En este artículo, explicaré cómo crear una política de grupo, también llamada GPO, respetando algunas buenas prácticas y errores a evitar en tu dominio de Active Directory.
Tabla de contenido
Malas practicas
Empecemos de inmediato con lo que considero que es malas practicas en términos de estrategia de grupo.
1. No anticipar la estrategia del grupo
El primer error es no pensar en el futuro A la estrategia del grupo y aplique parámetros directamente sin planificación. Comience por definir con precisión lo que desea implementar. Compruebe si esto se puede aplicar a nivel usuario, computadora o ambosAnalice si la configuración se puede lograr a través de configuraciones de políticas, una modificación del registro o un script.
Este primer paso se puede probar localmente en una máquina a través de la consola. gpedit.msc o en un entorno de prueba (Laboratorio).
2. Falta de organización de las GPO
Con demasiada frecuencia el no existe una organización clara Estrategias grupales. Cada administrador tiene su propio método y, después de un tiempo, terminas con… un único GPO «para todo uso»Esto se puede hacer con una GPO para cada acción (configuración, GPP, scripts), lo que complica la administración. A veces, comprender qué hace cada GPO puede llevar horas.
No propondré aquí un modelo único, ya que depende de cada CIO, sino que se aplica una regla universal: Utilice el sentido común y organice sus GPO adecuadamente.
3. Falta de una convención de nomenclatura
Siguiendo con el tema de la organización: la ausencia de convención de nomenclatura Esto dificulta la identificación de las GPO y su alcance. Una buena práctica es:
- Inicie las GPO de «computadora» con la letra C
- Inicie las GPO de «usuario» con la letra U
- dar un nombre explícito permitiendo la rápida identificación del papel del GPO.
Un acuerdo claro también permite para evitar mezclar Se desaconseja enfáticamente colocar configuraciones de usuario y computadora en la misma GPO.
4. No haga comentarios sobre las GPO ni sus configuraciones
es común descuidando la descripción de los GPO y sus parámetros, pero estos campos están ahí para facilitar la comprensión y el seguimiento.
Hazlo un hábito documentar cada GPO Por qué se creó, qué configura y, posiblemente, cualquier cambio significativo realizado. Más adelante te mostraré dónde ingresar estos comentarios.
5. Combine las configuraciones de usuario y computadora en la misma GPO
Como se mencionó anteriormente, cree un GPO que contenga ambos Configuraciones de usuario y computadora para la misma acción es un error común. Esto a menudo refleja una falta de preparacióny esperamos que «funcione» configurándolo en ambos lados.
6. Cree un GPO vinculado directamente a una unidad organizativa de producción
Otra mala práctica es crear un GPO directamente dentro de la unidad organizativa (OU) de producción en el que queremos aplicarlo. Esto puede parecer conveniente en ese momento, pero Esto evita cualquier fase de prueba. y aumenta enormemente el riesgo de impacto en un entorno del mundo real.
El enfoque correcto es el siguiente:
- Cree el GPO en el contenedor «Objetos de directiva de grupo» (a través de la consola GPMC)
- A continuación, vincule el GPO a una o más unidades organizativas de prueba.representante del público objetivo futuro (por ejemplo, usuarios o máquinas en preproducción)
- Validar el correcto funcionamiento del GPO en un entorno controlado
- Entonces sólo vincular el GPO a las unidades organizativas de producción
Esto ayuda a evitar errores críticos como reinicios inesperados, configuraciones demasiado restrictivas o conflictos con estrategias existentes.
Este método también fomenta reutilización y control :un GPO bien diseñado se puede vincular a múltiples ubicaciones según sea necesario, sin tener que volver a crearlo cada vez.
7. Utilizar directamente los dispositivos o computadoras del usuario para el filtrado de seguridad.
Un error común es aplicar un GPO directamente a un usuario o computadora específica, ya sea a través de:
- EL control de seguridad en las propiedades de GPO
- EL preferencias (GPP) con segmentación mediante «Nombre de usuario» o «Nombre de computadora»
- O incluso para rechazar la solicitud de una GPO a un objeto específico
Aunque pudiera funcionar ocasionalmente, no lo es. no recomendado en un marco de gestión limpia y evolutiva.
8. Vincular GPO a la raíz del dominio indiscriminadamente
Por último, hablemos de la vinculación de GPO Es muy común ver GPO directamente vinculado a la raíz del dominio, que se les aplica a todos los objetosincluso en controladores de dominio.
Pregúntese lo siguiente: ¿es necesario aplicar la configuración del navegador (por ejemplo, Google Chrome) a un controlador de dominio, ubicado en el Nivel 0, sin acceso a Internet ni a otros sitios internos?
La respuesta es no.
Por lo tanto, es crucial vincular los GPO en el nivel correcto de la estructura de árbol de Active Directory. A veces, esto implica vincular el mismo GPO a múltiples unidades organizativas (OU) dependiendo de la estructura de su dominio.
Crear una política de grupo en Active Directory
Después de ver lo que no se debe hacer, pasaremos a las «buenas prácticas», veremos, podemos crear una directiva de grupo utilizando la interfaz gráfica de la consola de Administración de Directivas de Grupo o utilizando un símbolo del sistema de PowerShell.
Antes de embarcarse en la creación del objeto GPO, primero asegúrese de tener una unidad organizativa donde almacenará los grupos que utilizará para administrar las políticas de grupo.
Supongo que sabes lo que quieres hacer con esta estrategia y los parámetros que vas a modificar, y que ha sido probada en un laboratorio y validada.
Cree un objeto de directiva de grupo (GPO) mediante la consola de administración de directivas de grupo
En este artículo, hablo sobre la creación, si desea agregar una configuración a nivel de Microsoft Edge y ya tiene una política de grupo existente que configura el navegador, modifique este objeto en lugar de crear uno nuevo si el alcance es idéntico.
Vaya al contenedor (carpeta) Objetos de directiva de grupo 1, como puede ver, contiene todas las directivas de grupo existentes, incluso aquellas que ya no tienen un enlace, cuando elimina un enlace de directiva de grupo y especialmente cuando solo tiene un enlace, esto no elimina el objeto.
Haga clic con el botón derecho en Objetos de directiva de grupo y haga clic en Nuevo 1.
Nombre la política de grupo 1 según una convención de nomenclatura y haga clic en el botón Aceptar 2 para crearla.
Se crea el objeto GPO, haga clic derecho sobre él y haga clic en Editar 1.
Describe la estrategia del grupo.
En la sección sobre malas prácticas, hablé sobre la falta de descripción y comentarios sobre las estrategias de grupo; aquí se explica cómo escribir un comentario en un GPO.
Desde el editor, seleccionando la estrategia en el panel de navegación, haga clic en Acción 1 y luego en Propiedades 2.
En la pestaña Comentario 1, tiene acceso al campo Comentario 2 que le permite comentar el GPO, tal vez administrar el historial indicando fecha – autor: modificación …
Comentar sobre la configuración
Supongamos que quiero configurar la opción: Deshabilitar el antivirus Microsoft Defender.
Además de configurar el ajuste, use el campo de comentarios 1 para explicar el motivo. Para realizar un seguimiento de los cambios, indique el autor y la fecha.
Descripción general del GPO
La política de grupo se crea en esta etapa, aún no está activa, desde la consola de Administración de Políticas de Grupo, puedes ver los comentarios de la GPO y la configuración.
Crear un grupo para rechazar la estrategia de grupo
En ciertos casos específicos, puede ser necesario bloquear una aplicación en un ordenador o para un usuario. Para anticipar esto, se puede crear un grupo que permita bloquear la aplicación.
Crea un grupo con un nombre que permita vincular fácilmente la estrategia del grupo al grupo y también saber si se debe aplicar o rechazar.
A continuación, desde la consola de Administración de políticas de grupo, en el objeto de política de grupo en la configuración de delegación, agregue una «autorización» para el grupo que permita leer la política y también denegar la aplicación de la política de grupo.
Poniendo a prueba la estrategia del grupo
Antes de implementar la política de grupo, es recomendable probar la política en varios equipos/usuarios representativos de su entorno.
Comience vinculando la política a una unidad organizativa de prueba. Para ello, haga clic derecho sobre ella y luego haga clic en Vincular un objeto de política de grupo existente 1.
Seleccione el objeto 1 y haga clic en Aceptar 2.
La estrategia del grupo está vinculada a la unidad organizativa de prueba.
Validar el correcto funcionamiento de la estrategia grupal en la parte de Pruebas.
Poniendo la estrategia del grupo en producción
Una vez que todo esté validado, vincule la estrategia para que se aplique a su objetivo y elimine el vínculo en la OU de prueba.
Crear un objeto de directiva de grupo (GPO) con PowerShell
Si lo desea, es posible utilizar PowerShell para crear la política de grupo con el cmdlet. New-GPO y para crear el grupo de AD con el cmdlet Obtener-ADGroup.
Para ahorrar tiempo, aquí hay un script que puede usar, que creará la política de grupo, el grupo de Active Directory local y colocará los permisos de grupo en la política de grupo.
Sólo recuerda cambiar la variable $orPath indicando el DN de la OU donde colocas los grupos.
Import-Module ActiveDirectory
Import-Module GroupPolicy
# Variables
$ouPath = "OU=GPO,OU=Groupes,OU=Lab,DC=lab,DC=lan"
# Demande interactive
$gpoName = Read-Host "Nom de la GPO a creer"
$comment = Read-Host "Commentaire pour la GPO"
$groupName = Read-Host "Nom du groupe AD (etendu local) a exclure"
# Domaine et NetBIOS
$domain = Get-ADDomain
$domainDN = $domain.DistinguishedName
$domainNetBIOS = $domain.NetBIOSName
# Creation groupe si absent
if (-not (Get-ADGroup -Filter "Name -eq '$groupName'" -SearchBase $ouPath -ErrorAction SilentlyContinue)) {
New-ADGroup -Name $groupName `
-SamAccountName $groupName `
-GroupScope DomainLocal `
-GroupCategory Security `
-Path $ouPath `
-ErrorAction Stop
Write-Host "Groupe '$groupName' cree dans '$ouPath'."
} else {
Write-Host "Groupe '$groupName' deja existant."
}
# Creation GPO
$gpo = New-GPO -Name $gpoName -Comment $comment -ErrorAction Stop
Write-Host "GPO '$gpoName' creee."
# Attribution permission lecture sur la GPO
Set-GPPermissions -Name $gpoName -TargetName $groupName -TargetType Group -PermissionLevel GpoRead
Write-Host "Permission lecture accordee au groupe '$groupName' sur la GPO."
# Attente pour replication AD
Start-Sleep -Seconds 10
# Récupération GUID GPO avec accolades, en majuscules
#$gpoGuid = $gpo.Id.Guid.ToString("B").ToUpper()
$gpoGuid = ("{0:B}" -f [Guid]$gpo.Id)
# Construction chemin LDAP GPO
$ldapPath = "LDAP://CN=$gpoGuid,CN=Policies,CN=System,$domainDN"
# Recuperation objet GPO ADSI
$adgpo = [ADSI]$ldapPath
# GUID du droit "Apply Group Policy"
$applyGpoGuid = [Guid]::Parse('edacfd8f-ffb3-11d1-b41d-00a0c968f939')
# Creation regle de refus Apply Group Policy
$rule = New-Object System.DirectoryServices.ActiveDirectoryAccessRule (
[System.Security.Principal.NTAccount]"$domainNetBIOS\$groupName",
'ExtendedRight',
'Deny',
$applyGpoGuid
)
# Recuperation ACLs existantes
$acl = $adgpo.ObjectSecurity
# Ajout regle de refus
$acl.AddAccessRule($rule)
# Application des modifications
$adgpo.ObjectSecurity = $acl
$adgpo.CommitChanges()
Write-Host "Refus explicite 'Apply Group Policy' ajoute pour '$domainNetBIOS\$groupName' sur la GPO '$gpoName'."Conclusión
En este artículo, revisamos las mejores prácticas para implementar estrategias de grupo dentro de un entorno de Active Directory.
