Directivas

La directiva de usuario es el nivel de directiva más bajo que se puede administrar. Cada usuario tiene un archivo de configuración de directiva individual. Los cambios que se hagan en este nivel de directiva sólo se aplican al usuario que ha iniciado la sesión actual. El nivel de directiva de usuario se restringe a lo que puede especificar.

Puesto que este nivel lo puede configurar el usuario que ha iniciado la sesión actual, los administradores del nivel de directiva de empresa deben ser conscientes de que el usuario puede alterar los cambios de directiva realizados en el nivel de directiva de usuario. El nivel de directiva de usuario no puede dar a un ensamblado más permisos que los especificados en los niveles de directiva superiores. Sin embargo, el nivel de directiva de usuario puede reducir los permisos, lo que podría ocasionar que las aplicaciones dejaran de funcionar correctamente. Si se aplica el atributo LevelFinal a un grupo de código en el nivel de equipo o de empresa, el nivel de usuario no puede endurecer las decisiones de directiva tomadas en esos niveles.

La administración del nivel de usuario es adecuada en algunas situaciones para endurecer la seguridad. Por ejemplo, un usuario puede decidir endurecer la directiva de seguridad para los ensamblados cuyo origen es la zona de la intranet local si allí se encuentra código que no es de confianza. Puede considerar la posibilidad de administrar la directiva en este nivel si es un usuario en una red corporativa y piensa que la configuración de la seguridad no es lo suficientemente estricta.

 

 

¿Qué es una directiva de grupo?

 Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Por ejemplo, tenemos políticas para:

·        Establecer el título del explorador de Internet

·        Ocultar el panel de control

·        Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE

·        Establecer qué paquetes MSI se pueden instalar en un equipo

·        Etc…

¿Cuáles son los tipos troncales de directivas?

Podemos definir dos categorías de tipos troncales de directivas:

1.      Según su función

2.      Según su objeto de configuración

Directivas según su función

Hay dos tipos troncales de directivas según su función:

1.      Directivas de seguridad: ¿Cuántos caracteres tiene una contraseña? ¿Cada cuanto tiempo debe ser cambiada ésta?, etc. Pueden ser aplicadas:

a.      A nivel de dominio: Son aplicadas en todas las máquinas del dominio.

b.      A nivel de controladores de dominio: Se aplican tan sólo en los controladores de dominio, pero sin suplantar a las del dominio (en caso de entrar en contradicción una y otra, se aplica la del dominio, no la de los controladores de dominio).

2.      Directivas de Entorno (GPO -> Group Policy Object): ¿Quién tiene acceso al panel de control? ¿Cuál es el tamaño máximo del archivo de registro de sistema? Pueden ser aplicadas:

a.      A nivel de equipo local

b.      A nivel de sitio

c.      A nivel de dominio

d.      A nivel de Unidad Organizativa (OU -> Organizational Unit).

Directivas según el objeto al que configuran

Respecto al objeto al que configuran también son dos:

                                        

e.      Configuración del equipo: que se divide en:

                                                                          i.      Configuración de software

                                                                        ii.      Configuración de Windows

                                                                      iii.      Plantillas administrativas

f.        Configuración del usuario, que al igual que la de Windows se divide en:

                                                                          i.      Configuración de software

                                                                        ii.      Configuración de Windows

                                                                      iii.      Plantillas administrativas

Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de éstas son diferentes las políticas que se encuentran.

¿Qué objetos son los contenedores de las GPO’s?

Las GPO’s pueden estar contenidas en cuatro tipos de objetos:

1.      Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer).

2.      Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan.

3.      Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.

4.      Unidades Organizativas de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).

¿Cómo se crea, quita o elimina una GPO?

Qué mejor forma de ver cómo se crea una GPO que poniendo un caso práctico. Vamos a obligar a los usuarios del dominio a hacer CTRL+ALT+SUPR para poder iniciar sesión. Para ello abrimos “Usuarios y Equipos de Active Directory”. Hacemos clic derecho sobre el nodo con el nombre del dominio y pulsamos “Propiedades”:

En la ventana que se abre pulsamos la pestaña “Directiva de Grupo”:

Pulsando el botón “Nueva” se creará una nueva GPO debajo de la “Default Domain Policy” a la que llamaremos “Pulsar CTRL+ALT+SUPR”
Si ahora seleccionamos la nueva GPO y pulsamos SUPR en el teclado podríamos quitar la GPO de la lista o eliminarla de Active Directory. Quitar de la lista evita que se aplique la GPO, pero sigue existiendo en Active Directory, de forma que podrá ser utilizada más adelante o en otro contenedor; eliminar hace que la GPO sea eliminada de Active Directory. Pulsamos “Cancelar”

Ya tenemos creada la GPO; ahora debemos modificar la política para que obligue a los usuarios del dominio a hacer CTRL+ALT+SUPR para iniciar sesión en los equipos.

¿Cómo se definen políticas?

Si seleccionamos con el ratón la GPO que hemos creado y pulsamos el botón “Modificar” se nos abrirá una consola de directiva de grupo:

Nos desplazamos en el árbol a “Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas locales/Opciones de seguridad”:

                                                                                          

Hacemos doble click sobre la directiva “Inicio de sesión interactivo: no requerir Ctrl.+Alt+Supr” y podremos definir ésta política como deshabilitada:

La casilla “Definir esta configuración de directiva” tiene el efecto:

Marcada	La política quedará definida con el valor seleccionado en las opciones de debajo.
Sin Marcar	La política hereda su definición o no y si está habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio).

A su vez, cuando la casilla está marcada podemos elegir entre las opciones:

Habilitada	Hace que la política quede habilitada. Esto significa que se realizará la configuración que la propia política define con su nombre y por tanto, en nuestro ejemplo, provoca que no sea necesario que el usuario pulse CTRL+ALT+SUPR para iniciar sesión.
Deshabilitada	Cuando se deshabilita la política, se impide que se realice la configuración que la propia política define con su nombre. Por tanto, en el ejemplo, obliga al usuario a pulsar CTRL+ALT+SUPR para iniciar sesión.