GPO Windows Server 2019

Las Directivas de Grupo, GPO, permiten implementar configuraciones específicas para uno o varios usuarios y/o equipos. Nos centraremos en cómo se debe hacer la gestión correcta de GPO en Active Directory de Microsoft Windows.

Para la configuración de GPO que sólo afecten a un usuario o equipo local se puede utilizar el editor de directivas locales.

Las GPO permiten administrar objetos de usuarios y equipos, aplicando la más restrictiva en caso de existir más de una política. Se puede usar una GPO para casi cualquier cosa, como indicar qué usuario o grupo tiene acceso a una unidad de disco, o limitar el tamaño máximo que puede tener un archivo.

Las GPO se pueden diferenciar dependiendo del objeto al que configuran y se pueden entender en distintos niveles:

Equipo Local: tan solo se aplican en el equipo que las tiene asignadas independientemente del dominio al que pertenezca.
Sitio: se aplican a los equipos y/o usuarios de un sitio, independientemente del dominio.
Dominio: se aplican a todos los equipos y/o usuarios de un dominio.
Unidad Organizativa (OU): se aplican únicamente a los equipos y/o usuarios que pertenecen a la OU.

Dentro de la configuración de directiva se puede acceder a lo siguiente:

Configuración de equipo
Configuración de usuario

Requisitos previos:

La red local debe estar estructurada en AD DS, de modo que por lo menos uno de los servidores a usar debe tener instalada la función de AD DS (Active Directory).

Los equipos que administrar deben estar unidos al dominio y los usuarios de estos deben usar las credenciales de dominio para iniciar sesión en los equipos.

Será necesario contar con permisos para editar la Política de grupo en el dominio, y esto se logra formando parte del grupo de Administradores o de Administradores de Política de grupo.

Creación De GPO

Paso 1:

Para empezar a configurar las GPO nos vamos al Administrador del Servidor > Herramientas >Administración de directivas de grupo:

Paso 2:

Será desplegada la siguiente ventana donde, al desplegar nuestro bosque, tendremos la estructura del dominio:

Paso 3:

Para crear una nueva GPO daremos clic derecho sobre el dominio y seleccionamos la opción “Crear un GPO en este dominio y vincularlo aquí”. También podemos vincular una GPO a una unidad organizativa existente si es el caso

Paso 4:

Al seleccionar esta opción veremos la siguiente ventana donde asignaremos un nombre a dicha GPO:

Paso 5:

Pulsamos en Aceptar y veremos que nuestra GPO ha sido creada de forma correcta:

Paso 6:

Ahora editaremos la política de grupo que hemos creado. Para iniciar el proceso de edición de nuestra GPO daremos clic derecho sobre ella y seleccionamos la opción “Editar”:

Paso 7:

Como vemos allí están las secciones que hemos mencionado antes, Configuración del equipo y Configuración de usuario.

Cada una de estas secciones tiene una subdivisión de opciones a seleccionar y en cada una de ellas encontramos políticas especiales:

Paso 8:

Para editar y aplicar una acción a la GPO creada, para este caso, vamos a ir a la sección “Configuración del usuario / Plantillas administrativas / Active Desktop” donde seleccionaremos la política llamada “Tapiz de escritorio” la cual permitirá especificar el fondo de pantalla de los escritorios de los usuarios e impide que los usuarios puedan cambiar la imagen o su presentación:

Paso 9:

Damos doble clic sobre esta política y en la nueva ventana activaremos la casilla “Habilitada”, a la vez agregamos la ruta de la imagen que queremos utilizar y pulsamos en el botón “Aplicar y Aceptar” para guardar los cambios.