Directivas de Usuarios
La directiva de usuario es el nivel de directiva más bajo que se puede administrar. Cada usuario tiene un archivo de configuración de directiva individual. Los cambios que se hagan en este nivel de directiva sólo se aplican al usuario que ha iniciado la sesión actual. El nivel de directiva de usuario se restringe a lo que puede especificar.
Puesto que este nivel lo puede configurar el usuario que ha iniciado la sesión actual, los administradores del nivel de directiva de empresa deben ser conscientes de que el usuario puede alterar los cambios de directiva realizados en el nivel de directiva de usuario. El nivel de directiva de usuario no puede dar a un ensamblado más permisos que los especificados en los niveles de directiva superiores. Sin embargo, el nivel de directiva de usuario puede reducir los permisos, lo que podría ocasionar que las aplicaciones dejaran de funcionar correctamente. Si se aplica el atributo LevelFinal a un grupo de código en el nivel de equipo o de empresa, el nivel de usuario no puede endurecer las decisiones de directiva tomadas en esos niveles.
La administración del nivel de usuario es adecuada en algunas situaciones para endurecer la seguridad. Por ejemplo, un usuario puede decidir endurecer la directiva de seguridad para los ensamblados cuyo origen es la zona de la intranet local si allí se encuentra código que no es de confianza. Puede considerar la posibilidad de administrar la directiva en este nivel si es un usuario en una red corporativa y piensa que la configuración de la seguridad no es lo suficientemente estricta.
Son normas que regulan qué usuarios pueden utilizar un determinado recurso compartido del sistema, esto incluye archivos, carpetas, impresoras... Determinan las tareas del sistema que puede realizar un usuario o un miembro de un grupo con el sistema operativo Windows NT. Por ejemplo: iniciar sesión en local, acceder al equipo a través de la red....
Pasos a seguir para asignar derechos a un usuario o grupo de usuarios:
- Abrir el "Administrador de usuarios para dominios".
- En el menú "Directivas" seleccionamos la opción "Derechos de usuario..."
- En la ventana "Plan de derechos de usuario" seleccionaremos los distintos derechos de la lista desplegable "Derecho" y se los concederemos a los usuarios que hayamos determinado.
- Hacer clic en el botón "Aceptar".
Directivas de Grupo
Es una característica de Windows NT, familia de Sistemas Operativos.
Una directiva es un conjunto de reglas que controlan el medio ambiente de trabajo de cuentas de usuario y cuentas de equipo. Directiva de grupo proporciona la gestión centralizada y configuración de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory. En otras palabras, la Directiva de Grupo, en parte, controla lo que los usuarios pueden y no pueden hacer en un sistema informático. Aunque la Directiva de Grupo es más frecuente en el uso de entornos empresariales, es también común en las escuelas, las pequeñas empresas y otros tipos de organizaciones más pequeñas. Directiva de grupo a menudo se utiliza para restringir ciertas acciones que pueden presentar riesgos de seguridad potenciales, por ejemplo: Bloquear el acceso al Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.
Las Directivas de Grupo se procesan en el orden siguiente:
Una directiva es un conjunto de reglas que controlan el medio ambiente de trabajo de cuentas de usuario y cuentas de equipo. Directiva de grupo proporciona la gestión centralizada y configuración de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory. En otras palabras, la Directiva de Grupo, en parte, controla lo que los usuarios pueden y no pueden hacer en un sistema informático. Aunque la Directiva de Grupo es más frecuente en el uso de entornos empresariales, es también común en las escuelas, las pequeñas empresas y otros tipos de organizaciones más pequeñas. Directiva de grupo a menudo se utiliza para restringir ciertas acciones que pueden presentar riesgos de seguridad potenciales, por ejemplo: Bloquear el acceso al Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.
Las Directivas de Grupo se procesan en el orden siguiente:
- Objetos Local Group Policy (objeto de Directiva de grupo local único. ) - Se aplica a los ajustes en la política local el equipo (acceso ejecutando gpedit.msc). Anteriores a Windows Vista, sólo había una política de grupo local almacenado por computadora. En la actualidad hay grupo de pólizas individuales ajustables por cuenta de una máquina de Windows Vista y 7.
- Sitio (Objetos de Directiva de grupo del sitio)- A continuación, el ordenador procesa todas las políticas de grupo que se aplican al sitio que se encuentran actualmente al equipo. Si las políticas son múltiples vinculados a un sitio de estos se procesan en el orden establecido por el administrador utilizando la Directiva de Grupo de Ficha de Objetos vinculados, las políticas con la menor orden de vínculos se procesa en último lugar y tiene la mayor prioridad.
- Dominio (Objetos de Directiva de grupo del dominio) - Cualquier políticas aplicadas en el nivel de dominio (ámbito de la política por defecto) se procesan a continuación. Si las políticas son múltiples vinculados a un dominio de estos se procesan en el orden establecido por el administrador utilizando la Directiva de Grupo de Ficha de Objetos vinculados, las políticas con el fin de vincular más bajo se procesa en último lugar y tiene la mayor prioridad.
- Unidad organizativa (Objetos de Directiva de grupo del departamento) - Último grupo de políticas asignado a la unidad organizativa que contiene la computadora o el usuario que se procesan. Si las políticas son múltiples vinculados a una unidad organizativa estos se procesan en el orden establecido por el administrador utilizando la Directiva de Grupo Ficha de Objetos vinculados, las políticas con el fin de vincular más bajo se procesa en último lugar y tiene la mayor prioridad.
- Herencia - La herencia puede ser bloqueado o ejecutada en el control de las políticas que se aplican en cada nivel. Si un administrador de nivel superior (administrador de la empresa) crea una política que tiene la herencia bloqueada por un administrador de nivel inferior (administrador de dominio) esta política seguirá siendo procesada.
Funcionamiento de las directivas del sistemaUn archivo de directivas del sistema es una colección de valores del Registro que sobreescribe las áreas del usuario y del equipo local actuales del Registro.
Las directivas del sistema se inician a través del siguiente proceso:
Cuando un usuario inicia una sesión en un dominio desde un equipo Windows NT, el sistema operativo carga el perfil del usuario. Windows NT busca en el directorio de red compartido Netlogon del servidor de inicio de sesión el archivo NTConfig.pol.
Si el archivo Ntconfig.pol define directivas de usuario para dicho usuario, estas configuraciones se combinan con la parte del Registro correspondiente al usuario actual.
Si no hay definidas directivas de usuario para dicho usuario, pero sí las hay para grupos, las configuraciones de las directivas de los grupos a los que pertenezca el usuario se combinan con la parte del Registro correspondiente al usuario actual, en orden de prioridad. Después Windows NT combina las directivas del usuario predeterminado en el Registro.
Si las directivas del sistema no están definidas para el usuario ni para ninguno de los grupos del usuario, los valores de las directivas del usuario predeterminados se combinan en la parte del Registro de usuario actual.
Si hay directivas del sistema definidas para el equipo en el que el usuario ha iniciado sesión, esos valores de directiva se combinan en la parte correspondiente al equipo local del Registro. De lo contrario, los valores de las directivas del equipo predeterminados se combinan en la parte correspondiente al equipo local del Registro.
Las entradas del Editor de directivas del sistema cambian los valores del Registro del equipo local de las siguientes formas:
Las directivas del sistema para los usuarios modifican el subárbol HKEY_CURRENT_USER del Registro. Esto define el contenido del perfil de usuario en vigor para el usuario.
Las directivas del sistema para los equipos modifican el subárbol HKEY_LOCAL_MACHINE del Registro.
Las directivas del sistema se inician a través del siguiente proceso:
Cuando un usuario inicia una sesión en un dominio desde un equipo Windows NT, el sistema operativo carga el perfil del usuario. Windows NT busca en el directorio de red compartido Netlogon del servidor de inicio de sesión el archivo NTConfig.pol.
Si el archivo Ntconfig.pol define directivas de usuario para dicho usuario, estas configuraciones se combinan con la parte del Registro correspondiente al usuario actual.
Si no hay definidas directivas de usuario para dicho usuario, pero sí las hay para grupos, las configuraciones de las directivas de los grupos a los que pertenezca el usuario se combinan con la parte del Registro correspondiente al usuario actual, en orden de prioridad. Después Windows NT combina las directivas del usuario predeterminado en el Registro.
Si las directivas del sistema no están definidas para el usuario ni para ninguno de los grupos del usuario, los valores de las directivas del usuario predeterminados se combinan en la parte del Registro de usuario actual.
Si hay directivas del sistema definidas para el equipo en el que el usuario ha iniciado sesión, esos valores de directiva se combinan en la parte correspondiente al equipo local del Registro. De lo contrario, los valores de las directivas del equipo predeterminados se combinan en la parte correspondiente al equipo local del Registro.
Las entradas del Editor de directivas del sistema cambian los valores del Registro del equipo local de las siguientes formas:
Las directivas del sistema para los usuarios modifican el subárbol HKEY_CURRENT_USER del Registro. Esto define el contenido del perfil de usuario en vigor para el usuario.
Las directivas del sistema para los equipos modifican el subárbol HKEY_LOCAL_MACHINE del Registro.
¿Qué objetos son los contenedores de las GPO’s?
Las GPO’s (Group Policy Object, objeto de directiva de grupo) pueden estar contenidas en cuatro tipos de objetos:1. Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer).
2. Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan.
3. Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.
4. Unidades Organizativas de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).
Editar una GPO
Para ello abrimos “Usuarios y Equipos de Active Directory”. Hacemos clic derecho sobre el nodo con el nombre del dominio y pulsamos “Propiedades”: |
 | |||
Crear:
Pulsando el botón “Nueva” se creará una nueva GPO debajo de la “Default Domain Policy” a la que llamaremos “Pulsar CTRL+ALT+SUPR”
Eliminar:
Si ahora seleccionamos la nueva GPO y pulsamos SUPR en el teclado podríamos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podrá ser utilizada más adelante o en otro contenedor; eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos “Cancelar”
¿Cómo se definen políticas?
 |
 |
Marcada
|
La política quedará definida con el valor seleccionado en las opciones de debajo.
|
Sin Marcar
|
La política hereda su definición o no y si está habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio).
|
Habilitada
|
Hace que la política quede habilitada. Esto significa que se realizará la configuración que la propia política define con su nombre y por tanto, en nuestro ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesión.
|
Deshabilitada
|
Cuando se deshabilita la política, se impide que se realice la configuración que la propia política define con su nombre. Por tanto, en el ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR para iniciar sesión.
|
¿Cómo se vincula una política ya existente?
A pesar de que una GPO es creada en un contenedor, ésto sólo es una apariencia. Realmente es creada alojándola en el dominio desde el que es creada y vinculada al contenedor desde el que es creada. Esto nos permite crear una sola GPO y aplicarla en cualquier parte del bosque al que pertenece el dominio donde está alojada la GPO; es decir, a todos los sitios, dominios y OU’s del bosque. Imaginemos un bosque con tres dominios; agregando a cada dominio la GPO que creamos antes, obligaremos a pulsar CTRL+ALT+SUPR a los usuarios de los tres dominios, habiendo creado una única GPO.
Para vincular una política pulsamos “Agregar” en la pestaña “Directiva de grupo” de las propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente diálogo:
Para vincular una política pulsamos “Agregar” en la pestaña “Directiva de grupo” de las propiedades del contenedor (equipo, sitio, dominio, OU) y nos aparece el siguiente diálogo:
 |
Pestaña
|
Muestra las GPO’s…
|
Dominios y OUs
|
Que están aplicadas en el dominio y sus UO’s, viéndose las OU’s como carpetas y las políticas con su icono característico. El desplegable “Buscar en” nos permite alternar entre los dominios del bosque.
|
Sitios
|
Que están aplicadas en un sitio. Con el desplegable “Buscar en” podemos cambiar entre los sitios que integran el bosque.
|
Toda
|
Que están almacenadas en un dominio. Con el desplegable “Buscar en” podemos alternar entre los dominios del bosque.
|
¿Cuáles son las propiedades de una GPO?
Pestaña
|
Función
|
Captura
|
General
|
Muestra información sobre la GPO y permite deshabilitar toda la rama de configuración del equipo y/o toda la rama de configuración de usuario. Esto sirve para agilizar la aplicación de la GPO, mejorando el rendimiento. Como en nuestro caso la política que obliga a hacerCTRL+ALT+SUPR para iniciar sesión es una configuración de equipo, podremos marcar la casilla que deshabilita los parámetros de configuración de usuario.
|  |
Vínculos
|
Permite buscar los sitios, dominios y OU’s en los que está agregada la GPO. Con el desplegable “Dominio” podemos seleccionar el dominio del bosque en el que buscamos.
|  |
Seguridad
|
Sirve para establecer los permisos de la GPO’. Podemos asignar permisos a los siguientes objetos:
1. Usuarios 2. Equipos 3. Grupos 4. Principios de seguridad incorporados |  |
Filtro WMI (sólo en Windows XP y Windows Server 2003 y con al menos un controlador de dominio que sea Windows Server 2003)
|
Sirve para realizar búsquedas basadas en WMI de características específicas de los equipos a los que se aplica la GPO. Estas características pueden ser:
1.Un patrón de nombre de equipo
2.Tipo de Sistema Operativo
3. Nivel de Service Pack
4. Cualquier característica del equipo que podamos consultar con WQL
Los equipos con Windows 2000 ignoran este tipo de filtros y procesan las GPOs sin tener en cuenta si por sus características deberían hacerlo o no. Por ello, una forma de ejecutar políticas que sólo se apliquen a equipos con Windows 2000 es filtrar con WMI poniendo que el tipo de SO es Windows 2000 o que el tipo de SO no es Windows XP. Si queremos aplicar políticas con filtros WMI a equipos con tan sólo XP o 2003, será necesario que nos llevemos las cuentas de los Windows 2000 a otra OU en la que no estaran vinculadas esas GPOs.
|  |
No hay comentarios:
Publicar un comentario