Saltar a contenido

4.1. Introducción a GPO

  • Objetivo: Comprender qué es una Directiva de Grupo (GPO) y cómo gobierna la configuración de equipos y usuarios en un dominio AD.

¿Qué es una GPO?

  • Conjunto de configuraciones (Directivas y Preferencias) que Windows aplica a objetos del dominio.
  • Se vincula a un ámbito: Site, Dominio u OU. No se vincula directamente a grupos (estos sirven para filtrar).

Componentes de una GPO

  • GPC (Group Policy Container): objeto en Active Directory con metadatos (GUID, versión, vínculos...).
  • GPT (Group Policy Template): carpeta en SYSVOL con los ficheros de la GPO (policies, scripts, ADM(X), etc.).
  • Replicación: GPC replica vía AD; GPT vía DFS-R (o FRS en legados). Consistencia requiere que ambas réplicas estén alineadas.

Ámbitos y orden de aplicación (LSDOU)

  • Orden: Local → Site → Domain → OU (de raíz a más específico). El último en aplicar prevalece, salvo excepciones.
  • Enforced (Forzar): hace que la GPO prevalezca frente a vínculos inferiores, ignorando bloqueos.
  • Block Inheritance (Bloquear herencia): impide heredar GPOs superiores (no afecta a las Enforced).

Tipos de configuración

  • Equipo (Computer Configuration): aplica al equipo independientemente del usuario.
  • Usuario (User Configuration): aplica al perfil de usuario, independientemente del equipo.
  • Loopback processing (Merge/Replace): cuando se desea que la config de Usuario dependa del equipo (por ejemplo, aulas/kiosko).

Filtrado y segmentación

  • Filtrado de seguridad: la GPO solo aplica a objetos con permisos “Leer” + “Aplicar directiva de grupo”. Úsalo con grupos.
  • Filtros WMI: condicionan por propiedades del sistema (SO, RAM, portátil/desktop, sitio, etc.). Mantener sencillos.

Delegación

  • Delegar quién puede crear/editar GPOs, vincularlas a OUs, y leer/aplicar. Usa GPMC → Delegation.
  • Segregar funciones: creación/edición vs. vinculación/aplicación.

Almacenamiento y replicación

  • AD almacena el GPC; SYSVOL almacena el GPT. Verifica salud con dcdiag, repadmin /replsummary y revisión de DFS-R.
  • Considera latencias de replicación al probar cambios entre DCs.

Copia de seguridad y restauración

  • GPMC: Backup/Restore/Import. PowerShell: Backup-GPO, Restore-GPO, Import-GPO.

Verificación rápida

  • Forzar actualización: gpupdate /force.
  • Resultado: gpresult /r o gpresult /h c:\temp\gpo.html.
  • Modelado: GPMC → Group Policy Modeling (simulación) y Results (resultado real).

Práctica AWS relacionada

Aplica el diseño de OU y vinculación básica de GPO en AWS con la guía: 6. Diseño OU y vinculación de GPO