Active Directory

Hi ha una sèrie de conceptes que resulta imprescindible tenir clars per treballar amb el servei de l’Active Directory. Cal familiaritzar-se amb aquests termes i entendre la funció que fan dins el sistema. A continuació es descriuen breument els més importants:

• Objecte: Un objecte és quelcom amb entitat en el directori. Per exemple, un objecte pot ser un usuari, un ordinador, un encaminador, un commutador, una impressora, etc.
• Domini: És un conjunt de normes que especifiquen què administren els recursos i els clients en una xarxa local.
• Arbres: És un conjunt de dominis amb relacions de confiança entre ells que comparteixen recursos, clients i un sistema de resolució de noms.
• Bosc: És un conjunt d’arbres de domini amb relacions de confiança entre ells. És l’estructura lògica principal de l’estructura de directori. Conté tots els objectes del vostre directori, començant pels dominis. El bosc defineix l’esquema, conté la definició i els atributs de tots els objectes. És molt important per a l’AD, ja que defineix diversos objectes com a usuaris i grup. Defineix quines propietats tenen aquests objectes, estén la compatibilitat amb nous objectes i propietats necessàries en aplicacions. El bosc també conté la informació de replicació per a un funcionament adequat del directori. Finalment, també manté el catàleg global que proporciona capacitats de cerca per a ell mateix.

A banda, per treballar amb l’Active Directory, també caldrà que sapigueu distingir entre:

• Les estructures lògiques i físiques de domini.
• Les relacions de confiança: mecanismes de comunicació entre els diferents dominis d’arbre.
• Els llocs i les subxarxes: agrupaments d’equips i adreces, respectivament.

Resulta imprescindible meditar un disseny eficient i robust quan es treballa amb l’Active Directory. Mitjançant l’Active Directory aconseguireu separar entre l’estructura lògica del domini, que conté objectes, dominis, arbres i boscos, de l’estructura física real, que està formada per controladors de domini i espais.

Objecte. L’objecte és la peça bàsica de tot el tramat de l’estructura lògica.

Dominis. L’Active Directory és la peça clau en el sistema basat en dominis que es fa servir en el Microsoft Windows. L’Active Directory es basa en el protocol DNS (sistema de noms de domini). El protocol DNS és un servei estàndard d’Internet que s’encarrega d’organitzar grups d’equips en dominis, que s’organitzen en una estructura jeràrquica. Cal tenir en compte que:

• La jerarquia de dominis DNS està formada per diferents nivells que identifiquen equips, dominis organitzatius i dominis de nivell superior. A Internet també s’utilitza el protocol DNS per assignar noms de servidor a direccions IP. Per exemple, la IP 85.192.111.244 correspon al servidor ioc.cat. A Internet amb el protocol DNS es pot definir una jerarquia de domini Active Directory.
• Aquest sistema també es fa servir per referir-se a recursos del sistema. Per fer-ho, cal utilitzar l’FQDN (nom de domini complet). Per exemple, proxy.ioc.cat indica que el nom de l’equip és proxy, ioc és el domini i cat és el domini de nivell superior.
• El primer domini que es crea rep el nom de domini arrel. Aquest domini és l’arrel de la resta de dominis que es creen en l’arbre de domini. Un domini arrel pot ser ioc.cat. Els dominis creats posteriorment en una jerarquia de dominis són dominis secundaris del domini arrel. Per exemple, si hi hagués un domini secundari anomenat informatica, del domini arrel ioc.cat, el resultat final seria informatica.ioc.cat. El nom de domini complet d’una màquina anomenada documents del Departament d’Informàtica seria documents.informatica.ioc.cat.

Arbres. A mesura que una organització creix, els seus recursos de xarxa també creixen. Per tant, es fa necessari idear un sistema per agrupar i organitzar la informació de manera ordenada.
La creació i la utilització d’un arbre de dominis permet crear una estructura lògica de dominis i reflectir un espai de noms DNS.

Boscos. Algunes xarxes, tot i que es tracta d’una mateixa xarxa, tenen diversos dominis arrel. En aquests casos trobeu múltiples arbres de domini.
La utilització de boscos permet mantenir la continuïtat de tota l’estructura de recursos de la xarxa encara que hi hagi diferents espais de noms no contigus.
La creació d’un bosc permet a tots els dominis que el formen compartir informació.

Cal un mecanisme que permeti la comunicació entre els diferents dominis d’arbre, ja que contràriament no es podrien crear xarxes extenses de compartició de recursos.

Hi ha tres tipus de relacions de confiança:

• Confiances transitives: permeten establir una relació de confiança entre dos dominis que permet accedir a altres dominis. Aquest tipus de confiança redueix la sobrecàrrega administrativa que es genera amb el manteniment de relacions de confiança.
• Confiances unidireccionals: estableixen una relació de confiança entre dominis sense ser transitives ni bidireccionals.
• Confiances de vincle creuat: s’utilitzen per augmentar el rendiment. Per fer-ho, escurcen la ruta de confiança.

L’emmagatzemament d’informació és una tasca complexa molt important dins una estructura organitzada. Fer agrupaments que permetin una millora de la gestió i una simplificació de l’administració és una part fonamental en el disseny d’un projecte. Dins d’aquest disseny, els llocs i les subxarxes tenen un paper molt rellevant.

Un dels avantatges de fer servir l’Active Directory és que es poden crear diversos llocs dins d’un únic domini o crear un únic lloc que englobi diversos dominis.

La norma que marca com assignar equips dins un lloc la determina la ubicació d’aquests equips dins d’una subxarxa. L’objectiu del responsable del sistema és que els llocs estiguin formats per subxarxes i els equips estiguin connectats correctament.

Una gestió correcta dels llocs i de les subxarxes permet millorar l’estat de la xarxa informàtica, ja que redueix el trànsit de xarxa i permet augmentar la velocitat de processament d’algunes tasques, com ara la d’autenticació.

L’Active Directory es pot utilitzar a partir del Windows Server 2000. Cal tenir en compte, però, que els sistemes que no són servidors (com Windows 10) accedeixen a la xarxa com a clients de l’Active Directory. D’aquesta manera, tenen accés als recursos del directori i poden utilitzar les relacions de confiança transitives que hi hagi. Els sistemes operatius servidors, en canvi, proporcionen serveis a altres equips i, per tant, actuen com a controladors de domini.

Un domini pot tenir més d’un controlador de domini si fa servir la replicació automàtica de les dades de directori entre elles utilitzant un model de replicació amb diversos mestres. El sistema, quan té diversos mestres, estableix la mateixa responsabilitat a tots els controladors de domini. Aleshores, l’administrador decideix a quins controladors dona més prioritats.

Segons la versió del Windows Server que feu servir per implementar l’Active Direcory, tindreu més o menys funcions disponibles, és el que es coneix com a nivell funcional. Aquest nivell funcional l’haureu de triar durant la instal·lació del domini, tal com es veu a la figura.

No s’han de fer servir versions anteriors a Windows Server 2012. Tots els controladors de domini amb Windows Server 2008 han de deixar d’operar dins el domini.

Així doncs, les versions de Windows Server que poden estar dins el domini són: 2012, 2012 R2, 2016 i 2019. Quan configureu el servei de domini de l’Active Directory al Windows Server 2019, per defecte els nivells funcionals estan definits en 2016.

És interessant treballar amb el nivell funcional més elevat que acceptin els equips del domini, així es podran fer servir el màxim de característiques disponibles.

Les característiques principals dels últims nivells funcionals de bosc i domini de Windows Server són:

• Windows Server 2019.
  • Nivell funcional de bosc. No s’ha agregat noves característiques.
  • Nivell funcional de domini. No s’ha agregat noves característiques.
• Windows Server 2016.
  • Nivell funcional de bosc. Les mateixes que Windows Server 2012 R2, més la implementació del Privileged Access Management (PAM) per evitar problemes de seguretat relacionats amb el robatori de credencials.
  • Nivell funcional de domini. Les mateixes que Windows Server 2012 R2, més l’augment de seguretat quan s’intenta validar la contrasenya d’un client mitjançant Kerberos (PKInit).
• Windows Server 2012 R2.
  • Nivell funcional de bosc. Les mateixes que Windows Server 2012.
  • Nivell funcional de domini. Les mateixes que Windows Server 2012, més noves directives per controlar l’accés per l’autenticació en els serveis que s’executen.
• Windows Server 2012.
  • Nivell funcional de bosc. Les mateixes que Windows Server 2008.
  • Nivell funcional de domini. Les mateixes que Windows Server 2008, més millores en el protocol d’autenticació Kerberos, que es fa servir per validar l’usuari i contrasenya dels clients.

És bàsic entendre el funcionament i la missió de l’estructura de directori en què es basa el Microsoft Windows Server 2019. Per tant, és imprescindible conèixer l’Active Directory.

Per poder accedir i distribuir les dades de l’Active Directory, cal utilitzar protocols d’accés i replicació de directori. Mitjançant aquests protocols els clients es poden comunicar entre ells. La replicació garanteix que les actualitzacions de les dades arribin a tots els controladors de domini.

El servei de directori de l’Active Directory utilitza un magatzem de dades per a tota la informació de directori. Aquest magatzem de dades se sol anomenar directori.

Els controladors de domini emmagatzemen el directori i les aplicacions de xarxa o els serveis hi poden accedir. Ateses les diferents configuracions que podeu trobar, és necessari que un domini pugui tenir un o més controladors de domini. L’Active Directory ho permet.

L’Active Directory millora la seguretat, perquè fa que cada controlador de domini disposi d’una còpia del directori en tot el domini en què s’ubica. Els canvis efectuats en el directori en un controlador de domini es repliquen a la resta dels controladors en el domini, l’arbre de dominis o el bosc. D’aquesta manera, la informació emmagatzemada tindrà un grau d’accessibilitat alt.

Les particions de directori contenen dades de domini, configuració, esquema i aplicació. Aquest disseny d’emmagatzematge i replicació proporciona la informació de directori als usuaris i als administradors de tot el domini.

Les dades del directori es guarden en el fitxer Ntds.dit, del controlador de domini.

Les dades de directori replicades entre controladors de domini inclouen la informació següent:

• Dades del domini: contenen informació sobre els objectes d’un domini. Aquí obtindreu informació com contactes de correu electrònic, atributs de comptes d’usuaris i equips.
• Dades de configuració: descriuen la tipologia del directori. Inclouen una llista de tots els dominis, arbres i boscos, i de les ubicacions dels controladors de domini i els catàlegs globals.
• Dades d’esquema: hi trobareu la descripció de tots els objectes i tipus que es poden emmagatzemar en el directori.
• Dades d’aplicació: les dades emmagatzemades en la partició de directori d’aplicacions són d’utilitat quan cal replicar la informació, però no forçosament a escala global. Per defecte, les particions de directori d’aplicacions no formen part del magatzem de dades del directori. És tasca de l’administrador crear, configurar i administrar.

En el catàleg global s’emmagatzema una còpia completa de tots els objectes del directori per al seu domini d’usuari (host) i una còpia parcial de tots els objectes dels altres dominis del bosc.

L’emmagatzematge dels atributs més buscats de tots els objectes de domini en el catàleg global ofereix als usuaris cerques més efectives sense afectar el rendiment de la xarxa amb referències innecessàries a controladors de domini.

Es poden afegir o treure del catàleg global, de manera manual, altres atributs d’objectes mitjançant el complement Esquema de l’Active Directory. A vegades pot ser necessari personalitzar el catàleg global per incloure-hi atributs addicionals. No obstant això, haureu d’estudiar les opcions disponibles, ja que els canvis en els atributs poden afectar negativament el trànsit de la xarxa. Per defecte, el catàleg global conté els atributs més comuns de cada objecte del bosc i també les aplicacions i els usuaris que pot consultar.

Es crea automàticament un catàleg global en el controlador de domini inicial del bosc. Es pot afegir funcionalitat del catàleg global a altres controladors de domini o canviar la seva omissió a un altre controlador de domini. Per activar o desactivar un catàleg global heu de seguir els passos següents:

1. Obriu Sitios y servicios de l’Active Directory.
2. Cliqueu al controlador de domini del qual voleu activar o desactivar el catàleg global.
3. Feu clic amb el botó dret a Configuración NTDS del tauler de detalls i, tot seguit, cliqueu a Propiedades.
4. Activeu la casella de verificació Catálogo global per habilitar el catàleg global o bé desactiveu-la per deshabilitar-lo.

El catàleg global fa funcions de directori:

• Cerca objectes. El catàleg global permet a l’usuari fer cerques d’informació del directori en tots els dominis d’un bosc, independentment de la ubicació de les dades.
• Proporciona l’autenticació de nom principal d’usuari: Resol els noms principals d’usuaris (UPN) quan el controlador de domini d’autenticació no té coneixement del compte.
• Proporciona informació de pertinença al grup universal en un entorn de dominis múltiples. La pertinença al grup universal només s’emmagatzema en un catàleg global.
• Valida les referències a objectes dins d’un bosc. Els controladors de domini utilitzen el catàleg global per validar les referències a objectes d’altres dominis del bosc. Si un controlador de domini inclou un objecte de directori amb un atribut que conté una referència a un objecte d’un altre domini, aquesta referència es validarà mitjançant un catàleg global.

El procediment per la instal·lació de l’Active Directory el podeu veure al següent vídeo:

Comenceu per assegurar-vos que la configuració IP és estàtica i no dinàmica. Això inclou la IP i els DNS. El DNS principal haurà de ser la pròpia IP del Servidor. Un exemple seria el que podeu veure a la figura.

L’Active Directory és un rol del Windows Server. Així doncs, el podeu instal·lant entrant a l’Administrador de Servidor > Administrar > Agregar rols i característiques > Avançar fins a Rols del servidor > Marcar Serveis de domini d’Active Directory. Podeu veure aquests passos a la figura.

Un cop marcada la opció, seguiu endavant fins a veure el botó d’instal·lar, com es veu a la figura.

La instal·lació del rol necessita uns minuts. Un cop instal·lada, haureu de “promocionar” el servidor. Promocionar significa configurar i activar el domini. Ho podeu veure a la figura.

La primera configuració serà triar el nom del domini del nou bosc. Veieu-ne un exemple a la figura.

La segona configuració serà triar el nivell funcional (com més avançat millor, però dependrà de la resta d’infraestructura de l’empresa) i la contrasenya de restauració.

La tercera configuració serà respecte al DNS. Aquesta opció dependrà de si teniu activat i configurat el DNS al Windows Server. Si no ho teniu configurat, no marqueu cap opció i continueu endavant.

La quarta configuració serà la tria del nom NetBIOS. El sistema us en proposarà un, que podeu deixar o canviar.

El cinquè pas serà especificar la ubicació de la base de dades. Podeu deixar la proposada.

Amb això ja teniu la configuració preparada, continueu unes pantalles més i començarà l’activació del domini. Aquest procés és lent i requereix reiniciar el sistema.

La part del servidor ja està acabada. Els següents passos seran:

1. Crear usuaris de domini.
2. Configurar el client per unir-lo al domini.

Aquests dos punts els veureu al punt 3.13.2. Comptes d’usuari d’aquesta unitat.

Una de les tasques més importants que desenvolupa un sistema operatiu servidor és l’administració de comptes d’usuari i de grup.

Sense comptes d’usuari no podríeu personalitzar els perfils dels usuaris ni controlar l’accés d’aquests usuaris a continguts i recursos. Gestionar molts usuaris, però, esdevé un problema de fàcil solució.

Els permisos i els privilegis que els comptes d’usuari i de grup tenen assignats determinen quines accions poden executar i a quins recursos poden accedir.

El sistema Microsoft Windows Server 2019 controla l’accés als recursos mitjançant els components del model de seguretat, tal com es veu a la figura, on es mostren els permisos de què disposa un grup d’usuaris determinat.

El sistema operatiu necessita un protocol que s’encarregui de gestionar els processos d’autenticació. L’autenticació en el Microsoft Windows Server 2019 es divideix en dues parts: l’inici de sessió interactiu i l’autenticació en xarxa.

Windows Server 2019 té integrat el Kerberos Key Distributin Center (KDC) dins el controlador de domini, i fa servir el Active Directory Domain Service (AD DS) com a base de dades de la seguretat dels comptes d’usuari.

El sistema operatiu Microsoft Windows Server 2019 té la característica de tenir un inici de sessió únic:

1. L’usuari inicia la sessió en un domini mitjançant un nom i una contrasenya.
2. El procés interactiu d’inici de sessió comprova les dades. Si el compte utilitzat és local i les dades són correctes, s’accedeix a l’equip local. Si el compte és de domini, es comproven les dades a l’Active Directory. En el cas que siguin correctes, l’usuari accedeix a la xarxa i als recursos que conté.
3. A partir d’aquest instant l’usuari pot autenticar-se en qualsevol equip del domini.

Així doncs, heu de recordar que un equip que pertany a un domini Active Directory necessitarà tenir accés al Windows Server per poder comprovar l’inici de sessió: comprovar si l’usuari i la contrasenya (password) són correctes.

Hi ha dos tipus de comptes d’usuari en el sistema Microsoft Windows Server 2019:

• Comptes d’usuari local: estan definits en un equip local i hi tenen accés. És necessari que aquests comptes s’autentiquin abans d’accedir a recursos de xarxa. Per crear aquests comptes haureu d’utilitzar Usuarios y grupos locales.
• Comptes d’usuari de domini: estan definits en l’Active Directory i poden accedir als recursos del domini mitjançant l’inici de sessió únic. Per crear aquests comptes, haureu d’utilitzar Usuarios y equipos de l’Active Directory. Podeu seguir els passos que trobareu a la figura.

Per fer servir aquest usuari als clients Windows 10, haureu d’unir el client al domini, seguint els passos del següent vídeo, o de les figures que teniu a continuació:

1) Configurar que el DNS del Windows 10 sigui la IP del Windows Server, tal com es mostra a la figura.

2) Treure el Windows 10 del grup de treball i entrar-lo al domini, tal com es mostra a la figura.

3) Un cop reiniciat el sistema, i tal com es mostra a la figura, podeu veure la diferència entre entrar a l’equip com a usuari de domini o com a usuari local:

Com podeu veure, aquest equip forma part del domini DOMINI-IOC. Si voleu entrar com a usuari del domini, haureu de fer servir un usuari del tipus: DOMINI-IOC\Queralt, i el Windows Server comprovarà que la contrasenya sigui correcte. En canvi, si voleu entrar a l’equip com a usuari local, haureu de fer servir un usuari del tipus: EQUIP\Queralt (on Equip és el nom que es va triar per la màquina durant la configuració inicial de l’equip), i el sistema operatiu client comprovarà que la contrasenya sigui correcte.

En el Microsoft Windows Server 2019, els comptes d’usuari tenen dues parts:

• Nom d’usuari: és una etiqueta de text que identifica el compte. Els noms locals han de ser únics per a cada equip individual, haurien de ser únics en tot un domini, no poden excedir els 64 caràcters de longitud i poden contenir caràcters alfanumèrics i especials.
• Domini o grup de treball d’usuari: és el domini o el grup de treball al qual pertany el compte d’usuari.

Els comptes d’usuari tenen una sèrie d’atributs, alguns dels quals són molt importants.

Quan es crea un compte d’usuari nou es genera un SID que no es modificarà encara que canviï el nom d’usuari lligat al compte. Així, es pot estudiar el recorregut dels comptes d’usuari amb independència del nom d’usuari emprat.

L’administració d’un sistema que contingui un gran nombre de comptes d’usuari genera un gran volum de treball si no es disposa d’algun mecanisme que en simplifiqui la tasca. Per això hi ha els comptes de grup.

Atès que és molt usual que el nom del compte de grup es repeteixi dins d’organismes grans, l’Active Directory utilitza el format domini\nomdelgrup, que li permet diferenciar grups amb el mateix nom que pertanyen a diferents dominis.

En el sistema operatiu Microsoft Windows Server 2019 hi ha tres tipus de grups diferents:

• Grups locals: estan definits en un equip local i només es poden utilitzar en aquest equip. Per poder-los crear haureu de fer servir Usuarios y grupos locales. Els usuaris d’aquest grup no formen part del domini d’Active Directory.
• Grups de seguretat: són grups que poden tenir descriptors de seguretat associats. Per definir-los haureu d’utilitzar Usuarios y equipos de l’Active Directory. Amb aquest grup podeu proporcionar accés a recursos de la xarxa a un determinat conjunt d’usuaris.
• Grups de distribució: s’utilitzen com a llistes de distribució de correu electrònic. Heu de tenir en compte que aquests tipus de grups no poden tenir cap descriptor de seguretat associat. Els haureu de definir mitjançant Usuarios y equipos de l’Active Directory.

Podeu utilitzar els grups en diferents àrees, segons convingui. Hi ha quatre àmbits:

• Grups locals de domini: aquests grups s’utilitzen per assignar permisos d’accés a recursos dins d’un únic domini. Per exemple, faríeu servir aquests grups per administrar una carpeta compartida dins el domini. En aquest grup hi podeu unir usuaris de qualsevol domini del bosc.
• Grups globals: s’utilitzen per definir conjunts d’usuaris o equips del mateix domini amb característiques molt semblants. Un exemple seria utilitzar-lo per donar permís d’accés a un recurs de qualsevol domini del bosc, a usuaris d’un únic domini.
• Grups universals: són grups que s’utilitzen per definir conjunts d’usuaris o equips que haurien de tenir permisos aplicables a tot un domini o bosc. Per exemple, es pot unir a un grup universal qualsevol usuari de qualsevol domini del bosc, i configurar l’accés a qualsevol recurs de qualsevol domini del bosc.
• Grups locals integrats (Builtin): aquests grups tenen un àmbit especial de grup amb permisos d’àmbit local de domini. No es poden crear ni eliminar, només modificar.

La instal·lació del Microsoft Windows Server 2019 instal·la usuaris i grups predeterminats. Mitjançant aquests comptes predeterminats el sistema pot donar privilegis de configuració i gestió.

Amb la instal·lació del Microsoft Windows Server 2019 s’instal·len, entre d’altres, els comptes següents:

• Administrador: proporciona accés complet a arxius, carpetes, serveis i altres recursos. Aquest compte té privilegis i accés a escala de domini en l’Active Directory. Els usuaris que formin part d’aquest grup, seran Administradors del sistema.
• Convidat: aquest compte té privilegis de sistema limitats. Té accés a una sèrie d’arxius i carpetes de manera predeterminada.

Un cop instal·lat l’Active Directory, es creen nous grups, com per exemple:

• Usuaris del domini: els membres d’aquest grup formen part del domini.
• Equips del domini: grup que inclou els ordinadors que formen el domini.
• Administradors del domini: grup que inclou els usuaris amb privilegis per gestionar el domini.

A la figura podeu veure la diferència entre els usuaris i grups locals (part esquerra), i els usuaris i grups de domini (part dreta):

Un compte pot tenir diverses capacitats. Les assigna el sistema operatiu. El Microsoft Windows Server 2019 pot assignar les capacitats següents:

• Privilegis: permeten als usuaris fer determinades tasques.
• Drets d’inici de sessió: permet als usuaris iniciar una sessió.
• Capacitats integrades: estan predefinides i no es poden modificar. S’assignen als administradors i als operadors de compte. Per exemple, permeten crear, eliminar i administrar comptes d’usuari.
• Permisos d’accés: defineixen les operacions que es poden fer en els recursos de xarxa.

Per gestionar (crear, modificar, eliminar…) usuaris i grups locals (no de domini) cal:

1. Obrir Administración de equipos fent clic dret sobre el logo de Windows, o des de l’Administrador del Servidor > Eines.
2. Cliqueu a Herramientas del sistema.
3. Cliqueu a Usuarios y grupos locales.

Un cop dins aquest menú, haureu de triar si voleu gestionar usuaris o grups locals (no de domini). Ho podeu veure a la figura:

Gestió d’usuaris locals. Des d’aquesta finestra podreu:

• Modificar un usuari, com per exemple el nom o a quins grups pertany.
• Canviar-li la contrasenya. Un administrador pot canviar la contrasenya de tots els usuaris, sense necessitat de saber-ne l’actual.
• Crear o eliminar usuaris.
• Habilitar o deshabilitar usuaris.

Gestió de grups locals. Des d’aquesta finestra podreu:

• Crear o eliminar grups.
• Editar un grup per gestionar-ne els membres que hi formen part.

L’administració d’un sistema com el Microsoft Windows Server 2019 no es pot entendre sense haver estudiat i comprès les directrius de grup.

Les directrius de grup simplifiquen molt l’administració del sistema. Permeten a l’administrador controlar privilegis, permisos i recursos de manera centralitzada. Podeu aplicar directrius de grup a un conjunt d’equips, a un domini, a una part d’un domini o a diversos dominis.

Ordre d’aplicació de les directrius de grup. El sistema operatiu Microsoft Windows Server 2019 fa possible que hi hagi moltes directrius de grup actives alhora. En el cas que es produeixi aquesta situació, l’ordre d’aplicació és la següent:

1. Directrius de grup local: s’apliquen a l’equip que les té assignades, independentment del domini.
2. Directrius de grup de lloc: s’apliquen als usuaris i equips del lloc, independentment del domini.
3. Directrius de grup de domini: s’apliquen als usuaris i equips que formen part del domini.
4. Directrius de grup d’unitats organitzatives: s’apliquen als usuaris i equips que formen part de la Unitat Organitzativa.

Aplicació de les directrius de grup. En funció d’on s’apliquin les directrius de grup, es poden crear dos grans conjunts de directrius:

• Directives que s’apliquen a equips: normalment s’apliquen durant l’arrencada de l’equip.
• Directives que s’apliquen a usuaris: s’apliquen quan els usuaris inicien les sessions.

Si utilitzeu el Microsoft Windows Server 2019, podeu fer servir més d’un objecte de directriu de grup local en un mateix equip. Aquesta és una diferència important respecte als sistemes anteriors, que únicament permetien un LGPO.

Amb el Microsoft Windows Server 2019, l’administració d’objectes de directriu de grup local es fa d’una manera molt flexible. El sistema operatiu ofereix tots els mitjans necessaris per administrar més d’un LGPO en un únic equip. No cal dir que aquesta flexibilitat facilita molt la tasca de l’administrador de gestionar entorns en què es comparteixen elements informàtics en un únic equip.

Hi ha tres nivells d’objectes de directriu de grup local:

• Directiva de grup local: es tracta d’un únic objecte que permet aplicar a tots els usuaris del sistema les mateixes opcions de configuració tant de l’equip com de l’usuari.
• Directiva de grup local per a administradors i no administradors: únicament conté opcions de configuració d’usuari. L’aplicació d’aquesta directriu s’efectua amb independència del compte d’usuari utilitzat.
• Directiva de grup local per a usuaris: simplement conté opcions de configuració d’usuari. És aplicable a tots els grups i usuaris.

L’ordre d’aplicació dels tres nivells d’objectes de directriu de grup local s’inicia amb les directrius de grup local, se segueix amb la directriu de grup local per a administradors i no administradors i es finalitza amb la directriu de grup local per a usuaris.

En la llista de directrius de grup, les directrius de grup que estiguin situades més amunt tindran més prioritat. Aplicar una jerarquia garanteix que les directrius s’apliquin correctament als llocs, als dominis i a les unitats organitzatives corresponents.

En aquest sentit, tots els dominis disposen de dos GPO predeterminats:

• Directiva predeterminada de controladors de domini: creat per a la unitat organitzativa de controladors de domini. S’aplica a tots els controladors de domini dins del domini.
• Directiva predeterminada de domini: creat per al domini mateix dins de l’Active Directory. Hi està vinculat. S’aplica als usuaris i equips del domini.

La consola d’administració de directrius de grup (GPMC) inclou totes les utilitats que es poden utilitzar durant l’administració de les directrius de grup. Per obrir aquesta consola, seguiu els passos següents:

1. Obrir l’Administrador del servidor.
2. Expandiu Herramientas.
3. Seleccioneu Administración de directivas de grupo.

Amb la consola d’administració de directrius de grup és molt senzill accedir al bosc en què es troba. Si expandiu el bosc, la consola us mostrarà el següent:

• Dominis: des d’aquí podeu accedir a les opcions de configuració de directrius dels dominis del bosc.
• Llocs: podreu accedir a les opcions de configuració de llocs del bosc.
• Modelat de directrius de grup: permet accedir a l’assistent per al modelat de directrius de grup. Aquest modelat és de gran ajuda a l’hora de planificar la implementació de directrius.
• Resultats de directrius de grup: permet accedir a l’assistent per resultats de directrius de grup.

Altrament, els objectes de directrius es poden editar. Per aconseguir-ho, només caldrà que cliqueu al damunt de l’objecte amb el botó dret del ratolí i seleccioneu l’opció Editar. L’editor de directrius té dos nodes principals:

• Configuració de l’equip: permet establir les directrius que s’aplicaran als equips amb independència de qui inicia la sessió.
• Configuració d’usuari: permet establir les directrius que s’aplicaran als usuaris, independentment de l’equip en què hagin iniciat la sessió.

Les plantilles administratives permeten administrar fàcilment elements com els següents:

• Plafó de control: pot determinar les opcions que estiguin disponibles, la configuració i les utilitats.
• Escriptori: permet configurar l’escriptori del sistema i les opcions disponibles.
• Xarxa: configura la xarxa i les opcions de xarxa dels clients.
• Impressores: configura les impressores, la cerca d’impressores, les tasques d’impressió i les opcions de directoris.
• Carpetes compartides: permet la publicació de carpetes compartides i del sistema de fitxers distribuïts.
• Menú Inici: controla les opcions disponibles i la configuració.
• Barra de tasques: controla les opcions disponibles i la configuració.
• Sistema: configura les opcions del sistema.
• Components de Windows: determina les opcions disponibles i la configuració de diversos components.

En la figura es pot observar com s’accedeix a les plantilles administratives per aplicar una directiva que s’aplicarà a tots els usuaris del domini, sent independent l’equip que facin servir.

En la figura es pot veure com s’ha configurat que cap usuari del domini pugui modificar l’estat de la xarxa: no podrà habilitar ni deshabilitar la connexió d’Ethernet.

Si l’usuari intenta modificar l’estat de la xarxa amb el seu Windows 10, veurà que no té privilegis per fer-ho. Ho podeu veure a la figura.