Directiva de Grupo

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

Directiva de Grupo es una característica de Windows NT, familia de Sistemas Operativos. Directiva de grupo es un conjunto de reglas que controlan el medio ambiente de trabajo de cuentas de usuario y cuentas de equipo. Directiva de grupo proporciona la gestión centralizada y configuración de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de Active Directory. En otras palabras, la Directiva de Grupo, en parte, controla lo que los usuarios pueden y no pueden hacer en un sistema informático. Aunque la Directiva de Grupo es más frecuente en el uso de entornos empresariales, es también común en las escuelas, las pequeñas empresas y otros tipos de organizaciones más pequeñas. Directiva de grupo a menudo se utiliza para restringir ciertas acciones que pueden presentar riesgos de seguridad potenciales, por ejemplo: Bloquear el acceso al Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.

Como parte de Microsoft's IntelliMirror technologies, la Directiva de Grupo tiene como objetivo reducir el costo de soporte a los usuarios. IntelliMirror technologies relaciona la gestión de las máquinas desconectadas o usuarios móviles e incluyen perfiles de usuario móviles, la redirección de carpetas y archivos sin conexión.

Objetos de Directiva de Grupo no necesita necesariamente de Active Directory, Novell ha dado soporte a los perfiles móviles de Windows 2000 con ZENworks Desktop Management, paquete de software, y a partir de Windows XP también da soporte a la Política de Objetos de Directiva de Grupo.

Información General[editar]

Windows Management Instrumentation (WMI) de filtrado es el proceso de personalización del ámbito de aplicación de la GPO por la elección de un filtro WMI a aplicar.

GPO (Group Policy Object) Actualizado[editar]

El cliente de la Directiva de Grupo se actualiza la configuración de directiva para estaciones de trabajo y servidores en un determinado modelo - cada 90 minutos (por defecto) (controladores de dominio cada 5 minutos) con una muestra aleatoria del 20% +/- desplazamiento. Durante este período de actualización que recogerá la lista de GPO apropiados a la máquina y el usuario con sesión iniciada (en su caso). El cliente de Directiva de Grupo a continuación, se aplicarán los GPO que posteriormente afectarán el comportamiento de la política-habilitada componentes del sistema operativo. Algunos ajustes, sin embargo, sólo se aplican durante el reinicio o inicio de sesión del usuario de la computadora (por ejemplo, instalación de software para ordenadores y la asignación de unidades para los usuarios).

Puesto que Windows XP, una actualización de la Directiva de Grupo puede ser iniciado manualmente por el usuario a través del "gpupdate" desde un símbolo del sistema.

Directiva de Grupo Local[editar]

Directiva de Grupo Local (LGP) es una versión más básica de la directiva de grupo utilizado por Active Directory. En las versiones de Windows anteriores a Windows Vista, LGP puede configurar la directiva de grupo para un equipo local único, pero a diferencia de la Directiva de Grupo de Active Directory, no puede hacer políticas para usuarios individuales o grupos. También tiene muchas menos opciones en general que Active Directory Group Policy. El usuario específico limitado, puede superar mediante el Editor del Registro para realizar cambios en las claves HKCU o HKLM. LGP simplemente hace cambios en el registro bajo la clave HKLM, lo que afecta a todos los usuarios. Los mismos cambios se pueden hacer bajo HKCU o HKCU que afectan sólo a determinados usuarios. Microsoft tiene más información sobre cómo utilizar el Editor del Registro para configurar la directiva de grupo disponible en TechNet. LGP se puede utilizar en un equipo de un dominio, y puede ser utilizado en Windows XP Home Edition. Windows Vista es compatible con múltiples objetos de directiva de grupo local (MLGPO), que permite la configuración de Directiva de Grupo Local para los usuarios individuales.

Orden de procesamiento para la configuración de la política[editar]

Las Directivas de Grupo se procesan en el orden siguiente:

  1. Objetos Local Group Policy - Se aplica a los ajustes en la política local el equipo (acceso ejecutando gpedit.msc). Anteriores a Windows Vista, sólo había una política de grupo local almacenado por computadora. En la actualidad hay grupo de póliticas individuales ajustables por cuenta de una máquina de Windows Vista y 7.
  2. Sitio - A continuación, el ordenador procesa todas las políticas de grupo que se aplican al sitio que se encuentran actualmente al equipo. Si las políticas son múltiples vinculados a un sitio de estos se procesan en el orden establecido por el administrador utilizando la Directiva de Grupo de Ficha de Objetos vinculados, las políticas con la menor orden de vínculos se procesa en último lugar y tiene la mayor prioridad.
  3. Dominio - Cualquier políticas aplicadas en el nivel de dominio (ámbito de la política por defecto) se procesan a continuación. Si las políticas son múltiples vinculados a un dominio de estos se procesan en el orden establecido por el administrador utilizando la Directiva de Grupo de Ficha de Objetos vinculados, las políticas con el fin de vincular más bajo se procesa en último lugar y tiene la mayor prioridad.
  4. Unidad organizativa - Último grupo de políticas asignado a la unidad organizativa que contiene la computadora o el usuario que se procesan. Si las políticas son múltiples vinculados a una unidad organizativa estos se procesan en el orden establecido por el administrador utilizando la Directiva de Grupo Ficha de Objetos vinculados, las políticas con el fin de vincular más bajo se procesa en último lugar y tiene la mayor prioridad.
  • Herencia - La herencia puede ser bloqueado o ejecutada en el control de las políticas que se aplican en cada nivel. Si un administrador de nivel superior (administrador de la empresa) crea una política que tiene la herencia bloqueada por un administrador de nivel inferior (administrador de dominio) esta política seguirá siendo procesada.

Cuando una Directiva de Grupo de Configuración de las preferencias se configura y también hay un equivalente de directiva de grupo Marco configura entonces el valor de la configuración de Directiva de grupo que tendrá prioridad.

Grupo de Preferencias de Directivas[editar]

Son un conjunto de la política de grupo de ajustes y extensiones que se conocía anteriormente como de políticas. Microsoft compró PolicyMaker y luego integrado con Windows Server 2008. Microsoft ha lanzado desde entonces una herramienta de migración que permite a los usuarios migrar los elementos de PolicyMaker de preferencias de Directivas de Grupo.

Preferencias de Directiva de Grupo añade una serie de elementos de configuración nuevos. Estos elementos también tienen un número de nuevas opciones de orientación que se puede utilizar para controlar granular de la aplicación de estos elementos de configuración.

Preferencias de directiva de grupo son compatibles con x86 y x64 versiones de Windows XP, Windows Server 2003 y Windows Vista con la adición de las extensiones de cliente (también conocida como CSE).

Client Side Extensions se incluyen en Windows Server 2008, Windows 7 y Windows Server 2008 R2.

Seguridad[editar]

Grupo de configuración de la directiva se aplican voluntariamente por las aplicaciones específicas. En muchos casos, esto sólo consiste en deshabilitar la interfaz de usuario para una función determinada, sin desactivar el nivel más bajo de los medios para acceder a él.

Por otra parte, un usuario malévolo puede modificar o interferir con la aplicación para que con éxito no puede leer su configuración de Directiva de grupo por lo tanto la aplicación de valores por defecto potencialmente más bajos de seguridad o volver incluso valores arbitrarios.