La directiva de grupo es una infraestructura jerárquica que permite a un administrador de red a cargo de Active Directory de Microsoft implementar configuraciones específicas para usuarios y equipos. La directiva de grupo es principalmente una herramienta de seguridad y se puede usar para aplicar configuraciones de seguridad a usuarios y equipos. La directiva de grupo permite a los administradores definir directivas de seguridad para usuarios y equipos. Estas directivas, que se denominan colectivamente Objetos de directiva de grupo (GPO), se basan en una colección de configuraciones de directiva de grupo individuales. Los objetos de directiva de grupo se administran desde una interfaz central llamada Consola de administración de directivas de grupo. La directiva de grupo también se puede administrar con herramientas de interfaz de línea de comandos como gpresult y gpupdate.
La jerarquía de directivas de grupo
Los objetos de directivas de grupo se aplican de manera jerárquica y, a menudo, se combinan varios objetos de directivas de grupo para formar la directiva efectiva. Los objetos de directiva de grupo local se aplican primero, seguidos de los objetos de directiva de grupo a nivel de sitio, dominio y unidad organizativa.
Extensibilidad de directiva de grupo
La colección nativa de configuraciones de directiva de grupo pertenece exclusivamente al sistema operativo Windows. Por ejemplo, un administrador puede usar esta configuración de directiva de grupo nativa para imponer una longitud mínima de contraseña, ocultar el Panel de Control de Windows a los usuarios o forzar la instalación de parches de seguridad. Sin embargo, la directiva de grupo está diseñada para ser extensible mediante el uso de plantillas administrativas. Estas plantillas administrativas permiten configurar varias aplicaciones a través de la configuración de directiva de grupo. Uno de los ejemplos más conocidos de esto es la colección de plantillas administrativas para Microsoft Office.
Las plantillas administrativas constan de dos componentes. Un archivo ADMX es el archivo XML que contiene todas las configuraciones de directiva de grupo asociadas a la plantilla. Un archivo ADML correspondiente actúa como un archivo de idioma que permite mostrar la configuración de la directiva de grupo en el idioma de elección del administrador.
Local vs. los objetos de directiva de grupo
de directiva de grupo centralizada se pueden aplicar localmente a un equipo Windows a través de su propio sistema operativo, o los objetos de directiva de grupo se pueden aplicar a través de Active Directory. Las directivas de grupo local permiten aplicar configuraciones de seguridad a equipos independientes o administrados por un controlador de dominio, pero estas configuraciones de directiva no se pueden administrar de forma centralizada. Por el contrario, los objetos de directiva de grupo basados en Active Directory se pueden administrar de forma centralizada, pero solo se implementan si un usuario inicia sesión desde un equipo unido al dominio.
Muchas organizaciones utilizan una combinación de objetos de directiva de grupo local y de Active Directory. La configuración de directiva local proporciona seguridad cuando el usuario no ha iniciado sesión en un dominio, mientras que los objetos de directiva de grupo de Active Directory se aplican una vez que el usuario ha iniciado sesión.