En muchas redes de pequeño o medio tamaño, los grupos predefinidos de Windows 2000 Server pueden, con quizás algún pequeño ajuste, proporcionar perfectamente una seguridad adecuada. Sin embargo, en configuraciones grandes y configuraciones con necesidades especiales, las configuraciones de seguridad pueden ser demasiado estrictas para algunos grupos y demasiado relajadas para otros. En estas situaciones, las directivas de grupo pueden proporcionar a los administradores un grado de control que es tan granular como se podría desear. Además, las directivas de grupo pueden reducir la cantidad de productividad perdida cuando los usuarios eliminan accidentalmente archivos de configuración del sistema, "pierden" carpetas vitales o introducen un virus en la red.

Directiva de grupo es el sucesor del Editor de directivas del sistema de Windows NT. Las directivas de grupo pueden controlar todos los aspectos del entorno, ya sea grande o pequeño, y se establecen normalmente a nivel de sitio y de dominio. Con el complemento directiva de grupo, se pueden especificar configuraciones para configuraciones de directiva basadas en el registro, configuraciones de seguridad, instalación de software, secuencias de comandos y redirección de carpetas.

Terceras partes pueden ampliar directiva de grupo para alojar otras configuraciones de directiva. Toda la información generada por directiva de grupo se almacena en un objeto de directiva de grupo (GPO, Group Policy Object), que se replica en todos los controladores de dominio dentro de un único dominio.

Los directivas del sistema establecidas en Windows NT 4 no se migran a Windows 2000: Un cliente Windows NT actualizado a Windows 2000 solo tendrá directivas de grupo basadas en Active Directory; ninguna directiva de Windows NT 4 sobrevivirá a la actualización. La principal diferencia entre las directivas del sistema de Windows NT y las directivas de grupo de Windows 2000 reside en donde se escriben las directivas. Windows 2000 sólo utiliza los siguientes cuatro árboles del registro:

HKEY_LOCAL_MACHINE\Software\Policies
HKEY_CURRENT_USER\Software\Policies
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies 

Cuando una directiva de grupo cambia, estos árboles son esencialmente eliminados y sus contenidos se vuelven a escribir. Aunque ninguna de las plantillas que vienen con Windows 2000 incluye valores que escriban en otros lugares del registro, es posible hacerlo. (Las directivas de Windows NT 4 pueden escribir en cualquier parte del registro.) Sin embargo, no es aconsejable emplear directivas al estilo Windows NT que escriban en otras partes del registro por las siguientes razones:

• Solo estos cuatro árboles son seguros. Las aplicaciones, el sistema operativo o los usuarios pueden modificar otras partes del registro.
• Una vez que una directiva se define en otra parte del registro, persistirá hasta que el registro sea editado o la directiva sea revertida específicamente.
• Mantenerse fiel a directiva de grupo de Active Directory proporciona considerablemente más control sobre cuándo y cómo cambiarán las directivas.

Los clientes Windows NT 4 Workstation y Server no tienen Active Directory, por lo que habrá que seguir utilizando el Editor de directivas del sistema (Poledit.exe) para definir directivas para esos clientes. Las directivas de grupo no se aplicaran a ellos. De forma similar, hay que ejecutar Poledit.exe en los clientes Windows 95 y Windows 98 y copiar el archivo resultante Config.pol a la carpeta SYSVOL del controlador de dominio Windows 2000.

Componentes de directiva de grupo

Directiva de grupo consta de varios componentes configurables. El primero son las plantillas administrativas, que establecen las directivas basadas en el registro. Se incluyen cinco plantillas administrativas en Windows 2000. Dos de ellas se instalan de forma predeterminada:

• System.adm: directivas del sistema para clientes Windows 2000.
• Inetres.adm: directivas de Internet Explorer para clientes Windows 2000.

Estas plantillas utilizan las cuatro áreas del registro reservadas para la configuración de directiva de grupo. Las tres plantillas administrativas adicionales (Winnt.ADM, Windows.ADM y Common.ADM) son para directivas de seguridad para clientes Windows NT, Windows 95 y Windows 98. Se utilizan con el Editor de directiva de seguridad (Poledit.exe) en los propios clientes y no deberían cargarse en directiva de grupo.

Los otros componentes de directiva de grupo son los siguientes:

• Configuración de seguridad: Configura la seguridad para usuarios, equipos y dominios.
• Archivos de comandos: Especifica secuencias de comandos para el inicio y el apagado del equipo además del inicio y cierre de sesión del usuario.
• Redirección de carpetas: Sitúa carpetas especiales como Mis documentos o carpetas de aplicaciones especificas en la red.
• Software: Asigna aplicaciones a usuarios.

Todos los componentes de directiva de grupo se pueden editar utilizando el Editor de directivas de grupo (GPE, Group Policy Editor).

Objetos de directiva de grupo

La configuración de directiva de grupo se almacena en un objeto de directiva de grupo (GPO, Group Policy Object). Se pueden aplicar uno o más GPO a un sitio, dominio u OU (SDOU, Site, Domain or OU), al igual que múltiples SDOU se pueden asociar con un único GPO. Los GPO almacenan información en dos ubicaciones: en una estructura de carpetas llamada plantilla de directiva de grupo (GPT, Group Policy Template) y en un contenedor de directiva de grupo (GPC, Group Policy Container) en el Active Directory.

El GPT se encuentra en la carpeta SYSVOL de todos los controladores de dominio. Contiene información sobre la directiva de software, implantacion de archivos y aplicaciones, secuencias de comandos y configuraciones de seguridad. Un GPC contiene propiedades de GPO, incluyendo la información de clase de Active Directory relacionada con la implantación de la aplicación. La información almacenada en un GPC rara vez cambia.

Un GPO que se aplica localmente se almacenará en la carpeta %SystemRoot%\system32\GroupPolicy del equipo local. Un equipo solo puede tener una directiva de grupo local.

Plantillas de Directiva de grupo: Cuando se crea un GPO, la estructura de carpetas de la GPT se crea automáticamente. El nombre de la carpeta para la GPT será el identificador único global (GUID, Globally Unique Identifier) del GPO. Sin embargo, para ver la carpeta de la directiva, hay que mirar en %SystemRoot%\SYSVOL\Sysvol\nombre_del_dominio\Policies.

Contenedores de directiva de grupo: Los objetos de directiva de grupo también tendrán un componente del Active Directory llamado GPC que incluye subcontenedores con información de la versión, Information del estado y una lista de las extensiones de directiva de grupo empleadas en el GPO. Los GPC no tienen relevancia directa para la administración.

Acceso a Directiva de grupo

Las directivas de grupo se crean y modifican de varias formas diferentes, dependiendo del tipo de directiva de grupo que se desea implementar y para que se apliquen hay que seguir, para cada grupo, unos pasos determinados:

• El equipo local: Hay que seleccionar Directiva de Seguridad local en el menú Herramientas administrativas. En una máquina Windows 2000 Professional hay que abrir el Panel de control, pulsar Herramientas administrativas y seleccionar directiva de seguridad local.
• Otro equipo: Abrir MMC y agregar el complemento directiva de grupo. En el cuadro de dialogo Seleccionar un objeto de directiva de grupo, hay que examinar en busca del objeto de directiva de grupo que se desee.
• Un dominio: Abrir Usuarios y equipos de Active Directory. En el árbol de la consola, hay que pulsar con el botón derecho del ratón en el dominio y escoger Propiedades en el menú contextual. Pulsar en la pestaña directiva de grupo.
• Una unidad organizativa: Abrir Usuarios y equipos de Active Directory. En el árbol de la consola, hay que pulsar con el botón derecho del ratón en la OU y escoger Propiedades en el menú contextual. Pulsar en la pestaña directiva de grupo.
• Un sitio: Abrir Usuarios y equipos de Active Directory. En el árbol de la consola, hay que pulsar con el botón derecho del ratón en el sitio y escoger Propiedades en el menú contextual. Pulsar en la pestaña directiva de grupo

Gestión de las directivas de grupo

Las directivas de grupo se heredan y se acumulan. Cuando se asocia un GPO con un contenedor de Active Directory, la directiva de grupo se aplica a todas las cuentas de equipo y usuario del contenedor. 

Las carpetas Users y Computers de Usuarios y equipos de Active Directory no son unidades organizativas y, por lo tanto, no pueden tener directivas de grupo aplicadas. Sin embargo, la carpeta Domain Controllers si es una OU y puede tener un GPO especifico.

Orden de herencia

Como regla, la configuración de Directiva de grupo se transmite hacia abajo de contenedores primarios a contenedores secundarios. Esta práctica implica que una directiva que se aplica a un contenedor primario se aplicará a todos los contenedores -incluyendo usuarios y equipos- que se encuentren bajo ese contenedor primario en el árbol jerárquico de Active Directory. Sin embargo, si se asigna específicamente una directiva de grupo a un contenedor secundario que contradice la directiva del contenedor primario, la directiva del contenedor secundario sustituirá a la directiva de grupo primaria.

Si las directivas no son contradictorias, se pueden implementar ambas. Por ejemplo, si una directiva de contenedor primario provoca la existencia de un acceso directo a una aplicación en el escritorio del usuario, mientras que la directiva de un contenedor secundario sitúa otro acceso directo a la misma aplicación, aparecerán ambos. Los parámetros de la directiva que se encuentren deshabilitados se heredaran como deshabilitados. Los parámetros de la directiva que no estén configurados en el contenedor primario no se heredaran.

Sustitución de la herencia

En Windows 2000 hay disponibles dos opciones para cambiar el proceso de herencia: No reemplazar y Bloquear la herencia de directivas.

• No reemplazar: Cuando se establece esta opción, los contenedores secundarios no pueden sustituir ningún GPO de un nivel superior. Esta opción no se establece de forma predeterminada y es necesario activarla en cada GPO si se desea. Para establecer la opción No reemplazar, hay que seguir estos pasos:
  1. Abrir el GPO que se desee administrar.
  2. Pulsar con el botón derecho del ratón en el GPO y escoger No reemplazar en el menú contextual. Aparece una marca de verificación junto al GPO bajo No remplazar.
  3. Pulsar Aceptar.
• Bloquear la herencia de directivas: Esta opción esta disponible en una casilla de verificación en la ventana Propiedades del GPO. Cuando se selecciona esta opción, el contenedor secundario no hereda ninguna directiva de los contenedores primarios. Si hay un conflicto entre estas dos opciones, la opción No reemplazar siempre tiene preferencia.

Orden de implementación

Las directivas de grupo se procesan en el siguiente orden:

• Directiva del sistema de Windows NT 4 (si hay alguna).
• Directiva de grupo local.
• Sitio.
• Dominio.
• Unidad organizativa.
• OU secundaria.

La directiva local se procesa primero y la OU de la que es miembro el usuario o equipo se procesa al final. Hay dos excepciones a esto. La opción Bloquear la herencia de directivas se puede establecer en un SDOU, lo que implica que la directiva superior no se aplicará. Sin embargo, una directiva de grupo de un SDOU con la opción No reemplazar establecida siempre se aplica, teniendo preferencia la directiva más alta del árbol.

Implementación y directiva vigente

Como se pueden establecer directivas a varios niveles, cuando se pulsa con el ratón en un objeto de directiva, se observa tanto la directiva local como la directiva vigente en el sistema. Estas no tienen por que ser la misma si el equipo hereda la configuración de las directivas a nivel de dominio. Si se crea una configuración de directiva y no se refleja en la directiva vigente, es posible que una directiva del dominio esté reemplazando la configuración.

También es posible que la directiva no se haya actualizado desde que se hizo el cambio. Para forzar la actualización de una directiva para el equipo local, hay que abrir una ventana de comandos y escribir:

secedit /refreshpolicy machine_policy

Definición del ámbito del GPO

Un objeto de Directiva de grupo se aplica a todos los usuarios y equipos del SDOU con el que esta asociado el GPO. Inevitablemente, habrá usuarios y equipos en el SDOU que no deberían tener aplicado un GPO en particular. Además, las directivas de un GPO particular solo se aplican a los usuarios que tengan el permiso Leer para ese GPO. Para filtrar la aplicación de un GPO se pueden crear grupos de seguridad y asignar el permiso Leer sólo a los grupos a los que se aplique el GPO.

El filtrado del ámbito de un GPO involucra la utilización del Editor de Listas de control de acceso (ACL, Access Control List) para permitir o denegar el acceso al GPO para grupos particulares. Para establecer el acceso, hay que seguir estos pasos:

1. Abrir el GPO que se desea administrar. 
2. En la pestaña directiva de grupo, hay que resaltar el GPO y pulsar Propiedades.
3. Pulsar en la pestaña Seguridad. En la parte inferior de la pestaña Seguridad, hay que pulsar el botón Avanzada para abrir el Editor de ACL.
4. Agregar, quitar grupos o modificar la configuración. Cuando se haya terminado, hay que pulsar Aceptar varias veces para cerrar todas las ventanas abiertas.

La ubicación del grupo de seguridad no importa a la hora de crear configuraciones. Lo que importa es la ubicación de los usuarios o equipos que son miembros del grupo. Si un usuario o equipo no es miembro del SDOU con el que esta asociado el GPO (bien directamente, bien a través de un vínculo o bien mediante herencia), ninguna combinación de permisos o pertenencias en un grupo de seguridad puede forzar que se aplique el GPO a ese usuario o equipo.

Creación de objetos de directiva de grupo

Cuando se crea un dominio Active Directory, también se crea una directiva de dominio predeterminada. Se puede comprobar pulsando con el botón derecho del ratón en el dominio en Usuarios y equipos de Active Directory, escogiendo Propiedades y pulsando en la pestaña directiva de seguridad. Para configurar un GPO hay que seguir estos pasos:

1. Abrir Usuarios y equipos de Active Directory (para GPO de dominio a OU) o Sitios y servicios de Active Directory (para GPO de sitio).
2. Pulsar con el botón derecho del ratón en el objeto para el que se desea crear un GPO y escoger Propiedades en el menú contextual.
3. Pulsar en la pestaña Directiva de grupo y después pulsar el botón Nueva.
4. Escribir el nombre del nuevo GPO y escoger uno de los siguientes botones:
   • Nueva: Para crear una directiva nueva
   • Agregar: Para añadir un vinculo a la nueva directiva.
   • Modificar: Para abrir el nuevo GPO en el Editor de directivas de grupo.
   • Opciones: Para establecer No reemplazar o para deshabilitar el GPO.
   • Eliminar: Para eliminar el GPO de forma permanente o para eliminarlo de la lista. Si se escoge Quitar el vinculo de la lista, el GPO permanece en el Active Directory pero ya no se aplica a ese SDOU en particular.
   • Propiedades: Para filtrar el GPO a través de los grupos de seguridad.
5. Pulsar Aceptar cuando se haya terminado.

Editor de directivas de grupo

Si se pulsa Default Domain Policy en el árbol de la consola de Directiva de grupo se observará que el Editor de directivas de grupo (GPE, Group Policy Editor) muestra dos nodos: Configuración del equipo y Configuración de usuario. Cuando se pulsan estos nodos, se descubre que cada uno muestra extensiones para Configuración de software, Configuración de Windows y Plantillas administrativas.

• Configuración del equipo: se pueden utilizar para personalizar las directivas para equipos de la red. Estas directivas entran en vigor cuando el equipo se enciende y se inicia el sistema operativo. La configuración de estas carpetas se aplica a cualquier usuario que inicie sesión en el equipo.
• Configuración de usuario: contiene la configuración para entornos personalizados o directivas de configuración para usuarios de la red. Las directivas de Configuración de usuario se aplican cuando un usuario especifico inicia sesión en la red.

Desactivación de una rama de un GPO: Si un GPO tiene un nodo completo no configurado bajo configuración de usuario o configuración del equipo, hay que deshabilitar el nodo para impedir que se procese esa configuración. Esto acelera el inicio y el inicio de sesión de todos los usuarios sujetos a ese GPO. Para deshabilitar un nodo, hay que seguir estos pasos:

1. Pulsar con el botón derecho del ratón en el objeto de Directiva de grupo, bien en una consola o en la ventana Propiedades de Directiva de grupo.
2. Escoger Propiedades en el menú contextual.
3. En la pestaña General, hay que seleccionar una de las siguientes opciones: 
   • Deshabilitar los parámetros de configuración del equipo. 
   • Deshabilitar los parámetros de configuración de usuario.
4. Pulsar Aceptar cuando se haya terminado. Los parámetros deshabilitados ya no afectarán a ningún SDOU vinculado a este GPO.

Búsqueda de vínculos a directivas de grupo

Cuando hay numerosos GPO en una red es importante estar al corriente de los vínculos entre GPO y SDOU. Para averiguar que SDOU utilice un GPO en particular, hay que pulsar con el botón derecho del ratón en el objeto de Directiva de grupo, bien en una consola o bien en la ventana Propiedades de Directiva de grupo. Hay que escoger propiedades y después pulsar en la pestaña vínculos. Hay que pulsar el botón Buscar ahora para obtener una lista de los SDOUs que utilizan el objeto de Directiva de grupo.

Renovación de la directiva de grupo

Los cambios en una directiva son inmediatos, pero no se propagan a los clientes automáticamente. Los equipos cliente solicitan una directiva cuando:

• El equipo se inicia.
• Un usuario inicia sesión.
• Una aplicación solicita una renovación.
• Un usuario solicita una renovación.
• Hay activo un intervalo de renovación de la directiva de grupo y el tiempo ha transcurrido.

Para establecer un intervalo de renovación de la directiva de grupo, hay que seguir estos pasos:

1. Abrir el GPO.
2. En el árbol de la consola, hay que seleccionar Configuración del equipo y después Plantillas administrativas, Sistema y, finalmente, Directiva de grupo.
3. En el panel de detalles, hay que pulsar dos veces en Intervalo de renovación de la directiva de grupo para equipos. 
4. Habilitar el intervalo de renovación. Pulsar Aceptar.

No conviene utilizar un intervalo muy corto a causa de la gran cantidad de trafico de red que se genera en cada renovación. El intervalo de actualización para los controladores de dominio se establece por separado.

Directiva de grupo para el redireccionamiento de carpetas

Redireccionamiento de carpetas es una extensión de Directiva de grupo que permite situar las carpetas designadas en la red. En particular, se pueden redireccionar las carpetas Mis documentos de los usuarios a otras carpetas que podrían volverse bastante grandes con el tiempo. Con las carpetas redirigidas se aplican las siguientes condiciones:

• Un usuario puede iniciar sesión en diferentes equipos y tener aún las carpetas disponibles.
• Cuando se utilizan perfiles móviles, solo la ruta de acceso en la red a las carpetas redirigidas forma parte del perfil, no las propias carpetas. Esto hace que el inicio de sesión sea mucho más rápido.
• Se pueden hacer copias de seguridad de las carpetas en un servidor de red como parte del mantenimiento de rutina sin ninguna acción por parte del usuario.

Las carpetas se pueden redireccionar a una ubicación para todo el mundo en el SDOU afectado por el objeto de Directiva de grupo. También se pueden redireccionar a diferentes ubicaciones de forma acorde con la pertenencia a los grupos de seguridad.

Redirección a una única ubicación

La forma más común con diferencia de redirección es enviar la carpeta Mis documentos de todo el mundo a una única ubicación en un servidor de la red. Los siguientes pasos muestran como hacerlo. Se puede sustituir por cualquier otra carpeta especial de Windows en los pasos para redireccionarlas de igual forma.

1. Crear una carpeta compartida en el servidor.
2. Abrir el objeto de Directiva de grupo vinculado al SDOU que contiene a los usuarios cuyas carpetas se van a redireccionar.
3. En el árbol de la consola hay que pulsar configuración de usuario, después Configuración de Windows, Redireccionamiento de carpetas.
4. Pulsar con el botón derecho del ratón en Mis documentos y escoger Propiedades en el menú contextual.
5. En la lista desplegable hay que seleccionar Básico: redirigir la carpeta de todos a la misma ubicación. Hay que introducir la ruta de acceso de la carpeta compartida en el servidor. Se debe utilizar una ruta de acceso UNC con la variable %username%.
6. Pulsar en la pestaña Configuracion. Los siguientes parámetros están habilitados de forma predeterminada:
   • Otorgar al usuario derechos exclusivos para Mis documentos El usuario y el sistema local tienen derechos exclusivos sobre la carpeta. No hay activo ningún derecho administrativo. Si este parámetro se deshabilita, los permisos que existan en la carpeta en su posición actual permanecerán.
   • Mover el contenido de Mis documentos a la nueva ubicación
   • Eliminación de la directiva El valor predeterminado es dejar la carpeta en la nueva ubicación cuando se quite la directiva. 
   • Preferencias de Mis imágenes Mis imágenes seguirá a Mis documentos como subcarpeta.
7. Pulsar Aceptar cuando se haya terminado.

Redireccionamiento por pertenencia a un grupo

Las carpetas especiales también se pueden redireccionar a varias ubicaciones basándose en la pertenencia del usuario a los grupos de seguridad. Para hacer esto hay que seguir estos pasos:

1. Crear las carpetas compartidas en las ubicaciones a las que se redirigirán las carpetas.
2. Abrir el objeto de Directiva de grupo vinculado al SDOU que contiene los usuarios cuyas carpetas se van a redireccionar.
3. En el árbol de la consola hay que pulsar en configuración de usuario, después en configuración de Windows y, finalmente, en Redireccionamiento de carpetas.
4. Pulsar con el botón derecho del ratón en la carpeta especial (en este caso Mis documentos) y escoger Propiedades en el menú contextual.
5. En la lista desplegable, hay que seleccionar Avanzado: especificar ubicaciones para diversos grupos de usuarios y después pulsar el botón Agregar.
6. En el cuadro Especificar grupo y ubicación, hay que introducir el grupo de seguridad y la ubicación para las carpetas redirigidas. Hay que utilizar siempre una ruta de acceso UNC, incluso si las carpetas van a estar en el equipo local para que los usuarios móviles puedan ver sus carpetas.
7. Pulsar Aceptar. Agregar más grupos y ubicaciones si es necesario.
8. Pulsar en la pestaña Configuración. Los siguientes parámetros están habilitados de forma predeterminada:
   • Otorgar al usuario derechos exclusivos para Mis documentos: El usuario y el sistema local tienen derechos exclusivos sobre la carpeta. No hay activo ningún derecho administrativo. Si este parámetro se deshabilita, los permisos que existan en la carpeta en su posición actual permanecerán.
   • Mover el contenido de Mis documentos a la nueva ubicación.:
   • Eliminación de la directiva: El valor predeterminado es dejar la carpeta en la nueva ubicación cuando se quite la directiva.
   • Preferencias de Mis imágenes: Mis imágenes seguirá a Mis documentos como subcarpeta.
9. Pulsar Aceptar cuando se haya terminado.

Eliminación de las redirecciones

Si la directiva cambia después de haber redireccionado las carpetas, el efecto en las carpetas especiales depende de la combinación de elecciones realizada en la pestaña Configuración de la ventana propiedades de la carpeta especial.