• Artículo

Directiva de grupo

Análisis de la Administración avanzada de directivas de grupo

Derek Melber

 

Resumen:

  • Instalación y arquitectura de AGPM
  • Edición sin conexión de GPO
  • Administración de cambios con AGPM
  • Recuperación de desastres

Microsoft adquirió muy recientemente DesktopStandard, una compañía que creó un producto que permite la administración completa de Objetos de directiva de grupo.En mi opinión, cada empresa que usa Active Directory debería ejecutar esta herramienta: Administración avanzada de directivas de grupo (AGPM).

AGPM facilita la edición sin conexión de Objetos de directiva de grupo (GPO), la administración de cambios, el flujo de trabajo de las directivas de actualización, la delegación y mucho, mucho más.En este artículo, analizo el funcionamiento interno de la herramienta para ofrecer una vista exhaustiva de este atractivo y útil producto.

En primer lugar le ofreceré cierta información básica.AGPM se denominó en un principio GPOVault.Después de adquirir DesktopStandard, Microsoft le cambió el nombre por AGPM y agregó la herramienta a Microsoft® Desktop Optimization Pack (MDOP).Sólo puede obtener MDOP si sus licencias de escritorio de Windows Vista® están cubiertas por Software Assurance de Microsoft.

Según mi experiencia con las herramientas incluidas, creo que MDOP es, con gran ventaja, una de las ofertas más atractivas de Microsoft de los últimos tiempos.MDOP incluye cinco herramientas diferentes, cada una de las cuales es ya notable de por sí, y unidas componen un conjunto de herramientas muy útil y atractivo.Para obtener más información acerca de MDOP, consulte el sitio web de MDOP:windowsvista.com/optimizeddesktop.

Instalación y arquitectura de AGPM

La instalación de AGPM se ha diseñado para ser muy sencilla y concisa: consiste en un componente servidor y un componente cliente (administrativo).El componente servidor debe instalarse en un servidor miembro en el dominio; no altera Active Directory®, el esquema ni cualquier otro servicio de directorio.AGPM puede instalarse en un controlador de dominio si la situación lo requiere.

La instalación del servidor instalará un servicio que requiere una cuenta de servicio basada en el dominio, desde la cual AGPM tiene acceso a los Objetos de directiva de grupo de producción activa en nombre del usuario.La instalación requiere también que haya un administrador de AGPM, que controlará toda la configuración de AGPM, como la delegación y la administración inicial de GPO.

El cliente debe instalarse en un equipo que ejecute Windows Vista donde ya tienen lugar funciones administrativas normales, probablemente en el escritorio de los administradores de la red y Active Directory.El cliente necesita indicar la configuración de AGPM al servidor AGPM y se establece la conexión al archivo.El cliente de AGPM usa la interfaz de la Consola de administración de directivas de grupo (GPMC) y se muestra como el nodo Control de cambios, tal como se muestra en la Figura 1.

Figura 1 AGPM se ha integrado completamente en GPMC para facilidad de uso.

Figura 1** AGPM se ha integrado completamente en GPMC para facilidad de uso. **(Hacer clic en la imagen para ampliarla)

Los archivos a los que el cliente de AGPM tendrá acceso se almacenan en un formato de archivo básico en el servidor de AGPM.Este es el método más sencillo para almacenar estos archivos y facilita la copia de seguridad de todo el archivo de AGPM.La mayoría de las funciones de AGPM usan las API integradas de GPMC, que igualmente simplifican la integración y el uso adecuado del producto.AGPM no usa una base de datos; almacena los GPO en una sola carpeta y un manifiesto controla la correlación de todos los GPO con el GPO principal dentro del archivo.Esto garantiza que todos los GPO tengan un GUID único pero, cuando se colocan en el entorno de producción, el GUID correcto se asocia con el GPO en la implementación.

Edición sin conexión de AGPM

La característica más básica de AGPM es la capacidad de llevar a cabo la edición de los GPO sin conexión, lejos del entorno de producción.Es un problema muy conocido que la edición de los GPO mediante la GPMC predeterminada puede llevar a que la configuración errónea se inserte inmediatamente en el entorno de producción, causando posiblemente resultados desastrosos.

La AGPM administra la edición de los GPO sin conexión "controlando" los GPO.Un GPO controlado, tal como se muestra en la Figura 2, es un GPO que se puede editar sin conexión sin provocar una intrusión en el entorno de producción.

Figura 2 Los GPO controlados se almacenan en el archivo de AGPM y pueden editarse sin conexión.

Figura 2** Los GPO controlados se almacenan en el archivo de AGPM y pueden editarse sin conexión. **(Hacer clic en la imagen para ampliarla)

El control de un GPO es muy sencillo.Los GPO no controlados, tal como se muestra en la Figura 3, indican todos los GPO que no están todavía asociados con el archivo de AGPM.Al hacer clic con el botón secundario en cualquiera de estos GPO, aparece un menú, que incluye la opción Control.Al seleccionar Control, se copiará el GPO de la ubicación de producción (el volumen de sistema, o SYSVOL, recurso compartido en el controlador de dominio) y quedará colocado en el archivo de AGPM.Se pueden controlar varios GPO; simplemente mantenga presionada la tecla Mayús o Control al seleccionar los GPO para obtener la lista correcta de GPO que desea controlar y, a continuación, haga clic con el botón secundario para tener acceso a la opción de menú Control.Seguirá editando los GPO controlados mediante el Editor de objetos de directiva de grupo (GPOE).Se trata de otra manera en la que AGPM se ha integrado completamente en la GPMC.

Figura 3 Los GPO no controlados se colocan en el archivo seleccionando la opción de menú Control.

Figura 3** Los GPO no controlados se colocan en el archivo seleccionando la opción de menú Control. **(Hacer clic en la imagen para ampliarla)

Delegación de administración de AGPM

Observemos cómo AGPM administra la delegación examinando, en primer lugar, cómo puede delegar la administración de GPO mediante la GPMC.Dentro de la GPMC, tiene cinco tareas diferentes de delegación que puede conceder a un usuario:crear un GPO, vincular un GPO, editar un GPO, administrar un GPO y leer un GPO.

Todas estas delegaciones se llevan a cabo dentro de la interfaz de la GPMC.Todas se controlan a través de los usuarios y los grupos que se incluyen en las fichas Delegación asociadas con los distintos nodos dentro de la GPMC.Las delegaciones que nos conciernen son aquellas que permiten la creación de nuevos GPO, así como la edición y la administración de los GPO existentes.

La creación de GPO dentro de la GPMC se administra a través de la ficha Delegación asociada con el nodo Objetos de directiva de grupo, tal como se muestra en la Figura 4.Una vez que ha instalado AGPM, podrá eliminar todos los usuarios y los grupos de la lista de aquellos que tienen acceso para crear GPO.(No hay necesidad de eliminar el sistema, los equipos, ni los grupos de equipos de la ficha Delegación para crear GPO).La creación de GPO será administrada ahora por la cuenta de servicio que controla el servicio AGPM.Se delegará en esta cuenta para crear GPO en nombre de todos los usuarios y los grupos que tienen los permisos Crear GPO e Implementar en AGPM.

Figura 4 La creación de GPO se controla mediante la lista de cuentas en la ficha Delegación del nodo Objetos de directiva de grupo en la GPMC.

Figura 4** La creación de GPO se controla mediante la lista de cuentas en la ficha Delegación del nodo Objetos de directiva de grupo en la GPMC. **(Hacer clic en la imagen para ampliarla)

Esta nueva capacidad para crear GPO permite la separación de tareas y protege el entorno de producción.Lo ideal es que los GPO se creen, configuren y comprueben antes de ser implementados desde el entorno de AGPM a la producción.No habrá prácticamente configuraciones erróneas expulsadas al entorno como las hay actualmente sin AGPM.

Para la delegación relacionada con la edición o la administración de GPO, el procedimiento es similar.Dentro de la GPMC, estas delegaciones se configuran en la ficha Delegación asociada con cada GPO, tal como se muestra en la Figura 5.

Figura 5 La edición y la administración de GPO se asocian con cada GPO de manera individual.

Figura 5** La edición y la administración de GPO se asocian con cada GPO de manera individual. **(Hacer clic en la imagen para ampliarla)

Una vez que se ha instalado AGPM, estas delegaciones necesitan ser eliminadas de cada GPO enumerado en el nodo Objetos de directiva de grupo.Esto evitará que todos los administradores editen los GPO desde fuera de la AGPM.En esencia, esto conecta toda administración de los GPO con la AGPM, donde tareas como la edición sin conexión, la administración de cambios y la recuperación de desastres son posibles.

El evitar que usuarios y grupos editen GPO fuera de la AGPM constituye un proceso manual.La instalación y la configuración de AGPM no evitan que los usuarios o grupos editen GPO en el entorno de producción.Puesto que la cuenta de servicio que controla el servicio AGPM realizará las acciones en nombre de los usuarios que modifican los GPO de producción desde la AGPM, no hay necesidad de que exista un usuario o un grupo de usuarios incluidos en la ficha Delegación para cada GPO.Los equipos y los grupos de equipo no deben eliminarse de estas fichas de delegación.

Una vez que se eliminan todas las delegaciones para editar un GPO dentro de la GPMC, todos los administradores tendrán denegada la capacidad de editar un GPO desde la GPMC, tal como se muestra en la Figura 6.

Figura 6 Los administradores no pueden editar GPO desde la GPMC una vez que se les ha denegado la delegación de esta acción.

Figura 6** Los administradores no pueden editar GPO desde la GPMC una vez que se les ha denegado la delegación de esta acción. **(Hacer clic en la imagen para ampliarla)

Para completar la configuración, todos los administradores que necesiten editar GPO deben ser añadidos a las Listas de control de acceso (ACL) apropiadas dentro de la AGPM.Si un administrador necesita editar todos los GPO que están en el archivo, su cuenta de usuario debe agregarse a un grupo al que se hayan concedido capacidades de edición en el nivel de dominio dentro de la AGPM, tal como se muestra en la Figura 7.Si se debe restringir la capacidad de edición de un administrador a un número reducido de GPO dentro del archivo de AGPM, esta configuración se debe aplicar a cada GPO (consulte la Figura 8).

Figura 7 La ficha Delegación de dominios permite la configuración de la edición de todos los GPO en el archivo.

Figura 7** La ficha Delegación de dominios permite la configuración de la edición de todos los GPO en el archivo. **(Hacer clic en la imagen para ampliarla)

Figura 8 La edición de GPO individuales necesita configurarse en las ACL de cada GPO.

Figura 8** La edición de GPO individuales necesita configurarse en las ACL de cada GPO. **(Hacer clic en la imagen para ampliarla)

Administración de cambios de GPO de la AGPM

Uno de los grandes beneficios de AGPM es la capacidad de seguir todos los cambios realizados en los GPO dentro del archivo.Puesto que esto es un proceso automatizado, no necesita ser instalado, configurado o administrado.El seguimiento de todos los cambios se realiza de fondo cuando los GPO se administran a través de la interfaz de cliente de AGPM.

Esto constituye una mejora considerable de la manera en la que la GPMC predeterminada se encarga de la administración de GPO.Dentro de la GPMC predeterminada, no hay capacidades automatizadas o integradas para efectuar el seguimiento de los cambios a los GPO.Esto ha constituido una queja por parte de la mayoría de los administradores de directivas de grupo durante años, aunque el problema ahora se ha eliminado.

La característica de administración de cambios de AGPM efectúa el seguimiento de todas las modificaciones esenciales que podrían ocurrir en un GPO.Junto con los cambios que se realizan en el GPO, el sistema de administración de cambios ayudará también en situaciones de auditoría o de seguimiento de la administración general.El sistema de administración de cambios supervisará, registrará y documentará los siguientes aspectos específicos por edición y cambio de GPO:fecha y hora de modificación del GPO, el usuario que hizo el cambio, la configuración original del GPO y las modificaciones en la configuración del GPO.

Puesto que el seguimiento de todos los cambios es continuo, es importante saber qué acciones activan el seguimiento automatizado.Dentro de la interfaz de cliente de AGPM, puede hacer clic con el botón secundario en un GPO bajo la ficha Controlado y, a continuación, seleccionar la opción de menú Desproteger, tal como se muestra en la Figura 9.

Figura 9 La desprotección de un GPO activará el proceso automatizado para efectuar el seguimiento de los cambios.

Figura 9** La desprotección de un GPO activará el proceso automatizado para efectuar el seguimiento de los cambios. **(Hacer clic en la imagen para ampliarla)

Este procedimiento debe seguirse para editar el GPO, que trataré en la sección siguiente.Incluso si se desprotege un GPO y se vuelve a proteger inmediatamente sin ningún cambio, se llevará a cabo un archivo de esta acción.Puesto que los GPO son componentes integrales de la empresa, la herramienta efectúa incluso el seguimiento de la posibilidad de un cambio.

El procedimiento de desprotección se fuerza dentro de AGPM porque debe haber un mecanismo que efectúe el seguimiento de los cambios en los GPO para el administrador específico que hizo el cambio.Dos administradores no pueden desproteger el mismo GPO al mismo tiempo.Si un administrador desprotege un GPO y no lo vuelve a proteger, hay un mecanismo integrado que permite al administrador de AGPM volver a protegerlo.

Edición de GPO de AGPM

Siempre que el cliente de AGPM esté instalado, puede tener acceso al archivo de AGPM.Una vez que se otorga la delegación para editar o el control total dentro de la herramienta de AGPM, podrá editar los GPO almacenados.Después de desproteger un GPO, puede editarlo al hacer clic con el botón secundario en el GPO y seleccionar la opción de menú Editar.Nota:si sólo puede editar algunos de los GPO dentro del archivo de AGPM, es posible que sólo se le hayan otorgado capacidades delegadas sobre algunos de los GPO, no para todos los GPO dentro del archivo.

Con la adquisición de DesktopStandard, Microsoft adquirió también PolicyMaker, ahora denominado Preferencias de directiva de grupo.Este conjunto de características de directiva de grupo se incluye en la GPMC que se lanzará con Windows Server® 2008. Las Preferencias de directiva de grupo permiten al administrador configurar las aplicaciones o los componentes de Windows que no son normalmente configurables a través de la directiva de grupo, así como aplicarlos a ciertos usuarios o equipos según un conjunto muy rico de reglas de objetivos.Las Preferencias de directiva de grupo están integradas completamente en GPMC y AGPM en Windows Server 2008.

Implementación de GPO de AGPM

AGPM fue diseñada con el fin de mejorar la eficacia y el flujo de trabajo.Puesto que la administración de GPO es ahora más estable y se controla mediante AGPM, tiene sentido disponer de administradores que tengan la capacidad de editar un GPO, pero no implementarlo en la producción.Dentro de AGPM, esto se controla muy adecuadamente con la interfaz, los cuadros de diálogo y los mecanismos de trabajo.Por ejemplo, si un administrador con derechos de sólo edición intenta implementar un GPO, el sistema lo bloqueará.El administrador verá un cuadro de diálogo para la comunicación con un administrador que tenga permiso delegado de implementación.Esta característica de flujo de trabajo enviará un correo electrónico a los destinatarios de Para:y CC:y colocará el GPO en un estado único.Este estado único puede encontrarse bajo la ficha Pendiente en la interfaz de AGPM.Aquí, el GPO se marca como "Pendiente de implementación", lo cual ofrece a los administradores una vista rápida del estado de cada uno de los GPO en los que se hayan realizado acciones.

Para implementar un GPO que esté pendiente, un administrador de AGPM que tenga la delegación de implementación puede, simplemente, hacer clic con el botón secundario en el GPO y seleccionar la opción de menú Aprobar.Si el GPO necesita implementarse y aparece enumerado en la ficha Controlado, y no en la ficha Pendiente, el mismo administrador sólo necesita hacer clic con el botón secundario en el GPO y seleccionar Implementar.Puesto que ya está otorgado este permiso delegado, el GPO se implementará inmediatamente en el entorno de producción.

Informe de Configuración de GPO de AGPM y comparaciones

La interfaz de la GPMC tiene un cuadro de diálogo Configuración muy eficaz al que se obtiene acceso a través de la ficha del mismo nombre.Este cuadro de diálogo Configuración ofrece una vista completa de todas las configuraciones que se pueden realizar en el GPO, y permite averiguar cuáles de las casi 3.000 configuraciones de directiva de grupo están configuradas.

Puesto que AGPM ofrece un archivo de los GPO modificados, la ficha Configuración en la GPMC no le ofrecerá la capacidad de ver las opciones configuradas en los GPO editados.En su lugar, la interfaz de AGPM ofrece una solución alternativa a esta característica, entre otras muchas cosas.

Para ver la configuración de cualquier GPO, es adecuado ver, en primer lugar, la lista del historial de todos los cambios.Para obtener esta vista, haga doble clic en cualquier GPO dentro de la ficha Controlado en AGPM.Desde esta interfaz, puede hacer clic con el botón secundario en cualquier versión de GPO y seleccionar el Informe de configuración.Esto creará un informe de todas las configuraciones llevadas a cabo en esta versión del GPO.El informe es un archivo HTML descriptivo, pero puede crearse también en formato XML.

Aunque esto sea útil, más asequible aún es la capacidad de comparar dos versiones del mismo GPO.Con esta característica, puede ver lo que ha cambiado de una versión a la otra, o comparar dos versiones completamente diferentes del mismo GPO.Esto es también muy útil cuando un GPO está pendiente de implementación, puesto que permite ver las diferencias entre el GPO pendiente y el GPO de producción.Para consultar este informe, resalte dos GPO diferentes en la vista del historial y haga clic con el botón secundario en uno de ellos.

La codificación del color en el informe de diferencias es muy útil, especialmente si desea comprobar lo que ha cambiado en un GPO pendiente antes de implementarlo.La configuración resaltada en rojo se eliminó del GPO de producción y ya no está disponible en el GPO pendiente.La configuración azul se cambió, y la verde refleja los nuevos cambios que existen en el GPO pendiente, pero no en el GPO de producción.

Esta característica de AGPM puede ahorrarle muchas horas de comparaciones manuales laboriosas de la configuración de GPO.Es también una manera perfecta de documentar los GPO a largo plazo, ya que se puede crear un informe de cada versión e imprimirse.

Recuperación de desastres de GPO de AGPM

Un solo cambio en un GPO puede crear un caos en uno o más equipos de la red.Con la GPMC predeterminada, este tipo de configuración errónea puede corregirse, si es que se adoptaron las medidas manuales apropiadas para hacer copias de seguridad del GPO tanto antes como después de la realización de los cambios en el GPO de producción.Si no se realizaron copias de seguridad, la recuperación de este desastre no es tan sencilla como pueda parecer.

Pero AGPM soluciona esto fácilmente.Puesto que hay copias de seguridad completas de todos los GPO en el historial de GPO, puede abrir fácilmente el historial del GPO y seleccionar qué versión de GPO desea volver a implementar.

Con AGPM, la administración de las directivas de grupo es muy fluida.Durante años, los administradores han deseado tener la capacidad de controlar y administrar los GPO sin conexión.AGPM ofrece esta característica con gracia y elegancia.AGPM ofrece también una solución muy eficaz de administración de cambios, que no sólo efectúa el seguimiento de las áreas clave de un GPO modificado, sino que también proporciona comparaciones sencillas del GPO y recuperación de desastres.El modelo de delegación integrado en AGPM permite conectar todos los administradores con AGPM para todas las ediciones de GPO, lo cual ofrece copias de seguridad automáticas de los cambios de GPO y elimina la posibilidad de errores en GPO de producción.Este servicio tiene tantas características que no es posible tratarlas todas aquí, pero el manual de AGMP ofrece mucha más información acerca de plantillas, recuperación de vínculos de nodos, configuración SMTP y mucho más.

Derek Melber es consultor independiente, instructor y autor.Derek se dedica a educar y difundir la tecnología de Microsoft, centrándose en Active Directory, directivas de grupo, seguridad y administración de escritorios.Derek contribuye regularmente en publicaciones impresas y en línea, y ha escrito más de diez libros de tecnología, incluido The Microsoft Windows Group Policy Guide (Microsoft Press, 2005).Puede ponerse en contacto con él en derekm@braincore.net.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.