Administración de configuraciones de enlaces GPO habilitadas y forzadas en Active Directory – TheitBros

@trucosinformaticos.com
General

En este artículo, le mostraremos cómo administrar los enlaces de objeto de política de grupo en Active Directory del GPMC Graphic Snap-In y PowerShell y considerar las diferencias entre el estado de enlace habilitado y forzado.

Comportamiento predeterminado del enlace GPO

Por defecto, cuando crea un nuevo GPO en un dominio de Active Directory, no se aplica a ningún usuario o objeto de computadora. Para asignar una política al anuncio, debe crear un enlace GPO. Enlace GPO con el Activado El estado significa que esta política ha sido asignada, y su configuración se aplica a todos los objetos anidados (OUS, Computers y Usuarios).

Puede administrar GPO y enlace en el dominio con el gráfico especial Consola de gestión de políticas grupales Snap-in. El GPMC permite configurar y editar la configuración de la política del grupo y vincularlos a contenedores.

Para ejecutar este complemento, presione Win+R, y en la ventana que se abre, ingrese gpmc.msc > Entrar.

Pista. Si no se encuentra este comando, puede instalar esta consola en PowerShell (install-WindowsFeature –Name GPMC) o a través de Server Manager (Agregar roles y características> Características> Seleccionar administración de políticas de grupo). Luego se encontrará bajo herramientas administrativas.

Puede vincular un GPO a un sitio, dominio o unidad organizativa con el editor de objetos de política del grupo.

¿Cómo vincular un GPO a un OU?

Para asignar un GPO a un OU (crear enlace), haga clic con el botón derecho en el contenedor de objetos de política de grupo y seleccione Enlace un GPO existente.

GPO Funcionado

En la lista GPO, seleccione el nombre de la política que desea asignar y haga clic en Aceptar.

Política grupal aplicada

Habilitar o deshabilitar un GPO vinculado

En el GPMC, seleccione el OU al que asignó el GPO, ya que puede ver el enlace habilitado = Sí. Para deshabilitar una línea de política de grupo, haga clic en el nombre de la política y haga clic en el Enlace habilitado elemento de menú. Esto deshabilitará la política grupal y las múltiples configuraciones de política grupal asociadas con ella.

GPO Significado forzado

Esto deshabilitará la aplicación de la política a los objetos en la unidad organizacional, pero no eliminará el enlace GPO.

Eliminar un enlace GPO

Para eliminar completamente un enlace GPO, seleccione el Borrar Elemento del menú contextual. El enlace GPO se eliminará de la jerarquía de la consola GPMC. El GPO no se elimina y se puede encontrar bajo Objetos de política grupal En el GPMC.

Estado de GPO explicado

Se puede habilitar un GPO para múltiples OUS (o sitios de Active Directory).

Ver el alcance y otros detalles

Para verificar el estado de una política, busque en la sección de objetos de política grupal. La información completa sobre los enlaces de políticas se proporciona en la ventana correcta de la Alcance pestaña.

Como puede ver, el enlace GPO tiene 4 parámetros: ubicación, ejecución, enlace habilitado y ruta. Las opciones de aplicación y habilitadas para el enlace se pueden configurar en no/sí.

GPO aplicar

Si el estado del enlace de la política del grupo está habilitado, se aplicará la política. Si el estado está deshabilitado, la política no se aplica a los miembros dentro de esa unidad organizacional.

Bajo el Delegación Tab, puede definir qué grupos de seguridad aplica la política. Por defecto, cuando vincula un GPO a un dominio específico o OU, Usuarios autenticados tiene los permisos de política grupal Leer y aplicar.

Política grupal aplicada vs habilitado

Estado de enlace GPO de Folivado VS habilitado

Si deshabilita el enlace, este GPO permanece asignado al OU, pero su configuración no se aplica a los clientes de dominio. Tenga en cuenta que el menú de enlaces GPO tiene un Forzado opción. ¿Cuáles son las diferencias entre el enlace GPO habilitado y el modo forzado?

  • Enlace habilitado El estado significa que este GPO está vinculado al OU específico, y su configuración se aplica a todos los objetos (usuarios y computadoras).
  • El estado Forzado significa que esta política ha sido asignada y su configuración no puede ser sobrescribida por otras políticas que se aplican más adelante. También hacer cumplir anula el bloqueo de GPO.
  • Bloqueo de la herencia. De forma predeterminada, los niños heredan todos los GPO del OU para padres, pero puede bloquear esta herencia utilizando esta opción.

GPOS forzado

Los GPO forzados rara vez se usan. La mayoría de las veces se necesitan cuando algunos OU se configuran para bloquear los GPO hereditarios de la OU de los padres. Políticas con el bloqueo de anulación de la bandera del ejecutor. La política de bandera forzada se aplica a todos los ous subyacentes, sin importar cuán profundamente estén anidados. Por defecto, los enlaces GPO no se aplican.

Cuando la opción aplicada está habilitada, esta política se aplica a los objetos OU, a pesar de que el Herencia de bloque La opción está habilitada para el OU. Puede verificar esto si selecciona OU y vaya a la Herencia de políticas grupales pestaña.

Como puede ver, CA_Proxy tiene el estado forzado y se aplica a OU (otras políticas de la raíz del dominio, incluida la política de dominio predeterminada, no se aplican, porque la herencia del bloque GPO está habilitada para el OU).

GPO Forzed Medios

Cambiar el pedido de GPO

En el Objetos de política de grupo vinculado Tab, puede cambiar el orden de los enlaces GPO. El GPO con la orden de referencia más baja se procesa en último lugar y, por lo tanto, tiene la mayor prioridad, sobrescribiendo la configuración de GPO anteriores en caso de conflictos. Puede cambiar el enlace usando los botones apropiados.

enlace habilitado GPO

¿Cómo crear y eliminar el enlace de política grupal con PowerShell?

Hay un módulo de mrouppolicia especial para administrar GPO de PowerShell, que ya está instalado de forma predeterminada en el controlador de dominio AD.

En las versiones de escritorio de Windows 10 y Windows 11, puede instalar el módulo de Grouppolicy en línea desde el paquete RSAT (herramientas de administración de servidor remoto) utilizando el cmdlet Powershell add-windowscapability:

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

Puede enumerar todos los cmdlets disponibles en el módulo Grouppolicy usando el comando:

Get-Command -Module GroupPolicy

Política grupal forzada

Puede enumerar todos los GPO que se asignan a un OU específico en Active Directory. Por conveniencia, puede ordenar las políticas en orden de prioridad (por el pedido Attrubute):

( Get-ADOrganizationalUnit -Filter * -SearchBase “OU=Computers,OU=Nevada,OU=USA,DC=theitbros,DC=com” | Get-GPInheritance ).gpolinks |select DisplayName, Enabled,Enforced, Order| Sort-Object -Property order |format-table

hacer cumplir GPO

Con el tiempo, una gran cantidad de objetos aparecen en la lista de políticas grupales. Algunos de ellos se usan y otros no. Para encontrar GPO sin enlace en Active Directory, use el siguiente script de PowerShell simple:

Get-GPO -All | Where-Object {

$_ | Get-GPOReport -ReportType XML | Select-String -NotMatch "<LinksTo>"

} | select DisplayName,owner,CreationTime,ModificationTime|format-table

GPO forzado

Preguntas frecuentes

1. ¿Cuál es la diferencia entre «habilitado» y «aplicado» en el estado de enlace GPO?

El estado «habilitado» significa que el GPO está vinculado a una unidad organizacional específica (OU), y su configuración se aplica a todos los objetos, incluidos los usuarios y las computadoras. El estado «forzado» significa que la configuración de esta política no puede sobrescribirse por otras políticas que se aplican más adelante. Además, hacer cumplir el GPO puede anular cualquier configuración de bloqueo GPO.

2. ¿Hay alguna forma de manejar los enlaces de políticas grupales usando PowerShell?

Sí, PowerShell ofrece el módulo de mrouppolicia, específicamente para administrar GPO. Por ejemplo, puedes usar Colocar para asignar un GPO a un objeto AD, Eliminar el ganclo Para eliminar un enlace entre un GPO y un OU, y también hay comandos disponibles para verificar GPO no enlaces o modificar los estados de GPO.

3. ¿Cómo afecta el orden GPO la aplicación de la política?

La orden GPO puede determinar qué política se aplica en caso de conflictos. El GPO con el orden de referencia más bajo se procesa en último lugar, lo que le da la prioridad más alta, lo que le permite sobrescribir la configuración de los GPO anteriores.

4. ¿Puedes explicar qué significa «herencia de bloqueo» en el contexto de GPO?

El bloqueo de la herencia es una opción para evitar que los niños hereden todos los GPO establecidos en el nivel de los padres. Sin embargo, los GPO marcados como «forzados» pueden anular este bloque, asegurando que su configuración se aplique incluso si la herencia se bloquea para un OU en particular.

Concluir

Las políticas grupales proporcionan una excelente manera de hacer cumplir la configuración de políticas en todo el entorno empresarial. Comprender cómo están vinculados, habilitados, deshabilitados y eliminados en el entorno permiten a los administradores controlar cómo y cuándo se aplican las políticas. Teniendo en cuenta estas capacidades, junto con el bloqueo de la herencia y el pedido de GPO, permite que las políticas de ajuste fino satisfagan las necesidades de la empresa.

Valora este post

Related Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *