Entendiendo el funcionamiento de las GPO – Parte II – Heredada, bloqueada y exigida

windows-server-2008-r2-logo

Ya vimos en el primer artículo sobre el funcionamiento de las GPO como se creaban GPOs, como se vinculan, y como se administran, pero también vimos en la parte más teórica como funcionaba todo esto, como todo tenía una estructura jerárquica y somo era algo imprescindible el conocer y tener en cuenta, en esta ocasión me voy a centrar precísamente en aspecto del trabajo con GPOs en Active Directory.

De entre las figuras de Active Directory (aquí tenemos otro artículo interesante que nos va a ayudar) destacamos principalmente tres a la hora de tratar con las GPOs.

  1. Los sitios de Active Directory
  2. Los dominios de Active Directory
  3. Las Unidades Organizativas de Active Directory

Si le damos un vistazo al artículo podemos ver estas tres figuras claramente, por ejemplo en esta imagen:





En esta imagen se puede ver lo que es todo el sitio de Active Directory y a continuación dejo una con un poco más de “zoom” donde veremos el dominio y los componentes del mismo, entre ellos, las OU también conocidas como Unidades Organizativas.



Aquí se puede ver un sitio más pequeño formado por un dominio y un subdominio con servidores, usuarios, Unidades Organizativas etc…

Si alguién se esta preguntando porque en esto de las directivas no contemplo al Usuario como un objeto aún más pequeño que las Unidades Organizativas la respuesta es bien sencilla, cuando trabajas con directivas, acaso cuando quieres aplicar una a un usuario ¿No haces a este formar parte de una Unidad Organizativa y posteriormente le aplicas las directivas requeridas? es por esto que la Unidad Organizativa es el elemento más pequeño que vamos a trabajar en el tema de las GPOs.

Ahora que ya hemos refrescado un poco la mente vamos con lo que nos ocupa de verdad en este artículo.

Herencia de GPOs
Como se ha estado hablando y recalcando una y otra vez todo este mundo de Active Directory esta estructurado jerárquicamente, bien, esto quiere decir que si yo aplico una GPO al nivel más alto del dominio, bosque o Sitio, se propagará a todos los elementos inferiores y se aplicará a estos de forma predeterminada, vamos con un ejemplo:



Lo que estoy diciendo es lo siguiente, si yo aplico una GPO al Bosque (circulo que agrupa todos los árboles y dominios etc de color gris) esta GPO la heredarán de forma automática todos los componentes de este Sitio o Bosque de Active Directory.

Bloqueo de Herencia de GPOs
Obviamente puede resultar muy muy interesante aplicar una GPO de seguridad muy elemental para todos los usuarios del sitio pero… ¿Y que pasa entonces con los administradores de la red? pues si, estos también sufren los efectos de estas y es por ello que podremos crear otras GPOs con estos dentro y evitar que dichas GPOs se apliquen con lo que otorga un mayor control a la hora de aplicar GPOs en infraestructuras de red grandes.

GPOs exigidas
Visto todo lo visto y dicho todo lo dicho esta es la última pieza que nos falta para un control total de la red, porque si, estaá muy bien que se puedan heredar todas las directivas y propagarlas por el Sitio sin problemas, esta bien que algunos grupos de administradores puedan impedir la aplicación de estas, pero… ¿Y si resulta que nosotros estamos encargados de gestionar toda la seguridad del Sitio y tenemos la necesidad de aplicar una directiva a todos los usuarios de la red? ¿Y si es imprescindible que tanto usuarios “normales” como administradores se vean afectados por esta? pues nada chicos, para esto tenemos la opción de “Exigir” aunque yo empezaría por exigir un aumento de sueldo… pero bien, como vemos tenemos con tres sencillas reglas todo bajo control, repaso rápido y vamos con vídeo.

Las GPOs se heredan y con esto podemos desplegar fácilmente una serie de directivas comunes en toda la red, sitio Bosque etc…

Las GPOs se pueden bloquear… y con esto podemos conseguir que una directiva aplicada de forma general para todos los usuarios del dominio no afecte a administradores de la red u otros usuarios específicos.

GPOs exigidas, con estas podemos forzar la aplicación aun cuando una OU o Dominio trata de Bloquear la herencia de directivas desde niveles superiores…



Y bueno amigos y amigas ya ha empezado un nuevo año y aunque estoy un poquito malito he querido hacer un esfuerzo y dejar ya el primer vídeo del año, que si hubiera podido lo hubiera publicado ayer pero bueno… más vale tarde que nunca.

Un saludo y FELIZ AÑO 2012 A TODOS!!

Sin categoría

Deja una respuesta