Tema 38. Directivas de Grupo (GPO) Windows Server

Skip to main content
< Todos los temas
Imprimir
Publicado
Actualizado
Poroposicion

La Consola de Administración de Directivas de Grupo (GPMC) es la herramienta centralizada en Windows Server diseñada para gestionar la configuración de usuarios y equipos en un entorno de Active Directory. Es el «centro de mando» desde donde los administradores definen qué pueden y qué no pueden hacer los usuarios en sus estaciones de trabajo.

1. Concepto de la GPMC

La GPMC unifica la gestión de directivas que anteriormente se realizaba de forma dispersa. Su función principal es permitir la creación, edición y aplicación de Objetos de Directiva de Grupo (GPO).

Un GPO (Group Policy Object) es un conjunto de configuraciones (reglas de seguridad, instalación de software, scripts de inicio, restricciones de panel de control, etc.) que se aplican a uno o más contenedores de Active Directory.

2. Organización de las Directivas

Las directivas no se aplican directamente a los usuarios de forma individual, sino que se organizan mediante un sistema de vinculación:

  • Objetos de Directiva de Grupo (GPOs): Se almacenan en la carpeta contenedora «Objetos de directiva de grupo» dentro de la consola. Son los contenedores reales de la configuración.
  • Vínculos (Links): Para que una directiva surta efecto, debe «vincularse» a un nivel específico de la jerarquía (Sitio, Dominio o Unidad Organizativa).
  • Filtros WMI y de Seguridad: Permiten ajustar con precisión a qué equipos o usuarios específicos dentro de un contenedor se les aplica la directiva (por ejemplo, aplicar una regla solo a portátiles o solo al grupo de «Administradores»).

3. Esquema de Árbol y Jerarquía

La GPMC presenta una estructura visual en árbol que refleja la estructura del Active Directory. El orden de prioridad sigue una lógica de especificidad, conocida comúnmente como la regla LSDOU:

  1. L (Local): Directiva de grupo local (de la propia máquina).
  2. S (Sitio): Directivas aplicadas a la ubicación física (Site).
  3. D (Dominio): Directivas que afectan a todo el dominio.
  4. OU (Unidad Organizativa): Directivas aplicadas a la OU (donde reside el usuario o equipo).

En este esquema, la última directiva en aplicarse es la que prevalece. Por lo tanto, una política configurada en una Unidad Organizativa tiene más peso que una configurada a nivel de Dominio.

4. Herencia de Directivas

La herencia es el mecanismo por el cual los contenedores hijos reciben automáticamente las directivas vinculadas a sus contenedores padres.

Reglas de Conflictos y Excepciones

Si hay dos configuraciones contradictorias, el sistema decide cuál gana basándose en el orden de herencia, a menos que se utilicen estas herramientas:

Nota: Cuando se aplican múltiples GPOs en un mismo nivel (por ejemplo, tres GPOs vinculadas a la misma OU), el administrador puede definir el Orden de Vínculo; el GPO con el número de orden más bajo (1) es el que tiene la prioridad más alta.