Giezi R.

Matos Ramirez 2007-3946

Crear un objeto de Directiva de grupo usando Group
Policy

Lo primero que tenemos que tener en cuenta antes de empezar es tener el Group
Policy Management. Lo podemos conseguir yendo a la pagina de Microsoft, es muy
sencillo y esencial para crear un objeto de directiva de grupo.

Abramos la MMC y agreguemos a ella el GPMC, después de agregado expandimos

dicha consola de forma panorámica, como lo muestro a continuación.

Después de esto, proseguimos a expandir los elementos que se encuentren listados

dentro de la consola…
Vamos a crear a continuación un objeto o GPO…
Después de creada nuestra GPO, se nos listara en dicha carpeta o unidad organizativa
seleccionada…

Si quieres aprender un poco acerca de la migración de GROs, puedes visitar el

siguiente link que te listo a continuación.

Migrating GPOs Across Domains with GPMC. en la

dirección http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx

(en inglés).

Crear un vínculo de objeto de Directiva de grupo

Vamos a crear una unidad organizativa, que usted si quiere puede llamar como guste,
yo en mi caso la llamare NombreEquipo.

Como anteriormente tratamos para crear una unidad organizativa, tenemos que ir a
Active Directory Users and Computers.

Después de creada procedemos entonces a crear un vinculo…

Lo que vamos a hacer, es simplemente ir a la GPO (NombreEquipoGP) hace un rato
creada y hacer un vínculo con NombreEquipo (unidad organizativa).

Hacemos click derecho sobre la unidad y seleccionamos…Link an Existing GPO…

Nos aparecerá una ventana, en donde se nos listan las diferentes GPO que se
encuentran en nuestro ordenador… y seleccionamos la anteriormente mencionada.
Y le damos en ok.

Veremos luego que se pondrá un pequeño icono debajo de nuestra GPO, como si fuera
un acceso directo. También notaremos que en la pestañita de linked nos aparecerá
abilitado.

Ahora bien, la GPO que contiene el pequeño símbolo esta dentro de nuestra unidad,
pero todavía la original se encuentra en la carpeta origen de esta. Como dije
anteriormente, esto es como si fuera un acceso directo.
Ahora, crearemos un objeto de Directiva de grupo “forzado”

Crearemos las siguientes GPOs:

• NombreEquipo Escritorio estándar

• NombreEquipo Aplicaciones de contabilidad

• NombreEquipo Aplicaciones de marketing

Después de hecho esto, pues procedemos a linkear la primera GPO a nuestro unidad
organizativa NombreEquipo.

Después de linkeada, pues se nos listara a continuación…

Hacemos entonces click derecho sobre dicha GPO (la que creamos hace un ratito) y
seleccionamos la opción de enforced…

Notaremos que después de elegir dicha opción, se mostrara un pequeñito candadito al

lado de nuestra GPO (tenemos que tener una lupa para mirar ese icono jajajajaja).

Configurar un filtro de seguridad de objeto de Directiva de grupo

Vamos otra vez a la GPO anteriormente utilizapa, pero ahora lo que vamos a hacer es
click sobre esta, lo que nos permitirá visualizar lo siguiente.
Esto se mostrara en la mano derecha de nuestra pantalla.

En dicha ventana en la opción de Security Filtering, pues agredamos lo siguiente:

• G NWTraders Accounting Managers

• G NWTraders Accounting Personnel

• G NWTraders Marketing Managers

• G NWTraders Marketing Personnel

Despues de agregados, prcedemos a quitar un grupo no necesario en este caso, que

es Authenticated Users…

Le damos a Remove y supongo que ya usted domina los otros pasos.

Vamos pues a la ficha de delegación y le damos en Advanced…apareciéndonos la
siguiente ventana…

En donde también aparecerán los grupos citados anteriormente. Pero lo que mas
resalta en esta ventana es que podremos modificar los permisos de dichos grupos a
nuestro antojo, lo que le agrega un punto de flexibilidad al sistema un tanto interesante.

Implementar directiva de grupo

Ahora lo que haremos es:

• Para el grupo G NWTraders Accounting Managers, establezca

el permiso Aplicar directiva de grupos en Denegar.

• Para el grupo G NWTraders Marketing Managers, establezca el permiso

Aplicar directiva de grupos en Denegar.

Después de estos, le damos en apply y si terminamos de utilizar dicha ventana pues

procedemos a clickear un ok.

Configurar los objetos de directiva de grupo para bloquear la herencia

Creamos una sub-unidad organizativa dentro de NombreEquipo (unidad organizativa).

A dicha unidad la nombraremos Contabilidad.

Después de esto vincularemos (linkearemos) las GPOs de nuestra unidad organizativa

principal a nuestra sub-unidad organizativa.

Podremos crear incluso otra unidad organizativa dentro de contabilidad y permitir los
objetos sea heredado.

Después de crear dicha unidad, en la parte derecha de nuestra ventana veremos que
se nos muestran tres pestañitas, la segunda dice Group Policy Inheritance, ahí
podremos ver los objetos que han sido heredados de nuestra unidad organizativa
“madre”.

Podremos también bloquear que inheritance, esto lo hacemos simplemente haciendo

click derecho sobre nuestra unidad “madre” y seleccionamos Block Inheritance.

Veremos que se pondrá un icono azul, lo que bloqueara todos objetos que se estaban
heredando…
Y en la mano derecha vemos que una cantidad considerable de estos ha sido
removida.

Crear y vincular objetos de directiva de grupos

Lo que haremos a continuación es crear ciertos objetos y ciertas unidades y le

agregaremos los objetos a algunas de esas unidades…

1. Vincular un objeto

de Directiva de grupo

de escritorio estándar.

a. Ubicación: nwtraders.msft/Locations/NombreEquipo

b. Nombre del objeto de Directiva de grupo: NombreEquipo

Escritorio estándar

2. Crear y vincular un objeto

de Directiva de grupo

de redirección de carpetas.

a. Ubicación: nwtraders.msft/Locations/NombreEquipo/Usuarios

b. Nombre del objeto de Directiva de grupo: NombreEquipo Redirección

de carpetas

3. Crear y vincular un objeto

de Directiva de grupo

de secuencias de comandos.

a. Ubicación: nwtraders.msft/Locations/NombreEquipo/Usuarios

b. Nombre del objeto de Directiva de grupo: NombreEquipo Secuencia

de comandos

4. Crear y vincular un objeto

de Directiva de grupo

de configuración proxy.

a. Ubicación: nwtraders.msft/Locations/NombreEquipo/

Equipos/Escritorios

b. Nombre del objeto de Directiva de grupo: NombreEquipo

Configuración de proxy

Vamos pues entonces a configurar el filtrado de un objeto de directiva de grupo para un

grupo.

Vamos a la unidad organizativa llamada usuarios, buscamos la GPO llamada

Redireccion de carpetas, haciendo click sobre esta y prosiguiendo a agregar al grupo
DL Temp Employees en esta GPO.

Le ponemos en denegado la capacidad de aplicar directiva de grupos.

Seleccionamos el grupos ya dicho y le damos en Advanced…

Luego de aplicar los cambios…

Le damos en apply…y depues en ok.

Configurar la obligatoriedad de objetos de directiva de grupos

Iremos a continuación a la unidad organizativa de NombreEquipo, y en el objeto de

NombreEquipo Escritorio estándar hacemos click derecho seleccionando enforced.

Lo mismo hacemos con la que se encuentra dentro de escritorios, que se llama

configuración de proxy.

La confirmación de que dichos objetos fueron enforzados en cuando se pone un

pequeño candadito en nuestra GPO…

Configurar el bloqueo de objetos de directiva de grupos

Lo único que haremos será establecer Block inheritance, ya hicimos esto

anteriormente…simplemente estamos repasando.
Y ya hasta aquí este tutorial de GPOs espero que hayan aprendido bastante. Que la
paz de Dios sea con ustedes hoy mañana y siempre.