17

Implementación de
directivas de grupo
Contenido
Introducción 2
Lección: Creación y configuración de GPO 3
Lección: Configuración de la frecuencia de actualización y valores de directivas de grupo 19
Lección: Administración de GPO 31
Lección: Comprobación y solución de problemas de directivas de grupo 45
Lección: Delegación del control administrativo de directivas de grupo 53
Lección: Planeamiento de una estrategia empresarial de directivas de grupo 64
2 Implementación de directivas de grupo
Introducción
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Las directivas de grupo del servicio de directorio Active Directory® se utilizan
para administrar de forma centralizada los usuarios y equipos de una empresa.
Se pueden centralizar las directivas configurando las directivas de grupo para
una organización completa en el dominio del sitio o en un nivel de unidad
organizativa. O bien, se puede descentralizar la configuración de las directivas de
grupo configurándolas para cada departamento en un nivel de unidad organizativa.
Puede asegurarse de que los usuarios tengan los entornos de usuario que
necesitan para realizar sus trabajos e imponer las directivas de una
organización, incluidas las normas, metas y requisitos de seguridad de la
empresa. Además, podrá disminuir los gastos totales de propiedad controlando
los entornos de usuario y equipo, y reduciendo así el nivel de soporte técnico
que necesitan los usuarios y la pérdida de productividad de los usuarios debida
a errores de los mismos.
Objetivos Después de finalizar este módulo, podrá:
Crear y configurar objetos de directiva de grupo (GPO, Group Policy Object).
Configurar la frecuencia de actualización y valores de directivas de grupo.
Administrar GPO.
Comprobar y solucionar problemas de directivas de grupo.
Delegar el control administrativo de directivas de grupo.
Planear una estrategia empresarial de directivas de grupo.
Implementación de directivas de grupo 3
Lección: Creación y configuración de GPO
Introducción Las directivas de grupo le otorgan control administrativo sobre usuarios y

equipos en su red. Con las directivas de grupo puede definir una vez el estado
del entorno de trabajo de un usuario y, a continuación, confiar en Microsoft®
Windows Server™ 2003 para que imponga de forma continua la configuración
de las directivas de grupo que haya definido. La configuración de directiva de
grupo se puede aplicar a toda la organización o a grupos específicos de usuarios
y equipos.
Objetivos de la lección Después de finalizar esta lección, podrá:
Explicar el propósito de las directivas de grupo y cómo se procesan en
Active Directory.
Describir los componentes de GPO.
Explicar el propósito de la especificación de un controlador de dominio para
la administración de GPO.
Especificar un controlador de dominio para la administración de GPO.
Explicar el propósito de los filtros de Instrumental de administración de
Windows (WMI, Windows Management Instrumentation).
Filtrar la configuración de directivas de grupo con filtros WMI.
Explicar el propósito del procesamiento de bucle invertido.
Configurar el modo de procesamiento de bucle invertido de la directiva de
grupo de usuario.
Presentación multimedia: Introducción a la directiva de grupo
Ubicación de Para ver la presentación multimedia Introducción a la directiva de grupo, abra

los archivos el archivo media17_1.htm que se encuentra dentro del fichero media17.zip
Objetivos Después de finalizar esta lección, podrá:
Describir los tipos de configuración que se pueden definir en las directivas
de grupo.
Describir cómo aplica Windows Server 2003 los objetos de directiva de grupo.
Tipos de configuración Se pueden configurar las directivas de grupo para definir las directivas que
afectan a usuarios y equipos. En la tabla siguiente se describen los tipos de
configuración que se pueden establecer.
Tipo de configuración Descripción
Plantillas administrativas Configuración basada en el registro para establecer la

configuración de la aplicación y los entornos de estación
de trabajo del usuario
Secuencias de comandos Configuración para indicar cuándo Windows Server 2003
ejecuta secuencias de comandos específicas
Servicios de instalación Configuración que controla las opciones disponibles para los
remota usuarios al ejecutar el Asistente para instalación de clientes
que utilizan los Servicios de instalación remota (RIS)
Mantenimiento de Internet Configuración para administrar y personalizar Microsoft
Explorer Internet Explorer en equipos que ejecuten
Windows Server 2003
Redireccionamiento Configuración para almacenar carpetas de perfil de
de carpetas usuario específicas en un servidor de red
Seguridad Configuración para la seguridad del equipo, dominio
y red locales
Instalación de software Configuración para centralizar la administración de
instalaciones de software, actualizaciones y eliminaciones
Flujo de herencia Los GPO están vinculados a sitios, dominios y unidades organizativas. Se
pueden establecer directivas centralizadas que afecten a toda la organización y
directivas descentralizadas que afecten a un departamento en particular. No hay
jerarquía de dominios a diferencia de las unidades organizativas, que se dividen
en unidades organizativas primarias y secundarias.
Orden en que se El orden en que Windows Server 2003 aplica los GPO se basa en el contenedor
procesan los GPO de Active Directory al que están vinculados los GPO. Windows Server 2003
aplica los GPO en primer lugar al sitio, luego a los dominios y, a continuación,
a las unidades organizativas dentro de los dominios.
Configuración de Algunas configuraciones de GPO son multivalor. Estas configuraciones se
GPO multivalor tratan como configuraciones de valor único. Es decir, si la configuración se
define en varios GPO, sólo se aplica la configuración en uno de los GPO que
se adhiera a las normas de herencia.
Bloquear la herencia Puede evitar que un contenedor secundario adquiera todos los GPO de
contenedores primarios habilitando Bloquear la herencia en el contenedor
secundario. El bloqueo de herencia resulta útil cuando un contenedor de
Active Directory requiere una configuración de directiva de grupo exclusiva.
Opción Forzada La opción Forzada (denominada No reemplazar si la Consola de
administración de directivas de grupo no está instalada) es un atributo del
vínculo, no del GPO. Si el mismo GPO está vinculado a otro sitio, la opción
Forzada no se aplica a ese vínculo a menos que se modifique también. Si tiene
un GPO vinculado a varios contenedores, podrá configurar la opción Forzada
de forma individual para cada contenedor. Cuando se establece más de un
vínculo como Forzada, los GPO vinculados se aplican a un contenedor común.
Si contienen configuraciones que entran en conflicto, tiene prioridad el GPO
superior en la jerarquía de Active Directory.
Filtrado de GPO Puede que necesite vincular GPO que estén asociados a otros objetos del
directorio. Si configura los permisos adecuados para grupos de seguridad, podrá
filtrar la directiva de grupo para que se aplique sólo a los equipos y usuarios
que indique.
Consola de La Consola de Administración de directivas de grupo es un conjunto de interfaces
administración de programables para administrar las directivas de grupo y un complemento de
directivas de grupo Microsoft Management Console (MMC) instalado en dichas interfaces
programables. En conjunto, los componentes de Administración de directivas
de grupo unifican la administración de directivas de grupo en la empresa.
Nota Para obtener más información acerca de la creación y vinculación

de GPO y de la herencia de la directiva de grupo, consulte el módulo 8,
“Implementar la Directiva de grupo”, del curso 2146A, Administración de
un entorno Microsoft Windows Server 2003.
Componentes de GPO
Introducción Windows Server 2003 aplica las configuraciones de directivas de grupo

contenidas en el GPO a los objetos de usuario y equipo en el sitio, dominio y
unidad organizativa a los que está asociado el GPO. El contenido de un GPO
se almacena en dos ubicaciones: el Contenedor de directivas de grupo
(GPC, Group Policy container) y la Plantilla de directiva de grupo
(GPT, Group Policy template).
Contenedor de El GPC es un objeto de Active Directory que contiene estado de GPO,
directivas de grupo información de la versión, información de filtro WMI y una lista de
componentes que tienen configuraciones en el GPO. Los equipos pueden
tener acceso al GPC para localizar las plantillas de directivas de grupo y los
controladores de dominio pueden tener acceso al GPC para obtener información
de la versión. Si el controlador de dominio no tiene la versión más reciente del
GPO, se produce una replicación para obtener la última versión del GPO.
Plantilla de directiva La GPT es una jerarquía de carpetas en la carpeta compartida SYSVOL en un
de grupo controlador de dominio. Al crear un GPO, Windows Server 2003 crea la GPT
correspondiente que contiene todas las configuraciones de directivas de grupo e
información que incluye plantillas administrativas, seguridad, instalación del
software, secuencias de comandos y configuración de redireccionamiento de la
carpeta. Los equipos se conectan a la carpeta SYSVOL para obtener la
configuración.
El nombre de la carpeta GPT es el identificador único global (GUID, Globally
Unique Identifier) del GPO que ha creado. Es idéntico al GUID que utiliza
Active Directory para identificar el GPO en el GPC. La ruta para la GPT en
un controlador de dominio es systemroot\SYSVOL\sysvol.
Por qué especificar un controlador de dominio para la

administración de GPO
Introducción Administración de directivas de grupo utiliza el emulador del controlador de

dominio principal (PDC, primary domain controller) en cada dominio como el
controlador de dominio predeterminado.
Por qué seleccionar un Para evitar conflictos de replicación, considere la selección del controlador
controlador de dominio de dominio, especialmente porque los datos de GPO residen tanto en Active
específico Directory como en la carpeta SYSVOL. Active Directory utiliza dos
mecanismos de replicación independientes para replicar datos de GPO a los
distintos controladores del dominio. Si dos administradores editan de forma
simultánea el mismo GPO en distintos controladores de dominio, los cambios
de un administrador pueden sustituir los realizados por el otro administrador,
dependiendo de la latencia de la replicación.
Emulador del PDC Por defecto, la Consola de administración de directivas de grupo utiliza
el emulador del PDC en cada dominio para garantizar que todos los
administradores utilizan el mismo controlador de dominio. Sin embargo, puede
que no siempre quiera utilizar el emulador del PDC. Por ejemplo, si reside en
una ubicación remota o si la mayoría de los usuarios o equipos de destino del
GPO se encuentran en una ubicación remota, puede que desee identificar un
controlador de dominio en la misma.
Importante Si varios administradores administran un GPO común, se

recomienda que todos los administradores utilicen el mismo controlador de
dominio al modificar un GPO particular para evitar colisiones en los Servicios
de replicación de archivos (FRS, File Replication Services).
Opciones para Puede especificar un controlador de dominio para administrar GPO

seleccionar un seleccionando alguna de las siguientes opciones:
controlador de dominio
The domain controller with the Operations Master token for the PDC
emulator (El que tiene el símbolo del maestro de operaciones para el
emulador PDC). Ésta es la opción por defecto y la preferida.
Any available domain controller (Usar cualquier controlador de dominio
disponible). Al usar esta opción, seleccionará probablemente un controlador
de dominio en el sitio local.
Any available domain controller running Windows 2003 or later
(Cualquier controlador de dominio disponible que ejecute Windows 2003 o
posterior). Esta opción no está disponible en entornos que contengan tanto
Windows Server 2003 como servidores de Microsoft Windows® 2000.
This domain controller (Este controlador de dominio). Al usar esta opción
estará seleccionando el controlador de dominio actual.
Cómo especificar un controlador de dominio para la administración

de GPO
Introducción Utilice la Consola de administración de directivas de grupo para especificar un

controlador de dominio para dominios o sitios.
Procedimiento Para especificar un controlador de dominio, realice los siguientes pasos:
1. Abra Administración de directivas de grupo, expanda el bosque,
expanda Domains (Dominios) y utilice uno de los siguientes métodos:
• Para especificar un controlador de dominio para utilizarlo en
operaciones de dominio, haga clic con el botón secundario del mouse
(ratón) en el dominio necesario y, a continuación, haga clic en Change
Domain Controller (Cambiar el controlador de dominio).
• Para especificar un controlador de dominio para utilizarlo en
operaciones en sitios, haga clic con el botón secundario del mouse
en Sites (Sitios) y, a continuación, haga clic en Change Domain
Controller (Cambiar el controlador de dominio).
2. En el cuadro de diálogo Change Domain Controller (Cambiar el
controlador de dominio), en Change to (Cambiar a), haga clic en This
domain controller (Este controlador de dominio) y, a continuación,
haga clic en OK (Aceptar).
Qué son los filtros WMI
Introducción Utilice los filtros WMI para determinar de forma dinámica el ámbito de los
GPO en función de los atributos del usuario o del equipo. De esta forma podrá
ampliar las capacidades de filtrado para los GPO del grupo de seguridad más
allá de los mecanismos de filtrado del grupo de seguridad que estaban
disponibles anteriormente.
Cómo funciona un Un filtro WMI está vinculado a un GPO. Al aplicar un GPO a un equipo de
filtro WMI destino, Active Directory evalúa el filtro en el equipo de destino. Un filtro WMI
se compone de una o más consultas que Active Directory evalúa respecto al
repositorio WMI del equipo de destino. Si el conjunto total de consultas es
falso, Active Directory no aplica el GPO. Si todas las consultas son verdaderas,
Active Directory aplica el GPO. Escriba la consulta utilizando el Lenguaje de
consultas de WMI (WQL, WMI Query Language), que es un lenguaje similar a
SQL para consultar al repositorio WMI.
Cada GPO sólo puede tener un filtro WMI. Sin embargo, puede vincular el
mismo filtro WMI a varios GPO. Al igual que los GPO, los filtros WMI se
aplican sólo a un objeto de domino cada vez.
Usos de los filtros WMI Puede utilizar los filtros WMI para identificar directivas en función de distintos
objetos de la red. En la siguiente lista se incluyen algunos ejemplos de usos de
los filtros WMI.
Servicios. Equipos con DHCP instalado y ejecutándose.
Inventario de hardware. Los equipos con procesador Pentium III y al menos
128 megabytes (MB) de RAM.
Configuración de software. Equipos con multidifusión activada.
Para equipos cliente que ejecutan Microsoft Windows 2000, Active Directory
ignora los filtros WMI y aplica siempre el GPO.
Cómo filtrar la configuración de directivas de grupo con filtros WMI
Introducción Puede crear nuevos filtros WMI desde el contenedor de filtros WMI de la
Consola de administración de directivas de grupo. También puede importar un
filtro que haya sido exportado con anterioridad.
Procedimiento Para crear un filtro WMI y vincularlo a un GPO, realice los siguientes pasos:
1. Abra Administración de directivas de grupo, expanda el bosque que
contiene el GPO al que desea agregar un filtro WMI, expanda Domains
(Dominios), expanda el dominio que contiene el GPO, expanda WMI
Filters (Filtros WMI), haga clic con el botón secundario en WMI Filters
(Filtros WMI) y, a continuación, haga clic en New (Nuevo).
2. En el cuadro de diálogo New WMI Filters (Nuevo Filtros WMI), en el
cuadro Name (Nombre), escriba un nombre para la consulta.
3. En el cuadro Description (Descripción), escriba una descripción de la
consulta.
4. Haga clic en Add (Agregar).
5. En el cuadro de diálogo WMI Query (Consulta WMI), en el cuadro
Namespace (Espacio de nombre), escriba la ruta del espacio de nombres de
la consulta o haga clic en Examinar para ver una lista de los espacios de
nombres disponibles.
Para cada consulta deberá especificar el espacio de nombres WMI en el que se
debe ejecutar la consulta. El espacio de nombres por defecto es raíz\CIMv2,
que debería ser adecuado para la mayor parte de las situaciones.
6. En el cuadro Query (Consulta), escriba una consulta WQL válida y haga
clic en OK (Aceptar).
7. En el cuadro de diálogo New WMI Filters (Nuevo Filtros WMI), haga clic
en Save (Guardar).
8. Expanda Group Policy Objects (Group Policy Objects (Objetos de
directiva de grupo)) y arrastre el filtro WMI hasta un GPO.
Ejemplo de Por ejemplo, para equipos con más de 10 MB de espacio disponible en las
consulta WQL unidades C, D o E, las particiones deben encontrarse en un o más discos duros y
deben ejecutar el sistema de archivos NTFS. Escriba la siguiente consulta WMI:
Select * FROM Win32LogicalDisk WHERE (Name = "C:" OR Name =
"D:" OR Name
= "E:") AND DriveType = 3 AND FreeSpace > 10485760 AND
FileSystem = "NTFS"
En el ejemplo, el valor de DriveType = 3 es un disco duro. Las unidades

FreeSpace están en bytes (10 MB = 10.485.760 bytes).
Qué es el procesamiento de bucle invertido
Introducción Por defecto, los GPO de un usuario determinan la configuración de usuario que
se debe aplicar cuando un usuario inicia sesión en el equipo. Por el contrario, el
procesamiento de bucle invertido aplica la configuración de GPO para el equipo
a cualquier usuario que inicie sesión en el equipo al que afecte esta
configuración. El procesamiento de bucle invertido está destinado a equipos de
uso especial, como equipos en lugares públicos, laboratorios y aulas, donde se
debe modificar la configuración de usuario basándose en el equipo utilizado.
Ejemplo Por ejemplo, el usuario cuyo objeto de usuario se encuentre en la unidad
organizativa Sales inicia sesión en un equipo. El objeto de equipo se encuentra
en la unidad organizativa Servers. La configuración de directiva de grupo que
se aplican al usuario se basa en cualquier GPO vinculado a la unidad
organizativa Sales o a cualquier contenedor principal. La configuración que se
aplica al equipo se basa en cualquier GPO vinculado a la unidad organizativa
Servers o a cualquier contenedor principal.
Sin embargo, puede que este comportamiento predeterminado no resulte
adecuado para determinados servidores o equipos dedicados a una tarea
concreta. Por ejemplo, las aplicaciones que están asignadas a un usuario no
deberían aparecer como disponibles de forma automática en un servidor.
Modos de El procesamiento de bucle invertido tiene dos modos:
procesamiento de
bucle invertido Modo de sustitución. Este modo reemplaza la configuración de usuario
definida en los GPO del equipo por la configuración de usuario que se
aplica normalmente al usuario.
Modo de combinación. Este modo combina la configuración de usuario
definida en los GPO del equipo con la configuración de usuario que se
aplica normalmente al usuario. Si hay un conflicto entre las configuraciones,
la configuración de usuario en los GPO del equipo tiene prioridad sobre la
configuración normal del usuario.
Cómo configurar el modo de procesamiento de bucle invertido de

la directiva de grupo de usuario
Introducción Para habilitar el procesamiento de bucle invertido, debe seleccionar la opción

Modo de procesamiento de bucle invertido de la directiva de grupo de usuario
en Administración de directivas de grupo.
Procedimiento Para configurar el Modo de procesamiento de bucle invertido de la directiva de
grupo de usuario, realice los siguientes pasos:
1. Abra Administración de directivas de grupo, expanda el bosque, expanda
Domains (Dominios), expanda su dominio y, por último, haga clic en
Group Policy Objects (Objetos de directiva de grupo).
2. En el panel de detalles, haga clic con el botón secundario del mouse en el
objeto de directiva de grupo y, a continuación, haga clic en Edit (Editar).
3. En Editor de objetos de directiva de grupo, expanda Configuración
del equipo, expanda Plantillas administrativas, expanda Sistema y,
a continuación, haga clic en Directiva de grupo.
4. Haga doble clic en Modo de procesamiento de bucle invertido de la
directiva de grupo de usuario, si aún no está seleccionado, haga clic en
Habilitada.
5. En Modo, haga clic en Sustituir o Combinar y, a continuación, haga clic
en Aceptar.
Ejercicio: Creación y configuración de GPO
Objetivos En este ejercicio deberá instalar la Consola de administración de directivas de

grupo y crear y configurar los GPO para su dominio.
Situación de ejemplo Como ingeniero de sistemas de Northwind Traders, es el responsable de
implementar la directiva de grupo para la organización. Deberá instalar
Administración de directivas de grupo y crear los GPO para ayudar a imponer
el entorno de escritorio. Deberá quitar la opción de menú Ejecutar para todos
los usuarios y, a continuación, quitar el comando de cierre del menú. También
desea aplicar esta directiva sólo a los equipos en los que la unidad C contiene al
menos 10 MB de espacio libre en disco y que están configurados con el sistema
de archivos NTFS.
Ejercicio: Instalación Instalar la Consola de administración de directivas de grupo
de la Consola de
administración de 1. Inicie sesión en su dominio como NombreDeEquipo\User (donde
directivas de grupo NombreDeEquipo es el nombre del equipo en el que está trabajando)
(GPMC, Group Policy con la contraseña P@ssw0rd
Management Console)
2. Haga clic en Inicio, haga clic con el botón secundario del mouse en
Símbolo del sistema y, a continuación, haga clic en Ejecutar como.
3. En el cuadro de diálogo Ejecutar como, haga clic en El siguiente usuario,
escriba un nombre de usuario de Nwtradersx\Administrador con la
contraseña P@ssw0rd y, a continuación, haga clic en Aceptar.
4. En el símbolo del sistema, escriba \\LONDON\SETUP\GPMC.MSI y,
a continuación, presione ENTRAR.
5. En el cuadro de diálogo Descarga de archivos, haga clic en Abrir.
6. En la página Welcome to the Microsoft Group Policy Management
Console Setup Wizard (Asistente de instalación de la Consola de
administración de de directivas de grupo), haga clic en Next (Siguiente).
7. En la página License Agreement (Contrato de licencia), haga clic en

I Agree (Acepto)y, a continuación, haga clic en Next (Siguiente).
8. En la página Completing the Microsoft Group Policy Management
Console Setup Wizard (Finalización del Asistente de instalación de la
Consola de administración de directivas de grupo), haga clic en Finish
(Finalizar).
9. Cierre el símbolo del sistema.
Ejercicio: Creación y
Crear y configurar objetos de directiva de grupo (GPO)
configuración de GPO
1. Haga clic en Inicio, seleccione Herramientas administrativas, haga clic
con el botón secundario del mouse en Administración de directivas de
grupo y, a continuación, haga clic en Ejecutar como.
2. En el cuadro de diálogo Ejecutar como, haga clic en El siguiente usuario,
escriba un nombre de usuario de SuDominio\Administrador con la
contraseña P@ssw0rd y, a continuación, haga clic en Aceptar.
3. Expanda Forest (Bosque), expanda Domains (Dominios), expanda su
dominio, expanda Group Policy Objects (Objetos de directiva de grupo),
haga clic con el botón secundario en Group Policy Objects (Objetos de
directiva de grupo) y, a continuación, haga clic en Nuevo.
4. Escriba EjercicioGPO como el nombre de su GPO y, a continuación,
5. Haga clic con el botón secundario en su nombre de dominio, haga clic
en Link an Existing GPO (Vincular un GPO existente), haga clic en
EjercicioGPO y, a continuación, en OK (Aceptar).
6. Haga clic con el botón secundario en EjercicioGPO y, a continuación,
en Edit (Editar).
7. En Editor de objetos de directiva de grupo, en Configuración de
usuario, expanda Plantillas administrativas y, a continuación, haga clic
en Menú Inicio y barra de tareas.
8. En el panel de detalles, haga doble clic en Quitar el menú Ejecutar del
menú Inicio, haga clic en Habilitada y, a continuación, haga clic en
Aceptar.
9. En el panel de detalles, haga doble clic en Quitar el comando Apagar e
impedir el acceso al mismo, haga clic en Habilitada y, a continuación,
haga clic en Aceptar.
10. Cierre el Editor de objetos de directiva de grupo.
11. En Administración de directivas de grupo, expanda y haga clic con el
botón secundario en WMI Filters (Filtros WMI) y, a continuación, haga
clic en New (Nuevo).
12. Escriba EjercicioFiltro como el nombre del filtro WMI, haga clic en Add
(Agregar), escriba una consulta adecuada para recuperar la información
requerida, haga clic en OK (Aceptar)y, a continuación, haga clic en Save
(Guardar).
13. En el árbol de la consola, en la lista de Group Policy Objects (Objetos de

directiva de grupo) haga clic en EjercicioGPO.
14. En el panel de detalles, seleccione EjercicioFiltro en el cuadro This GPO
is linked to the following WMI filter (Este GPO está vinculado al
siguiente filtro WMI).
15. En el cuadro de diálogo Group Policy Management (Administración de
directivas de grupo), haga clic en Yes (Sí).
16. Cierre Group Policy Management (Administración de directivas de grupo).
Lección: Configuración de la frecuencia de actualización

y valores de directivas de grupo
Introducción Windows Server 2003 ejecuta la configuración y las directivas de equipo y

usuario en un orden específico. Si comprende el procesamiento de directivas de
grupo y su orden, podrá crear secuencias de comandos adecuadas y configurar
su frecuencia de actualización.
Explicar el proceso de aplicación de directivas de grupo.
Asignar configuraciones de secuencia de comandos de directivas de grupo.
Configurar la frecuencia de actualización de los componentes de directivas
de grupo.
Configurar la frecuencia de actualización de controladores de dominio y
equipos.
Actualizar la configuración de directivas de grupo en un equipo de usuario
utilizando Gpupdate.exe.
Cuándo se aplica la directiva de grupo
Introducción Cuando un usuario inicia un equipo e inicia la sesión, Windows Server 2003
procesa primero la configuración del equipo y después la configuración del
usuario.
Orden en que se aplican Cuando un usuario inicia un equipo e inicia la sesión, sucede lo siguiente:
las directivas de grupo
1. Se inicia la red. Se inicia el Servicio de sistema de llamada a procedimiento
remoto (RPCSS, Remote Procedure Call System Service) y el Proveedor
múltiple de convención de nomenclatura universal (MUP, Multiple
Universal Naming Convention Provider).
2. Windows Server 2003 obtiene una lista ordenada de los GPO para el equipo.
La lista depende de los siguientes factores:
• Si el equipo forma parte de un dominio y, por lo tanto, está sujeto a
directivas de grupo en Active Directory.
• La ubicación del equipo en Active Directory.
• Si la lista de GPO ha cambiado.
3. Windows Server 2003 aplica la directiva de equipo. Estas son las
configuraciones de Configuración del equipo de la lista de GPO recopilada.
De manera predeterminada, esta lista tiene lugar de forma síncrona y en
el orden siguiente: local, sitio, dominio, unidad organizativa y unidad
organizativa secundaria. No aparece ninguna interfaz de usuario mientras
se procesan las directivas de equipo.
4. Se ejecutan las secuencias de comandos de inicio. De manera predeterminada,

esta ejecución se realiza de forma oculta y síncrona. Cada secuencia de
comandos debe completarse o agotar el tiempo de espera antes de que se
inicie la siguiente. El tiempo de espera predeterminado es de 600 segundos.
Puede utilizar varios parámetros de configuración de directivas para modificar
el tiempo de espera predeterminado.
Nota Se puede ajustar el valor de tiempo de espera configurando el tiempo

de espera en “Tiempo de espera máximo para las secuencias de comandos
de la directiva de grupo” en Configuración del equipo\Plantillas
administrativas\Sistema\Inicio de sesión\. Esta configuración afecta a todas
las secuencias de comandos que se ejecutan.
5. El usuario presiona CTRL-ALT-SUPR para iniciar la sesión.

6. Una vez que Windows Server 2003 valida el usuario, carga el perfil del
usuario, que está controlado por la configuración de directiva de grupo
en vigor.
7. Windows Server 2003 obtiene una lista ordenada de los GPO para el
usuario. La lista depende de los siguientes factores:
• Si el usuario forma parte de un dominio y, por lo tanto, está sujeto a
directivas de grupo en Active Directory.
• Si está habilitado el procesamiento de bucle invertido y el estado de la
configuración de la directiva de bucle invertido.
• La ubicación del usuario en Active Directory.
• Si la lista de GPO ha cambiado.
8. Windows Server 2003 aplica la directiva de usuario, que incluye la
configuración de Configuración de usuario de la lista recopilada. De manera
predeterminada, la configuración tiene lugar de forma síncrona y en el orden
siguiente: local, sitio, dominio, unidad organizativa y unidad organizativa
secundaria. No aparece ninguna interfaz de usuario mientras se procesan las
directivas de usuario.
9. Se ejecutan las secuencias de comandos de inicio de sesión. De forma
predeterminada, las secuencias de comandos de inicio de sesión que se
basan en la directivas de grupo se realizan de forma oculta y asíncrona.
10. Aparece la interfaz de usuario del sistema operativo que prescribe la
directiva de grupo.
Intervalo de Los equipos que ejecutan Windows Server 2003, actualizan o vuelven a aplicar
actualización de la configuración de directivas de grupo según intervalos establecidos. Al
usuario o equipo actualizar la configuración se garantiza que la configuración de directiva de
grupo se aplica a los equipos y usuarios incluso cuando los usuarios nunca
reinicien sus equipos o cierren la sesión.
Cómo asignar configuración de secuencia de comandos de

directivas de grupo
Introducción Al implementar una secuencia de comandos, se utiliza la directiva de grupo

para agregar la secuencia de comandos a la configuración adecuada en la GPT
para que se ejecute durante el inicio, el apagado, el inicio de sesión o el cierre
de sesión.
Procedimiento para Para copiar una secuencia de comandos a la GPT adecuada, realice los
copiar una secuencia siguientes pasos:
de comandos
1. Localice la secuencia de comandos en el disco duro con el Explorador de
Windows.
2. Edite el GPO adecuado en Administración de directivas de grupo, expanda
Configuración del equipo (para secuencias de comandos de inicio y
apagado) o Configuración de usuario (para secuencias de comandos
de inicio o cierre de sesión), expanda Configuración de Windows y, a
continuación, haga clic en Secuencias de comandos.
3. Haga doble clic en el tipo de secuencia de comandos adecuado (Inicio,
Apagar, Iniciar sesión, Cierrar sesión), y haga clic en Mostrar archivos.
4. Copie el archivo de secuencia de comandos desde el Explorador de
Windows a la ventana que aparece y, a continuación, cierre la ventana.
Importante No se puede realizar esta tarea con Ejecutar como; debe iniciar
la sesión como Administrador para poder realizar esta tarea.
Procedimiento para Para agregar una secuencia de comandos a un GPO, realice los siguientes
agregar la secuencia pasos:
de comandos
1. En el cuadro de diálogo Propiedades para el tipo de secuencia de
comandos, haga clic en Agregar.
2. Haga clic en Examinar, seleccione una secuencia de comandos y, a
continuación, haga clic en Abrir.
3. Agregue los parámetros de secuencia de comandos necesarios y, a
continuación, haga clic en Aceptar.
Nota Para obtener información adicional acerca de la creación de una

secuencia de comandos en lenguaje de Microsoft Visual Basic® Scripting
Edition (VBScript), consulte el curso 2433, Microsoft Visual Basic Scripting
Edition and Microsoft Windows Script Host Essentials (en inglés), y el curso
2439, WMI Scripting (en inglés).
Cómo configurar la frecuencia de actualización de los

componentes de directivas de grupo
Introducción Cuando las directivas de grupo detectan un vínculo lento, establecen un

indicador para alertar del vínculo lento a las extensiones del cliente. Las
extensiones del cliente podrán determinar si se procesa la configuración de
directivas de grupo aplicable.
Directiva de grupo y Las directivas de grupo comparan la velocidad de conexión del vínculo con
vínculos lentos 500 kilobytes por segundo (Kbps), la velocidad que considera lenta, o con un
umbral de su elección. Las directivas de grupo utilizan un algoritmo para
determinar si un vínculo se considera lento.
Configuración En la siguiente tabla aparece la configuración predeterminada para el
predeterminada procesamiento de vínculos lentos.
Procesamiento Se puede
Extensión del cliente de vínculo lento Actualizado cambiar
Procesamiento de directivas Activado Activado No

de Registro
Procesamiento de directivas Desactivado Activado Sí
de mantenimiento de Internet
Explorer
Procesamiento de directivas Desactivado N/D Sí
de instalación de software
Procesamiento de directivas Desactivado N/D Sí
de redirección de carpetas
de secuencias de comandos
(continuación)
Procesamiento Se puede
Extensión del cliente de vínculo lento Actualizado cambiar
Procesamiento de directivas Activado Activado No

de seguridad
de seguridad IP
Procesamiento de directiva Desactivado Activado Sí
de redes inalámbricas
Procesamiento de directivas Activado Activado Sí
de recuperación EFS
de cuota de disco
Procedimiento Para configurar los componentes de directiva de grupo que se actualizan y se

pueden modificar, realice los siguientes pasos:
1. Abra el GPO adecuado en la directiva de grupo, expanda Configuración
del equipo, expanda Plantillas administrativas, expanda Sistema, haga
clic en Directiva de grupo y, a continuación, haga doble clic en cada
elemento de la tabla anterior.
2. Haga clic en Habilitada.
3. Haga clic en No aplicar durante el procesamiento periódico en
segundo plano.
4. Si está disponible, haga clic en Permitir el procesamiento a través de
una conexión de red de baja velocidad y haga clic en Aceptar.
Cómo configurar la frecuencia de actualización de controladores

de dominio y equipos
Introducción Puede cambiar la frecuencia de actualización predeterminada modificando la

configuración de las plantillas administrativas para la configuración de un
usuario o equipo.
Intervalos de En la siguiente tabla se indican los intervalos predeterminados para la
actualización actualización de directivas de grupo.
predeterminados
Tipo de equipo Intervalo de actualización
Equipos que trabajan con Cada 90 minutos. También se actualiza en una

Microsoft Windows XP compensación tiempo aleatoria cada 30 minutos,
Professional y servidores lo que ayuda al procesamiento de aplicación de
miembros del dominio que equilibrio de carga de directiva de grupo y garantiza
trabajan con que no establecerán contacto varios equipos al
Windows Server 2003 mismo tiempo con un controlador de dominio.
Controladores de dominio Cada cinco minutos. De este modo, las
configuraciones fundamentales de directivas de
grupo, como la configuración de seguridad, se
aplican como mínimo cada cinco minutos a menos
que se cambie la configuración predeterminada.
Procedimiento Para configurar la frecuencia de actualización, realice los siguientes pasos:

1. Abra el GPO adecuado en la directiva de grupo, expanda Configuración
de usuario o Configuración del equipo (dependiendo del GPO que desee
editar), expanda Plantillas administrativas, expanda Sistema, haga clic en
Directiva de grupo y, a continuación, haga doble clic en una de las
siguientes configuraciones:
• Intervalo de actualización de la directiva de grupo para usuarios
• Intervalo de actualización de la directiva de grupo para equipos
• Intervalo de actualización de la directiva de grupo para
controladores de dominio
2. Haga clic en Habilitada.
3. Establezca el intervalo de actualización en minutos.
4. Establezca la compensación de tiempo aleatoria y haga clic en Aceptar.
Nota Si deshabilita esta configuración, la directiva de grupo se actualizará por

defecto cada 90 minutos. Para indicar que la directiva de grupo no se debe
actualizar nunca mientras el equipo esté en uso, seleccione la opción
Desactivar la actualización en segundo plano de Directiva de grupo.
Cómo actualizar la configuración de directivas de grupo en un

equipo de usuario utilizando Gpupdate.exe
Introducción Puede actualizar un objeto de directiva de grupo con el comando gpupdate.

Procedimiento Para actualizar la configuración de directiva de grupo en el equipo de un
usuario con el comando gpupdate, realice los siguientes pasos:
1. En el cuadro de diálogo Ejecutar, escriba cmd y haga clic en ENTRAR.
2. Tipo
gpupdate [/target:{equipo|usuario}] [/force] [/wait:valor]
[/logoff] [/boot]
En la siguiente tabla se describen los parámetros de la sintaxis de gpupdate.

Parámetro Descripción
/target:{equipo|usuario} Procesa la configuración del equipo o la configuración de usuario actual, dependiendo del
destino que especifique. Si no especifica este parámetro, la configuración de equipo y
usuario se procesa de forma predeterminada.
/force Vuelve a aplicar todas las configuraciones e ignora las optimizaciones de procesamiento.
/wait:valor Indica el número de segundos que el procesamiento de directiva espera para finalizar.
De forma predeterminada son 600 segundos. Un valor de 0 significa que no hay espera;
-1 indica espera por tiempo indefinido.
/logoff Cierra la sesión al completar la actualización de la directiva. Se requiere este parámetro
para extensiones del cliente de directivas de grupo que no procesen la configuración de
directivas de grupo en un ciclo de actualización en segundo plano pero que las procesen
cuando el usuario inicie sesión. Esta opción no tiene efecto si no se llama a extensiones
que requieran que el usuario cierre la sesión.
/boot Reinicia el equipo al completar la actualización de la directiva. Se requiere reiniciar la
sesión para las extensiones del cliente de directivas de grupo que no procesen la
configuración de directivas de grupo en un ciclo de actualización en segundo plano pero
que las procesen cuando se inicia el equipo. Esta opción no tiene efecto si no se llama a
extensiones que requieran que el equipo se reinicie.
Ejercicio: Configuración de la frecuencia de actualización y valores

de directivas de grupo
Objetivos En este ejercicio deberá configurar el intervalo de actualización de directivas de

grupo para equipos cliente y, a continuación, configurar la configuración de
directivas de grupo para sincronizar archivos sin conexión.
Situación de ejemplo Northwind Traders se basa principalmente en directivas de grupo para
administrar equipos cliente y para mantener la agilidad de la organización.
Debido al elevado número de GPO que debe modificar a diario, desea reducir el
tráfico de red disminuyendo el intervalo de actualización para equipos cliente a
180 minutos y utilizando una compensación de tiempo aleatoria de 60 minutos.
El personal de su organización suele viajar y utilizar conexiones de acceso
telefónico lentas. También suelen visitar oficinas de ventas remotas que tienen
conexiones de alta velocidad a la red corporativa. Necesitan acceso a archivos a
los que normalmente sólo se puede tener acceso mediante una conexión de red
a un servidor de archivos. Estos archivos se deben actualizar tan pronto como el
usuario inicie sesión en la red corporativa. Debe configurar la disponibilidad y
sincronización de los archivos sin conexión en la directiva de grupo para los
usuarios que requieran esta capacidad.
Ejercicio
Configurar los valores de directivas de grupo
1. Abra Administración de directivas de grupo como
SuDominio\Administrador mediante Ejecutar como.
2. Expanda Forest (Bosque), expanda Domains (Dominios), expanda su
dominio, expanda Group Policy Objects (Objetos de directiva de grupo),
haga clic en Group Policy Objects (Objetos de directiva de grupo), haga
clic con el botón secundario en EjercicioGPO y, a continuación, haga clic
en Edit (Editar).
3. En Editor de objetos de directiva de grupo, en Configuración del equipo,
expanda Plantillas administrativas, expanda Sistema y, a continuación,
haga clic en Directiva de grupo.
4. Haga doble clic en Intervalo de actualización de la directiva de grupo

para equipos, haga clic en Habilitada, introduzca los intervalos de tiempo
adecuados y haga clic en Aceptar.
5. En Editor de objetos de directiva de grupo, en Configuración de usuario,
expanda Plantillas administrativas, expanda Red y, a continuación, haga
clic en Archivos sin conexión.
6. Haga doble clic en Sincronizar todos los archivos sin conexión al iniciar
sesión, haga clic en Habilitada y, a continuación, haga clic en Aceptar.
7. Cierre el Editor de objetos de directiva de grupo y cierre después
Administración de directivas de grupo.
Lección: Administración de GPO
Introducción Utilice la Consola de administración de directivas de grupo para administrar

GPO, que incluye la copia de un GPO a otra ubicación, la realización de una
copia de seguridad de GPO, la restauración de un GPO desde la copia de
seguridad y la importación de configuraciones de un GPO a otro.
Explicar la finalidad de copiar un GPO.
Copiar un GPO con Administración de directivas de grupo.
Explicar la finalidad de realizar una copia de seguridad de un GPO.
Realizar una copia de seguridad de un GPO con Administración de
directivas de grupo.
Explicar la finalidad de restaurar un GPO.
Restaurar un GPO con Administración de directivas de grupo.
Explicar la finalidad de importar configuraciones en un GPO.
Importar configuraciones en un GPO con Administración de directivas
de grupo.
Qué es una operación de copia
Introducción Una copia de un GPO transfiere sólo la configuración del GPO. El nuevo
GPO creado tiene un GUID nuevo y la Lista de control de acceso discrecional
(DACL, Discretionary Access Control List) predeterminada para el GPO.
El nuevo GPO se crea desvinculado porque los vínculos son propiedad del
objeto que definía el GPO, en lugar de ser propiedad del GPO.
Comportamiento de Al copiar un GPO de un dominio a otro, debe indicar el comportamiento
asignación para una de asignación de los principales de seguridad para la operación de copia.
operación de copia Administración de directivas de grupo proporciona dos técnicas básicas de
asignación para copiar GPO:
Copiarlos de forma idéntica desde el origen.
Utilizar una tabla de migración para asignarlos a nuevos valores en el
nuevo GPO.
Para utilizar alguna de estas opciones, el GPO de origen debe contener las
referencias a los principales de seguridad y las rutas de acceso acordes a la
convención de nomenclatura universal (UNC, Universal Naming Convention).
Qué es la asignación de Al copiar GPO en dominios o bosques, Administración de directivas de grupo
principales de seguridad puede realizar una asignación de principales de seguridad. Es decir, puede
modificar configuraciones que hacen referencia a principales de seguridad
traduciendo los principales de seguridad de destino a nuevos valores en el
nuevo GPO.
Qué es una tabla Si necesita personalización adicional, puede utilizar las secuencias de comandos
de migración para implementar una tabla de migración, que es un archivo de texto de Lenguaje
de marcado extensible (XML, Extensible Markup Language) que indica una
asignación personalizada de principales de seguridad desde el dominio de origen
al dominio de destino. La tabla de migración contiene una sección de asignación
de principales de seguridad y una sección de asignación de ruta. Estas secciones
se utilizan para establecer reglas de asignación específicas.
Cómo copiar un GPO
Introducción Para copiar un GPO debe tener permiso para crear GPO en el dominio de destino.
Procedimiento Para crear un GPO, realice los siguientes pasos:
1. Abra Administración de directivas de grupo, expanda Group Policy
Objects (Objetos de directiva de grupo) en el bosque y dominio que
contenga el GPO que desea copiar, haga clic con el botón secundario
en el GPO y, a continuación, haga clic en Copiar.
2. Realice uno de los siguientes pasos:
• Para colocar la copia del GPO en el mismo dominio que el GPO de
origen, haga clic con el botón secundario en Group Policy Objects
(Objetos de directiva de grupo) y haga clic en Pegar.
i. En la página Copy GPO (Copiar GPO) elija Use the default
permissions for New GPOs (Utilizar los permisos predeterminados
para los nuevos GPO) o Preserve the existing permissions
(Conservar los permisos existentes) y haga clic en OK (Aceptar).
ii. Cuando se haya completado la copia en curso, haga clic en Aceptar.
• Para colocar la copia del GPO en un dominio distinto, ya sea en el
mismo bosque o en un bosque diferente, expanda el dominio de destino,
haga clic con el botón secundario en Group Policy Objects (Objetos de
directiva de grupo) y, a continuación, haga clic en Pegar.
i. En la página Welcome to the Cross-Domain Copying Wizard
(Asistente para la copia entre dominios), haga clic en Siguiente.
ii. En la página Specifying permissions (Especificar permisos) elija
Use the default permissions for new GPOS (Utilizar los permisos
predeterminados para los nuevos GPO) o Preserve or migrate the
permissions from the original GPOs (Conservar o migrar los
permisos de los GPO originales) y haga clic en Siguiente.
iii. En la página Scanning Original GPO (Búsqueda del GPO original)

haga clic en Siguiente.
Si el GPO de origen contiene referencias a principales de seguridad y
rutas UNC, verá la ventana mencionada en el paso siguiente. Si no es
así, continúe con el paso v.
iv. En la página Migrating References (Referencias de migración),
seleccione Copying them identically from the source (Copiarlas de
forma idéntica desde el origen) o Using this migration table to map
them to new values in the new GPOs (Utilizar esta tabla de
migración para asignarlas a nuevos valores en los nuevos GPO),
seleccione la tabla de migración de la lista y haga clic en Siguiente.
v. En la página Completing the Cross-Domain Copying Wizard
(Finalización del asistente para la copia entre dominios), haga clic en
Finalizar.
vi. Una vez completada la operación de copia, haga clic en OK (Aceptar).
Nota Puede que no aparezcan algunos de estos pasos si está copiando un

GPO al mismo dominio.
Qué es una operación de copia de seguridad
Introducción Cuando Administración de directivas de grupo realiza una copia de seguridad

de un GPO, exporta los datos a un archivo que elija y guarda todos los archivos
de GPT. Puede enviar la copia de seguridad del GPO a una carpeta mediante
una operación de restauración o importación. Sólo podrá restaurar una copia de
seguridad de un GPO a otro dominio mediante una operación de importación.
Cómo almacenar una Puede almacenar varias copias de seguridad de GPO, incluidas versiones del
copia de seguridad mismo GPO, en una carpeta de archivos. Independientemente de los GPO que
almacene en una carpeta, podrá identificar cada copia de seguridad de GPO
mediante uno de los siguientes criterios:
Nombre para mostrar del GPO
GUID del GPO
Descripción de la copia de seguridad
Marca de fecha y hora de la copia de seguridad
Nombre de dominio
Puede realizar una copia de seguridad de uno o más GPO a una ubicación de
copia de seguridad indicada con anterioridad o puede indicar una nueva
ubicación de copia de seguridad.
Nota Asegúrese de que el directorio de copia de seguridad se encuentra en una

ubicación segura en el sistema de archivos.
Cómo realizar una copia de seguridad de un GPO
Introducción Para realizar una copia de seguridad de un GPO debe tener permiso de lectura
en el GPO y permiso de escritura en la ubicación del sistema de archivos donde
desea almacenar la copia de seguridad del GPO.
Procedimiento Para realizar la copia de seguridad de un GPO, realice los siguientes pasos:
contiene el GPO del que desea realizar la copia de seguridad, expanda
Domains (Dominios), expanda el dominio que contiene el GPO, expanda
Group Policy Objects (Objetos de directiva de grupo) y, a continuación,
realice uno de los siguientes pasos:
• Para realizar la copia de seguridad de un solo GPO, haga clic con el botón
secundario en el GPO y haga clic en Back Up (Copia de seguridad).
• Para realizar una copia de seguridad de todos los GPO, haga clic con
el botón secundario en Group Policy Objects (Objetos de directiva de
grupo) y, a continuación, haga clic en Back Up All (Copia de seguridad
de todo).
2. En el cuadro de diálogo Backup Group Policy Object (Copia de seguridad
de objetos de directiva de grupo), introduzca la ruta a la ubicación donde
desee almacenar la copia de seguridad del GPO.
3. Escriba una descripción para el GPO del que desea realizar la copia de
seguridad y haga clic en Backup (Copia de seguridad).
4. Una vez completada la operación de copia de seguridad, haga clic en
OK (Aceptar).
Qué es una operación de restauración
Introducción La operación de restauración devuelve el contenido del GPO al mismo estado

en que estaba cuando se realizó la copia de seguridad. Esta operación solo es
válida en el dominio donde se creó el GPO.
Qué GPO se pueden Puede restaurar un GPO existente o un GPO eliminado del que se realizó una
restaurar copia de seguridad. Los permisos requeridos para restaurar un GPO dependen
de si el GPO existe en Active Directory al restaurarlo.
Cómo restaurar un GPO
Introducción Para restaurar un GPO existente con Administración de directivas de grupo,

necesita los permisos Editar, Eliminar y Modificar seguridad para el GPO.
También necesita el permiso de lectura para la carpeta que contiene la copia
de seguridad del GPO.
Para restaurar un GPO eliminado del que se realizó una copia de seguridad,
necesita permiso para crear GPO en el dominio y permiso de lectura para la
ubicación del sistema de archivos del GPO del que se realizó la copia de
seguridad.
Procedimiento para Para restaurar una versión anterior de un GPO existente, realice los
restaurar una versión siguientes pasos:
anterior de un GPO
contiene el GPO que desea restaurar, expanda Domains (Dominios),
expanda el dominio que contiene el GPO, haga clic con el botón secundario
en Group Policy Objects (Objetos de directiva de grupo) y, a continuación,
haga clic en Manage Backups (Administrar copias de seguridad).
2. En el cuadro de diálogo Manage Backups (Administrar copias de
seguridad), seleccione la copia de seguridad del GPO que desee restaurar y
haga clic en Restore (Restauración).
3. Cuando se le pregunte si desea restaurar la copia de seguridad seleccionada,
4. En el cuadro de diálogo Restore Progress (Progreso de la restauración),
haga clic en OK (Aceptar) una vez finalizada la restauración.
seguridad) seleccione otro GPO que desee restaurar o haga clic en
Close (Cerrar) para finalizar la operación de restauración.
Procedimiento para Para restaurar un GPO eliminado que aparece en la lista de Group Policy
restaurar un GPO Objects (Objetos de directiva de grupo), realice los siguientes pasos:
eliminado
contiene el GPO que desea restaurar, expanda Domains (Dominios) y,
a continuación, expanda el dominio que contenga el GPO.
2. Haga clic con el botón secundario en Group Policy Objects (Objetos
de directiva de grupo) y, a continuación, haga clic en Manage Backups
(Administrar copias de seguridad).
seguridad), haga clic en Browse (Examinar), localice el sistema de archivos
que contiene el GPO eliminado, seleccione el GPO, haga clic en Restore
(Restauración) y, a continuación, haga clic en OK (Aceptar) para confirmar
la operación de restauración.
Qué es una operación de importación
Introducción Una operación de importación copia todas las configuraciones del GPO desde
el GPO de origen al GPO de destino.
Por qué especificar Se especifica una tabla de migración para asegurar que la ruta UNC en el
una tabla de migración GPO de origen se asigna correctamente a una ruta UNC del GPO de destino.
Se proporciona la ruta a la tabla de migración adecuada al importar las
configuraciones del GPO de un dominio a otro. Si especifica una tabla de
migración, deberá especificar el comportamiento de asignación de la ruta UNC.
Si no selecciona la casilla de verificación Utilizar tabla de migración de
modo exclusivo deberá especificar el comportamiento de asignación para los
principales de seguridad que no se incluyen en la tabla de migración.
Si no especifica una tabla de migración, todos los principales de seguridad
se asignan de acuerdo con el comportamiento que especifique.
Cómo importar configuraciones en un GPO
Introducción Para importar configuraciones en un GPO deberá tener permisos de edición

del GPO.
Procedimiento Para importar configuraciones en un GPO, realice los siguientes pasos:
contiene el GPO en el que desea importar la configuración, expanda
Domains (Dominios), expanda el dominio que contiene el GPO, expanda
Group Policy Objects (Objetos de directiva de grupo), haga clic con el
botón secundario en el GPO y, a continuación, haga clic en Import Settings
(Importar configuración).
2. En la página Welcome to the Import Settings Wizard (Asistente para
importar configuraciones), haga clic en Siguiente.
3. En la página Backup GPO (Copia de seguridad de GPO), haga clic en
Backup (Copia de seguridad).
4. En el cuadro de diálogo Backup Group Policy Object (Copia de seguridad
de objetos de directiva de grupo), escriba la ubicación y la descripción para
la copia de seguridad del GPO y haga clic en Backup (Copia de seguridad).
5. Cuando finalice la operación de copia de seguridad, haga clic en OK
(Aceptar) y, a continuación, haga clic en Siguiente.
6. En la página Backup location (Ubicación de la copia de seguridad), haga
clic en Browse (Examinar) para localizar la carpeta de copia de seguridad
de la que desea importar la configuración y haga clic en Next (Siguiente).
7. En la página Source GPO (GPO de origen), seleccione el GPO del que

desee importar la configuración y haga clic en Siguiente.
Si el GPO de origen contiene referencias a principales de seguridad y rutas
UNC, aparecerá el cuadro de diálogo Migrating References (Referencias de
migración). Elija el modo de migrar los principales de seguridad y las rutas
UNC seleccionando Copying them identically from the source (Copiarlas
de forma idéntica desde el origen) o Using this migration table to map them
in the destination GPO (Utilizar esta tabla de migración para asignarlos al
GPO de destino) y, a continuación, seleccione una tabla de migración.
8. Haga clic en Siguiente.
9. En la página Completing the Import Settings Wizard (Finalización del
Asistente para importar configuraciones), haga clic en Finalizar.
10. Una vez completada la operación de importación, haga clic en OK (Aceptar).
Ejercicio: Administración de GPO
Objetivos En este ejercicio deberá copiar un GPO, crear una copia de seguridad de éste,
eliminarlo y restaurarlo.
Situación de ejemplo Es el responsable de la implementación de los estándares de escritorio
corporativo mediante la directiva de grupo para su dominio. Aunque la
mayor parte de los grupos del dominio pueden utilizar la misma configuración
de escritorio corporativo estándar, algunos departamentos necesitan una
configuración ligeramente distinta. Deberá crear un GPO base, copiarlo a
las diversas aplicaciones y modificar la configuración.
Ya que es consciente de que realizar una copia de seguridad y restaurar GPO
podría no funcionar correctamente, desea comprobar las capacidades de
recuperación y simular el plan de implementación en su entorno de prueba.
Ejercicio: Copia Copiar un GPO
de un GPO
2. En su dominio, expanda Group Policy Objects (Objetos de directiva de
grupo), haga clic con el botón secundario en EjercicioGPO, haga clic en
Copiar, haga clic con el botón secundario en Group Policy Objects
(Objetos de directiva de grupo) y, a continuación, haga clic en Pegar.
3. En el cuadro de diálogo Copy GPO (Copiar GPO), haga clic en
OK (Aceptar).
4. Una vez completada la operación de copia, haga clic en OK (Aceptar).
Ejercicio: Copia de Realizar una copia de seguridad de un GPO

seguridad de un GPO
1. En Administración de directivas de grupo, haga clic con el botón secundario
en Copy of EjercicioGPO (Copia de EjercicioGPO) y, a continuación, haga
clic en Backup (Copia de seguridad).
2. En el cuadro de diálogo Back Up Group Policy Object (Copia de
seguridad Objeto de directiva de grupo), escriba C:\ en el cuadro Location
(Ubicación) y, a continuación, haga clic en Backup (Copia de seguridad).
3. Una vez completada la operación, haga clic en OK (Aceptar).
Ejercicio: Restauración Eliminar y restaurar un GPO

de un GPO
1. En Administración de directivas de grupo, haga clic con el botón secundario
en Copy of EjercicioGPO (Copia de EjercicioGPO), haga clic en Delete
(Eliminar) y, a continuación, haga clic en OK (Aceptar).
2. Haga clic con el botón secundario en Group Policy Objects (Objetos de
directiva de grupo) y, a continuación, haga clic en Manage Backups
(Administrar copias de seguridad).
seguridad) seleccione Copia y haga clic en Restore (Restauración).
4. Cuando se le pregunte si desea restaurar la copia de seguridad, haga clic
en OK (Aceptar).
5. En el cuadro de diálogo Restore Progress (Progreso de la restauración),
haga clic en OK (Aceptar)una vez finalizada la restauración de la copia de
seguridad.
seguridad), haga clic en Close (Cerrar).
7. Compruebe que se ha restaurado el GPO.
8. Cierre Administración de directivas de grupo.
Lección: Comprobación y solución de problemas de

directivas de grupo
Introducción Puede que encuentre problemas al implementar directivas de grupo. Al solucionar

los problemas de directivas de grupo, tenga en cuenta las dependencias entre los
componentes. Por ejemplo, la directiva de grupo depende de Active Directory,
que depende de la configuración adecuada de los servicios de red.
Windows Server 2003 tiene dos funciones nuevas de administración de
directivas de grupo que ayudan a determinar el efecto de la configuración de la
directivas de grupo para un usuario o equipo particular. Estas funciones son el
Asistente para modelar directivas de grupo y Resultados de directiva de grupo.
Identificar los problemas comunes al implementar directivas de grupo.
Comprobar la configuración de directivas de grupo con el Asistente para
modelar directivas de grupo.
Comprobar la configuración de directivas de grupo con Resultados de
directiva de grupo.
Problemas habituales al implementar directivas de grupo
Introducción El primer paso para solucionar los problemas de directivas de grupo consiste
en identificar los síntomas y las posibles causas.
Cómo comprobar si se En la mayor parte de los casos no se está aplicando una configuración de directivas
aplica la configuración de grupo como se esperaba, debido a que otro GPO contiene un valor conflictivo
correcta de directivas para la misma configuración. El GPO toma prioridad debido al bloqueo de
de grupo herencia, la opción Forzada, el filtrado o el orden de aplicación. Utilice el
Asistente para modelar directivas de grupo o el Asistente de resultados de directiva
de grupo para determinar el GPO que se está utilizando para la configuración.
Síntomas, causas En la siguiente tabla se muestran algunos síntomas comunes y sus posibles
y resolución métodos de resolución.
Síntoma Resolución
No puede abrir un GPO aunque tiene permiso de lectura. Ser miembro de un grupo de seguridad con permiso
de lectura y escritura para el GPO.
Cuando trata de editar un GPO aparece el mensaje Asegúrese de que DNS funciona correctamente.
No se puede abrir el objeto de directiva de grupo.
La directiva de grupo no se aplica a usuarios y equipos en Vincule los GPO sólo a sitios, dominios y unidades
un grupo de seguridad que los contiene, incluso cuando organizativas.
un GPO está vinculado a una unidad organizativa que
contiene el grupo de seguridad.
La directiva de grupo no afecta a usuarios y equipos en Vincule un GPO a una unidad organizativa que es
un contenedor de Active Directory. primaria respecto al contenedor de Active Directory. Esta
configuración se aplica de forma predeterminada a los
usuarios y equipos del contenedor mediante la herencia.
La directiva de grupo no afecta al equipo cliente. Determine los GPO que se están aplicando mediante
Active Directory y si estos GPO tienen configuraciones
que están en conflicto con las configuraciones locales.
Cómo comprobar la configuración de directivas de grupo con el

Asistente para modelar directivas de grupo
Introducción Puede simular la implementación de una directiva para usuarios y equipos antes
de aplicar realmente las directivas. Esta función de Administración de
directivas de grupo se conoce como Conjunto resultante de directivas (RSoP,
Resultant Set of Policies) del Modo de planeamiento. Requiere un controlador
de dominio que ejecute Windows Server 2003 en el bosque. Para comprobar la
configuración de las directivas de grupo con el Asistente para modelar
directivas de grupo, deberá crear en primer lugar una consulta para modelar
directivas de grupo y, a continuación, ver dicha consulta.
Procedimiento para Para crear una nueva consulta para modelar directivas de grupo, realice los
crear una consulta siguientes pasos:
para modelar directivas
de grupo 1. Abra Administración de directivas de grupo, examine el bosque en el que
desee crear una consulta para modelar directivas de grupo, haga clic con el
botón secundario en Group Policy Modeling (Modelar directivas de grupo)
y, a continuación, haga clic en el Welcome to the Group Policy Modeling
Wizard (Asistente para modelar directivas de grupo).
2. En la página Welcome to the Group Policy Modeling Wizard (Asistente
para modelar directivas de grupo), haga clic en Siguiente, escriba la
información adecuada en las páginas del asistente y haga clic en Finalizar.
Procedimiento para ver Para ver la consulta para modelar directivas de grupo, realice los siguientes pasos:
la consulta para modelar
directivas de grupo 1. Abra Administración de directivas de grupo.
2. Vaya hasta el bosque que contiene la consulta para modelar directivas de
grupo que desea ver, expanda Group Policy Modeling (Modelar directivas
de grupo), haga clic con el botón secundario en la consulta y, a
continuación, haga clic en Advanced View (Vista avanzada).
Cómo comprobar la configuración de directivas de grupo con

Resultados de directiva de grupo
Introducción Utilice Resultados de directiva de grupo para determinar la configuración de

directiva que se aplica al equipo y al usuario que inició sesión en dicho equipo.
Aunque estos datos son similares a los datos de Modelar directivas de grupo, se
obtienen del equipo cliente en lugar de simularse en el controlador de dominio.
Para obtener los datos mediante Resultados de directiva de grupo, el equipo
cliente debe trabajar con Windows XP o Windows Server 2003.
Procedimiento para Para crear una consulta de resultados de directiva de grupo, realice los
crear una consulta de siguientes pasos:
resultados de directiva
de grupo 1. En Administración de directivas de grupo, vaya hasta Group Policy Results
(Resultados de directiva de grupo), haga clic con el botón secundario en
Group Policy Results (Resultados de directiva de grupo) y, a continuación,
haga clic en el Group Policy Results Wizard (Asistente de resultados de
directiva de grupo).
2. En la página Group Policy Results Wizard (Asistente de resultados de
directiva de grupo), haga clic en Siguiente.
3. En la página Computer Selection (Selección de equipo), seleccione el
equipo actual o haga clic en Browse (Examinar) para seleccionar otro
equipo y, a continuación, haga clic en Siguiente.
4. En la página User Selection (Selección de usuario), seleccione el usuario
actual o especifique un usuario y, a continuación, haga clic en Siguiente.
5. En la página Summary of Selections (Resumen de las selecciones),
compruebe sus selecciones y, a continuación, haga clic en Siguiente.
6. En la página Completing the Group Policy Results Wizard (Finalización
del Asistente de resultados de directiva de grupo), haga clic en Finalizar.
Procedimiento para Para ver la consulta de resultados de directiva de grupo, realice los siguientes
ver la consulta de pasos:
resultados de directiva
de grupo 1. Abra Administración de directivas de grupo.
2. Vaya hasta el bosque que contiene la consulta para modelar directivas
de grupo que desea ver, expanda Group Policy Results (Resultados de
directiva de grupo), haga clic con el botón secundario en la consulta y,
a continuación, haga clic en Advanced View (Vista avanzada).
Ejercicio: Comprobación y solución de problemas de directivas

de grupo
Objetivos En este ejercicio deberá comprobar la configuración de directivas de grupo

con el Asistente para modelar directivas de grupo.
Situación de ejemplo Desea comprobar que la configuración del GPO que planea implementar,
incluyendo la configuración de equipo y usuario para su dominio, se aplica
y resulta precisa en Northwind Traders. Decide utilizar la consola
Administración de directivas de grupo para comprobar la configuración.
Ejercicio
Comprobar la configuración de usuario y equipo para su dominio
2. Haga clic con el botón secundario en Group Policy Modeling (Modelar
directivas de grupo) y, a continuación, haga clic en el Welcome to the Group
Policy Modeling Wizard (Asistente para modelar directivas de grupo).
3. En la página Welcome to the Group Policy Modeling Wizard (Asistente
para modelar directivas de grupo), haga clic en Siguiente.
4. En la página Domain Controller Selection (Selección del controlador de
dominio), haga clic en Siguiente.
5. En la página User and Computer Selection (Selección de equipo y usuario),
en las secciones User Information (Información de usuario) e Computer
Information (Información del equipo), haga clic en Browse (Examinar),
seleccione su dominio para cada sección y haga clic en Siguiente.
6. En cada una de las siguientes páginas del asistente, haga clic en Siguiente
para aceptar la configuración predeterminada.
7. En la página Completing the Group Policy Modeling Wizard (Finalización

del Asistente para modelar directivas de grupo), haga clic en Finalizar.
8. Si aparece un cuadro de diálogo de Internet Explorer, haga clic en Add
(Agregar), en el cuadro de diálogo Trusted Sites (Sitios de confianza) haga
clic en Add (Agregar) y, a continuación, haga clic en Close (Cerrar).
9. Vea el informe en el panel de detalles y, a continuación, cierre
Administración de directivas de grupo.
Lección: Delegación del control administrativo de

directivas de grupo
Introducción Puede utilizar las directivas de grupo para delegar ciertas tareas de directiva de
grupo a otros administradores. Por ejemplo, la creación, vinculación y edición
de GPO son permisos independientes que puede delegar por separado.
Administración de directivas de grupo simplifica la administración de permisos
combinando los permisos de nivel bajo de un objeto y administrándolos como
una sola unidad. Utilice Administración de directivas de grupo para delegar
control administrativo de los GPO, directivas de grupo para un sitio, dominio y
unidad organizativa, y filtros WMI.
Explicar la delegación de GPO.
Explicar la delegación de directivas de grupo para un sitio, dominio o
unidad organizativa.
Explicar la delegación de filtros WMI.
Delegar control administrativo para administrar vínculos de directiva
de grupo.
Delegar control administrativo para crear y editar objetos de directiva
de grupo.
Delegación de GPO
Introducción Puede delegar la capacidad de crear GPO en un dominio y asignar permisos

sobre un GPO individual mediante Administración de directivas de grupo.
Delegación de la Por defecto, se asigna la capacidad para crear GPO al grupo Propietarios del
capacidad para creador de directivas de grupo. Sin embargo, puede delegar esa capacidad a
crear GPO cualquier grupo o usuario mediante una de las siguientes opciones:
Agregar el grupo o usuario al grupo Propietarios del creador de directivas
de grupo. Éste era el único método disponible antes de Administración de
directivas de grupo.
Asignar al grupo o usuario permiso explícito para crear GPO. Este método
sólo está disponible si se utiliza Administración de directivas de grupo.
Cuándo utilizar el grupo Para los usuarios y grupos dentro del dominio, utilice el grupo Propietarios
Propietarios del creador del creador de directivas de grupo para asignar permisos para crear un GPO.
de directivas de grupo Debido a que el grupo Propietarios del creador de directivas de grupo es un
grupo global de un dominio, no puede contener miembros de fuera del dominio.
Si los usuarios de fuera del dominio necesitan la capacidad de crear GPO,
realice lo siguiente:
1. Cree un nuevo grupo local de dominio en el dominio.
2. Asigne a dicho grupo permiso para la creación de GPO en el dominio.
3. Agregue usuarios de dominio externo a dicho grupo.
Comparación de los dos Los permisos son idénticos si agrega un usuario al grupo Propietarios del
métodos de delegación creador de directivas de grupo o si asigna al usuario permisos para creación
de GPO directamente mediante Administración de directivas de grupo.
Los usuarios podrán crear GPO en el dominio y disfrutar de control total de
éstos, pero no tienen permisos sobre los GPO que creen otros usuarios.
Atribuir a un usuario la capacidad de crear GPO en el dominio no lo habilita
para vincular el GPO a un sitio, dominio o unidad organizativa.
Delegación de permisos También puede administrar permisos sobre el GPO en el nivel de tarea. Las cinco
sobre un GPO individual categorías que aparecen a continuación son permisos concedidos sobre un GPO.
Leer
Modificar configuración
Editar, Eliminar, Modificar seguridad
Leer (desde el filtrado de seguridad)
Personalizado
Delegación de directivas de grupo para un sitio, dominio o unidad

organizativa
Introducción La delegación de directivas de grupo para un sitio, dominio y unidad

organizativa incluye la delegación de la capacidad para vincular GPO y delegar
permisos para Modelar directivas de grupo y Resultados de directiva de grupo.
Delegación la capacidad Administración de directivas de grupo utiliza un permiso único llamado
para vincular GPO Vincular GPO para administrar los atributos gPLink y gPOptions. Aplique la
configuración de un GPO a usuarios y equipos vinculando el GPO, ya sea como
un secundario directo o indirectamente mediante la herencia, a un sitio, dominio
o unidad organizativa que contenga los objetos del usuario o equipo.
El permiso Vincular GPO es específico para dicho sitio, dominio o unidad
organizativa. Este permiso corresponde a tener los permisos de lectura y escritura
para los atributos gPLink y gPOptions en el sitio, dominio o unidad organizativa.
Delegación de permisos Puede utilizar Modelar directivas de grupo para simular el grupo de directivas
para modelar directivas para objetos de un dominio o unidad organizativa, o bien puede delegarlo a
de grupo otros usuarios o grupos. Esta delegación asigna al usuario o grupo el permiso
Generar conjunto resultante de directivas (planeación), que está disponible en
cada bosque que tenga el esquema de Windows Server 2003.
Administración de directivas de grupo simplifica la administración de este
permiso incluyéndolo en la ficha Delegation (Delegación) para cualquier
dominio o unidad organizativa. El administrador puede seleccionar Perform
Group Policy Modeling Analyses (Realizar análisis para modelar directivas
de grupo) y, a continuación, seleccionar las propiedades de Name (Nombre),
Applies To (Se aplica a), Setting (Configuración) y Inherited (Heredado)
para las delegaciones.
Delegación de permisos Puede utilizar Resultados de directiva de grupo para leer los datos del registro
para resultados de RSoP para objetos del dominio o la unidad organizativa. Como Administración
directiva de grupo de directivas de grupo, puede delegar este permiso a otros usuarios o grupos.
Puede delegar permisos sobre un dominio o una unidad organizativa. Los
usuarios que tienen este permiso pueden leer los datos de Resultados de
directiva de grupo para cualquier objeto de dicho contenedor. Esta delegación
también asigna al usuario o grupo el permiso Generar conjunto resultante de
directivas (registro), que está disponible en cada bosque que tenga el esquema
de Windows Server 2003.
Administración de directivas de grupo simplifica la administración de este
permiso incluyéndolo en la ficha Delegation (Delegación) para el dominio o
unidad organizativa. El administrador puede seleccionar Read Group Policy
Results Data (Leer los datos de Resultados de directiva de grupo) y, a
continuación, seleccionar los usuarios y grupos que tienen este permiso.
Delegación de filtros WMI
Introducción Puede delegar la capacidad para crear filtros WMI en un dominio y asignar
permisos sobre ellos.
Delegación de la Puede crear filtros WMI en el contenedor de filtros WMI en Administración
capacidad para crear de directivas de grupo. Cuando cree un filtro WMI nuevo, Active Directory
filtros WMI lo almacenará en el contenedor WMIPolicy en el contenedor del sistema del
dominio. Los permisos del contenedor WMIPolicy determinan los permisos
que tiene un usuario para crear, editar y eliminar filtros WMI.
Existen dos permisos para crear filtros WMI:
Creator Owner. Permite al usuario crear filtros WMI nuevos en el dominio.
No asigna permisos al usuario sobre filtros WMI creados por otros usuarios.
Control total. Permite al usuario crear filtros WMI y asignar control total
sobre todos los filtros WMI del dominio, incluidos los filtros nuevos que el
usuario crea tras de obtener este permiso.
Delegación de permisos Puede utilizar Administración de directivas de grupo para delegar permisos
sobre un filtro WMI sobre un filtro WMI determinado. Existen dos permisos que puede asignar a un
usuario o grupo:
Editar. Permite al usuario o grupo editar el filtro WMI.
Control total. Permite al usuario o grupo editar, eliminar y modificar la
seguridad sobre el filtro WMI.
Cómo delegar control administrativo para administrar vínculos de

directiva de grupo
Introducción Puede delegar la capacidad de administrar vínculos de directiva de grupo

seleccionando Administrar vínculos de directiva de grupo en el Asistente
para delegación de control con el fin de habilitar a un usuario para vincular y
desvincular GPO.
Procedimiento Para delegar control administrativo para administrar vínculos de directiva de
grupo, realice los siguientes pasos:
1. Abra Administración de directivas de grupo.
2. Vaya hasta el bosque y el dominio en el que desea delegar control
administrativo para administrar vínculos de directiva de grupo y, a
continuación, haga clic en el vínculo.
3. En el panel de detalles, en la ficha Delegation (Delegación), haga clic en
Add (Agregar).
4. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en el
cuadro Escriba el nombre de objeto que desea seleccionar (ejemplos),
introduzca el principal de seguridad, haga clic en Comprobar nombres y,
a continuación, haga clic en Aceptar.
5. En el cuadro de diálogo Add Group or User (Agregar usuario o grupo), en
el cuadro Permissions (Permisos), seleccione el permiso adecuado y haga
Nota Si prefiere la flexibilidad del cuadro de diálogo Properties

(Propiedades), está disponible en Administración de directivas de grupo
haciendo clic en Advanced (Opciones avanzadas) en la ficha Delegation
(Delegación).
Cómo delegar control administrativo para crear y editar GPO
Introducción Utilice el Asistente para delegación de control con el fin de delegar control
administrativo para crear y editar GPO.
Procedimiento Para delegar control administrativo para crear GPO, realice los siguientes
para delegar control pasos:
administrativo para
crear GPO 1. Abra Administración de directivas de grupo.
2. Vaya hasta el bosque y el dominio en el que desea delegar control
administrativo para crear GPO y, a continuación, haga clic en Group Policy
Objects (Objetos de directiva de grupo).
Add (Agregar).
Procedimiento para Para delegar control administrativo para editar GPO, realice los siguientes pasos:
delegar control
administrativo para 1. Abra Administración de directivas de grupo.
editar GPO 2. Vaya hasta el bosque y el dominio en el que desea delegar control
administrativo para editar GPO y, a continuación, haga clic en el vínculo.
Add (Agregar).
Ejercicio: Delegación del control administrativo de directivas

de grupo
Objetivos En este ejercicio deberá agregar la cuenta del administrador junior al grupo
Propietarios del creador de directivas de grupo y delegarle la capacidad para
administrar vínculos de directiva de grupo.
Situación de ejemplo Ha decidido delegar a un administrador junior administración de directivas de
grupo para las unidades organizativas Accounting, Accounts Payable y
Accounts Receivable. Éste será responsable de la vinculación y desvinculación
de GPO, la creación de nuevos GPO y la modificación de los GPO existentes.
También administrará otros objetos de las unidades organizativas.
Ejercicio
Delegar control administrativo de directivas de grupo a un usuario
2. Expanda Forest (Bosque), expanda Domains (Dominios), expanda
SuDominio, expanda Group Policy Objects (Objetos de directiva de grupo)
y, a continuación, haga clic en EjercicioGPO.
3. En la ficha Delegation (Delegación), agregue
Nwtradersx\NombreDeEquipo\User a la lista con los permisos Edit
settings (Editar configuración), delete (eliminar) y modify security
(modificar la seguridad) haga clic en OK (Aceptar).
4. En Administración de directivas de grupo, haga clic en SuDominio y, a
continuación, en el panel de detalles, haga clic en el vínculo a
EjercicioGPO.
Add (Agregar).

cuadro Escriba el nombre de objeto que desea seleccionar, introduzca
Nwtradersx\NombreDeEquipo\User, haga clic en Comprobar nombres y,
8. Cierre Administración de directivas de grupo.
Lección: Planeamiento de una estrategia empresarial de

directivas de grupo
Introducción Al planear una estructura de Active Directory, cree un plan para la herencia,
administración e implementación de GPO que proporcione la administración
más eficaz de directivas de grupo para su organización.
Tenga en cuenta también cómo implementará la directiva de grupo para la
organización. Asegúrese de tener en cuenta la delegación de autoridad, la
separación de obligaciones administrativas, la administración central y la
descentralizada y la flexibilidad de diseño, de modo que su plan proporcione
el uso y la administración más sencillos.
Explicar las directrices para el planeamiento de GPO.
Explicar las directrices para la determinación de la herencia de GPO.
Explicar las directrices para la determinación de una estrategia de directivas
de grupo para sitios.
Explicar las directrices para el planeamiento de la administración de GPO.
Explicar las directrices para la implementación de GPO.
Directrices para el planeamiento de GPO
Introducción Cree GPO de modo que obtenga el diseño más sencillo y más fácil de
administrar, con el que pueda utilizar la herencia y varios vínculos.
Directrices Aplique las siguientes directrices para el planeamiento de GPO:
Aplicar la configuración de GPO al nivel más alto. De este modo podrá
aprovechar la herencia de directiva de grupo. Determine la configuración
habitual de GPO para el contenedor más grande, empezando por el dominio
y, a continuación, vincule el GPO a dicho contenedor.
Reducir el número de GPO. Reduzca el número utilizando varios vínculos
en lugar de crear varios GPO idénticos. Intente vincular un GPO al
contenedor más amplio posible para evitar la creación de varios vínculos
del mismo GPO en un nivel más bajo.
Crear GPO especializados. Utilice estos GPO para aplicar configuraciones
exclusivas cuando sea necesario. Los GPO de un nivel más alto no aplicarán
la configuración de estos GPO especializados.
Deshabilitar los valores de configuración de equipo o usuario. Al crear un
GPO para contener la configuración de sólo uno de los dos niveles, usuario
o equipo, deshabilite la otra área. Así se mejora el funcionamiento de una
aplicación de GPO durante el inicio de sesión del usuario y se evita la
aplicación en la otra área de valores de GPO accidentales.
Directrices para determinar la herencia de GPO
Introducción La herencia de GPO desempeña un papel importante en la implementación de

directivas de grupo en una empresa. Por eso, debe decidir de antemano si va a
aplicar directivas de grupo a todos los usuarios y equipos o sólo a algunos.
Directrices Aplique las siguientes directrices para determinar la herencia de GPO:
Utilizar la opción Forzada (No reemplazar) sólo cuando sea necesario.
Utilice esta opción sólo para GPO que desee imponer de forma absoluta,
como configuraciones de seguridad impuestas por la empresa. Asegúrese
de diseñar los GPO para que contengan sólo estos valores importantes.
Utilizar Bloquear la herencia con moderación. Esta configuración dificulta
la solución de problemas y la administración de GPO.
Utilizar filtrado de seguridad sólo cuando sea necesario. Utilice filtrado de
seguridad cuando la configuración se aplique sólo a un grupo de seguridad
específico en un contenedor. Limite la cantidad de filtrado de seguridad
creando y vinculando GPO en el nivel adecuado.
Directrices para determinar una estrategia de directivas de grupo

para sitios
Introducción Puede vincular GPO a un sitio, con lo que se impone la configuración a todos
los equipos y usuarios situados físicamente en ese sitio. Cuando se establece la
directiva de grupo en el nivel del sitio, no afecta a usuarios móviles de dicho
sitio si tienen acceso a la red desde otro sitio.
Directrices Aplique las siguientes directrices para la determinación de una estrategia de
directivas de grupo para sitios:
Aplicar un GPO a un sitio sólo cuando la configuración sea específica para
el sitio y no para el dominio. Puede ser difícil la solución de problemas de
configuración de GPO vinculada al sitio.
Crear GPO en el dominio con más controladores de dominio del sitio.
Se entra en contacto con un controlador del dominio que contenga el GPO
vinculado al sitio antes de aplicar el GPO, independientemente del dominio
del que sea miembro el usuario o equipo.
Directrices para el planeamiento de la administración de GPO
Introducción Asegúrese de documentar la siguiente información sobre su estrategia para

administrar GPO en la organización.
Directrices Aplique las siguientes directrices para planificar la administración GPO:
Identificar su estrategia administrativa para administrar GPO. Determine
quién creará y vinculará GPO en la organización y quién vinculará GPO
pero no los creará. Además, determine quién administra GPO.
Organizar GPO de acuerdo con el mantenimiento administrativo. De este
modo podrá delegar control de GPO al grupo adecuado y reducirá las
posibilidades de que un administrador sustituya cambios que realizó otro
administrador en un GPO. Por ejemplo, puede organizar la directiva de
grupo en las siguientes categorías de administración:
• Administración de la configuración de usuario
• Administración de datos
• Distribución del software
Planear la auditoria de GPO. Puede que su organización precise que
registre cambios en los GPO y su uso de modo que pueda comprobar que
Active Directory ha aplicado la configuración correctamente.
Directrices para la implementación de GPO
Introducción Al planear la implementación de directivas de grupo, asegúrese de comprobar y

documentar su estrategia de directiva de grupo.
Directrices Aplique las siguientes directrices para la implementación de GPO:
Comprobar la configuración de directivas de grupo. Comprobar los
resultados de GPO en numerosas situaciones. Muchas organizaciones de
tamaño medio o grande crean una versión en miniatura del entorno de
producción para usarlo como prueba. En las organizaciones pequeñas en
las que faltan recursos para crear una prueba, implementar la directiva de
grupo en el entorno de producción durante las horas de menos trabajo y
tener disponible una estrategia de regresión para rectificar cualquier
problema. La comprobación de estrategias incluye:
• Inicio de sesión como usuarios representativos en lugares de trabajo
representativos para comprobar que se ha aplicado la configuración
esperada de directiva de grupo y que no tiene lugar ningún conflicto de
herencia. Puede utilizar el Asistente para modelar directivas de grupo y
el Asistente de resultados de directiva de grupo para determinar qué
configuración de directiva de grupo de qué GPO se ha aplicado.
• Inicio de sesión en todas las condiciones posibles para asegurar que la
configuración de directiva de grupo se ha aplicado correctamente.
• Comprobación de los equipos portátiles conectándolos a la red desde
diversos sitios en que los usuarios suelan iniciar sesión.
Documentar el plan de directiva de grupo. Guardar siempre una lista

detallada de todos los GPO de modo que pueda resolver los problemas y
administrar la directiva de grupo fácilmente. Tener en cuenta la inclusión de
la siguiente información en la lista:
• El nombre y objetivo de cada GPO.
• Configuración de directivas de grupo en cada GPO.
• Vínculos del GPO a un sitio, dominio o unidad organizativa.
• Cualquier configuración especial aplicada al GPO, como Forzada,
deshabilitación parcial y deshabilitación total.
Ejercicio: Implementar la directiva de grupo
Ubicación de Para ver la actividad Implementar la directiva de grupo, abra el archivo

los archivos media17_2.htm que se encuentra dentro del fichero media17.zip
Objetivo En este ejercicio deberá determinar el efecto de la aplicación de varias
configuraciones de directiva de grupo y de la herencia de GPO.
Instrucciones La actividad Implementar la directiva de grupo incluye varias opciones y
ejercicios de arrastrar y soltar para evaluar sus conocimientos. Lea las
instrucciones y después comience la actividad en la ficha Efectos de la
configuración de directivas de grupo.

17

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

17

Uploaded by

Copyright:

Available Formats

Implementación de

Lección: Creación y configuración de GPO

Introducción Las directivas de grupo le otorgan control administrativo sobre usuarios y

Presentación multimedia: Introducción a la directiva de grupo

Ubicación de Para ver la presentación multimedia Introducción a la directiva de grupo, abra

Plantillas administrativas Configuración basada en el registro para establecer la

Nota Para obtener más información acerca de la creación y vinculación

Introducción Windows Server 2003 aplica las configuraciones de directivas de grupo

Por qué especificar un controlador de dominio para la

Introducción Administración de directivas de grupo utiliza el emulador del controlador de

Importante Si varios administradores administran un GPO común, se

Opciones para Puede especificar un controlador de dominio para administrar GPO

Cómo especificar un controlador de dominio para la administración

Introducción Utilice la Consola de administración de directivas de grupo para especificar un

Qué son los filtros WMI

Cómo filtrar la configuración de directivas de grupo con filtros WMI

En el ejemplo, el valor de DriveType = 3 es un disco duro. Las unidades

Qué es el procesamiento de bucle invertido

Cómo configurar el modo de procesamiento de bucle invertido de

Introducción Para habilitar el procesamiento de bucle invertido, debe seleccionar la opción

Ejercicio: Creación y configuración de GPO

Objetivos En este ejercicio deberá instalar la Consola de administración de directivas de

7. En la página License Agreement (Contrato de licencia), haga clic en

13. En el árbol de la consola, en la lista de Group Policy Objects (Objetos de

Lección: Configuración de la frecuencia de actualización

Introducción Windows Server 2003 ejecuta la configuración y las directivas de equipo y

Cuándo se aplica la directiva de grupo

4. Se ejecutan las secuencias de comandos de inicio. De manera predeterminada,

Nota Se puede ajustar el valor de tiempo de espera configurando el tiempo

5. El usuario presiona CTRL-ALT-SUPR para iniciar la sesión.

Cómo asignar configuración de secuencia de comandos de

Introducción Al implementar una secuencia de comandos, se utiliza la directiva de grupo

Nota Para obtener información adicional acerca de la creación de una

Cómo configurar la frecuencia de actualización de los

Introducción Cuando las directivas de grupo detectan un vínculo lento, establecen un

Procesamiento de directivas Activado Activado No

Procesamiento de directivas Activado Activado No

Procedimiento Para configurar los componentes de directiva de grupo que se actualizan y se

Cómo configurar la frecuencia de actualización de controladores

Introducción Puede cambiar la frecuencia de actualización predeterminada modificando la

Equipos que trabajan con Cada 90 minutos. También se actualiza en una

Procedimiento Para configurar la frecuencia de actualización, realice los siguientes pasos:

Nota Si deshabilita esta configuración, la directiva de grupo se actualizará por

Cómo actualizar la configuración de directivas de grupo en un

Introducción Puede actualizar un objeto de directiva de grupo con el comando gpupdate.

En la siguiente tabla se describen los parámetros de la sintaxis de gpupdate.

Ejercicio: Configuración de la frecuencia de actualización y valores

Objetivos En este ejercicio deberá configurar el intervalo de actualización de directivas de

4. Haga doble clic en Intervalo de actualización de la directiva de grupo

Lección: Administración de GPO

Introducción Utilice la Consola de administración de directivas de grupo para administrar

Qué es una operación de copia

Cómo copiar un GPO

iii. En la página Scanning Original GPO (Búsqueda del GPO original)

Nota Puede que no aparezcan algunos de estos pasos si está copiando un

Qué es una operación de copia de seguridad

Introducción Cuando Administración de directivas de grupo realiza una copia de seguridad

Nota Asegúrese de que el directorio de copia de seguridad se encuentra en una

Cómo realizar una copia de seguridad de un GPO

Qué es una operación de restauración

Introducción La operación de restauración devuelve el contenido del GPO al mismo estado

Cómo restaurar un GPO

Introducción Para restaurar un GPO existente con Administración de directivas de grupo,

Qué es una operación de importación

Documentar el plan de directiva de grupo. Guardar siempre una lista