Una GPO (Group Policy Object – Objetos de Política de Grupo), es básicamente un conjunto de políticas para crear en el dominio, tanto en el servidor local como en los equipos cliente, una serie de condiciones y restricciones enfocadas en mejorar la seguridad de los equipos ya que en muchas organizaciones los usuarios pueden realizar acciones que van en contra de las buenas prácticas y estas dan como resultado una afectación global en Windows Server.
Uso GPO
Como administradores podemos usar las GPO para controlar todo esto, si deseamos implementar una GPO tengamos en cuenta:
Los equipos a gestionar deben estar unidos al dominio y los usuarios deben contar con las credenciales de dominio para el inicio de sesión.
La red local debe estar configurada a través de AD DS, esto implica que el servidor debe contar el rol AD DS (Active Directory) ya configurado.
Se requiere contar con permisos para editar la Política de grupo en el dominio.
Tipos GPO
Existen dos tipos de GPO que son:
Default Domain Policy: como su nombre lo indica, es la política por defecto del dominio e integra configuraciones de políticas para todos los equipos y usuarios en el dominio.
Default Domain Controller Policy: es otra política por defecto, pero orientada al controlador de dominio.
Prioridades de la GPO.
El orden de precedencia de las políticas de grupo en Windows Server es un aspecto importante de la administración del sistema que determina cómo se resuelven y aplican las configuraciones de políticas conflictivas a los objetos de Active Directory dentro de un dominio. Comprender este orden es esencial para administrar y proteger eficazmente los entornos de Windows Server.
Los objetos de directiva de grupo (GPO) son contenedores para la configuración de directivas que se pueden vincular a sitios, dominios o unidades organizativas (OU) dentro de Active Directory. Cuando varios GPO están vinculados a un objeto específico, pueden surgir conflictos si estos GPO contienen configuraciones conflictivas. Las reglas de precedencia de directivas de grupo establecen el orden en que se procesan y aplican los GPO, lo que garantiza que los conflictos se resuelvan de forma coherente.
La prioridad de la directiva de grupo en Windows Server sigue un orden específico, conocido como modelo LSDOU, que significa Local, Sitio, Dominio y Unidad organizativa. Este modelo representa la jerarquía de los objetos de Active Directory y determina el orden en que se aplican los GPO. Exploremos cada nivel de precedencia en detalle:
1. GPO local: el objeto de directiva de grupo local es el nivel de prioridad más bajo y se aplica a equipos individuales. Permite a los administradores definir configuraciones específicas que se aplican solo a la máquina local. La configuración de GPO local se almacena en el registro y entra en vigor antes de que se procesen otros GPO.
2. GPO del sitio: el GPO del sitio es el siguiente nivel de prioridad y se aplica a todos los objetos dentro de un sitio de Active Directory específico. Los sitios son agrupaciones lógicas de equipos en función de su conectividad de red y se utilizan para optimizar la replicación y la autenticación. Los GPO del sitio están vinculados al objeto del sitio en Active Directory y aplican configuraciones a todos los objetos dentro de ese sitio.
3. GPO de dominio: el GPO de dominio se aplica a nivel de dominio y afecta a todos los objetos dentro del dominio. Está vinculado al objeto de dominio en Active Directory y aplica la configuración a todos los usuarios y equipos dentro de ese dominio. Los GPO de dominio tienen una prioridad más alta que los GPO locales y de sitio.
4. GPO de unidad organizativa (OU): el GPO de unidad organizativa es el nivel más alto de precedencia y se aplica a unidades organizativas específicas dentro de un dominio. Las unidades organizativas son contenedores que se utilizan para organizar y administrar objetos dentro de Active Directory. Se pueden vincular varios GPO a una unidad organizativa y la configuración de estos GPO se aplica en el orden especificado por el administrador.
Cuando se producen conflictos entre los GPO en diferentes niveles, las reglas de precedencia de la directiva de grupo dictan qué configuración tiene prioridad. El modelo LSDOU garantiza que la configuración de los GPO de nivel superior invalide la configuración en conflicto de los GPO de nivel inferior. Por ejemplo, si se define una configuración tanto en el GPO local como en el GPO de dominio, la configuración del GPO de dominio tendrá prioridad.
Además del modelo LSDOU, existen otros factores que pueden influir en la precedencia de la directiva de grupo, como la herencia forzada y bloqueada. Los GPO obligatorios se aplican independientemente de las reglas de herencia, mientras que la herencia bloqueada evita que los GPO se apliquen a los objetos secundarios.
Comprender el orden de precedencia de las políticas de grupo en Windows Server es importante para administrar eficazmente la configuración de políticas y garantizar configuraciones consistentes y seguras en toda la red. Siguiendo el modelo LSDOU y considerando otros factores que influyen, los administradores pueden establecer una jerarquía bien definida de GPO que cumpla con los requisitos de seguridad y cumplimiento de la organización.
Cómo crear y administrar una GPO en Windows Server 2019
GPO - Aplicar a un usuario o grupo específico
GPO - Prioridad de una política
Gpresult /R /SCOPE COMPUTER /V Gpresult /R /SCOPE USER /V Gpresult / R rsop.msc en la máquina w10
