Directivas o

Polticas de Grupo (GPO)

Taller de Sistemas Operativos II
 ndice
1. Directivas de grupo
2. Componentes y estructura de las directivas
de grupo
3. Consola de las directivas de grupo

Directivas 2
 Di i
Directivas de
d grupo
P
Proporcionan
i a llos administradores
d i i d ell controll centrall
sobre los privilegios, permisos y capacidades de los
usuarios y los equipos
q p
Se usan para definir configuraciones automatizadas
para grupos de usuarios y equipos, incluyendo
opciones de config
configuracin
racin del registro
registro, secuencias
sec encias de
comandos de inicio de sesin o fin, opciones de
seguridad, etc.
Son un conjunto de reglas y configuraciones que
ayudan a administrar usuarios y equipos, y que rigen
las acciones que pueden realizar los usuarios con un
objeto

Directivas 3
 Directivas de grupo (ii)
Permiten:
P i
Controlar el acceso a los componentes de Windows, recursos
del sistema,, recursos de red,, utilidades del ppanel de control,,
el escritorio y el men de inicio
Configurar las directivas para el bloqueo de cuentas y
contraseas,, auditoras,, asignacin
g de derechos a los
usuarios y seguridad
En un Dominio de Active Directory se pueden aplicar a
sitios a dominios,
sitios, dominios a unidades organizativas (a un subgrupo dentro
de un dominio) o a sistemas individuales (se ver en el tema 13)
En un equipo independiente, que NO pertenece a un
dominio se aplicarn las directivas de grupo local,
dominio, local que se
definen y guardan en el sistema local

Directivas 4
 Directivas de grupo (iii)
Un equipo independiente dispone de tres niveles de
directivas:
Directiva de grupo local: Aplicar a todos los usuarios del
sistema
it las
l mismas
i opciones
i de
d configuracin
fi i tanto
t t de d Equipo
E i
como de Usuario
Directiva de ggrupo
p local para
p administradores y no
administradores: Slo contiene configuracin de Usuario. Se
define una directiva (y se aplica) para los usuarios que
pertenecen al grupo Administradores y otra para los que no
pertenecen.
Directiva de grupo local para usuarios: Slo contiene
config racin de Usuario.
configuracin U i Se define unana directi
directivaa para unn
usuario o grupo concreto, y slo se aplica a l/ellos.

Directivas 5
 Componentes y estructura de las
directivas de grupo
La configuracin de las directivas de grupo se divide en
categoras, segn el momento de aplicacin:
dos categoras
Configuracin de Equipo
Agrupan todos los parmetros de configuracin que pueden
establecerse a nivel de equipo
Se aplican durante el inicio del sistema, con independencia del
usuario que vaya a iniciar la sesin
Configuracin de Usuario
Agrupan parmetros de configuracin que pueden establecerse a
nivel de usuario
Se aplican durante el inicio de sesin del usuario, con
independencia
p del equipo
q p en el qque hayay iniciado la sesin

Directivas 6
 Componentes y estructura (ii)
Cada
C d categora
t de
d las
l directivas
di ti de
d grupo se divide:
di id
Configuracin de Software. Contiene la configuracin, del equipo o
del usuario,, de la instalacin automtica de software
Configuracin de Windows. Contiene la configuracin de ciertos
parmetros de Windows, como parmetros de seguridad o scripts,
para el equipo
p q p o el usuario
Plantillas administrativas. Contiene las polticas y configuraciones
que se guardan en el registro de Windows, para el equipo o el
usuario
La misma directiva puede existir para equipos y para
usuarios, aunque, generalmente, con significados y
parmetros
distintos
di i
Si hay conflicto al aplicar una directiva, la ltima en aplicar
es la vlida
Directivas 7
 Componentes y estructura (iii)
Configuracin software
Configura las directivas para la configuracin e instalacin de
software
Contiene el objeto Instalacin del software, que es usado para
distribuir SW y actualizaciones de SW a los usuarios
Al asignar una aplicacin a los usuarios,
usuarios se le avisa la prxima
vez que inicie la sesin, pero se instalar la primera vez que la
ejecute
Sii la
l asignacin
i i es a un equipo,
i la l aplicacin
li i se anuncia i y se
instala automticamente cuando el equipo se reinicie o un
usuario inicie la sesin
Slo en directivas de dominio

Directivas 8
 Componentes y estructura (iv)
Configuracin de Windows
Configura las directivas para redireccin de carpetas,
ficheros de comandos y seguridad
Se tienen las opciones:
Archivos de comandos (inicio/apagado)
Configuracin de seguridad
Archivos de comandos (inicio/apagado)
Se indican los ficheros que se ejecutarn automticamente
durante el inicio o apagado del equipo o durante el inicio o
cierre de sesin del usuario
En Configuracin del equipo inicio/apagado del equipo
En Configuracin del usuario el inicio/cierre de sesin por
un usuario

Directivas 9
 Componentes y estructura (v)
Conf.
Conf Windows: Archivos de comandos (contina...)

Archivos de comandos para Inicio/Apagado de equipos

Los ficheros a utilizar se deben almacenar en el directorio
%SystemRoot%\System32\GroupPolicy\Machine\Scripts\
Dentro del subdirectorio Startup para el inicio
En el subdirectorio Shutdown ppara el apagado
p g
Archivos de comandos para Inicio/Cierre de sesin de usuario
Los ficheros a usar se deben almacenar en el directorio
%SystemRoot%\System32\GroupPolicy\User\Scripts
Dentro del subdirectorio Logon para el inicio de sesin
En el subdirectorio Logoff para el cierre de sesin

Directivas 10
 C
Componentes
t y estructura
t t (vi)
( i)
Conf. de Windows: Configuracin de seguridad (contina...)
Las directivas de Configuracin de seguridad permiten configurar
los aspectos referentes a la seguridad del sistema. Se definen
fundamentalmente a nivel de equipo
Los tipos de directivas de Configuracin de seguridad son:
Directivas de cuentas: que permiten configurar directivas sobre
las cuentas de los usuarios. Se tienen 2 grupos:
Directiva de contrasea, restricciones relacionadas con el tamao
y duracin temporal de las contraseas
Directiva de bloqueo de cuentas, duracin, umbral y contador de
restablecimiento de bloqueo

Directivas 11
 C
Componentes
t y estructura
t t (vii)
( ii)
Conf. de Windows: Configuracin de seguridad (contina...)
Los tipos de directivas de Configuracin de seguridad son
Directivas locales, engloban las siguientes directivas:
Directiva de auditora, permite fijar los parmetros de observacin
del sistema para realizar el control del mismo,
activando/desactivando
i d /d i d ell registro
i de
d sucesos especficos
fi
Asignacin de derechos de usuario, define derechos tales como
inicio de sesin local, el acceso a la red, crear ficheros de
paginacin, denegar
paginacin localmente , etc.
denegar el inicio de sesin localmente etc
Opciones de seguridad, permite modificar valores del registro
especficos relacionados con la seguridad, p.e. Comportamiento
firmado o Pedir
ante la instalacin de un controlador no firmado Pedir al
usuario que cambie la contrasea antes de que caduque, o
Estado de la cuenta invitado, etc.

Directivas 12
 Componentes y estructura (viii)
Plantillas administrativas
Contiene todas las configuraciones
g de polticas
p basadas en el
registro de W2008, incluyendo las que controlan el funcionamiento
del sistema operativo, de los componentes y de algunas aplicaciones,
la apariencia del escritorio, etc.
Se
S configuran
fi con llos ficheros
fi h dde plantillas,
l till que se puedend agregar o
eliminar, segn se quiera configurar o no los detalles de esa plantilla
Podemos modificar cada plantilla para habilitar o deshabilitar sus
directivas
Proporcionan una manera sencilla de acceder a las configuraciones
de las directivas basadas en registro que puede configurar
Cada directiva tiene una explicacin detallada de la misma
Las configuraciones se guardan en el registro en
HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER

Directivas 13
 Componentes y estructura (ix)
Plantillas administrativas (contina...)
( i )

Para la configuracin del equipo se tienen plantillas para: (entre otras )

Componentes de Windows que permiten configurar los componentes
del sistema operativo,
operativo como Internet Explorer o Windows Update
Sistema que ayudan a controlar funcionalidades del sistema, como los
perfiles de usuario, las cuotas de disco, detalles del inicio de sesin:
P.e., dentro de Inicio de sesin, Permitir slo perfiles de usuario locales
o Cerrar
C lla sesin
i de
d los
l usuariosi cuandod hay
h un error en ell perfil
fil mvil
il
Dentro de Cuotas, Habilitar las cuotas de disco o Lmite de cuota o
nivel de aviso predeterminado
Red ppara ajustar
j los componentes
p del sistema operativo
p que
q conectan
un equipo cliente a la red, por ejemplo, cmo trabajar con los archivos
de red sin conexin
Impresoras contiene configuraciones para administrar impresoras de
red y la publicacin de opciones.
opciones Por ejemplo:
Permitir que se publiquen impresoras
Publicar automticamente impresoras nuevas en Active Directory

Directivas 14
 Componentes y estructura (x)
Plantillas administrativas (contina...)
(contina )
En la configuracin del usuario hay plantillas para:
Componentes de Windows que permiten configurar los componentes
del sistema operativo,
operativo como Internet Explorer o Windows Update. Update
P.e., en Explorador de Windows se tiene Quitar el men Opciones de
carpeta del men Herramientas
Men de Inicio y barra de tareas para agregar, eliminar y deshabilitar
partes del men de Inicio y la barra de tareas. P.e., Quitar el men
Favoritos del men Inicio o Deshabilitar Cerrar sesin en el men
Inicio
Panel de control que permite ajustar el panel de control y detalles sobre
las impresoras, la pantalla, la accin de Agregar o quitar programas etc.
P.e., Deshabilitar el panel de control o Protectores de pantalla
Sistema
Si para controlar
t l aspectos t como los
l perfiles
fil ded usuario,
i aspectos
t
de inicio de sesin, o de las opciones de Ctrl+Alt+Supr. P.e.: Dentro de
Opciones de Ctrl+Alt+Supr est Quitar el bloqueo de equipos

Directivas 15
 Consola de directivas de grupo
Administracin de directivas de grupo local:
Abrir la Consola de administracin de equipos (con la orden mmc)
A continuacin, agregar el complemento Editor de objetos
d di
de directiva
ti ded grupo
Puede seleccionar el equipo local o uno remoto
Puede seleccionar un usuario/grupo o Administradores/No
administradores
Dos nodos principales:
Configuracin de Equipo
Configuracin de Usuario
Ambos tendrn los subnodos:
C
Configuracin
fi i software
f
Configuracin de Windows
Plantillas administrativas

Directivas 16
Consola de directivas de grupo (iii)
A llas di
directivas
ti de
d Configuracin
C fi i de id d tambin
d seguridad, t bi se
puede acceder desde el men Herramientas
administrativas, con Directivas de seguridad
g local
La actualizacin de las directivas de grupo se realiza:
Cada vez que se arranca el sistema, las directivas de equipo
Cuando un usuario inicia una sesin, las de usuario
Durante la actualizacin en segundo plano de la directiva de grupo,
que se realiza
li cada
d 90 minutos,
i t con un desplazamiento
d l i t aleatorio
l t i
entre 0 y 30 minutos
De forma manual, al ejecutar la herramienta gpupdate.exe

Directivas 17