Implementación del ámbito y la herencia de los GPO

  • 7 minutos

La configuración de directiva de los GPO define su configuración. Sin embargo, debe especificar los equipos o los usuarios a los que se aplica el GPO antes de que los cambios de configuración de un GPO afecten a los equipos o usuarios de la organización. A esto se le denomina delimitar el ámbito de un GPO. El ámbito de un GPO es la colección de usuarios y equipos que aplicarán la configuración en el GPO.

Importante

Para delimitar el ámbito de un GPO, debe vincularlo a una unidad organizativa que contenga los usuarios y los equipos de destino.

Delimitación del ámbito de un GPO

Puede usar varios métodos para administrar el ámbito de los GPO basados en dominio. El primero es la vinculación del GPO. En AD DS, puede vincular los GPO a:

  • Sitios
  • Dominios
  • Unidades organizativas

El sitio, dominio o unidad organizativa pasa a ser entonces el ámbito máximo del GPO. Los valores que especifica la configuración de directiva en el GPO afectarán a todos los equipos y usuarios del sitio, dominio o unidad organizativa, incluidos los de las unidades organizativas secundarias. Puede vincular un GPO a más de un dominio, unidad organizativa o sitio.

Precaución

La vinculación de los GPO a varios sitios en un bosque con múltiples dominios puede generar problemas de rendimiento al aplicar la directiva, por lo que debe evitar la vinculación de los GPO a varios sitios en esta situación. Esto se debe a que, en una red de varios sitios y bosques múltiples, los GPO se almacenan en los controladores del dominio en el que se crearon dichos objetos. Como consecuencia, puede que los equipos de otros dominios tengan que recorrer un vínculo de red de área extensa (WAN) lenta para obtener los GPO.

Para restringir aún más el ámbito del GPO, aplique uno de los dos tipos de filtros que se describen en la tabla siguiente.

Filtro

Descripción

Seguridad

Especifican grupos de seguridad o bien objetos de usuario o de equipo individuales relacionados con el ámbito de un GPO, pero a los que el GPO debe aplicarse o no explícitamente.

WMI

Especifican un ámbito mediante el uso de las características de un sistema, como una versión de sistema operativo o el espacio libre en disco.

Captura de pantalla de la consola de administración de directivas de grupo. El administrador ha seleccionado un GPO vinculado a la unidad organizativa marketing. En el panel de detalles se muestra un filtro WMI denominado Dispositivos Windows 10 y un filtro de seguridad establecido en el grupo Marketing.

Use los filtros de seguridad y los filtros WMI para restringir o especificar dentro del ámbito inicial el ámbito creado por el vínculo del GPO. A continuación, se muestra un ejemplo de un filtro WMI que da como resultado una lista de los equipos que ejecutan Windows 10.

select * from Win32_OperatingSystem where Version like "10.%"

Orden de procesamiento de los GPO

Los GPO que se aplican a un usuario, a un equipo o a ambos no se aplican a la vez. Se aplican en un orden determinado. Los valores en conflicto que se procesen posteriormente pueden sobrescribir otros valores que se procesen en primer lugar.

La directiva de grupo sigue el orden jerárquico de procesamiento siguiente:

  1. GPO locales.
  2. GPO vinculados a un sitio.
  3. GPO vinculados a un dominio.
  4. GPO vinculados a una unidad organizativa.
  5. GPO secundarios vinculados a una unidad organizativa.

Importante

En la aplicación de directiva de grupo, la regla predeterminada es que prevalece la última directiva aplicada (la más específica).

Por ejemplo, una directiva aplicada en el nivel de unidad organizativa para los objetos incluidos en esa unidad organizativa concreta puede revertir otra directiva que restrinja el acceso al panel de control aplicada en el nivel de dominio.

Si vincula varios GPO a una unidad organizativa, su procesamiento se produce en el orden en que el administrador especifica en la pestaña Objetos de directiva de grupo vinculados de la unidad organizativa en la Consola de administración de directivas de grupo. De forma predeterminada, el procesamiento está habilitado para todos los vínculos de GPO. Puede deshabilitar el vínculo de GPO de un contenedor para bloquear por completo la aplicación del GPO en un dominio o una unidad organizativa determinados. Por ejemplo, si ha realizado un cambio reciente en un GPO y este causa problemas de producción, puede deshabilitar el vínculo o los vínculos hasta que se resuelva el problema.

Nota:

Ten en cuenta que, si el GPO está vinculado a otros contenedores, estos seguirán procesando el GPO si sus vínculos están habilitados.

También puede deshabilitar la configuración de equipo o usuario de un GPO determinado, independientemente del usuario o equipo. Si se sabe que una sección de una directiva está vacía, deshabilitarla puede acelerar ligeramente su procesamiento. Por ejemplo, si tiene una directiva que solo proporciona la configuración de escritorio del usuario, puede deshabilitar la sección de equipo de la directiva.

Herencia de GPO

Es posible establecer una configuración de directiva en más de un GPO, lo que puede ocasionar que los GPO entren en conflicto entre sí. En este caso, la precedencia de los GPO determina la configuración de directiva que el cliente aplica. Un GPO con mayor precedencia prevalece sobre otro GPO con una precedencia más baja. La precedencia se determina de forma numérica. Cada GPO tiene un valor de precedencia. Cuanto menor sea el número, mayor será la precedencia. Por lo tanto, un GPO cuya precedencia sea uno, prevalece sobre el resto de los GPO.

El comportamiento predeterminado de la directiva de grupo es que los contenedores de un nivel inferior hereden los GPO vinculados a un contenedor de nivel superior. Cuando un equipo se inicia o un usuario inicia sesión, las extensiones de cliente de directiva de grupo examinan la ubicación del equipo o el objeto de usuario en AD DS y evalúan los GPO con ámbitos que incluyen el equipo o el usuario. A continuación, las extensiones del lado cliente aplican la configuración de directiva de estos GPO. Las directivas se aplican secuencialmente, empezando por aquellas que se vinculan al sitio, seguidas de las que se vinculan al dominio y, por último, de las que se vinculan a unidades organizativas. Esta aplicación secuencial de los GPO crea un efecto que se llama herencia de directivas. Las directivas se heredan, lo que significa que el conjunto resultante de directivas (RSoP) para un usuario o equipo será el efecto acumulativo de las directivas de sitio, dominio y unidad organizativa.

Bloquear herencia

Puede configurar un dominio o una unidad organizativa para impedir la herencia de una configuración de directiva. Esto se conoce como bloqueo de la herencia. Para bloquear la herencia, haga clic con el botón derecho o acceda al menú contextual del dominio o la unidad organizativa en el árbol de consola gpMC y, a continuación, seleccione Bloquear herencia.

Captura de pantalla del menú contextual de la Unidad Organizativa Marketing en la consola de administración de directivas de grupo. El administrador ha seleccionado Bloquear herencia.

La opción Bloquear herencia es una propiedad de un contenedor, por lo que bloquea todas las configuraciones de directiva de grupo de los GPO vinculados a elementos primarios de la jerarquía de directivas de grupo.

Precaución

Use la opción Bloquear herencia con moderación, ya que dificulta la evaluación de la precedencia y de la herencia de las directivas de grupo.

Sugerencia

Con el filtrado de los grupos de seguridad, puede definir el ámbito de un GPO detenidamente para que solo se aplique a los usuarios y a los equipos correctos, lo que haría innecesario el uso de la opción Bloquear herencia.

También puede establecer un vínculo de GPO para que se exija. Para aplicar un vínculo de GPO, haga clic con el botón derecho o acceda al menú contextual del vínculo de GPO en el árbol de consola y, a continuación, seleccione Aplicar en el menú contextual.

Captura de pantalla del menú contextual de GPO de configuración de seguridad de dominio de Contoso en la consola de administración de directivas de grupo. El administrador ha seleccionado Aplicado.

Cuando se establece un vínculo de GPO como Exigido, este adquiere el nivel de precedencia más alto. La configuración de directiva de ese GPO prevalece sobre cualquier configuración de directiva en conflicto de otros GPO.

Importante

Los vínculos exigidos se aplican a los contenedores secundarios, incluso cuando dichos contenedores se establezcan en Bloquear herencia. La opción Exigido hace que la directiva se aplique a todos los objetos dentro de su ámbito.

Esta opción es útil cuando debe configurar un GPO que defina una configuración exigida por las directivas de uso y de seguridad de TI corporativas. Por lo tanto, quiere asegurarse de que otros GPO vinculados al mismo nivel o a niveles inferiores no invaliden esa configuración. Para lograrlo, puede exigir el vínculo del GPO.

Evaluación de la precedencia

Para facilitar la evaluación de precedencia de GPO, solo tiene que seleccionar una unidad organizativa o un dominio y, a continuación, seleccionar la pestaña Herencia de directivas de grupo. Esta pestaña muestra la precedencia resultante de los GPO, que tiene en cuenta el vínculo de GPO, el orden del vínculo, el bloqueo de la herencia y la aplicación del vínculo.

Captura de pantalla de la consola de administración de directivas de grupo. El administrador ha seleccionado la pestaña Herencia de directivas de grupo para la unidad organizativa marketing. Se muestran cuatro directivas, dos de las cuales se aplican desde el dominio.

Importante

Esta pestaña no tiene en cuenta las directivas vinculadas a un sitio, la seguridad del GPO ni el filtrado de WMI.