Maximum autocorrelation factor (MAF) analysis

Las directivas de grupo se vinculan a un contenedor, a partir de entonces la aplicación se realiza en un orden estricto.

1. Los vínculos de una directiva de grupo

Después de la etapa de creación y de prueba, debemos unir la directiva a su contenedor definitivo. Esta unión consiste en efectuar un vínculo entre la GPO y uno o más contenedores. Tres tipos de contenedores pueden recibir directivas de grupo:

 Sitios  Dominios

 Unidades organizativas

La directiva de grupo la recibe el conjunto de objetos del contenedor y sus subcontenedores. Podemos limitar la aplicación de la configuración a un número restringido de usuario o de equipos, reemplazando el grupo Usuarios autentificados por un grupo de seguridad creado previamente.

Es posible deshabilitar el vínculo. Esta operación implica la eliminación de las modificaciones aportadas por la directiva de grupo. El entorno del usuario puede verse modificado, lo cual puede impactar en la productividad.

Es imposible aplicar un vínculo directamente a un usuario, grupo o equipo. La unidad organizativa es el último objeto al que se puede efectuar un vinculo.

2. La aplicación de una directiva de grupo

Los parámetros contenidos en la Configuración del equipo se aplican al iniciar el equipo y luego siguiendo un intervalo de tiempo de entre 90 y 120 minutos. Los scripts de inicio se ejecutan solamente al arrancar el equipo. Los controladores de dominio ejecutan una actualización de su configuración cada 5 minutos.

A diferencia de los parámetros del equipo, los parámetros de la parte usuario se aplican durante el inicio de sesión del usuario. El intervalo de tiempo es, sin embargo, idéntico. Los scripts se ejecutan durante el inicio de sesión.

En ciertos casos (redirección de carpeta...), la aplicación del parámetro solo se ejecuta durante el primer inicio de sesión. El usuario está obligado a cerrar y reiniciar la sesión. Esto se debe a que se utilizan los identificadores puestos en caché para abrir la sesión más rápidamente. Los parámetros se vuelven a aplicar mientras el usuario cuente con una sesión abierta. Es posible modificar el intervalo de configuración, para ello debemos modificar el parámetro presente en el nodoConfiguración del equipo - Directivas - Plantillas administrativas - Sistema - Directiva de grupo.

Encontramos los mismos parámetros en la parte de usuario. Sin embargo existe una excepción relativa a los parámetros de seguridad. Estos últimos se aplican cada 16 horas sea cual sea el intervalo configurado.

Para forzar el refresco, debemos utilizar el comando gpupdate /force o el cmdlet Invoke-

Gpupdate.

A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde la consola GPMC. Haciendo clic con el botón derecho en una unidad organizativa, un administrador tiene acceso a la opción Actualización de directiva de grupo.

Las cuentas de equipo deben estar presente, en caso contrario se muestra un mensaje de error.

Se abre una ventana que muestra al administrador el resultado de la operación.

Al realizar esta operación, la mayoría de los equipos estaban desconectados, esto explica el gran número de errores.

3. Orden de aplicación de una directiva de grupo

Las directiva de grupo se aplican al equipo en función de un orden estricto. La primera directiva que se aplica al puesto es la directiva local (si existe una directiva presente). A continuación, se recuperan y aplican las GPO de dominio, siendo la primera la GPO del sitio AD. Se recuperan entonces Default Domain Policy y cualquier otra directiva ubicada en la raíz del dominio, por último se aplican las ubicadas en una OU o sub OU.

El vínculo no puede hacerse directamente en una entidad de seguridad (grupo o usuario), se debe vincular a un contenedor (OU, dominio...). En caso de conflicto entre un parámetro de dos directivas diferentes, tiene precedencia la última aplicada. Para modificar este orden de prioridad, es posible bloquear la herencia o aplicar una directiva. Esta última opción no está libre de consecuencias, porque vuelve prioritaria a cualquier GPO que reciba esta opción y puede anular el bloqueo de la herencia.

4. Las directivas predeterminadas

Durante la creación de un dominio Active Directory, se crean automáticamente dos directivas: laDefault Domain Policy y la Default Domain Controllers Policy.

La Default Domain Policy esta vinculada a la raíz del dominio, lo que permite aplicarla al conjunto de usuario y equipos del dominio por herencia. Ella contiene la política de seguridad predeterminada (parámetros de contraseña, bloqueo...). Si se deben aplicar otros parámetros al conjunto de objetos del dominio, es preferible crear una nueva directiva y luego vincularla a la raíz del dominio.

La Default Domain Controllers Policy está vinculada a la unidad organizativa Domain

Controllers, de modo que solamente la reciben los controladores de dominio. Ésta permite

configurar el sistema de auditoría y asignar permisos suplementarios (abrir una sesión en un controlador de dominio...).

5. Los filtros de seguridad

Una GPO se aplica de forma predeterminada al conjunto de usuarios y equipos del contenedor y sub contenedores. Ciertas directivas (instalación de software...) necesitan, sin embargo, que se implemente un filtro un poco más estricto.

El permiso de acceso por defecto es Usuarios autentificados, que permite asegurar que el conjunto de usuarios y equipos autentificados por un controlador de dominio pueden leer y aplicar la GPO.

Se pueden configurar permisos más granulares configurando la ACL (Access Control List). Esto hace que sea mucho más fácil filtrar a las personas que pueden recibir y aplicar la configuración. Para acceder a esta lista de control de acceso, haga clic en el botón Opciones

avanzadas en la pestaña Delegación.

Se muestra la lista de control de acceso, que permite desplegar autorizaciones mucho más granulares.

Tenga cuidado de no abusar del permiso Denegar, que es prioritario.