Administración de usuarios con Seguridad Local y Directivas de Grupo: Nueva directiva de grupo

Crear una nueva Directiva de Grupo

Cuando se necesitan realizar o probar cambios usando directivas de grupo, un administrador debería dejar el entorno de producción intocable y crear las directivas de prueba en un entorno de pruebas. Esto a veces no es posible, pero habrá que plantearselo siempre, lo de tener un entorno para realizar pruebas y que hoy en día con la virtualización no es tan imposible. Pero lo que sí es posible es probar las directivas con unidades organizativas aisladas dentro del dominio. Si el caso es que las pruebas van a afectar a directivas de dominio o site, es interesante tal vez modificar el filtro de seguridad y aplicar estas directivas o pruebas sólo a un conjunto de usuarios o grupos de test específicos.

Usando la Consola de administración, GPMC, podemos también crear, configurar y abrir directivas de sitio, dominio y OUs para su edición.

En algunos casos, será necesario impedir que una GPO se aplica a un usuario o equipo. Es decir, puede haber una GPO que se aplique a todos los miembros de un departamento, pero es necesario hacer una única excepción de la regla. Más que crear una OU específica para aplicar la GPO podemos usar el filtrado de seguridad para  permitir o denegar que dicho objeto se aplique.

Veamos como crear una directiva basada en dominio y configurar su filtrado para que se aplique a un único usuario:

  1. Abrimos el Administrador del servidor en un Controlador de Dominio.
  2. Expandimos Características.
  3. Expandimos la Consola de Administración de Directivas de Grupo.
  4. Expandimos el bosque.
  5. Expandimos Dominios.
  6. Seleccionamos el dominio específico.
  7. Clic derecho y seleccionamos Crear un GPO en este dominio y víncularlo aquí.
    creagpo01
  8. Escribimos un nombre descriptivo, dejamos el cuadro de GPO de inicio de origen en Ninguno, y pulsamos en Aceptar para crear la directiva.
    creagpo02
  9. La directiva se mostrará en el panel derecho. Clic derecho sobre ella y seleccionamos Editar para lanzar el editor de directivas.
    creagpo03
    creagpo04
    creagpo05
  10. Clic derecho sobre el editor y seleccionamos propiedades.
    creagpo06
  11. Seleccionamos la pestaña Seguridad y remarcamos la entrada de Usuarios Autenticados.
    creagpo07
  12. En la sección de Permisos, bajamos y desmarcamos el Permitir de Aplica directiva. Esto significa que no tendrá efecto en ningún usuario del equipo.
    creagpo08
  13. Seleccionamos cada entrada en la lista de control de acceso y comprobamos que no existen grupos a los que se le aplique la directiva.
  14. Clic en Agregar y escribimos el nombre de un usuario o grupo. Para encontrar una lista de usuarios o grupos dentro del dominio actual, le damos al botón Avanzado, y en la ventana de búsqueda al botón Buscar ahora para mostrar una lista completa. Navegamos por la lista y seleccionamos los usuarios o grupos deseados, y le damos al Aceptar.
    creagpo09
    creagpo10
    creagpo11
  15. Aceptar para añadir las entradas en la directiva.
    creagpo12
  16. De vuelta a la ventana de Seguridad, seleccionamos la respectiva entrada y marcamos el cuadro para permitir la aplicación de la directiva. Esto significa que la GPO afectará a los miembros de ese grupo, que puede incluir usuarios y equipos. Aceptar cuando acabamos.
    creagpo13
  17. Cerramos el editor.