Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La aplicación de directiva de grupo determina qué objetos de directiva de grupo (GPO) se aplican a usuarios o equipos y aplica la configuración correspondiente. Una comprensión sólida del procesamiento de directivas de grupo es esencial para planear e implementar de forma eficaz las configuraciones de directiva de grupo. Comprender el procesamiento de directivas de grupo comienza con el concepto de ámbito. El ámbito define qué GPO son aplicables a un usuario o equipo, determinado por su posición en Active Directory (AD). Estableces el ámbito vinculando GPO a sitios, dominios o unidades organizativas (UO) en Active Directory (AD).
¿Qué es un ámbito?
El ámbito de un GPO hace referencia al intervalo de usuarios y equipos a los que se puede aplicar la configuración de directiva. Comprender el ámbito ayuda a los administradores a controlar dónde y a quién se aplican sus directivas. Cambiar el alcance de los objetos de directiva de grupo afecta a qué configuraciones de directiva se aplican y cuáles no. Puede cambiar el ámbito de la directiva de grupo mediante el orden de procesamiento, el filtrado y las opciones de vínculo. Para determinar el ámbito de un usuario o equipo específico, puede comprobar su nombre distintivo en AD. El nombre distintivo identifica de forma única el objeto e indica su posición dentro de la estructura de directorios. Por ejemplo:
CN=Kim Askers,OU=Human Resources,DC=corp,DC=contoso,DC=com
CN=Kim Askers: esta parte identifica el nombre común (CN) del objeto, que suele ser el nombre de una persona si el objeto representa a un usuario.
OU=Recursos humanos: este es el nombre de la unidad organizativa, que es un contenedor dentro del directorio. Normalmente representa un departamento o grupo dentro de la organización.
DC=corp: se trata de un componente de dominio que representa parte del nombre de dominio.
DC=contoso: otro componente de dominio, combinado con los demás, compila el dominio
contoso.com.DC=com: componente de dominio de nivel superior, en este caso,
.com.
En conjunto, estos componentes forman una ruta de acceso única que identifica el objeto (por ejemplo, Kim Askers en la unidad organizativa de recursos humanos) dentro de la corp.contoso.com estructura de directorios del dominio.
Tipos de ámbito de GPO
La administración eficaz de la directiva de grupo requiere una comprensión clara de cómo el ámbito de GPO controla la aplicación de la configuración de directiva a los usuarios y los equipos. La configuración cuidadosa del ámbito de GPO permite a los administradores aplicar directivas a usuarios y equipos específicos, mejorando la seguridad y simplificando la administración en toda la organización. Comprender estos tipos de ámbito y sus interacciones es fundamental para resolver conflictos y mantener una organización eficaz. Revise la siguiente información para obtener más información sobre estos tipos de ámbito.
Vinculación
La vinculación hace referencia al proceso de asociar un GPO con un objeto contenedor en AD. Puede vincular GPO a los siguientes tipos de objetos de contenedor:
Objetos locales: cada máquina Windows tiene un GPO local que se aplica primero. Los GPO locales son útiles para definir directivas que se deben aplicar independientemente de la pertenencia al dominio del usuario, especialmente en situaciones en las que una máquina no está conectada a una red. Sin embargo, tienen la prioridad más baja en un entorno de AD, lo que significa que los GPO basados en dominio pueden invalidar la configuración definida localmente.
Objetos de sitio: representan agrupaciones físicas o lógicas de equipos, que pueden abarcar varios dominios. Se aplican después de los GPO locales. Un sitio de AD representa un segmento físico o lógico de la red. Los GPO basados en sitio se pueden usar para aplicar la configuración a todos los equipos dentro de una ubicación geográfica específica. No se utilizan con tanta frecuencia como las GPOs de dominio o las GPOs de unidades organizativas (OU), dado su ámbito más amplio y la potencial complejidad en su configuración.
Objetos de dominio: abarque todos los usuarios y equipos de un dominio específico, incluidas las unidades organizativas que contiene. Se aplican después de los GPO del sitio. Los GPO de nivel de dominio se usan para aplicar la configuración en todos los usuarios y equipos de ese dominio. Puesto que se aplican en el nivel de dominio, tienen más autoridad en comparación con las directivas locales y de sitio y pueden invalidarlos.
Objetos de unidad organizativa: permite la agrupación más granular dentro de un dominio, lo que admite unidades organizativas anidadas, usuarios y equipos. Tienen el mayor nivel de prioridad en la jerarquía de la aplicación de GPO. Permiten el control más granular, ya que se pueden aplicar a grupos específicos de usuarios o equipos dentro del dominio. Cuando se anidan varias UO, los GPO de las UO de nivel más alto se aplican primero, y los de UO de nivel inferior (más cercanas al objeto, ya sea un usuario o un equipo) se aplican en último lugar y, por tanto, pueden invalidar la configuración de UO de nivel superior.
Estos objetos de contenedor definen los límites de la aplicación de GPO. Al vincular un GPO a un sitio, un dominio o una unidad organizativa, se controla qué usuarios y equipos de esos contenedores reciben la configuración de directiva. No se puede vincular un GPO directamente a un objeto de usuario. Sin embargo, al concatenar los componentes de nombre distintivos de izquierda a derecha, puede realizar un seguimiento de la secuencia de objetos de contenedor (sitios, dominios, UNIDADES organizativas) que son capaces de aplicar la directiva de grupo al usuario. En este ejemplo:
CN=Kim Askers,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=RandD,DC=corp,DC=contoso,DC=com
DC=corp,DC=contoso,DC=com
Cada una de estas ubicaciones representa un nivel en la jerarquía de AD donde se puede aplicar la directiva de grupo. El servicio de directiva de grupo recopila todos los GPO vinculados a estos contenedores para determinar qué directivas están en el ámbito de un usuario o equipo. El procesamiento comienza con la unidad organizativa más cercana al usuario o equipo y mueve la jerarquía al dominio. Este proceso da como resultado una lista de GPO que se pueden aplicar al usuario o equipo. Sin embargo, no todos los GPOs de esta lista se aplican necesariamente, ya que factores adicionales, como las opciones de filtrado y conexión, pueden afectar su aplicación.
Atributo GPLink
La vinculación de directivas de grupo es posible en sitios, dominios y unidades organizativas de AD porque cada uno de estos objetos contiene un atributo GPLink. Aunque el atributo GPLink se define en el esquema de AD como una cadena con un solo valor, la directiva de grupo la trata como si fuera multivalor. La Consola de administración de directivas de grupo (GPMC) almacena el atributo GPLink con el siguiente formato:
[distinguishedNameOfGroupPolicyContainer;linkOptions][...][...]
El distinguishedNameOfGroupPolicyContainer token es el nombre único del contenedor de directivas de grupo (GPC) en AD. Cada GPO tiene dos partes: la plantilla de directiva de grupo (almacenada en el sistema de archivos) y el GPC (almacenado en la partición de dominio de AD).
El linkOptions token es un entero que especifica las opciones de vínculo para el objeto de directiva de grupo. Puede habilitar o deshabilitar un vínculo de GPO y también puede establecerlo como obligatorio. El valor linkOptions es una máscara de bits, lo que permite combinar estas configuraciones para controlar cómo se aplica el GPO. Por ejemplo:
Habilitado (0x0): Este valor significa que el vínculo de GPO está activo y se aplica normalmente. Cuando no se establecen opciones especiales, el estado predeterminado está habilitado, que corresponde a un
linkOptionsvalor de0x0.Deshabilitado (0x1): Cuando el vínculo está deshabilitado, significa que el GPO no se aplica en absoluto, incluso si está vinculado al contenedor. Esto corresponde a establecer el primer bit, con un valor
linkOptionsde0x1.Aplicado (0x2): Cuando se establece un vínculo de GPO en Aplicado, su configuración invalida cualquier configuración en conflicto de otros GPO no aplicados, independientemente de su posición en el orden de procesamiento. En la GPMC, un enlace forzado se indica mediante un icono de candado en la política vinculada. La configuración de GPO forzada siempre se aplica, incluso si se bloquea la herencia de directivas a nivel de unidad organizativa.
Cuando se deshabilita el vínculo de un GPO, se impide que el servicio de Directivas de Grupo considere ese GPO cuando aplica las políticas a los usuarios o equipos seleccionados. Los vínculos de GPO se almacenan en una secuencia en donde cada vínculo se representa mediante un distinguishedNameOfGroupPolicyContainer y linkOptions, que están encerrados entre corchetes ([ ]) y separados por punto y coma (;). El servicio de directiva de grupo lee esta secuencia de izquierda a derecha. Cuando se vincula un nuevo GPO, su entrada se inserta al principio de esta secuencia, desplazando las entradas existentes hacia la derecha. Esto significa que la secuencia se reordena continuamente con el GPO vinculado más recientemente al frente.
Aunque los GPO se leen de izquierda a derecha, se aplican en orden inverso, con el último GPO de la secuencia (más a la derecha) que se aplica primero. Este proceso de reversión asigna prioridad, el primer GPO de la secuencia tiene la prioridad más baja porque se aplica primero, pero se puede invalidar por cualquier GPO posterior. Cada GPO siguiente tiene una prioridad progresivamente mayor, siendo capaz de invalidar las que vinieron antes de ella. Por lo tanto, el último GPO de la secuencia tiene la prioridad más alta, ya que puede reemplazar a todos los demás si hay algún conflicto en la configuración. Este orden garantiza que las directivas más recientes vinculadas sean las más dominantes.
Por ejemplo, supongamos que tiene los siguientes GPO:
- GPO1:
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0] - GPO2:
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0] - GPO3:
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
El atributo GPLink podría tener este aspecto:
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
El orden GPLink podría tener este aspecto:
- 1º (GPO3):
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0] - 2º (GPO2):
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0] - 3º (GPO1):
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
El orden de la aplicación podría tener este aspecto:
- 1º (GPO1):
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0](aplicado en último lugar, prioridad más alta) - 2º (GPO2):
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0] - 3º (GPO3):
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0](aplicado primero, prioridad más baja)
Filtrado para direcciones GPO
Al administrar la directiva de grupo en AD, el filtrado de seguridad y el filtrado WMI son herramientas esenciales para refinar a qué usuarios y equipos se aplica un GPO. Estos mecanismos de filtrado permiten a los administradores dirigirse con precisión a los GPO, lo que permite una implementación de directivas eficaz y flexible en varios entornos de TI.
Filtrado de seguridad
El filtrado de seguridad en la directiva de grupo es un método para determinar qué usuarios o equipos pueden aplicar un GPO determinado. Esto se basa en los permisos establecidos en AD. Para aplicar un GPO, se deben conceder los permisos Leer y Aplicar Directiva de Grupo al usuario o equipo. El servicio de directiva de grupo evalúa cada GPO para ver si los permisos necesarios están presentes. Si un usuario o equipo tiene los permisos necesarios, el GPO se incluye en la lista de GPO aplicables para ese usuario o equipo.
Filtrado de WMI
El filtrado de Instrumentación de administración de Windows (WMI) acota aún más qué GPO se aplican mediante consultas que evalúan determinadas condiciones en el sistema de destino. WMI permite a los administradores crear consultas basadas en características del sistema, sistemas operativos y otros componentes administrados para determinar la aplicabilidad del GPO. Estas consultas dan como resultado un resultado verdadero o falso, lo que influye en si el GPO sigue siendo aplicable. Si el resultado de la consulta WMI es "true", el GPO permanece en la lista filtrada, pero de lo contrario, se quita.
En resumen, el filtrado de seguridad utiliza la configuración de permisos para determinar la aplicabilidad del GPO, lo que garantiza que solo los usuarios y los equipos con los derechos de acceso adecuados puedan aplicar las directivas. Mientras tanto, el filtrado de WMI utiliza atributos y condiciones del sistema mediante consultas para perfeccionar la aplicación de políticas. Juntos, estos procesos funcionan conjuntamente para finalizar la lista de GPO relevantes para un usuario o equipo determinado en un solo ciclo.
Resolución de conflictos de GPO
Cada GPO contiene varias opciones de configuración de directiva y es habitual que varios GPO definan la misma configuración, lo que conduce a posibles conflictos. Considere la posibilidad de que dos empleados intenten reservar la misma sala de reuniones al mismo tiempo, solo se respeta la última reserva realizada, reemplazando a la anterior. Para administrar estos conflictos, la directiva de grupo utiliza una técnica denominada "last-writer-wins". Este método resuelve conflictos en función del orden de aplicación, donde el GPO aplicado más recientemente tiene prioridad. El orden de la aplicación viene determinado por una jerarquía. En primer lugar, las directivas se aplican en el nivel Local, seguidas del sitio, el dominio y la unidad organizativa. Dentro de la misma ubicación de AD, los GPO se aplican según su orden de vínculo establecido en GPMC.
Aunque la resolución de conflictos a menudo aborda entornos vinculados en diferentes ubicaciones de AD, los conflictos también pueden producirse entre los GPO vinculados a la misma ubicación. En estos casos, la directiva de grupo sigue usando el enfoque de "el último en escribir gana" para determinar qué configuración tiene prioridad. El orden en el que se aplican los GPO en una ubicación de AD determinada se define por su orden de enlace en la GPMC. Comprender cómo se vinculan y ordenan los GPO en GPMC es clave para predecir qué configuración se aplica cuando surgen conflictos en la misma ubicación de AD.