Las cinco mejoras principales de las directivas de grupo en Windows Server 2012
¿Qué ha cambiado en las directivas de grupo de Active Directory en Windows Server 2012? Le damos algunos datos de esas mejoras en este artículo.
Dentro de la versión beta de Windows Server 2012 (anteriormente conocido como Windows Server 8 beta), hay más de 4,560 directivas de grupo con las que jugar –algunas nuevas y otras antiguas. Además hay mejoras en la usabilidad de la infraestructura de directivas de grupo y en la venerable consola de administración de directivas de grupo.
He aquí cinco principales cuestiones sobre las que debería investigar y ver su compatibilidad para poder entender cómo funcionan juntos el cliente de Windows 8 y los servidores:
- La opción de actualización de directivas de grupo en la consola de administración de directivas de grupo. En vez de tener que usar molestas líneas de comandos, como gpupdate /force en máquinas individuales, ahora puede seleccionar gráficamente unidades organizativas donde actualizar directivas de grupo. Esto significa que como puede iniciar las cosas desde la consola, no tiene que esperar la hora y media que a veces tardaban estas actualizaciones en efectuarse a través de una red. Puede dedicarse solo a equipos en unidades organizativas, aunque la actualización en sí vuelve a descargar las porciones del usuario y del equipo de los objetos de directiva de grupo (GPO) que se aplican al destino. Entre bastidores, esta opción crea dos tareas programadas en cada equipo en la unidad organizativa de destino. Para este trabajo, los controladores de dominio deben tener acceso para crear tareas programadas en los equipos, de modo que los cortafuegos de cada sistema deben configurarse adecuadamente.
- Un informe de estado fácil de monitorear sobre la infraestructura de directivas de grupo en su red de Active Directory. En la consola de administración de directivas de grupo ahora encontrará una nueva pestaña llamada “Infra Status”. (Como persona metódicamente perfeccionista espero que Microsoft modifique tan desafortunada abreviatura, pero lo dudo). Esta pestaña muestra el estado de Active Directory y Sysvol (usando servicios de replicación para el sistema de archivos distribuido) replicados en este dominio en relación a las directivas de grupo. Anteriormente, debía mirar el estado de Sysvol en cada servidor individual y los problemas no siempre salían a la superficie de una forma fácil de digerir. Puesto que la replicación de AD es clave para que se apliquen correctamente las directivas de grupo en su dominio, esto acabará siendo una herramienta de solución de problemas muy práctica.
- Gestión basada en las directivas de grupo desde la opción de sincronización de la configuración. Ahora la familia Windows 8 ofrece a los usuarios la capacidad de activar un ID de Windows Live para trabajar con todos sus documentos y ajustes a través de un servicio de sincronización basado en la nube, tal como ocurre con el servicio iCloud de Apple. Cuando el usuario cambia de un dispositivo a otro, indicando su ID, sus preferencias y archivos pasan a estar disponibles de inmediato igual que en otros dispositivos. Es como un enorme servicio de perfiles móviles que trabaja a través de límites de seguridad. Obviamente los administradores corporativos deberán tomar precauciones para no permitir demasiadas preferencias personales en las máquinas de la empresa. Para eso Windows Server 2012 ofrece siete nuevos GPO que controlan tales ajustes. La configuración de directiva de grupo para las opciones de sincronización se encuentran en Configuración del Equipo > Plantillas Administrativas > Componentes de Windows > Sincronización de Configuración.
- Nuevas directivas de Internet Explorer. Ahora es posible gestionar las preferencias de las directivas para Internet Explorer 9 directamente desde la consola de administración de directivas de grupo de Windows Server 2012. Otras nuevas funciones de IE permiten desactivar la opción de mostrar contraseña (novedad en Windows 8 y IE 10), exigir el uso del Modo protegido mejorado (que obliga Internet Explorer a funcionar en modo de 64-bit), evitar que los controles ActiveX se ejecuten en menores contextos de seguridad en Modo protegido mejorado y deshabilitar el acceso de Windows 8 de «Eliminar el historial de exploración en la configuración», entre otras opciones.
- GPO metro específicos en Windows 8. Ahora es posible personalizar el comportamiento de algunas funciones nuevas de Windows 8, como deshabilitar la pantalla de bloqueo, desconectar el PIN de inicio de sesión, desconectar el inicio de sesión con una contraseña de imagen, personalizar cómo los paquetes de aplicación Metro se implementan y activan, usar ciertos colores para el fondo de la pantalla de inicio, desconectar el seguimiento de uso de aplicaciones, deshabilitar el acceso al App Store de Windows 8 y personalizar la conducta de Windows to Go.
Microsoft ha publicado una lista completa de toda la configuración de directiva de grupo para Windows 8 y Windows Server 2012 en este enalce.
SOBRE EL AUTOR: Jonathan Hassell es autor, consultor y conferencista residente en Charlotte, Carolina del Norte. Entre los libros de Jonathan se incluyen RADIUS, Hardening Windows y más recientemente Windows Vista: Beyond the Manual.