6591895-17

Contenido

Introducción 2

Lección: Creación y configuración de GPO 3

Lección: Configuración de la frecuencia de actualización y valores de directivas de grupo 19

Lección: Administración de GPO 31

Lección: Comprobación y solución de problemas de directivas de grupo 45

Lección: Delegación del control administrativo de directivas de grupo 53

Lección: Planeamiento de una estrategia empresarial de directivas de grupo 64

Implementación de directivas de grupo

2 Implementación de directivas de grupo

Introducción

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Las directivas de grupo del servicio de directorio Active Directory® se utilizan para administrar de forma centralizada los usuarios y equipos de una empresa. Se pueden centralizar las directivas configurando las directivas de grupo para una organización completa en el dominio del sitio o en un nivel de unidad organizativa. O bien, se puede descentralizar la configuración de las directivas de grupo configurándolas para cada departamento en un nivel de unidad organizativa.

Puede asegurarse de que los usuarios tengan los entornos de usuario que necesitan para realizar sus trabajos e imponer las directivas de una organización, incluidas las normas, metas y requisitos de seguridad de la empresa. Además, podrá disminuir los gastos totales de propiedad controlando los entornos de usuario y equipo, y reduciendo así el nivel de soporte técnico que necesitan los usuarios y la pérdida de productividad de los usuarios debida a errores de los mismos.

Después de finalizar este módulo, podrá:

Crear y configurar objetos de directiva de grupo (GPO, Group Policy Object). Configurar la frecuencia de actualización y valores de directivas de grupo. Administrar GPO. Comprobar y solucionar problemas de directivas de grupo. Delegar el control administrativo de directivas de grupo. Planear una estrategia empresarial de directivas de grupo.

Introducción

Objetivos

Implementación de directivas de grupo 3

Lección: Creación y configuración de GPO


Las directivas de grupo le otorgan control administrativo sobre usuarios y equipos en su red. Con las directivas de grupo puede definir una vez el estado del entorno de trabajo de un usuario y, a continuación, confiar en Microsoft® Windows Server™ 2003 para que imponga de forma continua la configuración de las directivas de grupo que haya definido. La configuración de directiva de grupo se puede aplicar a toda la organización o a grupos específicos de usuarios y equipos.

Después de finalizar esta lección, podrá:

Explicar el propósito de las directivas de grupo y cómo se procesan en Active Directory.

Describir los componentes de GPO. Explicar el propósito de la especificación de un controlador de dominio para

la administración de GPO. Especificar un controlador de dominio para la administración de GPO. Explicar el propósito de los filtros de Instrumental de administración de

Windows (WMI, Windows Management Instrumentation). Filtrar la configuración de directivas de grupo con filtros WMI. Explicar el propósito del procesamiento de bucle invertido. Configurar el modo de procesamiento de bucle invertido de la directiva de

grupo de usuario.

Introducción

Objetivos de la lección


Presentación multimedia: Introducción a la directiva de grupo


Para ver la presentación multimedia Introducción a la directiva de grupo, abra el archivo media17_1.htm que se encuentra dentro del fichero media17.zip


Describir los tipos de configuración que se pueden definir en las directivas de grupo.

Describir cómo aplica Windows Server 2003 los objetos de directiva de grupo.

Ubicación de los archivos

Objetivos


Se pueden configurar las directivas de grupo para definir las directivas que afectan a usuarios y equipos. En la tabla siguiente se describen los tipos de configuración que se pueden establecer.

Tipo de configuración Descripción Plantillas administrativas Configuración basada en el registro para establecer la

configuración de la aplicación y los entornos de estación de trabajo del usuario

Secuencias de comandos Configuración para indicar cuándo Windows Server 2003 ejecuta secuencias de comandos específicas

Servicios de instalación remota

Configuración que controla las opciones disponibles para los usuarios al ejecutar el Asistente para instalación de clientes que utilizan los Servicios de instalación remota (RIS)

Mantenimiento de Internet Explorer

Configuración para administrar y personalizar Microsoft Internet Explorer en equipos que ejecuten Windows Server 2003

Redireccionamiento de carpetas

Configuración para almacenar carpetas de perfil de usuario específicas en un servidor de red

Seguridad Configuración para la seguridad del equipo, dominio y red locales

Instalación de software Configuración para centralizar la administración de instalaciones de software, actualizaciones y eliminaciones

Los GPO están vinculados a sitios, dominios y unidades organizativas. Se pueden establecer directivas centralizadas que afecten a toda la organización y directivas descentralizadas que afecten a un departamento en particular. No hay jerarquía de dominios a diferencia de las unidades organizativas, que se dividen en unidades organizativas primarias y secundarias.

El orden en que Windows Server 2003 aplica los GPO se basa en el contenedor de Active Directory al que están vinculados los GPO. Windows Server 2003 aplica los GPO en primer lugar al sitio, luego a los dominios y, a continuación, a las unidades organizativas dentro de los dominios.

Algunas configuraciones de GPO son multivalor. Estas configuraciones se tratan como configuraciones de valor único. Es decir, si la configuración se define en varios GPO, sólo se aplica la configuración en uno de los GPO que se adhiera a las normas de herencia.

Puede evitar que un contenedor secundario adquiera todos los GPO de contenedores primarios habilitando Bloquear la herencia en el contenedor secundario. El bloqueo de herencia resulta útil cuando un contenedor de Active Directory requiere una configuración de directiva de grupo exclusiva.

La opción Forzada (denominada No reemplazar si la Consola de administración de directivas de grupo no está instalada) es un atributo del vínculo, no del GPO. Si el mismo GPO está vinculado a otro sitio, la opción Forzada no se aplica a ese vínculo a menos que se modifique también. Si tiene un GPO vinculado a varios contenedores, podrá configurar la opción Forzada de forma individual para cada contenedor. Cuando se establece más de un vínculo como Forzada, los GPO vinculados se aplican a un contenedor común. Si contienen configuraciones que entran en conflicto, tiene prioridad el GPO superior en la jerarquía de Active Directory.

Tipos de configuración

Flujo de herencia

Orden en que se procesan los GPO

Configuración de GPO multivalor

Bloquear la herencia

Opción Forzada


Puede que necesite vincular GPO que estén asociados a otros objetos del directorio. Si configura los permisos adecuados para grupos de seguridad, podrá filtrar la directiva de grupo para que se aplique sólo a los equipos y usuarios que indique.

La Consola de Administración de directivas de grupo es un conjunto de interfaces programables para administrar las directivas de grupo y un complemento de Microsoft Management Console (MMC) instalado en dichas interfaces programables. En conjunto, los componentes de Administración de directivas de grupo unifican la administración de directivas de grupo en la empresa.

Para obtener más información acerca de la creación y vinculación de GPO y de la herencia de la directiva de grupo, consulte el módulo 8, “Implementar la Directiva de grupo”, del curso 2146A, Administración de un entorno Microsoft Windows Server 2003.

Filtrado de GPO

Consola de administración de directivas de grupo

Nota


Componentes de GPO


Windows Server 2003 aplica las configuraciones de directivas de grupo contenidas en el GPO a los objetos de usuario y equipo en el sitio, dominio y unidad organizativa a los que está asociado el GPO. El contenido de un GPO se almacena en dos ubicaciones: el Contenedor de directivas de grupo (GPC, Group Policy container) y la Plantilla de directiva de grupo (GPT, Group Policy template).

El GPC es un objeto de Active Directory que contiene estado de GPO, información de la versión, información de filtro WMI y una lista de componentes que tienen configuraciones en el GPO. Los equipos pueden tener acceso al GPC para localizar las plantillas de directivas de grupo y los controladores de dominio pueden tener acceso al GPC para obtener información de la versión. Si el controlador de dominio no tiene la versión más reciente del GPO, se produce una replicación para obtener la última versión del GPO.

La GPT es una jerarquía de carpetas en la carpeta compartida SYSVOL en un controlador de dominio. Al crear un GPO, Windows Server 2003 crea la GPT correspondiente que contiene todas las configuraciones de directivas de grupo e información que incluye plantillas administrativas, seguridad, instalación del software, secuencias de comandos y configuración de redireccionamiento de la carpeta. Los equipos se conectan a la carpeta SYSVOL para obtener la configuración.

El nombre de la carpeta GPT es el identificador único global (GUID, Globally Unique Identifier) del GPO que ha creado. Es idéntico al GUID que utiliza Active Directory para identificar el GPO en el GPC. La ruta para la GPT en un controlador de dominio es systemroot\SYSVOL\sysvol.

Introducción

Contenedor de directivas de grupo

Plantilla de directiva de grupo


Por qué especificar un controlador de dominio para la administración de GPO


Administración de directivas de grupo utiliza el emulador del controlador de dominio principal (PDC, primary domain controller) en cada dominio como el controlador de dominio predeterminado.

Para evitar conflictos de replicación, considere la selección del controlador de dominio, especialmente porque los datos de GPO residen tanto en Active Directory como en la carpeta SYSVOL. Active Directory utiliza dos mecanismos de replicación independientes para replicar datos de GPO a los distintos controladores del dominio. Si dos administradores editan de forma simultánea el mismo GPO en distintos controladores de dominio, los cambios de un administrador pueden sustituir los realizados por el otro administrador, dependiendo de la latencia de la replicación.

Por defecto, la Consola de administración de directivas de grupo utiliza el emulador del PDC en cada dominio para garantizar que todos los administradores utilizan el mismo controlador de dominio. Sin embargo, puede que no siempre quiera utilizar el emulador del PDC. Por ejemplo, si reside en una ubicación remota o si la mayoría de los usuarios o equipos de destino del GPO se encuentran en una ubicación remota, puede que desee identificar un controlador de dominio en la misma.

Si varios administradores administran un GPO común, se recomienda que todos los administradores utilicen el mismo controlador de dominio al modificar un GPO particular para evitar colisiones en los Servicios de replicación de archivos (FRS, File Replication Services).

Introducción

Por qué seleccionar un controlador de dominio específico

Emulador del PDC

Importante


Puede especificar un controlador de dominio para administrar GPO seleccionando alguna de las siguientes opciones:

The domain controller with the Operations Master token for the PDC emulator (El que tiene el símbolo del maestro de operaciones para el emulador PDC). Ésta es la opción por defecto y la preferida.

Any available domain controller (Usar cualquier controlador de dominio disponible). Al usar esta opción, seleccionará probablemente un controlador de dominio en el sitio local.

Any available domain controller running Windows 2003 or later (Cualquier controlador de dominio disponible que ejecute Windows 2003 o posterior). Esta opción no está disponible en entornos que contengan tanto Windows Server 2003 como servidores de Microsoft Windows® 2000.

This domain controller (Este controlador de dominio). Al usar esta opción estará seleccionando el controlador de dominio actual.

Opciones para seleccionar un controlador de dominio


Cómo especificar un controlador de dominio para la administración de GPO


Utilice la Consola de administración de directivas de grupo para especificar un controlador de dominio para dominios o sitios.

Para especificar un controlador de dominio, realice los siguientes pasos:

1. Abra Administración de directivas de grupo, expanda el bosque, expanda Domains (Dominios) y utilice uno de los siguientes métodos:

• Para especificar un controlador de dominio para utilizarlo en operaciones de dominio, haga clic con el botón secundario del mouse (ratón) en el dominio necesario y, a continuación, haga clic en Change Domain Controller (Cambiar el controlador de dominio).

• Para especificar un controlador de dominio para utilizarlo en operaciones en sitios, haga clic con el botón secundario del mouse en Sites (Sitios) y, a continuación, haga clic en Change Domain Controller (Cambiar el controlador de dominio).

2. En el cuadro de diálogo Change Domain Controller (Cambiar el controlador de dominio), en Change to (Cambiar a), haga clic en This domain controller (Este controlador de dominio) y, a continuación, haga clic en OK (Aceptar).

Introducción

Procedimiento


Qué son los filtros WMI


Utilice los filtros WMI para determinar de forma dinámica el ámbito de los GPO en función de los atributos del usuario o del equipo. De esta forma podrá ampliar las capacidades de filtrado para los GPO del grupo de seguridad más allá de los mecanismos de filtrado del grupo de seguridad que estaban disponibles anteriormente. Un filtro WMI está vinculado a un GPO. Al aplicar un GPO a un equipo de destino, Active Directory evalúa el filtro en el equipo de destino. Un filtro WMI se compone de una o más consultas que Active Directory evalúa respecto al repositorio WMI del equipo de destino. Si el conjunto total de consultas es falso, Active Directory no aplica el GPO. Si todas las consultas son verdaderas, Active Directory aplica el GPO. Escriba la consulta utilizando el Lenguaje de consultas de WMI (WQL, WMI Query Language), que es un lenguaje similar a SQL para consultar al repositorio WMI. Cada GPO sólo puede tener un filtro WMI. Sin embargo, puede vincular el mismo filtro WMI a varios GPO. Al igual que los GPO, los filtros WMI se aplican sólo a un objeto de domino cada vez. Puede utilizar los filtros WMI para identificar directivas en función de distintos objetos de la red. En la siguiente lista se incluyen algunos ejemplos de usos de los filtros WMI.

Servicios. Equipos con DHCP instalado y ejecutándose. Inventario de hardware. Los equipos con procesador Pentium III y al menos

128 megabytes (MB) de RAM. Configuración de software. Equipos con multidifusión activada.

Para equipos cliente que ejecutan Microsoft Windows 2000, Active Directory ignora los filtros WMI y aplica siempre el GPO.

Introducción

Cómo funciona un filtro WMI

Usos de los filtros WMI


Cómo filtrar la configuración de directivas de grupo con filtros WMI


Puede crear nuevos filtros WMI desde el contenedor de filtros WMI de la Consola de administración de directivas de grupo. También puede importar un filtro que haya sido exportado con anterioridad.

Para crear un filtro WMI y vincularlo a un GPO, realice los siguientes pasos:

1. Abra Administración de directivas de grupo, expanda el bosque que contiene el GPO al que desea agregar un filtro WMI, expanda Domains (Dominios), expanda el dominio que contiene el GPO, expanda WMI Filters (Filtros WMI), haga clic con el botón secundario en WMI Filters (Filtros WMI) y, a continuación, haga clic en New (Nuevo).

2. En el cuadro de diálogo New WMI Filters (Nuevo Filtros WMI), en el cuadro Name (Nombre), escriba un nombre para la consulta.

3. En el cuadro Description (Descripción), escriba una descripción de la consulta.

4. Haga clic en Add (Agregar). 5. En el cuadro de diálogo WMI Query (Consulta WMI), en el cuadro

Namespace (Espacio de nombre), escriba la ruta del espacio de nombres de la consulta o haga clic en Examinar para ver una lista de los espacios de nombres disponibles. Para cada consulta deberá especificar el espacio de nombres WMI en el que se debe ejecutar la consulta. El espacio de nombres por defecto es raíz\CIMv2, que debería ser adecuado para la mayor parte de las situaciones.

6. En el cuadro Query (Consulta), escriba una consulta WQL válida y haga clic en OK (Aceptar).

7. En el cuadro de diálogo New WMI Filters (Nuevo Filtros WMI), haga clic en Save (Guardar).

8. Expanda Group Policy Objects (Group Policy Objects (Objetos de directiva de grupo)) y arrastre el filtro WMI hasta un GPO.

Introducción

Procedimiento


Por ejemplo, para equipos con más de 10 MB de espacio disponible en las unidades C, D o E, las particiones deben encontrarse en un o más discos duros y deben ejecutar el sistema de archivos NTFS. Escriba la siguiente consulta WMI:

Select * FROM Win32LogicalDisk WHERE (Name = "C:" OR Name = "D:" OR Name = "E:") AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = "NTFS"

En el ejemplo, el valor de DriveType = 3 es un disco duro. Las unidades FreeSpace están en bytes (10 MB = 10.485.760 bytes).

Ejemplo de consulta WQL


Qué es el procesamiento de bucle invertido


Por defecto, los GPO de un usuario determinan la configuración de usuario que se debe aplicar cuando un usuario inicia sesión en el equipo. Por el contrario, el procesamiento de bucle invertido aplica la configuración de GPO para el equipo a cualquier usuario que inicie sesión en el equipo al que afecte esta configuración. El procesamiento de bucle invertido está destinado a equipos de uso especial, como equipos en lugares públicos, laboratorios y aulas, donde se debe modificar la configuración de usuario basándose en el equipo utilizado.

Por ejemplo, el usuario cuyo objeto de usuario se encuentre en la unidad organizativa Sales inicia sesión en un equipo. El objeto de equipo se encuentra en la unidad organizativa Servers. La configuración de directiva de grupo que se aplican al usuario se basa en cualquier GPO vinculado a la unidad organizativa Sales o a cualquier contenedor principal. La configuración que se aplica al equipo se basa en cualquier GPO vinculado a la unidad organizativa Servers o a cualquier contenedor principal.

Sin embargo, puede que este comportamiento predeterminado no resulte adecuado para determinados servidores o equipos dedicados a una tarea concreta. Por ejemplo, las aplicaciones que están asignadas a un usuario no deberían aparecer como disponibles de forma automática en un servidor.

El procesamiento de bucle invertido tiene dos modos:

Modo de sustitución. Este modo reemplaza la configuración de usuario definida en los GPO del equipo por la configuración de usuario que se aplica normalmente al usuario.

Modo de combinación. Este modo combina la configuración de usuario definida en los GPO del equipo con la configuración de usuario que se aplica normalmente al usuario. Si hay un conflicto entre las configuraciones, la configuración de usuario en los GPO del equipo tiene prioridad sobre la configuración normal del usuario.

Introducción

Ejemplo

Modos de procesamiento de bucle invertido


Cómo configurar el modo de procesamiento de bucle invertido de la directiva de grupo de usuario


Para habilitar el procesamiento de bucle invertido, debe seleccionar la opción Modo de procesamiento de bucle invertido de la directiva de grupo de usuario en Administración de directivas de grupo.

Para configurar el Modo de procesamiento de bucle invertido de la directiva de grupo de usuario, realice los siguientes pasos:

1. Abra Administración de directivas de grupo, expanda el bosque, expanda Domains (Dominios), expanda su dominio y, por último, haga clic en Group Policy Objects (Objetos de directiva de grupo).

2. En el panel de detalles, haga clic con el botón secundario del mouse en el objeto de directiva de grupo y, a continuación, haga clic en Edit (Editar).

3. En Editor de objetos de directiva de grupo, expanda Configuración del equipo, expanda Plantillas administrativas, expanda Sistema y, a continuación, haga clic en Directiva de grupo.

4. Haga doble clic en Modo de procesamiento de bucle invertido de la directiva de grupo de usuario, si aún no está seleccionado, haga clic en Habilitada.

5. En Modo, haga clic en Sustituir o Combinar y, a continuación, haga clic en Aceptar.

Introducción

Procedimiento


Ejercicio: Creación y configuración de GPO


En este ejercicio deberá instalar la Consola de administración de directivas de grupo y crear y configurar los GPO para su dominio.

Como ingeniero de sistemas de Northwind Traders, es el responsable de implementar la directiva de grupo para la organización. Deberá instalar Administración de directivas de grupo y crear los GPO para ayudar a imponer el entorno de escritorio. Deberá quitar la opción de menú Ejecutar para todos los usuarios y, a continuación, quitar el comando de cierre del menú. También desea aplicar esta directiva sólo a los equipos en los que la unidad C contiene al menos 10 MB de espacio libre en disco y que están configurados con el sistema de archivos NTFS.

� Instalar la Consola de administración de directivas de grupo

1. Inicie sesión en su dominio como NombreDeEquipo\User (donde NombreDeEquipo es el nombre del equipo en el que está trabajando) con la contraseña P@ssw0rd

2. Haga clic en Inicio, haga clic con el botón secundario del mouse en Símbolo del sistema y, a continuación, haga clic en Ejecutar como.

3. En el cuadro de diálogo Ejecutar como, haga clic en El siguiente usuario, escriba un nombre de usuario de Nwtradersx\Administrador con la contraseña P@ssw0rd y, a continuación, haga clic en Aceptar.

4. En el símbolo del sistema, escriba \\LONDON\SETUP\GPMC.MSI y, a continuación, presione ENTRAR.

5. En el cuadro de diálogo Descarga de archivos, haga clic en Abrir. 6. En la página Welcome to the Microsoft Group Policy Management

Console Setup Wizard (Asistente de instalación de la Consola de administración de de directivas de grupo), haga clic en Next (Siguiente).

Objetivos

Situación de ejemplo

Ejercicio: Instalación de la Consola de administración de directivas de grupo (GPMC, Group Policy Management Console)


7. En la página License Agreement (Contrato de licencia), haga clic en I Agree (Acepto)y, a continuación, haga clic en Next (Siguiente).

8. En la página Completing the Microsoft Group Policy Management Console Setup Wizard (Finalización del Asistente de instalación de la Consola de administración de directivas de grupo), haga clic en Finish (Finalizar).

9. Cierre el símbolo del sistema.

� Crear y configurar objetos de directiva de grupo (GPO)

1. Haga clic en Inicio, seleccione Herramientas administrativas, haga clic con el botón secundario del mouse en Administración de directivas de grupo y, a continuación, haga clic en Ejecutar como.

2. En el cuadro de diálogo Ejecutar como, haga clic en El siguiente usuario, escriba un nombre de usuario de SuDominio\Administrador con la contraseña P@ssw0rd y, a continuación, haga clic en Aceptar.

3. Expanda Forest (Bosque), expanda Domains (Dominios), expanda su dominio, expanda Group Policy Objects (Objetos de directiva de grupo), haga clic con el botón secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuación, haga clic en Nuevo.

4. Escriba EjercicioGPO como el nombre de su GPO y, a continuación, haga clic en OK (Aceptar).

5. Haga clic con el botón secundario en su nombre de dominio, haga clic en Link an Existing GPO (Vincular un GPO existente), haga clic en EjercicioGPO y, a continuación, en OK (Aceptar).

6. Haga clic con el botón secundario en EjercicioGPO y, a continuación, en Edit (Editar).

7. En Editor de objetos de directiva de grupo, en Configuración de usuario, expanda Plantillas administrativas y, a continuación, haga clic en Menú Inicio y barra de tareas.

8. En el panel de detalles, haga doble clic en Quitar el menú Ejecutar del menú Inicio, haga clic en Habilitada y, a continuación, haga clic en Aceptar.

9. En el panel de detalles, haga doble clic en Quitar el comando Apagar e impedir el acceso al mismo, haga clic en Habilitada y, a continuación, haga clic en Aceptar.

10. Cierre el Editor de objetos de directiva de grupo. 11. En Administración de directivas de grupo, expanda y haga clic con el

botón secundario en WMI Filters (Filtros WMI) y, a continuación, haga clic en New (Nuevo).

12. Escriba EjercicioFiltro como el nombre del filtro WMI, haga clic en Add (Agregar), escriba una consulta adecuada para recuperar la información requerida, haga clic en OK (Aceptar)y, a continuación, haga clic en Save (Guardar).

Ejercicio: Creación y configuración de GPO


13. En el árbol de la consola, en la lista de Group Policy Objects (Objetos de directiva de grupo) haga clic en EjercicioGPO.

14. En el panel de detalles, seleccione EjercicioFiltro en el cuadro This GPO is linked to the following WMI filter (Este GPO está vinculado al siguiente filtro WMI).

15. En el cuadro de diálogo Group Policy Management (Administración de directivas de grupo), haga clic en Yes (Sí).

16. Cierre Group Policy Management (Administración de directivas de grupo).


Lección: Configuración de la frecuencia de actualización y valores de directivas de grupo


Windows Server 2003 ejecuta la configuración y las directivas de equipo y usuario en un orden específico. Si comprende el procesamiento de directivas de grupo y su orden, podrá crear secuencias de comandos adecuadas y configurar su frecuencia de actualización.


Explicar el proceso de aplicación de directivas de grupo. Asignar configuraciones de secuencia de comandos de directivas de grupo. Configurar la frecuencia de actualización de los componentes de directivas

de grupo. Configurar la frecuencia de actualización de controladores de dominio y

equipos. Actualizar la configuración de directivas de grupo en un equipo de usuario

utilizando Gpupdate.exe.

Introducción



Cuándo se aplica la directiva de grupo


Cuando un usuario inicia un equipo e inicia la sesión, Windows Server 2003 procesa primero la configuración del equipo y después la configuración del usuario.

Cuando un usuario inicia un equipo e inicia la sesión, sucede lo siguiente:

1. Se inicia la red. Se inicia el Servicio de sistema de llamada a procedimiento remoto (RPCSS, Remote Procedure Call System Service) y el Proveedor múltiple de convención de nomenclatura universal (MUP, Multiple Universal Naming Convention Provider).

2. Windows Server 2003 obtiene una lista ordenada de los GPO para el equipo. La lista depende de los siguientes factores:

• Si el equipo forma parte de un dominio y, por lo tanto, está sujeto a directivas de grupo en Active Directory.

• La ubicación del equipo en Active Directory.

• Si la lista de GPO ha cambiado. 3. Windows Server 2003 aplica la directiva de equipo. Estas son las

configuraciones de Configuración del equipo de la lista de GPO recopilada. De manera predeterminada, esta lista tiene lugar de forma síncrona y en el orden siguiente: local, sitio, dominio, unidad organizativa y unidad organizativa secundaria. No aparece ninguna interfaz de usuario mientras se procesan las directivas de equipo.

Introducción

Orden en que se aplican las directivas de grupo


4. Se ejecutan las secuencias de comandos de inicio. De manera predeterminada, esta ejecución se realiza de forma oculta y síncrona. Cada secuencia de comandos debe completarse o agotar el tiempo de espera antes de que se inicie la siguiente. El tiempo de espera predeterminado es de 600 segundos. Puede utilizar varios parámetros de configuración de directivas para modificar el tiempo de espera predeterminado.

Se puede ajustar el valor de tiempo de espera configurando el tiempo de espera en “Tiempo de espera máximo para las secuencias de comandos de la directiva de grupo” en Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión\. Esta configuración afecta a todas las secuencias de comandos que se ejecutan.

5. El usuario presiona CTRL-ALT-SUPR para iniciar la sesión. 6. Una vez que Windows Server 2003 valida el usuario, carga el perfil del

usuario, que está controlado por la configuración de directiva de grupo en vigor.

7. Windows Server 2003 obtiene una lista ordenada de los GPO para el usuario. La lista depende de los siguientes factores:

• Si el usuario forma parte de un dominio y, por lo tanto, está sujeto a directivas de grupo en Active Directory.

• Si está habilitado el procesamiento de bucle invertido y el estado de la configuración de la directiva de bucle invertido.

• La ubicación del usuario en Active Directory.

• Si la lista de GPO ha cambiado. 8. Windows Server 2003 aplica la directiva de usuario, que incluye la

configuración de Configuración de usuario de la lista recopilada. De manera predeterminada, la configuración tiene lugar de forma síncrona y en el orden siguiente: local, sitio, dominio, unidad organizativa y unidad organizativa secundaria. No aparece ninguna interfaz de usuario mientras se procesan las directivas de usuario.

9. Se ejecutan las secuencias de comandos de inicio de sesión. De forma predeterminada, las secuencias de comandos de inicio de sesión que se basan en la directivas de grupo se realizan de forma oculta y asíncrona.

10. Aparece la interfaz de usuario del sistema operativo que prescribe la directiva de grupo.

Los equipos que ejecutan Windows Server 2003, actualizan o vuelven a aplicar la configuración de directivas de grupo según intervalos establecidos. Al actualizar la configuración se garantiza que la configuración de directiva de grupo se aplica a los equipos y usuarios incluso cuando los usuarios nunca reinicien sus equipos o cierren la sesión.

Nota

Intervalo de actualización de usuario o equipo


Cómo asignar configuración de secuencia de comandos de directivas de grupo


Al implementar una secuencia de comandos, se utiliza la directiva de grupo para agregar la secuencia de comandos a la configuración adecuada en la GPT para que se ejecute durante el inicio, el apagado, el inicio de sesión o el cierre de sesión.

Para copiar una secuencia de comandos a la GPT adecuada, realice los siguientes pasos:

1. Localice la secuencia de comandos en el disco duro con el Explorador de Windows.

2. Edite el GPO adecuado en Administración de directivas de grupo, expanda Configuración del equipo (para secuencias de comandos de inicio y apagado) o Configuración de usuario (para secuencias de comandos de inicio o cierre de sesión), expanda Configuración de Windows y, a continuación, haga clic en Secuencias de comandos.

3. Haga doble clic en el tipo de secuencia de comandos adecuado (Inicio, Apagar, Iniciar sesión, Cierrar sesión), y haga clic en Mostrar archivos.

4. Copie el archivo de secuencia de comandos desde el Explorador de Windows a la ventana que aparece y, a continuación, cierre la ventana.

No se puede realizar esta tarea con Ejecutar como; debe iniciar la sesión como Administrador para poder realizar esta tarea.

Introducción

Procedimiento para copiar una secuencia de comandos

Importante


Para agregar una secuencia de comandos a un GPO, realice los siguientes pasos:

1. En el cuadro de diálogo Propiedades para el tipo de secuencia de comandos, haga clic en Agregar.

2. Haga clic en Examinar, seleccione una secuencia de comandos y, a continuación, haga clic en Abrir.

3. Agregue los parámetros de secuencia de comandos necesarios y, a continuación, haga clic en Aceptar.

Para obtener información adicional acerca de la creación de una secuencia de comandos en lenguaje de Microsoft Visual Basic® Scripting Edition (VBScript), consulte el curso 2433, Microsoft Visual Basic Scripting Edition and Microsoft Windows Script Host Essentials (en inglés), y el curso 2439, WMI Scripting (en inglés).

Procedimiento para agregar la secuencia de comandos

Nota


Cómo configurar la frecuencia de actualización de los componentes de directivas de grupo


Cuando las directivas de grupo detectan un vínculo lento, establecen un indicador para alertar del vínculo lento a las extensiones del cliente. Las extensiones del cliente podrán determinar si se procesa la configuración de directivas de grupo aplicable.

Las directivas de grupo comparan la velocidad de conexión del vínculo con 500 kilobytes por segundo (Kbps), la velocidad que considera lenta, o con un umbral de su elección. Las directivas de grupo utilizan un algoritmo para determinar si un vínculo se considera lento.

En la siguiente tabla aparece la configuración predeterminada para el procesamiento de vínculos lentos.

Extensión del cliente

Procesamiento de vínculo lento

Actualizado

Se puede cambiar

Procesamiento de directivas de Registro

Activado Activado No

Procesamiento de directivas de mantenimiento de Internet Explorer

Desactivado Activado Sí

Procesamiento de directivas de instalación de software

Desactivado N/D Sí

Procesamiento de directivas de redirección de carpetas

Desactivado N/D Sí

Procesamiento de directivas de secuencias de comandos


Introducción

Directiva de grupo y vínculos lentos

Configuración predeterminada


(continuación) Extensión del cliente

Procesamiento de vínculo lento

Actualizado

Se puede cambiar

Procesamiento de directivas de seguridad

Activado Activado No

Procesamiento de directivas de seguridad IP


Procesamiento de directiva de redes inalámbricas


Procesamiento de directivas de recuperación EFS

Activado Activado Sí

Procesamiento de directivas de cuota de disco


Para configurar los componentes de directiva de grupo que se actualizan y se pueden modificar, realice los siguientes pasos:

1. Abra el GPO adecuado en la directiva de grupo, expanda Configuración del equipo, expanda Plantillas administrativas, expanda Sistema, haga clic en Directiva de grupo y, a continuación, haga doble clic en cada elemento de la tabla anterior.

2. Haga clic en Habilitada. 3. Haga clic en No aplicar durante el procesamiento periódico en

segundo plano. 4. Si está disponible, haga clic en Permitir el procesamiento a través de

una conexión de red de baja velocidad y haga clic en Aceptar.

Procedimiento


Cómo configurar la frecuencia de actualización de controladores de dominio y equipos


Puede cambiar la frecuencia de actualización predeterminada modificando la configuración de las plantillas administrativas para la configuración de un usuario o equipo.

En la siguiente tabla se indican los intervalos predeterminados para la actualización de directivas de grupo.

Tipo de equipo Intervalo de actualización Equipos que trabajan con Microsoft Windows XP Professional y servidores miembros del dominio que trabajan con Windows Server 2003

Cada 90 minutos. También se actualiza en una compensación tiempo aleatoria cada 30 minutos, lo que ayuda al procesamiento de aplicación de equilibrio de carga de directiva de grupo y garantiza que no establecerán contacto varios equipos al mismo tiempo con un controlador de dominio.

Controladores de dominio Cada cinco minutos. De este modo, las configuraciones fundamentales de directivas de grupo, como la configuración de seguridad, se aplican como mínimo cada cinco minutos a menos que se cambie la configuración predeterminada.

Introducción

Intervalos de actualización predeterminados


Para configurar la frecuencia de actualización, realice los siguientes pasos:

1. Abra el GPO adecuado en la directiva de grupo, expanda Configuración de usuario o Configuración del equipo (dependiendo del GPO que desee editar), expanda Plantillas administrativas, expanda Sistema, haga clic en Directiva de grupo y, a continuación, haga doble clic en una de las siguientes configuraciones:

• Intervalo de actualización de la directiva de grupo para usuarios

• Intervalo de actualización de la directiva de grupo para equipos

• Intervalo de actualización de la directiva de grupo para controladores de dominio

2. Haga clic en Habilitada. 3. Establezca el intervalo de actualización en minutos. 4. Establezca la compensación de tiempo aleatoria y haga clic en Aceptar.

Si deshabilita esta configuración, la directiva de grupo se actualizará por defecto cada 90 minutos. Para indicar que la directiva de grupo no se debe actualizar nunca mientras el equipo esté en uso, seleccione la opción Desactivar la actualización en segundo plano de Directiva de grupo.

Procedimiento

Nota


Cómo actualizar la configuración de directivas de grupo en un equipo de usuario utilizando Gpupdate.exe


Puede actualizar un objeto de directiva de grupo con el comando gpupdate. Para actualizar la configuración de directiva de grupo en el equipo de un usuario con el comando gpupdate, realice los siguientes pasos: 1. En el cuadro de diálogo Ejecutar, escriba cmd y haga clic en ENTRAR. 2. Tipo

gpupdate [/target:{equipo|usuario}] [/force] [/wait:valor] [/logoff] [/boot]

En la siguiente tabla se describen los parámetros de la sintaxis de gpupdate. Parámetro Descripción /target:{equipo|usuario} Procesa la configuración del equipo o la configuración de usuario actual, dependiendo del

destino que especifique. Si no especifica este parámetro, la configuración de equipo y usuario se procesa de forma predeterminada.

/force Vuelve a aplicar todas las configuraciones e ignora las optimizaciones de procesamiento. /wait:valor Indica el número de segundos que el procesamiento de directiva espera para finalizar.

De forma predeterminada son 600 segundos. Un valor de 0 significa que no hay espera; -1 indica espera por tiempo indefinido.

/logoff Cierra la sesión al completar la actualización de la directiva. Se requiere este parámetro para extensiones del cliente de directivas de grupo que no procesen la configuración de directivas de grupo en un ciclo de actualización en segundo plano pero que las procesen cuando el usuario inicie sesión. Esta opción no tiene efecto si no se llama a extensiones que requieran que el usuario cierre la sesión.

/boot Reinicia el equipo al completar la actualización de la directiva. Se requiere reiniciar la sesión para las extensiones del cliente de directivas de grupo que no procesen la configuración de directivas de grupo en un ciclo de actualización en segundo plano pero que las procesen cuando se inicia el equipo. Esta opción no tiene efecto si no se llama a extensiones que requieran que el equipo se reinicie.

Introducción Procedimiento


Ejercicio: Configuración de la frecuencia de actualización y valores de directivas de grupo


En este ejercicio deberá configurar el intervalo de actualización de directivas de grupo para equipos cliente y, a continuación, configurar la configuración de directivas de grupo para sincronizar archivos sin conexión.

Northwind Traders se basa principalmente en directivas de grupo para administrar equipos cliente y para mantener la agilidad de la organización. Debido al elevado número de GPO que debe modificar a diario, desea reducir el tráfico de red disminuyendo el intervalo de actualización para equipos cliente a 180 minutos y utilizando una compensación de tiempo aleatoria de 60 minutos.

El personal de su organización suele viajar y utilizar conexiones de acceso telefónico lentas. También suelen visitar oficinas de ventas remotas que tienen conexiones de alta velocidad a la red corporativa. Necesitan acceso a archivos a los que normalmente sólo se puede tener acceso mediante una conexión de red a un servidor de archivos. Estos archivos se deben actualizar tan pronto como el usuario inicie sesión en la red corporativa. Debe configurar la disponibilidad y sincronización de los archivos sin conexión en la directiva de grupo para los usuarios que requieran esta capacidad.

� Configurar los valores de directivas de grupo

1. Abra Administración de directivas de grupo como SuDominio\Administrador mediante Ejecutar como.

2. Expanda Forest (Bosque), expanda Domains (Dominios), expanda su dominio, expanda Group Policy Objects (Objetos de directiva de grupo), haga clic en Group Policy Objects (Objetos de directiva de grupo), haga clic con el botón secundario en EjercicioGPO y, a continuación, haga clic en Edit (Editar).

3. En Editor de objetos de directiva de grupo, en Configuración del equipo, expanda Plantillas administrativas, expanda Sistema y, a continuación, haga clic en Directiva de grupo.

Objetivos


Ejercicio


4. Haga doble clic en Intervalo de actualización de la directiva de grupo para equipos, haga clic en Habilitada, introduzca los intervalos de tiempo adecuados y haga clic en Aceptar.

5. En Editor de objetos de directiva de grupo, en Configuración de usuario, expanda Plantillas administrativas, expanda Red y, a continuación, haga clic en Archivos sin conexión.

6. Haga doble clic en Sincronizar todos los archivos sin conexión al iniciar sesión, haga clic en Habilitada y, a continuación, haga clic en Aceptar.

7. Cierre el Editor de objetos de directiva de grupo y cierre después Administración de directivas de grupo.


Lección: Administración de GPO


Utilice la Consola de administración de directivas de grupo para administrar GPO, que incluye la copia de un GPO a otra ubicación, la realización de una copia de seguridad de GPO, la restauración de un GPO desde la copia de seguridad y la importación de configuraciones de un GPO a otro.


Explicar la finalidad de copiar un GPO. Copiar un GPO con Administración de directivas de grupo. Explicar la finalidad de realizar una copia de seguridad de un GPO. Realizar una copia de seguridad de un GPO con Administración de

directivas de grupo. Explicar la finalidad de restaurar un GPO. Restaurar un GPO con Administración de directivas de grupo. Explicar la finalidad de importar configuraciones en un GPO. Importar configuraciones en un GPO con Administración de directivas

de grupo.

Introducción



Qué es una operación de copia


Una copia de un GPO transfiere sólo la configuración del GPO. El nuevo GPO creado tiene un GUID nuevo y la Lista de control de acceso discrecional (DACL, Discretionary Access Control List) predeterminada para el GPO. El nuevo GPO se crea desvinculado porque los vínculos son propiedad del objeto que definía el GPO, en lugar de ser propiedad del GPO.

Al copiar un GPO de un dominio a otro, debe indicar el comportamiento de asignación de los principales de seguridad para la operación de copia. Administración de directivas de grupo proporciona dos técnicas básicas de asignación para copiar GPO:

Copiarlos de forma idéntica desde el origen. Utilizar una tabla de migración para asignarlos a nuevos valores en el

nuevo GPO.

Para utilizar alguna de estas opciones, el GPO de origen debe contener las referencias a los principales de seguridad y las rutas de acceso acordes a la convención de nomenclatura universal (UNC, Universal Naming Convention).

Al copiar GPO en dominios o bosques, Administración de directivas de grupo puede realizar una asignación de principales de seguridad. Es decir, puede modificar configuraciones que hacen referencia a principales de seguridad traduciendo los principales de seguridad de destino a nuevos valores en el nuevo GPO.

Si necesita personalización adicional, puede utilizar las secuencias de comandos para implementar una tabla de migración, que es un archivo de texto de Lenguaje de marcado extensible (XML, Extensible Markup Language) que indica una asignación personalizada de principales de seguridad desde el dominio de origen al dominio de destino. La tabla de migración contiene una sección de asignación de principales de seguridad y una sección de asignación de ruta. Estas secciones se utilizan para establecer reglas de asignación específicas.

Introducción

Comportamiento de asignación para una operación de copia

Qué es la asignación de principales de seguridad

Qué es una tabla de migración


Cómo copiar un GPO


Para copiar un GPO debe tener permiso para crear GPO en el dominio de destino.

Para crear un GPO, realice los siguientes pasos:

1. Abra Administración de directivas de grupo, expanda Group Policy Objects (Objetos de directiva de grupo) en el bosque y dominio que contenga el GPO que desea copiar, haga clic con el botón secundario en el GPO y, a continuación, haga clic en Copiar.

2. Realice uno de los siguientes pasos:

• Para colocar la copia del GPO en el mismo dominio que el GPO de origen, haga clic con el botón secundario en Group Policy Objects (Objetos de directiva de grupo) y haga clic en Pegar. i. En la página Copy GPO (Copiar GPO) elija Use the default

permissions for New GPOs (Utilizar los permisos predeterminados para los nuevos GPO) o Preserve the existing permissions (Conservar los permisos existentes) y haga clic en OK (Aceptar).

ii. Cuando se haya completado la copia en curso, haga clic en Aceptar.

• Para colocar la copia del GPO en un dominio distinto, ya sea en el mismo bosque o en un bosque diferente, expanda el dominio de destino, haga clic con el botón secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuación, haga clic en Pegar. i. En la página Welcome to the Cross-Domain Copying Wizard

(Asistente para la copia entre dominios), haga clic en Siguiente. ii. En la página Specifying permissions (Especificar permisos) elija

Use the default permissions for new GPOS (Utilizar los permisos predeterminados para los nuevos GPO) o Preserve or migrate the permissions from the original GPOs (Conservar o migrar los permisos de los GPO originales) y haga clic en Siguiente.

Introducción

Procedimiento


iii. En la página Scanning Original GPO (Búsqueda del GPO original) haga clic en Siguiente. Si el GPO de origen contiene referencias a principales de seguridad y rutas UNC, verá la ventana mencionada en el paso siguiente. Si no es así, continúe con el paso v.

iv. En la página Migrating References (Referencias de migración), seleccione Copying them identically from the source (Copiarlas de forma idéntica desde el origen) o Using this migration table to map them to new values in the new GPOs (Utilizar esta tabla de migración para asignarlas a nuevos valores en los nuevos GPO), seleccione la tabla de migración de la lista y haga clic en Siguiente.

v. En la página Completing the Cross-Domain Copying Wizard (Finalización del asistente para la copia entre dominios), haga clic en Finalizar.

vi. Una vez completada la operación de copia, haga clic en OK (Aceptar).

Puede que no aparezcan algunos de estos pasos si está copiando un GPO al mismo dominio.

Nota


Qué es una operación de copia de seguridad


Cuando Administración de directivas de grupo realiza una copia de seguridad de un GPO, exporta los datos a un archivo que elija y guarda todos los archivos de GPT. Puede enviar la copia de seguridad del GPO a una carpeta mediante una operación de restauración o importación. Sólo podrá restaurar una copia de seguridad de un GPO a otro dominio mediante una operación de importación.

Puede almacenar varias copias de seguridad de GPO, incluidas versiones del mismo GPO, en una carpeta de archivos. Independientemente de los GPO que almacene en una carpeta, podrá identificar cada copia de seguridad de GPO mediante uno de los siguientes criterios:

Nombre para mostrar del GPO GUID del GPO Descripción de la copia de seguridad Marca de fecha y hora de la copia de seguridad Nombre de dominio

Puede realizar una copia de seguridad de uno o más GPO a una ubicación de copia de seguridad indicada con anterioridad o puede indicar una nueva ubicación de copia de seguridad.

Asegúrese de que el directorio de copia de seguridad se encuentra en una ubicación segura en el sistema de archivos.

Introducción

Cómo almacenar una copia de seguridad

Nota


Cómo realizar una copia de seguridad de un GPO


Para realizar una copia de seguridad de un GPO debe tener permiso de lectura en el GPO y permiso de escritura en la ubicación del sistema de archivos donde desea almacenar la copia de seguridad del GPO.

Para realizar la copia de seguridad de un GPO, realice los siguientes pasos:

1. Abra Administración de directivas de grupo, expanda el bosque que contiene el GPO del que desea realizar la copia de seguridad, expanda Domains (Dominios), expanda el dominio que contiene el GPO, expanda Group Policy Objects (Objetos de directiva de grupo) y, a continuación, realice uno de los siguientes pasos:

• Para realizar la copia de seguridad de un solo GPO, haga clic con el botón secundario en el GPO y haga clic en Back Up (Copia de seguridad).

• Para realizar una copia de seguridad de todos los GPO, haga clic con el botón secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuación, haga clic en Back Up All (Copia de seguridad de todo).

2. En el cuadro de diálogo Backup Group Policy Object (Copia de seguridad de objetos de directiva de grupo), introduzca la ruta a la ubicación donde desee almacenar la copia de seguridad del GPO.

3. Escriba una descripción para el GPO del que desea realizar la copia de seguridad y haga clic en Backup (Copia de seguridad).

4. Una vez completada la operación de copia de seguridad, haga clic en OK (Aceptar).

Introducción

Procedimiento


Qué es una operación de restauración


La operación de restauración devuelve el contenido del GPO al mismo estado en que estaba cuando se realizó la copia de seguridad. Esta operación solo es válida en el dominio donde se creó el GPO.

Puede restaurar un GPO existente o un GPO eliminado del que se realizó una copia de seguridad. Los permisos requeridos para restaurar un GPO dependen de si el GPO existe en Active Directory al restaurarlo.

Introducción

Qué GPO se pueden restaurar


Cómo restaurar un GPO


Para restaurar un GPO existente con Administración de directivas de grupo, necesita los permisos Editar, Eliminar y Modificar seguridad para el GPO. También necesita el permiso de lectura para la carpeta que contiene la copia de seguridad del GPO.

Para restaurar un GPO eliminado del que se realizó una copia de seguridad, necesita permiso para crear GPO en el dominio y permiso de lectura para la ubicación del sistema de archivos del GPO del que se realizó la copia de seguridad.

Para restaurar una versión anterior de un GPO existente, realice los siguientes pasos:

1. Abra Administración de directivas de grupo, expanda el bosque que contiene el GPO que desea restaurar, expanda Domains (Dominios), expanda el dominio que contiene el GPO, haga clic con el botón secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuación, haga clic en Manage Backups (Administrar copias de seguridad).

2. En el cuadro de diálogo Manage Backups (Administrar copias de seguridad), seleccione la copia de seguridad del GPO que desee restaurar y haga clic en Restore (Restauración).

3. Cuando se le pregunte si desea restaurar la copia de seguridad seleccionada, haga clic en OK (Aceptar).

4. En el cuadro de diálogo Restore Progress (Progreso de la restauración), haga clic en OK (Aceptar) una vez finalizada la restauración.

5. En el cuadro de diálogo Manage Backups (Administrar copias de seguridad) seleccione otro GPO que desee restaurar o haga clic en Close (Cerrar) para finalizar la operación de restauración.

Introducción

Procedimiento para restaurar una versión anterior de un GPO


Para restaurar un GPO eliminado que aparece en la lista de Group Policy Objects (Objetos de directiva de grupo), realice los siguientes pasos:

1. Abra Administración de directivas de grupo, expanda el bosque que contiene el GPO que desea restaurar, expanda Domains (Dominios) y, a continuación, expanda el dominio que contenga el GPO.

2. Haga clic con el botón secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuación, haga clic en Manage Backups (Administrar copias de seguridad).

3. En el cuadro de diálogo Manage Backups (Administrar copias de seguridad), haga clic en Browse (Examinar), localice el sistema de archivos que contiene el GPO eliminado, seleccione el GPO, haga clic en Restore (Restauración) y, a continuación, haga clic en OK (Aceptar) para confirmar la operación de restauración.

Procedimiento para restaurar un GPO eliminado


Qué es una operación de importación


Una operación de importación copia todas las configuraciones del GPO desde el GPO de origen al GPO de destino.

Se especifica una tabla de migración para asegurar que la ruta UNC en el GPO de origen se asigna correctamente a una ruta UNC del GPO de destino. Se proporciona la ruta a la tabla de migración adecuada al importar las configuraciones del GPO de un dominio a otro. Si especifica una tabla de migración, deberá especificar el comportamiento de asignación de la ruta UNC.

Si no selecciona la casilla de verificación Utilizar tabla de migración de modo exclusivo deberá especificar el comportamiento de asignación para los principales de seguridad que no se incluyen en la tabla de migración.

Si no especifica una tabla de migración, todos los principales de seguridad se asignan de acuerdo con el comportamiento que especifique.

Introducción

Por qué especificar una tabla de migración


Cómo importar configuraciones en un GPO


Para importar configuraciones en un GPO deberá tener permisos de edición del GPO.

Para importar configuraciones en un GPO, realice los siguientes pasos:

1. Abra Administración de directivas de grupo, expanda el bosque que contiene el GPO en el que desea importar la configuración, expanda Domains (Dominios), expanda el dominio que contiene el GPO, expanda Group Policy Objects (Objetos de directiva de grupo), haga clic con el botón secundario en el GPO y, a continuación, haga clic en Import Settings (Importar configuración).

2. En la página Welcome to the Import Settings Wizard (Asistente para importar configuraciones), haga clic en Siguiente.

3. En la página Backup GPO (Copia de seguridad de GPO), haga clic en Backup (Copia de seguridad).

4. En el cuadro de diálogo Backup Group Policy Object (Copia de seguridad de objetos de directiva de grupo), escriba la ubicación y la descripción para la copia de seguridad del GPO y haga clic en Backup (Copia de seguridad).

5. Cuando finalice la operación de copia de seguridad, haga clic en OK (Aceptar) y, a continuación, haga clic en Siguiente.

6. En la página Backup location (Ubicación de la copia de seguridad), haga clic en Browse (Examinar) para localizar la carpeta de copia de seguridad de la que desea importar la configuración y haga clic en Next (Siguiente).

Introducción

Procedimiento


7. En la página Source GPO (GPO de origen), seleccione el GPO del que desee importar la configuración y haga clic en Siguiente. Si el GPO de origen contiene referencias a principales de seguridad y rutas UNC, aparecerá el cuadro de diálogo Migrating References (Referencias de migración). Elija el modo de migrar los principales de seguridad y las rutas UNC seleccionando Copying them identically from the source (Copiarlas de forma idéntica desde el origen) o Using this migration table to map them in the destination GPO (Utilizar esta tabla de migración para asignarlos al GPO de destino) y, a continuación, seleccione una tabla de migración.

8. Haga clic en Siguiente. 9. En la página Completing the Import Settings Wizard (Finalización del

Asistente para importar configuraciones), haga clic en Finalizar. 10. Una vez completada la operación de importación, haga clic en OK (Aceptar).


Ejercicio: Administración de GPO


En este ejercicio deberá copiar un GPO, crear una copia de seguridad de éste, eliminarlo y restaurarlo.

Es el responsable de la implementación de los estándares de escritorio corporativo mediante la directiva de grupo para su dominio. Aunque la mayor parte de los grupos del dominio pueden utilizar la misma configuración de escritorio corporativo estándar, algunos departamentos necesitan una configuración ligeramente distinta. Deberá crear un GPO base, copiarlo a las diversas aplicaciones y modificar la configuración.

Ya que es consciente de que realizar una copia de seguridad y restaurar GPO podría no funcionar correctamente, desea comprobar las capacidades de recuperación y simular el plan de implementación en su entorno de prueba.

� Copiar un GPO


2. En su dominio, expanda Group Policy Objects (Objetos de directiva de grupo), haga clic con el botón secundario en EjercicioGPO, haga clic en Copiar, haga clic con el botón secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuación, haga clic en Pegar.

3. En el cuadro de diálogo Copy GPO (Copiar GPO), haga clic en OK (Aceptar).

4. Una vez completada la operación de copia, haga clic en OK (Aceptar).

Objetivos


Ejercicio: Copia de un GPO


� Realizar una copia de seguridad de un GPO

1. En Administración de directivas de grupo, haga clic con el botón secundario en Copy of EjercicioGPO (Copia de EjercicioGPO) y, a continuación, haga clic en Backup (Copia de seguridad).

2. En el cuadro de diálogo Back Up Group Policy Object (Copia de seguridad Objeto de directiva de grupo), escriba C:\ en el cuadro Location (Ubicación) y, a continuación, haga clic en Backup (Copia de seguridad).

3. Una vez completada la operación, haga clic en OK (Aceptar).

� Eliminar y restaurar un GPO

1. En Administración de directivas de grupo, haga clic con el botón secundario en Copy of EjercicioGPO (Copia de EjercicioGPO), haga clic en Delete (Eliminar) y, a continuación, haga clic en OK (Aceptar).

2. Haga clic con el botón secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuación, haga clic en Manage Backups (Administrar copias de seguridad).

3. En el cuadro de diálogo Manage Backups (Administrar copias de seguridad) seleccione Copia y haga clic en Restore (Restauración).

4. Cuando se le pregunte si desea restaurar la copia de seguridad, haga clic en OK (Aceptar).

5. En el cuadro de diálogo Restore Progress (Progreso de la restauración), haga clic en OK (Aceptar)una vez finalizada la restauración de la copia de seguridad.

6. En el cuadro de diálogo Manage Backups (Administrar copias de seguridad), haga clic en Close (Cerrar).

7. Compruebe que se ha restaurado el GPO. 8. Cierre Administración de directivas de grupo.

Ejercicio: Copia de seguridad de un GPO

Ejercicio: Restauración de un GPO


Lección: Comprobación y solución de problemas de directivas de grupo


Puede que encuentre problemas al implementar directivas de grupo. Al solucionar los problemas de directivas de grupo, tenga en cuenta las dependencias entre los componentes. Por ejemplo, la directiva de grupo depende de Active Directory, que depende de la configuración adecuada de los servicios de red.

Windows Server 2003 tiene dos funciones nuevas de administración de directivas de grupo que ayudan a determinar el efecto de la configuración de la directivas de grupo para un usuario o equipo particular. Estas funciones son el Asistente para modelar directivas de grupo y Resultados de directiva de grupo.


Identificar los problemas comunes al implementar directivas de grupo. Comprobar la configuración de directivas de grupo con el Asistente para

modelar directivas de grupo. Comprobar la configuración de directivas de grupo con Resultados de

directiva de grupo.

Introducción



Problemas habituales al implementar directivas de grupo


El primer paso para solucionar los problemas de directivas de grupo consiste en identificar los síntomas y las posibles causas.

En la mayor parte de los casos no se está aplicando una configuración de directivas de grupo como se esperaba, debido a que otro GPO contiene un valor conflictivo para la misma configuración. El GPO toma prioridad debido al bloqueo de herencia, la opción Forzada, el filtrado o el orden de aplicación. Utilice el Asistente para modelar directivas de grupo o el Asistente de resultados de directiva de grupo para determinar el GPO que se está utilizando para la configuración.

En la siguiente tabla se muestran algunos síntomas comunes y sus posibles métodos de resolución.

Síntoma Resolución No puede abrir un GPO aunque tiene permiso de lectura. Ser miembro de un grupo de seguridad con permiso

de lectura y escritura para el GPO.

Cuando trata de editar un GPO aparece el mensaje No se puede abrir el objeto de directiva de grupo.

Asegúrese de que DNS funciona correctamente.

La directiva de grupo no se aplica a usuarios y equipos en un grupo de seguridad que los contiene, incluso cuando un GPO está vinculado a una unidad organizativa que contiene el grupo de seguridad.

Vincule los GPO sólo a sitios, dominios y unidades organizativas.

La directiva de grupo no afecta a usuarios y equipos en un contenedor de Active Directory.

Vincule un GPO a una unidad organizativa que es primaria respecto al contenedor de Active Directory. Esta configuración se aplica de forma predeterminada a los usuarios y equipos del contenedor mediante la herencia.

La directiva de grupo no afecta al equipo cliente. Determine los GPO que se están aplicando mediante Active Directory y si estos GPO tienen configuraciones que están en conflicto con las configuraciones locales.

Introducción

Cómo comprobar si se aplica la configuración correcta de directivas de grupo

Síntomas, causas y resolución


Cómo comprobar la configuración de directivas de grupo con el Asistente para modelar directivas de grupo


Puede simular la implementación de una directiva para usuarios y equipos antes de aplicar realmente las directivas. Esta función de Administración de directivas de grupo se conoce como Conjunto resultante de directivas (RSoP, Resultant Set of Policies) del Modo de planeamiento. Requiere un controlador de dominio que ejecute Windows Server 2003 en el bosque. Para comprobar la configuración de las directivas de grupo con el Asistente para modelar directivas de grupo, deberá crear en primer lugar una consulta para modelar directivas de grupo y, a continuación, ver dicha consulta.

Para crear una nueva consulta para modelar directivas de grupo, realice los siguientes pasos:

1. Abra Administración de directivas de grupo, examine el bosque en el que desee crear una consulta para modelar directivas de grupo, haga clic con el botón secundario en Group Policy Modeling (Modelar directivas de grupo) y, a continuación, haga clic en el Welcome to the Group Policy Modeling Wizard (Asistente para modelar directivas de grupo).

2. En la página Welcome to the Group Policy Modeling Wizard (Asistente para modelar directivas de grupo), haga clic en Siguiente, escriba la información adecuada en las páginas del asistente y haga clic en Finalizar.

Introducción

Procedimiento para crear una consulta para modelar directivas de grupo


Para ver la consulta para modelar directivas de grupo, realice los siguientes pasos:

1. Abra Administración de directivas de grupo. 2. Vaya hasta el bosque que contiene la consulta para modelar directivas de

grupo que desea ver, expanda Group Policy Modeling (Modelar directivas de grupo), haga clic con el botón secundario en la consulta y, a continuación, haga clic en Advanced View (Vista avanzada).

Procedimiento para ver la consulta para modelar directivas de grupo


Cómo comprobar la configuración de directivas de grupo con Resultados de directiva de grupo


Utilice Resultados de directiva de grupo para determinar la configuración de directiva que se aplica al equipo y al usuario que inició sesión en dicho equipo. Aunque estos datos son similares a los datos de Modelar directivas de grupo, se obtienen del equipo cliente en lugar de simularse en el controlador de dominio. Para obtener los datos mediante Resultados de directiva de grupo, el equipo cliente debe trabajar con Windows XP o Windows Server 2003.

Para crear una consulta de resultados de directiva de grupo, realice los siguientes pasos:

1. En Administración de directivas de grupo, vaya hasta Group Policy Results (Resultados de directiva de grupo), haga clic con el botón secundario en Group Policy Results (Resultados de directiva de grupo) y, a continuación, haga clic en el Group Policy Results Wizard (Asistente de resultados de directiva de grupo).

2. En la página Group Policy Results Wizard (Asistente de resultados de directiva de grupo), haga clic en Siguiente.

3. En la página Computer Selection (Selección de equipo), seleccione el equipo actual o haga clic en Browse (Examinar) para seleccionar otro equipo y, a continuación, haga clic en Siguiente.

4. En la página User Selection (Selección de usuario), seleccione el usuario actual o especifique un usuario y, a continuación, haga clic en Siguiente.

5. En la página Summary of Selections (Resumen de las selecciones), compruebe sus selecciones y, a continuación, haga clic en Siguiente.

6. En la página Completing the Group Policy Results Wizard (Finalización del Asistente de resultados de directiva de grupo), haga clic en Finalizar.

Introducción

Procedimiento para crear una consulta de resultados de directiva de grupo


Para ver la consulta de resultados de directiva de grupo, realice los siguientes pasos:

1. Abra Administración de directivas de grupo. 2. Vaya hasta el bosque que contiene la consulta para modelar directivas

de grupo que desea ver, expanda Group Policy Results (Resultados de directiva de grupo), haga clic con el botón secundario en la consulta y, a continuación, haga clic en Advanced View (Vista avanzada).

Procedimiento para ver la consulta de resultados de directiva de grupo


Ejercicio: Comprobación y solución de problemas de directivas de grupo


En este ejercicio deberá comprobar la configuración de directivas de grupo con el Asistente para modelar directivas de grupo.

Desea comprobar que la configuración del GPO que planea implementar, incluyendo la configuración de equipo y usuario para su dominio, se aplica y resulta precisa en Northwind Traders. Decide utilizar la consola Administración de directivas de grupo para comprobar la configuración.

� Comprobar la configuración de usuario y equipo para su dominio


2. Haga clic con el botón secundario en Group Policy Modeling (Modelar directivas de grupo) y, a continuación, haga clic en el Welcome to the Group Policy Modeling Wizard (Asistente para modelar directivas de grupo).

3. En la página Welcome to the Group Policy Modeling Wizard (Asistente para modelar directivas de grupo), haga clic en Siguiente.

4. En la página Domain Controller Selection (Selección del controlador de dominio), haga clic en Siguiente.

5. En la página User and Computer Selection (Selección de equipo y usuario), en las secciones User Information (Información de usuario) e Computer Information (Información del equipo), haga clic en Browse (Examinar), seleccione su dominio para cada sección y haga clic en Siguiente.

6. En cada una de las siguientes páginas del asistente, haga clic en Siguiente para aceptar la configuración predeterminada.

Objetivos


Ejercicio


7. En la página Completing the Group Policy Modeling Wizard (Finalización del Asistente para modelar directivas de grupo), haga clic en Finalizar.

8. Si aparece un cuadro de diálogo de Internet Explorer, haga clic en Add (Agregar), en el cuadro de diálogo Trusted Sites (Sitios de confianza) haga clic en Add (Agregar) y, a continuación, haga clic en Close (Cerrar).

9. Vea el informe en el panel de detalles y, a continuación, cierre Administración de directivas de grupo.


Lección: Delegación del control administrativo de directivas de grupo


Puede utilizar las directivas de grupo para delegar ciertas tareas de directiva de grupo a otros administradores. Por ejemplo, la creación, vinculación y edición de GPO son permisos independientes que puede delegar por separado. Administración de directivas de grupo simplifica la administración de permisos combinando los permisos de nivel bajo de un objeto y administrándolos como una sola unidad. Utilice Administración de directivas de grupo para delegar control administrativo de los GPO, directivas de grupo para un sitio, dominio y unidad organizativa, y filtros WMI.


Explicar la delegación de GPO. Explicar la delegación de directivas de grupo para un sitio, dominio o

unidad organizativa. Explicar la delegación de filtros WMI. Delegar control administrativo para administrar vínculos de directiva

de grupo. Delegar control administrativo para crear y editar objetos de directiva

de grupo.

Introducción



Delegación de GPO


Puede delegar la capacidad de crear GPO en un dominio y asignar permisos sobre un GPO individual mediante Administración de directivas de grupo.

Por defecto, se asigna la capacidad para crear GPO al grupo Propietarios del creador de directivas de grupo. Sin embargo, puede delegar esa capacidad a cualquier grupo o usuario mediante una de las siguientes opciones:

Agregar el grupo o usuario al grupo Propietarios del creador de directivas de grupo. Éste era el único método disponible antes de Administración de directivas de grupo.

Asignar al grupo o usuario permiso explícito para crear GPO. Este método sólo está disponible si se utiliza Administración de directivas de grupo.

Para los usuarios y grupos dentro del dominio, utilice el grupo Propietarios del creador de directivas de grupo para asignar permisos para crear un GPO. Debido a que el grupo Propietarios del creador de directivas de grupo es un grupo global de un dominio, no puede contener miembros de fuera del dominio. Si los usuarios de fuera del dominio necesitan la capacidad de crear GPO, realice lo siguiente:

1. Cree un nuevo grupo local de dominio en el dominio. 2. Asigne a dicho grupo permiso para la creación de GPO en el dominio. 3. Agregue usuarios de dominio externo a dicho grupo.

Los permisos son idénticos si agrega un usuario al grupo Propietarios del creador de directivas de grupo o si asigna al usuario permisos para creación de GPO directamente mediante Administración de directivas de grupo. Los usuarios podrán crear GPO en el dominio y disfrutar de control total de éstos, pero no tienen permisos sobre los GPO que creen otros usuarios.

Atribuir a un usuario la capacidad de crear GPO en el dominio no lo habilita para vincular el GPO a un sitio, dominio o unidad organizativa.

Introducción

Delegación de la capacidad para crear GPO

Cuándo utilizar el grupo Propietarios del creador de directivas de grupo

Comparación de los dos métodos de delegación


También puede administrar permisos sobre el GPO en el nivel de tarea. Las cinco categorías que aparecen a continuación son permisos concedidos sobre un GPO.

Leer Modificar configuración Editar, Eliminar, Modificar seguridad Leer (desde el filtrado de seguridad) Personalizado

Delegación de permisos sobre un GPO individual


Delegación de directivas de grupo para un sitio, dominio o unidad organizativa


La delegación de directivas de grupo para un sitio, dominio y unidad organizativa incluye la delegación de la capacidad para vincular GPO y delegar permisos para Modelar directivas de grupo y Resultados de directiva de grupo.

Administración de directivas de grupo utiliza un permiso único llamado Vincular GPO para administrar los atributos gPLink y gPOptions. Aplique la configuración de un GPO a usuarios y equipos vinculando el GPO, ya sea como un secundario directo o indirectamente mediante la herencia, a un sitio, dominio o unidad organizativa que contenga los objetos del usuario o equipo.

El permiso Vincular GPO es específico para dicho sitio, dominio o unidad organizativa. Este permiso corresponde a tener los permisos de lectura y escritura para los atributos gPLink y gPOptions en el sitio, dominio o unidad organizativa.

Puede utilizar Modelar directivas de grupo para simular el grupo de directivas para objetos de un dominio o unidad organizativa, o bien puede delegarlo a otros usuarios o grupos. Esta delegación asigna al usuario o grupo el permiso Generar conjunto resultante de directivas (planeación), que está disponible en cada bosque que tenga el esquema de Windows Server 2003.

Administración de directivas de grupo simplifica la administración de este permiso incluyéndolo en la ficha Delegation (Delegación) para cualquier dominio o unidad organizativa. El administrador puede seleccionar Perform Group Policy Modeling Analyses (Realizar análisis para modelar directivas de grupo) y, a continuación, seleccionar las propiedades de Name (Nombre), Applies To (Se aplica a), Setting (Configuración) y Inherited (Heredado) para las delegaciones.

Introducción

Delegación la capacidad para vincular GPO

Delegación de permisos para modelar directivas de grupo


Puede utilizar Resultados de directiva de grupo para leer los datos del registro RSoP para objetos del dominio o la unidad organizativa. Como Administración de directivas de grupo, puede delegar este permiso a otros usuarios o grupos. Puede delegar permisos sobre un dominio o una unidad organizativa. Los usuarios que tienen este permiso pueden leer los datos de Resultados de directiva de grupo para cualquier objeto de dicho contenedor. Esta delegación también asigna al usuario o grupo el permiso Generar conjunto resultante de directivas (registro), que está disponible en cada bosque que tenga el esquema de Windows Server 2003.

Administración de directivas de grupo simplifica la administración de este permiso incluyéndolo en la ficha Delegation (Delegación) para el dominio o unidad organizativa. El administrador puede seleccionar Read Group Policy Results Data (Leer los datos de Resultados de directiva de grupo) y, a continuación, seleccionar los usuarios y grupos que tienen este permiso.

Delegación de permisos para resultados de directiva de grupo


Delegación de filtros WMI


Puede delegar la capacidad para crear filtros WMI en un dominio y asignar permisos sobre ellos.

Puede crear filtros WMI en el contenedor de filtros WMI en Administración de directivas de grupo. Cuando cree un filtro WMI nuevo, Active Directory lo almacenará en el contenedor WMIPolicy en el contenedor del sistema del dominio. Los permisos del contenedor WMIPolicy determinan los permisos que tiene un usuario para crear, editar y eliminar filtros WMI.

Existen dos permisos para crear filtros WMI:

Creator Owner. Permite al usuario crear filtros WMI nuevos en el dominio. No asigna permisos al usuario sobre filtros WMI creados por otros usuarios.

Control total. Permite al usuario crear filtros WMI y asignar control total sobre todos los filtros WMI del dominio, incluidos los filtros nuevos que el usuario crea tras de obtener este permiso.

Puede utilizar Administración de directivas de grupo para delegar permisos sobre un filtro WMI determinado. Existen dos permisos que puede asignar a un usuario o grupo:

Editar. Permite al usuario o grupo editar el filtro WMI. Control total. Permite al usuario o grupo editar, eliminar y modificar la

seguridad sobre el filtro WMI.

Introducción

Delegación de la capacidad para crear filtros WMI

Delegación de permisos sobre un filtro WMI


Cómo delegar control administrativo para administrar vínculos de directiva de grupo


Puede delegar la capacidad de administrar vínculos de directiva de grupo seleccionando Administrar vínculos de directiva de grupo en el Asistente para delegación de control con el fin de habilitar a un usuario para vincular y desvincular GPO.

Para delegar control administrativo para administrar vínculos de directiva de grupo, realice los siguientes pasos:

1. Abra Administración de directivas de grupo. 2. Vaya hasta el bosque y el dominio en el que desea delegar control

administrativo para administrar vínculos de directiva de grupo y, a continuación, haga clic en el vínculo.

3. En el panel de detalles, en la ficha Delegation (Delegación), haga clic en Add (Agregar).

4. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en el cuadro Escriba el nombre de objeto que desea seleccionar (ejemplos), introduzca el principal de seguridad, haga clic en Comprobar nombres y, a continuación, haga clic en Aceptar.

5. En el cuadro de diálogo Add Group or User (Agregar usuario o grupo), en el cuadro Permissions (Permisos), seleccione el permiso adecuado y haga clic en OK (Aceptar).

Si prefiere la flexibilidad del cuadro de diálogo Properties (Propiedades), está disponible en Administración de directivas de grupo haciendo clic en Advanced (Opciones avanzadas) en la ficha Delegation (Delegación).

Introducción

Procedimiento

Nota


Cómo delegar control administrativo para crear y editar GPO


Utilice el Asistente para delegación de control con el fin de delegar control administrativo para crear y editar GPO.

Para delegar control administrativo para crear GPO, realice los siguientes pasos:


administrativo para crear GPO y, a continuación, haga clic en Group Policy Objects (Objetos de directiva de grupo).


4. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en el cuadro Escriba el nombre de objeto que desea seleccionar (ejemplos), introduzca el principal de seguridad, haga clic en Comprobar nombres y, a continuación, haga clic en Aceptar.

Para delegar control administrativo para editar GPO, realice los siguientes pasos:


administrativo para editar GPO y, a continuación, haga clic en el vínculo. 3. En el panel de detalles, en la ficha Delegation (Delegación), haga clic en

Add (Agregar). 4. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en el

cuadro Escriba el nombre de objeto que desea seleccionar (ejemplos), introduzca el principal de seguridad, haga clic en Comprobar nombres y, a continuación, haga clic en Aceptar.


Introducción

Procedimiento para delegar control administrativo para crear GPO

Procedimiento para delegar control administrativo para editar GPO



Ejercicio: Delegación del control administrativo de directivas de grupo


En este ejercicio deberá agregar la cuenta del administrador junior al grupo Propietarios del creador de directivas de grupo y delegarle la capacidad para administrar vínculos de directiva de grupo.

Ha decidido delegar a un administrador junior administración de directivas de grupo para las unidades organizativas Accounting, Accounts Payable y Accounts Receivable. Éste será responsable de la vinculación y desvinculación de GPO, la creación de nuevos GPO y la modificación de los GPO existentes. También administrará otros objetos de las unidades organizativas.

� Delegar control administrativo de directivas de grupo a un usuario


2. Expanda Forest (Bosque), expanda Domains (Dominios), expanda SuDominio, expanda Group Policy Objects (Objetos de directiva de grupo) y, a continuación, haga clic en EjercicioGPO.

3. En la ficha Delegation (Delegación), agregue Nwtradersx\NombreDeEquipo\User a la lista con los permisos Edit settings (Editar configuración), delete (eliminar) y modify security (modificar la seguridad) haga clic en OK (Aceptar).

4. En Administración de directivas de grupo, haga clic en SuDominio y, a continuación, en el panel de detalles, haga clic en el vínculo a EjercicioGPO.


Objetivos


Ejercicio


6. En el cuadro de diálogo Seleccionar Usuarios, Equipos o Grupos, en el cuadro Escriba el nombre de objeto que desea seleccionar, introduzca Nwtradersx\NombreDeEquipo\User, haga clic en Comprobar nombres y, a continuación, haga clic en Aceptar.


8. Cierre Administración de directivas de grupo.


Lección: Planeamiento de una estrategia empresarial de directivas de grupo


Al planear una estructura de Active Directory, cree un plan para la herencia, administración e implementación de GPO que proporcione la administración más eficaz de directivas de grupo para su organización.

Tenga en cuenta también cómo implementará la directiva de grupo para la organización. Asegúrese de tener en cuenta la delegación de autoridad, la separación de obligaciones administrativas, la administración central y la descentralizada y la flexibilidad de diseño, de modo que su plan proporcione el uso y la administración más sencillos.


Explicar las directrices para el planeamiento de GPO. Explicar las directrices para la determinación de la herencia de GPO. Explicar las directrices para la determinación de una estrategia de directivas

de grupo para sitios. Explicar las directrices para el planeamiento de la administración de GPO. Explicar las directrices para la implementación de GPO.

Introducción



Directrices para el planeamiento de GPO


Cree GPO de modo que obtenga el diseño más sencillo y más fácil de administrar, con el que pueda utilizar la herencia y varios vínculos.

Aplique las siguientes directrices para el planeamiento de GPO:

Aplicar la configuración de GPO al nivel más alto. De este modo podrá aprovechar la herencia de directiva de grupo. Determine la configuración habitual de GPO para el contenedor más grande, empezando por el dominio y, a continuación, vincule el GPO a dicho contenedor.

Reducir el número de GPO. Reduzca el número utilizando varios vínculos en lugar de crear varios GPO idénticos. Intente vincular un GPO al contenedor más amplio posible para evitar la creación de varios vínculos del mismo GPO en un nivel más bajo.

Crear GPO especializados. Utilice estos GPO para aplicar configuraciones exclusivas cuando sea necesario. Los GPO de un nivel más alto no aplicarán la configuración de estos GPO especializados.

Deshabilitar los valores de configuración de equipo o usuario. Al crear un GPO para contener la configuración de sólo uno de los dos niveles, usuario o equipo, deshabilite la otra área. Así se mejora el funcionamiento de una aplicación de GPO durante el inicio de sesión del usuario y se evita la aplicación en la otra área de valores de GPO accidentales.

Introducción

Directrices


Directrices para determinar la herencia de GPO


La herencia de GPO desempeña un papel importante en la implementación de directivas de grupo en una empresa. Por eso, debe decidir de antemano si va a aplicar directivas de grupo a todos los usuarios y equipos o sólo a algunos.

Aplique las siguientes directrices para determinar la herencia de GPO:

Utilizar la opción Forzada (No reemplazar) sólo cuando sea necesario. Utilice esta opción sólo para GPO que desee imponer de forma absoluta, como configuraciones de seguridad impuestas por la empresa. Asegúrese de diseñar los GPO para que contengan sólo estos valores importantes.

Utilizar Bloquear la herencia con moderación. Esta configuración dificulta la solución de problemas y la administración de GPO.

Utilizar filtrado de seguridad sólo cuando sea necesario. Utilice filtrado de seguridad cuando la configuración se aplique sólo a un grupo de seguridad específico en un contenedor. Limite la cantidad de filtrado de seguridad creando y vinculando GPO en el nivel adecuado.

Introducción

Directrices


Directrices para determinar una estrategia de directivas de grupo para sitios


Puede vincular GPO a un sitio, con lo que se impone la configuración a todos los equipos y usuarios situados físicamente en ese sitio. Cuando se establece la directiva de grupo en el nivel del sitio, no afecta a usuarios móviles de dicho sitio si tienen acceso a la red desde otro sitio.

Aplique las siguientes directrices para la determinación de una estrategia de directivas de grupo para sitios:

Aplicar un GPO a un sitio sólo cuando la configuración sea específica para el sitio y no para el dominio. Puede ser difícil la solución de problemas de configuración de GPO vinculada al sitio.

Crear GPO en el dominio con más controladores de dominio del sitio. Se entra en contacto con un controlador del dominio que contenga el GPO vinculado al sitio antes de aplicar el GPO, independientemente del dominio del que sea miembro el usuario o equipo.

Introducción

Directrices


Directrices para el planeamiento de la administración de GPO


Asegúrese de documentar la siguiente información sobre su estrategia para administrar GPO en la organización.

Aplique las siguientes directrices para planificar la administración GPO:

Identificar su estrategia administrativa para administrar GPO. Determine quién creará y vinculará GPO en la organización y quién vinculará GPO pero no los creará. Además, determine quién administra GPO.

Organizar GPO de acuerdo con el mantenimiento administrativo. De este modo podrá delegar control de GPO al grupo adecuado y reducirá las posibilidades de que un administrador sustituya cambios que realizó otro administrador en un GPO. Por ejemplo, puede organizar la directiva de grupo en las siguientes categorías de administración:

• Administración de la configuración de usuario

• Administración de datos

• Distribución del software Planear la auditoria de GPO. Puede que su organización precise que

registre cambios en los GPO y su uso de modo que pueda comprobar que Active Directory ha aplicado la configuración correctamente.

Introducción

Directrices


Directrices para la implementación de GPO


Al planear la implementación de directivas de grupo, asegúrese de comprobar y documentar su estrategia de directiva de grupo.

Aplique las siguientes directrices para la implementación de GPO:

Comprobar la configuración de directivas de grupo. Comprobar los resultados de GPO en numerosas situaciones. Muchas organizaciones de tamaño medio o grande crean una versión en miniatura del entorno de producción para usarlo como prueba. En las organizaciones pequeñas en las que faltan recursos para crear una prueba, implementar la directiva de grupo en el entorno de producción durante las horas de menos trabajo y tener disponible una estrategia de regresión para rectificar cualquier problema. La comprobación de estrategias incluye:

• Inicio de sesión como usuarios representativos en lugares de trabajo representativos para comprobar que se ha aplicado la configuración esperada de directiva de grupo y que no tiene lugar ningún conflicto de herencia. Puede utilizar el Asistente para modelar directivas de grupo y el Asistente de resultados de directiva de grupo para determinar qué configuración de directiva de grupo de qué GPO se ha aplicado.

• Inicio de sesión en todas las condiciones posibles para asegurar que la configuración de directiva de grupo se ha aplicado correctamente.

• Comprobación de los equipos portátiles conectándolos a la red desde diversos sitios en que los usuarios suelan iniciar sesión.

Introducción

Directrices


Documentar el plan de directiva de grupo. Guardar siempre una lista detallada de todos los GPO de modo que pueda resolver los problemas y administrar la directiva de grupo fácilmente. Tener en cuenta la inclusión de la siguiente información en la lista:

• El nombre y objetivo de cada GPO.

• Configuración de directivas de grupo en cada GPO.

• Vínculos del GPO a un sitio, dominio o unidad organizativa.

• Cualquier configuración especial aplicada al GPO, como Forzada, deshabilitación parcial y deshabilitación total.


Ejercicio: Implementar la directiva de grupo


Para ver la actividad Implementar la directiva de grupo, abra el archivo media17_2.htm que se encuentra dentro del fichero media17.zip

En este ejercicio deberá determinar el efecto de la aplicación de varias configuraciones de directiva de grupo y de la herencia de GPO.

La actividad Implementar la directiva de grupo incluye varias opciones y ejercicios de arrastrar y soltar para evaluar sus conocimientos. Lea las instrucciones y después comience la actividad en la ficha Efectos de la configuración de directivas de grupo.

Ubicación de los archivos Objetivo

Instrucciones

Documents

6591895-17