La directiva de grupo (en inglés: Group Policy, abreviado GP) es una característica de la familia de sistemas operativos Windows NT. Una directiva de grupo es un conjunto de reglas que controlan el entorno de trabajo de cuentas de usuario y cuentas de equipo. La directiva de grupo proporciona la gestión centralizada y configuración de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de Directorio Activo.
Un conjunto de configuraciones de directiva de grupo se denomina objeto de directiva de grupo (Group Policy Object, GPO). El Objeto de Directiva de Grupo Local (LGPO o LocalGPO) permite la administración de GPO sin necesidad de Directorio Activo en ordenadores independientes.[1]
Los servidores de Directorio Activo diseminan las directivas de grupo enumerándolas en su directorio LDAP en objetos de clase groupPolicyContainer
, que se refieren a rutas del servidor (atributo gPCFileSysPath
) donde se almacenan los GPO, habitualmente en la compartición SMB \\dominio.com\SYSVOL compartida por el servidor de Directorio Activo. Si una directiva de grupo contiene configuraciones de registro, la compartición de archivo asociada contendrá un archivo registry.pol
con la configuración que el cliente debe aplicar.[2]
El editor de directivas de grupo (gpedit.msc
) no está incluido en las versiones Home de Windows XP, Vista, 7, 8, 8.1, 10 y 11.
Operación
La directiva de grupo, en parte, controla lo que pueden y no pueden hacer los usuarios en un sistema informático. Aunque es más frecuente en el uso de entornos empresariales, también es habitual en las escuelas, las pequeñas empresas y otros tipos de organizaciones más pequeñas. La directiva de grupo a menudo se utiliza para restringir ciertas acciones que pueden presentar riesgos de seguridad potenciales, como bloquear el acceso al administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.
Como parte de las tecnologías IntelliMirror de Microsoft, la directiva de grupo tiene como objetivo reducir el costo de soporte a los usuarios. IntelliMirror technologies relaciona la gestión de las máquinas desconectadas o usuarios móviles e incluyen perfiles de usuario móviles, la redirección de carpetas y archivos sin conexión.
Cumplimiento
Para llevar a cabo el objetivo de gestión centralizada de un grupo de ordenadores, los equipos deben recibir y aplicar objetos de directiva de grupo (GPO). Un GPO que reside en un solo equipo solo se aplica al mismo. Para poder aplicar un GPO a un grupo de ordenadores, la directiva de grupo se apoya en Directorio Activo o en herramientas de terceros como ZENworks Desktop Management para su distribución. El Directorio Activo puede distribuit GPO a ordenadores que pertenecen a un dominio de Windows.
Por defecto, Microsoft Windows refresca la configuración de directiva de grupo cada 90 minutos más un intervalo aleatorio de 30 minutos, aunque en controladores de dominio se hace cada 5 minutos. Durante este período de actualización, se descubren, se obtienen y se aplican todos los GPO que se aplican al equipo y a los usuarios con sesión activa. Sin embargo, algunos ajustes tales como la instalación automática de software, el mapeo de drivers o las configuraciones de reinicio o de inicio de sesión solo se aplican durante el reinicio o inicio de sesión.
Desde Windows XP, los usuarios pueden iniciar manualmente la actualización de la directiva de grupo ejecutando el comando gpupdate
desde la interfaz de línea de comandos.[3]
Las Directivas de Grupo se procesan en el orden siguiente:
- Local: Cualquier configuración de la directiva local del equipo (accesible ejecutando
gpedit.msc
). Antes de Windows Vista, solo había una directiva de grupo local almacenada por ordenador. En la actualidad hay grupo de políticas individuales ajustables por cuenta de una máquina de Windows Vista y 7. - Sitio: Cualquier directiva de grupo asociada con el sitio de Directorio Activo donde se encuentra el equipo. (Un sitio de Directorio Activo es una agrupación lógica de ordenadores pensada para facilitar su gestión debido a su proximidad física.) En caso de que haya varias directivas vinculadas a un sitio, se procesan en el orden establecido por el administrador.
- Dominio: Cualquier directiva de grupo asociada con el dominio de Windows donde se encuentra el equipo. En caso de que haya varias directivas vinculadas a un dominio, se procesan en el orden establecido por el administrador.
- Unidad organizativa: Directivas de grupo asignadas a la unidad organizativa (Organizational unit, OU) donde se encuentra el ordenador o el usuario. (Las unidades organizativas son unidades lógicas que ayudan a organizar y gestional un grupo de usuarios, ordenadores u otros objetos de Directorio Activo.) En caso de que haya varias directivas vinculadas a un sitio, se procesan en el orden establecido por el administrador.
Herencia
Las directivas dentro de una estructura jerárquica generalmente se pasan de padres a hijos, lo que se denomina herencia. Esta se puede bloquear o aplicar para controlar las políticas que se aplican en cada nivel. Si un administrador de nivel superior (administrador de la empresa) crea una política que tiene la herencia bloqueada por un administrador de nivel inferior (administrador de dominio) esta política se procesará igualmente.
Filtrado
Se puede personalizar el ámbito en que se aplica un GPO mediante un filtro WMI. Estos filtros permiten a los administradores aplicar el GPO únicamente a ordenadores de determinados modelos, RAM, software instalado o cualquier otra característica susceptible de ser consultada mediante WMI.
Directiva de grupo local
La directiva de grupo local (LGP) es una versión más básica de la directiva de grupo utilizado por Directorio Activo. En las versiones de Windows anteriores a Windows Vista, LGP puede configurar la directiva de grupo para un equipo local único, pero a diferencia de la directiva de grupo de Directorio Activo, no puede hacer políticas para usuarios individuales o grupos. También tiene muchas menos opciones en general que la directiva de grupo de Directorio Activo. El usuario específico limitado, puede superar mediante el editor del registro para realizar cambios en las claves HKCU o HKLM. LGP simplemente hace cambios en el registro bajo la clave HKLM, lo que afecta a todos los usuarios. Los mismos cambios se pueden hacer bajo HKCU o HKCU que afectan solo a determinados usuarios. Microsoft tiene más información sobre cómo utilizar el editor del registro para configurar la directiva de grupo disponible en TechNet. LGP se puede utilizar en un equipo de un dominio, y puede ser utilizado en Windows XP Home Edition.
Preferencias de directiva de grupo
Las preferencias de directiva de grupo son una forma en que el administrador puede establecer políticas que no son obligatorias, sino únicamente opcionales para el usuario o el ordenador.
Existe un conjunto de extensiones de configuración de directiva de grupo conocida anteriormente[¿cuándo?] como PolicyMaker. Microsoft adquirió PolicyMaker y luego lo integró con Windows Server 2008. Microsoft ha lanzado desde entonces una herramienta de migración que permite a los usuarios migrar los elementos de PolicyMaker a preferencias de directiva de grupo.[4]
Las preferencias de directiva de grupo añaden una nueva serie de elementos de configuración. Estos elementos a su vez incluyen numerosas opciones adicionales para controlar de forma granular la forma en que se aplican.
Las preferencias de directiva de grupo son compatibles con las versiones x86 y x64 de Windows XP, Windows Server 2003 y Windows Vista con la adición de las extensiones del lado del cliente (Client Side Extensions, CSE).[5][6][7][8][9][10]
Client Side Extensions se incluyen en Windows Server 2008, Windows 7 y Windows Server 2008 R2.
Seguridad
Las configuraciones de la directiva de grupo son aplicadas voluntariamente por las aplicaciones específicas. En muchos casos, esto solo consiste en deshabilitar la interfaz de usuario para una función determinada, sin desactivar el nivel más bajo de los medios para acceder a él.[11]
Por otra parte, un usuario malévolo puede modificar o interferir con la aplicación para que no sea capaz de leer su configuración de directiva de grupo, aplicando así configuraciones potencialmente menos seguras o incluso devolviendo valores arbitrarios.[12]
Referencias
- ↑ «Step-by-Step Guide to Managing Multiple Local Group Policy Objects». go.microsoft.com. 25 de julio de 2008.
- ↑ «[MS-GPOD]: Group Policy Protocols Overview». Microsoft. Section 1.1.5 Group Policy Data Storage. Consultado el 22 de febrero de 2020.
- ↑ Gpupdate
- ↑ «Group Policy Preference Migration Tool (GPPMIG)». Microsoft.
- ↑ «Group Policy Preference Client Side Extensions for Windows XP (KB943729)». Microsoft Download Center.
- ↑ «Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)». Microsoft Download Center.
- ↑ «Group Policy Preference Client Side Extensions for Windows Vista (KB943729)». Microsoft Download Center.
- ↑ «Group Policy Preference Client Side Extensions for Windows Vista x64 Edition (KB943729)». Microsoft Download Center.
- ↑ «Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729)». Microsoft Download Center.
- ↑ «Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)». Microsoft Download Center.
- ↑ Raymond Chen, "Shell policy is not the same as security"
- ↑ Russinovich, Mark (26 de junio de 2019). «Circumventing Group Policy as a Limited User». Microsoft Community Hub. Microsoft. Consultado el 10 de junio de 2023.