Administrar la configuración de enlaces GPO habilitados y forzados en Active Directory – 2xsoftware

En este artículo, le mostraremos cómo administrar los vínculos de objetos de directiva de grupo en Active Directory desde el complemento gráfico de GPMC y PowerShell, y consideraremos las diferencias entre el estado de vínculo Habilitado y Exigido.

De manera predeterminada, cuando crea un nuevo GPO en un dominio, no se aplica a ningún objeto de usuario o computadora. Para asignar una política a la unidad organizativa de AD, debe crear un enlace de GPO. Enlace de GPO con el Activado estado significa que esta política ha sido asignada y su configuración se aplica a todos los objetos anidados (OU, computadoras y usuarios).

Puede administrar GPO y vincular en el dominio con la gráfica especial Administración de Políticas de Grupo complemento

Para ejecutar este complemento, presione Ganar+R y en la ventana que se abre ingresa gpmc.msc > Entrar.

Pista. Si no encuentra este comando, puede instalar esta consola desde PowerShell (Install-WindowsFeature –Name GPMC) o a través del Administrador del servidor (Agregar funciones y funciones > Funciones > seleccione Administración de políticas de grupo).

Puede vincular un GPO a un sitio, dominio o unidad organizativa,

¿Cómo vincular un GPO a una OU?

Para asignar un GPO a una unidad organizativa (crear vínculo), haga clic con el botón derecho en el contenedor y seleccione Vincular un GPO existente.

estado gpo explicado

En la lista de GPO, seleccione el nombre de la política que desea asignar y haga clic en Aceptar.

política de grupo aplicada frente a habilitada

En la GPMC, seleccione la unidad organizativa a la que asignó el GPO. Como puede ver, el enlace Habilitado = Sí. Para deshabilitar una línea de Política de grupo, haga clic en el nombre de la política y haga clic en el Enlace habilitado opción del menú.

enlace habilitado gpo

Esto deshabilitará la aplicación de la política a los objetos de la unidad organizativa, pero no eliminará el enlace de GPO.

Para eliminar por completo un vínculo de GPO, seleccione el elemento Eliminar en el menú contextual. El vínculo de GPO se eliminará de la jerarquía de la consola de GPMC. El GPO no se elimina y se puede encontrar en Objetos de directiva de grupo en el GPMC.

enlace gpo habilitado significado

Se puede habilitar un GPO para varias unidades organizativas (o sitios de Active Directory).

Para comprobar el estado de una política, búsquela en la sección Objetos de política de grupo. La información completa sobre los enlaces de políticas se proporciona en la ventana derecha en el Alcance pestaña.

Como puede ver, el enlace GPO tiene 4 parámetros: Ubicación, Forzado, Enlace habilitado y Ruta. Las opciones Forzado y Enlace habilitado se pueden establecer en No/Sí.

política de grupo aplicada vs enlace habilitado

Si el estado del vínculo de la directiva de grupo está habilitado, se aplicará la directiva. Si el estado es deshabilitado, la política no se aplica a los miembros dentro de esa unidad organizativa.

Estado de vínculo de GPO obligatorio frente a habilitado

Si deshabilita Vincular, este GPO permanece asignado a la unidad organizativa, pero su configuración no se aplica a los clientes de dominio. Tenga en cuenta que el menú de enlace de GPO tiene un forzado opción. ¿Cuáles son las diferencias entre el enlace de GPO habilitado y el modo forzado?

  • Enlace habilitado estado significa que este GPO está vinculado a la unidad organizativa específica y su configuración se aplica a todos los objetos (usuarios y equipos).
  • El estado forzado significa que esta política ha sido asignada y su configuración no puede ser sobrescrita por otras políticas que se apliquen más adelante. Además, la aplicación anula el bloqueo de GPO.
  • herencia de bloqueo. De forma predeterminada, las unidades organizativas secundarias heredan todos los GPO de la unidad organizativa principal, pero puede bloquear esta herencia con esta opción.

Los GPO forzados rara vez se utilizan. En la mayoría de los casos, se necesitan cuando algunas unidades organizativas están configuradas para bloquear los GPO heredados de la unidad organizativa principal. Las políticas con la bandera de Enforcer anulan el bloqueo. La política de marca Forzada se aplica a todas las unidades organizativas subyacentes, sin importar qué tan profundamente estén anidadas. De forma predeterminada, los vínculos de GPO no se aplican.

Cuando la opción Aplicada está habilitada, esta política se aplica a los objetos de la unidad organizativa, aunque la Herencia de bloque la opción está habilitada para la unidad organizativa. Puede verificar esto si selecciona OU y va a la Herencia de directivas de grupo pestaña.

Como puede ver, CA_Proxy tiene el estado Forzado y se aplica a la unidad organizativa (no se aplican otras políticas de la raíz del dominio, incluida la Política de dominio predeterminada, porque la herencia de bloque de GPO está habilitada para la unidad organizativa).

estado gpo

Sobre el Objetos de directiva de grupo vinculados pestaña, puede cambiar el orden de los enlaces de GPO. El GPO con el orden de referencia más bajo se procesa en último lugar y, por lo tanto, tiene la prioridad más alta, sobrescribiendo la configuración de los GPO anteriores en caso de conflicto. Puede cambiar el enlace usando los botones apropiados.

enlace gpo forzado

¿Cómo crear y eliminar un enlace de directiva de grupo con PowerShell?

Hay un módulo GroupPolicy especial para administrar GPO desde PowerShell, que ya está instalado de forma predeterminada en el controlador de dominio AD.

En las versiones de escritorio de Windows 10 y Windows 11, puede instalar el módulo GroupPolicy en línea desde el paquete RSAT (Remote Server Administration Tools) usando el cmdlet de PowerShell Add-WindowsCapability:

Add-WindowsCapability -Online -Name Rsat.GroupPolicy.Management.Tools~~~~0.0.1.0

Puede enumerar todos los cmdlets disponibles en el módulo GroupPolicy con el comando:

Get-Command -Module GroupPolicy

enlace de política de grupo habilitado

Puede asignar uno de los GPO a un objeto de AD mediante el cmdlet de PowerShell Establecer-GPLink. Por ejemplo:

New-GPLink –Name “CA_Proxy” -Target “ou=Users,OU=California,ou=USA,dc=theitbros,dc=com”

ID de GPO: d61f4a36-b37e-411a-b002-1747a47a3f31

Nombre para mostrar: CA_Proxy

Habilitado: Verdadero

Obligado: Falso

Objetivo: OU=Usuarios,OU=California,OU=EE. UU.,DC=theitbros,DC=com

Orden : 1

significado forzado gpo

Como puede ver, la política está asignada y habilitada, pero no se aplica de manera predeterminada.

Para establecer el indicador Forzado para este vínculo de GPO, ejecute el comando:

Set-GPLink -Name “CA_Proxy” -Target "ou=Users,OU=California,ou=USA,dc=theitbros,dc=com" -Enforced Yes

Para deshabilitar la política (Enlace habilitado = Falso), pero no eliminar el enlace, ejecute el comando:

Set-GPLink -Name “CA_Proxy” -Target "ou=Users,OU=California,ou=USA,dc=theitbros,dc=com" -LinkEnabled No

Para eliminar un vínculo de GPO establecido entre GPO en una unidad organizativa específica, use el cmdlet Remove-GPLink:

Remove-GPLink -Name " CA_Proxy " -Target "ou=Users,OU=California,ou=USA,dc=theitbros,dc=com"

Puede enumerar todos los GPO que están asignados a una unidad organizativa específica en Active Directory. Para mayor comodidad, puede ordenar las pólizas en orden de prioridad (por el atributo de Orden):

( Get-ADOrganizationalUnit -Filter * -SearchBase “OU=Computers,OU=Nevada,OU=USA,DC=theitbros,DC=com” | Get-GPInheritance ).gpolinks |select DisplayName, Enabled,Enforced, Order| Sort-Object -Property order |format-table

gestión de directivas de grupo aplicada frente a enlace habilitado

Con el tiempo, aparece una gran cantidad de objetos en la lista de directivas de grupo. Algunos de ellos se usan y otros no. Para encontrar GPO no vinculados en Active Directory, use el siguiente script de PowerShell simple:

Get-GPO -All | Where-Object {

$_ | Get-GPOReport -ReportType XML | Select-String -NotMatch "<LinksTo>"

} | select DisplayName,owner,CreationTime,ModificationTime|format-table

gpo vinculado vs forzado

Más tarde, puede eliminar los GPO no utilizados encontrados con el cmdlet Remove-GPO.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *