Prácticas recomendadas de directivas de grupo

Esta es la guía más completa sobre las mejores prácticas de políticas grupales en línea.

Entiendo:

La política de grupo puede ser complicada, puede ser compleja y puede ser difícil de solucionar si tiene varios GPO que se aplican en todo el dominio.

Pero aquí está el truco:

La implementación de la política de grupo es realmente muy simple.

En esta guía, aprenderá todo lo que necesita saber sobre las mejores prácticas para desarrollar e implementar la directiva de grupo. Estos son consejos y técnicas comprobados utilizados por muchos profesionales de TI.

Advertencia: La política de grupo no es la misma para todos. Cada entorno de Active Directory es diferente y no existe una solución de corte de cookies para la directiva de grupo. Estas mejores prácticas funcionaron bien en el entorno que administré, pero es posible que no funcionen en el suyo. Lo mejor es planificar y probar cualquier cambio en la política de grupo. Un pequeño cambio puede generar problemas graves y afectar importantes servicios comerciales.

Recomiendo leerlos todos, ya que algunos de ellos pueden no tener sentido sin leer más.

Índice

    1. No cambie la política de dominio predeterminada

    Este GPO solo debe usarse para configurar políticas de cuenta, políticas de contraseña, políticas de bloqueo de cuenta y políticas de Kerberos. Cualquier otra configuración debe colocarse en un GPO separado. La política de dominio predeterminada se establece a nivel de dominio, por lo que todos los usuarios y equipos reciben esta política.

    2. No cambie la política del controlador de dominio predeterminado

    Este GPO debe contener solo la política de asignación de derechos de usuario y la política de auditoría. Cualquier otra configuración de los controladores de dominio debe establecerse en un GPO separado.

    3. Una buena estructura de unidades organizativas hará que su trabajo sea 10 veces más fácil

    Una buena estructura de unidades organizativas facilita la aplicación y la solución de problemas de las políticas de grupo. Prefiero dividir los usuarios y los ordenadores en su propia unidad organizativa y luego crear una unidad organizativa secundaria para cada departamento o función comercial.

    Un ejemplo de una estructura OU.

    La ubicación de los usuarios y los ordenadores en departamentos separados facilita la aplicación de políticas informáticas a todas los ordenadores y políticas de usuario solo a los usuarios.

    Relacionado: 21 consejos efectivos para administrar Active Directory

    4. No configure el GPO a nivel de dominio

    El único GPO que debe configurarse a nivel de dominio es la política de dominio predeterminada. Todo lo que se establezca a nivel de dominio se aplicará a todos los objetos de usuario y equipo. Esto puede llevar a que se apliquen todo tipo de configuraciones a objetos que no necesita. Es mejor aplicar la política a un nivel más detallado.

    5. Aplicar GPO al nivel raíz de la unidad organizativa.

    La aplicación de GPO en el nivel de unidad organizativa permitirá que las unidades organizativas secundarias hereden estas políticas. Por lo tanto, no necesita vincular la política a cada unidad organizativa individual. Si tiene usuarios o ordenadores que no desea heredar la configuración, puede colocarlos en su propia unidad organizativa y aplicar la política directamente a esa unidad organizativa. Lo siguiente es un ejemplo.

    La configuración de Windows 10 contiene una política que incluye un protector de pantalla en 30 minutos. Esta política se aplica a la división informática de Winadpro, por lo que sus divisiones heredarán. Tengo un laboratorio de formación al que no quiero que se aplique esta política, así que creé y vinculé el directorio de GPO al laboratorio de formación de OU, lo que desactiva el protector de pantalla. Esta GPO directamente relacionada tendrá prioridad y se aplicará a los políticos heredados.

    6. Evita usar políticas de herencia y bloqueo

    Si tiene una buena estructura de unidad organizativa, lo más probable es que pueda evitar el uso de la política de bloqueo de herencia y la política de cumplimiento. Creo que gestionar a los políticos de grupo y eliminarlos es mucho más fácil sabiendo que ninguno de ellos está fijado en el dominio.

    7. No apagues la GPO

    Si el GPO está conectado a una unidad organizativa y no desea que lo esté, elimínelo en lugar de deshabilitarlo. Eliminar un enlace de la unidad organizativa no eliminará el GPO, simplemente eliminará el enlace de la unidad organizativa. Deshabilitar el GPO detendrá su procesamiento completo en el dominio, esto puede causar problemas.

    8. Use nombres de GPO descriptivos

    La capacidad de determinar rápidamente qué hace que un GPO se base en un nombre facilitará en gran medida la administración de políticas de grupo. Dar a GPO un nombre común, como la configuración del ordenador portátil, es demasiado común y confunde a las personas. Algunos buenos ejemplos son: Configuración del navegador, Configuración de energía, Políticas de MS Office, Protector de pantalla desactivado y Citrix Receiver. Todos son descriptivos, y una mirada al título le da una buena idea de para qué se utiliza esta política.

    9. Acelere el procesamiento de GPO al deshabilitar configuraciones de ordenador y usuario no utilizadas

    Por ejemplo, tengo una GPO llamada configuración del navegador, solo tiene configuraciones de ordenador configuradas y ninguna configuración de usuario, así que deshabilité la configuración de usuario para esa GPO. Esto acelerará el procesamiento de la política de grupo.

    Relacionado: Cómo usar RSoP para verificar y solucionar problemas de configuración de directiva de grupo

    10. Utilice el procesamiento inverso para usos específicos

    En pocas palabras, el procesamiento de comentarios acepta configuraciones personalizadas y restringe esas configuraciones a el ordenador a la que se aplica el GPO. Esto es muy útil, pero puede causar problemas si se usa incorrectamente. El procesamiento de bucle convencional aparece en servidores de terminales y servidores Citrix. Los usuarios inician sesión en un servidor y necesita ciertas configuraciones de usuario si solo inician sesión en esos servidores. Deberá crear un GPO, habilitar el procesamiento inverso y aplicarlo a la unidad organizativa que tiene los servidores.

    11. Implementar la gestión de cambios para la política de grupo

    La política de grupo puede salirse de control si permite que todos sus administradores realicen cambios a su discreción.

    La gestión del cambio puede ser horrible y realmente puede ralentizar los proyectos.

    No digo que todos los cambios en la política del grupo deban pasar por un proceso formal de gestión de cambios, pero deben discutirse con la gerencia y documentarse.

    Un pequeño cambio en GPO puede dirigir el flujo de llamadas al soporte. Esto sucede, por lo que es mejor analizar y documentar los cambios en el GPO.

    12. Utilice GPO pequeños para simplificar la administración

    Puede ser fácil caer en la trampa de meter todo en un GPO.

    yo también soy culpable de eso,

    y se convierte en un gran dolor de cabeza para manejar.

    De hecho, no hay razón para esto, muchos GPO pequeños no afectan el rendimiento. Los GPO pequeños hacen que la solución de problemas, la administración, el diseño y la implementación sean 10 veces más fáciles.

    Estas son algunas formas de desglosar los GPO en políticas más pequeñas:

    • Configuración del navegador
    • Configuraciones de seguridad
    • Configuración de energía
    • Configuración de Microsoft Office
    • Configuración de red
    • Pantalla de disco
    • Energía
    • bloqueador de bits
    • bloqueador de aplicaciones
    • Reglas de cortafuegos
    • y así… ..

    13. Mejores prácticas en la implementación de políticas de grupo

    Aquí hay algunas configuraciones que pueden causar tiempos lentos de inicio e inicio de sesión.

    • Scripts de inicio de sesión para descargar archivos grandes
    • Ejecutar scripts para descargar archivos grandes
    • Mostrar unidades de inicio que están lejos
    • Implementación de grandes controladores de impresora sobre los beneficios de la directiva de grupo
    • Uso excesivo del filtrado de directivas de grupo por pertenencia a grupos de AD
    • Usar filtros WMI excesivos
    • Montones y montones de GPO conectados al usuario o el ordenador a través de un enlace lento.

    Para obtener más consejos sobre la eficacia de las políticas de grupo, consulte este excelente video de Jeremy Muscovite Política de grupo: notas desde el campo.

    14. Sepa cómo usar el comando de Windows RSoP y GPResult

    Estos dos comandos son excelentes para solucionar problemas y verificar GPO, ambos comandos están integrados en Windows. Al solucionar problemas, necesita una forma de verificar si se están aplicando GPO y verificar exactamente qué políticas se están aplicando. Estos dos equipos son un gran salvavidas. Escribí cómo administrar cada equipo, échales un vistazo a continuación.

    Cómo usar RSoP

    Cómo usar GPresult

    Espero que este artículo le haya sido útil, si tiene alguna pregunta sobre la Política de grupo, deje un comentario a continuación.

    Artículos de interés

    Subir