Seguimos configurando la directiva II

Seguimos desde http://blogs.msmvps.com/juansa/2011/04/14/administracin-de-usuarios-con-seguridad-local-y-directivas-de-grupo-configurar-la-directiva/

Las directivas y el inicio de sesión

Es importante que las directivas estén en el lugar correcto para evitar inicios de sesión lentos.  En cada nivel de una estructura de UOs donde se vincula la directiva, la descarga y aplicación de las directivas en ese nivel puede retardar entre 15 a 30 segundos el inicio de sesión. Esto es debido a que la directiva en un nivel particular de UO se evalúa una vez, lo que toma unos segundos. El proceso se repite por cada nivel de OU donde hay directivas, y este tiempo de proceso puede amontonarse y provocar retrasos de inicio de sesión a los usuarios, que a su vez se quejan a los servicios de informática. Lo mismo es de aplicación al inicio del equipo cuando se aplican las directivas, aunque los usuarios no se percatan de esto tanto.

Las líneas básicas para reducir al máximo el impacto en el rendimiento de los inicios de sesión son:

  • Reducción del anidamiento de UOs. Si reducimos los niveles de anidamiento mejor es el rendimiento. Cómo máximo se aconseja anidar hasta tres niveles, si se necesitan más, evitar vincular Directivas en alguno de los niveles..
  • Reducción del número de directivas. Consolidar la configuración en pocas directivas, eso reduce el tiempo de proceso necesario. Una única directiva en el mismo nivel de UO rendirá mucho más rápido que si son 10.
  • Utilizar filtrado de seguridad. Si una directiva usa el filtrado de seguridad para que no se aplique a un usuario o equipo, los valores no necesitan leerse ni procesarse. Acelera el rendimiento de inicio del equipo o de sesión del usuario.
  • Deshabilitar configuración de equipos o usuarios en la directiva. Cada directiva se componet de una sección de usuario y una de equipo. Si no hay valores configurados en cualquiera de las mismas, esta puede deshabilitarse y será ignorada.

Impedir la herencia de directivas

Al bloquear la herencia lo que conseguimos es impedir su aplicación desde el nivel superior al inferior a equipos o usuarios dentro de un dominio o UO. Esta posibilidad nos puede resultar útil para optimizar la aplicación de directivas y proteger a cuentas de usuario o equipo concretas de la aplicación de valores a nivel superior.

El bloqueo lo podemos configurar desde:

  1. Administrador del servidor en un DC
  2. Características
  3. Consola de Administración de directivas de Grupo GPMC
  4. Bosque
  5. Dominios
  6. Dominio requerido
  7. Clic derecho en UO a la que queremos impedir la herencia, seleccionamos

 

blockheritance

La opción Exigido

La opción exigido impide el bloqueo de la herencia de directivas a bajo nivel. Se usaría en el caso de que una directiva deba aplicarse sobre objetos de AD en cada contenedor y subcontenedor con un vínculo o herencia de dicho objeto de directiva.

Clic derecho sobre la directiva a Exigir y seleccionar Exigido.

exigido