¿Qué es la Política de grupo y cómo funciona?

31

Esta es una pregunta canónica sobre los principios básicos de la directiva de grupo de Active Directory

¿Qué es la política de grupo? ¿Cómo funciona y por qué debería usarlo?

Nota: Esta es una pregunta y respuesta para un nuevo administrador que podría no estar familiarizado con cómo funciona y qué tan poderoso es.

MDMarra
fuente
¿Por qué esta pregunta está protegida mientras otras como esta simplemente se cierran o se ponen en espera porque se considera que "no hay un problema real aquí"? No lo entiendo
Marki
@Marki Deberías leer esta meta publicación . Cuando hay muchas preguntas "malas" o principiantes sobre un tema, con frecuencia creamos una pregunta canónica que contiene una cantidad sustancial de información general sobre el tema para que todas las preguntas básicas o básicas sobre un tema puedan cerrarse como un duplicado de pregunta canónica
MDMarra

Respuestas:

27

¿Qué es la política de grupo?

La directiva de grupo es una herramienta que está disponible para los administradores que ejecutan un dominio de Active Directory de Windows 2000 o posterior . Permite la administración centralizada de configuraciones en computadoras cliente y servidores unidos al dominio, además de proporcionar una forma rudimentaria de distribuir software.

La configuración se agrupa en objetos llamados Objetos de directiva de grupo (GPO). Los GPO están vinculados a una unidad organizativa (OU) de Active Directory y se pueden aplicar a usuarios y computadoras. Los GPO no se pueden aplicar a grupos directamente, aunque puede usar el filtrado de seguridad o la orientación a nivel de elemento para filtrar la aplicación de políticas en función de la pertenencia a grupos.

Eso es genial, ¿qué puede hacer?

Cualquier cosa.

En serio, puedes hacer lo que quieras con los usuarios o las computadoras de tu dominio. Hay cientos de configuraciones predefinidas para cosas como la redirección de carpetas, la complejidad de la contraseña, la configuración de energía, las asignaciones de unidades, el cifrado de unidades, la actualización de Windows , etc. Cualquier cosa que no pueda configurar a través de una configuración predefinida que puede controlar a través de secuencias de comandos. Los scripts de lote y VBScript son compatibles con todos los clientes compatibles y los scripts de PowerShell se pueden ejecutar en hosts de Windows 7.

Consejo profesional: en realidad puede ejecutar scripts de inicio de PowerShell en hosts con Windows XP y Windows Vista, siempre que tengan instalado PowerShell 2.0. Puede crear un archivo por lotes que llame al script con esta sintaxis:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

La primera línea permite ejecutar scripts sin firmar de recursos compartidos remotos en ese host y la segunda línea llama al script desde el archivo por lotes. La tercera línea establece la política de nuevo en restringido (el valor predeterminado) para una seguridad máxima.

¿Cómo se aplican los objetos de directiva de grupo?

Los GPO se aplican en un orden predecible. Las políticas locales se aplican primero. Hay políticas establecidas en la máquina local a través de gpedit.msc. Las políticas del sitio se aplican en segundo lugar. Las políticas de dominio se aplican en tercer lugar, y las políticas de UO se aplican en cuarto lugar. Si un objeto está anidado dentro de varias unidades organizativas, los GPO se aplican primero en las unidades organizativas más cercanas a la raíz.

Tenga en cuenta que si hay un conflicto, el último GPO aplicado "gana". Esto significa, por ejemplo, que la política vinculada a la unidad organizativa en la que reside una computadora ganará si hay un conflicto entre una configuración en ese GPO y una vinculada en una unidad organizativa principal.

Las secuencias de comandos de inicio de sesión y inicio parecen geniales, ¿cómo funcionan?

Una secuencia de comandos de inicio de sesión o inicio puede vivir en cualquier recurso compartido de red siempre que los grupos Domain Usersy Domain Computerstengan acceso de lectura al recurso compartido en el que están. Tradicionalmente, residen en \\domain.tld\sysvol, pero eso no es un requisito.

Las secuencias de comandos de inicio se ejecutan cuando se inicia la computadora. Se ejecutan como la cuenta SYSTEM en la máquina local. Esto significa que acceden a los recursos de la red como la cuenta de la computadora. Por ejemplo, si quería un script de inicio para tener acceso a un recurso de red en un recurso compartido que tiene la UNC de \\server01\share1y el nombre del equipo fue WORKSTATION01lo que se necesita para asegurarse de que WORKSTATION01$tenía acceso a ese recurso compartido. Dado que este script se ejecuta como sistema, puede hacer cosas como instalar software, modificar secciones privilegiadas del registro y modificar la mayoría de los archivos en la máquina local.

Las secuencias de comandos de inicio de sesión se ejecutan en el contexto de seguridad del usuario conectado localmente. Esperemos que sus usuarios no sean administradores, por lo que eso significa que no podrá usarlos para instalar software o modificar configuraciones de registro protegidas.

Los scripts de inicio de sesión y inicio fueron una piedra angular de Windows 2003 y dominios anteriores, pero su utilidad se ha visto disminuida en versiones posteriores de Windows Server. Las Preferencias de directiva de grupo brindan a los administradores una forma mucho mejor de manejar las asignaciones de unidades e impresoras, accesos directos, archivos, entradas de registro, pertenencia a grupos locales y muchas otras cosas que solo se pueden hacer en un script de inicio o inicio de sesión. Si está pensando que podría necesitar usar un script para una tarea simple, probablemente haya una Política de grupo o preferencia para ello. Hoy en día en dominios con clientes de Windows 7 (o posterior), solo las tareas complejas requieren scripts de inicio o inicio de sesión.

Encontré un GPO genial, pero se aplica a los usuarios, ¡quiero que se aplique a las computadoras!

Si lo se. He estado allí. Esto es especialmente frecuente en el laboratorio académico u otros escenarios informáticos compartidos donde desea que algunas de las políticas de usuario para impresoras o recursos similares se basen en la computadora, no en el usuario. ¡Adivina qué, estás de suerte! Desea habilitar la configuración de GPO para el modo de bucle invertido de directiva de grupo .

De nada.

Dijiste que puedo usar esto para instalar software, ¿verdad?

Sí puedes. Sin embargo, hay algunas advertencias. El software debe estar en formato MSI y cualquier modificación debe estar en un archivo MST . Puede hacer un MST con software como ORCA o cualquier otro editor MSI. Si no realiza una transformación, su resultado final será el mismo que ejecutarmsiexec /i <path to software> /q

El software también se instala al inicio, por lo que no es una forma muy rápida de distribuir software, pero es gratis. En un entorno de laboratorio de bajo presupuesto, he realizado una tarea programada (a través de GPO) que reiniciará cada computadora de laboratorio a la medianoche con un desplazamiento aleatorio de 30 minutos. Esto asegurará que el software esté, como máximo, un día desactualizado en esos laboratorios. Aún así, es preferible el software como SCCM , LANDesk , Altaris o cualquier otra cosa que pueda "impulsar" el software a pedido.

¿Con qué frecuencia se aplica?

Los clientes actualizan sus Objetos de directiva de grupo cada 90 minutos con una aleatorización de 30 minutos. Eso significa que, por defecto, puede haber una espera de hasta 120 minutos. Además, algunas configuraciones, como las asignaciones de unidades, la redirección de carpetas y las preferencias de archivos, solo se aplican al inicio o al iniciar sesión. La directiva de grupo está diseñada para la gestión planificada a largo plazo, no para situaciones de solución rápida instantánea.

Los controladores de dominio actualizan su política cada cinco minutos.

MDMarra
fuente
3
De nuevo, buen trabajo. Es posible que también desee vincular a esta página desde su épico control de calidad de AD.
EEAA
1
Gracias por esto. Necesitamos vincularnos a esto (y al AD) desde nuestras respuestas canónicas.
Bart De Vos
Creo que el AD está allí y lo he enviado para su revisión en meta. Esto todavía está levemente incompleto, espero terminarlo esta noche.
MDMarra
¿Altaris se refiere a un producto en particular de Altaris, como Altiris Deployment Solution (DS)?
Peter Mortensen
1
El enlace para el Modo de bucle invertido de directiva de grupo redirige a " Descargar contenido retirado de Windows Server 2003 R2 "; quizás debería actualizarse a este (o similar) enlace: technet.microsoft.com/en-us/library/cc978513.aspx
Pieter Geerkens el
12

Una nota rápida sobre las Preferencias de directiva de grupo: si desea utilizar esta configuración pero tiene estaciones de trabajo con Windows XP SP2 o Windows XP SP3, primero deberá instalar las Extensiones del lado del cliente de Preferencia de directiva de grupo para Windows XP (KB943729) .

Contenedor de computadoras vs Computadoras OU

Existe un valor predeterminado Computers containerdebajo de la raíz del dominio en Active Directory (AD), que a menudo se confunde con una unidad organizativa (OU) de Active Directory. Esto es realmente un Container, y NO es un OU. Como esto no es realmente una unidad organizativa, las políticas de grupo no se aplican a los objetos dentro de este contenedor. Las excepciones a esta regla son las políticas de grupo aplicadas en domain level. Estas serán las únicas políticas aplicadas a los objetos en el Computers container.

Por defecto, los objetos de la computadora unidos al dominio, que no están preestablecidos, van a Computers container.

Entonces, si se pregunta por qué su política no se aplica, verifique que el objeto en cuestión esté en la ubicación correcta en AD.

Copia de seguridad de GPO

Puede hacer una copia de seguridad de los GPO con la Consola de administración de directivas de grupo (GPMC).

  1. Abra la Gestión de directivas de grupo y haga doble clic Group Policy Objectsen el bosque y el dominio que contiene el objeto de directiva de grupo (GPO) del que desea hacer una copia de seguridad.
  2. Para hacer una copia de seguridad de un solo GPO, haga clic con el botón derecho en el GPO y luego haga clic en Copia de seguridad. Para hacer una copia de seguridad de todos los GPO en el dominio, haga clic con el botón derecho y haga Group Policy Objectsclic Back Up All.
  3. En el cuadro de diálogo Objeto de directiva de grupo de copia de seguridad, en el cuadro Ubicación, ingrese la ruta a la ubicación en la que desea almacenar las copias de seguridad de GPO, o haga clic en Examinar, busque la carpeta en la que desea almacenar la copia de seguridad de GPO ( s) y luego haga clic en Aceptar.
  4. En el cuadro Descripción, escriba una descripción para los GPO de los que desea hacer una copia de seguridad y luego haga clic Backup. Si está realizando una copia de seguridad de varios GPO, la descripción se aplicará a todos los GPO de los que realice una copia de seguridad.
  5. Una vez completada la operación, haga clic en Aceptar.

Lo mejor de hacer una copia de seguridad de las Políticas de grupo es que tiene un control de versión incorporado. Es decir, puede utilizar este procedimiento varias veces y hará un seguimiento de los cambios entre las políticas. Luego puede restaurar a una versión específica de una política.

Incluso podría configurar una tarea programada para ejecutar un script de PowerShell que utiliza el comando Backup-GPO para automatizar las copias de seguridad.

Todavía querría hacer una copia de seguridad (usando un método de copia de seguridad convencional) de la carpeta en la que está haciendo una copia de seguridad de los GPO.

HostBits
fuente
3

¿Vino aquí buscando un script de Powershell simple que pueda agregar a las tareas programadas para respaldar sus GPO? ¿No tiene AGPM del paquete MDOP?

Aqui tienes.

El primero hace una copia de seguridad diaria rotativa para el día de la semana. Tendrá que crear la ruta de la carpeta con anticipación para cada carpeta (domingo / lunes / etc.) No utilicé New-Item ya que pensé por qué tratar con un Test-Item y New-Item cada vez que estos son carpetas realmente estáticas después del día 1. Necesitará los módulos AD Powershell disponibles en el servidor en el que lo ejecuta.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

Lo mismo aquí, pero esta vez es por un mensual. Nuevamente, cree las carpetas con anticipación como enero, febrero, etc.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month
El limpiador
fuente