" Windows Server 2008 "
¡ TODO SOBRE WINDOWS SERVER !
Directivas o Políticas de Grupos
La configuración de Directiva de Grupo define los distintos componentes del entorno de Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor Windows 2003, de modo que el administrador del sistema determina cuales le serán aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa; entre las directivas que pueden especificarse, por ejemplo, podemos indicar aquellos programas que deseemos se encuentren disponibles para nuestros usuarios, los programas que aparecerán en su Escritorio, las opciones del menú Inicio, las opciones del navegador, etc.
Para crear una configuración específica de Escritorio para un grupo de usuarios en particular, se utilizan las Directiva de Grupo. La configuración de Directiva de Grupo está contenida en un objeto de Directiva de Grupo, de modo que se asocia dicha directiva a los Sitios, Dominios o Unidades Organizativas indicadas en Active Directory.
Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser asociadas a un grupo de usuarios o grupos de equipos (sólo a Sitios, Dominios o Unidades Organizativas), aunque el resultado de su aplicación afecte únicamente a los usuarios y a los equipos de Active Directory.
Las directivas se aplican en este orden:
1. En primer lugar se aplica el objeto de Directiva de Grupo local único.
2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden especificado administrativamente.
3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden especificado administrativamente.
4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas, de Unidad Organizativa principal a secundaria, y en orden especificado administrativamente en el nivel de cada Unidad Organizativa.
5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas con anterioridad cuando las directivas son incoherentes. Sin embargo, si no hay incoherencias de configuración, tanto las directivas anteriores como las posteriores contribuyen a la directiva efectiva, es decir, se suman las configuraciones de las distintas directivas asociadas al objeto en cuestión.
Podemos resumir el funcionamiento de las Directivas de Grupo como sigue:
La Directiva de Grupo se aplica de manera jerárquica desde el grupo menos restrictivo (Sitio) al grupo más restrictivo (Unidad Organizativa). La Directiva de Grupo también es acumulativa. Los contenedores de servicio de directorio secundarios heredan la Directiva de Grupo de los contenedores primarios y el procesamiento de la Directiva de Grupo tiene lugar en el siguiente orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva de Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explícita una Directiva de Grupo para un contenedor secundario, dicha directiva suplantará a la del contenedor primario, si es que son contradictorias, y se sumará a la anterior si no lo son.
Es importante resaltar que las Directivas de Grupo tienen prioridad sobre las opciones de configuración del perfil del usuario en caso de que se cree un conflicto.
En los siguientes apartados nos centraremos en definir una estructura de Unidades Organizativas para nuestro centro educativo, así como en asociar las Políticas o Directivas de Grupo al dominio o a las Unidades Organizativas anteriormente creadas.
Vamos a citar y definir los siguientes términos, con los que trabajaremos habitualmente a lo largo de este apartado:
Sitio .- Podemos definir un sitio como un conjunto de equipos en una o varias subredes IP. Los sitios suelen representar la estructura física de la red.
Dominio .- Un dominio tiene un nombre único y permite el acceso a las cuentas de usuario y de grupo centralizadas mantenidas por el administrador del dominio. Cada dominio tiene sus propias directivas de seguridad y relaciones de seguridad con otros dominios, y representa límite de seguridad en una red Windows 2003. Active Directory está compuesto de uno o varios dominios, cada uno de los cuales puede abarcar más de una ubicación física. Los dominios representan la estructura lógica de la organización.
Unidad Organizativa .- Es un objeto contenedor de Active Directory que se utiliza en los dominios. Las Unidades Organizativas son contenedores lógicos en los que pueden colocarse usuarios, grupos, equipos y otras Unidades Organizativas. Sólo pueden contener objetos de su dominio principal. Una U.O. es el ámbito más pequeño al que se puede aplicar una Directiva de Grupo.
Directivas de Equipo y de Usuario
Según el planteamiento expuesto en el apartado anterior, asignaremos una Directiva de Grupo de primer nivel en el dominio, para que sea aplicada de forma común a todos los usuarios del dominio "micentro.edu" (profesores y alumnos de nuestro centro). En esa misma Directiva de Grupo asociada al dominio, modificaremos las directivas asociadas a los equipos, para que se apliquen de forma común a todos los equipos del dominio (ubicados por defecto en la carpeta "Computers"); si hubiera alguna contradicción en dicha Directiva de Grupo entre las políticas de usuario y las de equipo, prevalecerían estas últimas frente a las primeras.
Por debajo del dominio "micentro.edu", definiremos 2 nuevas directivas de grupo, una asociada a la Unidad Organizativa "Profesores", en la cual especificaremos las políticas que deseamos se apliquen únicamente a los profesores, y la otra asociada a la U.O. "Alumnos", en el cual especificaremos las directivas propias únicamente de los alumnos del centro.
Unidades Organizativas
Para poder asociar las Políticas o Directivas de Grupo deseadas a los usuarios o equipos de nuestro dominio, vamos a crear una estructura de Unidades Organizativas que nos permita gestionar dichas directivas como deseemos.
Obviamente la estructura de U.O. que crearemos a continuación no debe ser un "estándar" a aplicar en cualquier centro; cada administrador deberá, en función de las necesidades propias de su centro, planificar las U.O. que debe crear, así como estructurarlas adecuadamente, para que las Directivas de Grupo se apliquen como desee.
En nuestro planteamiento, como las directivas asociadas a los Equipos del dominio serán siempre las mismas, no necesitamos crear ninguna U.O. para asociar las directivas a los equipos, pues asociándolas al dominio "micentro.edu" se aplicarán de forma automática a todos los equipos del dominio.
Entre las directivas que vamos a asociar a los Usuarios del dominio, habrá algunas comunes para todos los usuarios de nuestro centro (profesores y alumnos), las cuales asociaremos igualmente al dominio "micentro.edu", pero como habrá algunas directivas que serán aplicadas a los profesores pero no a los alumnos y viceversa, crearemos 2 contenedores de nombres respectivos "Profesores" y "Alumnos" bajo del dominio "micentro.edu". En la U.O. "Profesores" definiremos las directivas propias de los profesores y en la U.O. "Alumnos" las directivas propias de los alumnos, de modo que dichas directivas se apliquen posteriormente a la propia del dominio, según el orden indicado en el apartado anterior.