Joan zuzenean edukira

4.2. OU y herencia: diseño y filtrado

  • Fundamentos: ¿Qué es una OU?
    • Una OU (Unidad Organizativa) es un contenedor lógico dentro de un dominio de Active Directory que agrupa objetos (equipos, usuarios, grupos) para facilitar su administración.
    • Sirve para: delegar administración, aplicar GPO con granularidad, organizar objetos por función/ubicación y limitar el alcance de operaciones masivas.
    • Relación con GPO: las GPO se vinculan a Site, Dominio u OU; lo normal es vincularlas a OUs para aplicar configuraciones específicas a subconjuntos.

  • Diferencias clave:

    • Dominio vs OU: el dominio es el límite de seguridad y autenticación; las OUs segmentan la administración dentro del dominio.
    • OU vs Grupo: la OU organiza objetos y define ámbito de GPO/delegación; los grupos controlan permisos de acceso y filtrado de GPO (Security Filtering).
    • OU vs Contenedores (CN=...): los contenedores por defecto (p.ej. Computers, Users) no son OUs y tienen capacidades limitadas para delegación; se recomienda mover objetos a OUs propias.

  • Objetivos:

    • Diseñar una estructura de OUs clara para equipos y usuarios.
    • Controlar la herencia de GPO y aplicar filtrado (seguridad y WMI) de forma segura.
    • Establecer un entorno de pruebas (staging) antes de producción.

  • Conceptos clave:

    • LSDOU: orden de aplicación (Local → Site → Domain → OU).
    • Herencia: GPOs de niveles superiores impactan niveles inferiores salvo ‘Bloquear herencia’ o ‘Forzar’ (Enforced).
    • Filtrado de seguridad: ACL de la GPO (Permitir “Leer” y “Aplicar directiva de grupo”).
    • Filtros WMI: condicionan aplicación por propiedades (versión SO, RAM, portátil/desktop, etc.).
    • Delegación: quién puede crear/vincular GPOs en OUs concretas.

Diseño recomendado de OUs

  • Raíces separadas para equipos y usuarios: OU=Equipos, OU=Usuarios.
  • Sub-OUs por función/ubicación: OU=Equipos,OU=Oficina, OU=Usuarios,OU=Ventas.
  • OU=Staging para pruebas con un subconjunto de equipos/usuarios.
  • Evitar aplicar GPOs a la raíz del dominio; preferir OUs específicas.

Patrones de diseño (no lineales)

  • Funcional (por rol/servicio)
DC=example,DC=local
└─ OU=Equipos
   ├─ OU=Servidores
   │  ├─ OU=AD-DC
   │  ├─ OU=Files
   │  └─ OU=Web
   └─ OU=Clientes
      ├─ OU=Aulas
      └─ OU=Oficinas
  • Geográfico (por sede/ubicación)
OU=Equipos
├─ OU=Bilbao
│  ├─ OU=Servidores
│  └─ OU=Clientes
└─ OU=Donostia
   ├─ OU=Servidores
   └─ OU=Clientes
  • Por entorno (Prod/Pre/UAT/Lab)
OU=Servidores
├─ OU=Prod
├─ OU=Pre
├─ OU=UAT
└─ OU=Lab
  • Híbrido (funcional + geográfico + entorno, max 2–3 niveles)
OU=Equipos
└─ OU=Bilbao
   └─ OU=Servidores
      ├─ OU=Prod
      └─ OU=Pre

Notas prácticas - Mantén la profundidad en 2–3 niveles para simplificar herencia y delegación. - Evita duplicar OUs si puedes resolverlo con filtrado de seguridad o grupos dinámicos. - Crea OU=Quarantine/OU=Staging para aislar equipos nuevos o en diagnóstico. - Documenta el propósito de cada OU y GPO vinculada.

Procedimiento (GUI)

  • Crear OUs: Active Directory Users and Computers (ADUC) → botón derecho en el dominio → New → Organizational Unit.
  • Vincular GPO: Group Policy Management (GPMC) → OU → Link an Existing GPO o crear una nueva.
  • Filtrado de seguridad: GPMC → GPO → Scope → Security Filtering → añadir/quitar grupos.
  • Filtro WMI: GPMC → WMI Filters → New → asociar al GPO desde la pestaña Scope.
  • Herencia/Forzar: GPMC → botón derecho en vínculo → Enforced; OU → Block Inheritance (con cautela).

Procedimiento (PowerShell)

# Crear OUs
New-ADOrganizationalUnit -Name "Equipos" -Path "DC=example,DC=local"
New-ADOrganizationalUnit -Name "Usuarios" -Path "DC=example,DC=local"
New-ADOrganizationalUnit -Name "Staging" -Path "OU=Equipos,DC=example,DC=local"

# Crear GPO y vincular a OU
$gpo = New-GPO -Name "GPO-Equipos-Base"
New-GPLink -Name $gpo.DisplayName -Target "OU=Equipos,DC=example,DC=local" -Enforced:$false

# Filtrado de seguridad: otorgar aplicar/leer a un grupo
Set-GPPermission -Name $gpo.DisplayName -TargetName "DOMINIO\\Equipos-Ventas" -TargetType Group -PermissionLevel GpoApply

# Crear filtro WMI y asociarlo a la GPO (Windows 10/11 por versión)
$wmif = New-GPWmiFilter -Name "Win10y11" -Description "Version >= 10" -Query "select * from Win32_OperatingSystem where Version >= '10.0'"
Set-GPWmiFilter -Guid $gpo.Id -WmiFilter $wmif

# Bloquear herencia en una OU (con cautela)
Set-GPInheritance -Target "OU=Staging,OU=Equipos,DC=example,DC=local" -IsBlocked Yes

Verificación

  • Forzar actualización: gpupdate /force.
  • Resultado de directivas: gpresult /r /scope computer y gpresult /h c:\temp\gpo.html.
  • GPMC → Group Policy Results / Modeling para simular aplicación.

Errores comunes y cómo evitarlos

  • GPO en dominio en lugar de OU específica → aplicar demasiado: limitar scope y usar grupos de seguridad.
  • Bloquear herencia sin analizar dependencias → romper baseline: documentar y minimizar bloques.
  • Filtros WMI ineficientes → impacto en inicio: simplificar consultas y reutilizar filtros.
  • Falta de permisos de “Aplicar directiva” → la GPO no se aplica: revisar Security Filtering/Delegation.

Buenas prácticas

  • “Menos es más”: pocas GPOs bien segmentadas y con comentarios.
  • Versionado/backup de GPO (GPMC o Backup-GPO).
  • OU de Staging obligatoria antes de producción.

Práctica AWS relacionada

Pon en práctica el diseño de OUs, herencia y filtrado en AWS con la guía: 6. Diseño OU y vinculación de GPO