Implementacion de Directivas de Grupo

Implementacin de directivas de grupo
Contenido Introduccin Leccin: Creacin y configuracin de GPO Leccin: Configuracin de la frecuencia de actualizacin y valores de directivas de grupo Leccin: Administracin de GPO Leccin: Comprobacin y solucin de problemas de directivas de grupo Leccin: Delegacin del control administrativo de directivas de grupo Leccin: Planeamiento de una estrategia empresarial de directivas de grupo 2 3 19 31 45 53 64
Introduccin
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
Las directivas de grupo del servicio de directorio Active Directory se utilizan para administrar de forma centralizada los usuarios y equipos de una empresa. Se pueden centralizar las directivas configurando las directivas de grupo para una organizacin completa en el dominio del sitio o en un nivel de unidad organizativa. O bien, se puede descentralizar la configuracin de las directivas de grupo configurndolas para cada departamento en un nivel de unidad organizativa. Puede asegurarse de que los usuarios tengan los entornos de usuario que necesitan para realizar sus trabajos e imponer las directivas de una organizacin, incluidas las normas, metas y requisitos de seguridad de la empresa. Adems, podr disminuir los gastos totales de propiedad controlando los entornos de usuario y equipo, y reduciendo as el nivel de soporte tcnico que necesitan los usuarios y la prdida de productividad de los usuarios debida a errores de los mismos.
Objetivos
Despus de finalizar este mdulo, podr:

Crear y configurar objetos de directiva de grupo (GPO, Group Policy Object). Configurar la frecuencia de actualizacin y valores de directivas de grupo. Administrar GPO. Comprobar y solucionar problemas de directivas de grupo. Delegar el control administrativo de directivas de grupo. Planear una estrategia empresarial de directivas de grupo.
Leccin: Creacin y configuracin de GPO
Introduccin
Las directivas de grupo le otorgan control administrativo sobre usuarios y equipos en su red. Con las directivas de grupo puede definir una vez el estado del entorno de trabajo de un usuario y, a continuacin, confiar en Microsoft Windows Server 2003 para que imponga de forma continua la configuracin de las directivas de grupo que haya definido. La configuracin de directiva de grupo se puede aplicar a toda la organizacin o a grupos especficos de usuarios y equipos. Despus de finalizar esta leccin, podr:
Objetivos de la leccin
Explicar el propsito de las directivas de grupo y cmo se procesan en Active Directory. Describir los componentes de GPO. Explicar el propsito de la especificacin de un controlador de dominio para la administracin de GPO. Especificar un controlador de dominio para la administracin de GPO. Explicar el propsito de los filtros de Instrumental de administracin de Windows (WMI, Windows Management Instrumentation). Filtrar la configuracin de directivas de grupo con filtros WMI. Explicar el propsito del procesamiento de bucle invertido. Configurar el modo de procesamiento de bucle invertido de la directiva de grupo de usuario.
Presentacin multimedia: Introduccin a la directiva de grupo
Ubicacin de los archivos Objetivos
Para ver la presentacin multimedia Introduccin a la directiva de grupo, abra el archivo media17_1.htm que se encuentra dentro del fichero media17.zip Despus de finalizar esta leccin, podr:
Describir los tipos de configuracin que se pueden definir en las directivas de grupo. Describir cmo aplica Windows Server 2003 los objetos de directiva de grupo.
Tipos de configuracin
Se pueden configurar las directivas de grupo para definir las directivas que afectan a usuarios y equipos. En la tabla siguiente se describen los tipos de configuracin que se pueden establecer.
Tipo de configuracin Plantillas administrativas Descripcin Configuracin basada en el registro para establecer la configuracin de la aplicacin y los entornos de estacin de trabajo del usuario Configuracin para indicar cundo Windows Server 2003 ejecuta secuencias de comandos especficas Configuracin que controla las opciones disponibles para los usuarios al ejecutar el Asistente para instalacin de clientes que utilizan los Servicios de instalacin remota (RIS) Configuracin para administrar y personalizar Microsoft Internet Explorer en equipos que ejecuten Windows Server 2003 Configuracin para almacenar carpetas de perfil de usuario especficas en un servidor de red Configuracin para la seguridad del equipo, dominio y red locales Configuracin para centralizar la administracin de instalaciones de software, actualizaciones y eliminaciones
Secuencias de comandos Servicios de instalacin remota Mantenimiento de Internet Explorer Redireccionamiento de carpetas Seguridad Instalacin de software
Flujo de herencia
Los GPO estn vinculados a sitios, dominios y unidades organizativas. Se pueden establecer directivas centralizadas que afecten a toda la organizacin y directivas descentralizadas que afecten a un departamento en particular. No hay jerarqua de dominios a diferencia de las unidades organizativas, que se dividen en unidades organizativas primarias y secundarias. El orden en que Windows Server 2003 aplica los GPO se basa en el contenedor de Active Directory al que estn vinculados los GPO. Windows Server 2003 aplica los GPO en primer lugar al sitio, luego a los dominios y, a continuacin, a las unidades organizativas dentro de los dominios. Algunas configuraciones de GPO son multivalor. Estas configuraciones se tratan como configuraciones de valor nico. Es decir, si la configuracin se define en varios GPO, slo se aplica la configuracin en uno de los GPO que se adhiera a las normas de herencia. Puede evitar que un contenedor secundario adquiera todos los GPO de contenedores primarios habilitando Bloquear la herencia en el contenedor secundario. El bloqueo de herencia resulta til cuando un contenedor de Active Directory requiere una configuracin de directiva de grupo exclusiva. La opcin Forzada (denominada No reemplazar si la Consola de administracin de directivas de grupo no est instalada) es un atributo del vnculo, no del GPO. Si el mismo GPO est vinculado a otro sitio, la opcin Forzada no se aplica a ese vnculo a menos que se modifique tambin. Si tiene un GPO vinculado a varios contenedores, podr configurar la opcin Forzada de forma individual para cada contenedor. Cuando se establece ms de un vnculo como Forzada, los GPO vinculados se aplican a un contenedor comn. Si contienen configuraciones que entran en conflicto, tiene prioridad el GPO superior en la jerarqua de Active Directory.
Orden en que se procesan los GPO
Configuracin de GPO multivalor
Bloquear la herencia
Opcin Forzada
Filtrado de GPO
Puede que necesite vincular GPO que estn asociados a otros objetos del directorio. Si configura los permisos adecuados para grupos de seguridad, podr filtrar la directiva de grupo para que se aplique slo a los equipos y usuarios que indique. La Consola de Administracin de directivas de grupo es un conjunto de interfaces programables para administrar las directivas de grupo y un complemento de Microsoft Management Console (MMC) instalado en dichas interfaces programables. En conjunto, los componentes de Administracin de directivas de grupo unifican la administracin de directivas de grupo en la empresa. Nota Para obtener ms informacin acerca de la creacin y vinculacin de GPO y de la herencia de la directiva de grupo, consulte el mdulo 8, Implementar la Directiva de grupo, del curso 2146A, Administracin de un entorno Microsoft Windows Server 2003.
Consola de administracin de directivas de grupo
Componentes de GPO
Introduccin
Windows Server 2003 aplica las configuraciones de directivas de grupo contenidas en el GPO a los objetos de usuario y equipo en el sitio, dominio y unidad organizativa a los que est asociado el GPO. El contenido de un GPO se almacena en dos ubicaciones: el Contenedor de directivas de grupo (GPC, Group Policy container) y la Plantilla de directiva de grupo (GPT, Group Policy template). El GPC es un objeto de Active Directory que contiene estado de GPO, informacin de la versin, informacin de filtro WMI y una lista de componentes que tienen configuraciones en el GPO. Los equipos pueden tener acceso al GPC para localizar las plantillas de directivas de grupo y los controladores de dominio pueden tener acceso al GPC para obtener informacin de la versin. Si el controlador de dominio no tiene la versin ms reciente del GPO, se produce una replicacin para obtener la ltima versin del GPO. La GPT es una jerarqua de carpetas en la carpeta compartida SYSVOL en un controlador de dominio. Al crear un GPO, Windows Server 2003 crea la GPT correspondiente que contiene todas las configuraciones de directivas de grupo e informacin que incluye plantillas administrativas, seguridad, instalacin del software, secuencias de comandos y configuracin de redireccionamiento de la carpeta. Los equipos se conectan a la carpeta SYSVOL para obtener la configuracin. El nombre de la carpeta GPT es el identificador nico global (GUID, Globally Unique Identifier) del GPO que ha creado. Es idntico al GUID que utiliza Active Directory para identificar el GPO en el GPC. La ruta para la GPT en un controlador de dominio es systemroot\SYSVOL\sysvol.
Contenedor de directivas de grupo
Plantilla de directiva de grupo
Por qu especificar un controlador de dominio para la administracin de GPO
Introduccin
Administracin de directivas de grupo utiliza el emulador del controlador de dominio principal (PDC, primary domain controller) en cada dominio como el controlador de dominio predeterminado. Para evitar conflictos de replicacin, considere la seleccin del controlador de dominio, especialmente porque los datos de GPO residen tanto en Active Directory como en la carpeta SYSVOL. Active Directory utiliza dos mecanismos de replicacin independientes para replicar datos de GPO a los distintos controladores del dominio. Si dos administradores editan de forma simultnea el mismo GPO en distintos controladores de dominio, los cambios de un administrador pueden sustituir los realizados por el otro administrador, dependiendo de la latencia de la replicacin. Por defecto, la Consola de administracin de directivas de grupo utiliza el emulador del PDC en cada dominio para garantizar que todos los administradores utilizan el mismo controlador de dominio. Sin embargo, puede que no siempre quiera utilizar el emulador del PDC. Por ejemplo, si reside en una ubicacin remota o si la mayora de los usuarios o equipos de destino del GPO se encuentran en una ubicacin remota, puede que desee identificar un controlador de dominio en la misma. Importante Si varios administradores administran un GPO comn, se recomienda que todos los administradores utilicen el mismo controlador de dominio al modificar un GPO particular para evitar colisiones en los Servicios de replicacin de archivos (FRS, File Replication Services).
Por qu seleccionar un controlador de dominio especfico
Emulador del PDC
Opciones para seleccionar un controlador de dominio
Puede especificar un controlador de dominio para administrar GPO seleccionando alguna de las siguientes opciones:
The domain controller with the Operations Master token for the PDC emulator (El que tiene el smbolo del maestro de operaciones para el emulador PDC). sta es la opcin por defecto y la preferida. Any available domain controller (Usar cualquier controlador de dominio disponible). Al usar esta opcin, seleccionar probablemente un controlador de dominio en el sitio local. Any available domain controller running Windows 2003 or later (Cualquier controlador de dominio disponible que ejecute Windows 2003 o posterior). Esta opcin no est disponible en entornos que contengan tanto Windows Server 2003 como servidores de Microsoft Windows 2000. This domain controller (Este controlador de dominio). Al usar esta opcin estar seleccionando el controlador de dominio actual.
10
Cmo especificar un controlador de dominio para la administracin de GPO
Introduccin Procedimiento
Utilice la Consola de administracin de directivas de grupo para especificar un controlador de dominio para dominios o sitios. Para especificar un controlador de dominio, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo, expanda el bosque, expanda Domains (Dominios) y utilice uno de los siguientes mtodos: Para especificar un controlador de dominio para utilizarlo en operaciones de dominio, haga clic con el botn secundario del mouse (ratn) en el dominio necesario y, a continuacin, haga clic en Change Domain Controller (Cambiar el controlador de dominio). Para especificar un controlador de dominio para utilizarlo en operaciones en sitios, haga clic con el botn secundario del mouse en Sites (Sitios) y, a continuacin, haga clic en Change Domain Controller (Cambiar el controlador de dominio). 2. En el cuadro de dilogo Change Domain Controller (Cambiar el controlador de dominio), en Change to (Cambiar a), haga clic en This domain controller (Este controlador de dominio) y, a continuacin, haga clic en OK (Aceptar).
11
Qu son los filtros WMI
Introduccin
Utilice los filtros WMI para determinar de forma dinmica el mbito de los GPO en funcin de los atributos del usuario o del equipo. De esta forma podr ampliar las capacidades de filtrado para los GPO del grupo de seguridad ms all de los mecanismos de filtrado del grupo de seguridad que estaban disponibles anteriormente. Un filtro WMI est vinculado a un GPO. Al aplicar un GPO a un equipo de destino, Active Directory evala el filtro en el equipo de destino. Un filtro WMI se compone de una o ms consultas que Active Directory evala respecto al repositorio WMI del equipo de destino. Si el conjunto total de consultas es falso, Active Directory no aplica el GPO. Si todas las consultas son verdaderas, Active Directory aplica el GPO. Escriba la consulta utilizando el Lenguaje de consultas de WMI (WQL, WMI Query Language), que es un lenguaje similar a SQL para consultar al repositorio WMI. Cada GPO slo puede tener un filtro WMI. Sin embargo, puede vincular el mismo filtro WMI a varios GPO. Al igual que los GPO, los filtros WMI se aplican slo a un objeto de domino cada vez.
Cmo funciona un filtro WMI
Usos de los filtros WMI
Puede utilizar los filtros WMI para identificar directivas en funcin de distintos objetos de la red. En la siguiente lista se incluyen algunos ejemplos de usos de los filtros WMI.

Servicios. Equipos con DHCP instalado y ejecutndose. Inventario de hardware. Los equipos con procesador Pentium III y al menos 128 megabytes (MB) de RAM. Configuracin de software. Equipos con multidifusin activada.
Para equipos cliente que ejecutan Microsoft Windows 2000, Active Directory ignora los filtros WMI y aplica siempre el GPO.
12
Cmo filtrar la configuracin de directivas de grupo con filtros WMI
Introduccin
Puede crear nuevos filtros WMI desde el contenedor de filtros WMI de la Consola de administracin de directivas de grupo. Tambin puede importar un filtro que haya sido exportado con anterioridad. Para crear un filtro WMI y vincularlo a un GPO, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo, expanda el bosque que contiene el GPO al que desea agregar un filtro WMI, expanda Domains (Dominios), expanda el dominio que contiene el GPO, expanda WMI Filters (Filtros WMI), haga clic con el botn secundario en WMI Filters (Filtros WMI) y, a continuacin, haga clic en New (Nuevo). 2. En el cuadro de dilogo New WMI Filters (Nuevo Filtros WMI), en el cuadro Name (Nombre), escriba un nombre para la consulta. 3. En el cuadro Description (Descripcin), escriba una descripcin de la consulta. 4. Haga clic en Add (Agregar). 5. En el cuadro de dilogo WMI Query (Consulta WMI), en el cuadro Namespace (Espacio de nombre), escriba la ruta del espacio de nombres de la consulta o haga clic en Examinar para ver una lista de los espacios de nombres disponibles. Para cada consulta deber especificar el espacio de nombres WMI en el que se debe ejecutar la consulta. El espacio de nombres por defecto es raz\CIMv2, que debera ser adecuado para la mayor parte de las situaciones. 6. En el cuadro Query (Consulta), escriba una consulta WQL vlida y haga clic en OK (Aceptar). 7. En el cuadro de dilogo New WMI Filters (Nuevo Filtros WMI), haga clic en Save (Guardar). 8. Expanda Group Policy Objects (Group Policy Objects (Objetos de directiva de grupo)) y arrastre el filtro WMI hasta un GPO.
Procedimiento
13
Ejemplo de consulta WQL
Por ejemplo, para equipos con ms de 10 MB de espacio disponible en las unidades C, D o E, las particiones deben encontrarse en un o ms discos duros y deben ejecutar el sistema de archivos NTFS. Escriba la siguiente consulta WMI:
Select * FROM Win32LogicalDisk WHERE (Name = "C:" OR Name = "D:" OR Name = "E:") AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = "NTFS"
En el ejemplo, el valor de DriveType = 3 es un disco duro. Las unidades FreeSpace estn en bytes (10 MB = 10.485.760 bytes).
14
Qu es el procesamiento de bucle invertido
Introduccin
Por defecto, los GPO de un usuario determinan la configuracin de usuario que se debe aplicar cuando un usuario inicia sesin en el equipo. Por el contrario, el procesamiento de bucle invertido aplica la configuracin de GPO para el equipo a cualquier usuario que inicie sesin en el equipo al que afecte esta configuracin. El procesamiento de bucle invertido est destinado a equipos de uso especial, como equipos en lugares pblicos, laboratorios y aulas, donde se debe modificar la configuracin de usuario basndose en el equipo utilizado. Por ejemplo, el usuario cuyo objeto de usuario se encuentre en la unidad organizativa Sales inicia sesin en un equipo. El objeto de equipo se encuentra en la unidad organizativa Servers. La configuracin de directiva de grupo que se aplican al usuario se basa en cualquier GPO vinculado a la unidad organizativa Sales o a cualquier contenedor principal. La configuracin que se aplica al equipo se basa en cualquier GPO vinculado a la unidad organizativa Servers o a cualquier contenedor principal. Sin embargo, puede que este comportamiento predeterminado no resulte adecuado para determinados servidores o equipos dedicados a una tarea concreta. Por ejemplo, las aplicaciones que estn asignadas a un usuario no deberan aparecer como disponibles de forma automtica en un servidor.
Ejemplo
Modos de procesamiento de bucle invertido
El procesamiento de bucle invertido tiene dos modos:
Modo de sustitucin. Este modo reemplaza la configuracin de usuario definida en los GPO del equipo por la configuracin de usuario que se aplica normalmente al usuario. Modo de combinacin. Este modo combina la configuracin de usuario definida en los GPO del equipo con la configuracin de usuario que se aplica normalmente al usuario. Si hay un conflicto entre las configuraciones, la configuracin de usuario en los GPO del equipo tiene prioridad sobre la configuracin normal del usuario.
15
Cmo configurar el modo de procesamiento de bucle invertido de la directiva de grupo de usuario
Introduccin
Para habilitar el procesamiento de bucle invertido, debe seleccionar la opcin Modo de procesamiento de bucle invertido de la directiva de grupo de usuario en Administracin de directivas de grupo. Para configurar el Modo de procesamiento de bucle invertido de la directiva de grupo de usuario, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo, expanda el bosque, expanda Domains (Dominios), expanda su dominio y, por ltimo, haga clic en Group Policy Objects (Objetos de directiva de grupo). 2. En el panel de detalles, haga clic con el botn secundario del mouse en el objeto de directiva de grupo y, a continuacin, haga clic en Edit (Editar). 3. En Editor de objetos de directiva de grupo, expanda Configuracin del equipo, expanda Plantillas administrativas, expanda Sistema y, a continuacin, haga clic en Directiva de grupo. 4. Haga doble clic en Modo de procesamiento de bucle invertido de la directiva de grupo de usuario, si an no est seleccionado, haga clic en Habilitada. 5. En Modo, haga clic en Sustituir o Combinar y, a continuacin, haga clic en Aceptar.
Procedimiento
16
Ejercicio: Creacin y configuracin de GPO
Objetivos Situacin de ejemplo
En este ejercicio deber instalar la Consola de administracin de directivas de grupo y crear y configurar los GPO para su dominio. Como ingeniero de sistemas de Northwind Traders, es el responsable de implementar la directiva de grupo para la organizacin. Deber instalar Administracin de directivas de grupo y crear los GPO para ayudar a imponer el entorno de escritorio. Deber quitar la opcin de men Ejecutar para todos los usuarios y, a continuacin, quitar el comando de cierre del men. Tambin desea aplicar esta directiva slo a los equipos en los que la unidad C contiene al menos 10 MB de espacio libre en disco y que estn configurados con el sistema de archivos NTFS. Instalar la Consola de administracin de directivas de grupo 1. Inicie sesin en su dominio como NombreDeEquipo\User (donde NombreDeEquipo es el nombre del equipo en el que est trabajando) con la contrasea P@ssw0rd 2. Haga clic en Inicio, haga clic con el botn secundario del mouse en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como. 3. En el cuadro de dilogo Ejecutar como, haga clic en El siguiente usuario, escriba un nombre de usuario de Nwtradersx\Administrador con la contrasea P@ssw0rd y, a continuacin, haga clic en Aceptar. 4. En el smbolo del sistema, escriba \\LONDON\SETUP\GPMC.MSI y, a continuacin, presione ENTRAR. 5. En el cuadro de dilogo Descarga de archivos, haga clic en Abrir. 6. En la pgina Welcome to the Microsoft Group Policy Management Console Setup Wizard (Asistente de instalacin de la Consola de administracin de de directivas de grupo), haga clic en Next (Siguiente).
Ejercicio: Instalacin de la Consola de administracin de directivas de grupo (GPMC, Group Policy Management Console)
17
7. En la pgina License Agreement (Contrato de licencia), haga clic en I Agree (Acepto)y, a continuacin, haga clic en Next (Siguiente). 8. En la pgina Completing the Microsoft Group Policy Management Console Setup Wizard (Finalizacin del Asistente de instalacin de la Consola de administracin de directivas de grupo), haga clic en Finish (Finalizar). 9. Cierre el smbolo del sistema. Ejercicio: Creacin y configuracin de GPO Crear y configurar objetos de directiva de grupo (GPO) 1. Haga clic en Inicio, seleccione Herramientas administrativas, haga clic con el botn secundario del mouse en Administracin de directivas de grupo y, a continuacin, haga clic en Ejecutar como. 2. En el cuadro de dilogo Ejecutar como, haga clic en El siguiente usuario, escriba un nombre de usuario de SuDominio\Administrador con la contrasea P@ssw0rd y, a continuacin, haga clic en Aceptar. 3. Expanda Forest (Bosque), expanda Domains (Dominios), expanda su dominio, expanda Group Policy Objects (Objetos de directiva de grupo), haga clic con el botn secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuacin, haga clic en Nuevo. 4. Escriba EjercicioGPO como el nombre de su GPO y, a continuacin, haga clic en OK (Aceptar). 5. Haga clic con el botn secundario en su nombre de dominio, haga clic en Link an Existing GPO (Vincular un GPO existente), haga clic en EjercicioGPO y, a continuacin, en OK (Aceptar). 6. Haga clic con el botn secundario en EjercicioGPO y, a continuacin, en Edit (Editar). 7. En Editor de objetos de directiva de grupo, en Configuracin de usuario, expanda Plantillas administrativas y, a continuacin, haga clic en Men Inicio y barra de tareas. 8. En el panel de detalles, haga doble clic en Quitar el men Ejecutar del men Inicio, haga clic en Habilitada y, a continuacin, haga clic en Aceptar. 9. En el panel de detalles, haga doble clic en Quitar el comando Apagar e impedir el acceso al mismo, haga clic en Habilitada y, a continuacin, haga clic en Aceptar. 10. Cierre el Editor de objetos de directiva de grupo. 11. En Administracin de directivas de grupo, expanda y haga clic con el botn secundario en WMI Filters (Filtros WMI) y, a continuacin, haga clic en New (Nuevo). 12. Escriba EjercicioFiltro como el nombre del filtro WMI, haga clic en Add (Agregar), escriba una consulta adecuada para recuperar la informacin requerida, haga clic en OK (Aceptar)y, a continuacin, haga clic en Save (Guardar).
18
13. En el rbol de la consola, en la lista de Group Policy Objects (Objetos de directiva de grupo) haga clic en EjercicioGPO. 14. En el panel de detalles, seleccione EjercicioFiltro en el cuadro This GPO is linked to the following WMI filter (Este GPO est vinculado al siguiente filtro WMI). 15. En el cuadro de dilogo Group Policy Management (Administracin de directivas de grupo), haga clic en Yes (S). 16. Cierre Group Policy Management (Administracin de directivas de grupo).
19
Leccin: Configuracin de la frecuencia de actualizacin y valores de directivas de grupo
Introduccin
Windows Server 2003 ejecuta la configuracin y las directivas de equipo y usuario en un orden especfico. Si comprende el procesamiento de directivas de grupo y su orden, podr crear secuencias de comandos adecuadas y configurar su frecuencia de actualizacin. Despus de finalizar esta leccin, podr:

Explicar el proceso de aplicacin de directivas de grupo. Asignar configuraciones de secuencia de comandos de directivas de grupo. Configurar la frecuencia de actualizacin de los componentes de directivas de grupo. Configurar la frecuencia de actualizacin de controladores de dominio y equipos. Actualizar la configuracin de directivas de grupo en un equipo de usuario utilizando Gpupdate.exe.
20
Cundo se aplica la directiva de grupo
Introduccin
Cuando un usuario inicia un equipo e inicia la sesin, Windows Server 2003 procesa primero la configuracin del equipo y despus la configuracin del usuario. Cuando un usuario inicia un equipo e inicia la sesin, sucede lo siguiente: 1. Se inicia la red. Se inicia el Servicio de sistema de llamada a procedimiento remoto (RPCSS, Remote Procedure Call System Service) y el Proveedor mltiple de convencin de nomenclatura universal (MUP, Multiple Universal Naming Convention Provider). 2. Windows Server 2003 obtiene una lista ordenada de los GPO para el equipo. La lista depende de los siguientes factores: Si el equipo forma parte de un dominio y, por lo tanto, est sujeto a directivas de grupo en Active Directory. La ubicacin del equipo en Active Directory. Si la lista de GPO ha cambiado. 3. Windows Server 2003 aplica la directiva de equipo. Estas son las configuraciones de Configuracin del equipo de la lista de GPO recopilada. De manera predeterminada, esta lista tiene lugar de forma sncrona y en el orden siguiente: local, sitio, dominio, unidad organizativa y unidad organizativa secundaria. No aparece ninguna interfaz de usuario mientras se procesan las directivas de equipo.
Orden en que se aplican las directivas de grupo
21
4. Se ejecutan las secuencias de comandos de inicio. De manera predeterminada, esta ejecucin se realiza de forma oculta y sncrona. Cada secuencia de comandos debe completarse o agotar el tiempo de espera antes de que se inicie la siguiente. El tiempo de espera predeterminado es de 600 segundos. Puede utilizar varios parmetros de configuracin de directivas para modificar el tiempo de espera predeterminado. Nota Se puede ajustar el valor de tiempo de espera configurando el tiempo de espera en Tiempo de espera mximo para las secuencias de comandos de la directiva de grupo en Configuracin del equipo\Plantillas administrativas\Sistema\Inicio de sesin\. Esta configuracin afecta a todas las secuencias de comandos que se ejecutan. 5. El usuario presiona CTRL-ALT-SUPR para iniciar la sesin. 6. Una vez que Windows Server 2003 valida el usuario, carga el perfil del usuario, que est controlado por la configuracin de directiva de grupo en vigor. 7. Windows Server 2003 obtiene una lista ordenada de los GPO para el usuario. La lista depende de los siguientes factores: Si el usuario forma parte de un dominio y, por lo tanto, est sujeto a directivas de grupo en Active Directory. Si est habilitado el procesamiento de bucle invertido y el estado de la configuracin de la directiva de bucle invertido. La ubicacin del usuario en Active Directory. Si la lista de GPO ha cambiado. 8. Windows Server 2003 aplica la directiva de usuario, que incluye la configuracin de Configuracin de usuario de la lista recopilada. De manera predeterminada, la configuracin tiene lugar de forma sncrona y en el orden siguiente: local, sitio, dominio, unidad organizativa y unidad organizativa secundaria. No aparece ninguna interfaz de usuario mientras se procesan las directivas de usuario. 9. Se ejecutan las secuencias de comandos de inicio de sesin. De forma predeterminada, las secuencias de comandos de inicio de sesin que se basan en la directivas de grupo se realizan de forma oculta y asncrona. 10. Aparece la interfaz de usuario del sistema operativo que prescribe la directiva de grupo. Intervalo de actualizacin de usuario o equipo Los equipos que ejecutan Windows Server 2003, actualizan o vuelven a aplicar la configuracin de directivas de grupo segn intervalos establecidos. Al actualizar la configuracin se garantiza que la configuracin de directiva de grupo se aplica a los equipos y usuarios incluso cuando los usuarios nunca reinicien sus equipos o cierren la sesin.
22
Cmo asignar configuracin de secuencia de comandos de directivas de grupo
Introduccin
Al implementar una secuencia de comandos, se utiliza la directiva de grupo para agregar la secuencia de comandos a la configuracin adecuada en la GPT para que se ejecute durante el inicio, el apagado, el inicio de sesin o el cierre de sesin. Para copiar una secuencia de comandos a la GPT adecuada, realice los siguientes pasos: 1. Localice la secuencia de comandos en el disco duro con el Explorador de Windows. 2. Edite el GPO adecuado en Administracin de directivas de grupo, expanda Configuracin del equipo (para secuencias de comandos de inicio y apagado) o Configuracin de usuario (para secuencias de comandos de inicio o cierre de sesin), expanda Configuracin de Windows y, a continuacin, haga clic en Secuencias de comandos. 3. Haga doble clic en el tipo de secuencia de comandos adecuado (Inicio, Apagar, Iniciar sesin, Cierrar sesin), y haga clic en Mostrar archivos. 4. Copie el archivo de secuencia de comandos desde el Explorador de Windows a la ventana que aparece y, a continuacin, cierre la ventana. Importante No se puede realizar esta tarea con Ejecutar como; debe iniciar la sesin como Administrador para poder realizar esta tarea.
Procedimiento para copiar una secuencia de comandos
23
Procedimiento para agregar la secuencia de comandos
Para agregar una secuencia de comandos a un GPO, realice los siguientes pasos: 1. En el cuadro de dilogo Propiedades para el tipo de secuencia de comandos, haga clic en Agregar. 2. Haga clic en Examinar, seleccione una secuencia de comandos y, a continuacin, haga clic en Abrir. 3. Agregue los parmetros de secuencia de comandos necesarios y, a continuacin, haga clic en Aceptar. Nota Para obtener informacin adicional acerca de la creacin de una secuencia de comandos en lenguaje de Microsoft Visual Basic Scripting Edition (VBScript), consulte el curso 2433, Microsoft Visual Basic Scripting Edition and Microsoft Windows Script Host Essentials (en ingls), y el curso 2439, WMI Scripting (en ingls).
24
Cmo configurar la frecuencia de actualizacin de los componentes de directivas de grupo
Introduccin
Cuando las directivas de grupo detectan un vnculo lento, establecen un indicador para alertar del vnculo lento a las extensiones del cliente. Las extensiones del cliente podrn determinar si se procesa la configuracin de directivas de grupo aplicable. Las directivas de grupo comparan la velocidad de conexin del vnculo con 500 kilobytes por segundo (Kbps), la velocidad que considera lenta, o con un umbral de su eleccin. Las directivas de grupo utilizan un algoritmo para determinar si un vnculo se considera lento. En la siguiente tabla aparece la configuracin predeterminada para el procesamiento de vnculos lentos.
Extensin del cliente Procesamiento de directivas de Registro Procesamiento de directivas de mantenimiento de Internet Explorer Procesamiento de directivas de instalacin de software Procesamiento de directivas de redireccin de carpetas Procesamiento de directivas de secuencias de comandos Procesamiento de vnculo lento Activado Desactivado Actualizado Activado Activado Se puede cambiar No S
Directiva de grupo y vnculos lentos
Configuracin predeterminada
Desactivado Desactivado Desactivado
N/D N/D Activado
S S S
Implementacin de directivas de grupo (continuacin) Extensin del cliente Procesamiento de directivas de seguridad Procesamiento de directivas de seguridad IP Procesamiento de directiva de redes inalmbricas Procesamiento de directivas de recuperacin EFS Procesamiento de directivas de cuota de disco Procesamiento de vnculo lento Activado Desactivado Desactivado Activado Desactivado Actualizado Activado Activado Activado Activado Activado Se puede cambiar No S S S S
25
Procedimiento
Para configurar los componentes de directiva de grupo que se actualizan y se pueden modificar, realice los siguientes pasos: 1. Abra el GPO adecuado en la directiva de grupo, expanda Configuracin del equipo, expanda Plantillas administrativas, expanda Sistema, haga clic en Directiva de grupo y, a continuacin, haga doble clic en cada elemento de la tabla anterior. 2. Haga clic en Habilitada. 3. Haga clic en No aplicar durante el procesamiento peridico en segundo plano. 4. Si est disponible, haga clic en Permitir el procesamiento a travs de una conexin de red de baja velocidad y haga clic en Aceptar.
26
Cmo configurar la frecuencia de actualizacin de controladores de dominio y equipos
Introduccin
Puede cambiar la frecuencia de actualizacin predeterminada modificando la configuracin de las plantillas administrativas para la configuracin de un usuario o equipo. En la siguiente tabla se indican los intervalos predeterminados para la actualizacin de directivas de grupo.
Tipo de equipo Equipos que trabajan con Microsoft Windows XP Professional y servidores miembros del dominio que trabajan con Windows Server 2003 Controladores de dominio Intervalo de actualizacin Cada 90 minutos. Tambin se actualiza en una compensacin tiempo aleatoria cada 30 minutos, lo que ayuda al procesamiento de aplicacin de equilibrio de carga de directiva de grupo y garantiza que no establecern contacto varios equipos al mismo tiempo con un controlador de dominio. Cada cinco minutos. De este modo, las configuraciones fundamentales de directivas de grupo, como la configuracin de seguridad, se aplican como mnimo cada cinco minutos a menos que se cambie la configuracin predeterminada.
Intervalos de actualizacin predeterminados
27
Procedimiento
Para configurar la frecuencia de actualizacin, realice los siguientes pasos: 1. Abra el GPO adecuado en la directiva de grupo, expanda Configuracin de usuario o Configuracin del equipo (dependiendo del GPO que desee editar), expanda Plantillas administrativas, expanda Sistema, haga clic en Directiva de grupo y, a continuacin, haga doble clic en una de las siguientes configuraciones: Intervalo de actualizacin de la directiva de grupo para usuarios Intervalo de actualizacin de la directiva de grupo para equipos Intervalo de actualizacin de la directiva de grupo para controladores de dominio 2. Haga clic en Habilitada. 3. Establezca el intervalo de actualizacin en minutos. 4. Establezca la compensacin de tiempo aleatoria y haga clic en Aceptar. Nota Si deshabilita esta configuracin, la directiva de grupo se actualizar por defecto cada 90 minutos. Para indicar que la directiva de grupo no se debe actualizar nunca mientras el equipo est en uso, seleccione la opcin Desactivar la actualizacin en segundo plano de Directiva de grupo.
28
Cmo actualizar la configuracin de directivas de grupo en un equipo de usuario utilizando Gpupdate.exe
Puede actualizar un objeto de directiva de grupo con el comando gpupdate. Para actualizar la configuracin de directiva de grupo en el equipo de un usuario con el comando gpupdate, realice los siguientes pasos: 1. En el cuadro de dilogo Ejecutar, escriba cmd y haga clic en ENTRAR. 2. Tipo
gpupdate [/target:{equipo|usuario}] [/force] [/wait:valor] [/logoff] [/boot]
En la siguiente tabla se describen los parmetros de la sintaxis de gpupdate.

Parmetro /target:{equipo|usuario} Descripcin Procesa la configuracin del equipo o la configuracin de usuario actual, dependiendo del destino que especifique. Si no especifica este parmetro, la configuracin de equipo y usuario se procesa de forma predeterminada. Vuelve a aplicar todas las configuraciones e ignora las optimizaciones de procesamiento. Indica el nmero de segundos que el procesamiento de directiva espera para finalizar. De forma predeterminada son 600 segundos. Un valor de 0 significa que no hay espera; -1 indica espera por tiempo indefinido. Cierra la sesin al completar la actualizacin de la directiva. Se requiere este parmetro para extensiones del cliente de directivas de grupo que no procesen la configuracin de directivas de grupo en un ciclo de actualizacin en segundo plano pero que las procesen cuando el usuario inicie sesin. Esta opcin no tiene efecto si no se llama a extensiones que requieran que el usuario cierre la sesin. Reinicia el equipo al completar la actualizacin de la directiva. Se requiere reiniciar la sesin para las extensiones del cliente de directivas de grupo que no procesen la configuracin de directivas de grupo en un ciclo de actualizacin en segundo plano pero que las procesen cuando se inicia el equipo. Esta opcin no tiene efecto si no se llama a extensiones que requieran que el equipo se reinicie.
/force /wait:valor
/logoff
/boot
29
Ejercicio: Configuracin de la frecuencia de actualizacin y valores de directivas de grupo
Objetivos
En este ejercicio deber configurar el intervalo de actualizacin de directivas de grupo para equipos cliente y, a continuacin, configurar la configuracin de directivas de grupo para sincronizar archivos sin conexin. Northwind Traders se basa principalmente en directivas de grupo para administrar equipos cliente y para mantener la agilidad de la organizacin. Debido al elevado nmero de GPO que debe modificar a diario, desea reducir el trfico de red disminuyendo el intervalo de actualizacin para equipos cliente a 180 minutos y utilizando una compensacin de tiempo aleatoria de 60 minutos. El personal de su organizacin suele viajar y utilizar conexiones de acceso telefnico lentas. Tambin suelen visitar oficinas de ventas remotas que tienen conexiones de alta velocidad a la red corporativa. Necesitan acceso a archivos a los que normalmente slo se puede tener acceso mediante una conexin de red a un servidor de archivos. Estos archivos se deben actualizar tan pronto como el usuario inicie sesin en la red corporativa. Debe configurar la disponibilidad y sincronizacin de los archivos sin conexin en la directiva de grupo para los usuarios que requieran esta capacidad.
Situacin de ejemplo
Ejercicio
Configurar los valores de directivas de grupo 1. Abra Administracin de directivas de grupo como SuDominio\Administrador mediante Ejecutar como. 2. Expanda Forest (Bosque), expanda Domains (Dominios), expanda su dominio, expanda Group Policy Objects (Objetos de directiva de grupo), haga clic en Group Policy Objects (Objetos de directiva de grupo), haga clic con el botn secundario en EjercicioGPO y, a continuacin, haga clic en Edit (Editar). 3. En Editor de objetos de directiva de grupo, en Configuracin del equipo, expanda Plantillas administrativas, expanda Sistema y, a continuacin, haga clic en Directiva de grupo.
30
4. Haga doble clic en Intervalo de actualizacin de la directiva de grupo para equipos, haga clic en Habilitada, introduzca los intervalos de tiempo adecuados y haga clic en Aceptar. 5. En Editor de objetos de directiva de grupo, en Configuracin de usuario, expanda Plantillas administrativas, expanda Red y, a continuacin, haga clic en Archivos sin conexin. 6. Haga doble clic en Sincronizar todos los archivos sin conexin al iniciar sesin, haga clic en Habilitada y, a continuacin, haga clic en Aceptar. 7. Cierre el Editor de objetos de directiva de grupo y cierre despus Administracin de directivas de grupo.
31
Leccin: Administracin de GPO
Introduccin
Utilice la Consola de administracin de directivas de grupo para administrar GPO, que incluye la copia de un GPO a otra ubicacin, la realizacin de una copia de seguridad de GPO, la restauracin de un GPO desde la copia de seguridad y la importacin de configuraciones de un GPO a otro. Despus de finalizar esta leccin, podr:

Explicar la finalidad de copiar un GPO. Copiar un GPO con Administracin de directivas de grupo. Explicar la finalidad de realizar una copia de seguridad de un GPO. Realizar una copia de seguridad de un GPO con Administracin de directivas de grupo. Explicar la finalidad de restaurar un GPO. Restaurar un GPO con Administracin de directivas de grupo. Explicar la finalidad de importar configuraciones en un GPO. Importar configuraciones en un GPO con Administracin de directivas de grupo.
32
Qu es una operacin de copia
Introduccin
Una copia de un GPO transfiere slo la configuracin del GPO. El nuevo GPO creado tiene un GUID nuevo y la Lista de control de acceso discrecional (DACL, Discretionary Access Control List) predeterminada para el GPO. El nuevo GPO se crea desvinculado porque los vnculos son propiedad del objeto que defina el GPO, en lugar de ser propiedad del GPO. Al copiar un GPO de un dominio a otro, debe indicar el comportamiento de asignacin de los principales de seguridad para la operacin de copia. Administracin de directivas de grupo proporciona dos tcnicas bsicas de asignacin para copiar GPO:

Comportamiento de asignacin para una operacin de copia
Copiarlos de forma idntica desde el origen. Utilizar una tabla de migracin para asignarlos a nuevos valores en el nuevo GPO.
Para utilizar alguna de estas opciones, el GPO de origen debe contener las referencias a los principales de seguridad y las rutas de acceso acordes a la convencin de nomenclatura universal (UNC, Universal Naming Convention). Qu es la asignacin de principales de seguridad Al copiar GPO en dominios o bosques, Administracin de directivas de grupo puede realizar una asignacin de principales de seguridad. Es decir, puede modificar configuraciones que hacen referencia a principales de seguridad traduciendo los principales de seguridad de destino a nuevos valores en el nuevo GPO. Si necesita personalizacin adicional, puede utilizar las secuencias de comandos para implementar una tabla de migracin, que es un archivo de texto de Lenguaje de marcado extensible (XML, Extensible Markup Language) que indica una asignacin personalizada de principales de seguridad desde el dominio de origen al dominio de destino. La tabla de migracin contiene una seccin de asignacin de principales de seguridad y una seccin de asignacin de ruta. Estas secciones se utilizan para establecer reglas de asignacin especficas.
Qu es una tabla de migracin
33
Cmo copiar un GPO
Para copiar un GPO debe tener permiso para crear GPO en el dominio de destino. Para crear un GPO, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo, expanda Group Policy Objects (Objetos de directiva de grupo) en el bosque y dominio que contenga el GPO que desea copiar, haga clic con el botn secundario en el GPO y, a continuacin, haga clic en Copiar. 2. Realice uno de los siguientes pasos: Para colocar la copia del GPO en el mismo dominio que el GPO de origen, haga clic con el botn secundario en Group Policy Objects (Objetos de directiva de grupo) y haga clic en Pegar. i. En la pgina Copy GPO (Copiar GPO) elija Use the default permissions for New GPOs (Utilizar los permisos predeterminados para los nuevos GPO) o Preserve the existing permissions (Conservar los permisos existentes) y haga clic en OK (Aceptar). ii. Cuando se haya completado la copia en curso, haga clic en Aceptar. Para colocar la copia del GPO en un dominio distinto, ya sea en el mismo bosque o en un bosque diferente, expanda el dominio de destino, haga clic con el botn secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuacin, haga clic en Pegar. i. En la pgina Welcome to the Cross-Domain Copying Wizard (Asistente para la copia entre dominios), haga clic en Siguiente. ii. En la pgina Specifying permissions (Especificar permisos) elija Use the default permissions for new GPOS (Utilizar los permisos predeterminados para los nuevos GPO) o Preserve or migrate the permissions from the original GPOs (Conservar o migrar los permisos de los GPO originales) y haga clic en Siguiente.
34
iii. En la pgina Scanning Original GPO (Bsqueda del GPO original) haga clic en Siguiente. Si el GPO de origen contiene referencias a principales de seguridad y rutas UNC, ver la ventana mencionada en el paso siguiente. Si no es as, contine con el paso v. iv. En la pgina Migrating References (Referencias de migracin), seleccione Copying them identically from the source (Copiarlas de forma idntica desde el origen) o Using this migration table to map them to new values in the new GPOs (Utilizar esta tabla de migracin para asignarlas a nuevos valores en los nuevos GPO), seleccione la tabla de migracin de la lista y haga clic en Siguiente. v. En la pgina Completing the Cross-Domain Copying Wizard (Finalizacin del asistente para la copia entre dominios), haga clic en Finalizar. vi. Una vez completada la operacin de copia, haga clic en OK (Aceptar). Nota Puede que no aparezcan algunos de estos pasos si est copiando un GPO al mismo dominio.
35
Qu es una operacin de copia de seguridad
Introduccin
Cuando Administracin de directivas de grupo realiza una copia de seguridad de un GPO, exporta los datos a un archivo que elija y guarda todos los archivos de GPT. Puede enviar la copia de seguridad del GPO a una carpeta mediante una operacin de restauracin o importacin. Slo podr restaurar una copia de seguridad de un GPO a otro dominio mediante una operacin de importacin. Puede almacenar varias copias de seguridad de GPO, incluidas versiones del mismo GPO, en una carpeta de archivos. Independientemente de los GPO que almacene en una carpeta, podr identificar cada copia de seguridad de GPO mediante uno de los siguientes criterios:

Cmo almacenar una copia de seguridad
Nombre para mostrar del GPO GUID del GPO Descripcin de la copia de seguridad Marca de fecha y hora de la copia de seguridad Nombre de dominio
Puede realizar una copia de seguridad de uno o ms GPO a una ubicacin de copia de seguridad indicada con anterioridad o puede indicar una nueva ubicacin de copia de seguridad. Nota Asegrese de que el directorio de copia de seguridad se encuentra en una ubicacin segura en el sistema de archivos.
36
Cmo realizar una copia de seguridad de un GPO
Introduccin
Para realizar una copia de seguridad de un GPO debe tener permiso de lectura en el GPO y permiso de escritura en la ubicacin del sistema de archivos donde desea almacenar la copia de seguridad del GPO. Para realizar la copia de seguridad de un GPO, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo, expanda el bosque que contiene el GPO del que desea realizar la copia de seguridad, expanda Domains (Dominios), expanda el dominio que contiene el GPO, expanda Group Policy Objects (Objetos de directiva de grupo) y, a continuacin, realice uno de los siguientes pasos: Para realizar la copia de seguridad de un solo GPO, haga clic con el botn secundario en el GPO y haga clic en Back Up (Copia de seguridad). Para realizar una copia de seguridad de todos los GPO, haga clic con el botn secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuacin, haga clic en Back Up All (Copia de seguridad de todo). 2. En el cuadro de dilogo Backup Group Policy Object (Copia de seguridad de objetos de directiva de grupo), introduzca la ruta a la ubicacin donde desee almacenar la copia de seguridad del GPO. 3. Escriba una descripcin para el GPO del que desea realizar la copia de seguridad y haga clic en Backup (Copia de seguridad). 4. Una vez completada la operacin de copia de seguridad, haga clic en OK (Aceptar).
Procedimiento
37
Qu es una operacin de restauracin
Introduccin
La operacin de restauracin devuelve el contenido del GPO al mismo estado en que estaba cuando se realiz la copia de seguridad. Esta operacin solo es vlida en el dominio donde se cre el GPO. Puede restaurar un GPO existente o un GPO eliminado del que se realiz una copia de seguridad. Los permisos requeridos para restaurar un GPO dependen de si el GPO existe en Active Directory al restaurarlo.
Qu GPO se pueden restaurar
38
Cmo restaurar un GPO
Introduccin
Para restaurar un GPO existente con Administracin de directivas de grupo, necesita los permisos Editar, Eliminar y Modificar seguridad para el GPO. Tambin necesita el permiso de lectura para la carpeta que contiene la copia de seguridad del GPO. Para restaurar un GPO eliminado del que se realiz una copia de seguridad, necesita permiso para crear GPO en el dominio y permiso de lectura para la ubicacin del sistema de archivos del GPO del que se realiz la copia de seguridad.
Procedimiento para restaurar una versin anterior de un GPO
Para restaurar una versin anterior de un GPO existente, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo, expanda el bosque que contiene el GPO que desea restaurar, expanda Domains (Dominios), expanda el dominio que contiene el GPO, haga clic con el botn secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuacin, haga clic en Manage Backups (Administrar copias de seguridad). 2. En el cuadro de dilogo Manage Backups (Administrar copias de seguridad), seleccione la copia de seguridad del GPO que desee restaurar y haga clic en Restore (Restauracin). 3. Cuando se le pregunte si desea restaurar la copia de seguridad seleccionada, haga clic en OK (Aceptar). 4. En el cuadro de dilogo Restore Progress (Progreso de la restauracin), haga clic en OK (Aceptar) una vez finalizada la restauracin. 5. En el cuadro de dilogo Manage Backups (Administrar copias de seguridad) seleccione otro GPO que desee restaurar o haga clic en Close (Cerrar) para finalizar la operacin de restauracin.
39
Procedimiento para restaurar un GPO eliminado
Para restaurar un GPO eliminado que aparece en la lista de Group Policy Objects (Objetos de directiva de grupo), realice los siguientes pasos: 1. Abra Administracin de directivas de grupo, expanda el bosque que contiene el GPO que desea restaurar, expanda Domains (Dominios) y, a continuacin, expanda el dominio que contenga el GPO. 2. Haga clic con el botn secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuacin, haga clic en Manage Backups (Administrar copias de seguridad). 3. En el cuadro de dilogo Manage Backups (Administrar copias de seguridad), haga clic en Browse (Examinar), localice el sistema de archivos que contiene el GPO eliminado, seleccione el GPO, haga clic en Restore (Restauracin) y, a continuacin, haga clic en OK (Aceptar) para confirmar la operacin de restauracin.
40
Qu es una operacin de importacin
Introduccin Por qu especificar una tabla de migracin
Una operacin de importacin copia todas las configuraciones del GPO desde el GPO de origen al GPO de destino. Se especifica una tabla de migracin para asegurar que la ruta UNC en el GPO de origen se asigna correctamente a una ruta UNC del GPO de destino. Se proporciona la ruta a la tabla de migracin adecuada al importar las configuraciones del GPO de un dominio a otro. Si especifica una tabla de migracin, deber especificar el comportamiento de asignacin de la ruta UNC. Si no selecciona la casilla de verificacin Utilizar tabla de migracin de modo exclusivo deber especificar el comportamiento de asignacin para los principales de seguridad que no se incluyen en la tabla de migracin.
Si no especifica una tabla de migracin, todos los principales de seguridad se asignan de acuerdo con el comportamiento que especifique.
41
Cmo importar configuraciones en un GPO
Para importar configuraciones en un GPO deber tener permisos de edicin del GPO. Para importar configuraciones en un GPO, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo, expanda el bosque que contiene el GPO en el que desea importar la configuracin, expanda Domains (Dominios), expanda el dominio que contiene el GPO, expanda Group Policy Objects (Objetos de directiva de grupo), haga clic con el botn secundario en el GPO y, a continuacin, haga clic en Import Settings (Importar configuracin). 2. En la pgina Welcome to the Import Settings Wizard (Asistente para importar configuraciones), haga clic en Siguiente. 3. En la pgina Backup GPO (Copia de seguridad de GPO), haga clic en Backup (Copia de seguridad). 4. En el cuadro de dilogo Backup Group Policy Object (Copia de seguridad de objetos de directiva de grupo), escriba la ubicacin y la descripcin para la copia de seguridad del GPO y haga clic en Backup (Copia de seguridad). 5. Cuando finalice la operacin de copia de seguridad, haga clic en OK (Aceptar) y, a continuacin, haga clic en Siguiente. 6. En la pgina Backup location (Ubicacin de la copia de seguridad), haga clic en Browse (Examinar) para localizar la carpeta de copia de seguridad de la que desea importar la configuracin y haga clic en Next (Siguiente).
42
7. En la pgina Source GPO (GPO de origen), seleccione el GPO del que desee importar la configuracin y haga clic en Siguiente. Si el GPO de origen contiene referencias a principales de seguridad y rutas UNC, aparecer el cuadro de dilogo Migrating References (Referencias de migracin). Elija el modo de migrar los principales de seguridad y las rutas UNC seleccionando Copying them identically from the source (Copiarlas de forma idntica desde el origen) o Using this migration table to map them in the destination GPO (Utilizar esta tabla de migracin para asignarlos al GPO de destino) y, a continuacin, seleccione una tabla de migracin. 8. Haga clic en Siguiente. 9. En la pgina Completing the Import Settings Wizard (Finalizacin del Asistente para importar configuraciones), haga clic en Finalizar. 10. Una vez completada la operacin de importacin, haga clic en OK (Aceptar).
43
Ejercicio: Administracin de GPO
En este ejercicio deber copiar un GPO, crear una copia de seguridad de ste, eliminarlo y restaurarlo. Es el responsable de la implementacin de los estndares de escritorio corporativo mediante la directiva de grupo para su dominio. Aunque la mayor parte de los grupos del dominio pueden utilizar la misma configuracin de escritorio corporativo estndar, algunos departamentos necesitan una configuracin ligeramente distinta. Deber crear un GPO base, copiarlo a las diversas aplicaciones y modificar la configuracin. Ya que es consciente de que realizar una copia de seguridad y restaurar GPO podra no funcionar correctamente, desea comprobar las capacidades de recuperacin y simular el plan de implementacin en su entorno de prueba.
Ejercicio: Copia de un GPO
Copiar un GPO 1. Abra Administracin de directivas de grupo como SuDominio\Administrador mediante Ejecutar como. 2. En su dominio, expanda Group Policy Objects (Objetos de directiva de grupo), haga clic con el botn secundario en EjercicioGPO, haga clic en Copiar, haga clic con el botn secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuacin, haga clic en Pegar. 3. En el cuadro de dilogo Copy GPO (Copiar GPO), haga clic en OK (Aceptar). 4. Una vez completada la operacin de copia, haga clic en OK (Aceptar).
44
Ejercicio: Copia de seguridad de un GPO
Realizar una copia de seguridad de un GPO 1. En Administracin de directivas de grupo, haga clic con el botn secundario en Copy of EjercicioGPO (Copia de EjercicioGPO) y, a continuacin, haga clic en Backup (Copia de seguridad). 2. En el cuadro de dilogo Back Up Group Policy Object (Copia de seguridad Objeto de directiva de grupo), escriba C:\ en el cuadro Location (Ubicacin) y, a continuacin, haga clic en Backup (Copia de seguridad). 3. Una vez completada la operacin, haga clic en OK (Aceptar).
Ejercicio: Restauracin de un GPO
Eliminar y restaurar un GPO 1. En Administracin de directivas de grupo, haga clic con el botn secundario en Copy of EjercicioGPO (Copia de EjercicioGPO), haga clic en Delete (Eliminar) y, a continuacin, haga clic en OK (Aceptar). 2. Haga clic con el botn secundario en Group Policy Objects (Objetos de directiva de grupo) y, a continuacin, haga clic en Manage Backups (Administrar copias de seguridad). 3. En el cuadro de dilogo Manage Backups (Administrar copias de seguridad) seleccione Copia y haga clic en Restore (Restauracin). 4. Cuando se le pregunte si desea restaurar la copia de seguridad, haga clic en OK (Aceptar). 5. En el cuadro de dilogo Restore Progress (Progreso de la restauracin), haga clic en OK (Aceptar)una vez finalizada la restauracin de la copia de seguridad. 6. En el cuadro de dilogo Manage Backups (Administrar copias de seguridad), haga clic en Close (Cerrar). 7. Compruebe que se ha restaurado el GPO. 8. Cierre Administracin de directivas de grupo.
45
Leccin: Comprobacin y solucin de problemas de directivas de grupo
Introduccin
Puede que encuentre problemas al implementar directivas de grupo. Al solucionar los problemas de directivas de grupo, tenga en cuenta las dependencias entre los componentes. Por ejemplo, la directiva de grupo depende de Active Directory, que depende de la configuracin adecuada de los servicios de red. Windows Server 2003 tiene dos funciones nuevas de administracin de directivas de grupo que ayudan a determinar el efecto de la configuracin de la directivas de grupo para un usuario o equipo particular. Estas funciones son el Asistente para modelar directivas de grupo y Resultados de directiva de grupo.
Despus de finalizar esta leccin, podr:

Identificar los problemas comunes al implementar directivas de grupo. Comprobar la configuracin de directivas de grupo con el Asistente para modelar directivas de grupo. Comprobar la configuracin de directivas de grupo con Resultados de directiva de grupo.
46
Problemas habituales al implementar directivas de grupo
Introduccin Cmo comprobar si se aplica la configuracin correcta de directivas de grupo
El primer paso para solucionar los problemas de directivas de grupo consiste en identificar los sntomas y las posibles causas. En la mayor parte de los casos no se est aplicando una configuracin de directivas de grupo como se esperaba, debido a que otro GPO contiene un valor conflictivo para la misma configuracin. El GPO toma prioridad debido al bloqueo de herencia, la opcin Forzada, el filtrado o el orden de aplicacin. Utilice el Asistente para modelar directivas de grupo o el Asistente de resultados de directiva de grupo para determinar el GPO que se est utilizando para la configuracin. En la siguiente tabla se muestran algunos sntomas comunes y sus posibles mtodos de resolucin.
Resolucin Ser miembro de un grupo de seguridad con permiso de lectura y escritura para el GPO. Asegrese de que DNS funciona correctamente. Vincule los GPO slo a sitios, dominios y unidades organizativas.
Sntomas, causas y resolucin

Sntoma
No puede abrir un GPO aunque tiene permiso de lectura. Cuando trata de editar un GPO aparece el mensaje No se puede abrir el objeto de directiva de grupo. La directiva de grupo no se aplica a usuarios y equipos en un grupo de seguridad que los contiene, incluso cuando un GPO est vinculado a una unidad organizativa que contiene el grupo de seguridad. La directiva de grupo no afecta a usuarios y equipos en un contenedor de Active Directory.
Vincule un GPO a una unidad organizativa que es primaria respecto al contenedor de Active Directory. Esta configuracin se aplica de forma predeterminada a los usuarios y equipos del contenedor mediante la herencia. Determine los GPO que se estn aplicando mediante Active Directory y si estos GPO tienen configuraciones que estn en conflicto con las configuraciones locales.
La directiva de grupo no afecta al equipo cliente.
47
Cmo comprobar la configuracin de directivas de grupo con el Asistente para modelar directivas de grupo
Introduccin
Puede simular la implementacin de una directiva para usuarios y equipos antes de aplicar realmente las directivas. Esta funcin de Administracin de directivas de grupo se conoce como Conjunto resultante de directivas (RSoP, Resultant Set of Policies) del Modo de planeamiento. Requiere un controlador de dominio que ejecute Windows Server 2003 en el bosque. Para comprobar la configuracin de las directivas de grupo con el Asistente para modelar directivas de grupo, deber crear en primer lugar una consulta para modelar directivas de grupo y, a continuacin, ver dicha consulta. Para crear una nueva consulta para modelar directivas de grupo, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo, examine el bosque en el que desee crear una consulta para modelar directivas de grupo, haga clic con el botn secundario en Group Policy Modeling (Modelar directivas de grupo) y, a continuacin, haga clic en el Welcome to the Group Policy Modeling Wizard (Asistente para modelar directivas de grupo). 2. En la pgina Welcome to the Group Policy Modeling Wizard (Asistente para modelar directivas de grupo), haga clic en Siguiente, escriba la informacin adecuada en las pginas del asistente y haga clic en Finalizar.
Procedimiento para crear una consulta para modelar directivas de grupo
48
Procedimiento para ver la consulta para modelar directivas de grupo
Para ver la consulta para modelar directivas de grupo, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo. 2. Vaya hasta el bosque que contiene la consulta para modelar directivas de grupo que desea ver, expanda Group Policy Modeling (Modelar directivas de grupo), haga clic con el botn secundario en la consulta y, a continuacin, haga clic en Advanced View (Vista avanzada).
49
Cmo comprobar la configuracin de directivas de grupo con Resultados de directiva de grupo
Introduccin
Utilice Resultados de directiva de grupo para determinar la configuracin de directiva que se aplica al equipo y al usuario que inici sesin en dicho equipo. Aunque estos datos son similares a los datos de Modelar directivas de grupo, se obtienen del equipo cliente en lugar de simularse en el controlador de dominio. Para obtener los datos mediante Resultados de directiva de grupo, el equipo cliente debe trabajar con Windows XP o Windows Server 2003. Para crear una consulta de resultados de directiva de grupo, realice los siguientes pasos: 1. En Administracin de directivas de grupo, vaya hasta Group Policy Results (Resultados de directiva de grupo), haga clic con el botn secundario en Group Policy Results (Resultados de directiva de grupo) y, a continuacin, haga clic en el Group Policy Results Wizard (Asistente de resultados de directiva de grupo). 2. En la pgina Group Policy Results Wizard (Asistente de resultados de directiva de grupo), haga clic en Siguiente. 3. En la pgina Computer Selection (Seleccin de equipo), seleccione el equipo actual o haga clic en Browse (Examinar) para seleccionar otro equipo y, a continuacin, haga clic en Siguiente. 4. En la pgina User Selection (Seleccin de usuario), seleccione el usuario actual o especifique un usuario y, a continuacin, haga clic en Siguiente. 5. En la pgina Summary of Selections (Resumen de las selecciones), compruebe sus selecciones y, a continuacin, haga clic en Siguiente. 6. En la pgina Completing the Group Policy Results Wizard (Finalizacin del Asistente de resultados de directiva de grupo), haga clic en Finalizar.
Procedimiento para crear una consulta de resultados de directiva de grupo
50
Procedimiento para ver la consulta de resultados de directiva de grupo
Para ver la consulta de resultados de directiva de grupo, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo. 2. Vaya hasta el bosque que contiene la consulta para modelar directivas de grupo que desea ver, expanda Group Policy Results (Resultados de directiva de grupo), haga clic con el botn secundario en la consulta y, a continuacin, haga clic en Advanced View (Vista avanzada).
51
Ejercicio: Comprobacin y solucin de problemas de directivas de grupo
En este ejercicio deber comprobar la configuracin de directivas de grupo con el Asistente para modelar directivas de grupo. Desea comprobar que la configuracin del GPO que planea implementar, incluyendo la configuracin de equipo y usuario para su dominio, se aplica y resulta precisa en Northwind Traders. Decide utilizar la consola Administracin de directivas de grupo para comprobar la configuracin. Comprobar la configuracin de usuario y equipo para su dominio 1. Abra Administracin de directivas de grupo como SuDominio\Administrador mediante Ejecutar como. 2. Haga clic con el botn secundario en Group Policy Modeling (Modelar directivas de grupo) y, a continuacin, haga clic en el Welcome to the Group Policy Modeling Wizard (Asistente para modelar directivas de grupo). 3. En la pgina Welcome to the Group Policy Modeling Wizard (Asistente para modelar directivas de grupo), haga clic en Siguiente. 4. En la pgina Domain Controller Selection (Seleccin del controlador de dominio), haga clic en Siguiente. 5. En la pgina User and Computer Selection (Seleccin de equipo y usuario), en las secciones User Information (Informacin de usuario) e Computer Information (Informacin del equipo), haga clic en Browse (Examinar), seleccione su dominio para cada seccin y haga clic en Siguiente. 6. En cada una de las siguientes pginas del asistente, haga clic en Siguiente para aceptar la configuracin predeterminada.
Ejercicio
52
7. En la pgina Completing the Group Policy Modeling Wizard (Finalizacin del Asistente para modelar directivas de grupo), haga clic en Finalizar. 8. Si aparece un cuadro de dilogo de Internet Explorer, haga clic en Add (Agregar), en el cuadro de dilogo Trusted Sites (Sitios de confianza) haga clic en Add (Agregar) y, a continuacin, haga clic en Close (Cerrar). 9. Vea el informe en el panel de detalles y, a continuacin, cierre Administracin de directivas de grupo.
53
Leccin: Delegacin del control administrativo de directivas de grupo
Introduccin
Puede utilizar las directivas de grupo para delegar ciertas tareas de directiva de grupo a otros administradores. Por ejemplo, la creacin, vinculacin y edicin de GPO son permisos independientes que puede delegar por separado. Administracin de directivas de grupo simplifica la administracin de permisos combinando los permisos de nivel bajo de un objeto y administrndolos como una sola unidad. Utilice Administracin de directivas de grupo para delegar control administrativo de los GPO, directivas de grupo para un sitio, dominio y unidad organizativa, y filtros WMI. Despus de finalizar esta leccin, podr:

Explicar la delegacin de GPO. Explicar la delegacin de directivas de grupo para un sitio, dominio o unidad organizativa. Explicar la delegacin de filtros WMI. Delegar control administrativo para administrar vnculos de directiva de grupo. Delegar control administrativo para crear y editar objetos de directiva de grupo.
54
Delegacin de GPO
Introduccin Delegacin de la capacidad para crear GPO
Puede delegar la capacidad de crear GPO en un dominio y asignar permisos sobre un GPO individual mediante Administracin de directivas de grupo. Por defecto, se asigna la capacidad para crear GPO al grupo Propietarios del creador de directivas de grupo. Sin embargo, puede delegar esa capacidad a cualquier grupo o usuario mediante una de las siguientes opciones:
Agregar el grupo o usuario al grupo Propietarios del creador de directivas de grupo. ste era el nico mtodo disponible antes de Administracin de directivas de grupo. Asignar al grupo o usuario permiso explcito para crear GPO. Este mtodo slo est disponible si se utiliza Administracin de directivas de grupo.
Cundo utilizar el grupo Propietarios del creador de directivas de grupo
Para los usuarios y grupos dentro del dominio, utilice el grupo Propietarios del creador de directivas de grupo para asignar permisos para crear un GPO. Debido a que el grupo Propietarios del creador de directivas de grupo es un grupo global de un dominio, no puede contener miembros de fuera del dominio. Si los usuarios de fuera del dominio necesitan la capacidad de crear GPO, realice lo siguiente: 1. Cree un nuevo grupo local de dominio en el dominio. 2. Asigne a dicho grupo permiso para la creacin de GPO en el dominio. 3. Agregue usuarios de dominio externo a dicho grupo.
Comparacin de los dos mtodos de delegacin
Los permisos son idnticos si agrega un usuario al grupo Propietarios del creador de directivas de grupo o si asigna al usuario permisos para creacin de GPO directamente mediante Administracin de directivas de grupo. Los usuarios podrn crear GPO en el dominio y disfrutar de control total de stos, pero no tienen permisos sobre los GPO que creen otros usuarios. Atribuir a un usuario la capacidad de crear GPO en el dominio no lo habilita para vincular el GPO a un sitio, dominio o unidad organizativa.
55
Delegacin de permisos sobre un GPO individual
Tambin puede administrar permisos sobre el GPO en el nivel de tarea. Las cinco categoras que aparecen a continuacin son permisos concedidos sobre un GPO.

Leer Modificar configuracin Editar, Eliminar, Modificar seguridad Leer (desde el filtrado de seguridad) Personalizado
56
Delegacin de directivas de grupo para un sitio, dominio o unidad organizativa
Introduccin
La delegacin de directivas de grupo para un sitio, dominio y unidad organizativa incluye la delegacin de la capacidad para vincular GPO y delegar permisos para Modelar directivas de grupo y Resultados de directiva de grupo. Administracin de directivas de grupo utiliza un permiso nico llamado Vincular GPO para administrar los atributos gPLink y gPOptions. Aplique la configuracin de un GPO a usuarios y equipos vinculando el GPO, ya sea como un secundario directo o indirectamente mediante la herencia, a un sitio, dominio o unidad organizativa que contenga los objetos del usuario o equipo. El permiso Vincular GPO es especfico para dicho sitio, dominio o unidad organizativa. Este permiso corresponde a tener los permisos de lectura y escritura para los atributos gPLink y gPOptions en el sitio, dominio o unidad organizativa.
Delegacin la capacidad para vincular GPO
Delegacin de permisos para modelar directivas de grupo
Puede utilizar Modelar directivas de grupo para simular el grupo de directivas para objetos de un dominio o unidad organizativa, o bien puede delegarlo a otros usuarios o grupos. Esta delegacin asigna al usuario o grupo el permiso Generar conjunto resultante de directivas (planeacin), que est disponible en cada bosque que tenga el esquema de Windows Server 2003. Administracin de directivas de grupo simplifica la administracin de este permiso incluyndolo en la ficha Delegation (Delegacin) para cualquier dominio o unidad organizativa. El administrador puede seleccionar Perform Group Policy Modeling Analyses (Realizar anlisis para modelar directivas de grupo) y, a continuacin, seleccionar las propiedades de Name (Nombre), Applies To (Se aplica a), Setting (Configuracin) y Inherited (Heredado) para las delegaciones.
57
Delegacin de permisos para resultados de directiva de grupo
Puede utilizar Resultados de directiva de grupo para leer los datos del registro RSoP para objetos del dominio o la unidad organizativa. Como Administracin de directivas de grupo, puede delegar este permiso a otros usuarios o grupos. Puede delegar permisos sobre un dominio o una unidad organizativa. Los usuarios que tienen este permiso pueden leer los datos de Resultados de directiva de grupo para cualquier objeto de dicho contenedor. Esta delegacin tambin asigna al usuario o grupo el permiso Generar conjunto resultante de directivas (registro), que est disponible en cada bosque que tenga el esquema de Windows Server 2003. Administracin de directivas de grupo simplifica la administracin de este permiso incluyndolo en la ficha Delegation (Delegacin) para el dominio o unidad organizativa. El administrador puede seleccionar Read Group Policy Results Data (Leer los datos de Resultados de directiva de grupo) y, a continuacin, seleccionar los usuarios y grupos que tienen este permiso.
58
Delegacin de filtros WMI
Introduccin Delegacin de la capacidad para crear filtros WMI
Puede delegar la capacidad para crear filtros WMI en un dominio y asignar permisos sobre ellos. Puede crear filtros WMI en el contenedor de filtros WMI en Administracin de directivas de grupo. Cuando cree un filtro WMI nuevo, Active Directory lo almacenar en el contenedor WMIPolicy en el contenedor del sistema del dominio. Los permisos del contenedor WMIPolicy determinan los permisos que tiene un usuario para crear, editar y eliminar filtros WMI. Existen dos permisos para crear filtros WMI:
Creator Owner. Permite al usuario crear filtros WMI nuevos en el dominio. No asigna permisos al usuario sobre filtros WMI creados por otros usuarios. Control total. Permite al usuario crear filtros WMI y asignar control total sobre todos los filtros WMI del dominio, incluidos los filtros nuevos que el usuario crea tras de obtener este permiso.
Delegacin de permisos sobre un filtro WMI
Puede utilizar Administracin de directivas de grupo para delegar permisos sobre un filtro WMI determinado. Existen dos permisos que puede asignar a un usuario o grupo:

Editar. Permite al usuario o grupo editar el filtro WMI. Control total. Permite al usuario o grupo editar, eliminar y modificar la seguridad sobre el filtro WMI.
59
Cmo delegar control administrativo para administrar vnculos de directiva de grupo
Introduccin
Puede delegar la capacidad de administrar vnculos de directiva de grupo seleccionando Administrar vnculos de directiva de grupo en el Asistente para delegacin de control con el fin de habilitar a un usuario para vincular y desvincular GPO. Para delegar control administrativo para administrar vnculos de directiva de grupo, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo. 2. Vaya hasta el bosque y el dominio en el que desea delegar control administrativo para administrar vnculos de directiva de grupo y, a continuacin, haga clic en el vnculo. 3. En el panel de detalles, en la ficha Delegation (Delegacin), haga clic en Add (Agregar). 4. En el cuadro de dilogo Seleccionar Usuarios, Equipos o Grupos, en el cuadro Escriba el nombre de objeto que desea seleccionar (ejemplos), introduzca el principal de seguridad, haga clic en Comprobar nombres y, a continuacin, haga clic en Aceptar. 5. En el cuadro de dilogo Add Group or User (Agregar usuario o grupo), en el cuadro Permissions (Permisos), seleccione el permiso adecuado y haga clic en OK (Aceptar). Nota Si prefiere la flexibilidad del cuadro de dilogo Properties (Propiedades), est disponible en Administracin de directivas de grupo haciendo clic en Advanced (Opciones avanzadas) en la ficha Delegation (Delegacin).
Procedimiento
60
Cmo delegar control administrativo para crear y editar GPO
Introduccin Procedimiento para delegar control administrativo para crear GPO
Utilice el Asistente para delegacin de control con el fin de delegar control administrativo para crear y editar GPO. Para delegar control administrativo para crear GPO, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo. 2. Vaya hasta el bosque y el dominio en el que desea delegar control administrativo para crear GPO y, a continuacin, haga clic en Group Policy Objects (Objetos de directiva de grupo). 3. En el panel de detalles, en la ficha Delegation (Delegacin), haga clic en Add (Agregar). 4. En el cuadro de dilogo Seleccionar Usuarios, Equipos o Grupos, en el cuadro Escriba el nombre de objeto que desea seleccionar (ejemplos), introduzca el principal de seguridad, haga clic en Comprobar nombres y, a continuacin, haga clic en Aceptar.
Procedimiento para delegar control administrativo para editar GPO
Para delegar control administrativo para editar GPO, realice los siguientes pasos: 1. Abra Administracin de directivas de grupo. 2. Vaya hasta el bosque y el dominio en el que desea delegar control administrativo para editar GPO y, a continuacin, haga clic en el vnculo. 3. En el panel de detalles, en la ficha Delegation (Delegacin), haga clic en Add (Agregar). 4. En el cuadro de dilogo Seleccionar Usuarios, Equipos o Grupos, en el cuadro Escriba el nombre de objeto que desea seleccionar (ejemplos), introduzca el principal de seguridad, haga clic en Comprobar nombres y, a continuacin, haga clic en Aceptar. 5. En el cuadro de dilogo Add Group or User (Agregar usuario o grupo), en el cuadro Permissions (Permisos), seleccione el permiso adecuado y haga clic en OK (Aceptar).
61
62
Ejercicio: Delegacin del control administrativo de directivas de grupo
Objetivos
En este ejercicio deber agregar la cuenta del administrador junior al grupo Propietarios del creador de directivas de grupo y delegarle la capacidad para administrar vnculos de directiva de grupo. Ha decidido delegar a un administrador junior administracin de directivas de grupo para las unidades organizativas Accounting, Accounts Payable y Accounts Receivable. ste ser responsable de la vinculacin y desvinculacin de GPO, la creacin de nuevos GPO y la modificacin de los GPO existentes. Tambin administrar otros objetos de las unidades organizativas. Delegar control administrativo de directivas de grupo a un usuario 1. Abra Administracin de directivas de grupo como SuDominio\Administrador mediante Ejecutar como. 2. Expanda Forest (Bosque), expanda Domains (Dominios), expanda SuDominio, expanda Group Policy Objects (Objetos de directiva de grupo) y, a continuacin, haga clic en EjercicioGPO. 3. En la ficha Delegation (Delegacin), agregue Nwtradersx\NombreDeEquipo\User a la lista con los permisos Edit settings (Editar configuracin), delete (eliminar) y modify security (modificar la seguridad) haga clic en OK (Aceptar). 4. En Administracin de directivas de grupo, haga clic en SuDominio y, a continuacin, en el panel de detalles, haga clic en el vnculo a EjercicioGPO. 5. En el panel de detalles, en la ficha Delegation (Delegacin), haga clic en Add (Agregar).
Situacin de ejemplo
Ejercicio
63
6. En el cuadro de dilogo Seleccionar Usuarios, Equipos o Grupos, en el cuadro Escriba el nombre de objeto que desea seleccionar, introduzca Nwtradersx\NombreDeEquipo\User, haga clic en Comprobar nombres y, a continuacin, haga clic en Aceptar. 7. En el cuadro de dilogo Add Group or User (Agregar usuario o grupo), en el cuadro Permissions (Permisos), seleccione el permiso adecuado y haga clic en OK (Aceptar). 8. Cierre Administracin de directivas de grupo.
64
Leccin: Planeamiento de una estrategia empresarial de directivas de grupo
Introduccin
Al planear una estructura de Active Directory, cree un plan para la herencia, administracin e implementacin de GPO que proporcione la administracin ms eficaz de directivas de grupo para su organizacin. Tenga en cuenta tambin cmo implementar la directiva de grupo para la organizacin. Asegrese de tener en cuenta la delegacin de autoridad, la separacin de obligaciones administrativas, la administracin central y la descentralizada y la flexibilidad de diseo, de modo que su plan proporcione el uso y la administracin ms sencillos.
Despus de finalizar esta leccin, podr:

Explicar las directrices para el planeamiento de GPO. Explicar las directrices para la determinacin de la herencia de GPO. Explicar las directrices para la determinacin de una estrategia de directivas de grupo para sitios. Explicar las directrices para el planeamiento de la administracin de GPO. Explicar las directrices para la implementacin de GPO.
65
Directrices para el planeamiento de GPO
Introduccin Directrices
Cree GPO de modo que obtenga el diseo ms sencillo y ms fcil de administrar, con el que pueda utilizar la herencia y varios vnculos. Aplique las siguientes directrices para el planeamiento de GPO:
Aplicar la configuracin de GPO al nivel ms alto. De este modo podr aprovechar la herencia de directiva de grupo. Determine la configuracin habitual de GPO para el contenedor ms grande, empezando por el dominio y, a continuacin, vincule el GPO a dicho contenedor. Reducir el nmero de GPO. Reduzca el nmero utilizando varios vnculos en lugar de crear varios GPO idnticos. Intente vincular un GPO al contenedor ms amplio posible para evitar la creacin de varios vnculos del mismo GPO en un nivel ms bajo. Crear GPO especializados. Utilice estos GPO para aplicar configuraciones exclusivas cuando sea necesario. Los GPO de un nivel ms alto no aplicarn la configuracin de estos GPO especializados. Deshabilitar los valores de configuracin de equipo o usuario. Al crear un GPO para contener la configuracin de slo uno de los dos niveles, usuario o equipo, deshabilite la otra rea. As se mejora el funcionamiento de una aplicacin de GPO durante el inicio de sesin del usuario y se evita la aplicacin en la otra rea de valores de GPO accidentales.
66
Directrices para determinar la herencia de GPO
Introduccin
La herencia de GPO desempea un papel importante en la implementacin de directivas de grupo en una empresa. Por eso, debe decidir de antemano si va a aplicar directivas de grupo a todos los usuarios y equipos o slo a algunos. Aplique las siguientes directrices para determinar la herencia de GPO:
Directrices
Utilizar la opcin Forzada (No reemplazar) slo cuando sea necesario. Utilice esta opcin slo para GPO que desee imponer de forma absoluta, como configuraciones de seguridad impuestas por la empresa. Asegrese de disear los GPO para que contengan slo estos valores importantes. Utilizar Bloquear la herencia con moderacin. Esta configuracin dificulta la solucin de problemas y la administracin de GPO. Utilizar filtrado de seguridad slo cuando sea necesario. Utilice filtrado de seguridad cuando la configuracin se aplique slo a un grupo de seguridad especfico en un contenedor. Limite la cantidad de filtrado de seguridad creando y vinculando GPO en el nivel adecuado.
67
Directrices para determinar una estrategia de directivas de grupo para sitios
Introduccin
Puede vincular GPO a un sitio, con lo que se impone la configuracin a todos los equipos y usuarios situados fsicamente en ese sitio. Cuando se establece la directiva de grupo en el nivel del sitio, no afecta a usuarios mviles de dicho sitio si tienen acceso a la red desde otro sitio. Aplique las siguientes directrices para la determinacin de una estrategia de directivas de grupo para sitios:
Directrices
Aplicar un GPO a un sitio slo cuando la configuracin sea especfica para el sitio y no para el dominio. Puede ser difcil la solucin de problemas de configuracin de GPO vinculada al sitio. Crear GPO en el dominio con ms controladores de dominio del sitio. Se entra en contacto con un controlador del dominio que contenga el GPO vinculado al sitio antes de aplicar el GPO, independientemente del dominio del que sea miembro el usuario o equipo.
68
Directrices para el planeamiento de la administracin de GPO
Asegrese de documentar la siguiente informacin sobre su estrategia para administrar GPO en la organizacin. Aplique las siguientes directrices para planificar la administracin GPO:
Identificar su estrategia administrativa para administrar GPO. Determine quin crear y vincular GPO en la organizacin y quin vincular GPO pero no los crear. Adems, determine quin administra GPO. Organizar GPO de acuerdo con el mantenimiento administrativo. De este modo podr delegar control de GPO al grupo adecuado y reducir las posibilidades de que un administrador sustituya cambios que realiz otro administrador en un GPO. Por ejemplo, puede organizar la directiva de grupo en las siguientes categoras de administracin: Administracin de la configuracin de usuario Administracin de datos Distribucin del software Planear la auditoria de GPO. Puede que su organizacin precise que registre cambios en los GPO y su uso de modo que pueda comprobar que Active Directory ha aplicado la configuracin correctamente.
69
Directrices para la implementacin de GPO
Al planear la implementacin de directivas de grupo, asegrese de comprobar y documentar su estrategia de directiva de grupo. Aplique las siguientes directrices para la implementacin de GPO:
Comprobar la configuracin de directivas de grupo. Comprobar los resultados de GPO en numerosas situaciones. Muchas organizaciones de tamao medio o grande crean una versin en miniatura del entorno de produccin para usarlo como prueba. En las organizaciones pequeas en las que faltan recursos para crear una prueba, implementar la directiva de grupo en el entorno de produccin durante las horas de menos trabajo y tener disponible una estrategia de regresin para rectificar cualquier problema. La comprobacin de estrategias incluye: Inicio de sesin como usuarios representativos en lugares de trabajo representativos para comprobar que se ha aplicado la configuracin esperada de directiva de grupo y que no tiene lugar ningn conflicto de herencia. Puede utilizar el Asistente para modelar directivas de grupo y el Asistente de resultados de directiva de grupo para determinar qu configuracin de directiva de grupo de qu GPO se ha aplicado. Inicio de sesin en todas las condiciones posibles para asegurar que la configuracin de directiva de grupo se ha aplicado correctamente. Comprobacin de los equipos porttiles conectndolos a la red desde diversos sitios en que los usuarios suelan iniciar sesin.
70
Documentar el plan de directiva de grupo. Guardar siempre una lista detallada de todos los GPO de modo que pueda resolver los problemas y administrar la directiva de grupo fcilmente. Tener en cuenta la inclusin de la siguiente informacin en la lista: El nombre y objetivo de cada GPO. Configuracin de directivas de grupo en cada GPO. Vnculos del GPO a un sitio, dominio o unidad organizativa. Cualquier configuracin especial aplicada al GPO, como Forzada, deshabilitacin parcial y deshabilitacin total.
71
Ejercicio: Implementar la directiva de grupo
Ubicacin de los archivos Objetivo Instrucciones
Para ver la actividad Implementar la directiva de grupo, abra el archivo media17_2.htm que se encuentra dentro del fichero media17.zip En este ejercicio deber determinar el efecto de la aplicacin de varias configuraciones de directiva de grupo y de la herencia de GPO. La actividad Implementar la directiva de grupo incluye varias opciones y ejercicios de arrastrar y soltar para evaluar sus conocimientos. Lea las instrucciones y despus comience la actividad en la ficha Efectos de la configuracin de directivas de grupo.

Implementacion de Directivas de Grupo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Implementacion de Directivas de Grupo

Cargado por

Copyright:

Formatos disponibles

Implementacin de directivas de grupo

Implementacin de directivas de grupo

Despus de finalizar este mdulo, podr:

Implementacin de directivas de grupo

Leccin: Creacin y configuracin de GPO

Implementacin de directivas de grupo

Presentacin multimedia: Introduccin a la directiva de grupo

Ubicacin de los archivos Objetivos

Implementacin de directivas de grupo

Orden en que se procesan los GPO

Configuracin de GPO multivalor

Implementacin de directivas de grupo

Consola de administracin de directivas de grupo

Implementacin de directivas de grupo

Contenedor de directivas de grupo

Plantilla de directiva de grupo

Implementacin de directivas de grupo

Por qu especificar un controlador de dominio para la administracin de GPO

Por qu seleccionar un controlador de dominio especfico

Emulador del PDC

Implementacin de directivas de grupo

Opciones para seleccionar un controlador de dominio

Implementacin de directivas de grupo

Cmo especificar un controlador de dominio para la administracin de GPO

Implementacin de directivas de grupo

Qu son los filtros WMI

Cmo funciona un filtro WMI

Usos de los filtros WMI

Implementacin de directivas de grupo

Cmo filtrar la configuracin de directivas de grupo con filtros WMI

Implementacin de directivas de grupo

Ejemplo de consulta WQL

Implementacin de directivas de grupo

Qu es el procesamiento de bucle invertido

Modos de procesamiento de bucle invertido

El procesamiento de bucle invertido tiene dos modos:

Implementacin de directivas de grupo

Cmo configurar el modo de procesamiento de bucle invertido de la directiva de grupo de usuario

Implementacin de directivas de grupo

Ejercicio: Creacin y configuracin de GPO

Objetivos Situacin de ejemplo

Implementacin de directivas de grupo

Implementacin de directivas de grupo

Implementacin de directivas de grupo

Leccin: Configuracin de la frecuencia de actualizacin y valores de directivas de grupo

Implementacin de directivas de grupo

Cundo se aplica la directiva de grupo

Orden en que se aplican las directivas de grupo

Implementacin de directivas de grupo

Implementacin de directivas de grupo

Cmo asignar configuracin de secuencia de comandos de directivas de grupo

Procedimiento para copiar una secuencia de comandos

Implementacin de directivas de grupo

Procedimiento para agregar la secuencia de comandos

Implementacin de directivas de grupo

Cmo configurar la frecuencia de actualizacin de los componentes de directivas de grupo

Directiva de grupo y vnculos lentos

Desactivado Desactivado Desactivado

N/D N/D Activado

Implementacin de directivas de grupo

Cmo configurar la frecuencia de actualizacin de controladores de dominio y equipos

Intervalos de actualizacin predeterminados

Implementacin de directivas de grupo