Obtener la Precedencia Correcta del Objeto de Directiva de Grupo

Group Policy es la tecnología de gestión de configuración incluida en Microsoft Windows Server Active Directory. Si necesitas habilitar un control granular de las configuraciones de Windows y Windows Server, Group Policy es la solución ideal. Pero Group Policy puede volverse rápidamente complicado porque cada Group Policy object (GPO) puede tener cientos de configuraciones tanto para usuarios como para computadoras, y múltiples GPOs con posibles configuraciones en conflicto pueden estar vinculados a un sitio de Active Directory, dominio o unidad organizativa (OU).

En este artículo, explicaremos cómo determinar la precedencia de la Directiva de Grupo, para que pueda aplicar la Directiva de Grupo correctamente y asegurarse de que se hagan cumplir las políticas de seguridad requeridas.

Política Local

Antes de comenzar a hablar sobre la Directiva de grupo, que otorga a los administradores de sistemas la capacidad de gestionar centralmente la configuración de Windows, vale la pena saber que todos los dispositivos Windows tienen una política local. La política local siempre es reemplazada por la configuración en los objetos de Directiva de grupo. Por lo tanto, en general, la política local solo debe usarse para configurar dispositivos que no están unidos a an Active Directory domain.

Política de Grupo de Active Directory

Los objetos de directiva de grupo necesitan vincularse a un sitio de Active Directory, dominio o unidad organizativa antes de que se apliquen a computadoras y usuarios. Los GPOs se aplican al objeto al que están vinculados y a todos sus objetos hijos. Por ejemplo, un GPO vinculado a un sitio también se aplicará a los objetos en los dominios y unidades organizativas de ese sitio. Los GPOs vinculados a una unidad organizativa se aplicarán a todos los objetos en esa OU y cualquier OU hija.

Para ver o editar GPOs, utilice la Group Policy Management Console (GPMC) en el menú de herramientas de Server Manager. Los ajustes de los objetos de Group Policy están organizados de la misma manera que la política local, pero una categoría adicional, llamada Group Policy Preferences, proporciona configuraciones extras que permiten a los administradores personalizar los entornos de los usuarios.

Aplicando Política de Grupo a Sitios

Si vinculas una GPO a un sitio, sus configuraciones se aplicarán a todos los objetos en ese sitio; se dice que los objetos entran en el ámbito de gestión de la GPO. Más de una GPO puede estar vinculada a un sitio dado, y esas GPOs podrían tener configuraciones en conflicto. En este caso, necesitas entender qué configuraciones se aplicarán. Por ejemplo, si la misma configuración está configurada de manera diferente en dos o más GPOs que están todas vinculadas a un sitio dado, ¿cuál GPO tendrá prioridad? La respuesta es la GPO con el número de Orden de Enlace más pequeño. Los números de Orden de Enlace muestran la precedencia de la Política de Grupo y gobiernan el orden de procesamiento de la Política de Grupo.

Para ver el número de Orden de Enlace de los GPOs para un sitio, abra GPMC y expanda su dominio de Active Directory. Luego siga los siguientes pasos:

Paso #1. Haga clic derecho en Sites y haga clic en Mostrar sitios…

Paso #2. En el cuadro de diálogo Mostrar Sitios, marque los sitios que desea ver en GPMC y haga clic en OK.

Paso #3. Expanda Sitios en GPMC. Verá todos los sitios que ha configurado en Active Directory. El sitio predeterminado se llama Default-First-Site-Name, aunque es posible cambiarle el nombre.

Paso #4. Haga clic en uno de los sitios.

Figura 1. Comprobando el orden de los enlaces.

Paso #5. Bajo la pestaña de Linked Group Policy Objects, verás una lista de GPOs que están vinculados al sitio. Puede ser que no haya GPOs vinculados. Si hay GPOs vinculados, verás sus números de Orden de Enlace, los cuales muestran el orden de precedencia. Cuanto mayor sea el número, menos precedencia tiene el GPO. Por ejemplo, la configuración en un GPO con un número de Orden de Enlace de 2 siempre tiene precedencia sobre la configuración en un GPO con un número de Orden de Enlace de 3.

Paso #6. Para cambiar el número de Orden de Enlace de un GPO, haga clic en el GPO y utilice las flechas hacia arriba y hacia abajo a la izquierda para moverlo a la posición deseada en la lista.

Aplicación de Group Policy a Dominios y Unidades Organizativas

Las GPOs pueden vincularse a dominios y UOs de la misma manera que se pueden vincular a sitios. La política de dominio predeterminada está vinculada a cada dominio por defecto. Las GPOs vinculadas a unidades organizativas tienen la mayor precedencia, seguidas por aquellas vinculadas a dominios. Las GPOs vinculadas a sitios siempre tienen la menor precedencia.

Para entender qué GPOs están vinculados a un dominio o OU, haga clic en el dominio o OU en GPMC y seleccione la pestaña de Linked Group Policy Objects. Para una visión más amplia, seleccione la pestaña de Group Policy Inheritance, la cual mostrará también los GPOs vinculados a dominios y OUs superiores. Los GPOs con un número de precedencia menor se procesan al final y tienen prioridad sobre los GPOs con números más altos.

Figura 2. Verificando la precedencia de GPO para GPOs vinculados a un dominio o OU.

No olvide que las GPOs vinculadas a sitios también se aplican a los objetos secundarios del sitio y se aplican como parte del orden de procesamiento. Sin embargo, las GPOs vinculadas a sitios no se muestran en la pestaña de Herencia de Directiva de Grupo porque GPMC no sabe qué usuarios y objetos de computadora se encuentran en un sitio de AD dado en un momento particular.