Group Policy – Practicas recomendadas (politicas de grupo) (best practices) (gpo) recomendaciones

El uso adeacuado de las group policies esta sujeto a que tan bueno es el diseño del Active Directory. Muchas veces nos encontramos el error de que estos estan diseñados siguiendo el ornanigrama de la empresa. La manera mas eficiente es armarlo a base del funcionamiento de la empresa. Si ha impelentado los sitios, dominios y unidades organizativas de la manera incorrecta, las directivas de grupo serán difíciles de utilizar y mucho mas poder resolver problemas. Por lo tanto el primer paso sera planificar el Active directory, no hay una modelo, esta sujeto al funcionamiento de la empresa en la cual se va a implementar. Algunas de las preguntas que deben hacerse son las suiguientes: ¿Cuantos bosques/forest se va a implementar (uno o varios)? ¿Cuántos árboles de dominio? Habrá dominios secundarios? ¿Qué tipo de estructura de unidades organizativas tendra cada dominio Y así sucesivamente. Cada una de estas decisiones debe hacerse siempre por la pregunta: ¿Qué impacto tendrá mi decisión tiene sobre la directiva de grupo se lleva a cabo en mi empresa? Veamos algunas pautas que pueden ayudarle a diseñar Active Directory con eficacia en cuanto a la directiva de grupo se refiere

K.I.S.S. “Keep It Simple, Stupid ” :)En el contexto de la planificación de directiva de grupo, esto significa dos cosas::

Si un dominio único se reunirán todas las necesidades de su empresa, a continuación, utilizar un solo dominio. La razón es simplemente que el número de objetos de directiva de grupo (GPO) que tendrá que crear es aproximadamente proporcional al número de dominios que tienen en el bosque. Para vincular un GPO mientras residen en un dominio a un contenedor (dominio, sitio o unidad organizativa) en un dominio diferente reduce el número total de GPO que necesita para implementar, puede tener un impacto en el rendimiento y por lo general no se debe hacer.

Mantener su estructura de unidades organizativas relativamente sencillas, por ejemplo dos o tres niveles de unidades organizativas en la mayoría. La razón es similar aquí por qué usted debe tener su número de dominios de lo más bajo posible: los gastos administrativos.Así que vamos a decir de comenzar el diseño de Active Directory con la decisión que nos van a un único dominio (ver Figura 1) con dos o quizás tres niveles de unidades organizativas dentro de ella. Eso es un buen lugar para empezar. ¿Qué sigue?

OU servidor

Directiva de grupo no es sólo para la administración de escritorios, es también excelente para el bloqueo de los servidores para garantizar que son seguros y funcionan correctamente. Y por los servidores me refiero tanto a los servidores miembros (que incluyen los servidores de archivos, servidores de impresión, servidores web, servidores DHCP, etc) y los controladores de dominio. La mejor manera de bloquear los controladores de dominio es dejarlos en la unidad organizativa controladores de dominio predeterminada y configurar un GPO vinculado a esa unidad organizativa. Hay dos maneras para hacer esto:

1. Configurar los ajustes en el controladores de dominio predeterminada.

Crear un nuevo GPO, vincularla a la unidad organizativa de controladores de dominio, y configurarlo.¿Qué enfoque es mejor? Algunos expertos recomiendan dejar el GPO predeterminado tocar y el crear un nuevo GPO y moverlo a la parte superior de la orden de enlace para los GPO vinculados a la OU. De esta manera si algo sale mal después por lo menos tener la GPO predeterminado en su lugar y sin tocar. pero hay varias opciones

¿Qué pasa con los demas servidores ? El truco aquí es darse cuenta de que las funciones de miembro de diferentes servidores son, básicamente, de forma incremental diferente de una línea de base servidor miembro. Así que un buen enfoque es crear un alto nivel de unidad organizativa Servidores miembro y luego por debajo de él añadir las unidades organizativas adicionales para cada función

Figure 2: OU structure for member servers.

La ventaja de este enfoque es que ahora se puede crear una base de servidores miembro GPO que generalmente asegura cualquier servidor miembro y enlace a la unidad organizativa Servidores miembro. De esta forma todos los servidores miembro en unidades organizativas secundarias heredarán automáticamente esta política. A continuación, puede crear una impresión Servidores GPO y vincularlo a la unidad organizativa Servidores de impresión, servidores de un archivo de GPO y vincularlo a la unidad organizativa de servidores de archivos, y así sucesivamente. Estas diferentes GPO vinculados a unidades organizativas secundarias de la UO Servidor miembro se puede utilizar para endurecer la seguridad incremental para cada función de servidor en la base endurecimiento facilitada por los servidores de GPO.

Escritorio del usuario y las unidades organizativas

La estructura de unidades organizativas a planificarpuede depender de varias cosas incluyendo el organigrama de la empresa, sucursales, número de departamentos, y así sucesivamente. No hay un modelo de diseñar las unidades organizativas de un dominio, pero los siguientes consejos pueden ayudarle a evitar problemas en el futuro cuando se inicia la creación de GPO para bloquear los usuarios y sus computadoras de escritorio.

En primer lugar, sólo se debe crear una unidad organizativa, si hay alguna razón de peso para que exista. Por ejemplo, si los usuarios de las Ventas, Marketing, y los departamentos de referencia tienen necesidades similares en cuanto a la seguridad va, el grupo de sus cuentas en una única unidad organizativa en lugar de tres. Entonces, si los usuarios de ventas tienen algunas diferencias menores en los requisitos de seguridad de los otros dos departamentos, se puede crear y vincular otro GPO a la OU y el uso de filtrado de seguridad para garantizar sólo los miembros del grupo de ventas tienen que

establecer GPO se aplica a ellos.

A continuación,se debe tratar de crear unidades organizativas a lo largo de las líneas departamentales en lugar de la ubicación geográfica. De esa manera se puede hacer un uso más eficaz de la delegación cuando se necesita para usarlo. Si se debe tener las unidades organizativas geográfica, hacen de las unidades organizativas de nivel superior y luego crear unidades organizativas secundarias por debajo de ellos por cada división o departamento (Figura 3):

A continuación, crear unidades organizativas independientes para las cuentas de equipo y cuentas de usuario (Figura 4). De esta manera puede utilizar unidades organizativas independientes para bloquear los ajustes de la máquina y la configuración del usuario. Por supuesto, se puede lograr lo mismo por agrupar las cuentas de equipo y de usuario en una única unidad organizativa, que une dos GPO a la OU, y la desactivación de la configuración de la máquina en una unidad organizativa y la configuración del usuario en la OU otros. Sin embargo, mantener el equipo y las cuentas de usuario en unidades organizativas independientes, será más fácil para solucionar problemas de directiva de grupo

Figure 4: separadas ou para usuarios y computers

Además, trate de evitar el uso de bloqueo,” force Loopback” , y otras formas de modificar la directiva de grupo predeterminada para la herencia. Eso es porque el uso de estas características puede hacer que sea muy difícil de averiguar por qué la directiva de grupo no está haciendo lo que quieres que deberia . Ses absolutamente necesario utilizar estas características en el diseño de la directiva de grupo, es probable que no se haya diseñado una estructura de Active Directory de forma ordenada . La única excepción a esta regla es el filtrado de seguridad, que es una poderosa herramienta que puede ayudar a hacer una selección más precisa GPO sin complicar el diseño.

Por último, evitar hacer cambios en la directiva de dominio predeterminada. En su lugar, crear un nuevo GPO, vincularla con el dominio, y configurar sus parámetros, según sea necesario. Pero tenga mucho cuidado con lo que configurar en cualquier GPO vinculado a un dominio, ya que todos los ajustes que configure será heredado por todas las computadoras y cuentas de usuario en todas las unidades organizativas en el dominio. Siempre que sea posible configurar la política en el nivel de unidad organizativa y no en el nivel de dominio y uso de dominio GPO sólo para objetos del dominio.