Al administrar sistemas operativos a nivel de organización, en este caso puntual Windows Server 2016, es ideal y practico conocer a fondo que prestaciones nos brinda o podemos añadir a dicho sistema para hacer las tareas de administración algo mucho más simple y centralizado. A nivel de Windows Server 2016, contamos con una utilidad integrada al sistema que será muy funcional para controlar ciertas acciones que pueden ser aplicadas tanto a usuarios como equipos y son las directivas de políticas de grupo o GPO (Group Policy Object). Las GPO nos permite poder gestionar la estructura completa de nuestro dominio pudiendo controlar por completo los equipos adheridos a nuestra red y configurando los diferentes dispositivos mediante estas políticas. Con las GPO podemos realizar configuraciones de forma individual en un equipo o bien configurar varios equipos en Windows Server 2016 de forma completa.
Una GPO es básicamente una política que podremos crear y editar, obviamente remover en cualquier momento, mediante la cual se permite establecer la configuración en los diversos objetos a administrar como usuarios y equipos. Una de las ventajas de las GPO es que pueden ser implementadas en cualquier tipo de escenario y podremos usarlas para todo el dominio en general o solo para una unidad organizativa, OU, en especial. La implementación de una GPO ha sido diseñada para que sea implementada en redes basadas en los Servicios de dominio de Active Directory (AD DS) de Windows Server.
- La red local debe estar basada en AD DS, con esto indicamos que por lo menos un servidor debe tener instalada la función de AD DS.
- Los equipos que vamos a administrar deben estar unidos al dominio y los usuarios que gestionaremos deben usar las credenciales de dominio para iniciar sesión en sus equipos directamente al dominio.
- Sera necesario contar con permisos para editar la Política de grupo en el dominio, es decir, pertenecer al grupo de Administradores o de Administradores de Política de grupo.
Ahora, podemos estar confundidos un poco ya que bien sabemos que existen dos tipos de GPO, de dominio y locales, esto implica: La política de grupo basada en el dominio nos da la posibilidad de centralizar la administración de modo que una sola política creada puede afectar a todos los equipos del dominio a la vez mientras que la política de grupo local requiere cada máquina a configurar se haga directamente en ella lo cual implica más trabajo administrativo.
1. Qué es GPO
Antes de analizar cómo crear, editar o eliminar una política en Windows Server 2016 es ideal y necesario comprender el entorno de las GPOs.
El entorno de las políticas de grupo en Windows Server 2016 es el siguiente:
Las GPO en Windows Server 2016 contienen diversas configuraciones de políticas de grupo que nos permite crear, mover y eliminar GPO dentro del servidor.
Por defecto, las políticas de grupo en Windows Server 2016 viene con dos políticas por defecto:
En el nivel superior del AD DS (Active Directory Domain Server) encontramos sitios y dominios. Cuando se crea un dominio simple, estas tendrán un único sitio y un solo dominio. Y dentro de un dominio será posible crear unidades organizativas (OU).
2. Crear GPO Windows Server 2016
Vamos a ver cómo crear una GPO en Windows Server 2016.
Para iniciar este proceso vamos a usar la combinación de teclas siguiente y ejecutaremos el comando gpmc.msc y pulsamos Enter.
+ R
gpmc.msc
En la ventana desplegada daremos clic derecho sobre nuestro dominio y seleccionamos la opción “Crear un GPO en este dominio y vincularlo aquí”:
Al seleccionar esta opción será desplegada la siguiente ventana donde asignaremos un nombre a dicha GPO:
Al pulsar en el botón “Aceptar” veremos que se ha creado la GPO según nuestro criterio:
De esta simple forma hemos creado una política de grupo o GPO en Windows Server 2016.
3. Editar GPO Windows Server 2016
Hasta este punto hemos creado la GPO, pero esta no efectuara ninguna acción ya que no le hemos definido los parámetros requeridos que deben ser aplicados a los usuarios o equipos del dominio o OU indicada.
Para añadir una tarea debemos editar la GPO y para ello daremos clic derecho sobre la nueva GPO y seleccionamos la opción “Editar”:
Al dar clic en esta opción seremos redireccionados a la siguiente ventana:
Allí encontramos dos secciones principales que son:
También encontramos dos elementos en cada una de estas carpetas que son:
Podremos desplegar las diversas opciones y veremos lo siguiente:
Como podemos ver, allí tenemos una serie de categorías disponibles para editar la acción que la GPO usará en el objeto seleccionado, para visualizar las diversas políticas, basta con pulsar sobre alguna de las opciones y veremos lo siguiente:
Tendremos a disposición cientos de acciones a configurar y esto está basado por los requerimientos de la organización. En este caso, usaremos la política llamada “Ocultar la pestaña Hardware”, es decir, cuando accedemos al panel de control vemos allí la opción Hardware:
Ahora, daremos doble clic sobre la política mencionada y veremos lo siguiente:
Ali tenemos las siguientes opciones:
En este caso activamos la casilla “Habilitada” y pulsamos en Aplicar y Aceptar para guardar los cambios. Podremos ver que la política ha cambiado su estado a Habilitada:
Ahora, si accedemos de nuevo al panel de control veremos que ya no está la opción Hardware disponible:
Recordemos algunos de los tipos de GPO que podemos implementar en Windows Server 2016:
4. Buscar GPO Windows Server 2016
Es posible que en algún momento dado tengamos múltiples GPOs creadas en el dominio y sea difícil ubicarlas para su edición, en este caso contamos con la opción de búsqueda la cual nos ayuda a encontrar la ruta exacta de dicha GPO.
Para ello, daremos clic derecho en el dominio y seleccionamos la opción “Buscar”:
En la ventana desplegada podremos filtrar la búsqueda por múltiples filtros como:
- Nombre de la GPO
- Vínculos de GPO
- Grupos de seguridad
- GUID, etc
Luego agregamos el valor a buscar y pulsamos en el botón “Buscar” donde veremos los respectivos resultados:
Las demás opciones disponibles son:
- Editar: Nos permite realizar cambios en la GPO.
- Exigido: Forza el valor de las GPOs.
- Vinculo habilitado: Esta opción nos permite crear un vínculo de esta GPO con un dominio u otras GPOs.
- Guardar informe: Con esta opción se almacenará un archivo HTML con detalles de la política creada.
- Ver más opciones de edición.
- Cambiar el nombre de la política seleccionada.
- Actualizar la política, etc.
Cuando generamos el informe en HTML veremos lo siguiente:
5. Eliminar GPO Windows Server 2016
Finalmente, si deseamos eliminar una GPO en Windows Server 2016 basta con dar clic derecho sobre dicha política y seleccionar la opción Eliminar:
Al seleccionar esta opción veremos el siguiente mensaje. Pulsamos en Aceptar y de esta forma será eliminada dicha GPO en Windows Server 2016
Así hemos visto como las GPOs son una de las mejores herramientas que como administradores de sistemas tenemos.
