Política de grupo
La directiva de grupo es una función de la familia de sistemas operativos Microsoft Windows NT (incluidos Windows 7, Windows 8.1, Windows 10 y Windows Server 2003+) que controla el entorno de trabajo de las cuentas de usuario y de equipo. La directiva de grupo proporciona administración y configuración centralizadas de los sistemas operativos, las aplicaciones y la configuración de los usuarios en un entorno de Active Directory . Un conjunto de configuraciones de directiva de grupo se denomina objeto de directiva de grupo ( GPO ). Una versión de la Política de grupo denominada Política de grupo local (LGPO o LocalGPO) permite la administración de Objetos de política de grupo sin Active Directory en equipos independientes. [1] [2]
Los servidores de Active Directory difunden políticas de grupo al incluirlas en su directorio LDAP bajo objetos de clase groupPolicyContainer. Estos se refieren a las rutas del servidor de archivos (atributo gPCFileSysPath) que almacenan los objetos de política de grupo reales, normalmente en un recurso compartido SMB \\ dominio.com \ SYSVOL compartido por el servidor de Active Directory. Si una directiva de grupo tiene una configuración de registro, el recurso compartido de archivos asociado tendrá un archivo registry.polcon la configuración de registro que el cliente debe aplicar. [3]
Las directivas de grupo, en parte, controlan lo que los usuarios pueden y no pueden hacer en un sistema informático. Por ejemplo, se puede usar una política de grupo para hacer cumplir una política de complejidad de contraseña que evita que los usuarios elijan una contraseña demasiado simple. Otros ejemplos incluyen: permitir o impedir que usuarios no identificados de computadoras remotas se conecten a un recurso compartido de red , o bloquear/restringir el acceso a ciertas carpetas. Un conjunto de tales configuraciones se denomina Objeto de directiva de grupo (GPO).
Como parte de las tecnologías IntelliMirror de Microsoft , Group Policy tiene como objetivo reducir el costo de soporte a los usuarios. Las tecnologías IntelliMirror se relacionan con la administración de máquinas desconectadas o usuarios móviles e incluyen perfiles de usuarios móviles , redirección de carpetas y archivos sin conexión .
Para lograr el objetivo de la administración central de un grupo de computadoras, las máquinas deben recibir y hacer cumplir los GPO. Un GPO que reside en una sola máquina solo se aplica a esa computadora. Para aplicar un GPO a un grupo de equipos, la directiva de grupo se basa en Active Directory (o en productos de terceros como ZENworks Desktop Management ) para la distribución. Active Directory puede distribuir GPO a equipos que pertenecen a un dominio de Windows .
De forma predeterminada, Microsoft Windows actualiza la configuración de su política cada 90 minutos con una compensación aleatoria de 30 minutos. En los controladores de dominio , Microsoft Windows lo hace cada cinco minutos. Durante la actualización, descubre, obtiene y aplica todos los GPO que se aplican a la máquina ya los usuarios que iniciaron sesión. Algunas configuraciones, como las de instalación automática de software, asignaciones de unidades, secuencias de comandos de inicio o secuencias de comandos de inicio de sesión, solo se aplican durante el inicio o el inicio de sesión del usuario. Desde Windows XP , los usuarios pueden iniciar manualmente una actualización de la política de grupo utilizando el gpupdate comando desde un símbolo del sistema . [4]
