Tutorial: Los placeres de las políticas de grupo de Windows Server

Cuando Microsoft introdujo los objetos de política de grupo (GPO) junto con Windows Server 2000 hace casi 17 años, fueron un nuevo y emocionante enfoque para administrar los permisos de usuario y del sistema. Hoy en día, son simplemente parte del trabajo administrativo y, como resultado, algunos administradores de TI han olvidado cuán poderosas pueden ser estas configuraciones y cuándo pueden usarse para resolver problemas.

Cuando se lance Windows Server 2016 a finales de este otoño, conservará esos GPO tan prácticos, dejándolos sin cambios, excepto por la adición de algunas configuraciones específicas para Windows Server 2016 y Windows 10. Si no está roto ...

Las herramientas de la Consola de administración de políticas de grupo se instalan con Active Directory, pero necesita los Servicios de dominio de Active Directory (ADFS) para que las políticas de grupo realmente funcionen. Para controlar servidores o estaciones de trabajo, deben estar conectados (también conocidos como "unidos") al dominio. Aunque las políticas locales se pueden configurar para PC individuales (no unidas a un dominio), es un escenario único que no aprovecha el valor central de implementar políticas de grupo para controlar múltiples sistemas y usuarios a la vez.

Hay miles de opciones y opciones de configuración potenciales para los GPO. La forma más fácil de encontrar el camino a una configuración es identificar su ruta de ubicación en la herramienta Consola de administración de políticas de grupo (GPMC), como se muestra en la Figura 1. La ruta de ubicación muestra la ruta completa a la configuración que está buscando, en la de la misma manera, puede buscar un archivo que esté enterrado en varias carpetas.

Tres usos de las políticas de grupo constituyen un buen punto de partida tanto para el administrador novato como para el administrador experimentado que ha dado por sentado las políticas de grupo y ha dejado de buscar formas de usarlas para nuevas necesidades. (Cuando esté listo para profundizar, Microsoft tiene un buen tutorial detallado que se adentra en las complejidades de las políticas de grupo).

Ejemplo 1 de GPO: hacer cumplir la complejidad de la contraseña

Para crear una política de complejidad de contraseñas que se aplique a todos los usuarios de un dominio, realice los siguientes pasos:

  1. Abra su Consola de administración de políticas de grupo.
  2. Expanda el contenedor de dominios y seleccione su nombre de dominio.
  3. Haga clic con el botón derecho en el nombre de dominio y elija la opción Crear un GPO en este dominio y vincularlo aquí.
  4. Asigne un nombre al nuevo GPO (por ejemplo, Política de complejidad de contraseña) y haga clic en Aceptar.
  5. Una vez que la política esté visible en su dominio, haga clic con el botón derecho en la política y seleccione Editar. Esto abre el Editor de administración de políticas de grupo (GPME).
  6. Perforar abajo a la vía de ubicación en el GPME, como se muestra en la Figura 2: GPO_name\Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy.
  7. Haga clic con el botón derecho en la opción La contraseña debe cumplir con los requisitos de complejidad y haga clic en Propiedades, como se muestra en la Figura 3.
  8. Marque la casilla Definir esta configuración de política, marque Habilitado, luego haga clic en Aceptar. Nota: También puede hacer clic en la pestaña Explicar para obtener una explicación completa de lo que hace esta configuración.

Por supuesto, hay otras configuraciones que puede incluir en este GPO. Por ejemplo, puede habilitar los requisitos de complejidad y establecer la longitud mínima de la contraseña en, digamos, ocho caracteres.

Ejemplo 2 de GPO: deshabilitar unidades USB

Algunas políticas deben aplicarse situacionalmente (a una unidad organizativa, también conocida como OU), como deshabilitar dispositivos USB. Por ejemplo, es posible que tenga guerreros de la carretera que necesiten acceso USB en sus computadoras portátiles, mientras que es posible que desee bloquear los puertos USB de las PC internas.

Así es como se crea una política situacional de este tipo:

  1. En la Consola de administración de políticas de grupo, expanda el nombre de dominio y busque el contenedor Objetos de políticas de grupo. Por lo general, hay dos políticas predeterminadas en ese contenedor (Controlador de dominio predeterminado y Política de dominio predeterminada), pero si ha configurado la Política de complejidad de contraseña, también aparecerá.
  2. Haga clic con el botón derecho en la carpeta Objetos de directiva de grupo y haga clic en Nuevo.
  3. Asigne al nuevo GPO un nombre como Restricción de USB y haga clic en Aceptar.
  4. Seleccione la política y haga clic en Editar para abrir el Editor de administración de políticas de grupo.
  5. Navegue hasta GPO_name\Computer Configuration\Policies\Administrative Templates\System\Removable Storage Access, como muestra la Figura 4.
  6. Haga doble clic en la configuración, marque Activado, luego haga clic en Aceptar o Aplicar.

Como muestra la Figura 4, hay una variedad de configuraciones para elegir. Aquí, elegí la opción Todas las clases de almacenamiento extraíble: Denegar todo acceso para configurar. Puede ver una descripción de una configuración seleccionada en el panel de descripción si hace clic en la pestaña Extendida.

Tenga en cuenta que ha creado solo la configuración de directiva en este momento; no lo has vinculado a nada. Para vincularlo:

  1. Seleccione el dominio en la Consola de administración de políticas de grupo o la unidad organizativa que tiene instalada.
  2. Haga clic con el botón derecho en la unidad organizativa (como se muestra en la Figura 5) y seleccione Vincular un GPO existente.
  3. Seleccione el GPO de restricción de USB y haga clic en Aceptar.
  4. Haga clic con el botón derecho en el GPO que ahora está vinculado y marque la opción Forzado para aplicarlo sobre ese GPO.

Las políticas de grupo tardan un poco en aplicarse a los sistemas y usuarios, pero puede forzar la aplicación de los cambios abriendo un símbolo del sistema y escribiendo gpupdate /force.

Una vez que se aplica esta política, un usuario que intenta introducir un dispositivo USB debería recibir un mensaje de "acceso denegado".

Ejemplo 3 de GPO: deshabilitar la creación de archivos PST

Todos hemos lidiado con la pesadilla de cumplimiento que proviene del uso de archivos de buzón de correo PST. Entonces, ¿cómo evitas que los usuarios los creen? Con una póliza de grupo, por supuesto. (Sí, hay ediciones de configuración del registro que puede utilizar para hacer esto, pero una política de grupo es mucho más fácil y rápida).

Para realizar los cambios, primero debe descargar las Plantillas administrativas de la directiva de grupo para la versión de Office a la que está imponiendo configuraciones. Una vez instaladas esas plantillas (lo que puede requerir algunos arreglos), aplica configuraciones adicionales (que se muestran en la Figura 6) para controlar esa versión de Office a través de la política de grupo.

Una vez que haya elegido el nivel de sitio, dominio o unidad organizativa para aplicar la política y haya abierto el Editor de administración de políticas de grupo, navegue hasta GPO_name\User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous\PST Settings.

Es posible que desee configurar dos opciones. El primero es Evitar que los usuarios agreguen contenido nuevo a los archivos PST existentes, lo que (como su nombre indica) evita que los usuarios agreguen más correo electrónico a los archivos PST que ya tienen. La segunda configuración es Evitar que los usuarios agreguen archivos PST a los perfiles de Outlook y / o Evitar el uso de archivos PST exclusivos para compartir, que bloquea la creación de nuevos archivos PST por parte de sus usuarios.