DIRECTIVAS LOCALES Y DE CUENTA

Todas las directivas de seguridad se basan en el equipo. En esta seccin se explican las directivas de cuenta y las directivas locales.

Directivas de cuentas
Las directivas de cuentas se definen en los equipos, aunque afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o el dominio. Las directivas de cuentas contienen tres subconjuntos: Directiva de contraseas. Se utiliza para las cuentas de usuario del dominio o las locales. Determina la configuracin de las contraseas, como la obligatoriedad y su ciclo de vida. Directiva de bloqueo de cuentas. Se utiliza para las cuentas de usuario del dominio o las locales. Determina las circunstancias y el perodo que una cuenta va a estar bloqueada en el sistema. Directiva Kerberos. Se utiliza para cuentas de usuario de dominio. Determina la configuracin relacionada con Kerberos, como la obligatoriedad y el ciclo de vida de los vales. Las directivas Kerberos no existen en Directiva de equipo local. **Para las cuentas de dominio, la directiva de cuentas debe definirse en el objeto de directiva de grupo (GPO) Directiva predeterminada de dominio o en un GPO nuevo que est vinculado a la raz del dominio y que tenga prioridad frente al GPO Directiva predeterminada de dominio, exigido por los controladores de dominio que forman el dominio. *Si hay ms de un GPO que contiene configuracin de directivas de cuenta vinculado al nivel de dominio, la directiva de cuentas del dominio est formada por la configuracin de directiva acumulativa de todos los GPO vinculados al dominio. *Un controlador de dominio siempre obtiene la directiva de cuentas de un GPO vinculado al dominio que, de forma predeterminada, es el GPO Directiva predeterminada de dominio. Este comportamiento tiene lugar aun cuando se aplique una directiva de cuentas distinta a la unidad organizativa (OU) que contiene el controlador de dominio. *De forma predeterminada, las estaciones de trabajo y los servidores que se unen a un dominio (es decir, los equipos miembros del mismo) tambin reciben la misma directiva de cuentas para sus cuentas locales. Sin embargo, las directivas de cuentas locales de los equipos miembro pueden diferenciarse de la directiva de cuentas de dominio si se define una directiva de cuentas para la OU que contiene dichos equipos.

Importante No es aconsejable modificar la Directiva predeterminada de dominio. Si necesita definir una directiva de cuentas que difiera de la del GPO Directiva predeterminada de dominio, puede crear un GPO nuevo y vincularlo a la raz del dominio, definir la directiva que desea utilizar y asignarle una prioridad superior a la del GPO Directiva predeterminada de dominio.

En las Opciones de seguridad hay dos directivas que tambin se comportan como directivas de cuentas. stas son: Acceso de red: permitir traduccin SID/nombre annima Seguridad de red: forzar el cierre de sesin cuando expire la hora de inicio de sesin

Directivas locales
Estas directivas se aplican a un equipo y contienen tres subconjuntos: Directiva de auditora. Determina si los sucesos de seguridad se registran en el registro de seguridad del equipo. Tambin especifica si se registran los intentos de inicio de sesin correctos, los fallidos o ambos. El registro de seguridad forma parte del Visor de sucesos. Asignacin de derechos de usuario. Determina qu usuarios o grupos tienen derechos de inicio de sesin o privilegios en el equipo. Opciones de seguridad. Habilita o deshabilita la configuracin de seguridad del equipo, como la firma digital de datos, nombres de las cuentas Administrador e Invitado, acceso a CD-ROM y unidades de disco, instalacin de controladores y solicitudes de inicio de sesin. Como un equipo puede tener aplicadas varias directivas, puede haber conflictos en la configuracin de la directiva de seguridad. El orden de prioridad de mayor a menor es unidad organizativa, dominio y equipo local.

APLICAR UNA CONFIGURACIN DE SEGURIDAD

Aplicar la configuracin de seguridad mediante Directiva de grupo Cundo se aplica la directiva
Una vez que ha modificado la configuracin de seguridad, sta se actualiza en los equipos de la unidad organizativa vinculada al objeto de directiva de grupo: La configuracin de un equipo se actualiza cuando se reinicia dicho equipo. La configuracin de seguridad se actualiza cada 90 minutos en una estacin de trabajo o un servidor, y cada 5 minutos en un controlador de dominio. La configuracin se actualiza tambin cada 16 horas, con independencia de que se produzcan cambios o no. Para obtener informacin sobre cmo hacer que un equipo actualice su configuracin de seguridad, as como toda la configuracin de Directiva de grupo, utilice el comando Gpupdate con sus opciones

Prioridad de las directivas cuando se aplican varias a un equipo

Cuando la configuracin de seguridad est definida por ms de una directiva, se observa el siguiente orden de prioridad, de mayor a menor: Directiva de unidad organizativa Directiva de dominio Directiva de sitio Directiva de equipo local Por ejemplo, en una estacin de trabajo que se una a un dominio la directiva del dominio reemplazar su configuracin de seguridad local cada vez que haya un conflicto. Asimismo, si la misma estacin de trabajo es miembro de una unidad organizativa, la configuracin aplicada desde la directiva de sta reemplazar tanto la configuracin del dominio como la local. Si la estacin de trabajo es miembro de ms de una unidad organizativa, la unidad organizativa que contenga inmediatamente a la estacin de trabajo tiene la mayor prioridad. Notas Se puede utilizar la herramienta Conjunto resultante de directivas ** para averiguar qu directivas se aplican a un equipo y en qu orden.

En cuentas de dominio slo puede haber una directiva de cuenta que incluya directivas de contrasea, directivas de bloqueo de cuentas y directivas Kerberos.

Persistencia en la configuracin de seguridad

La configuracin de seguridad puede seguir existiendo aunque ya no se defina en la directiva que originalmente la aplic. La persistencia en la configuracin de seguridad se produce cuando: La configuracin no se ha definido anteriormente en el equipo. La configuracin es para un objeto del Registro. La configuracin es para un objeto del sistema de archivos. Todas las opciones de configuracin aplicadas mediante directivas locales o un objeto de directiva de grupo se almacenan en una base de datos local en el equipo. Siempre que se modifica una configuracin de seguridad, el equipo guarda los valores en la base de datos local que conserva un historial de todas las opciones que se han aplicado al equipo. Si una directiva define primero una opcin de seguridad y despus ya no la define, se adopta entonces el valor anterior contenido en la base de datos. Si en la base de datos no existe un valor anterior, la opcin de configuracin no tiene un valor para revertirlo y permanece definida tal y como est. Este comportamiento se denomina algunas veces "tatuaje". La configuracin del Registro y de los archivos mantendr los valores aplicados mediante la directiva hasta que se establezcan otros. Filtrar la configuracin de seguridad en funcin de la pertenencia a grupos Tambin puede decidir a qu usuarios o grupos se les aplicar un objeto de directiva de grupo con independencia del equipo en el que inicien la sesin si les niegan los permisos Aplicar directiva de grupo o Lectura en ese objeto de directiva de grupo. Ambos permisos son necesarios para aplicar Directiva de grupo.

**

Conjunto resultante de directivas

Puede utilizar Conjunto resultante de directivas (RSoP, Resultant Set of Policy) para simular y probar las configuraciones de directivas que se aplican a los equipos o usuarios mediante Directiva de grupo.