Cómo crear y vincular un GPO en Active Directory (paso a paso)

Tutoriales

Cómo Crear y Vincular un GPO en Active Directory (Paso a Paso). En el dinámico mundo de la gestión de Active Directory, dominar el arte de los Objetos de Directiva de Grupo (GPO) es una habilidad fundamental para cualquier administrador. Esta guía paso a paso revela el proceso fluido de crear y vincular GPO, proporcionando una hoja de ruta completa para navegar por las complejidades de Active Directory. Este artículo garantiza que no solo comprendamos los fundamentos, sino que también ganemos la confianza para utilizar los GPO de manera efectiva en nuestro viaje de administración de red.

También lee Cómo Utilizar la Directiva de Grupo para Mejorar la Seguridad de Active Directory

Cómo Crear y Vincular un GPO en Active Directory (Paso a Paso)

Breve Resumen de los Objetos de Directiva de Grupo

Los Objetos de Directiva de Grupo (GPOs) son la columna vertebral de la gestión centralizada en entornos de Windows Active Directory. Básicamente, los GPOs son un conjunto de reglas, configuraciones y ajustes que los administradores definen para gobernar el comportamiento de usuarios y computadoras dentro de una red. Al implementar GPOs, los administradores hacen cumplir políticas de seguridad, regulan ajustes del sistema, despliegan software y simplifican varios aspectos de la gestión de red.

Esta poderosa herramienta no solo mejora la eficiencia organizativa, sino que también garantiza un entorno informático consistente y seguro al permitir a los administradores ejercer control y hacer cumplir políticas en una multitud de dispositivos y usuarios.

También lee Prueba los Informes de GPO de Active Directory de InfraSOS

Trabajando con Objetos de Directiva de Grupo

Las directivas de grupo (GPO) se utilizan de dos maneras diferentes: en una máquina local mediante el Editor de directivas de grupo local o en nuestro sistema empresarial mediante la Consola de administración de directivas de grupo (GPMC). Para mantener y crear un entorno resistente, nos enfocamos en el escenario empresarial en este artículo, ya que las directivas locales se procesan primero (antes que las directivas del dominio).

Instalación de la herramienta RSAT de directivas de grupo

Uno de los componentes de la clásica Herramienta de administración remota del servidor (RSAT) es la Consola de administración de directivas de grupo. Podemos instalar esta solución basada en MMC (Consola de administración de Microsoft) en Windows utilizando la aplicación Configuración actual de Windows.

Mantenemos las configuraciones de directivas de grupo en la carpeta compartida ‘SYSVOL‘ en un controlador de dominio (DC), y si es necesario, replicamos estas configuraciones a cualquier otro DC en el dominio y el bosque. Este proceso describe la redundancia integrada de la infraestructura de directivas de grupo.

Para proceder, mostramos cómo instalar la Consola de administración de directivas de grupo :

  • Primero, haz clic en el botón Iniciar y busca con la palabra clave ‘opcional ‘.
  • Haz clic en ‘Gestionar características opcionales ‘y en el botón ‘+ Agregar una característica ‘en la parte superior.
  • Desplázate hacia abajo, marca la casilla ‘RSAT: Herramientas de administración de directivas de grupo’ y haz clic en Instalar.

A partir de este punto, la consola de administración de directivas de grupo es accesible. Para abrir la Consola de administración de directivas de grupo (GPMC), sigue estos pasos:

  1. Usando el cuadro de diálogo Ejecutar:
    • Pulse las Windows + R para abrir la ventanaEjecutar.
    • Escriba gpmc.msc y pulse Intro.

2. Desde el Menú Inicio:

    • Haga clic en el botón Inicio.
    • Escriba “Consola de Gestión de Políticas de Grupo” en la barra de búsqueda.
    • Haga clic en el resultado relevante que aparece.

3. A través del Administrador de Servidores (Windows Server):

  • Si usamos un Servidor Windows, abrimos el Administrador del servidor.
  • Dentro de la ventana del Administrador del servidor, haga clic en “Herramientas” en la esquina superior derecha.
  • Seleccione “Administración de directivas de grupo” de la lista.

Ahora vemos la consola de Administración de directivas de grupo. Aquí, explicamos cómo establecemos la Directiva de grupo y cómo dirigimos entidades lógicas específicas en nuestra organización.

Con la Consola de Administración de directivas de grupo, realizamos múltiples funciones siguientes. Por ejemplo, modificamos Objetos de directiva de grupo (GPO) preexistentes, generamos nuevos GPO, ajustamos la configuración de filtrado de GPO específicos a nivel de grupo y empleamos Filtro WMI para identificar computadoras específicas. En la siguiente sección, comenzamos creando un nuevo GPO.

También lee Eche un vistazo a la herramienta de informes de Active Directory de InfraSOS

Creando un Nuevo Objeto de Política de Grupo

Ahora, vamos a intentar crear un nuevo objeto de política de grupo:

  1. Haga clic derecho en ‘Ordenadores de Windows de dominio ‘y seleccione ‘Crear una GPO en el dominio, y enlazarla aquí…

2. Vamos a llamarle ‘Limpiar el Menú Inicio ‘y haga clic en Aceptar.

3. Edite la GPO:Haga clic derecho en la GPO enlazada y seleccione Editar.

4. Vaya a la Configuración de Política:

    • En el Editor de Gestión de Políticas de Grupo, vaya a estos menús:
    • Configuración de equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Asignación de derechos de usuario.

5. Modifique la configuración de la política:

    • Busque la política que desea, como en el ejemplo de abajo:
    • Haga doble clic en la política, seleccione “Defina estos ajustes de política” y elija “Habilitado“.

6. Guardar y cerrar:

    • Haga clic en “Aceptar” para aplicar los cambios.
    • Cierre el Editor de Gestión de Políticas de Grupo.

También leaCrear informes de directivas de grupo de Active Directory con PowerShell (GPO) 

Forzar la actualización o esperar a que se aplique la directiva de grupo

Tenga en cuenta que este ajuste está activo en el entorno; en el próximo actualización, todos los objetos de computadora dentro de esa OU lo verán. Las directivas de grupo se procesan por defecto en las PC y servidores del dominio cada 90 minutos con un desfase aleatorio de 30 minutos. No obstante, el comando gpresult es una herramienta valiosa para pruebas y solución de problemas.

Usando nuestro terminal o shell preferido, utilizamos el comando gpupdate para obligar a la computadora a actualizar la Directiva de Grupo en el sistema. Este comando maneja todas las modificaciones de la Directiva de Grupo para la computadora y el usuario conectado. Sin solicitar permiso, los cambios que podemos imponer usando el interruptor ‘/force‘.

gpupdate /force

Para verificar, observamos que nuestro sistema ahora oculta los objetos haciendo clic derecho en el botón Inicio y seleccionando el Apagar o Cerrar sesión del menú.

Prevenimos que los usuarios reinicien o apaguen sus máquinas con esta modificación relativamente simple. Este tipo de configuraciones tiene muchas variables y aplicaciones. 

Vinculando un Objeto de Directiva de Grupo

  1. Vincular la GPO a una Unidad Organizativa (OU) o Dominio:
    • Navega hasta la OU o dominio de destino donde queremos vincular la GPO.
    • Haz clic derecho en la OU o dominio, selecciona “Vincular una GPO existente” y elige “Bloqueo de seguridad del controlador de dominio.

2. Confirmar el Vínculo:

    • A dialog box appears. Confirm our selection by clicking “Yes.”

3. Verificar el Enlace:

    • En el GPMC, dentro de la OU o dominio de destino, confirme que la GPO “Domain Controller Security Lockdown” ahora se muestra como enlazada.

4. Forzar la Actualización o Esperar para que la Política de Grupo se Aplique:

    • Forzar una actualización de política de grupo en los controladores de dominio usando gpupdate /force en la ventana de comandos o esperar que la política se aplique durante la próxima actualización.

Ahora que las GPOs y los controladores de dominio están conectados, nuestros DCs manejarán los ajustes de esa GPO la próxima vez que busquen modificaciones en las Políticas de Grupo. Después de crear y diseñar una colección de ajustes una vez, puede enlazar o desplegarlos rápidamente en un contenedor dentro de nuestro entorno.

También lee Cómo configurar Active Directory en Windows Server 2022

Modificar un objeto de directiva de grupo existente

Esperamos encontrar cientos o miles de GPO en un solo dominio en empresas grandes. Tratar con subárboles organizacionales, GPO locales y directivas locales en la mezcla, así como la complejidad de heredar GPOs específicos y utilizar WMI para dirigir sistemas operativos específicos supone un desafío. Además, existen penalizaciones de rendimiento generales cuando las PC inician y los usuarios inician sesión debido a la gran cantidad de GPO en nuestro dominio.

Ámbito del objeto de directiva de grupo

La mayoría de nuestros GPO se encuentran en la raíz del dominio. Por lo tanto, por defecto, todas las máquinas y objetos de servidor dentro del dominio ven y utilizan este GPO. Una vez más, hay técnicas para excluir a determinados usuarios, máquinas, subárboles organizacionales y grupos de seguridad.

Este proceso nos permite mostrar el grupo Autenticados en la sección de filtrado de seguridad. Este filtrado dice esencialmente: “Todo el mundo“: este GPO es visible para cualquier cuenta autenticada con el dominio.

Editar el objeto de directiva de grupo

Ahora, intente editar un GPO existente:

  • Haga clic con el botón derecho en el GPO objetivo y seleccione ‘Editar‘ para iniciar el proceso de modificación.
  • Navegue a través de la estructura lógica, que incluye lasConfiguración del equipoyConfiguración del usuarioárboles.
  • Para localizar y ajustar las configuraciones de WSUS dentro deConfiguración del equipo, expanda -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Actualización de Windows.
  • Identifique la configuración específica que desea modificar, como por ejemplo ‘Configurar actualizaciones automáticas.’
  • Examine las propiedades de la configuración elegida para acceder y analizar las opciones de configuración.
  • Haga los ajustes necesarios para alinear la GPO con nuestras modificaciones de políticas deseadas.

Este proceso es una configuración más involucrada. Estas son las configuraciones para cómo actualizamos las actualizaciones de Windows Update a mi dominio. Pero el punto aquí es que administramos todos nuestros equipos (o un subconjunto) de manera central.

Este proceso ilustra cómo los Objetos de Política de Grupo (GPOs) aplican restricciones en los ajustes de computadora. Supongamos que examinamos las opciones avanzadas bajo Windows Update en esta estación de trabajo. En ese caso, observamos que el ajuste inicial, ‘Recibir actualizaciones para otros productos de Microsoft cuando actualicemos Windows,’ ahora está regido por la Política de Grupo.

Técnicamente, esto significa que aplicamos algunas Políticas de Grupo a esta computadora, pero no podemos ajustar estos ajustes.

También lee Cómo implementar Políticas de Cumplimiento y Gobernanza para Windows Server

Gestionar los Objetos de Política de Grupo

Al crear un nuevo dominio, nuestro Servidor Windows genera dos GPOs como configuración predeterminada por defecto – específicamente, la ‘Política Predeterminada del Dominio‘ y la ‘Política Predeterminada de Contadores del Dominio.‘ Estas GPOs, como mínimo, determinan los parámetros para las políticas de contraseña de dominio, las políticas de bloqueo de cuentas, las políticas de Kerberos, las opciones de seguridad básicas y varias otras configuraciones de seguridad de red.

Hace décadas que se ha venido práctica que no deberíamos modificar estas dos políticas – deberíamos crear nuevas GPOs en su lugar. Hay varias razones para esto, pero la más fundamental es que cuando estamos resolviendo problemas en nuestro dominio, debemos saber que no debemos cambiar estas configuraciones predeterminadas.

Deshabilitar un Objeto de Política de Grupo

Para desactivar una GPO y bloquear que sus configuraciones afecten a los ordenadores próximos, haga clic derecho en la GPO y seleccione Deshabilitar Enlace. Esta acción desconectará el enlace y la GPO pasará a un estado inactivo o durmiente.

Eliminar un Objeto de Política de Grupo

Durante tareas de limpieza y resolución de problemas, la eliminación de una GPO se logra haciendo clic derecho en ella y seleccionando Eliminar. Para un enfoque completo y simplificado, navegue hasta la vista de Objetos de Política de Grupo en el árbol y inicie el proceso de eliminación.

Gracias por leer Cómo Crear y Enlazar una GPO en Active Directory (Paso a Paso). Concluiremos el artículo.

También lee Encuentre Grupos Anidados y Miembros en Active Directory con PowerShell

Cómo Crear y Enlazar una GPO en Active Directory Conclusión

En conclusión, dominar la creación y enlazado de Objetos de Política de Grupo (GPOs) en Active Directory es una habilidad indispensable para los administradores que navegan por el intrincado paisaje de la gestión de redes. Este guía paso a paso nos ha equipado con el conocimiento y la confianza para implementar GPOs sin problemas, ofreciendo un enfoque práctico que desmystifica el proceso. Al emprender nuestro camino en la administración de Active Directory, la habilidad de aprovechar GPOs efectivamente no solo optimiza las configuraciones del sistema sino que también nos empodera para mantener un entorno de cómputo seguro en toda nuestra red.

Source:
https://infrasos.com/how-to-create-and-link-a-gpo-in-active-directory/