Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Entendiendo Group Policy & Group Policy Objects (GPOs)

Entendiendo Group Policy & Group Policy Objects (GPOs)

Feb 17, 2017

Aprenda cómo administrar Group Policy y Objetos de Directiva de Grupo (GPOs) en entornos locales y de Active Directory para encontrar el equilibrio adecuado entre la productividad del usuario y la seguridad. Esta guía explica la estructura de GPO, el orden de aplicación, las preferencias y cómo una vinculación adecuada de GPO ayuda a mantener la integridad de la política y reduce la deriva de configuración.

Cualquier configuración de seguridad efectiva debe ser capaz de prevenir que los usuarios tengan demasiado control sobre un servidor, al mismo tiempo que les proporciona las herramientas que necesitan para completar sus tareas diarias.

Sin las configuraciones de políticas apropiadas, los usuarios generales podrían instalar software vulnerable, alterar controles de seguridad, ver archivos confidenciales o debilitar su postura de seguridad, incluso si es de manera inadvertida. Al mismo tiempo, restringir demasiado a los usuarios puede crear obstáculos innecesarios al realizar responsabilidades regulares.

Para una protección óptima, es esencial establecer una configuración que otorgue a los usuarios exactamente el nivel de acceso que necesitan para su rol y nada más.

Los sistemas de Microsoft cuentan con una solución preestablecida para estos problemas a través de Group Policy, una herramienta que permite a los administradores establecer restricciones, reglas y estándares en múltiples usuarios y grupos. Estas políticas luego se agrupan en colecciones llamadas Objetos de Directiva de Grupo (GPOs), que almacenan políticas relacionadas en nodos dentro de la Consola de Administración de Directivas de Grupo.

Al configurar adecuadamente las amplias opciones dentro de Group Policy de acuerdo con las necesidades de su organización, puede mantener efectivamente la postura de seguridad de su servidor mientras aún proporciona a los usuarios exactamente los privilegios de acceso que necesitan para realizar el trabajo diario.

Solicite una prueba gratuita de Netwrix Endpoint Policy Manager

¿Qué es Group Policy?

Group Policy es una herramienta de gestión de políticas que permite a los administradores establecer controles en dominios o subcategorías más específicas. Introducido por primera vez en Windows 2000 junto con Active Directory, Group Policy cuenta con un enorme número de controles que pueden implementarse de manera tan amplia o limitada como sea necesario.

Como algunos ejemplos, la característica de Group Policy se puede utilizar para:

  • Limitar o prevenir el acceso a archivos sensibles
  • Establezca los requisitos de contraseña
  • Permitir o denegar aplicaciones
  • Controle las configuraciones de red y firewall
  • Restringir el acceso al Panel de Control o la configuración del registro

Estos son solo algunos de los miles de ajustes disponibles dentro de la herramienta. Esta amplia gama de opciones permite a los administradores limitar el acceso excesivo mientras aún se apoya las operaciones diarias esenciales.

Explorando Active Directory Group Policy y Local Group Policy

Este artículo se centra principalmente en la Directiva de Grupo en el nivel de Active Directory, que se puede aplicar en una unidad organizativa (OU) o en un dominio completo. Sin embargo, Windows también cuenta con una herramienta llamada Directiva de Grupo Local, una versión de la Directiva de Grupo que ofrece muchas de las mismas opciones que la Directiva de Grupo de AD pero solo afecta a la estación de trabajo local de Windows.

Mientras que la Política de Grupo Local está diseñada para dispositivos individuales, también puedes utilizar la Política de Grupo de AD para asignar diferentes configuraciones a varios usuarios en la misma máquina, por ejemplo, un conjunto de configuraciones para usuarios empresariales y otro para administradores.

Las GPOs locales son independientes de las GPOs de Active Directory y se utilizan mejor cuando Active Directory no está disponible, como en máquinas que no están conectadas a un dominio. El Editor de Políticas de Computadora Local se utiliza para editar la Política de Grupo Local en una computadora. Para abrirlo, simplemente haga clic en el botón Start y ejecute el comando GPEDIT.MSC.

¿Cuáles son los beneficios de Group Policy?

Como comienzan a ilustrar los ejemplos anteriores, Group Policy puede ofrecer enormes beneficios, desde mejorar la productividad y seguridad del usuario hasta reducir la carga de trabajo de TI. Aquí hay solo algunos ejemplos más de cómo el uso de Group Policy puede beneficiar a su organización:

  • Asegure la disponibilidad de los archivos y carpetas de un usuario, junto con sus configuraciones personalizadas (como la posición de la barra de tareas, selección de fondo de pantalla e iconos del escritorio) en todos los dispositivos que utilicen.
  • Fortalezca la seguridad exigiendo el uso de protocolos de red y autenticación robustos.
  • Mejore la productividad de los empleados instalando y actualizando software fuera del horario laboral.

Además, la Directiva de Grupo permite un control bastante granular, desde restringir qué software se puede instalar hasta limitar estratégicamente los ajustes del Panel de Control que los usuarios pueden modificar. Por ejemplo, puedes permitir a los usuarios ajustar la resolución de pantalla según sus necesidades, pero impedirles cambiar la configuración de la VPN.

¿Qué es un GPO (Group Policy Object)?

Un Objeto de Directiva de Grupo (GPO) es un contenedor que almacena y organiza múltiples configuraciones de Directiva de Grupo relacionadas. Por ejemplo, un GPO puede contener configuraciones para el escritorio mientras que otro contiene configuraciones de políticas de red.

Dentro de la Consola de Administración de Directivas de Grupo, las GPO se agrupan como nodos bajo una estructura de árbol estandarizada. Si los administradores prefieren no utilizar una interfaz gráfica, también es posible configurar las GPO mediante PowerShell u otras herramientas de línea de comandos.

Los administradores deben crear, nombrar y organizar los GPOs de manera que sean fáciles de localizar y actualizar según sea necesario.

¿Cómo funciona una GPO?

Cada GPO tiene dos partes:

  • El Computer node, que contiene configuraciones de políticas que se aplican solo a computadoras, sin importar quién haya iniciado sesión en un momento dado. Ejemplos incluyen scripts de inicio, scripts de apagado y configuraciones que controlan cómo debe configurarse el firewall local.
  • El User node, que contiene configuraciones de políticas que se aplican solo a usuarios. Estas configuraciones siguen al usuario a cada máquina en la que inician sesión. Ejemplos incluyen scripts de inicio de sesión, scripts de cierre de sesión y opciones de acceso al Panel de Control.

Tanto los nodos de Usuario como de Computadora contienen tres secciones principales: Configuración de Software, Configuración de Windows y Plantillas Administrativas. Sin embargo, hay diferencias dentro de esas divisiones. Por ejemplo, la sección de Plantillas Administrativas del nodo de Computadora incluye Impresoras, pero esa sección del nodo de Usuario no; sus opciones incluyen Carpetas Compartidas, Escritorio, Menú de Inicio y Barra de Tareas.

Las GPOs de Active Directory se almacenan en los controladores de dominio (DCs).

Usando Group Policy Management (GPM) para asegurar usuarios y dispositivos

Aunque los Objetos de Directiva de Grupo simplifican la gestión de configuraciones relacionadas, tener demasiados GPOs puede introducir complejidad. Aquí es donde la herramienta de Group Policy Management resulta especialmente efectiva.

La gestión de políticas de grupo (GPM) es una característica accesible a través de la consola de administración de políticas de grupo (GPMC) que se encuentra en el menú de herramientas del administrador de servidores de Windows. Utilizando la consola de administración de políticas de grupo, los administradores pueden gestionar cualquier objeto de directiva de grupo (GPO) directamente en Active Directory, lo que permite una forma centralizada de controlar la política de grupo sin la necesidad de acceder directamente a los controladores de dominio.

Dentro de GPMC, los administradores pueden crear, editar o eliminar GPOs mediante una interfaz gráfica clara, así como vincular objetos a dominios, sitios o unidades organizativas (OUs). Los GPOs incluso pueden aplicarse a computadoras o usuarios individuales a través de la consola, permitiendo un conjunto de controles tan específicos como sea necesario. La configuración de cada Política de Grupo es fácilmente accesible en la interfaz, apoyando la gestión centralizada.

Dentro de la Consola de Administración de Directivas de Grupo hay dos categorías principales para los GPOs: Computer Configuration y User Configuration. Estas secciones se dividen en Policies y Preferences como una forma simplificada de controlar la configuración a nivel administrativo y la gestionada por los usuarios, respectivamente.

Administrar GPOs dentro de Group Policy Management Console es sencillo: localiza el objeto deseado desde el menú del bosque y selecciónalo. A partir de ahí, puedes:

  • Edite la GPO
  • Cambie el Active Directory al que está vinculado el GPO
  • Habilitar o deshabilitar enlaces de GPO
  • Importar configuraciones preestablecidas de GPO
  • Haga una copia de seguridad de las GPOs

Realizar copias de seguridad continuas de tus GPOs en particular es crítico para mantener las protecciones de tu organización en caso de un ciberataque o errores no intencionales. Asegúrate de llevar a cabo copias de seguridad de manera regular, especialmente cada vez que se realicen cambios importantes en la Directiva de Grupo o GPOs, y almacena las copias de seguridad en una ubicación centralizada para facilitar la restauración. Mantener un historial de copias de seguridad hará el proceso de restauración aún más fácil, así como ofrecerá una mayor tranquilidad.

Vinculando su GPO al contenedor adecuado

Crear un Objeto de Directiva de Grupo (GPO) lo hace disponible dentro delActive Directory domain donde fue creado. Para que un GPO tenga efecto, necesita vincularse a uno o más contenedores, como los siguientes:

  • Sitio: Si una GPO está vinculada a nivel de sitio, sus configuraciones afectan a todas las cuentas de usuario y cuentas de computadora en ese sitio, sin importar a qué dominio o UO pertenezcan.
  • Dominio: Si una GPO está vinculada a nivel de dominio, afecta a todos los usuarios y computadoras en el dominio, así como a todas las OU debajo de él.
  • Unidad organizativa: Si se vincula una GPO en el nivel de OU, afecta a todos los usuarios o computadoras en esa OU y a todas las OUs debajo de ella (que se llaman OUs hijas o sub-OUs).

Un objeto de directiva de grupo dado puede estar vinculado a múltiples contenedores, incluso en diferentes niveles. Y un contenedor dado puede tener más de una directiva de grupo vinculada a él; en ese caso, puedes especificar el orden en el que se aplican las directivas de grupo.

La configuración de las políticas de grupo se aplica en el siguiente orden: Local, sitio, dominio y luego unidad organizativa (OU). Este orden es importante porque las configuraciones de dos GPOs podrían entrar en conflicto; por ejemplo, una política a nivel de dominio podría especificar una configuración, mientras que una política a nivel de OU especifica una configuración diferente. El resultado es simple: las configuraciones más abajo en la cadena alimenticia tienen prioridad. En casos de conflicto, las configuraciones aplicadas en último lugar tienen prioridad. En nuestro ejemplo, la configuración a nivel de OU prevalecería sobre la configuración a nivel de dominio. Aunque esto pueda parecer contraintuitivo, la clave es recordar que la regla con las políticas de grupo es “el último escritor gana”.

Configuración de las Preferencias de Directiva de Grupo

Las Preferencias de Directiva de Grupo (GPPrefs) son un conjunto de extensiones del lado del cliente que amplían el alcance y las capacidades de la Directiva de Grupo. No son políticas, sino configuraciones configurables que los administradores pueden gestionar dentro de la Consola de Administración de Directivas de Grupo (GPMC). Las Preferencias de Directiva de Grupo te permiten desplegar configuraciones predeterminadas en computadoras y usuarios sin imponerlas, permitiendo que los usuarios cambien los ajustes si es necesario. Por ejemplo, puedes:

  • Establezca una variable de entorno que permita a los usuarios acceder a ciertos archivos sin tener que introducir la ruta completa cada vez.
  • Copie archivos de un servidor a la máquina de un usuario.
  • Elimine el contenido de una carpeta en particular cada día.
  • Envíe ciertas configuraciones del registro a todas las máquinas cliente.
  • Crear o eliminar compartidos en estaciones de trabajo o servidores.
  • Cree accesos directos en los escritorios.
  • Asigne unidades de red.
  • Cambie las asociaciones de archivos.
  • Configure conexiones VPN y de acceso telefónico.
  • Modifique las opciones de energía, como el tiempo hasta que el monitor entre en modo de espera.
  • Gestione impresoras compartidas.
  • Establezca tareas programadas.
  • Realice cambios en el menú de inicio.

Las preferencias pueden personalizarse con condiciones que controlan cuándo y cómo se aplican. A diferencia de la Directiva de Grupo de AD, las Preferencias de Directiva de Grupo también pueden configurarse para aplicarse solo a usuarios o dispositivos específicos mediante el direccionamiento a nivel de elemento. Un GPO dado puede contener tantas o tan pocas de estas preferencias como sea necesario.

Netwrix simplifica los Objetos de Directiva de Grupo y la Gestión.

Administrar Group Policy puede ser complejo, pero configurarlo correctamente es crítico—solo un GPO mal configurado puede afectar la seguridad y perturbar la continuidad del negocio. Para asegurarte de poder establecer, gestionar y rastrear estos ajustes de manera confiable, Netwrix ofrece una gama completa de soluciones para controlar Group Policy, que incluye:

  • Netwrix Endpoint Policy Manager simplifica la gestión de Group Policy mediante la limpieza y consolidación de GPOs. Reducir el número de objetos gestionados ayuda a mejorar los tiempos de inicio de sesión, fortalecer la seguridad, aumentar el tiempo de actividad y minimizar los errores de configuración.
  • Netwrix Auditor le permite detectar rápidamente cambios no deseados en objetos de Directiva de Grupo para que pueda remediarlos antes de sufrir una brecha u otros problemas. Sus informes predefinidos van mucho más allá de las herramientas nativas, proporcionando detalles completos sobre cada cambio, incluyendo qué GPO fue afectado, quién realizó el cambio, cuándo se hizo, desde qué estación de trabajo se originó y los valores antes y después.

Como un ejemplo real de estas herramientas en acción, el minorista de electrónica automotriz Crutchfield necesitaba una forma más eficiente de gestionar aplicaciones requeridas por usuarios internos, como el navegador Firefox. Sin embargo, el equipo de TI de la empresa tuvo dificultades para asegurar que este software estuviera instalado y actualizado de acuerdo con las mejores prácticas de seguridad.

Con Endpoint Policy Manager implementado en las 750 máquinas de Crutchfield, asegurar aplicaciones se convirtió en un proceso automatizado y simplificado, reemplazando revisiones manuales en decenas de dispositivos. Ahora, el departamento de TI de Crutchfield puede aceptar casi cualquier solicitud de incorporación de nuevas aplicaciones mientras mantiene una postura de seguridad robusta.

Aprenda más sobre cómo Netwrix puede ayudar a su organización a desarrollar y gestionar la Directiva de grupo para una seguridad efectiva y lista para auditorías.

Preguntas frecuentes sobre Group Policy

¿Qué es la Directiva de grupo en Active Directory?

La Directiva de Grupo es una característica de Windows que permite la gestión centralizada de computadoras y cuentas de usuario. La Directiva de Grupo de Active Directory permite la gestión del entorno completo, mientras que la Directiva de Grupo Local posibilita la gestión granular de los distintos usuarios en una máquina específica.

En cualquiera de los niveles, la Directiva de grupo puede controlar elementos clave de su servidor como la configuración de red y firewall, controles de acceso a archivos, requisitos de contraseña o qué configuraciones pueden ser alteradas en el Panel de Control. Esto permite a los administradores establecer protecciones efectivas de manera más rápida y fácil en todos los dispositivos, mientras se permite a los usuarios individuales acceder a los archivos, configuraciones y aplicaciones necesarias para realizar sus tareas diarias.

¿Qué es un Group Policy Object (GPO)?

Un Objeto de Directiva de Grupo (GPO) es una colección de controles de Directiva de Grupo que se relacionan todos con el mismo componente, como la Configuración de Escritorio o la Configuración de Red. Los GPO son creados por administradores como una forma de organizar más claramente y efectivamente diversas configuraciones, así como para demostrar mejor el propósito detrás de cada política.

¿Qué es la gestión de Group Policy?

La gestión de directivas de grupo es una herramienta que permite a los administradores ver, editar y eliminar configuraciones de directivas de grupo. La característica proporciona una interfaz gráfica desde la cual los profesionales de seguridad pueden gestionar los objetos de directiva de grupo (GPOs) con la especificidad que sea necesaria, incluyendo la gestión de la Configuración del Equipo y la Configuración del Usuario así como las Políticas y Preferencias para ambos. La herramienta también ofrece una función de copia de seguridad preestablecida para los GPOs para asegurar mejor la continuidad de las configuraciones en caso de fallo del sistema.

¿Qué es la Directiva de grupo de Windows?

Windows Group Policy es un término que a veces se utiliza para referirse a la Directiva de Grupo local, o un conjunto de políticas que se aplican solo a una computadora específica. Los controles en una Directiva de Grupo local son efectivamente idénticos a los encontrados en la Directiva de Grupo de Active Directory y, por lo tanto, son mejor utilizados para máquinas que no están conectadas a un dominio o que de otro modo son inaccesibles por Active Directory. Sin embargo, tenga en cuenta que los controles específicos de la computadora aún pueden ser promulgados y aplicados utilizando la Directiva de Grupo de AD.

¿Por qué las organizaciones necesitan Group Policy?

La Política de Grupo ofrece un método sencillo para configurar los ajustes de usuarios y computadoras en computadoras unidas a un dominio sin necesidad de configurar manualmente cada computadora. Al establecer controles de seguridad dentro de la Política de Grupo y organizar esos protocolos en GPOs, los profesionales de seguridad obtienen una plataforma centralizada desde la cual pueden monitorear y gestionar de manera comprensiva la seguridad en toda la red. Debido a que la Política de Grupo también permite la adición extensiva de reglas adicionales, excepciones y estipulaciones, incluso facilita la adopción segura de nuevas aplicaciones y ayuda a asegurar que todos los empleados tengan exactamente el nivel de acceso que necesitan para llevar a cabo sus responsabilidades diarias.

¿Pueden los administradores controlar las actualizaciones automáticas dentro de Group Policy?

Puede habilitar actualizaciones automáticas de la Directiva de grupo utilizando el Editor de directivas de grupo, que incluye una opción para recibir actualizaciones automáticamente desde Windows Server Update Services (WSUS). Expanda Configuración del equipo > Plantillas administrativas > Componentes de Windows, y luego haga clic en Windows Update. En la ventana Configurar actualizaciones automáticas , seleccione la casilla Habilitado, y elija la opción preferida para descargar e instalar actualizaciones. Estas opciones se describen en detalle en la sección de ayuda a la derecha. Los administradores pueden personalizar aún más cómo se reciben las actualizaciones especificando si los usuarios reciben notificaciones de actualización, con qué frecuencia buscar actualizaciones, si su red puede aceptar actualizaciones firmadas por entidades distintas a Microsoft y más

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Jonathan Blackwell

Jefe de Desarrollo de Software

Desde 2012, Jonathan Blackwell, un ingeniero e innovador, ha proporcionado liderazgo en ingeniería que ha colocado a Netwrix GroupID a la vanguardia de la gestión de grupos y usuarios para entornos de Active Directory y Azure AD. Su experiencia en desarrollo, marketing y ventas permite a Jonathan comprender completamente el mercado de Identity Management y la forma de pensar de los compradores.

Aprende más sobre este tema

Crear usuarios de AD en masa y enviar sus credenciales por correo electrónico usando PowerShell

Cómo crear, cambiar y probar contraseñas usando PowerShell

Cómo agregar y eliminar grupos de AD y objetos en grupos con PowerShell

Confianzas en Active Directory

Ataques de ransomware a Active Directory

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad