¿Alguien puede explicármelo en detalle? Cuanto más fácil sea de entender, mejor. Soy estúpido.
El complemento Editor de políticas de grupo (GPE) en Microsoft Management Console (MMC) es equivalente al editor de políticas del sistema poledit.exe en NT 4.0. Cada nodo funcional de GPE (como configuración de software, configuración de ventanas, módulos de administración, etc.) es una extensión del complemento MMC. La extensión del complemento MMC es una herramienta de administración opcional. Si es desarrollador de aplicaciones, puede ampliar la funcionalidad de los GPO con extensiones personalizadas que proporcionen control de políticas adicional para sus aplicaciones.
Solo los sistemas que ejecutan Win2K pueden ejecutar la Política de grupo, mientras que los clientes que ejecutan NT 4.0 y Windows 9x no pueden reconocer ni ejecutar GPO con esquema AD.
En segundo lugar, políticas de grupo y publicidad
Para utilizar plenamente las funciones de GPO, se requiere el soporte de la arquitectura de dominio AD. Con AD, se puede definir una política centralizada que todos los servidores y estaciones de trabajo Win2K pueden adoptar. Sin embargo, cada computadora que ejecuta Win2K tiene un GPO local (un GPO que reside en el sistema de archivos de la computadora local). Con un GPO local puede especificar una política por estación de trabajo; esto no funciona en un dominio de AD. Por ejemplo, no configuraría computadoras públicas en un dominio AD por razones de seguridad. Al utilizar GPO locales, puede obtener seguridad y restringir el uso del escritorio modificando las políticas locales sin utilizar GPO basados en dominios de AD. Hay dos formas de acceder a los GPO locales. El método 1 es seleccionar Ejecutar en el menú de inicio de la computadora que necesita modificar el GPO y luego escribir: gpedit.msc
Esta operación tiene la misma función que poledit.exe en NT 4.0 y puede abrir el archivo de política local. El segundo método consiste en editar manualmente el GPO local seleccionando el complemento GPE en la consola MMC y luego seleccionando la computadora local o remota.
Los GPO locales admiten todas las extensiones predeterminadas excepto la instalación de software y la redirección de carpetas. Por lo tanto, estas tareas no se pueden realizar utilizando únicamente GPO locales. Si desea aprovechar al máximo las funciones de GPO, aún necesita el soporte de AD.
En tercer lugar, diversidad y herencia de GPO
En AD, los GPO se pueden definir en tres niveles diferentes: dominio, unidad organizativa (OU) o dirección. Una unidad organizativa es un contenedor en AD que se puede asignar para administrar usuarios, grupos, computadoras y otros objetos. Una dirección es una colección de subredes en una red y las direcciones forman los límites de replicación de AD. El espacio de nombres de GPO se divide en dos categorías: configuración de computadora y configuración de usuario. Sólo los usuarios y las computadoras pueden usar GPO, como objetos de impresora e incluso grupos de usuarios.
Existen varias formas de editar políticas dentro de un dominio o unidad organizativa (OU). En el complemento MMC para usuarios o computadoras de Active Directory, haga clic con el botón derecho en el dominio o unidad organizativa (OU), seleccione Propiedades en el menú y luego seleccione la pestaña Política de grupo. Al editar una política en una dirección, debe hacer clic derecho en el complemento Direcciones y servicios de Active Directory y luego hacer clic derecho en la dirección deseada para obtener su GPO. Además, también puede seleccionar Ejecutar en el menú de inicio, luego escribir: mmc.exe para iniciar MMC, seleccionar la consola, agregar o quitar complementos, luego seleccionar el complemento de Política de grupo y buscar el GPO en AD. Se mostrará el dominio, puede seleccionar un GPO para editar.
Dependiendo de la ubicación del GPO en el espacio de nombres de AD, puede haber varios GPO que actúan sobre objetos de usuario u objetos de computadora. Los GPO se generan por herencia solo cuando otros objetos del dominio se generan por herencia. Win2K implementa GPO de la siguiente manera. Primero, el sistema operativo aplica las políticas existentes en el sistema local.
Win2K luego ejecuta los GPO de nivel de dirección definidos, los GPO de nivel de dominio y los GPO basados en OU. Microsoft abrevia este orden de precedencia como LSDOU (GPO local, de dirección, de dominio y de nivel de unidad organizativa en ese orden). Los usuarios pueden definir GPO en muchos niveles de esta cadena. Tomemos el dominio piloto como ejemplo para ilustrar cómo ver los GPO en el sistema. Inicie la herramienta MMC para usuarios y computadoras de Active Directory, haga clic con el botón derecho en el nombre de dominio piloto, seleccione el elemento "Propiedades" del menú y luego seleccione la pestaña Política de grupo. El GPO que encabeza esta lista (como la Política de seguridad para todo el dominio) tiene la prioridad más alta, por lo que Win2K lo ejecutará en último lugar. Además del sistema local, también puede definir varios GPO en cada nivel, de modo que si los GPO no se pueden administrar estrictamente, se producirán problemas innecesarios.
El modelo de herencia de GPO es completamente diferente de la estrategia Zenworks de Novell. En Zenworks, si se utilizan varios paquetes de políticas en diferentes puntos del árbol de Novell Directory Services (NDS), sólo surte efecto el paquete de políticas más cercano al objeto de usuario. En Win2K, si se definen cuatro GPO en diferentes niveles de AD, el sistema operativo utilizará la prioridad "LSDOU" para implementar estas políticas, que será la "suma" de las cuatro políticas para la computadora o usuario. Además, a veces la configuración de un GPO se compensa con la configuración de otros GPO. A través del GPO de nivel AD, los usuarios pueden tener más delegación de control de políticas. Por ejemplo, el departamento de seguridad de una empresa es responsable de diseñar un GPO de seguridad a nivel de dominio para todos los dispositivos del sistema. Al utilizar GPO, el administrador del sistema de una unidad organizativa puede tener permiso para instalar software en la unidad organizativa. En el modelo de Zenworks, las políticas deben replicarse en todos los niveles donde se desee utilizarlas, y el impacto de una política en un usuario o en un objeto informático no es la "suma" de todas las políticas.
Para controlar aún más los GPO, Microsoft proporciona tres configuraciones para limitar la complejidad de la herencia de GPO. En los niveles de dirección, dominio y unidad organizativa, los usuarios pueden evitar la herencia de niveles superiores marcando las casillas de verificación. Del mismo modo, en cada nivel, los usuarios pueden seleccionar opciones de política de dominio predeterminadas abriendo el complemento Usuarios y equipos de Active Directory, haciendo clic con el botón derecho en el dominio o unidad organizativa donde se encuentra el GPO, seleccionando Propiedades en el menú y luego seleccionando la Política de grupo. pestaña. Resalte el elemento que desea modificar y seleccione el botón Opciones. Las opciones disponibles son "No anular" o "Desactivar". Si se selecciona la opción "No anular", el GPO seguirá funcionando incluso si la casilla de verificación "No se puede heredar" está seleccionada. Esta función es muy útil si desea ejecutar GPO en cualquier lugar. Si el administrador de la unidad organizativa intenta evitar la herencia de la política de seguridad, el sistema seguirá ejecutando el GPO que contiene la política de seguridad. La casilla de verificación "Desactivar" puede desactivar completamente la ejecución del GPO, lo cual es especialmente efectivo cuando edita el GPO y no desea que otros usuarios lo ejecuten.
Cuarto, implementación y filtrado de GPO
Solo los objetos de usuario y computadora pueden ejecutar la Política de grupo. Win2K ejecuta las políticas definidas en la sección de configuración de la computadora del GPO cuando la computadora se inicia y se apaga, y ejecuta las políticas definidas en la sección de configuración del usuario del GPO cuando el usuario inicia y cierra sesión. De hecho, algunas políticas se pueden ejecutar manualmente cuando el usuario inicia sesión. Por ejemplo, el programa secedit.exe se puede ejecutar en modo de línea de comandos para ejecutar la aplicación de políticas de seguridad. Además, la configuración de GPO de usuario y computadora se puede actualizar periódicamente a través de las políticas del módulo de administrador. De forma predeterminada, se actualiza cada 90 minutos, lo que dificulta que otros usuarios modifiquen las políticas definidas a través de la Política de grupo. Sin embargo, la política de instalación de software no se actualiza, ya que nadie quiere cambiar periódicamente la política, lo que hace que el software "se cargue", especialmente cuando otros usuarios lo están usando. Los objetos de computadora y usuario instalan políticas de software solo cuando se inicia la computadora o cuando el usuario inicia sesión.
Composición interna del verbo (abreviatura de verbo) de GPO
GPO consta de dos partes: Contenedor de políticas de grupo (GPC) y Plantilla de políticas de grupo (GPT). GPC es un ejemplo de GPO en AD. Hay un código de identificación único global (GUID) de 128 bits en un contenedor especial llamado sistema. Seleccione Explorar en el complemento Usuarios y computadoras de Active User Directory y seleccione Propiedades avanzadas en el menú MMC para ver los contenedores del sistema. GPT es la expresión de la política de grupo en el sistema de archivos Win2K. Todos los archivos relacionados con un GPO dependen de GPT.
En sexto lugar, las dificultades que trae GPO
Aunque GPO es muy poderoso, no es fácil dominarlo. Lo más difícil de dominar es cómo determinar cómo afectará una política efectiva a las computadoras o a los usuarios del dominio. Esto es especialmente difícil porque los GPO pueden existir en diferentes niveles de la cadena publicitaria. Además, debido a que puede asignar el control de un GPO, no es fácil saber si otros GPO afectan a los GPO en contenedores sobre los que no tiene control. Por lo tanto, es difícil calcular el conjunto resultante de políticas (RSoP) recibido por una computadora o un objeto de usuario. Aunque Microsoft no proporciona herramientas para calcular RSoP, algunos fabricantes externos proporcionan las herramientas correspondientes para calcular RSoP.
Otra cuestión es la implementación de la estrategia. Si tiene GPO en muchos niveles de la cadena de anuncios, todos los GPO se ejecutarán cada vez que un usuario inicie sesión o se inicie el sistema. En el sistema Win2K, Microsoft ha introducido algunas características nuevas para optimizar el rendimiento del sistema. Primero, la información de la versión del GPO depende de la estación de trabajo y del GPO. Si el GPO no ha cambiado, el sistema no lo ejecutará. Además, en la página de propiedades del GPE, puede evitar que los usuarios o las computadoras ejecuten el GPO. Si se establece un GPO para distribuir scripts cuando se apaga o inicia el sistema, la parte de configuración del usuario del GPO se deshabilitará, lo que evitará que la estación de trabajo analice el GPO y determine si ha cambiado.
El último problema surge del hecho de que GPC y GPT son dos entidades independientes. El GPC es un objeto en AD que no está sincronizado con la replicación de archivos contenida en el GPT, lo que significa que cuando se crea el GPO, es posible que el GPC haya comenzado a replicar archivos en Sysvol en el controlador de dominio.
La raíz de todos los problemas es que AD adopta un modo de replicación multiagente. En teoría, cuando otro administrador del sistema edita el GPO en el controlador de dominio, usted también puede editarlo en el dominio. Por lo tanto, al establecer GPE, el valor predeterminado se refiere al controlador de dominio que actúa como PDC en el "asunto de operación". (Un "principal operativo" es un conjunto de funciones administradas en la infraestructura de AD, y el servidor utilizado como PDC es compatible con estaciones de trabajo que ejecutan NT y Win9x. Normalmente, solo unos pocos administradores de sistemas tienen permiso para editar GPO y se aseguran de que que si alguien edita el GPO, otros también sabrán que esta situación se puede evitar. Además, es importante tener en cuenta que al editar un GPO, se debe "deshabilitar" y volver a habilitar después de la modificación.