Una de las tareas más interesantes que podemos realizar como administradores o personas en el campo de IT es asignar políticas a los usuarios o máquinas en nuestra organización. Estas tareas se pueden hacer gracias a las llamadas GPOs (Group Policy Object) las cuales permiten establecer controles, permisos, bloqueos y otras tareas bien sea al usuario local o a un grupo de usuarios cuando nos encontramos dentro de un dominio.
En este estudio vamos a analizar la forma de cómo podemos acceder a las GPO dentro de Windows 10 pero queremos profundizar antes acerca de estas, cómo implementarlas, cuando implementarlas y posteriormente vamos a crear algunas GPOs para ver el comportamiento de Windows 10 con ellas.
GPO es literalmente un objeto de las políticas de grupo, esto que implica, que como administradores podemos crear una política que restrinja el uso de las memorias USB por seguridad o podemos establecer que el usuario no añada o quite programas.
En práctica una GPO nos brinda tener un control más centralizado sobre las máquinas y usuarios. Para editar o crear nuevas GPOs debemos ingresar al editor de GPO local el cual es un complemento de MMC (Microsoft Management Console) y este complemento se encuentra ubicado en la ruta:
%windir%\System32\gpedit.mscUna GPO puede ser definida como una regla que controla el entorno de trabajo de un usuario y la cuenta local de la máquina. Lo más común es hablar de las GPOs en términos organizacionales pero en esta oportunidad vamos a hablar de las GPOs locales muy detalladamente para comprender el gran alcance y las muchas opciones que tenemos al usar el editor de GPO.
Es importante que antes de editar una GPO tengamos muy en claro que vamos a realizar, si realmente vale la pena bloquear o permitir alguna acción en el equipo, ya que si ejecutamos algo que no es requerido podemos estar incurriendo en problemas innecesarios.
Para comenzar vamos a ver las formas para acceder al editor de GPOs en Windows 10 y posteriormente vamos a analizar el editor en sí.
1. Abrir editor local GPO Windows 10
La forma más común de acceder al editor es usando un comando en la opción Ejecutar, combinación de teclas:
+ R
ingresaremos lo siguiente:
gpedit.msc
Al pulsar en Aceptar o Enter, aparecerá el editor.
Otra forma de poder acceder al editor de GPOs es a través del buscador de Windows 10, tecla:
+ S
Allí ingresamos el término editor de directiva y una vez aparezca dicha opción, simplemente damos clic sobre ella.
Podemos acceder al editor de GPOs desde el símbolo del sistema, para ello podemos usar dos formas:
1. Usando la combinación Windows + R e ingresar el término:
cmd2. Dar clic derecho en el botón:
Y seleccionar Símbolo del sistema (Cómo Administrador).
Una vez abierta la consola cmd de una de las dos formas, escribiremos el siguiente comando:
gpedit.msc
Y por último podemos acceder a las GPO´s locales usando el Windows PowerShell, para ello abrimos Windows PowerShell e ingresamos el término:
gpeditY pulsamos Enter.
Una vez ingresemos al editor usando cualquiera de los métodos antes mencionados los encontraremos en su interior. Como vemos en la ventana del editor de GPOs contamos con dos opciones:
Cada una de las opciones antes mencionadas está subdividida en tres categorías:
En la ventana del editor de GPOs trabajaremos prácticamente el 100% del tiempo en estas opciones ya que los menús incluidos no nos brindan muchas alternativas, están los siguientes:
- Exportar lista: Nos permite exportar desde un lugar específica una lista de GPOs en formato .txt
- Ayuda: Despliega el asistente relacionado con MMC.
Es importante recordar que cuando trabajamos con una GPO local la configuración que más hemos de usar es la del usuario, ya que la configuración del sistema trata temas muy delicados sobre todo en temas de seguridad, redes, scripts, ya que la mayoría de estos parámetros son usados cuando la máquina está en un dominio.
2. Editar GPO a nivel Equipo
Vamos a editar una GPO dentro de la configuración del equipo, para ello vamos a ir a la siguiente ruta:
Configuración del equipo / Plantillas administrativas / Componentes de Windows / Windows Update
Como vemos la opción Plantillas administrativas contiene muchos más parámetros a editar que las demás opciones. Una vez seleccionemos Windows Update, en este ejemplo, veremos que en el costado derecho se despliega una serie de opciones a modificar, debemos ser muy cuidadosos con los valores que se hayan de editar.
En este estudio vamos a seleccionar la opción no ajustar la opción predeterminada a “Instalar actualizaciones y apagar en el cuadro de diálogo Apagar”. Damos doble clic y se desplegará lo siguiente:
Por lo general, todas las opciones que seleccionemos en el editor de GPOs tendrán la misma estructura:
Una vez tengamos configurados los parámetros de nuestra GPO damos clic en Aplicar y posteriormente en Aceptar. Podemos notar que el estado de la GPO ha sido modificado:
De esta manera editamos las GPOs a nivel de equipo.
3. Editar GPO a nivel Usuario
Ahora vamos a analizar las GPOs que aplican a un usuario y vamos a comprobar como estas afectan el entorno del usuario en caso de aplicarlas mal. Como ya hemos mencionado anteriormente, la opción que nos da más alternativas para edición de GPOs es la opción Plantillas administrativas.
Si notamos las opciones son diferentes que en la configuración del equipo. Vamos a editar la GPO ubicada en la siguiente ruta:
Configuración de usuario / Plantillas administrativas / Panel de control / Agregar o quitar programas
Notemos las diversas opciones desplegadas en el costado derecho. Vamos a editar la GPO Quitar o agregar programas. Damos doble clic sobre ella y aparecerán las opciones.
Vamos a editarla para que la opción Agregar o quitar programas desaparezca del Panel de Control en la opción Programas, en este caso debemos habilitar la GPO y si deseamos agregar un comentario.
Damos clic en Aplicar y luego en Aceptar para guardar los cambios. De esta manera hemos impedido que el usuario agregue o quite programas.
Vamos a editar alguna GPO que afecte el entorno del usuario en Windows 10. Será editar una GPO que sea compatible con nuestro sistema operativo.
Configuración de usuario / Plantillas administrativas / Panel de control / Programas
Vamos a habilitar la GPO Ocultar la página “Programas y características”. Antes veamos lo que podemos observar en Programas y características, vamos a la ruta:
Panel de control / Programas / Programas y características
Realizamos los ajustes en la GPO:
Aplicamos y aceptamos los cambios, y veremos el cambio efectuado en el panel de control:
Como vemos ya no tenemos acceso a las opciones de programas y características. Vamos a demostrar otro ejemplo, vamos a editar alguna GPO en la ruta:
Configuración de usuario / Plantillas administrativas / Sistema / Opciones de Ctrl+Alt+Supr
Como vemos en el panel derecho, podemos quitar opciones cuando presionamos dicha combinación. Veamos lo que podemos editar en condiciones normales:
Ahora tenemos la posibilidad de deshabilitar algunas de estas opciones, vamos a deshabilitar la opción Cambiar contraseña.
Aplicamos y aceptamos los cambios y si ahora ingresamos de nuevo la combinación Ctrl + Alt + Supr podemos observar el cambio realizado:
Como notamos los cambios que realicemos a través del editor de GPOs pueden causar un efecto bastante notorio en el entorno del usuario, de ahí que debemos ser cuidadosos con las GPOs que editamos. Tenemos la opción de visualizar todas las GPOs que podemos editar (están organizadas por orden alfabético) y cada GPO nos indica su respectiva ruta para edición.
Podemos notar que son muchas las opciones que podemos ajustar, a nivel de red, de sistema, de internet, de apariencia, de acceso, muchas y todos estos ajustes dependen de lo que tengamos planeado ejecutar con el usuario.
De esta manera hemos analizado el gran alcance que tenemos con el editor de GPOs locales en Windows, pero recordemos que el uso que hagamos de él debe ser de manera responsable y cuidadosa.