Vamos a tratar un tema muy importante para los administradores de un dominio, y son las directivas de grupo o GPOs, pero:
En este tutorial se os explicará como crear, editar o eliminar GPO Directivas de Grupo.
1. Cómo crear una GPO
Vamos a conocer el procedimiento para crear una GPO básica en Windows Server 2008 R2 (El mismo esquema se usa en Windows Server 2012). Debemos ingresar al panel de Administración de Directivas de Grupo, para ello contamos con dos opciones, la primera, ingresando a través de:
- Inicio
- Herramientas Administrativas
- Administración de Directivas de Grupo:
Otra opción para poder ingresar es a través del comando Ejecutar:
Windows + R
Escribimos lo siguiente:
gpmc.mscTecla Enter y accedemos al panel de GPO:
Una vez en la ventana de Administración de Directivas de Grupo, desplegamos el dominio en el cual estamos trabajando, damos clic derecho y elegimos Crear un GPO y vincularlo aquí:
También podemos realizar esta acción seleccionando el dominio, elegir del Menú Acción Crear una GPO y vincularlo aquí
El siguiente paso es darle un nombre a nuestra GPO, esto con el fin de identificar la acción que ha de tomar esta GPO:
Damos clic en Aceptar.
2. Configurar equipo y Configuración del usuario
Como podemos observar se despliega una ventana con dos parámetros para especificar restricciones o modificaciones.
3. Editar cualquier parámetro a un dispositivo o usuario GPO
Primero debemos tener claro que restricción o política vamos a aplicar (Equipo o Usuario). Veamos algunos ejemplos prácticos:
Nos piden como administradores que desactivemos la reproducción automática en un equipo, para ellos debemos seguir la siguiente ruta.
Una vez hayamos dado clic derecho sobre nuestra GPO y haber dado clic en Editar procedemos a bus car la opción Configuración del equipo, para ello tenemos 2 opciones:
Supongamos que elegimos la opción 1 ubicada en el panel derecho, debemos dar doble clic sobre Configuración del equipo, luego en Directivas, posteriormente en Plantillas Administrativas y allí buscar la opción deseada, como vemos tenemos algunas opciones:
- Componentes del Sistema:
Configuración de los componentes des Sistema Operativo (Explorador de Windows, Calendario, etc).
- Impresoras:
Gestiona la configuración de las impresoras en el dominio.
- Panel de Control:
Gestiona el panel de Control permitiendo mostrar o no elementos.
- Red:
Configura parámetros de red incluido el DNS.
- Sistema:
Gestiona diversas opciones en los componentes del sistema.
- Todos los valores:
Muestra todas las opciones sin categorizar.
En nuestro ejemplo, debemos ingresar a Componentes de Windows y luego elegir la opción Directivas de Reproducción Automática:
Damos doble clic sobre ella y elegimos la opción requerida, en este caso, Desactivar Reproducción Automática:
Damos doble clic, elegimos la opción Habilitar, y podemos elegir en que unidades desactivar dicha reproducción:
Para finalizar damos clic en Aplicar y luego en Aceptar.
Debemos tener en cuenta algo muy importante, las GPOs se pueden aplicar a todo el dominio o a una OU (Unidad Organizativa) específica.
En nuestro ejemplo, vamos a aplicar la GPO Prueba GPO a la OU Equipos Prueba (Esta OU fue creada en el dominio), para esto en la ventana de Administración de Directivas de Grupo, ubicamos la OU sobre la cual deseamos aplicar nuestra GPO (En este caso Equipos Prueba).
Damos clic derecho sobre la OU y elegimos Vincular un GPO existente.
Elegimos la GPO que hayamos creado y damos clic en Aceptar.
Con esto a los equipos u objetos que estén en la OU “Equipos Prueba” se les aplicará la restricción de la reproducción automática.
Si por el contrario, lo que nos solicitan como administradores es gestionar algún parámetro sobre un usuario el proceso es idéntico al anteriormente descrito, con la diferencia que las opciones a nivel de usuario son mucho más amplias.
Supongamos que debemos ocultar todos los elementos del Escritorio. Para ello debemos editar nuestra GPO (Clic derecho, editar) y elegimos Configuración del Usuario:
Damos doble clic y elegimos, Directivas y posteriormente Plantillas Administrativas. Se despliegan las diferentes opciones que tenemos a nivel de Usuarios.
- Carpetas Compartidas:
Gestiona los parámetros de las carpetas comparitdas.
- Componentes de Windows:
Gestiona componentes en la configuración del sistema operativo.
- Escritorio:
Administra tanto el escritorio de Windows como los íconos en él.
- Menú Inicio y barra de tareas:
Permite administrar todas las opciones del menú Inicio y de la barra de tareas.
- Panel de Control:
Permite gestionar lo que se muestra y lo que no se muestra en el Panel de Control.
- Red:
Gestiona parámetros de la red.
- Sistema:
Establece opciones en la configuración del sistema.
Para nuestro caso debemos ingresar a la opción Escritorio y allí elegir la opción "Ocultar y deshabilitar todos los elementos del escritorio".
Damos doble clic y elegimos la opción Habilitar, luego damos clic en Aplicar y luego en Aceptar.
Finalmente para que la GPO cumpla su función en el perfil del usuario debemos saber en que OU (Unidad Organizativa) se encuentra el usuario, una vez tengamos claro este dato, ubicamos la OU en la ventana Administración de Directivas de Grupo, damos clic derecho, elegimos la opción Vincular un GPO existente.
Elegimos la GPO y damos clic en Aceptar.
Este es el procedimiento para crear y vincular GPOs en un equipo o usuario en Windows Server
4. Cómo editar GPOs
El proceso para editar una GPO es muy sencillo, debemos abrir la ventana “Admninistración de Directivas de Grupo” a través de la opción:
- Inicio
- Herramientas Administrativas
- Administración de Directivas de Grupo
O también lo podemos abrir más rápido a través del comando Ejecutar que aparece pulsando:
Windows + R
Y escribir gpmc.msc y pulsar Enter o Aceptar:
Una vez estemos ubicados en la ventana de Administración de Directivas de grupo veremos que en el panel izquierdo están las GPOs creadas:
Simplemente podemos dar clic derecho Editar:
O seleccionando la GPO y del menú Acción, elegir Editar:
Allí ajustamos los cambios deseados según el requerimiento y aceptamos.
- Es muy importante no modificar la GPO por defecto del Controlador de Dominio “Default Domain Policy” ya que si efectuamos cambios en esta GPO podremos tener resultados inestables en todo nuestro Dominio lo cual nos traerá problemas y malos ratos.
- Para que una GPO surta el efecto deseado debemos vincularla a un dominio u OU (Unidad Organizativa).
- Debemos tener privilegios de Administrador para crear, modificar o eliminar GPOs en nuestro dominio.
Existen algunas clases de GPOs que debemos tener en cuenta en nuestros roles como administradores o asistentes:
- GPO a nivel de Equipo Local:
Aplican solamente al dispositivo que las tenga asignada independiente del dominio al cual esté vinculado.
- GPO a nivel de Sitio:
Esta GPO aplica a los usuarios y / o dispositivos de un sitio sin importar a que dominio perteneces.
- GPO a nivel de Dominio:
Esta GPO aplica a todos (sin excepción) los dispositivos y usuarios del dominio sobre el cual estamos trabajando.
- GPO a nivel de OU (Unidad Organizativa):
Esta GPO aplica a usuarios y dispositivos en una OU determinada.
Todos estos tipos de GPO se basan, como ya lo hemos mencionado antes, en los requerimientos y necesidades de la organización. Hoy existen algo más de 3668 políticas disponibles de Microsoft tanto a nivel de usuarios como de equipos, debemos tener extremado cuidado en la forma como editamos y aplicamos dichas GPOs en nuestro dominio.
5. Cómo buscar GPO en mi dominio
Adicional a lo que hemos visto, podemos buscar una GPO, esto en caso de tener muchas GPOs creadas en nuestro Dominio, para ello seguimos el siguiente proceso:
Abrimos el Administrador de Directivas de Grupo, buscamos el dominio y damos clic derecho en Buscar:
En la ventana desplegada debemos ingresar los siguientes valores:
- Dominio en el cual buscar
- Elemento a buscar ( Nombre de GPO, Vínculo, etc)
- Condición (si lo deseamos)
- Valor (Nombre específico que estamos buscando)
Damos Clic en Agregar y posteriomente en Buscar:
Allí podremos dar clic en Editar para que el sistema nos lleve directamente a edira dicha GPO o podremos guardar los resultados para una búsqueda futura. Adicional a lo que hemos mencionado, tenemos las siguientes opciones de edición de una GPO mediante la opción Menú o clic dercho en la GPO:
- Editar:
Como ya lo vimos anteriormente, esta opción nos lleva a editar los parámetros de nuestra GPO (restricciones o ajustes).
- Estado de GPO:
Una vez que la tengamos vinculada a algún sitio, dominio u OU el estado por defecto es Habilitado, también están las opciones Para deshabilitar dicha GPO, si marcamos Deshabilitar dejaríamos sin acción dicha GPO.
- Hacer Copia de Seguridad:
Nos permite realizar un backup de la GPO seleccionada.
- Restaurar desde Copia de seguridad:
Nos permite restaurar una GPO desde una copia guardada en una fecha anterior.
- Importar Configuración:
Permite importar la configuración de la GPO a una carpeta específica de seguridad (Para esto es importante haber creado antes una copia de seguridad).
- Guardar Informe:
Guarda un informe de la GPO en formato HTML.
- Nueva ventana desde aquí:
Abre una nueva venta.
- Copiar:
Copia la GPO seleccionada.
- Eliminar:
Elimina la GPO seleccionada.
- Cambiar Nombre:
Renombra la GPO seleccionada.
- Actualizar:
Actualiza los cambios realizados en la GPO.
- Ayuda:
Despliega la ayuda de Windows.
También si deseamos adicionar un comentario a una GPO es posible, para ello, debemos ir a la siguiente ruta:
Seleccionamos la GPO al cual deseamos adicionar comentario, damos clic derecho Editar, o a través del menú Acción, opción Editar:
Una vez se despliegue la ventana elegimos la opción Propiedades del menú Acción.
Allí nos desplegamos a la pestaña Comentarios, ingresamos nuestro comentario y damos clic en Aplicar y luego en Aceptar.
6. Cómo eliminar una GPO
Hay veces que es necesario desactivar y eliminar algunas GPOs. Para eliminar una GPO existente lo podemos hacer de dos maneras.