La directiva de grupo (en inglés: Group Policy, abreviado GP) es una característica de la familia de sistemas operativos Windows NT. Una directiva de grupo es un conjunto de reglas que controlan el entorno de trabajo de cuentas de usuario y cuentas de equipo. La directiva de grupo proporciona la gestión centralizada y configuración de sistemas operativos, aplicaciones y configuración de los usuarios en un entorno de Directorio Activo.
Un conjunto de configuraciones de directiva de grupo se denomina objeto de directiva de grupo (Group Policy Object, GPO). El Objeto de Directiva de Grupo Local (LGPO o LocalGPO) permite la administración de GPO sin necesidad de Directorio Activo en ordenadores independientes.[1]
Los servidores de Directorio Activo diseminan las directivas de grupo enumerándolas en su directorio LDAP en objetos de clase groupPolicyContainer
, que se refieren a rutas del servidor (atributo gPCFileSysPath
) donde se almacenan los GPO, habitualmente en la compartición SMB \\dominio.com\SYSVOL compartida por el servidor de Directorio Activo. Si una directiva de grupo contiene configuraciones de registro, la compartición de archivo asociada contendrá un archivo registry.pol
con la configuración que el cliente debe aplicar.[2]
El editor de directivas de grupo (gpedit.msc
) no está incluido en las versiones Home de Windows XP, Vista, 7, 8, 8.1, 10 y 11.
La directiva de grupo, en parte, controla lo que pueden y no pueden hacer los usuarios en un sistema informático. Aunque es más frecuente en el uso de entornos empresariales, también es habitual en las escuelas, las pequeñas empresas y otros tipos de organizaciones más pequeñas. La directiva de grupo a menudo se utiliza para restringir ciertas acciones que pueden presentar riesgos de seguridad potenciales, como bloquear el acceso al administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.
Como parte de las tecnologías IntelliMirror de Microsoft, la directiva de grupo tiene como objetivo reducir el costo de soporte a los usuarios. IntelliMirror technologies relaciona la gestión de las máquinas desconectadas o usuarios móviles e incluyen perfiles de usuario móviles, la redirección de carpetas y archivos sin conexión.
Para llevar a cabo el objetivo de gestión centralizada de un grupo de ordenadores, los equipos deben recibir y aplicar objetos de directiva de grupo (GPO). Un GPO que reside en un solo equipo solo se aplica al mismo. Para poder aplicar un GPO a un grupo de ordenadores, la directiva de grupo se apoya en Directorio Activo o en herramientas de terceros como ZENworks Desktop Management para su distribución. El Directorio Activo puede distribuit GPO a ordenadores que pertenecen a un dominio de Windows.
Por defecto, Microsoft Windows refresca la configuración de directiva de grupo cada 90 minutos más un intervalo aleatorio de 30 minutos, aunque en controladores de dominio se hace cada 5 minutos. Durante este período de actualización, se descubren, se obtienen y se aplican todos los GPO que se aplican al equipo y a los usuarios con sesión activa. Sin embargo, algunos ajustes tales como la instalación automática de software, el mapeo de drivers o las configuraciones de reinicio o de inicio de sesión solo se aplican durante el reinicio o inicio de sesión.
Desde Windows XP, los usuarios pueden iniciar manualmente la actualización de la directiva de grupo ejecutando el comando gpupdate
desde la interfaz de línea de comandos.[3]
Las Directivas de Grupo se procesan en el orden siguiente:
gpedit.msc
). Antes de Windows Vista, solo había una directiva de grupo local almacenada por ordenador. En la actualidad hay grupo de políticas individuales ajustables por cuenta de una máquina de Windows Vista y 7.Las directivas dentro de una estructura jerárquica generalmente se pasan de padres a hijos, lo que se denomina herencia. Esta se puede bloquear o aplicar para controlar las políticas que se aplican en cada nivel. Si un administrador de nivel superior (administrador de la empresa) crea una política que tiene la herencia bloqueada por un administrador de nivel inferior (administrador de dominio) esta política se procesará igualmente.
Se puede personalizar el ámbito en que se aplica un GPO mediante un filtro WMI. Estos filtros permiten a los administradores aplicar el GPO únicamente a ordenadores de determinados modelos, RAM, software instalado o cualquier otra característica susceptible de ser consultada mediante WMI.
La directiva de grupo local (LGP) es una versión más básica de la directiva de grupo utilizado por Directorio Activo. En las versiones de Windows anteriores a Windows Vista, LGP puede configurar la directiva de grupo para un equipo local único, pero a diferencia de la directiva de grupo de Directorio Activo, no puede hacer políticas para usuarios individuales o grupos. También tiene muchas menos opciones en general que la directiva de grupo de Directorio Activo. El usuario específico limitado, puede superar mediante el editor del registro para realizar cambios en las claves HKCU o HKLM. LGP simplemente hace cambios en el registro bajo la clave HKLM, lo que afecta a todos los usuarios. Los mismos cambios se pueden hacer bajo HKCU o HKCU que afectan solo a determinados usuarios. Microsoft tiene más información sobre cómo utilizar el editor del registro para configurar la directiva de grupo disponible en TechNet. LGP se puede utilizar en un equipo de un dominio, y puede ser utilizado en Windows XP Home Edition.
Las preferencias de directiva de grupo son una forma en que el administrador puede establecer políticas que no son obligatorias, sino únicamente opcionales para el usuario o el ordenador.
Existe un conjunto de extensiones de configuración de directiva de grupo conocida anteriormente[¿cuándo?] como PolicyMaker. Microsoft adquirió PolicyMaker y luego lo integró con Windows Server 2008. Microsoft ha lanzado desde entonces una herramienta de migración que permite a los usuarios migrar los elementos de PolicyMaker a preferencias de directiva de grupo.[4]
Las preferencias de directiva de grupo añaden una nueva serie de elementos de configuración. Estos elementos a su vez incluyen numerosas opciones adicionales para controlar de forma granular la forma en que se aplican.
Las preferencias de directiva de grupo son compatibles con las versiones x86 y x64 de Windows XP, Windows Server 2003 y Windows Vista con la adición de las extensiones del lado del cliente (Client Side Extensions, CSE).[5][6][7][8][9][10]
Client Side Extensions se incluyen en Windows Server 2008, Windows 7 y Windows Server 2008 R2.
Las configuraciones de la directiva de grupo son aplicadas voluntariamente por las aplicaciones específicas. En muchos casos, esto solo consiste en deshabilitar la interfaz de usuario para una función determinada, sin desactivar el nivel más bajo de los medios para acceder a él.[11]
Por otra parte, un usuario malévolo puede modificar o interferir con la aplicación para que no sea capaz de leer su configuración de directiva de grupo, aplicando así configuraciones potencialmente menos seguras o incluso devolviendo valores arbitrarios.[12]