Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos

Hace ya mucho tiempo, Febrero de 2011 para ser más exactos, escribí un nota explicando cómo se aplican las Directivas de Grupo, más conocidas por GPOs (“Group Policy Objects”), y las opciones más comunes para limitar o forzar la aplicación de las mismas

“Cómo Funcionan las Directivas de Grupo (GPOs)”

En esta primera parte de las dos notas que estoy preparando ahora, veremos con un ejemplo práctico, cómo funciona la herencia de GPOs, cómo se puede evitar esto, o cómo forzar que así no sea, y además cómo se resuelve cuando una GPO conflictua una configuración con otra

Las máquinas que utilizaré para esta nota son las habituales del blog:

• DC1.ad.guillermod.com.ar: Controlador de Dominio W2012R2
• CL1.ad.guillermod.com.ar: Cliente con Windows 7
• CL2.ad.guillermod.com.ar: Cliente con Windows 10

Como el objetivo de la nota es cómo se aplican las GPOs, y no las miles de configuraciones que tenemos disponibles, utilizaré una única configuración, y por su facilidad de verificación algo simple como es ocultar el Panel de Control, y Configuración (de Windows 10). Cualquier otra configuración se comportará de igual forma

La configuración de ocultar Panel de Control / Configuración, es por usuario, no por máquina, así que he preparado una configuración simple apropiada. Si la configuración que deseamos hacer fuera por máquina habrá que adaptarla

He creado dos Unidades Organizativas, “Usuarios1”, y “Usuarios2” contenida en la anterior
En cada Unidad Organizativa he creado un usuario, respectivamente “User Uno” (u1) y “User Dos” (u2)

 

 

Herencia de Directivas de Grupo

En primera instancia veremos la herencia de GPOs, esto es que cuando se vincula una GPO a una Unidad Organizativa, la configuración de la misma se propaga a “todo lo que esté debajo”

Así que comenzaré creando y enlazando una GPO a “Usuarios1” con un nombre que nos sea claro qué hará

Y la editaremos

La configuración que utilizaré está en “User Configuration / Policies / Administrative Templates / Control Panel / Prohibit access to Control Panel and PC Settings”, por supuesto habilitamos la configuración

Inicio sesión en CL1 con el usuario “User Uno” y en CL2 con “User Dos”. Una aclaración, en mi caso es la primera vez que inician sesión por lo tanto no hay credenciales almacenadas localmente. Si no fuera así conviene actualizar las GPOs para que reciba los cambios (GPUPDATE)

En CL1 podemos verificar que si el usuario intenta iniciar el Panel de Control el sistem no lo permitirá

El comportamiento en CL2 (Windows 10) tiene el mismo efecto final, pero con la diferencia que si el usuario intenta abrir “Settings”, no abre, pero tampoco muestra error

Si en CL2 abriera el Panel de Control, sí muestra el error

 

Bloqueo de Herencia de Directivas de Grupo

A nivel de Unidad Organizativa, se puede bloquear la herencia de GPOs. Esto implica que en forma no selectiva (todas o ninguna) se bloqueará la aplicación de las GPOs superiores

Lo podemos configurar con botón derecho sobre la Unidad Organizativa a partir de la cual se desea bloquear la herencia. En este caso “Usuarios2”

Observen en la figura siguiente, que cuando está bloqueda la herencia de GPOs, en la Unidad Organizativa aparece un signo de exclamación azul que nos permite ver fácilmente que está bloqueda la herencia

Volviendo a CL2, forzamos la aplicación de GPOS, y podemos ver que al estar cortada la herencia, ahora el usuario puede acceder a “Settings”

No he capturado la pantalla de CL1, pero si quieren probar verán que en CL1, “Usuario Uno” sigue sin poder ejecutar el Panel de Control, ya que el corte de herencia se ha hecho entre «Usuarios1» y «Usuarios2»

 

Forzar la aplicación de una GPO

Algo que es muy importante aclarar, es que la posibilidad de forzar la aplicación de una GPO, es a nivel del enlace (“Link”), y no de la GPO. Esto implica que como una GPO puede estar enlazada a más de una Unidad Organizativa, en alguna puede estar forzada y en otras no

Para forzar la aplicación de una GPO, debemos ingresar con botón derecho sobre el enlace (“Link”), y no sobre la GPO en sí

Observen que en este caso el enlace queda señalado con un candado amarillo, indicando que este está forzado

Al haber forzado la aplicación de la GPO, en este caso sobrepasará el bloqueo de herencia hecho anteriormente, y se aplicará a “User Dos” aunque esté cortada la herencia en “Usuarios2”. Recuerden siempre reaplicar las GPOs

 

Resolución de Conflictos de GPOs

Para mostrar este comportamiento, y no estar afectado por las configuraciones anteriores, quitemos las dos configuraciones hechas previamente: el forzado del enlace, y el bloqueo de herencia

Y vamos a crear y enlazar una GPO en “Usuarios2” con una configuración contraria a la anterior. La primera prohibe el Panel de Control, y esta que configuraremos ahora, lo permite. Muestro las pantallas

Como el objetivo de los que diseñaron el comportamiento de las GPOs, fue que a alto nivel se hagan las configuraciones más generales, y luego en cada Unidad Organizativa se hagan las más específicas, lo esperable y que se cumple, es que la última GPO aplicada (ActivarPanelControl) prevalece

En CL2 forzamos la aplicación de GPO (GPUPDATE.EXE) y vemos que esta última GPO prevalece y se muestra el Panel de Control (o “Settings”)

Inclusive podemos tener dos GPO enlazadas a la misma Unidad Organizativa con configuraciones en conflicto, vamos a verlo

Primero elimino el enlace de “ActivarPanelControl” de “Usuarios2”

Y luego la enlazo a “Usuarios1”

Aunque no he capturado la pantalla, si observan la pantalla verán que “QuitarPanelControl” queda más arriba que “ActivarPanelControl”. Esto implica que la primera prevalecerá sobre la segunda, esto es, no podrán mostrar el Panel de Control o “Settings”

Observen que hay flechas sobre la izquierda que permiten alterar el orden de las GPOs

Si forzamos la aplicación de la nueva configuración de GPOs, verán que prevalece la GPO que impide mostrar el Panel de Control y “Settings”

En la próxima nota continuaré con el tema, pero utilizando el filtrado de seguridad. Es una opción más compleja pero que en algunos casos es casi inevitable

Usando el filtrado de seguridad, se pueden exceptuar usuarios y grupos de la aplicación de GPOs, o inclusive aún hacer que una GPO se aplique sólo a determinados usuarios y grupos, no a todos