Professional Documents
Culture Documents
directivas de grupo
Contenido
Introducción 2
Lección: Creación y configuración de GPO 3
Lección: Configuración de la frecuencia de actualización y valores de directivas de grupo 19
Lección: Administración de GPO 31
Lección: Comprobación y solución de problemas de directivas de grupo 45
Lección: Delegación del control administrativo de directivas de grupo 53
Lección: Planeamiento de una estrategia empresarial de directivas de grupo 64
2 Implementación de directivas de grupo
Introducción
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Las directivas de grupo del servicio de directorio Active Directory® se utilizan
para administrar de forma centralizada los usuarios y equipos de una empresa.
Se pueden centralizar las directivas configurando las directivas de grupo para
una organización completa en el dominio del sitio o en un nivel de unidad
organizativa. O bien, se puede descentralizar la configuración de las directivas de
grupo configurándolas para cada departamento en un nivel de unidad organizativa.
Puede asegurarse de que los usuarios tengan los entornos de usuario que
necesitan para realizar sus trabajos e imponer las directivas de una
organización, incluidas las normas, metas y requisitos de seguridad de la
empresa. Además, podrá disminuir los gastos totales de propiedad controlando
los entornos de usuario y equipo, y reduciendo así el nivel de soporte técnico
que necesitan los usuarios y la pérdida de productividad de los usuarios debida
a errores de los mismos.
Objetivos Después de finalizar este módulo, podrá:
Crear y configurar objetos de directiva de grupo (GPO, Group Policy Object).
Configurar la frecuencia de actualización y valores de directivas de grupo.
Administrar GPO.
Comprobar y solucionar problemas de directivas de grupo.
Delegar el control administrativo de directivas de grupo.
Planear una estrategia empresarial de directivas de grupo.
Implementación de directivas de grupo 3
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Tipos de configuración Se pueden configurar las directivas de grupo para definir las directivas que
afectan a usuarios y equipos. En la tabla siguiente se describen los tipos de
configuración que se pueden establecer.
Tipo de configuración Descripción
Flujo de herencia Los GPO están vinculados a sitios, dominios y unidades organizativas. Se
pueden establecer directivas centralizadas que afecten a toda la organización y
directivas descentralizadas que afecten a un departamento en particular. No hay
jerarquía de dominios a diferencia de las unidades organizativas, que se dividen
en unidades organizativas primarias y secundarias.
Orden en que se El orden en que Windows Server 2003 aplica los GPO se basa en el contenedor
procesan los GPO de Active Directory al que están vinculados los GPO. Windows Server 2003
aplica los GPO en primer lugar al sitio, luego a los dominios y, a continuación,
a las unidades organizativas dentro de los dominios.
Configuración de Algunas configuraciones de GPO son multivalor. Estas configuraciones se
GPO multivalor tratan como configuraciones de valor único. Es decir, si la configuración se
define en varios GPO, sólo se aplica la configuración en uno de los GPO que
se adhiera a las normas de herencia.
Bloquear la herencia Puede evitar que un contenedor secundario adquiera todos los GPO de
contenedores primarios habilitando Bloquear la herencia en el contenedor
secundario. El bloqueo de herencia resulta útil cuando un contenedor de
Active Directory requiere una configuración de directiva de grupo exclusiva.
Opción Forzada La opción Forzada (denominada No reemplazar si la Consola de
administración de directivas de grupo no está instalada) es un atributo del
vínculo, no del GPO. Si el mismo GPO está vinculado a otro sitio, la opción
Forzada no se aplica a ese vínculo a menos que se modifique también. Si tiene
un GPO vinculado a varios contenedores, podrá configurar la opción Forzada
de forma individual para cada contenedor. Cuando se establece más de un
vínculo como Forzada, los GPO vinculados se aplican a un contenedor común.
Si contienen configuraciones que entran en conflicto, tiene prioridad el GPO
superior en la jerarquía de Active Directory.
6 Implementación de directivas de grupo
Filtrado de GPO Puede que necesite vincular GPO que estén asociados a otros objetos del
directorio. Si configura los permisos adecuados para grupos de seguridad, podrá
filtrar la directiva de grupo para que se aplique sólo a los equipos y usuarios
que indique.
Consola de La Consola de Administración de directivas de grupo es un conjunto de interfaces
administración de programables para administrar las directivas de grupo y un complemento de
directivas de grupo Microsoft Management Console (MMC) instalado en dichas interfaces
programables. En conjunto, los componentes de Administración de directivas
de grupo unifican la administración de directivas de grupo en la empresa.
Componentes de GPO
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Utilice los filtros WMI para determinar de forma dinámica el ámbito de los
GPO en función de los atributos del usuario o del equipo. De esta forma podrá
ampliar las capacidades de filtrado para los GPO del grupo de seguridad más
allá de los mecanismos de filtrado del grupo de seguridad que estaban
disponibles anteriormente.
Cómo funciona un Un filtro WMI está vinculado a un GPO. Al aplicar un GPO a un equipo de
filtro WMI destino, Active Directory evalúa el filtro en el equipo de destino. Un filtro WMI
se compone de una o más consultas que Active Directory evalúa respecto al
repositorio WMI del equipo de destino. Si el conjunto total de consultas es
falso, Active Directory no aplica el GPO. Si todas las consultas son verdaderas,
Active Directory aplica el GPO. Escriba la consulta utilizando el Lenguaje de
consultas de WMI (WQL, WMI Query Language), que es un lenguaje similar a
SQL para consultar al repositorio WMI.
Cada GPO sólo puede tener un filtro WMI. Sin embargo, puede vincular el
mismo filtro WMI a varios GPO. Al igual que los GPO, los filtros WMI se
aplican sólo a un objeto de domino cada vez.
Usos de los filtros WMI Puede utilizar los filtros WMI para identificar directivas en función de distintos
objetos de la red. En la siguiente lista se incluyen algunos ejemplos de usos de
los filtros WMI.
Servicios. Equipos con DHCP instalado y ejecutándose.
Inventario de hardware. Los equipos con procesador Pentium III y al menos
128 megabytes (MB) de RAM.
Configuración de software. Equipos con multidifusión activada.
Para equipos cliente que ejecutan Microsoft Windows 2000, Active Directory
ignora los filtros WMI y aplica siempre el GPO.
12 Implementación de directivas de grupo
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Puede crear nuevos filtros WMI desde el contenedor de filtros WMI de la
Consola de administración de directivas de grupo. También puede importar un
filtro que haya sido exportado con anterioridad.
Procedimiento Para crear un filtro WMI y vincularlo a un GPO, realice los siguientes pasos:
1. Abra Administración de directivas de grupo, expanda el bosque que
contiene el GPO al que desea agregar un filtro WMI, expanda Domains
(Dominios), expanda el dominio que contiene el GPO, expanda WMI
Filters (Filtros WMI), haga clic con el botón secundario en WMI Filters
(Filtros WMI) y, a continuación, haga clic en New (Nuevo).
2. En el cuadro de diálogo New WMI Filters (Nuevo Filtros WMI), en el
cuadro Name (Nombre), escriba un nombre para la consulta.
3. En el cuadro Description (Descripción), escriba una descripción de la
consulta.
4. Haga clic en Add (Agregar).
5. En el cuadro de diálogo WMI Query (Consulta WMI), en el cuadro
Namespace (Espacio de nombre), escriba la ruta del espacio de nombres de
la consulta o haga clic en Examinar para ver una lista de los espacios de
nombres disponibles.
Para cada consulta deberá especificar el espacio de nombres WMI en el que se
debe ejecutar la consulta. El espacio de nombres por defecto es raíz\CIMv2,
que debería ser adecuado para la mayor parte de las situaciones.
6. En el cuadro Query (Consulta), escriba una consulta WQL válida y haga
clic en OK (Aceptar).
7. En el cuadro de diálogo New WMI Filters (Nuevo Filtros WMI), haga clic
en Save (Guardar).
8. Expanda Group Policy Objects (Group Policy Objects (Objetos de
directiva de grupo)) y arrastre el filtro WMI hasta un GPO.
Implementación de directivas de grupo 13
Ejemplo de Por ejemplo, para equipos con más de 10 MB de espacio disponible en las
consulta WQL unidades C, D o E, las particiones deben encontrarse en un o más discos duros y
deben ejecutar el sistema de archivos NTFS. Escriba la siguiente consulta WMI:
Select * FROM Win32LogicalDisk WHERE (Name = "C:" OR Name =
"D:" OR Name
= "E:") AND DriveType = 3 AND FreeSpace > 10485760 AND
FileSystem = "NTFS"
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Por defecto, los GPO de un usuario determinan la configuración de usuario que
se debe aplicar cuando un usuario inicia sesión en el equipo. Por el contrario, el
procesamiento de bucle invertido aplica la configuración de GPO para el equipo
a cualquier usuario que inicie sesión en el equipo al que afecte esta
configuración. El procesamiento de bucle invertido está destinado a equipos de
uso especial, como equipos en lugares públicos, laboratorios y aulas, donde se
debe modificar la configuración de usuario basándose en el equipo utilizado.
Ejemplo Por ejemplo, el usuario cuyo objeto de usuario se encuentre en la unidad
organizativa Sales inicia sesión en un equipo. El objeto de equipo se encuentra
en la unidad organizativa Servers. La configuración de directiva de grupo que
se aplican al usuario se basa en cualquier GPO vinculado a la unidad
organizativa Sales o a cualquier contenedor principal. La configuración que se
aplica al equipo se basa en cualquier GPO vinculado a la unidad organizativa
Servers o a cualquier contenedor principal.
Sin embargo, puede que este comportamiento predeterminado no resulte
adecuado para determinados servidores o equipos dedicados a una tarea
concreta. Por ejemplo, las aplicaciones que están asignadas a un usuario no
deberían aparecer como disponibles de forma automática en un servidor.
Modos de El procesamiento de bucle invertido tiene dos modos:
procesamiento de
bucle invertido Modo de sustitución. Este modo reemplaza la configuración de usuario
definida en los GPO del equipo por la configuración de usuario que se
aplica normalmente al usuario.
Modo de combinación. Este modo combina la configuración de usuario
definida en los GPO del equipo con la configuración de usuario que se
aplica normalmente al usuario. Si hay un conflicto entre las configuraciones,
la configuración de usuario en los GPO del equipo tiene prioridad sobre la
configuración normal del usuario.
Implementación de directivas de grupo 15
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Cuando un usuario inicia un equipo e inicia la sesión, Windows Server 2003
procesa primero la configuración del equipo y después la configuración del
usuario.
Orden en que se aplican Cuando un usuario inicia un equipo e inicia la sesión, sucede lo siguiente:
las directivas de grupo
1. Se inicia la red. Se inicia el Servicio de sistema de llamada a procedimiento
remoto (RPCSS, Remote Procedure Call System Service) y el Proveedor
múltiple de convención de nomenclatura universal (MUP, Multiple
Universal Naming Convention Provider).
2. Windows Server 2003 obtiene una lista ordenada de los GPO para el equipo.
La lista depende de los siguientes factores:
• Si el equipo forma parte de un dominio y, por lo tanto, está sujeto a
directivas de grupo en Active Directory.
• La ubicación del equipo en Active Directory.
• Si la lista de GPO ha cambiado.
3. Windows Server 2003 aplica la directiva de equipo. Estas son las
configuraciones de Configuración del equipo de la lista de GPO recopilada.
De manera predeterminada, esta lista tiene lugar de forma síncrona y en
el orden siguiente: local, sitio, dominio, unidad organizativa y unidad
organizativa secundaria. No aparece ninguna interfaz de usuario mientras
se procesan las directivas de equipo.
Implementación de directivas de grupo 21
Intervalo de Los equipos que ejecutan Windows Server 2003, actualizan o vuelven a aplicar
actualización de la configuración de directivas de grupo según intervalos establecidos. Al
usuario o equipo actualizar la configuración se garantiza que la configuración de directiva de
grupo se aplica a los equipos y usuarios incluso cuando los usuarios nunca
reinicien sus equipos o cierren la sesión.
22 Implementación de directivas de grupo
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Importante No se puede realizar esta tarea con Ejecutar como; debe iniciar
la sesión como Administrador para poder realizar esta tarea.
Implementación de directivas de grupo 23
Procedimiento para Para agregar una secuencia de comandos a un GPO, realice los siguientes
agregar la secuencia pasos:
de comandos
1. En el cuadro de diálogo Propiedades para el tipo de secuencia de
comandos, haga clic en Agregar.
2. Haga clic en Examinar, seleccione una secuencia de comandos y, a
continuación, haga clic en Abrir.
3. Agregue los parámetros de secuencia de comandos necesarios y, a
continuación, haga clic en Aceptar.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
(continuación)
Procesamiento Se puede
Extensión del cliente de vínculo lento Actualizado cambiar
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Una copia de un GPO transfiere sólo la configuración del GPO. El nuevo
GPO creado tiene un GUID nuevo y la Lista de control de acceso discrecional
(DACL, Discretionary Access Control List) predeterminada para el GPO.
El nuevo GPO se crea desvinculado porque los vínculos son propiedad del
objeto que definía el GPO, en lugar de ser propiedad del GPO.
Comportamiento de Al copiar un GPO de un dominio a otro, debe indicar el comportamiento
asignación para una de asignación de los principales de seguridad para la operación de copia.
operación de copia Administración de directivas de grupo proporciona dos técnicas básicas de
asignación para copiar GPO:
Copiarlos de forma idéntica desde el origen.
Utilizar una tabla de migración para asignarlos a nuevos valores en el
nuevo GPO.
Para utilizar alguna de estas opciones, el GPO de origen debe contener las
referencias a los principales de seguridad y las rutas de acceso acordes a la
convención de nomenclatura universal (UNC, Universal Naming Convention).
Qué es la asignación de Al copiar GPO en dominios o bosques, Administración de directivas de grupo
principales de seguridad puede realizar una asignación de principales de seguridad. Es decir, puede
modificar configuraciones que hacen referencia a principales de seguridad
traduciendo los principales de seguridad de destino a nuevos valores en el
nuevo GPO.
Qué es una tabla Si necesita personalización adicional, puede utilizar las secuencias de comandos
de migración para implementar una tabla de migración, que es un archivo de texto de Lenguaje
de marcado extensible (XML, Extensible Markup Language) que indica una
asignación personalizada de principales de seguridad desde el dominio de origen
al dominio de destino. La tabla de migración contiene una sección de asignación
de principales de seguridad y una sección de asignación de ruta. Estas secciones
se utilizan para establecer reglas de asignación específicas.
Implementación de directivas de grupo 33
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Para copiar un GPO debe tener permiso para crear GPO en el dominio de destino.
Procedimiento Para crear un GPO, realice los siguientes pasos:
1. Abra Administración de directivas de grupo, expanda Group Policy
Objects (Objetos de directiva de grupo) en el bosque y dominio que
contenga el GPO que desea copiar, haga clic con el botón secundario
en el GPO y, a continuación, haga clic en Copiar.
2. Realice uno de los siguientes pasos:
• Para colocar la copia del GPO en el mismo dominio que el GPO de
origen, haga clic con el botón secundario en Group Policy Objects
(Objetos de directiva de grupo) y haga clic en Pegar.
i. En la página Copy GPO (Copiar GPO) elija Use the default
permissions for New GPOs (Utilizar los permisos predeterminados
para los nuevos GPO) o Preserve the existing permissions
(Conservar los permisos existentes) y haga clic en OK (Aceptar).
ii. Cuando se haya completado la copia en curso, haga clic en Aceptar.
• Para colocar la copia del GPO en un dominio distinto, ya sea en el
mismo bosque o en un bosque diferente, expanda el dominio de destino,
haga clic con el botón secundario en Group Policy Objects (Objetos de
directiva de grupo) y, a continuación, haga clic en Pegar.
i. En la página Welcome to the Cross-Domain Copying Wizard
(Asistente para la copia entre dominios), haga clic en Siguiente.
ii. En la página Specifying permissions (Especificar permisos) elija
Use the default permissions for new GPOS (Utilizar los permisos
predeterminados para los nuevos GPO) o Preserve or migrate the
permissions from the original GPOs (Conservar o migrar los
permisos de los GPO originales) y haga clic en Siguiente.
34 Implementación de directivas de grupo
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Puede realizar una copia de seguridad de uno o más GPO a una ubicación de
copia de seguridad indicada con anterioridad o puede indicar una nueva
ubicación de copia de seguridad.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Para realizar una copia de seguridad de un GPO debe tener permiso de lectura
en el GPO y permiso de escritura en la ubicación del sistema de archivos donde
desea almacenar la copia de seguridad del GPO.
Procedimiento Para realizar la copia de seguridad de un GPO, realice los siguientes pasos:
1. Abra Administración de directivas de grupo, expanda el bosque que
contiene el GPO del que desea realizar la copia de seguridad, expanda
Domains (Dominios), expanda el dominio que contiene el GPO, expanda
Group Policy Objects (Objetos de directiva de grupo) y, a continuación,
realice uno de los siguientes pasos:
• Para realizar la copia de seguridad de un solo GPO, haga clic con el botón
secundario en el GPO y haga clic en Back Up (Copia de seguridad).
• Para realizar una copia de seguridad de todos los GPO, haga clic con
el botón secundario en Group Policy Objects (Objetos de directiva de
grupo) y, a continuación, haga clic en Back Up All (Copia de seguridad
de todo).
2. En el cuadro de diálogo Backup Group Policy Object (Copia de seguridad
de objetos de directiva de grupo), introduzca la ruta a la ubicación donde
desee almacenar la copia de seguridad del GPO.
3. Escriba una descripción para el GPO del que desea realizar la copia de
seguridad y haga clic en Backup (Copia de seguridad).
4. Una vez completada la operación de copia de seguridad, haga clic en
OK (Aceptar).
Implementación de directivas de grupo 37
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Procedimiento para Para restaurar un GPO eliminado que aparece en la lista de Group Policy
restaurar un GPO Objects (Objetos de directiva de grupo), realice los siguientes pasos:
eliminado
1. Abra Administración de directivas de grupo, expanda el bosque que
contiene el GPO que desea restaurar, expanda Domains (Dominios) y,
a continuación, expanda el dominio que contenga el GPO.
2. Haga clic con el botón secundario en Group Policy Objects (Objetos
de directiva de grupo) y, a continuación, haga clic en Manage Backups
(Administrar copias de seguridad).
3. En el cuadro de diálogo Manage Backups (Administrar copias de
seguridad), haga clic en Browse (Examinar), localice el sistema de archivos
que contiene el GPO eliminado, seleccione el GPO, haga clic en Restore
(Restauración) y, a continuación, haga clic en OK (Aceptar) para confirmar
la operación de restauración.
40 Implementación de directivas de grupo
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Una operación de importación copia todas las configuraciones del GPO desde
el GPO de origen al GPO de destino.
Por qué especificar Se especifica una tabla de migración para asegurar que la ruta UNC en el
una tabla de migración GPO de origen se asigna correctamente a una ruta UNC del GPO de destino.
Se proporciona la ruta a la tabla de migración adecuada al importar las
configuraciones del GPO de un dominio a otro. Si especifica una tabla de
migración, deberá especificar el comportamiento de asignación de la ruta UNC.
Si no selecciona la casilla de verificación Utilizar tabla de migración de
modo exclusivo deberá especificar el comportamiento de asignación para los
principales de seguridad que no se incluyen en la tabla de migración.
Si no especifica una tabla de migración, todos los principales de seguridad
se asignan de acuerdo con el comportamiento que especifique.
Implementación de directivas de grupo 41
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Objetivos En este ejercicio deberá copiar un GPO, crear una copia de seguridad de éste,
eliminarlo y restaurarlo.
Situación de ejemplo Es el responsable de la implementación de los estándares de escritorio
corporativo mediante la directiva de grupo para su dominio. Aunque la
mayor parte de los grupos del dominio pueden utilizar la misma configuración
de escritorio corporativo estándar, algunos departamentos necesitan una
configuración ligeramente distinta. Deberá crear un GPO base, copiarlo a
las diversas aplicaciones y modificar la configuración.
Ya que es consciente de que realizar una copia de seguridad y restaurar GPO
podría no funcionar correctamente, desea comprobar las capacidades de
recuperación y simular el plan de implementación en su entorno de prueba.
Ejercicio: Copia Copiar un GPO
de un GPO
1. Abra Administración de directivas de grupo como
SuDominio\Administrador mediante Ejecutar como.
2. En su dominio, expanda Group Policy Objects (Objetos de directiva de
grupo), haga clic con el botón secundario en EjercicioGPO, haga clic en
Copiar, haga clic con el botón secundario en Group Policy Objects
(Objetos de directiva de grupo) y, a continuación, haga clic en Pegar.
3. En el cuadro de diálogo Copy GPO (Copiar GPO), haga clic en
OK (Aceptar).
4. Una vez completada la operación de copia, haga clic en OK (Aceptar).
44 Implementación de directivas de grupo
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción El primer paso para solucionar los problemas de directivas de grupo consiste
en identificar los síntomas y las posibles causas.
Cómo comprobar si se En la mayor parte de los casos no se está aplicando una configuración de directivas
aplica la configuración de grupo como se esperaba, debido a que otro GPO contiene un valor conflictivo
correcta de directivas para la misma configuración. El GPO toma prioridad debido al bloqueo de
de grupo herencia, la opción Forzada, el filtrado o el orden de aplicación. Utilice el
Asistente para modelar directivas de grupo o el Asistente de resultados de directiva
de grupo para determinar el GPO que se está utilizando para la configuración.
Síntomas, causas En la siguiente tabla se muestran algunos síntomas comunes y sus posibles
y resolución métodos de resolución.
Síntoma Resolución
No puede abrir un GPO aunque tiene permiso de lectura. Ser miembro de un grupo de seguridad con permiso
de lectura y escritura para el GPO.
Cuando trata de editar un GPO aparece el mensaje Asegúrese de que DNS funciona correctamente.
No se puede abrir el objeto de directiva de grupo.
La directiva de grupo no se aplica a usuarios y equipos en Vincule los GPO sólo a sitios, dominios y unidades
un grupo de seguridad que los contiene, incluso cuando organizativas.
un GPO está vinculado a una unidad organizativa que
contiene el grupo de seguridad.
La directiva de grupo no afecta a usuarios y equipos en Vincule un GPO a una unidad organizativa que es
un contenedor de Active Directory. primaria respecto al contenedor de Active Directory. Esta
configuración se aplica de forma predeterminada a los
usuarios y equipos del contenedor mediante la herencia.
La directiva de grupo no afecta al equipo cliente. Determine los GPO que se están aplicando mediante
Active Directory y si estos GPO tienen configuraciones
que están en conflicto con las configuraciones locales.
Implementación de directivas de grupo 47
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Puede simular la implementación de una directiva para usuarios y equipos antes
de aplicar realmente las directivas. Esta función de Administración de
directivas de grupo se conoce como Conjunto resultante de directivas (RSoP,
Resultant Set of Policies) del Modo de planeamiento. Requiere un controlador
de dominio que ejecute Windows Server 2003 en el bosque. Para comprobar la
configuración de las directivas de grupo con el Asistente para modelar
directivas de grupo, deberá crear en primer lugar una consulta para modelar
directivas de grupo y, a continuación, ver dicha consulta.
Procedimiento para Para crear una nueva consulta para modelar directivas de grupo, realice los
crear una consulta siguientes pasos:
para modelar directivas
de grupo 1. Abra Administración de directivas de grupo, examine el bosque en el que
desee crear una consulta para modelar directivas de grupo, haga clic con el
botón secundario en Group Policy Modeling (Modelar directivas de grupo)
y, a continuación, haga clic en el Welcome to the Group Policy Modeling
Wizard (Asistente para modelar directivas de grupo).
2. En la página Welcome to the Group Policy Modeling Wizard (Asistente
para modelar directivas de grupo), haga clic en Siguiente, escriba la
información adecuada en las páginas del asistente y haga clic en Finalizar.
48 Implementación de directivas de grupo
Procedimiento para ver Para ver la consulta para modelar directivas de grupo, realice los siguientes pasos:
la consulta para modelar
directivas de grupo 1. Abra Administración de directivas de grupo.
2. Vaya hasta el bosque que contiene la consulta para modelar directivas de
grupo que desea ver, expanda Group Policy Modeling (Modelar directivas
de grupo), haga clic con el botón secundario en la consulta y, a
continuación, haga clic en Advanced View (Vista avanzada).
Implementación de directivas de grupo 49
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Procedimiento para Para ver la consulta de resultados de directiva de grupo, realice los siguientes
ver la consulta de pasos:
resultados de directiva
de grupo 1. Abra Administración de directivas de grupo.
2. Vaya hasta el bosque que contiene la consulta para modelar directivas
de grupo que desea ver, expanda Group Policy Results (Resultados de
directiva de grupo), haga clic con el botón secundario en la consulta y,
a continuación, haga clic en Advanced View (Vista avanzada).
Implementación de directivas de grupo 51
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Puede utilizar las directivas de grupo para delegar ciertas tareas de directiva de
grupo a otros administradores. Por ejemplo, la creación, vinculación y edición
de GPO son permisos independientes que puede delegar por separado.
Administración de directivas de grupo simplifica la administración de permisos
combinando los permisos de nivel bajo de un objeto y administrándolos como
una sola unidad. Utilice Administración de directivas de grupo para delegar
control administrativo de los GPO, directivas de grupo para un sitio, dominio y
unidad organizativa, y filtros WMI.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar la delegación de GPO.
Explicar la delegación de directivas de grupo para un sitio, dominio o
unidad organizativa.
Explicar la delegación de filtros WMI.
Delegar control administrativo para administrar vínculos de directiva
de grupo.
Delegar control administrativo para crear y editar objetos de directiva
de grupo.
54 Implementación de directivas de grupo
Delegación de GPO
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Cuándo utilizar el grupo Para los usuarios y grupos dentro del dominio, utilice el grupo Propietarios
Propietarios del creador del creador de directivas de grupo para asignar permisos para crear un GPO.
de directivas de grupo Debido a que el grupo Propietarios del creador de directivas de grupo es un
grupo global de un dominio, no puede contener miembros de fuera del dominio.
Si los usuarios de fuera del dominio necesitan la capacidad de crear GPO,
realice lo siguiente:
1. Cree un nuevo grupo local de dominio en el dominio.
2. Asigne a dicho grupo permiso para la creación de GPO en el dominio.
3. Agregue usuarios de dominio externo a dicho grupo.
Comparación de los dos Los permisos son idénticos si agrega un usuario al grupo Propietarios del
métodos de delegación creador de directivas de grupo o si asigna al usuario permisos para creación
de GPO directamente mediante Administración de directivas de grupo.
Los usuarios podrán crear GPO en el dominio y disfrutar de control total de
éstos, pero no tienen permisos sobre los GPO que creen otros usuarios.
Atribuir a un usuario la capacidad de crear GPO en el dominio no lo habilita
para vincular el GPO a un sitio, dominio o unidad organizativa.
Implementación de directivas de grupo 55
Delegación de permisos También puede administrar permisos sobre el GPO en el nivel de tarea. Las cinco
sobre un GPO individual categorías que aparecen a continuación son permisos concedidos sobre un GPO.
Leer
Modificar configuración
Editar, Eliminar, Modificar seguridad
Leer (desde el filtrado de seguridad)
Personalizado
56 Implementación de directivas de grupo
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Delegación de permisos Puede utilizar Resultados de directiva de grupo para leer los datos del registro
para resultados de RSoP para objetos del dominio o la unidad organizativa. Como Administración
directiva de grupo de directivas de grupo, puede delegar este permiso a otros usuarios o grupos.
Puede delegar permisos sobre un dominio o una unidad organizativa. Los
usuarios que tienen este permiso pueden leer los datos de Resultados de
directiva de grupo para cualquier objeto de dicho contenedor. Esta delegación
también asigna al usuario o grupo el permiso Generar conjunto resultante de
directivas (registro), que está disponible en cada bosque que tenga el esquema
de Windows Server 2003.
Administración de directivas de grupo simplifica la administración de este
permiso incluyéndolo en la ficha Delegation (Delegación) para el dominio o
unidad organizativa. El administrador puede seleccionar Read Group Policy
Results Data (Leer los datos de Resultados de directiva de grupo) y, a
continuación, seleccionar los usuarios y grupos que tienen este permiso.
58 Implementación de directivas de grupo
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Puede delegar la capacidad para crear filtros WMI en un dominio y asignar
permisos sobre ellos.
Delegación de la Puede crear filtros WMI en el contenedor de filtros WMI en Administración
capacidad para crear de directivas de grupo. Cuando cree un filtro WMI nuevo, Active Directory
filtros WMI lo almacenará en el contenedor WMIPolicy en el contenedor del sistema del
dominio. Los permisos del contenedor WMIPolicy determinan los permisos
que tiene un usuario para crear, editar y eliminar filtros WMI.
Existen dos permisos para crear filtros WMI:
Creator Owner. Permite al usuario crear filtros WMI nuevos en el dominio.
No asigna permisos al usuario sobre filtros WMI creados por otros usuarios.
Control total. Permite al usuario crear filtros WMI y asignar control total
sobre todos los filtros WMI del dominio, incluidos los filtros nuevos que el
usuario crea tras de obtener este permiso.
Delegación de permisos Puede utilizar Administración de directivas de grupo para delegar permisos
sobre un filtro WMI sobre un filtro WMI determinado. Existen dos permisos que puede asignar a un
usuario o grupo:
Editar. Permite al usuario o grupo editar el filtro WMI.
Control total. Permite al usuario o grupo editar, eliminar y modificar la
seguridad sobre el filtro WMI.
Implementación de directivas de grupo 59
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Utilice el Asistente para delegación de control con el fin de delegar control
administrativo para crear y editar GPO.
Procedimiento Para delegar control administrativo para crear GPO, realice los siguientes
para delegar control pasos:
administrativo para
crear GPO 1. Abra Administración de directivas de grupo.
2. Vaya hasta el bosque y el dominio en el que desea delegar control
administrativo para crear GPO y, a continuación, haga clic en Group Policy
Objects (Objetos de directiva de grupo).
3. En el panel de detalles, en la ficha Delegation (Delegación), haga clic en
Add (Agregar).
4. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en el
cuadro Escriba el nombre de objeto que desea seleccionar (ejemplos),
introduzca el principal de seguridad, haga clic en Comprobar nombres y,
a continuación, haga clic en Aceptar.
Procedimiento para Para delegar control administrativo para editar GPO, realice los siguientes pasos:
delegar control
administrativo para 1. Abra Administración de directivas de grupo.
editar GPO 2. Vaya hasta el bosque y el dominio en el que desea delegar control
administrativo para editar GPO y, a continuación, haga clic en el vínculo.
3. En el panel de detalles, en la ficha Delegation (Delegación), haga clic en
Add (Agregar).
4. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en el
cuadro Escriba el nombre de objeto que desea seleccionar (ejemplos),
introduzca el principal de seguridad, haga clic en Comprobar nombres y,
a continuación, haga clic en Aceptar.
5. En el cuadro de diálogo Add Group or User (Agregar usuario o grupo), en
el cuadro Permissions (Permisos), seleccione el permiso adecuado y haga
clic en OK (Aceptar).
Implementación de directivas de grupo 61
62 Implementación de directivas de grupo
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Objetivos En este ejercicio deberá agregar la cuenta del administrador junior al grupo
Propietarios del creador de directivas de grupo y delegarle la capacidad para
administrar vínculos de directiva de grupo.
Situación de ejemplo Ha decidido delegar a un administrador junior administración de directivas de
grupo para las unidades organizativas Accounting, Accounts Payable y
Accounts Receivable. Éste será responsable de la vinculación y desvinculación
de GPO, la creación de nuevos GPO y la modificación de los GPO existentes.
También administrará otros objetos de las unidades organizativas.
Ejercicio
Delegar control administrativo de directivas de grupo a un usuario
1. Abra Administración de directivas de grupo como
SuDominio\Administrador mediante Ejecutar como.
2. Expanda Forest (Bosque), expanda Domains (Dominios), expanda
SuDominio, expanda Group Policy Objects (Objetos de directiva de grupo)
y, a continuación, haga clic en EjercicioGPO.
3. En la ficha Delegation (Delegación), agregue
Nwtradersx\NombreDeEquipo\User a la lista con los permisos Edit
settings (Editar configuración), delete (eliminar) y modify security
(modificar la seguridad) haga clic en OK (Aceptar).
4. En Administración de directivas de grupo, haga clic en SuDominio y, a
continuación, en el panel de detalles, haga clic en el vínculo a
EjercicioGPO.
5. En el panel de detalles, en la ficha Delegation (Delegación), haga clic en
Add (Agregar).
Implementación de directivas de grupo 63
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Al planear una estructura de Active Directory, cree un plan para la herencia,
administración e implementación de GPO que proporcione la administración
más eficaz de directivas de grupo para su organización.
Tenga en cuenta también cómo implementará la directiva de grupo para la
organización. Asegúrese de tener en cuenta la delegación de autoridad, la
separación de obligaciones administrativas, la administración central y la
descentralizada y la flexibilidad de diseño, de modo que su plan proporcione
el uso y la administración más sencillos.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar las directrices para el planeamiento de GPO.
Explicar las directrices para la determinación de la herencia de GPO.
Explicar las directrices para la determinación de una estrategia de directivas
de grupo para sitios.
Explicar las directrices para el planeamiento de la administración de GPO.
Explicar las directrices para la implementación de GPO.
Implementación de directivas de grupo 65
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Cree GPO de modo que obtenga el diseño más sencillo y más fácil de
administrar, con el que pueda utilizar la herencia y varios vínculos.
Directrices Aplique las siguientes directrices para el planeamiento de GPO:
Aplicar la configuración de GPO al nivel más alto. De este modo podrá
aprovechar la herencia de directiva de grupo. Determine la configuración
habitual de GPO para el contenedor más grande, empezando por el dominio
y, a continuación, vincule el GPO a dicho contenedor.
Reducir el número de GPO. Reduzca el número utilizando varios vínculos
en lugar de crear varios GPO idénticos. Intente vincular un GPO al
contenedor más amplio posible para evitar la creación de varios vínculos
del mismo GPO en un nivel más bajo.
Crear GPO especializados. Utilice estos GPO para aplicar configuraciones
exclusivas cuando sea necesario. Los GPO de un nivel más alto no aplicarán
la configuración de estos GPO especializados.
Deshabilitar los valores de configuración de equipo o usuario. Al crear un
GPO para contener la configuración de sólo uno de los dos niveles, usuario
o equipo, deshabilite la otra área. Así se mejora el funcionamiento de una
aplicación de GPO durante el inicio de sesión del usuario y se evita la
aplicación en la otra área de valores de GPO accidentales.
66 Implementación de directivas de grupo
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Puede vincular GPO a un sitio, con lo que se impone la configuración a todos
los equipos y usuarios situados físicamente en ese sitio. Cuando se establece la
directiva de grupo en el nivel del sitio, no afecta a usuarios móviles de dicho
sitio si tienen acceso a la red desde otro sitio.
Directrices Aplique las siguientes directrices para la determinación de una estrategia de
directivas de grupo para sitios:
Aplicar un GPO a un sitio sólo cuando la configuración sea específica para
el sitio y no para el dominio. Puede ser difícil la solución de problemas de
configuración de GPO vinculada al sitio.
Crear GPO en el dominio con más controladores de dominio del sitio.
Se entra en contacto con un controlador del dominio que contenga el GPO
vinculado al sitio antes de aplicar el GPO, independientemente del dominio
del que sea miembro el usuario o equipo.
68 Implementación de directivas de grupo
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******