Entendiendo el funcionamiento de las GPO – Parte I

windows-server-2008-r2-logo

Muy buenas amigos y amigas del blog, como ya sabéis los más asiduos de este espacio los últimos contenidos que he ido publicando han estado enfocados a las infraestructuras de árbol de dominio y a las directivas de grupo, todo esto con el fín de generar una serie de contenidos que nos ayuden a entender un poco mejor la forma de trabajar cuando tenemos dos o más servidores y por esto es que hoy quiero hacer un inciso en el tema de la structura jerárquica de Active Directory.

Ya se ha comentado en ocasiones anteriores que la estructura de Active Directory se organiza mediante objetos los cuales se controlan o responden a una estructura jerarquica, de esta forma podemos lograr un control sobre los objetos de la red. Recuerdo también que estos objetos son representaciones lógicas que coresponden principalmente a ubicaciones, sistemas y personas físicas, vamos con un breve repaso de estos objetos.

Ubicaciones
Una ubicación representa un emplazamiento físico, este puede denominarse en la estructura lógica mediante el nombre de la ciudad o país al que pertenece, o porque no, tomando el nombre de una población o sector que nos permita delimitar según nuestras necesidades dichas ubicaciones. La forma de segmentar cada caso dependerá de las necesidaes de la organización.

Sistemas
Los sistemas también deben tener una forma de representarse que nos permitan identificarlos con facilidad por ejemplo:

dc02.soporteti.local
dc01.valencia.soporteti.local
exchange01.argentina.soporteti.local
forefront03.mexico.soporteti.local

En este caso estamos trabajando también con el nombre de la ubicación teniendo en el nombre completo del sistema dentro de la red información muy valiosa que nos permite identificar de un simple vistazo la siguiente información.

  1. Tipo de sistema. Si el sistema lleva el prefijo “dc” entendemos que es un sistema que es controlador de dominio (o subdominio) y que su función es la de gestionar los recursos del directorio active del segmento de la red al que pertenece, ya sea independientemente o con apoyo de otros controladores de dominio, como el primer caso en el que se aprecia el prefijo “dc02” y que nos da a entender que al menos son dos los controladores de dominios encargados de controlar y dar servicios de directorio al nodo soporteti.local
  2. Ubicación. Volvemos a las ubicaciones de nuevo y es que es parte muy importante en grandes organizaciones

Como vemos Active Directory estructura la información de los objetos de forma que podamos representar de forma lógica la estructura física.

Personas físicas
Al final son las personas las que trabajan y explotan todos estos recursos, por esto es parte indispensable que tengan su representación lógica dentro del directorio. Como ya sabemos además estas pueden agruparse mediante grupos de seguridad, distribución o Unidades Organizativas.

Estas al igual que los sistemas también tienen formas de identificarse en el directorio como porjemeplo:

manuel@valencia.soporteti.local
pablo@mexico.soporteti.local
maria@soporteti.local

En estos ejemplos vemos los nombres que podemos emplear para iniciar sesión en los diferentes servidores, que a su vez estan en ubicaciones diferentes.

Bueno, con todo este rollo que acabo de soltar y que a primera vista puede no guardar ninguna relación con las directivas de grupo he tratado de explicar que Active Directory tiene una metodología de trabajo 100% basada en las jerarquías y esto mismo sucede con las directivas porque ¿Que pasa con una directiva aplicacda a un nodo o dominio del cual “cuelgan” dos subdominios? ¿Se aplicarán también estas directivas a los nodos inferiores?

Tal vez preguntas de facil respuesta para muchos pero obviar estos detalles nos hará caer en errores que pueden tener consecuencias muy importantes en el funcionamiento de toda una infraestructura de red, consecuencias que pueden generar graves fallas de seguridad…

¿Que mecanismos existen entonces para controlar el comportamiento o ámbito de actuación de las directivas de grupo?
Pues esta es la pregunta estrella y tranquilo, que los chicos de redmon han pensado en esto y han puesto a nuestra disposición unos mecanismos que nos permiten fácilmente controlar este aspecto.

Cuando trabajamos con directivas debemos saber que podemos asignar diferentes GPO a un mismo ámbito, es decir podemos tener las siguientes GPO:

GPO de control de contraseñas
GPO de control de horarios
GPO global de la compañia

Pues estas tres GPO podríamos aplicarlas a por ejemplo una OU o domino, esta acción se denomina vincular GPO y podemos vincular un GPO a multiples OU o dominios simultáneamente, pero entonces… ¿Cual de estas tiene prioridad sobre las demás?

Cuando estamos vinculando los GPO sobre, por ejemplo, una Unidad Organizativa, se establece un orden numerado que establece la prioridad a la hora de aplicar las directivas de los diferentes GPO, por ejemplo, podemos tener una GPO que establezca que solo se puede iniciar sesión de Lunes a Viernes de 08:00 a 20:30 y una segunda GPO que establece que el horario de inicio de sesión es de 9:00 a 20:00 de Lunes a Sábado… bien, como vemos hay un conflicto ya que cada una de estas GPO establece unos parámetros diferentes.

En este caso tendría mayor validez la que tenga una prioridad más alta, vamos con una imágen.


GPOs en Windows Server 2008 r2

GPOs en Windows Server 2008 r2


Aquí se ve claramente como sobre la Unidad Organizativa Soporteti se han vinculado tres GPOs distintas que son las siguientes:

GPO de control de controladores
Default Domain Controllers Policy
GPO Artículo directivas

Si nos fijamos en el área derecha de la imagen vemos que estas están numeradas, pues bien, estos números establecen las prioridades a la hora de aplicar directivas y que exista un conflicto entre dos directivas distintas como en el ejemplo que he expuesto unas líneas más arriba.

Para terminar voy a realizar un pequeño vídeo en el que voy a explicar esto de vincular las directivas y establecer las prioridades, vamos con el vídeo.



Y bueno amigos, creo que con este artículo tendréis para un ratito, espero que no resulte complejo ni demasiado técnico ya que la idea no es soltar un ladrillo apoteósico para despedir el año si no realizar un buen artículo de introducción al tema de las directivas y delas GPOs, aunque tal vez me he pasado un poco con la introducción espero se entienda el tema de la jerarquía.

sin más me despido amigos y amigas del blog, un saludo!!

Sin categoría

Deja una respuesta