Utilizar las GPO de Active Directory para conectar los recursos compartidos

A cada grupo de usuarios les crearemos unidades de red que les conecten con los recursos compartidos de forma automática cuando inicien sesión en el dominio local.

Para realizar esta tarea vamos a utilizar las llamadas Políticas de Grupo o GPO que se definen en las OU de Active Directory.

03-Mar-2017

Tras la conexión del Servidor NAS con el controlador de dominio, hemos conseguido un control aceptable sobre los recursos compartidos de nuestro Servidor NAS gracias a las OU de Active Directory donde hemos definido la estructura de la organización, y a los permisos de acceso que hemos establecido en función del tipo de usuario. La última tarea que nos falta ahora, es la de poder conectar a los usuarios con sus recursos de una forma sencilla y transparente.

A cada grupo de usuarios les crearemos unidades de red que les conecten con los recursos compartidos de forma automática cuando inicien sesión en el dominio local.

Para realizar esta tarea vamos a utilizar las llamadas Políticas de Grupo o GPO que se definen en las OU de Active Directory.

Políticas de grupo (GPO)

Las GPO las crean los administradores para establecer un control sobre los usuarios y los equipos del dominio.

A grandes rasgos podríamos decir que las GPO o Políticas de Grupo, son una serie de reglas que nos permiten establecer configuraciones a modo de permisos o restricciones sobre los usuarios y equipos que forman parte de las OU de AD. Las Políticas se aplican sobre las Unidades Organizativas, afectando a los usuarios y/o los equipos que la componen.

Por lo general estas reglas se propagan de las OU principales hacia las sub-OU, de tal manera que cuando una regla se aplica una OU principal y a menos que le indiquemos lo contrario afectará al resto de las OU que la componen.

Políticas de Grupo en Active Directory

Crear las GPO de nuestra organización

Ahora que ya tenemos más o menos claro cuál es la función de las GPO y las necesidades de nuestra organización, pasaremos a crear las GPO:

  • Iniciamos sesión en nuestro Windows Server con la cuenta del Administrador y abrimos la consola de administración ‘Consola NAS’ que hemos estado utilizando en los módulos anteriores.
  • Agregaremos un nuevo componente a la Raíz de Consola que nos permita crear y configurar las GPO.
  • Desde el menú archivo seleccionamos la orden Agregar o quitar complementos…
  • En la lista de complementos disponibles seleccionamos ‘Administración de directivas de grupo’, pulsamos el botón ‘Agregar’ y el botón ‘Aceptar’ para añadir el nuevo complemento a la Raíz de consola.
Agregar nuevo complemento de consola
  • Una vez agregado el complemento iremos desplegando las ramificaciones hasta situarnos sobre la OU Despacho.
    Administración de directivas de grupo -> Bosque: …… -> Dominios -> NombreDelDominio -> Despacho
    Una vez situados sobre la OU mostraremos su menú contextual para crear la primera GPO por medio de la opción ‘Crear un GPO en este dominio y vincularlo aquí…
Crear un GPO en este dominio y vincularlo aquí…
  • Le asignaremos el nombre GPO_Publico y establecerá las opciones comunes para todos los usuarios y creará la unidad de red que conecte al recurso ‘Publico’
  • En la OU Administrativos crearemos otra GPO de nombre GPO_Administrativos que creará la unidad de red que apunte al recurso compartido Administrativos.
  • En la OU Colegiados crearemos otra GPO de nombre GPO_Colegiados que creará dos unidades de red, una que apunte al recurso compartido Administrativos y otra que apunte al recurso compartido Colegiados.
  • Por último en la OU Tecnicos crearemos otra GPO de nombre GPO_Tecnicos cuya función será la de crear tres unidades de red, que apunten a los recursos compartidos Administrativos, Colegiados y Tecnicos, que invalide las restricciones de usuarios que estableceremos desde la GPO_Publico y le daremos permisos de administración en los equipos de la red a todos los usuarios del grupo GP_Tecnicos.
Nuevo GPO_Publico
Nuevo GPO_Administrativos
Nuevo GPO_Colegiados
Nuevo GPO_Tecnicos
  • Al finalizar la creación de todas las GPO de nuestra organización, tendremos una estructura como la que se muestra en la siguiente imagen, donde cada OU tiene asociada su propia GPO y donde la GPO_Publico al estar creada en un nivel superior se expandirá al resto de las OU.
Nuevos GPOs creados en la OU Despacho

Configurar las GPO

Como ya hemos comentado la finalidad principal de las GPO que hemos creado será conectar a los usuarios con sus recursos por medio de unidades de red y establecer las restricciones que creamos necesarias en materia de examinadores de red.

Unidades de red necesarias

  • Todos los usuarios tendrán una unidad de red que apunte al recurso compartido ‘Publico’.
  • Los usuarios del grupo GP_Administrativos tendrán una unidad de red adicional que apunte al recurso compartido ‘Administrativos’.
  • Los usuarios del grupo GP_Colegiados tendrán dos unidades de red adicionales que apunten al recurso compartido ‘Administrativos’ y ‘Colegiados’.
  • Los usuarios del grupo GP_Tecnicos tendrán tres unidades de red adicionales que apunten a los recursos compartidos ‘Administrativos’, ‘Colegiados’ y ‘Técnicos’.
Unidades de red de la organización

Restricciones

  • Se prohibirá el acceso a la red por medio del icono ‘Red’ y el conectar o desconectar unidades de red a todos los usuarios de los grupos ‘GP_Administrativos’ y ‘GP_Colegiados’, ya que toda la información de la red necesaria la tendrán accesible a través de las unidades de red.
  • No se permitirá la instalación de programas y realizar cambios en la configuración de los equipos a los usuarios de los grupos ‘GP_Administrativos’ y ‘GP_Colegiados’.
  • Los usuarios del grupo GP_Tecnicos tendrán permisos de Administrador en los equipos locales de la red para poder realizar tareas de administración.

GPO_Publico

Esta política de grupo será la encargada de establecer las restricciones comunes a todos los usuarios de la organización y creará la unidad de red que apunte al recurso compartido ‘Publico’ al que todos los usuarios pueden acceder.

  • Mostramos el menú contextual de la GPO GPO_Publico y seleccionamos la orden ‘Editar’.
Editar GPO
  • Se abrirá el ‘Editor de administración de directivas de grupo’.
  • Desplegamos la ramificación de ‘Configuración de usuario’ hasta situarnos en la directiva ‘Asignaciones de unidades’. Configuración de usuario -> Preferencias -> Configuración de Windows -> Asignaciones de unidades.
  • En el panel de la derecha, pulsaremos el botón derecho del ratón y seleccionaremos la orden Nuevo -> Unidad asignada del menú contextual.
Nueva unidad de red
  • Se mostrará el cuadro de diálogo para configurar la nueva unidad de red, donde estableceremos los valores:
    • Acción: Actualizar
    • Ubicación: \\SRVNAS\srvw08\Publico (Ruta de acceso al recurso)
    • Reconectar: Marcado
    • Etiquetar como: Documentos Públicos (Cualquier descripción que deseemos añadirle)
    • Letra de unidad: Z
Propiedades de la nueva unidad de red
  • Pulsamos ‘Aceptar’ para finalizar la creación de la directiva y ya tendremos asignada la unidad de red al recurso compartido.
Asignación de red creada

Para configurar las restricciones sobre el uso del icono Mis sitios de red, Examinar la red y Conectar / Desconectar unidades de red, estableceremos las siguientes directivas:

  • Desplegamos la rama de ‘Configuración de usuario’ hasta situarnos en la Plantilla administrativa ‘Escritorio’. Configuración de usuario -> Directivas -> Plantillas administrativas -> Escritorio.
  • Ejecutamos doble clic sobre la directiva ‘Quitar el icono unidades de red del escritorio’, activamos la opción ‘Habilitar’ y aceptamos los cambios.
Quitar el icono unidades de red del escritorio
  • Desplegamos la rama de ‘Configuración de usuario’ hasta situarnos en la Plantilla administrativa ‘Explorador de Windows’. Configuración de usuario -> Directivas -> Plantillas administrativas -> Componentes de Windows -> Explorador de Windows.
  • Ejecutamos doble clic sobre las directivas ‘Quitar “Conectar a unidad de red” y “Desconectar a unidad de red’, ‘Sin red completa en Ubicaciones de red’ y ‘Sin “Equipos próximos” en Ubicaciones de red’ activamos la opción ‘Habilitar’ y aceptamos los cambios.
Plantillas administrativas del Explorador de Windows
  • Para finalizar la configuración simplemente cerraremos la ventana del Editor de directivas.

GPO_Administrativos

Esta GPO creará una unidad de red a todos los usuarios de la OU Administrativos que la conecte con el recurso compartido ‘Administrativos’.

  • Mostramos el menú contextual de la GPO GPO_Administrativos de la OU Usuarios/Administrativos y seleccionamos la orden ‘Editar’.
  • Seguiremos los mismos pasos que hicimos en la configuración de la GPO_Publico hasta llegar a la directiva de ‘Asignaciones de unidades’. Configuración de usuario -> Preferencias -> Configuración de Windows -> Asignaciones de unidades.
  • Crearemos una nueva unidad con la siguiente información:
    • Acción: Actualizar
    • Ubicación: \\SRVNAS\srvw08\Administrativos (Ruta de acceso al recurso)
    • Reconectar: Marcado
    • Etiquetar como: Docs personal administrativo
    • Letra de unidad: Y
Propiedades unidad de red
  • Para finalizar la configuración simplemente Aceptaremos el cuadro de diálogo y cerraremos la ventana del Editor de directivas.

GPO_Colegiados

Esta GPO creará dos unidades de red a todos los usuarios de la OU Colegiados que les conecten con los recursos compartidos ‘Administrativos’ y ‘Colegiados’.

  • Mostramos el menú contextual de la GPO GPO_Colegiados de la OU Usuarios/Colegiados y seleccionamos la orden ‘Editar’.
  • Siguiendo los mismos pasos que hemos estado realizando para crear las unidades de red, creamos dos nuevas unidades de red, donde la primera tendrá la misma información que la que se creó en la GPO_Administrativos y la segunda con la siguiente información:
    • Acción: Actualizar
    • Ubicación: \\SRVNAS\srvw08\Colegiados (Ruta de acceso al recurso)
    • Reconectar: Marcado
    • Etiquetar como: Documentos Colegiados
    • Letra de unidad: X
Propiedades unidad de red
  • Para finalizar la configuración simplemente Aceptaremos el cuadro de diálogo y cerraremos la ventana del Editor de directivas.

GPO_Tecnicos

Esta GPO creará tres unidades de red a todos los usuarios de la OU Tecnicos que les conecten con los recursos compartidos ‘Administrativos’, ‘Colegiados’ y ‘Tecnicos’. También se encargará de revocar las restricciones sobre el uso de la red que se establecieron en la GPO_Publico.

  • Mostramos el menú contextual de la GPO GPO_Tecnicos de la OU Usuarios/Tecnicos y seleccionamos la orden ‘Editar’.
  • Siguiendo los mismos pasos que hemos estado realizando para crear las unidades de red, creamos tres nuevas unidades de red, donde la primera y la segunda tendrán la misma información que las que se crearon en las GPO_Administrativos y GPO_Colegiados y la tercera con la siguiente información:
    • Acción: Actualizar
    • Ubicación: \\SRVNAS\srvw08\Tecnicos (Ruta de acceso al recurso)
    • Reconectar: Marcado
    • Etiquetar como: Docs. Técnicos Informática
    • Letra de unidad: W
Propiedades unidad de red

Para inhabilitar las directivas sobre el uso de la red y el icono de Mis sitios de red establecidos por la GPO_Publico, reconfiguraremos las directivas establecido su valor a ‘inhabilitada’.

  • Desplegamos la rama de ‘Configuración de usuario’ hasta situarnos en la Plantilla administrativa ‘Escritorio’. Configuración de usuario -> Directivas -> Plantillas administrativas -> Escritorio.
  • Ejecutamos doble clic sobre la directiva ‘Quitar el icono unidades de red del escritorio’, activamos la opción ‘Deshabilitada’ y aceptamos los cambios.
  • Desplegamos la rama de ‘Configuración de usuario’ hasta situarnos en la Plantilla administrativa ‘Explorador de Windows’. Configuración de usuario -> Directivas -> Plantillas administrativas -> Componentes de Windows -> Explorador de Windows.
  • Ejecutamos doble clic sobre las directivas ‘Quitar “Conectar a unidad de red” y “Desconectar a unidad de red’, ‘Sin red completa en Ubicaciones de red’ y ‘Sin “Equipos próximos” en Ubicaciones de red’ activamos la opción ‘Deshabilitada’ y aceptamos los cambios.
Deshabilitar las directivas de las Plantillas administrativas del Explorador de Windows

También vamos a utilizar esta GPO para otorgar permisos de administrador local a todos los usuarios del grupo GP_Tecnicos cuando inicien sesión en el dominio desde los equipos clientes, de esta manera podrán realizar tareas de mantenimiento para las que se necesitan permisos de administrador, como puede ser la instalación de programas, cambiar configuraciones de los equipos, etc...

  • Desplegamos la rama de ‘Configuración del equipo’ hasta situarnos en la directiva ‘Grupos restringidos’ dentro de la configuración de seguridad de Windows. Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de seguridad -> Grupos restringidos.
  • En el panel de la derecha, mostraremos el menú contextual y seleccionaremos la orden ‘Agregar grupo…
Agregar nuevo grupo restringido
  • Asignaremos como nombre de grupo ‘Administradores’ que se corresponde con el nombre de los equipos locales.
Nombre del nuevo grupo restringido
  • Cuando se muestre el cuadro de diálogo de propiedades, pulsaremos el botón ‘Agregar’ para buscar los usuarios o grupos de AD que formarán parte del grupo ‘Administradores’.
Propiedades del grupo restringido
  • En la ventana de selección de usuarios, cuentas etc… escribiremos el nombre del grupo del personal técnico GP_Tecnicos, pulsaremos ENTER y aceptaremos el nombre del grupo que nos muestre.
Selección de los miembros del nuevo grupo restringido
  • Para finalizar pulsaremos el botón ‘Aceptar’ en el cuadro de diálogo de propiedades del grupo Administradores.
Propiedades nuevo grupo restringido
  • Para finalizar la configuración simplemente cerraremos la ventana del Editor de directivas.

 

Actualizar los cambios en las GPO (gpupdate)

Cuando realizamos cambios en las GPO de las OU, puede ser que estos no se apliquen o propaguen a los equipos y usuarios del dominio de forma inmediata, por lo que si queremos asegurarnos de que los equipos y usuarios reciben la configuración de directivas más reciente tendremos que forzar sus actualizaciones.

La familia de sistemas Windows ofrece el comando gpupdate que se ejecuta desde la línea de comandos que se encarga de actualizar las GPO para que a los clientes se les apliquen los últimos cambios realizados.

Una vez finalizada la creación y configuración de las GPO de nuestra organización vamos a ejecutarlo con el modificador /force para asegurarnos de aplicar correctamente las actualizaciones.

Actualizar las GPO con el comando gpupdate

Comprobar el funcionamiento de las GPO

Para comprobar el funcionamiento de las GPO, iniciaremos sesión desde un equipo de dominio con un usuario de cada uno de los grupos de usuarios existentes en nuestra organización.

  • En el primer caso iniciaremos sesión con el usuario rosasaez del grupo GP_Administrativos.
  • Si abrimos el explorador de Windows y seleccionamos el icono de  Mi Pc, podremos observar que se han creado las unidades de red Y y Z.
Unidades de red usuarios grupo GP_Administrativos
  • Si intentamos acceder a la red y activar la detección de equipos se nos va a solicitar las credenciales de administrador. De igual manera si intentamos mostrar el icono de Red en el Escritorio, veremos que este no aparece.
  • Al ser un usuario estándar, tampoco tendrá permisos para realizar cambios en la configuración del equipo.
  • En el segundo caso iniciaremos sesión con el usuario luisroca del grupo GP_Colegiados.
  • Si abrimos el explorador de Windows y seleccionamos el icono de  Mi Pc, podremos observar que se han creado las unidades de red X, Y y Z.
Unidades de red usuarios grupo GP_Colegiados
  • Al igual que ocurría con el usuario rosasaez, no podremos examinar los equipos de la red o mostrar el icono en el Escritorio.
  • En el tercer y último caso iniciaremos sesión con el usuario andresredondo del grupo GP_Tecnicos.
  • Si abrimos el explorador de Windows y seleccionamos el icono de  Mi Pc, podremos observar que se han creado las unidades de red W, X, Y y Z.
Unidades de red usuarios grupo GP_Tecnicos
  • En este caso el usuario del grupo GP_Tecnicos no tiene las restricciones del resto de los grupos y puede examinar la red, mostrar el icono en el Escritorio, realizar tareas de administración como instalar o desinstalar programas o realizar cambios en la configuración del equipo.

Video Demostrativo