Unidad Organizativa (OU)

1. Concepto de Unidad Organizativa (OU)

Una OU es un contenedor dentro de un dominio que puede albergar usuarios, grupos, equipos y otras sub-unidades organizativas. Sus dos propósitos principales son:

  • Aplicación de Directivas: Es el nivel más bajo (y más específico) al que se puede vincular una GPO.
  • Delegación de Control: Permite asignar permisos administrativos a usuarios específicos (ej. que el jefe de IT de una sucursal pueda resetear contraseñas solo en su OU) sin darle privilegios de Administrador del Dominio.

2. Estrategias de Diseño de OUs

Existen tres modelos comunes para desarrollar la estructura de un árbol de OUs:

A. Modelo Funcional (Por Departamentos)

Ideal para empresas donde las necesidades de software y seguridad dependen del rol del empleado.

  • Estructura: Dominio > Departamentos > Ventas / Contabilidad / IT
B. Modelo Geográfico (Por Ubicaciones)

Recomendado para organizaciones con múltiples sedes y diferentes normativas o anchos de banda.

  • Estructura: Dominio > Sedes > Madrid / Barcelona / México
C. Modelo Híbrido (El más utilizado)

Combina ubicación geográfica en el nivel superior y funciones en el nivel inferior.

  • Estructura: Dominio > Madrid > Equipos / Usuarios > Ventas

3. La Herencia: El flujo de poder

La herencia es el mecanismo por el cual las configuraciones de los niveles superiores «caen» hacia los niveles inferiores. Para entenderla, siempre debemos recordar el acrónimo LSDOU, que marca el orden de aplicación:

  1. Local (Directiva local del equipo).
  2. Sitio (Configuración física).
  3. Dominio (Configuración global).
  4. OU (Unidad Organizativa – puede haber varias capas).
La regla de la «Última palabra»

En caso de conflicto (por ejemplo, el Dominio dice «Fondo Rojo» y la OU dice «Fondo Azul»), la última directiva en procesarse es la que prevalece. Por lo tanto, cuanto más cerca esté la GPO del objeto (Usuario o Equipo), más prioridad tiene.

Excepciones Críticas
  • Bloqueo de Herencia (Block Inheritance): Se aplica sobre una OU. Impide que las políticas del Dominio o de OUs superiores afecten a ese contenedor.
  • Exigido (Enforced): Se aplica sobre el vínculo de la GPO. Hace que esa política sea «obligatoria», ignorando cualquier bloqueo de herencia que haya debajo. Si hay conflicto entre dos políticas «Exigidas», la de nivel superior gana.

Regla de Oro: La configuración más cercana al objeto (la de la OU más específica) es la que prevalece en caso de conflicto.

4. Gestión de la Herencia: Conflictos y Excepciones

Para tener un control total sobre cómo fluyen las políticas, los administradores disponen de dos herramientas críticas:

Ejemplo Práctico de Conflicto:
  1. GPO Dominio: Fondo de pantalla Azul.
  2. GPO OU Ventas: Fondo de pantalla Rojo.
  3. Resultado: El usuario de Ventas tendrá fondo Rojo (porque la OU es más específica).
  4. Si el Administrador marca la GPO de Dominio como «Exigida»: El usuario de Ventas tendrá fondo Azul, ignorando su propia política local.

5. Visualización del Árbol y Herencia

Dentro de la consola GPMC, puedes verificar cómo queda el resultado final tras la herencia utilizando la pestaña «Herencia de directivas de grupo». Esta vista muestra:

  • Todas las GPOs que afectan a esa OU específica.
  • El orden de precedencia (cuál gana sobre cuál).
  • Si alguna está siendo bloqueada o forzada.

6. Estrategias para configurar GPOs

Existen dos grandes escuelas de pensamiento al diseñar GPOs. La elección depende del tamaño de la red y la complejidad de los requisitos.

A. GPOs Monolíticas (Todo en uno)

Consiste en crear pocas GPOs que contienen muchísimas configuraciones (Seguridad + Escritorio + Red + Software).

  • Ventaja: Menos objetos que gestionar en la consola. El inicio de sesión puede ser ligeramente más rápido porque hay menos vínculos que procesar.
  • Desventaja: Muy difícil de depurar. Si algo falla, es complicado saber qué configuración exacta causa el problema.
B. GPOs Funcionales o Modulares (Recomendada)

Consiste en crear GPOs pequeñas y específicas para tareas concretas (ej. «Navegador_Edge», «Mapa_Unidades», «Seguridad_USB»).

  • Ventaja: Máxima flexibilidad. Puedes vincular la GPO de «Seguridad_USB» a todo el dominio, pero la de «Fondo_Pantalla» solo a Ventas.
  • Desventaja: Si se crean demasiadas (más de 50-100 aplicadas a un mismo usuario), el tiempo de inicio de sesión puede aumentar notablemente.

7. Mejores Prácticas de Diseño

Para que tu infraestructura no se convierta en un caos, sigue estas reglas de oro:

  1. Deshabilitar partes no usadas: Si una GPO solo tiene configuraciones de «Equipo», deshabilita la sección de «Usuario» en la pestaña Detalles. Esto acelera el procesamiento.
  2. Uso mínimo de «Enforced»: Abusar del modo «Exigido» rompe la lógica de la herencia y hace que solucionar problemas sea una pesadilla. Úsalo solo para políticas críticas de seguridad a nivel de Dominio.
  3. Nomenclatura clara: No nombres las GPOs como «Política 1». Usa un esquema tipo:
    • [TIPO] - [DESTINO] - [DESCRIPCIÓN]
    • Ejemplo: SEC-EQUIPOS-BloqueoUSB o USR-VENTAS-FondoPantalla.
  4. Evitar el filtrado excesivo: Es mejor mover usuarios a una OU diferente que mantenerlos en la misma OU y usar filtros de seguridad complejos para que una GPO solo afecte a unos pocos.
  5. Configuración de Usuario vs. Equipo: Recuerda que las políticas de equipo se aplican al encender la máquina y las de usuario al iniciar sesión. No mezcles configuraciones si no es estrictamente necesario.
Tabla de Estrategia: ¿Dónde vincular cada cosa?