc.

Windows 7

Para administrar las directivas de grupo del dominio desde un Windows 7 debemos descargar e instalar como administrador las RSAT o Remote Server Administration Tools para Windows 7. Una vez lo tenemos instalado:

Iniciamos sesión en el equipo

Abrimos el Panel de Control

Programas, pinchamos en Activa o desactiva las características de Windows

Buscamos en la lista: Herramientas de administración remota del servidor y lo expandimos

Herramientas de administración de características, marcamos la casilla de Herramientas de administración de Directivas de Grupo

Aceptamos

Una vez completado cerramos el Panel de control.

RSATonW7

Ahora ya tenemos la característica accesible desde Herramientas Administrativas. (esto también instala el módulo para powershell)

RSATonW702

Administración de Directivas de Grupo con PowerShell

Sea desde Windows 7 o desde Windows Server 2008 R2 con las herramientas de Directiva de Grupo instaladas, podemos aprovechar diversos cmdlets de PowerShell para administrar Directivas de Grupo.

Abrimos PowerShell como administrador,

powershell01

Una vez en la ventana, Import –module grouppolicy Intro

powershell02

Ahora si escribimos Get-command *GP* –commandtype cmdlet obtenemos hasta 25 diferentes cmdlets de Directiva de Grupo

powershell03

Para obtener ayuda sobre uno específico, Get –help get-gporeport por ejemplo.

powershell04

Para obtener ejemplos, añadimos –example a la instrucción de solicitud de ayuda, por ejemplo Get –help get-gporeportexample

powershell05

 

Herramientas para Directivas (w2008R2)

Microsoft proporciona diversas herramientas para que podamos crear y administrar directivas locales o de dominio. La versión del sistema determina la funcionalidad que se ofrece a los administradores en su uso. Por ejemplo: si creamos una directiva con la consola de 2008/2008 R2, la carpeta de Directivas utiliza las nuevas plantillas ADMX/ADML, mientras que en XP/2003 se carga la plantilla ADM original en la carpeta de Directivas.

Repasemos las herramientas:

  • GPMC, La consola de administración de directivas de grupo.

gpmcgpmc02

La más funcional y útil de las herramientas de que disponemos para la creación y administración de las Directivas de Grupo en AD. Fue introducida después de la versión 2003; la funcionalidad incluída en los diferentes SO produce distintas opciones y resultados al crear y administrar las Directivas de Grupo.

Es un elemento de la MMC, que podemos añadir a cualquier consola personalizada. Con la proporcionada con Windows Server 2008 R2 podemos:

    • Habilitar las GPO de inicio, y crearne de nuevas.
    • Crear nuevas directivas de grupo de dominio
    • Crear nuevas directivas de grupo usando las GPO de inicio como plantillas
    • Crear y configurar vínculos de directivas a Sites, Dominios y Unidades Organizativas.
    • Ver y administrar Directivas de Grupo en dominios en el bosque AD local y de confianza.
    • Realizar copia de seguridad y restaurar una o todas las directivas en un dominio
    • Realizar copia de seguridad y restaurar una o todas las GPO de inicio en un dominio
    • Importar directivas de grupo desde dominios externos y migrar configuraciones de seguridad usando tablas de migración para asegurar una importación correcta.
    • Administrar Exigido en vínculos de directiva, y habilitar/deshabilitarlos.
    • Configurar la herencia en Sites, dominios y UOs.
    • Administrar el estado de las directivas para controlar que nodos de la directiva están habilitados/deshabilitados.
    • Crear y vincular filtros WMI para Directivas de Grupo
    • Administrar el filtrado de seguridad de Directivas de Grupo
    • Administrar la delegación y administración de seguridad
    • Administrar el orden de procesamiento en contenedores con múltiples vínculos de directiva
    • Ver todos los valores configurados de las directivas de grupo existentes y la info adicional, revisión, filtrado, delegación, y crear informes de exportación de la configuración.
    • Generar informes en HTML como resumen de configuraciones y ajustes.
    • Ejecutar el modelado de directivas para ver  cómo se aplicarán a usuarios y/o equipos en contenedores específicos.
    • Ejecutar el conjunto de resultados y ver cómo se han aplicado a usuarios y/o equipos específicos.

  • GPOE, Editor de objetos de Directiva de Grupo.

gpoegpoe02

El editor de objetos de directiva de grupo es la herramienta que utilizamos para editar las directivas de usuario y equipo locales. Cada servidor y equipo tiene una directiva de seguridad local predeterminada. A esta directiva se accede mediante el acceso directo al elemento de la MMC de directiva local de seguridad desde Herramientas administrativas. Ahora que Vista, w7, 2008 y 2008 R2 son compatibles con múltiples directivas de grupo, el editor se utiliza para administrar o crear cualquier directiva de grupo local, aparte de la predeterminada.

El editor nos sirve para ver la configuración de seguridad, los paquetes de instalación de sfotware, directivas restrictivas, scripts de usuarios y equipos y otras.

  • GPME Editor de administración de directivas de grupo.

GPMEGPME02

Para administrar directivas de grupo, se usa este editor con la misma funcionalidad que el anterior (GPOE), y alguna otra añadida. Una de las diferencias es que se incluye no sólo el nodo de valores de directiva sino que también incluye el nodo de valores de preferencia sólo accesible en dominios. Este editor se instala en Vista y W7 descargando las herramientas RSAT del service pack concreto del SO. En Windows Server 2008 y 2008 R2 se instala desde Añadir características desde Administrar el Servidor.

  • Editor de GPO de inicio.

GPO Editor

El editor de directivas de inicio se usa para editar las GPO de inicio creadas por los administradores. Esta consola sólo muestra los nodos de las plantillas administrativas bajo las secciones de Configuración de usuario y Configuración de equipo de una GPO de inicio. De forma predeterminada, los valores disponibles en las secciones de las plantillas administrativas son aquéllas que pueden establecerse en una GPO de inicio. Se incluye en las Herramientas de administración remota de servidor, RSAT.

  • Consola de impresión.

PrintManagementConsolePrintManagementConsole02

Se introdució por primera vez en Windows Server 2003 R2, la consola de impresión se usa para la gestión y administración de impresoras de impresoras en AD, equipos y servidores locales.Podemos ver las configuraciones, configurar controladores y sus opciones, y administrar los trabajos en un equipo particular o en el entorno de AD. También nos sirve para el despliegue de impresoras para equipos y/o usuarios usanto el nodo de despliegue y que es una función que extiende la funcionalidad de las Directivas de Grupo permitiéndonos el despliegue de impresoras a conjuntos predeterminados de usuarios y/o equipos a los qué está vinculada la directiva.

  • gpupdate.exe

Es una herramienta para el símbolo de sistema que nos ayuda en la resolución de problemas de procesamiento de las Directivas y de su inicio bajo demanda. Ciertas secciones de las directivas sólo se aplicarán en el inicio de un equipo o de sesión del usuario, mientras que otras se aplicarán durante los intervalos que están programados para refrescarse. Para las configuraciones que se aplican durante el arranque del equipo o los intervalos de inicio de sesión, si la conectividad de red con los DC no está disponible en ese momento los valores no se aplicarán. Así como los equipos remotos o equipos móviles, los sistemas que están hibernados o en suspensión y aquéllos usuarios que han iniciado sesión con las credenciales cacheadas.

La herramienta pues, nos ofrece la capacidad de aplicar las directivas a equipos y usuarios de inmediato. Un uso bastante extendido es añadir gpupdate.exe al script de conexión de VPN para permitir que los valores se apliquen a equipos remotos que pertenecen a la infraestructura de AD. Algunas opciones:

gpupdate.exe /Target:{equipo|usuario} Esto permite que sólo se procese el nodo específicado de la Directiva.

gpupdate.exe /Force Esto reaplica los valores de la Directiva. No reinicia el equipo o cierra sesión de los usuarios automáticamente.

gpupdate.exe /Wait Tiempo definido para el proceso completo de la directiva, de 600 segundos a 10 minutos.

gpupdate.exe /LogOff Cierra sesión del usuario después del proceso completo de la directiva.

gpupdate.exe /Boot Reinicia el equipo después del proceso completo de la directiva.

gpupdate.exe /Sync Procesa los valores que normalmente sólo lo hacen durante el arranque del equipo o el inicio de sesión del usuario. Se requieren privilegios para reiniciar el sistema o cerrar la sesión de usuario.

  • powershell

Esto requiere un estudio más profundo, pero que sepamos que MS ha introducido unos 25 cmdlets para Directivas de Grupo, que nos permiten llevar a cabo diferentes funciones desde powershell, tales como:

> Crear Directivas y Directivas de inicio.

> Crear nuevos vínculos a Directivas.

> Restaurar e importar Directivas.

> Eliminar Directivas y vínculos de directivas.

> Leer y/o establecer propiedades de una UO para que herede o bloquee las Directivas del contenedor padre.

> Renombrar Directivas.

> Crear informes de valores y configuraciones de Directiva.

> Generar informe de RSoP.

> Establecer permisos de administración de Directiva y su delegación.

> Establecer los valores y su preferencia que se almacena en el Registro.

Quizás lo importante en cuanto a powershell es saber que para que administremos o realicemos informes de cualquier Directiva, debemos conocer el GUID de la misma o el nombre exacto, y que aún hay cosas que no se pueden hacer desde powershell.

  • Microsoft Desktop Optimización Pack

Contiene diversas herramientas y características extra, pero sólo está disponible para Software Assurance.

  • Migrar plantillas ADM al nuevo formato ADMX

Desde sistemas anteriores a Windows Server 2008, es una herramienta que puede descargarse desde http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=15058

  • GPLogView

http://blogs.technet.com/b/grouppolicy/archive/2007/02/08/gplogview.aspx

Monitorizar o generar informes en texto, xml y html.

  • El todo registro del Visor de sucesos.

En Windows 7 y 2008 R2 se añaden multitud de eventos respecto a las Directivas.

 

R2 y las GPO -IV

Venimos de R2 y las GPO –III. Elementos de Directiva de Grupo.

GPO de inicio

La consola de administración de Directivas de grupo en Windows Server 2008 y 2008 R2 nos porporcionan una nueva característica de administración de directivas denominada GPO de inicio. GPO de inicio es parecido a las GPO corrientes, pero éstas sólo contienen configuraciones disponibles desde plantillas administrativas. Tal como podemos utilizar las plantillas de seguridad para importar y exportar los valores configurados dentro de la sección de seguridad de una directiva, las GPO de inicio pueden usarse para el relleno previo de valores configurados en las secciones de plantillas administrativas de la Configuración de Equipo y Configuración de Usuario dentro de una directiva. Después de Windows Server 2008 e incluído en 2008 R2, Microsoft liberó un conjunto de GPOs de inicio predefinidas para Windows Vista y Windows XP. Los valores predefinidos en estas GPO de inicio están basadas en información que puede hallarse en la guía de seguridad de Windows XP y Windows client publicada por Microsoft. Estas GPO de inicio particulares son directivas de sólo-lectura, pero los administradores pueden crear sus propias GPO de inicio según sus necesidades.

starterGPO

Valores de directiva

Los valores de directiva son simplemente las opciones configurables disponibles dentro de una directiva en particular. Estos valores se porporcionan desde las plantillas administrativas básicas, valores de seguridad, scripts, directivas basadas en QOS, y, en algunos casos, paquetes de despliegue de software. Muchos valores corresponden uno a uno con un valor y clave de Registro concreta. Dependieno de los valores en particular, distintos valores, incluído texto libre, pueden ser considerados como valores aceptables.

Los valores de directiva de grupo son normalmente configurables con uno de tres: No configurada, Habilitada y Deshabilitada. Es muy importante que los administradores entendamos no sólo la diferencia entre estos tres valores sino entender también lo que particularmente controla el valor de la directiva.

Los valores de Directiva de grupo se aplican tanto a un equipo como a un usuario. Dentro de una directiva en particular, un administrador puede hallar el mismo valor de directiva tanto en la Configuración de Equipo como en la Configuración de Usuario. En casos como este, si el valor de la directiva está configurada para ambos, el valor para el equipo sobrescribirá el del usuario si la directiva está enlazada al usuario en el equipo donde éste ha iniciado sesión.

Valores preferentes

Las directivas de grupo tienen dos nodos de valores principales, incluyendo los nodos de Equipo y Usuario. Cada uno de estos contiene dos nodos principales también, valores de directiva y valores preferentes. Las extensiones de la directiva mostrados en el nodo de preferentes proporcionan a los administradores la posibilidad de configurar muchos valores predefinidos o iniciales, y de entorno para usuarios y equipos. Una de las características más gratas de los preferentes de la directiva es la focalización a nivel de elemento, que sólo se aplica a cierta preferencia, como programar el botón de encendido, para que cierre sesión o apague el equipo, a sólo un grupo definido de usuarios o grupos dentro de la definición a nivel de elemento de la directiva. Cuando un usuario inicie sesión en un equipo y tenga aplicada esta preferencia se convertirá en el valor inicial, aunque los usuarios podrán cambiarla si así lo quieren. Una distinción importante que todos los administradores debemos hacer es qué directivas establecer y cuales valores obligar, mientras que las preferencias configuran valores iniciales y no los bloquean ante cambios.

Vínculos a objetos de Directiva de Grupo

Los vínculos de Directiva de Grupo son clave del despliegue de Directivas a un conjunto predeterminado de equipos y/o usuarios de AD. Los vínculos de directiva definen donde se aplicarán la directiva o directivas particulares, en la forma diseñada jerárquicamente de Sitios y Dominio de AD.

Las directivas pueden vincularse a Sitios, Dominios y OU’s. A su vez, una directiva única puede ser vinculada a múltiples Sitios, Dominios y OU’s en un bosque único. Esto nos permite tener flexibilidad para crear una directiva única y aplicarla a varios conjuntos diferentes de equipos y usuarios dentro del bosque de AD.

El diseño de la infraestructura de AD, Sitios, Dominios y jerarquía de OU’s, es crítica para la aplicación racional de las Directivas. Debe tenerse en cuenta una planificación cuidadosa y considerada, durante la fase de diseño del AD, con respecto a cómo se usarán las Directivas de Grupo y cómo se organizarán los objetos de usuario, grupos y equipos.

Los vínculos de Directivas pueden deshabilitarse cuando sea necesario, y ayudar a la resolución de problemas de aplicación y proceso de Directivas.

Exigir vínculos de Directiva

MS nos proporciona diversas formas para administrar su infraestructura, incluyendo configuraciones que obligan de arriba a abajo. El obligar al cumplimiento de una Directiva, lo que se conocía como ‘no anular’, es una opción de un vínculo de directiva que puede establecerse para asegurarnos que sus valores se aplicarán y mantendrán a pesar de si otra Directiva con la misma configuración y distintos valores está vinculada.

exigido

Esta función debe usarse con precaución ya que podría resultar en un funcionamiento no deseado o que el nivel de seguridad que necesita la ejecución de una aplicación o servicio se viese alterado. Antes de habilitar la obligación de cumplimiento de cualquier directiva sería deseable haberlo probado y asegurarnos que no romperá ninguna funcionalidad ni alterará políticas de regulación.

Herencia de Directivas de Grupo

Las directivas se pueden vincular al Sitio, Dominio, y múltiples niveles de OU. Cuando AD contiene Directivas vinculadas a nivel de dominio, cada OU que cuelgue del contenedor raíz del dominio heredará cualquier directiva vinculada a éste. Por ejemplo:

Tenemos dos Directivas vinculadas a nivel de dominio, la predefinida y una que he llamado restricción total, si observamos la OU predefinida de Controladores de dominio se ve:

herencia

Pero, y una OU creada aparte y denominada pruebas?:

herencia2

también hereda dichas directivas.

La herencia de Directivas nos permite establecer una directiva base común a través de la infraestructura de AD, mientras podemos permitir a otros administradores aplicar de forma más granular otras directivas a más bajo nivel que se aplicarán a subconjuntos de usuarios y equipos.

Las directivas heredadas se procesan antes que las vinculadas al contenedor mismo y el último valor de directiva aplicada es el valor resultante, si hay múltiples directivas con el mismo valor configurado y contienen distintos valores, el último será el aplicado. Esto se conoce como precedencia de Directivas, y que en las imágenes anteriores vemos como se encuentran numeradas.

Impedir la herencia de directivas

Sabemos que las directivas pueden heredarse, pero AD nos proporciona también la forma de impedir esa herencia de contenedores padres a contenedores hijos. Esto es, actualmente, una opción que se aplica a nivel de dominio o UO desde la consola de administración y NO sobre una Directiva.

Dicha opción nos puede ser útil si el contenedor contiene usuarios y/o equipos que son especialmentes sensibles a la seguridad o críticos.

bloqueoherencia

Orden de proceso de las Directivas

Las Directivas de grupo pueden vincularse en muchos niveles diferentes y en muchas infraestructuras de AD, múltiples directivas se vinculan en la misma OU o al mismo nivel de dominio. Esto es muy común y además se basa en una recomendación de buenas prácticas. Como las directivas se procesan UNA cada vez, las directivas vinculadas se procesan en un orden particular, comenzando por las Heredadas desde contenedores padre y seguidas por el orden de las vinculadas al contenedor. El impacto resultante de este orden de proceso es cuando múltiples directivas contienen el mismo valor configurado, la última directiva en aplicarse proporciona el valor resultante de configuración. Disponemos de la herramienta Resultant Set of Policy que nos proporciona una consola que muestra las configuraciones finales aplicadas de directiva, también se puede ejecutar el Modelado de directivas de grupo, ambos desde la consola de administración de directivas GPMC.

modeladodirectivas

Ya veremos como usar ambas herramientas.

Filtrado de directivas

La aplicación de Directivas puede ser difícil y el diseño del bosque, los dominios, los sitios y la jerarquía de OUs en Active Directory juega la mayor parte en esto. Una de las más importantes consideraciones cuando diseñamos la jerarquía de OUs dentro de un dominio es entender cómo los administradores del dominio piensan administrar los equipos y usuarios del dominio con Directivas.

En muchos casos, aún con el mayor cuidado en el planeamiento de la infraestructura de AD, las Directivas se aplicarán a equipos y/o usuarios que no necesariamente requieren los valores que contienen estas. Para conocer mejor a qué equipos y usuarios en particular se aplica una directiva, Microsoft ha construido diferentes mecanismos para ayudar a filtrar, o que sólo incluya los objetos necesarios para asegurar que sólo aquéllos equipos o usuarios deseados se les aplique la directiva. Los mecanismos que controlan o filtran el cómo se aplicará una directiva son:

  • Filtrado de seguridad de Directiva
  • Filtrado WMI de Directiva
  • Estado de Directiva para los nodos de configuración de usuario y configuración de equipo.

Filtrado de seguridad

El filtrado de seguridad de Directiva es el GRUPO en la Directiva de Grupo. Muchos administradores se sienten frustrados cuando se explica el hecho de que la Directiva de Grupo se aplica a usuarios y equipos y NO a Grupos. De hecho, el filtrado de seguridad es donde los administradores pueden definir que usuarios, equipos, o miembros de los grupos de seguridad se les aplicará la Directiva de Grupo.

De manera predeterminada, las Directivas se aplican al grupo de Usuarios autenticados, que incluye todos los usuarios y equipos del dominio. El ámbito de aplicación de la directiva es segmentada según la ubicación de los vínculos de Directiva. Puede segmentarse aún más eliminando el grupo de usuarios autenticados del filtrado de seguridad de directiva, reemplazándolo por un grupo de seguridad personalizado.

filtrado01filtrado02

Cuando el filtrado de seguridad de una Directiva se configura para aplicarse a un grupo de seguridad personalizado, sólo los miembros de dicho grupo, sean usuarios, otros grupos u equipos, se les aplicará esta directiva particular. Por último y no menos importante, hay que mantener siempre la pertenencia al grupo actualizada, de otra fomra la aplicación de la directiva puede ser incorrecta o incompleta.

Filtrado WMI

El filtrado de Directivas WMI es un concepto de directiva introducido en Windows XP y Windows Server 2003. Un filtro WMI es una consulta que se procesa sólo por equipos y puede usarse para incluir o excluir equipos en particular de la aplicación de la directiva que contiene el filtro. Por ejemplo, un filtro WMI puede consultar aquéllos equipos con un sistema operativo versión 6.1 (Windows 7 y 2008R2). Por supuesto, es importante señalar que los filtros WMI no los procesarán Windows 2000 o sistemas antiguos. El filtrado de seguridad debe también reunir los criterios de la Directiva para ser procesada. Los filtros WMI trabajan bien cuando la jerarquía de AD es relativamente lineal, pero mantener pertenencias de equipos a grupos puede ser tedioso.

Estado de Directiva

Seguramente ya se ha mencionado alguna vez, las Directivas se aplican a equipos y usuarios. Dentro de una directiva particular, la configuración disponible está segmentada en dos nodos distintos, Configuración de Equipo y Configuración de Usuario.

Configurar o cambiar el estado de una Directiva significa la posibilidad de escoger entre cuatro posibilidades:

gpostatus

Esta función de la directiva puede ser muy útil para resolver problemas así como optimizar el procesado de las mismas.

Bucle invertido en proceso de directiva

El proceso en bucle invertido de una directiva permite el procesado de ambos nodos, de equipo y usuario, dentro de una directiva aún cuando el usuario no se encuentre dentro del mismo contenedor que el equipo al que se vincula la directiva.

R2 y las GPO–II-

Directivas de grupo Locales

Dos son los tipos de directivas aplicables alos sistemas Windows y a las cuentas de usuario de estos sistemas: las Locales y las de Active Directory. Las Directivas Locales existen en todos los Windows, pero las de Active Directory sólo están disponibles en un bosque de AD. Hasta Windows Vista y Windows Server 2008, los servidores y estaciones de trabajo podían contener y aplicar sólo una única directiva local de equipo y usuario. Esta directiva contiene los valores que pueden aplicarse al equipo local y a los objetos usuario para el control de la seguridad y la configuración.

En muchos entornos, debido a los requerimientos de aplicaciones de negocio o antiguas, los usuarios finales tenían asignado con demasiada frecuencia la pertenencia al grupo de administradores locales en las estaciones de trabajo y por ello esencialmente excluídos de la aplicación de muchos valores de seguridad aplicadas tanto por la directiva local como por la directiva de grupo. Los usuarios finales con esta pertenencia tenían la capacidad de sobreescribir valores y realizar cambios en la configuración que podían comprometer la seguridad, o con mayor frecuencia, reducir la fiabilidad del sistema.

Comenzando con Windows Vista y Windows Server 2008, los administradores ahora disponen de la capacidad de crear múltiples directivas de grupo local. Una de las nuevas características es que pueden crearse directivas de grupo de usuario específicas para todos los usuarios, para usuarios no administradores y para usuarios que pertenecen al grupo de administradores local, en los equipos. Esta nueva característica es especialmente atractiva para configuraciones en equipos en Grupos de Trabajo o de forma independiente para incrementar la seguridad y fiabilidad del equipo. En configuraciones de Dominio, las directivas de seguridad de equipo se especifican normalmente utrilizando Directivas de Grupo y se aplican a los equipos del AD.

Directiva de equipo local

La directiva local de equipo predeterminada contiene valores de directiva listos para usar, disponibles para configurar el equipo y el entorno de usuario. Esta directiva será la primera en aplicarse, tanto para el equipo como para los objetos de usuario que inicien sesión en el equipo en Grupo de Trabajo o Dominio.

localpolicycomputer01

Directivas de usuario local para Administradores y NO-administradores

Desde Windows Vista y Windows Server 2008, y siguiendo con Windows 7 y Windows Server 2008 R2, los administradores disponen ahora de la opción de crear múltiples directivas de grupo de usuario local en un único equipo. En versiones anteriores, la única directiva de equipo local permitía a los administradores aplicar la configuración de la única directiva a todos los usuarios con sesión iniciada en un equipo parte de un Grupo de trabajo. Ahora, los equipos en Grupo de trabajo y en dominio pueden tener directivas adicionales aplicadas a usuarios locales específicos. Así como que las directivas pueden aplicarse a administradores o no-administradores locales. Esto permite al administrador del equipo a dejar la sección de usuario de la directiva de equipo local predeterminada en blanco, y crear una directiva más restrictiva para usuarios locales y una menos restrictiva para los miembros del grupo de administradores del equipo local.

Plantillas de seguridad

Dentro de cada directiva de equipo local y dentro del nodo de Configuración de Equipo se encuentra la sección Configuración de Seguridad.

localpolicycomputer02

Esta sección incluye configuraciones para Directiva de auditoría, Directiva de cuentas y Asignación de derechos de usuario. Esta sección de la directiva es única porque puede importarse y exportarse de forma individual. En versiones anteriores de Windows se proporcionaban diversas plantillas de seguridad listas para su uso para dar al administrador la capacidad de carga rápida de un conjunto de valores de configuración de seguridad recomendadas. Estas plantillas incluían plantillas de equipo y de servidor básicas junto a otras de alta seguridad, de seguridad compatible y de seguridad para Controladores de Dominio.

Para administrar y aplicar un conjunto estándar de configuraciones de seguridad a sistemas en Grupo de trabajo o independientes, los administradores pueden aprovechar las funciones de administración de las plantillas de seguridad. Ya sea utilizando el Editor de Objetos de Directiva de grupo, el editor de directiva de seguridad local, o el elemento de MMC Configuración y Análisis de seguridad, los administradores pueden importar una plantilla base, configurar o ajustar los valores que reunan lo deseado y, exportarlo o guardarlo en un archivo de plantilla personalizada. Esta plantilla personalizada podría aplicarse o importarse a todos los sistemas deseados mediante las herramientas comentadas.

* Editor de Objetos de Directiva

localpolicycomputer05localpolicycomputer06

*Editor de directiva de seguridad local

localpolicycomputer03localpolicycomputer04

*Configuración y Análisis desde MMC

localpolicycomputer07localpolicycomputer08localpolicycomputer09

Las plantillas de seguridad existen para Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2, y se encuentran ubicadas en %systemroot%\inf. Todas las plantillas predeterminadas comienzan por el nombre deflt y acaban por la extensión .inf. En R2 tenemos por ejemplo defltbase.inf. Estos archivos se pueden usar para configurar lós valores de seguridad de los sistemas a un estándar de configuración de seguridad.

AVISO: La importación de plantillas de seguridad a servidores y equipos ya implantados puede causar errores graves, como la perdida de iniciar sesión, acceder desde la red, etc… Toda importación debe probarse antes en un entorno de pruebas aislado para asegurarse de su correcto funcionamiento.

Administración de usuarios con Seguridad Local y Directivas de Grupo: Nueva directiva de grupo

Crear una nueva Directiva de Grupo

Cuando se necesitan realizar o probar cambios usando directivas de grupo, un administrador debería dejar el entorno de producción intocable y crear las directivas de prueba en un entorno de pruebas. Esto a veces no es posible, pero habrá que plantearselo siempre, lo de tener un entorno para realizar pruebas y que hoy en día con la virtualización no es tan imposible. Pero lo que sí es posible es probar las directivas con unidades organizativas aisladas dentro del dominio. Si el caso es que las pruebas van a afectar a directivas de dominio o site, es interesante tal vez modificar el filtro de seguridad y aplicar estas directivas o pruebas sólo a un conjunto de usuarios o grupos de test específicos.

Usando la Consola de administración, GPMC, podemos también crear, configurar y abrir directivas de sitio, dominio y OUs para su edición.

En algunos casos, será necesario impedir que una GPO se aplica a un usuario o equipo. Es decir, puede haber una GPO que se aplique a todos los miembros de un departamento, pero es necesario hacer una única excepción de la regla. Más que crear una OU específica para aplicar la GPO podemos usar el filtrado de seguridad para  permitir o denegar que dicho objeto se aplique.

Veamos como crear una directiva basada en dominio y configurar su filtrado para que se aplique a un único usuario:

  1. Abrimos el Administrador del servidor en un Controlador de Dominio.
  2. Expandimos Características.
  3. Expandimos la Consola de Administración de Directivas de Grupo.
  4. Expandimos el bosque.
  5. Expandimos Dominios.
  6. Seleccionamos el dominio específico.
  7. Clic derecho y seleccionamos Crear un GPO en este dominio y víncularlo aquí.
    creagpo01
  8. Escribimos un nombre descriptivo, dejamos el cuadro de GPO de inicio de origen en Ninguno, y pulsamos en Aceptar para crear la directiva.
    creagpo02
  9. La directiva se mostrará en el panel derecho. Clic derecho sobre ella y seleccionamos Editar para lanzar el editor de directivas.
    creagpo03
    creagpo04
    creagpo05
  10. Clic derecho sobre el editor y seleccionamos propiedades.
    creagpo06
  11. Seleccionamos la pestaña Seguridad y remarcamos la entrada de Usuarios Autenticados.
    creagpo07
  12. En la sección de Permisos, bajamos y desmarcamos el Permitir de Aplica directiva. Esto significa que no tendrá efecto en ningún usuario del equipo.
    creagpo08
  13. Seleccionamos cada entrada en la lista de control de acceso y comprobamos que no existen grupos a los que se le aplique la directiva.
  14. Clic en Agregar y escribimos el nombre de un usuario o grupo. Para encontrar una lista de usuarios o grupos dentro del dominio actual, le damos al botón Avanzado, y en la ventana de búsqueda al botón Buscar ahora para mostrar una lista completa. Navegamos por la lista y seleccionamos los usuarios o grupos deseados, y le damos al Aceptar.
    creagpo09
    creagpo10
    creagpo11
  15. Aceptar para añadir las entradas en la directiva.
    creagpo12
  16. De vuelta a la ventana de Seguridad, seleccionamos la respectiva entrada y marcamos el cuadro para permitir la aplicación de la directiva. Esto significa que la GPO afectará a los miembros de ese grupo, que puede incluir usuarios y equipos. Aceptar cuando acabamos.
    creagpo13
  17. Cerramos el editor.