Tema 11

Tema 11
Directivas o Políticas
Administración de Sistemas Operativos
Mª Pilar González Férez
Índice
1. Directivas de grupo
2. Componentes y estructura de las directivas
de grupo
3. Consola de las directivas de grupo
Tema 11. Directivas
2
Di i
Directivas
de
d grupo
• P
Proporcionan
i
a llos administradores
d i i d
ell controll centrall
sobre los privilegios, permisos y capacidades de los
usuarios y los equipos
q p
• Se usan para definir configuraciones automatizadas
para grupos de usuarios y equipos, incluyendo
opciones de config
configuración
ración del registro
registro, secuencias
sec encias de
comandos de inicio de sesión o fin, opciones de
seguridad, etc.
• Son un conjunto de reglas y configuraciones que
ayudan a administrar usuarios y equipos, y que rigen
las acciones que pueden realizar los usuarios con un
objeto
Tema 11. Directivas
3
Directivas de grupo (ii)
• Permiten:
P
i
– Controlar el acceso a los componentes de Windows, recursos
del sistema,, recursos de red,, utilidades del ppanel de control,,
el escritorio y el menú de inicio
– Configurar las directivas para el bloqueo de cuentas y
contraseñas,, auditorías,, asignación
g
de derechos a los
usuarios y seguridad
• En un Dominio de Active Directory se pueden aplicar a
sitios a dominios,
sitios,
dominios a unidades organizativas (a un subgrupo dentro
de un dominio) o a sistemas individuales (se verá en el tema 13)
• En un equipo independiente, que NO pertenece a un
dominio se aplicarán las directivas de grupo local,
dominio,
local que se
definen y guardan en el sistema local
Tema 11. Directivas
4
Directivas de grupo (iii)
• Un equipo independiente dispone de tres niveles de
directivas:
– Directiva de grupo local: Aplicar a todos los usuarios del
sistema
it
las
l mismas
i
opciones
i
de
d configuración
fi
ió tanto
t t de
d Equipo
E i
como de Usuario
– Directiva de ggrupo
p local para
p
administradores y no
administradores: Sólo contiene configuración de Usuario. Se
define una directiva (y se aplica) para los usuarios que
pertenecen al grupo Administradores y otra para los que no
pertenecen.
– Directiva de grupo local para usuarios: Sólo contiene
config ración de Usuario.
configuración
U
i Se define una
na directi
directivaa para unn
usuario o grupo concreto, y sólo se aplica a él/ellos.
Tema 11. Directivas
5
Componentes y estructura de las
directivas de grupo
• La configuración de las directivas de grupo se divide en
dos categorías
categorías, según el momento de aplicación:
– Configuración de Equipo
• Agrupan todos los parámetros de configuración que pueden
establecerse a nivel de equipo
• Se aplican durante el inicio del sistema, con independencia del
usuario que vaya a iniciar la sesión
– Configuración de Usuario
• Agrupan parámetros de configuración que pueden establecerse a
nivel de usuario
• Se aplican durante el inicio de sesión del usuario, con
independencia
p
del equipo
q p en el qque haya
y iniciado la sesión
Tema 11. Directivas
6
Componentes y estructura (ii)
• Cada
C d categoría
t
í de
d las
l directivas
di ti
de
d grupo se divide:
di id
– Configuración de Software. Contiene la configuración, del equipo o
del usuario,, de la instalación automática de software
– Configuración de Windows. Contiene la configuración de ciertos
parámetros de Windows, como parámetros de seguridad o scripts,
para el equipo
p
q p o el usuario
– Plantillas administrativas. Contiene las políticas y configuraciones
que se guardan en el registro de Windows, para el equipo o el
usuario
• La misma directiva puede existir para equipos y para
usuarios, aunque, generalmente, con significados y
parámetros
á
distintos
di i
• Si hay conflicto al aplicar una directiva, la última en aplicar
es la válida
Tema 11. Directivas
7
Componentes y estructura (iii)
• Configuración software
– Configura las directivas para la configuración e instalación de
software
– Contiene el objeto Instalación del software, que es usado para
distribuir SW y actualizaciones de SW a los usuarios
– Al asignar una aplicación a los usuarios,
usuarios se le avisa la próxima
vez que inicie la sesión, pero se instalará la primera vez que la
ejecute
– Sii la
l asignación
i
ió es a un equipo,
i la
l aplicación
li ió se anuncia
i y se
instala automáticamente cuando el equipo se reinicie o un
usuario inicie la sesión
– Sólo en directivas de dominio
Tema 11. Directivas
8
Componentes y estructura (iv)
• Configuración de Windows
– Configura las directivas para redirección de carpetas,
ficheros de comandos y seguridad
– Se tienen las opciones:
• Archivos de comandos (inicio/apagado)
• Configuración de seguridad
– Archivos de comandos (inicio/apagado)
• Se indican los ficheros que se ejecutarán automáticamente
durante el inicio o apagado del equipo o durante el inicio o
cierre de sesión del usuario
• En Configuración del equipo → inicio/apagado del equipo
• En Configuración del usuario → el inicio/cierre de sesión por
un usuario
Tema 11. Directivas
9
Componentes y estructura (v)
• Conf.
Conf Windows: Archivos de comandos
(continúa...)
– Archivos de comandos para Inicio/Apagado de equipos
• Los ficheros a utilizar se deben almacenar en el directorio
%SystemRoot%\System32\GroupPolicy\Machine\Scripts\
– Dentro del subdirectorio Startup para el inicio
– En el subdirectorio Shutdown ppara el apagado
p g
– Archivos de comandos para Inicio/Cierre de sesión de usuario
• Los ficheros a usar se deben almacenar en el directorio
%SystemRoot%\System32\GroupPolicy\User\Scripts
– Dentro del subdirectorio Logon para el inicio de sesión
– En el subdirectorio Logoff para el cierre de sesión
Tema 11. Directivas
10
C
Componentes
t y estructura
t t
(vi)
( i)
• Conf. de Windows: Configuración de seguridad (continúa...)
– Las directivas de Configuración de seguridad permiten configurar
los aspectos referentes a la seguridad del sistema. Se definen
fundamentalmente a nivel de equipo
– Los tipos de directivas de Configuración de seguridad son:
• Directivas de cuentas: que permiten configurar directivas sobre
las cuentas de los usuarios. Se tienen 2 grupos:
– Directiva de contraseña, restricciones relacionadas con el tamaño
y duración temporal de las contraseñas
– Directiva de bloqueo de cuentas, duración, umbral y contador de
restablecimiento de bloqueo
Tema 11. Directivas
11
C
Componentes
t y estructura
t t
(vii)
( ii)
• Conf. de Windows: Configuración de seguridad (continúa...)
– Los tipos de directivas de Configuración de seguridad son …
• Directivas locales, engloban las siguientes directivas:
– Directiva de auditoría, permite fijar los parámetros de observación
del sistema para realizar el control del mismo,
activando/desactivando
i d /d
i d ell registro
i
de
d sucesos específicos
ífi
– Asignación de derechos de usuario, define derechos tales como
“inicio de sesión local”, “el acceso a la red”, “crear ficheros de
paginación”, “denegar
paginación
denegar el inicio de sesión localmente”
localmente , etc.
etc
– Opciones de seguridad, permite modificar valores del registro
específicos relacionados con la seguridad, p.e. “Comportamiento
ante la instalación de un controlador no firmado
firmado” o “Pedir
Pedir al
usuario que cambie la contraseña antes de que caduque”, o
“Estado de la cuenta invitado”, etc.
Tema 11. Directivas
12
Componentes y estructura (viii)
• Plantillas administrativas
– Contiene todas las configuraciones
g
de políticas
p
basadas en el
registro de W2008, incluyendo las que controlan el funcionamiento
del sistema operativo, de los componentes y de algunas aplicaciones,
la apariencia del escritorio, etc.
– Se
S configuran
fi
con llos ficheros
fi h
dde plantillas,
l till que se pueden
d agregar o
eliminar, según se quiera configurar o no los detalles de esa plantilla
– Podemos modificar cada plantilla para habilitar o deshabilitar sus
directivas
– Proporcionan una manera sencilla de acceder a las configuraciones
de las directivas basadas en registro que puede configurar
– Cada directiva tiene una explicación detallada de la misma
– Las configuraciones se guardan en el registro en
HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER
Tema 11. Directivas
13
Componentes y estructura (ix)
• Plantillas administrativas (continúa...)
(
i ú )
– Para la configuración del equipo se tienen plantillas para: (entre otras …)
• Componentes de Windows que permiten configurar los componentes
del sistema operativo,
operativo como Internet Explorer o Windows Update
• Sistema que ayudan a controlar funcionalidades del sistema, como los
perfiles de usuario, las cuotas de disco, detalles del inicio de sesión:
– P.e., dentro de Inicio de sesión, “Permitir sólo perfiles de usuario locales”
o “Cerrar
“C
lla sesión
ió de
d los
l usuarios
i cuando
d hay
h un error en ell perfil
fil móvil”
ó il”
– Dentro de Cuotas, “Habilitar las cuotas de disco” o “Límite de cuota o
nivel de aviso predeterminado”
• Red ppara ajustar
j
los componentes
p
del sistema operativo
p
que
q conectan
un equipo cliente a la red, por ejemplo, cómo trabajar con los archivos
de red sin conexión
• Impresoras contiene configuraciones para administrar impresoras de
red y la publicación de opciones.
opciones Por ejemplo:
– Permitir que se publiquen impresoras
– Publicar automáticamente impresoras nuevas en Active Directory
Tema 11. Directivas
14
Componentes y estructura (x)
• Plantillas administrativas (continúa...)
(continúa )
– En la configuración del usuario hay plantillas para:
• Componentes de Windows que permiten configurar los componentes
del sistema operativo,
operativo como Internet Explorer o Windows Update.
Update
P.e., en Explorador de Windows se tiene “Quitar el menú Opciones de
carpeta del menú Herramientas”
• Menú de Inicio y barra de tareas para agregar, eliminar y deshabilitar
partes del menú de Inicio y la barra de tareas. P.e., “Quitar el menú
Favoritos del menú Inicio” o “Deshabilitar Cerrar sesión en el menú
Inicio”
• Panel de control que permite ajustar el panel de control y detalles sobre
las impresoras, la pantalla, la acción de Agregar o quitar programas etc.
P.e., “Deshabilitar el panel de control” o “Protectores de pantalla”
• Sistema
Si
para controlar
t l aspectos
t como los
l perfiles
fil de
d usuario,
i aspectos
t
de inicio de sesión, o de las opciones de Ctrl+Alt+Supr. P.e.: Dentro de
“Opciones de Ctrl+Alt+Supr” está “Quitar el bloqueo de equipos”
Tema 11. Directivas
15
Consola de directivas de grupo
• Administración de directivas de grupo local:
– Abrir la Consola de administración de equipos (con la orden mmc)
– A continuación, agregar el complemento Editor de objetos
d di
de
directiva
ti de
d grupo
• Puede seleccionar el equipo local o uno remoto
• Puede seleccionar un usuario/grupo o Administradores/No
administradores
– Dos nodos principales:
• Configuración de Equipo
• Configuración de Usuario
– Ambos tendrán los subnodos:
• C
Configuración
fi
ió software
f
• Configuración de Windows
• Plantillas administrativas
Tema 11. Directivas
16
Consola de directivas de grupo (iii)
• A llas di
directivas
ti
de
d Configuración
C fi
ió de
d seguridad,
id d también
t bié se
puede acceder desde el menú Herramientas
administrativas, con Directivas de seguridad
g
local
• La actualización de las directivas de grupo se realiza:
– Cada vez que se arranca el sistema, las directivas de equipo
– Cuando un usuario inicia una sesión, las de usuario
– Durante la actualización en segundo plano de la directiva de grupo,
que se realiza
li cada
d 90 minutos,
i t con un desplazamiento
d l
i t aleatorio
l t i
entre 0 y 30 minutos
– De forma manual, al ejecutar la herramienta gpupdate.exe
Tema 11. Directivas
17