Guía de planeación e implementación de directivas de grupo

Tech Net
Pro du cto s
Recu rso s de TI
Descargas
En tren amien to
So p o rte tcn ico
Espaa (Espaol)
Iniciar sesin
Buscar Windows Server con Bing Inicio Windows Server 2012 Windows Server 2008 R2 Windows Server 2003 Library Foros
Biblioteca TechNet Windows Windows Server Windows Server 2008 y Windows Server 2008 R2 Examinar las tecnologas de Windows Server Group Policy Gua de supervivencia de la documentacin acerca de directivas de grupo Gua de planeacin e implementacin de directivas de grupo Gua de referencia de sintaxis ADMX para la directiva de grupo Gua de introduccin a las preferencias de directivas de grupo Local Group Policy Editor Not Configured error
Gua de planeacin e implementacin de directivas de grupo

Personas que lo han encontrado til: 4 de 6 - Valorar este tema Actualizado: enero de 2009 Se aplica a: Windows Server 2008 Use la directiva de grupo de Windows Server 2008 para administrar la configuracin de grupos de equipos y usuarios, incluidas opciones de configuracin de directiva basadas en el Registro, configuracin de seguridad, implementacin de software, scripts, redireccin de carpetas y preferencias. Las preferencias de directiva de grupo, nuevas en Windows Server 2008, son ms de 20 extensiones de directiva de grupo que amplan el intervalo de valores de directiva configurables en un objeto de directiva de grupo (GPO). A diferencia de la configuracin de directiva de grupo, las preferencias no se exigen. Los usuarios pueden cambiar las preferencias despus de la implementacin inicial. Para obtener informacin acerca de las preferencias de directiva de grupo, consulte el artculo de informacin general sobre las preferencias de directiva de grupo (puede estar en ingls). La directiva de grupo permite reducir notablemente el costo total de propiedad de una organizacin. Varios factores, como el gran nmero de valores de configuracin de directiva disponibles, la interaccin entre varias directivas y las opciones de herencia, pueden hacer que el diseo de la directiva de grupo sea muy complejo. Si planea, disea, prueba e implementa cautelosamente una solucin basada en los requisitos empresariales de su organizacin, puede proporcionar la funcionalidad estandarizada, la seguridad y el control de administracin que su organizacin necesita.
Informacin general sobre la directiva de grupo

La directiva de grupo permite la administracin basada en Active Directory de los cambios y la configuracin de usuarios y equipos en PCs que ejecuten Windows Server 2008, Windows Vista, Windows Server 2003 y Windows XP. Adems de usar la directiva de grupo para definir la configuracin de grupos de usuarios y equipos, puede usarla para facilitar la administracin de servidores configurando numerosas opciones de funcionamiento y seguridad especficas del servidor. Los valores de configuracin de directiva de grupo que cree se guardan en un GPO. Para crear y editar un GPO, use la Consola de administracin de directivas de grupo (GPMC). Use GPMC para vincular un GPO con sitios, dominios y unidades organizativas (OU) de Active Directory seleccionados, lo que permitir aplicar la configuracin de directiva del GPO a los usuarios y equipos de esos objetos de Active Directory. Una unidad organizativa es el nivel ms bajo de contenedor de Active Directory al que se puede asignar una configuracin de directiva de grupo. Para orientar las decisiones que tome para disear la directiva
converted by Web2PDFConvert.com
de grupo, debe tener un claro entendimiento de las necesidades empresariales, los acuerdos de nivel de servicio y los requisitos de seguridad, red y TI de su organizacin. Para establecer la estrategia que mejor satisfaga las necesidades de su organizacin, deber analizar los requisitos del entorno y los usuarios actuales, definir los objetivos empresariales que desea alcanzar con la directiva de grupo y seguir estas directrices para disear la infraestructura de la directiva de grupo.
Proceso para implementar una solucin de directiva de grupo

El proceso para implementar una solucin de directiva de grupo implica planear, disear, implementar y administrar la solucin. Cuando planee el diseo de la directiva de grupo, asegrese de que disea la estructura de la unidad organizativa para facilitar la administracin de la directiva de grupo y cumplir los acuerdos de nivel de servicio. Establezca buenos procedimientos operativos para trabajar con objetos GPO. Asegrese de que comprende los problemas de interoperabilidad de la directiva de grupo y determine si planea usarla para la implementacin de software. Durante la fase de diseo: Defina el mbito de aplicacin de la directiva de grupo. Determine los valores de configuracin de la directiva que son aplicables a todos los usuarios corporativos. Clasifique a los usuarios y equipos segn sus funciones y ubicaciones. Planee las configuraciones de escritorio en funcin de los requisitos de los usuarios y equipos. Un diseo bien planeado contribuir a garantizar una correcta implementacin de la directiva de grupo. La fase de implementacin comienza con un ensayo en un entorno de prueba. El proceso incluye: Creacin de configuraciones de escritorio estndar. Filtrado del mbito de aplicacin de objetos GPO. Especificacin de excepciones a la herencia predeterminada de la directiva de grupo. Delegacin de la administracin de la directiva de grupo. Evaluacin de una configuracin de directiva efectiva usando Modelado de directivas de grupo. Evaluacin de los resultados mediante Resultados de directivas de grupo. El ensayo es crtico. Pruebe a conciencia la implementacin de la directiva de grupo en un entorno de prueba antes de implementarla en un entorno de produccin. Tras completar el ensayo y las pruebas, migre el GPO al entorno de produccin usando GPMC. Considere una implementacin interactiva de la directiva de grupo: En lugar de implementar 100 valores de configuracin de directiva de grupo nuevos, primero pruebe e implemente solo algunos valores para validar que la infraestructura de la directiva de grupo est funcionando correctamente. Finalmente, preprese para el mantenimiento de la directiva de grupo estableciendo procedimientos de control para trabajar con objetos GPO y solucionar problemas mediante GPMC. Nota
Administracin avanzada de directivas de grupo (AGPM) de Microsoft ampla la funcionalidad de GPMC proporcionando un control completo de los cambios y una administracin mejorada de los GPO. Para obtener ms informacin acerca de AGPM, consulte el sitio web de Microsoft Desktop Optimization Pack (MDOP) en http://go.microsoft.com/fwlink/? LinkId=100757 (puede estar en ingls).
Qu debe hacer antes de disear la solucin de directiva de grupo

Antes de disear la implementacin de la directiva de grupo, debe comprender el entorno organizativo actual y realizar algunos pasos preparatorios en las siguientes reas: Active Directory: asegrese de que el diseo de unidades organizativas de Active Directory para todos los dominios del bosque admite la aplicacin de la directiva de grupo. Para obtener ms informacin, consulte Diseo de una estructura de unidades organizativas que admita una directiva de grupo ms adelante en esta gua. Red: asegrese de que la red cumple los requisitos de las tecnologas de administracin de cambios y configuracin. Por ejemplo, puesto que la directiva de grupo funciona solo con nombres de dominio completos, el Servicio de nombres de directorio (DNS) debe estar ejecutndose en el bosque para poder procesar la directiva de grupo correctamente. Seguridad: obtenga una lista de los grupos de seguridad que estn en uso actualmente en el dominio. Trabaje junto con los administradores de seguridad, puesto que delega la responsabilidad de la administracin de la unidad organizativa y crea diseos que requieren filtrado de grupo de seguridad. Para obtener ms informacin acerca del filtrado de objetos GPO, consulte cmo aplicar objetos GPO a grupos seleccionados (filtrado) en Definicin del mbito de aplicacin de la directiva de grupo ms adelante en esta gua. Requisitos de TI: obtenga una lista de los propietarios administrativos y de los estndares administrativos corporativos de los dominios y unidades organizativas del dominio. Esto permitir desarrollar un buen plan de delegacin y garantizar que la directiva de grupo se herede correctamente.
Nota La directiva de grupo depende de la red, la seguridad y Active Directory; por tanto, es crucial comprender estas tecnologas. Se recomienda encarecidamente familiarizarse con estos conceptos antes de implementar la directiva de grupo.
Requisitos administrativos de la directiva de grupo

Para usar la directiva de grupo, la organizacin debe usar Active Directory, y los equipos de escritorio y servidor de destino deben ejecutar Windows Server 2008, Windows Vista, Windows Server 2003 o Windows XP. De forma predeterminada, solo los miembros de los grupos Admins. del dominio y Administradores de empresas pueden crear y vincular objetos GPO, pero puede delegar esta tarea en otros usuarios. Para obtener ms informacin acerca de los requisitos administrativos de la directiva de grupo, consulte Delegacin de la administracin de la directiva de grupo ms adelante en esta gua.
La consola de administracin de
directivas de grupo (GPMC)

GPMC proporciona una administracin unificada de todos los aspectos de la directiva de grupo entre varios bosques de una organizacin. Permite administrar todos los GPO, filtros de Instrumental de administracin de Windows (WMI) y permisos relacionados con la directiva de grupo en la red. Piense en GPMC como el principal punto de acceso a la directiva de grupo, con todas las herramientas de administracin de la directiva de grupo disponibles en la interfaz de GPMC. GPMC consta de una serie de interfaces que admiten el uso de scripts para administrar la directiva de grupo y una interfaz de usuario (UI) basada en MMC. Las versiones de 32 y 64 bits de GPMC se incluyen en Windows Server 2008. GPMC ofrece las siguientes capacidades: Importar y exportar GPO. Copiar y pegar GPO. Realizar copias de seguridad y restaurar GPO. Buscar GPO existentes. Crear informes de capacidades. Modelado de directiva de grupo. Permite simular datos RSoP (conjunto resultante de directivas) para planificar implementaciones de directiva de grupo antes de implementarlas en el entorno de produccin. Resultados de directivas de grupo. Permite obtener datos RSoP para ver la interaccin de GPO y solucionar problemas de implementaciones de directiva de grupo. Compatibilidad con tablas de migracin para facilitar la importacin y copia de GPO entre dominios y entre bosques. Una tabla de migracin es un archivo que asigna referencias a usuarios, grupos, equipos y rutas de acceso UNC (convencin de nomenclatura universal) del GPO de origen a nuevos valores del GPO de destino. Creacin de informes de la configuracin de GPO y datos RSoP en formato HTML que se pueden guardar e imprimir. Interfaces que admiten scripts y permiten todas las operaciones que estn disponibles en GPMC. Sin embargo, no puede usar scripts para editar valores de configuracin de directiva individuales en un GPO.
Nota Windows Server 2008 no incluye los scripts de ejemplo de versiones anteriores de GPMC. Sin embargo, puede descargar los scripts de ejemplo de GPMC para Windows Server 2008 de este sitio de scripts de ejemplo de la Consola de administracin de directivas de grupo (puede estar en ingls). Para obtener ms informacin acerca del uso de scripts de ejemplo de GPMC, consulte Uso de scripts para administrar la directiva de grupo ms adelante en esta gua. El uso de GPMC facilita notablemente la administracin de la implementacin de directiva de grupo y permite aprovechar todas las ventajas de la directiva de grupo, ya que proporciona una interfaz de administracin de directivas de grupo mejorada y simplificada.
Diseo de una estructura de unidades organizativas que admita una directiva de grupo
En un entorno de Active Directory, se vinculan los GPO a sitios,
dominios o unidades organizativas para asignar valores de configuracin de directiva de grupo. Normalmente, se asignan GPO en el nivel de unidad organizativa; por tanto, debe asegurarse de que la estructura de la unidad organizativa admite la estrategia de administracin de clientes basada en una directiva de grupo. Tambin puede aplicar algunos valores de configuracin de directiva de grupo en el nivel de dominio, por ejemplo las directivas de contrasea. Muy pocos valores de configuracin se aplican en el nivel de sitio. Una estructura de unidades organizativas bien diseada que refleje la estructura administrativa de la organizacin y aproveche las ventajas de la herencia de GPO simplifica la aplicacin de la directiva de grupo. Por ejemplo, una estructura de unidades organizativas bien diseada puede evitar que se dupliquen determinados objetos GPO, de forma que puede aplicar estos GPO a diferentes partes de la organizacin. Si es posible, cree unidades organizativas para delegar la autoridad administrativa y facilitar la implementacin de la directiva de grupo. El diseo de unidades organizativas requiere equilibrar los requisitos de delegacin de derechos administrativos independientes de las necesidades de directiva de grupo, as como la necesidad de determinar el mbito de aplicacin de la directiva de grupo. Las siguientes recomendaciones para el diseo de unidades organizativas solucionan problemas de delegacin y determinacin del mbito: Delegacin de la autoridad administrativa: Puede crear unidades organizativas en un dominio y delegar el control administrativo de unidades organizativas especficas a usuarios o grupos concretos. La estructura de la unidad organizativa puede verse afectada por los requisitos de delegacin de la autoridad administrativa. Aplicacin de la directiva de grupo: Piense principalmente en los objetos que desea administrar cuando se plantee el diseo de la estructura de una unidad organizativa. Quiz desee crear una estructura que tenga unidades organizativas organizadas por estaciones de trabajo, servidores y usuarios cerca del nivel superior. Dependiendo del modelo administrativo, puede considerar unidades organizativas basadas geogrficamente como secundarias o primarias de otras unidades organizativas, y duplicar la estructura de cada ubicacin para evitar la replicacin entre diferentes sitios. Agregue unidades organizativas debajo de estas solo si ello hace ms clara la aplicacin de la directiva de grupo, o si necesita delegar administracin por debajo de estos niveles. El uso de una estructura en la que las unidades organizativas contengan objetos homogneos, como objetos de usuario o de equipo pero no ambos, permite deshabilitar fcilmente esas secciones de un GPO que no sean aplicables a un tipo de objeto concreto. Esta estrategia de diseo de unidades organizativas, que se muestra en la figura 1, reduce la complejidad y agiliza la aplicacin de la directiva de grupo. Tenga en cuenta que los GPO vinculados a niveles ms altos de la estructura de la unidad organizativa se heredan de forma predeterminada, lo que reduce la necesidad de duplicar objetos GPO o de vincular un GPO a varios contenedores. Cuando disee la estructura de Active Directory, las consideraciones ms importantes son facilidad de administracin y delegacin.
Aplicacin de la directiva de grupo a cuentas de usuario y equipo nuevas

Las cuentas de usuario y equipo nuevas se crean en los contenedores CN=Users y CN=Computers de forma predeterminada. No se puede aplicar la directiva de grupo directamente a estos contenedores, aunque heredan objetos GPO vinculados al dominio. Para aplicar la directiva de grupo a los contenedores Users y Computers predeterminados, debe usar las nuevas herramientas Redirusr.exe y Redircomp.exe. Redirusr.exe (para cuentas de usuario) y Redircomp.exe (para cuentas de equipo) son dos herramientas que se incluyen con Windows Server 2008. Estas herramientas permiten cambiar la ubicacin predeterminada donde se crean las cuentas de usuario y de equipo nuevas; por tanto, puede establecer ms fcilmente el mbito de los GPO directamente en los objetos de usuario y equipo recin creados. Estas herramientas se encuentran en servidores con la funcin de servicios de Active Directory en %windir%\system32. El administrador del dominio puede ejecutar Redirusr.exe y Redircomp.exe una vez para cada dominio con el fin de especificar las unidades organizativas en las que se colocan todas las cuentas de usuario y equipo nuevas en el momento en que se crean. Esto permite a los administradores administrar estas cuentas sin asignar usando la directiva de grupo antes de que los administradores las asignen a la unidad organizativa en la que se colocarn finalmente. Considere restringir las unidades organizativas usadas para cuentas de usuario y equipo nuevas mediante la directiva de grupo para aumentar la seguridad de estas cuentas. Para obtener ms informacin acerca de la redireccin de cuentas de usuario y equipo, consulte el artculo 324949, "Redirigir los contenedores de Usuarios y equipos en los dominios Windows Server 2003" en Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=100759).
Consideraciones sobre sitios y replicacin

Conforme determine la configuracin apropiada para la directiva, tenga en cuenta los aspectos fsicos de Active Directory, que incluyen la ubicacin geogrfica de los sitios, la colocacin fsica de los controladores de dominio y la velocidad de replicacin. Los GPO se almacenan tanto en Active Directory como en la carpeta Sysvol de cada controlador de dominio. Estas ubicaciones tienen mecanismos de replicacin diferentes. Use la herramienta de objetos de directiva de grupo (Gpotool.exe) del kit de recursos para diagnosticar problemas cuando sospeche que un GPO no se haya replicado entre controladores de dominio. Para obtener ms informacin acerca de Gpotool.exe, consulte Microsoft Ayuda y soporte (http://go.microsoft.com/fwlink/? LinkId=109283). Para descargar las herramientas del kit de
LinkId=109283). Para descargar las herramientas del kit de recursos de Windows Server 2008, visite la pgina de las herramientas del kit de recursos de Windows Server 2008 en el Centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?LinkId=4544 (puede estar en ingls). La colocacin de los controladores de dominio es un problema cuando implica vnculos de baja velocidad, normalmente con clientes en sitios remotos. Si la velocidad de los vnculos en la red entre un cliente y el controlador de dominio de autenticacin es inferior al umbral de vnculo de baja velocidad predeterminado de 500 kilobits por segundo, solo se aplican de forma predeterminada la configuracin de plantillas administrativas (basada en el Registro), la nueva extensin de directiva de redes inalmbricas y la configuracin de seguridad. Las dems configuraciones de directiva de grupo no se aplican de forma predeterminada. Sin embargo, puede modificar este comportamiento con la directiva de grupo. Puede cambiar el umbral de vnculo de baja velocidad con la directiva de deteccin de vnculo de baja velocidad de la directiva de grupo para los aspectos de usuario y de equipo de un GPO. Si es necesario, puede ajustar tambin las extensiones de directiva de grupo que se procesan por debajo del umbral de vnculo de baja velocidad. Incluso entonces, puede ser ms apropiado poner un controlador de dominio local en una ubicacin remota para atender las necesidades de administracin.
Cumplimiento de acuerdos de nivel de servicio

Algunos grupos de TI usan acuerdos de nivel de servicio para especificar cmo deben funcionar los servicios. Por ejemplo, un acuerdo de nivel de servicio puede estipular el tiempo mximo necesario para iniciar un equipo e iniciar una sesin, cunto tiempo pueden usar los usuarios el equipo despus de iniciar una sesin, etc. Con frecuencia, los acuerdos de nivel de servicio establecen estndares de capacidad de respuesta del servicio. Por ejemplo, un acuerdo de nivel de servicio puede definir la cantidad de tiempo permitida para que un usuario reciba una nueva aplicacin de software o tenga acceso a una caracterstica deshabilitada previamente. Los aspectos que pueden afectar a la capacidad de respuesta del servicio son la topologa del sitio y de replicacin, la colocacin de los controladores de dominio y la ubicacin de los administradores de la directiva de grupo. Para reducir la cantidad de tiempo necesaria para procesar un GPO, considere el uso de las siguientes estrategias: Si un GPO contiene solo valores de configuracin de equipos o de usuarios, deshabilite la parte de la configuracin de directiva no aplicable. Al hacer esto, el equipo de destino no examina las partes de un GPO que se han deshabilitado, lo que reduce el tiempo de procesamiento. Para obtener informacin sobre cmo deshabilitar partes de un GPO, consulte Deshabilitacin de los valores Configuracin de usuario y Configuracin del equipo en un GPO ms adelante en esta gua. Cuando sea posible, combine objetos GPO ms pequeos para formar un GPO consolidado. Esto reduce el nmero de objetos GPO que se aplican a un usuario o equipo. Al aplicar menos objetos GPO a un usuario o equipo, se puede reducir el tiempo de inicio de un equipo o de inicio de sesin, y facilitar la solucin de problemas en la estructura de la directiva. Los cambios que realice en objetos GPO se replican en los controladores de dominio y dan lugar a nuevas descargas en los equipos cliente o de destino. Si tiene objetos GPO de gran tamao o complejos que requieran cambios frecuentes, considere la creacin de un nuevo GPO que contenga solo las secciones que actualiza regularmente. Pruebe este mtodo para determinar si las ventajas que obtiene al minimizar el impacto en la red y
mejorar el tiempo de procesamiento en los equipos de destino compensan la mayor posibilidad de tener que solucionar problemas al hacer ms compleja la estructura de objetos GPO. Debe implementar un proceso de control de cambios de directiva de grupo y registrar los cambios realizados en objetos GPO. Esto puede facilitar la solucin de problemas con objetos GPO y contribuye a cumplir los acuerdos de nivel de servicio que requieran el mantenimiento de registros. Considere el uso de AGPM para administrar e implementar el proceso de control de cambios en objetos GPO.
Definicin de los objetivos de la directiva de grupo

Cuando planee la implementacin de la directiva de grupo, identifique sus requisitos empresariales especficos y cmo puede contribuir la directiva de grupo a lograrlos. A continuacin, puede determinar las opciones de configuracin de la directiva ms adecuadas para cumplir los requisitos. Los objetivos de cada implementacin de directiva de grupo varan en funcin de la ubicacin del usuario, las necesidades laborales, la experiencia con PCs y los requisitos de seguridad corporativos. En algunos casos, puede quitar funcionalidad de los equipos de los usuarios para evitar que modifiquen los archivos de configuracin del sistema (que podra afectar al rendimiento del equipo), o puede quitar aplicaciones que no sean fundamentales para que los usuarios realicen su trabajo. En otros casos, puede usar la directiva de grupo para configurar opciones del sistema operativo, especificar la configuracin de Internet Explorer o establecer una directiva de seguridad. Tener un claro entendimiento del entorno organizativo actual y de los requisitos permite disear un plan que mejor satisfaga las necesidades de la organizacin. Es esencial recopilar informacin acerca de los tipos de usuario, como trabajadores de procesos y trabajadores de entrada de datos, y de las configuraciones de equipo existentes y planeadas. En funcin de esta informacin, puede definir los objetivos de la directiva de grupo.
Evaluacin de prcticas corporativas existentes

Para identificar mejor la configuracin de directiva de grupo que debe usar, comience evaluando las prcticas actuales del entorno corporativo, incluidos factores como: Requisitos de usuario para varios tipos de usuario. Funciones de TI actuales, como las diferentes obligaciones administrativas repartidas entre grupos de administradores. Directivas de seguridad corporativas existentes. Otros requisitos de seguridad de equipos servidor y cliente. Modelo de distribucin de software. Configuracin de red. Ubicaciones y procedimientos de almacenamiento de datos. Administracin actual de usuarios y equipos.
Definicin de los objetivos de la directiva de grupo

A continuacin, como parte de la definicin de objetivos de la
directiva de grupo, determine: El propsito de cada GPO. Propietario de cada GPO (persona que solicit la configuracin de directiva y que es responsable de ella). Nmero de GPO que usar. Contenedor apropiado para vincular cada GPO (sitio, dominio o unidad organizativa). Tipos de configuracin de directiva contenidos en cada GPO y configuracin adecuada para usuarios y equipos. Cundo establecer excepciones en el orden de procesamiento predeterminado para la directiva de grupo. Cundo establecer opciones de filtro para la directiva de grupo. Aplicaciones de software para instalar y sus ubicaciones. Recursos compartidos de red para redireccionar carpetas. Ubicacin de scripts de inicio de sesin, cierre de sesin, inicio y cierre de equipos para ejecutar.
Planeamiento de la administracin continua de la directiva de grupo

Conforme disee e implemente la solucin de directiva de grupo, es importante tambin planear la administracin continua de la directiva de grupo. El establecimiento de procedimientos administrativos para administrar y mantener un seguimiento de los GPO puede garantizar que todos los cambios se implementen segn lo estipulado. Para simplificar y regular la administracin continua de la directiva de grupo, se recomienda que: Realice siempre un ensayo de las implementaciones de directiva de grupo con el siguiente procedimiento previo a la implementacin: Use Modelado de directivas de grupo para comprender cmo interoperar un nuevo GPO con GPO existentes. Implemente los nuevos GPO en un entorno de prueba que se haya modelado igual que el entorno de produccin. Use Resultados de directivas de grupo para comprender la configuracin de GPO aplicada actualmente al entorno de prueba. Use GPMC para crear copias de seguridad de los GPO con regularidad. Use GPMC para administrar la directiva de grupo en toda la organizacin. No modifique las directivas predeterminadas de dominio y de controladores de dominio a menos que sea necesario. En su lugar, cree un nuevo GPO en el nivel de dominio y establzcalo para que invalide la configuracin de directiva predeterminada. Defina una convencin de nomenclatura significativa para los GPO que identifique con claridad el propsito de cada GPO. Designe solo un administrador por GPO. Esto evita que se sobrescriba el trabajo de un administrador con el
trabajo de otro. Windows Server 2008 y GPMC permiten delegar en diferentes grupos de administradores permisos para editar y vincular los GPO. Si no se usan procedimientos de control de GPO adecuados, los administradores delegados pueden duplicar la configuracin de GPO o crear otros GPO que estn en conflicto con una configuracin de directiva establecida por otro administrador o que no cumplan los estndares corporativos. Estos conflictos podran afectar negativamente al entorno de escritorio de los usuarios, generar ms llamadas al servicio de soporte tcnico y dificultar la solucin de problemas con objetos GPO.
Identificacin de problemas de interoperabilidad

Debe tener en cuenta posibles problemas de interoperabilidad cuando planee la implementacin de una directiva de grupo en un entorno mixto. Windows Server 2008 y Windows Vista incluyen numerosos valores de configuracin de directiva de grupo nuevos que no se usan en Windows Server 2003 o Windows XP. Sin embargo, incluso si los equipos de cliente y servidor de la organizacin ejecutan principalmente Windows Server 2003 o Windows XP, debe usar la GPMC que se incluye en Windows Server 2008 porque contiene los valores de configuracin de directiva ms recientes. Si aplica un GPO con una configuracin de directiva ms nueva a un sistema operativo anterior que no admita esa configuracin, no causar ningn problema. Los equipos de destino que ejecutan Windows Server 2003 o Windows XP Professional simplemente omiten la configuracin de directiva que solo se admite en Windows Server 2008 o Windows Vista. Para determinar los valores de configuracin de directiva que se aplican a cada sistema operativo, en la descripcin del valor de configuracin de directiva, consulte la informacin de Compatible con, que explica los sistemas operativos que pueden leer ese valor de configuracin de directiva.
Determinacin de cundo se aplican los cambios de directiva de grupo

Los cambios en la configuracin de directiva de grupo pueden no estar disponibles inmediatamente en los escritorios de los usuarios porque los cambios en el GPO se deben replicar primero en el controlador de dominio correspondiente. Adems, los clientes usan un perodo de actualizacin de 90 minutos (aleatorio hasta en 30 minutos aproximadamente) para la recuperacin de la directiva de grupo. Por tanto, es raro que un valor de configuracin de directiva de grupo se aplique inmediatamente. Los componentes de un GPO se almacenan tanto en Active Directory como en la carpeta Sysvol de los controladores de dominio. La replicacin de un GPO en otros controladores de dominio tiene lugar por dos mecanismos independientes: La replicacin en Active Directory se controla con el sistema de replicacin integrado de Active Directory. De forma predeterminada, esto suele tardar menos de un minuto entre controladores de dominio de un mismo sitio. El proceso puede ser ms lento si la red es ms lenta que una LAN. La replicacin de la carpeta Sysvol se controla con el servicio de replicacin de archivos (FRS) o el servicio Replicacin del sistema de archivos distribuido (DFSR). Dentro de los sitios, la replicacin FRS tiene lugar cada 15 minutos. Si los controladores de dominio estn en sitios diferentes, el proceso de replicacin tiene lugar a intervalos establecidos en funcin de la topologa del sitio y una programacin; el intervalo ms bajo es de 15 minutos.
Nota Si es fundamental aplicar de forma inmediata un cambio en un grupo de usuarios o equipos especfico en un sitio especfico, puede conectarse al controlador de dominio ms cercano a estos objetos y realizar el cambio de configuracin en ese controlador de dominio, as esos usuarios obtienen la configuracin de directiva actualizada en primer lugar.
Intervalo de actualizacin de la directiva

Los principales mecanismos de actualizacin de la directiva de grupo son el inicio del equipo y el inicio de sesin. La directiva de grupo se actualiza tambin a otros intervalos regulares. El intervalo de actualizacin de la directiva afecta a la rapidez con la que se aplican los cambios en objetos GPO. De forma predeterminada, los clientes y servidores que ejecutan Windows Server 2008, Windows Vista, Windows Server 2003 y Windows XP comprueban si hay cambios en objetos GPO cada 90 minutos con un desplazamiento aleatorio de hasta 30 minutos. Los controladores de dominio que ejecutan Windows Server 2008 o Windows Server 2003 comprueban si hay cambios de directiva cada cinco minutos. Esta frecuencia de sondeo se puede cambiar usando alguno de estos valores de configuracin de directiva: Intervalo de actualizacin de la directiva de grupo para equipos, Intervalo de actualizacin de la directiva de grupo para controladores de dominio o Intervalo de actualizacin de la directiva de grupo para usuarios. Sin embargo, no se recomienda reducir la frecuencia entre actualizaciones porque aumentara el trfico en la red y supondra una carga adicional en los controladores de dominio.
Desencadenamiento de una actualizacin de directiva de grupo

Si es necesario, puede desencadenar una actualizacin de la directiva de grupo manualmente desde un equipo local sin esperar a que se produzca la actualizacin automtica en segundo plano. Para ello, escriba gpupdate en la lnea de comandos para actualizar la configuracin de directiva de usuario o de equipo. No se puede desencadenar una actualizacin de la directiva de grupo desde GPMC. El comando gpupdate desencadena una actualizacin de directiva en segundo plano en el equipo local desde donde se ejecuta el comando. Para obtener ms informacin acerca del comando gpupdate, consulte Cambio del intervalo de actualizacin de la directiva de grupo ms adelante en esta gua. Nota Algunos valores de configuracin de directiva, como la redireccin de carpetas y la asignacin de aplicaciones de software, requiere que el usuario cierre sesin e inicie sesin de nuevo para que sean efectivos. Las aplicaciones de software asignadas a equipos se instalan solo cuando se reinicia el equipo.
Identificacin de problemas de instalacin de software

Si bien puede usar la directiva de grupo para instalar aplicaciones de software, especialmente en organizaciones de pequeo y mediano tamao, es necesario que determine si es la mejor solucin para sus necesidades. Cuando se usa la directiva de grupo para instalar aplicaciones de software, las aplicaciones asignadas se instalan o actualizan solo cuando se reinicia el equipo o cuando el usuario inicia una sesin. El uso de System Center Configuration Manager 2007 (antes
Systems Management Server, SMS) para la implementacin de software proporciona funcionalidad de mbito empresarial que no est disponible en la implementacin de software basada en una directiva de grupo, como la eleccin de destinos basada en un inventario, la elaboracin de informes de estado y la programacin. Por este motivo, debera usar la directiva de grupo para configurar el escritorio y establecer la seguridad del sistema y los permisos de acceso, pero use Configuration Manager para distribuir aplicaciones de software. Este mtodo proporciona control de ancho de banda porque permite programar la instalacin de las aplicaciones fuera de las horas de oficina de mayor actividad. La eleccin de las herramientas depende de los requisitos, el entorno y si es necesaria la funcionalidad y seguridad adicionales que aporta Configuration Manager. Para obtener ms informacin acerca de Configuration Manager, consulte el artculo sobre System Center Configuration Manager en http://go.microsoft.com/fwlink/?LinkId=109285 (puede estar en ingls).
Diseo del modelo de directiva de grupo

El objetivo principal es disear la estructura de objetos GPO segn sus requisitos empresariales. Teniendo en cuenta los equipos y usuarios de la organizacin, determine los valores de configuracin de directiva que debe aplicar en toda la organizacin y los valores que son aplicables a todos los usuarios o equipos. Determine tambin la configuracin de directiva que desea usar para configurar los equipos o usuarios segn el tipo, la funcin o el puesto. A continuacin, agrupe estos tipos diferentes de valores de configuracin de directiva en objetos GPO y vinclelos con los correspondientes contenedores de Active Directory. Asimismo, tenga en cuenta el modelo de herencia de la directiva de grupo y cmo se determina la precedencia. De forma predeterminada, las opciones establecidas en objetos GPO vinculados a niveles superiores de sitios, dominios y unidades organizativas de Active Directory se heredan en todas las unidades organizativas de niveles inferiores. Sin embargo, una directiva heredada puede ser invalidada por un GPO que est vinculado en un nivel inferior. Por ejemplo, puede usar un GPO vinculado en un nivel alto para asignar un papel tapiz de escritorio estndar, pero desea que una determinada unidad organizativa tenga un papel tapiz diferente. Para ello, puede vincular un segundo GPO a esa unidad organizativa de nivel inferior especfica. Puesto que los GPO de nivel inferior se aplican en ltimo lugar, el segundo GPO invalidar al GPO de nivel de dominio y proporcionar a esa unidad organizativa de nivel inferior especfica un conjunto diferente de valores de configuracin de directiva de grupo. No obstante, puede modificar este comportamiento de herencia predeterminado usando las opciones Bloquear herencia y Exigido. Las siguientes directrices pueden contribuir a adaptar el diseo de la directiva de grupo a las necesidades de su organizacin: Determine se hay algn valor de configuracin de directiva que deba aplicarse siempre para grupos de usuarios o equipos concretos. Cree objetos GPO que contengan estos valores de configuracin de directiva, vinclelos al sitio, dominio o unidad organizativa correspondiente y designe estos vnculos como Exigido. Al establecer esta opcin, aplica una configuracin de directiva de un GPO de nivel superior y evita que objetos GPO de contenedores de Active Directory de un nivel inferior la invaliden. Por ejemplo, si define un GPO especfico en el nivel de dominio y especifica que es "exigido", las directivas que contiene el GPO se aplican a todas las unidades organizativas de ese dominio; los GPO vinculados a las unidades organizativas de nivel inferior no pueden invalidar esa directiva de grupo de
dominio.
Nota Use las caractersticas Exigido y Bloquear la herencia de directivas con moderacin. El uso rutinario de estas caractersticas puede dificultar la solucin de problemas de directiva porque los administradores de otros GPO no ven claro de inmediato por qu determinados valores de configuracin de directiva se aplican o no se aplican.
Decida qu valores de la configuracin de directiva son aplicables a toda la organizacin y considere vincularlos a un dominio. Tambin puede usar GPMC para copiar GPO o importar valores de configuracin de directiva de GPO, y crear as GPO idnticos en dominios diferentes. Vincule los GPO a la estructura de unidades organizativas (o sitio) y use grupos de seguridad para aplicar estos GPO de forma selectiva a usuarios y equipos concretos. Clasifique los tipos de equipo y las funciones o puestos de los usuarios de la organizacin, agrpelos en unidades organizativas, cree objetos GPO para configurar el entorno para cada uno segn sea necesario y, a continuacin, vincule los GPO a esas unidades organizativas. Prepare un entorno de ensayo para probar la estrategia de administracin basada en una directiva de grupo antes de implementar objetos GPO en el entorno de produccin. Considere esta fase un ensayo de la implementacin. Este es un paso crucial para garantizar que la implementacin de la directiva de grupo satisfaga los objetivos administrativos. Este proceso se describe en Ensayo de implementaciones de directiva de grupo ms adelante en esta gua.
Definicin del mbito de aplicacin de la directiva de grupo.

Para definir el mbito de aplicacin de objetos GPO, considere las siguientes preguntas: A qu estarn vinculados los GPO? Qu filtrado de seguridad usar en los GPO? El filtrado de seguridad permite precisar qu usuarios y equipos recibirn y aplicarn la configuracin de directiva en un GPO. El filtrado de grupo de seguridad determina si el GPO entero se aplica a grupos, usuarios o equipos; no se puede usar de forma selectiva para diferentes valores de configuracin de directiva en un mismo GPO. A qu se aplicarn los filtros WMI? Los filtros WMI permiten determinar de forma dinmica el mbito de objetos en funcin de los atributos del equipo de destino. Recuerde tambin que, de forma predeterminada, los GPO se heredan, son acumulativos y afectan a todos los equipos y usuarios de un contenedor de Active Directory y sus secundarios. Se procesan en el siguiente orden: Directiva de grupo local, sitio, dominio y despus unidad organizativa. El ltimo GPO procesado invalida los GPO anteriores. El mtodo de herencia predeterminado es evaluar la directiva de grupo comenzando por el contenedor de Active Directory ms alejado del objeto de equipo o usuario. El contenedor de Active Directory ms cercano al equipo o usuario invalida la directiva de grupo establecida en un contenedor de Active Directory de nivel superior a menos que establezca la opcin Exigido (No
invalidar) para ese vnculo de GPO o si el valor Bloquear herencia de directivas se ha aplicado al dominio o unidad organizativa. En primer lugar se procesa el LGPO, as la configuracin de directiva de objetos GPO vinculados a contenedores de Active Directory invalida la configuracin de directiva local. Otro problema es que, si bien puede vincular ms de un GPO a un contenedor de Active Directory, debe tener en cuenta la prioridad de procesamiento. El vnculo de GPO con el orden de vnculo ms bajo en la lista Vnculos de objetos de directiva de grupo (en la ficha Objetos de directiva de grupo vinculados de GPMC) tiene la precedencia de manera predeterminada. Sin embargo, si uno o varios vnculos de GPO tiene la opcin Exigido establecida, toma la precedencia el vnculo de GPO establecido como Exigido. En pocas palabras, Exigido es una propiedad de vnculo y Bloquear herencia de directivas es una propiedad de contenedor. Exigido toma la precedencia sobre Bloquear herencia de directivas. Adems, puede deshabilitar la configuracin de directiva en el propio GPO de otras cuatro maneras: Un GPO se puede deshabilitar; se puede deshabilitar su configuracin de equipo, su configuracin de usuario o toda su configuracin. GPMC simplifica notablemente estas tareas al permitir ver la herencia de GPO en toda la organizacin y administrar vnculos desde una consola MMC. La figura 2 muestra la herencia de directiva de grupo tal como se muestra en GPMC.
Nota Para ver todos los detalles sobre herencia y precedencia de vnculos de GPO con un dominio, sitio o unidad organizativa, debe tener permisos de lectura en el sitio, dominio o unidad organizativa que contenga los vnculos de GPO, as como en los GPO. Si tiene permisos de lectura en el sitio, dominio o unidad organizativa, pero no en los GPO vinculados a estos elementos, aparecern como GPO inaccesible y no podr leer el nombre ni otra informacin de esos GPO.
Determinacin del nmero de objetos GPO necesarios

GPO necesarios
El nmero de objetos GPO necesarios depende del mtodo de diseo, la complejidad del entorno, sus objetivos y el mbito del proyecto. Si tiene un bosque con varios dominios o varios bosques, encontrar que el nmero de objetos GPO necesarios en cada dominio puede ser diferente. Los dominios que admiten entornos empresariales muy complejos con gran diversidad de usuarios suelen necesitar ms objetos GPO que los dominios pequeos ms sencillos. Conforme aumente el nmero de objetos GPO necesarios para una organizacin, puede aumentar la carga de trabajo para los administradores de la directiva de grupo. Hay algunos pasos que puede realizar para facilitar la administracin de la directiva de grupo. En general, debe agrupar en un solo GPO aquellos valores de configuracin de la directiva que se apliquen a un conjunto dado de usuarios o equipos, y que son administrados por un conjunto comn de administradores. Adems, si varios grupos de usuarios o equipos tienen requisitos comunes y solo algunos grupos necesitan cambios incrementales, considere aplicar los requisitos comunes a todos estos grupos de usuarios o equipos usando un solo GPO vinculado a un nivel alto en la estructura de Active Directory. A continuacin, agregue objetos GPO adicionales que apliquen solo los cambios incrementales en la unidad organizativa pertinente. Puede que este mtodo no sea siempre posible o prctico, por lo que ser necesario hacer excepciones a esta directriz. Si es as, asegrese de mantener un seguimiento de ellas. Nota Se admite un mximo de 999 objetos GPO para procesar objetos GPO en cualquier usuario o equipo. Si supera el mximo, no se procesarn objetos GPO. Esta limitacin afecta solo al nmero de objetos GPO que se pueden aplicar al mismo tiempo, no al nmero de objetos GPO que puede crear y almacenar en un dominio. Considere que el nmero de objetos GPO aplicados a un equipo afecta al tiempo de inicio, y el nmero de objetos GPO aplicados a un usuario afecta al tiempo necesario para iniciar sesin en la red. Cuanto mayor sea el nmero de objetos GPO vinculados a un usuario (especialmente el nmero de valores de configuracin de directiva en esos GPO), ms tiempo se tarda en procesarlos cuando un usuario inicia sesin. Durante el proceso de inicio de sesin, se aplica cada GPO del sitio, dominio y jerarqua de unidades organizativas del usuario, siempre y cuando el usuario tenga establecidos los permisos Lectura y Aplicar directiva de grupos. En GPMC, los permisos Lectura y Aplicar directiva de grupo se administran como una sola unidad denominada Filtrado de seguridad. Si usa Filtrado de seguridad y quita el permiso Aplicar directiva de grupos para un usuario o grupo dado, quite tambin el permiso Lectura, a menos que necesite que ese usuario tenga permiso de lectura por algn motivo. (Si usa GPMC, no tiene que preocuparse por esto, porque GPMC lo hace automticamente). Si no est establecido el permiso Aplicar directiva de grupos, pero s lo est el permiso Lectura, el GPO es inspeccionado (pero no aplicado) por cualquier usuario o equipo que est en la jerarqua de unidades organizativas donde est vinculado el GPO. Este proceso de inspeccin aumenta ligeramente el tiempo de inicio de sesin. Pruebe siempre la solucin de directiva de grupo en un entorno de prueba para garantizar que la configuracin de la directiva que defina no prolonga de forma inaceptable el tiempo que tarda en mostrarse la pantalla de inicio de sesin y que cumple con los acuerdos de nivel de servicio de escritorio. Durante este perodo de ensayo, inicie sesin con una cuenta de prueba para calcular el efecto global de varios GPO en los objetos del entorno.
Vinculacin de objetos GPO

Para aplicar la configuracin de directiva de un GPO a usuarios y
equipos, debe vincular el GPO a un sitio, un dominio o una unidad organizativa. Puede agregar uno o varios vnculos de GPO a cada sitio, dominio o unidad organizativa usando GPMC. Tenga en cuenta que la creacin y vinculacin de objetos GPO es un privilegio importante que solo debera delegarse en administradores de confianza que comprendan la directiva de grupo.
Vinculacin de objetos GPO al sitio

Si tiene una serie de valores de configuracin de directiva (como valores de configuracin de red o proxy determinados) para aplicar a los equipos de una ubicacin fsica concreta, solo estos valores seran apropiados para incluirlos en una configuracin de directiva basada en el sitio. Puesto que los sitios y dominios son independientes, es posible que los equipos del sitio necesiten cruzar dominios para vincular el GPO al sitio. En este caso, asegrese de que hay una buena conectividad. Si la configuracin de directiva no corresponde claramente a los equipos de un solo sitio, es mejor asignar el GPO al dominio o estructura de unidades organizativas en lugar del sitio.
Vinculacin de objetos GPO al dominio

Vincule objetos GPO al dominio si desea aplicarlos a todos los usuarios y equipos del dominio. Por ejemplo, los administradores de seguridad implementan con frecuencia objetos GPO basados en el dominio para aplicar estndares corporativos. Si lo desean, pueden crear estos objetos GPO con la opcin Exigido de GPMC habilitada para garantizar que ningn otro administrador pueda invalidar esos valores de configuracin de directiva. Importante Si es necesario modificar la configuracin de directiva contenida en el GPO de la directiva predeterminada de dominio, se recomienda crear un nuevo GPO para este fin, vincularlo al dominio y establecer la opcin Exigido. En general, no modifique el GPO de la directiva predeterminada de dominio ni el GPO de la directiva predeterminada de controladores de dominio. Como su nombre indica, el GPO de la directiva predeterminada de dominio est vinculado tambin al dominio. El GPO de la directiva predeterminada de dominio se crea cuando se instala el primer controlador del dominio y el administrador inicia sesin por primera vez. Este GPO contiene la configuracin de directiva de cuentas del dominio (Directiva de contraseas, Directiva de bloqueo de cuenta y Directiva Kerberos) que los controladores de dominio aplican en el dominio. Todos los controladores de dominio recuperan los valores de estas opciones de configuracin de la directiva de cuentas del GPO de la directiva predeterminada de dominio. Para poder aplicar directivas de cuentas a cuentas de dominio, deben implementarse estos valores de configuracin de directiva en un GPO vinculado al dominio. Si establece valores de configuracin de directiva de cuentas en un nivel bajo, como una unidad organizativa, la configuracin de directiva afectar solo a las cuentas locales (no a las cuentas de dominio) en los equipos de esa unidad organizativa y en los elementos secundarios de la unidad organizativa. Antes de realizar cambios en los GPO predeterminados, asegrese de crear una copia de seguridad del GPO con GPMC. Si hay algn problema con los cambios en los GPO predeterminados y no puede revertirlos a su estado inicial, puede usar la herramienta Dcgpofix.exe como se explica en la siguiente seccin para volver a crear las directivas predeterminadas con su estado inicial. Como alternativa, si est usando la consola AGPM, se mantendr un registro de los cambios que realice, de manera que podr revertirlos a un estado anterior o inicial.
Restauracin del GPO de la directiva

predeterminada de dominio y del GPO de la directiva predeterminada de controladores de dominio

Dcgpofix.exe es una herramienta de la lnea de comandos que restaura totalmente el GPO de la directiva predeterminada de dominio y el GPO de la directiva predeterminada de controladores de dominio a su estado original, en caso de que se produzca algn desastre y no pueda usar GPMC. Dcgpofix.exe se incluye con Windows Server 2008 y Windows Server 2003, y se encuentra en la carpeta C:\Windows\system32\. Dcgpofix.exe restaura solo la configuracin de directiva que se encuentra en los GPO predeterminados en el momento en que se generan, no restaura otros GPO que creen los administradores. Est pensado solo para la recuperacin ante desastres de los GPO predeterminados. Nota Dcgpofix.exe no guarda ninguna informacin creada por aplicaciones, como Configuration Manager o Exchange. La sintaxis de Dcgpofix.exe es la siguiente:
DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]
En la tabla 1, se explican las opciones de la lnea de comandos que puede usar con la herramienta Dcgpofix.exe.
Tabla 1 Opciones de la lnea de comandos de Dcgpofix.exe

Opcin /ignoreschema Descripcin de las opciones De manera predeterminada, la versin de Dcgpofix que se incluye con Windows Server 2008 funciona solo en dominios de Windows Server 2008. Esta opcin omite la comprobacin de esquema, lo que permite que funcione en dominios que no sean de Windows Server 2008. Especifica que se debe volver a crear la directiva de dominio predeterminada. Especifica que se debe volver a crear la directiva de controladores de dominio predeterminada. Especifica que se deben volver a crear la directiva predeterminada de dominio y la directiva predeterminada de controladores de dominio.
/target: DOMAIN o /target: DC o
/target: BOTH
Para obtener ms informacin acerca de Dcgpofix.exe, consulte Dcgpofix.exe en http://go.microsoft.com/fwlink/?LinkId=109291 (puede estar en ingls).
Vinculacin de objetos GPO a la estructura de unidades organizativas

Los objetos GPO se suelen vincular a la estructura de unidades organizativas porque esto proporciona la mayor flexibilidad y facilidad de uso. Por ejemplo: Puede agregar o quitar usuarios y equipos en las unidades organizativas.
Si es necesario, las unidades organizativas se pueden reorganizar. Puede trabajar con grupos ms pequeos de usuarios que tengan requisitos administrativos comunes. Puede organizar a los usuarios y equipos en funcin de los administradores que los controlen. Organizar los GPO en GPO orientados a usuarios y GPO orientados a equipos puede facilitar la comprensin del entorno de la directiva de grupo y puede simplificar la solucin de problemas. Sin embargo, separar los componentes de usuario y equipo en objetos GPO diferentes puede requerir ms objetos GPO. Para compensar esto, configure el valor Estado de GPO para deshabilitar las partes del GPO que incluyen configuracin de usuarios o equipos que no sean aplicables y reducir el tiempo necesario para aplicar un GPO determinado.
Cambio del orden de vnculos de objetos GPO

En cada sitio, dominio o unidad organizativa, el orden de vnculos controla el orden en que se aplican los GPO. Para cambiar la precedencia de un vnculo, puede cambiar el orden de vnculos subiendo o bajando cada vnculo en la lista hasta la posicin que proceda. Cuanto menor sea el nmero del vnculo mayor es la precedencia para un sitio, dominio o unidad organizativa determinada. Por ejemplo, si agrega seis vnculos de GPO y despus decide que desea que el ltimo que agreg tenga la mayor precedencia, puede ajustar el orden del vnculo de GPO para que tenga el orden 1. Para cambiar el orden de vnculos de GPO de un sitio, dominio o unidad organizativa, use GPMC.
Uso de filtrado de seguridad para aplicar objetos GPO a grupos seleccionados

De forma predeterminada, un GPO afecta a todos los usuarios y equipos que contiene el sitio, dominio o unidad organizativa vinculada. Sin embargo, puede usar filtrado de seguridad en un GPO para modificar su efecto y aplicarlo solo a un usuario, miembros de un grupo de seguridad de Active Directory o un equipo especfico modificando los permisos del GPO. Si combina filtrado de seguridad con una colocacin apropiada en las unidades organizativas, puede aplicarlo a cualquier conjunto dado de usuarios o equipos. Para aplicar un GPO a un usuario, grupo de seguridad o equipo dado, el usuario, grupo o equipo debe tener los permisos Lectura y Aplicar directiva de grupos para el GPO. De forma predeterminada, los usuarios autenticados tienen estos dos permisos establecidos en Permitir. Ambos permisos se administran juntos como una sola unidad mediante el uso de filtrado de seguridad en GPMC. Para establecer los permisos en un GPO dado con el fin de que el GPO se aplique solo a usuarios, grupos de seguridad o equipos especficos (en lugar de todos los usuarios autenticados), en el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y dominio que contienen ese GPO. Haga clic en el GPO y, en el panel de detalles, en la ficha mbito, en Filtrado de seguridad, quite Usuarios autentificados, haga clic en Agregar y agregue el nuevo usuario, grupo o equipo. Por ejemplo, si desea que solo un subconjunto de usuarios de una unidad organizativa reciba un GPO, quite Usuarios autentificados de Filtrado de seguridad. A continuacin, agregue un nuevo grupo de seguridad con permisos de Filtrado de seguridad que contenga el subconjunto de usuarios que deben recibir el GPO. Solo los miembros de este grupo que estn en el sitio, dominio o unidad organizativa donde est vinculado el GPO recibirn el GPO. Los miembros del grupo de
otros sitios, dominios o unidades organizativas no recibirn el GPO. Quiz desee evitar que determinados valores de configuracin de la directiva de grupo se apliquen a miembros del grupo Administradores. Para ello, puede realizar alguna de las siguientes acciones: Cree una unidad organizativa aparte para administradores y mantenga esta unidad organizativa fuera de la jerarqua a la que desea aplicar la mayora de los valores de configuracin de administracin. De este modo, los administradores no recibirn la mayora de los valores de configuracin de la directiva que proporcione para usuarios administrados. Si esta OU separada es un elemento secundario directo del dominio, la nica configuracin de directiva posible que recibirn los administradores es la de los GPO vinculados al dominio o al sitio. Normalmente, solo se vinculan aqu aquellos valores de configuracin de directiva que son genricos y aplicables de manera global; por tanto, puede ser aceptable que los administradores reciban esta configuracin de directiva. Si esto no es lo que pretende, puede establecer la opcin Bloquear herencia en la unidad organizativa de administradores. Haga que los administradores utilicen cuentas administrativas solo cuando realicen tareas administrativas. Cuando no realicen tareas administrativas, seguirn siendo administrados. Use filtrado de seguridad en GPMC para que solo los usuarios no administradores reciban la configuracin de directiva.
Aplicacin de filtros WMI

Use filtros WMI para controlar la aplicacin de objetos GPO. Cada GPO se puede vincular a un filtro WMI; sin embargo, el mismo filtro WMI se puede vincular a varios GPO. Para poder vincular un filtro WMI a un GPO, debe crear el filtro. El filtro WMI se evala en el equipo de destino durante el procesamiento de la directiva de grupo. El GPO se aplicar solo si el filtro WMI se evala como true. En equipos basados en Windows 2000, el filtro WMI se omite y el GPO se aplica siempre. Nota Se recomienda usar filtros WMI principalmente para la administracin de excepciones. Estos filtros proporcionan una solucin eficaz para elegir usuarios y equipos especficos a los que aplicar objetos GPO pero, puesto que los filtros WMI se evalan cada vez que se procesa la directiva de grupo, aumentan el tiempo de inicio del equipo y de inicio de sesin. Asimismo, los filtros WMI no tienen lmite de tiempo de espera. Por tanto, deben usarse solo cuando es necesario. GPMC permite realizar las siguientes operaciones de filtros WMI: crear y eliminar, vincular y desvincular, copiar y pegar, importar y exportar, y ver y editar atributos. Los filtros WMI se pueden usar solo si al menos un controlador del dominio ejecuta Windows Server 2008 o Windows Server 2003, o si ha ejecutado ADPrep con la opcin /Domainprep en ese dominio. Si no, no aparecen la seccin Filtrado WMI de la ficha mbito para objetos GPO y el nodo Filtros WMI bajo el dominio. Consulte la figura 3 para saber cmo identificar los elementos descritos en esta seccin.
Establecimiento de opciones de filtrado WMI

WMI expone datos de administracin de un equipo de destino. Los datos pueden incluir informacin de inventario y configuracin de hardware y software, incluidos datos del Registro, controladores, el sistema de archivos, Active Directory, SNMP, Windows Installer y red. Los administradores pueden crear filtros WMI, que constan de una o varias consultas basadas en estos datos, para controlar si se aplica el GPO. El filtro se evala en el equipo de destino. Si el filtro WMI se evala como true, el GPO se aplica en el equipo de destino; si el filtro se evala como false, no se aplica el GPO. En equipos cliente o servidor de destino basados en Windows 2000, los filtros WMI se omiten y el GPO se aplica siempre. Si no hay ningn filtro WMI, el GPO se aplica siempre. Puede usar filtros WMI para elegir los destinatarios de la configuracin de directiva de grupo en funcin de una gran variedad de objetos y otros parmetros. En la tabla 2, se muestran criterios de consulta de ejemplo que se pueden especificar para filtros WMI.
Tabla 2 Filtros WMI de ejemplo

Datos WMI consultados Servicios Criterios de consulta de ejemplo Equipos que estn ejecutando el servicio DHCP Equipos que tienen rellena una clave o entrada del Registro especificada Equipos que notificaron un evento de auditora en los ltimos cinco minutos
Registro
Registro de eventos de Windows Versin del sistema operativo
Equipos que ejecutan Windows Server 2003 y posterior
Inventario de hardware Configuracin de hardware Asociaciones de servicios
Equipos con un procesador Pentium III
Equipos con adaptadores de red activos en el nivel 3 Equipos que tienen algn servicio dependiente del servicio SQL
Un filtro WMI consta de una o varias consultas WQL (lenguaje de consulta de WMI). El filtro WMI se aplica a cada valor de configuracin de directiva del GPO, de manera que los administradores deben crear objetos GPO diferentes si tienen requisitos de filtrado diferentes para valores de configuracin de directiva diferentes. Los filtros WMI se evalan en el equipo de destino despus de haberse determinado y filtrado la lista de posibles GPO en funcin de la pertenencia a un grupo de seguridad. Aunque se pueden elegir destinatarios limitados segn un inventario para la implementacin de software combinando una implementacin de software basada en la directiva de grupo con filtros WMI, no se recomienda como prctica general por los siguientes motivos: Cada GPO puede tener solo un filtro WMI. Si las aplicaciones tienen requisitos de inventario diferentes, necesita varios filtros WMI y, por tanto, varios GPO. El aumento del nmero de objetos GPO afecta al tiempo de inicio del equipo y el tiempo de inicio de sesin, y tambin aumenta la carga de administracin. Los filtros WMI pueden tardar bastante tiempo en evaluarse, por lo que pueden ralentizar el tiempo de inicio del equipo y el tiempo de inicio de sesin. La cantidad de tiempo depende de cmo est construida la consulta.
Filtros WMI de ejemplo

Como se ha mencionado, la mayor utilidad de los filtros WMI es como herramientas para la administracin de excepciones. Filtrar por criterios determinados permite elegir como destinatarios a usuarios y equipos especficos para objetos GPO determinados. En la seccin siguiente, se describen filtros WMI que muestran esta tcnica.
Eleccin de destinatarios basada en el sistema operativo

En este ejemplo, un administrador desea implementar una directiva de supervisin empresarial, pero quiere aplicarla solo a equipos basados en Windows Vista. El administrador puede crear un filtro WMI como el siguiente:
Select * from Win32_OperatingSystem where Caption like "%Vista%"
La mayora de los filtros WMI usan el espacio de nombres Root\CimV2 y esta opcin se rellena de forma predeterminada en la interfaz de usuario de GPMC. Puesto que los filtros WMI se omiten en equipos basados en Windows 2000, un GPO filtrado siempre se aplica en estos equipos. Sin embargo, puede cambiar esto utilizando dos GPO y dando precedencia (mediante el orden de vnculos) al GPO que tiene configuracin de Windows 2000. A continuacin, use un filtro WMI para ese GPO de Windows 2000 y aplquelo solo si el sistema operativo es Windows 2000, no Windows Vista ni Windows XP. El equipo basado en Windows 2000 recibir el GPO de Windows 2000 e invalidar la configuracin de directiva en el GPO de Windows Vista o Windows XP. El cliente de Windows Vista o Windows XP recibir todos los valores de configuracin de directiva en el GPO de Windows Vista o Windows XP.
Eleccin de destinatarios basada en un inventario de hardware

En este ejemplo, un administrador desea distribuir una herramienta de administrador de conexiones de red solo a escritorios que tienen mdem. El administrador puede implementar el paquete utilizando el siguiente filtro WMI para elegir como destinatarios esos escritorios:
Select * from Win32_POTSModem Where Name = " MyModem"
Si utiliza la directiva de grupo con un filtro WMI, recuerde que el filtro WMI se aplica a todos los valores de configuracin de directiva del GPO. Si tiene requisitos diferentes para implementaciones diferentes, debe usar objetos GPO diferentes, cada uno con su propio filtro WMI.
Eleccin de destinatarios basada en la configuracin

En este ejemplo, un administrador no desea aplicar un GPO a equipos que admitan multidifusin. El administrador puede usar el siguiente filtro para identificar los equipos que admiten multidifusin:
Select * from Win32_NetworkProtocol where SupportsMulticasting = true
Eleccin de destinatarios basada en la cantidad de espacio en disco y el tipo de sistema de archivos

En este ejemplo, un administrador desea elegir como destinatarios equipos que tengan ms de 10 MB de espacio disponible en la particin C, D o E. Las particiones deben estar en uno o varios discos fijos locales y deben ejecutar el sistema de archivos NTFS. El administrador puede usar el siguiente filtro para identificar los equipos que cumplen estos criterios:
SELECT * FROM Win32_LogicalDisk WHERE (Name = " C:" OR Name = " D:" OR Name = " E:" ) AND Driv
En este ejemplo, DriveType = 3 representa un disco local y las unidades FreeSpace estn en bytes (10 MB = 10.485.760 bytes).
Para crear un filtro WMI

1. En el rbol de GPMC, haga clic con el botn secundario en Filtros WMI en el bosque y el dominio en el que desee agregar un filtro WMI. 2. Haga clic en Nuevo. 3. En el cuadro de dilogo Nuevo filtro WMI, escriba el nombre del nuevo filtro WMI en el cuadro Nombre y una descripcin del filtro en el cuadro Descripcin. 4. Haga clic en Agregar. 5. En el cuadro de dilogo Consulta WMI, deje el espacio de nombres predeterminado o escriba otro realizando alguna de las acciones siguientes: En el cuadro Espacio de nombres, escriba el nombre del espacio de nombres que desea usar en la consulta WMI. El valor predeterminado es root\CimV2. En la mayora de los casos, no es necesario cambiar este valor. Haga clic en Examinar, seleccione un espacio de nombres de la lista y, a continuacin, haga clic en Aceptar.
6. Escriba una consulta de WMI en el cuadro Consulta y, a continuacin, haga clic en Aceptar. 7. Si desea agregar ms consultas, repita los pasos del 4 al 6 para cada una. 8. Despus de agregar todas las consultas, haga clic en Guardar. El filtro WMI est ahora disponible para vincularlo.
Uso de la herencia de directivas de grupo

Con frecuencia, resulta til definir un GPO de estndar corporativo. Aqu, "estndar corporativo" se refiere a la configuracin de directiva que se aplica a un amplio conjunto de usuarios de una organizacin. Un ejemplo de escenario en el que definir un GPO de estndar corporativo puede ser apropiado es un requisito empresarial que estipule: "Slo los usuarios especialmente autorizados pueden obtener acceso a la lnea de comandos o al Editor del Registro". La herencia de directiva de grupo puede facilitar la aplicacin de estos estndares corporativos y tambin personalizar valores de configuracin de directiva para grupos de usuarios diferentes. Una forma de hacerlo es establecer los valores de configuracin de directiva Impedir el acceso al smbolo del sistema e Impedir el acceso a herramientas de edicin del Registro en un GPO (por ejemplo, el GPO de directiva de usuario estndar) que se vincula a una unidad organizativa (por ejemplo, Cuentas de usuario). Esto aplica esta configuracin de directiva a todos los usuarios de esa unidad organizativa. A continuacin, cree un GPO (por ejemplo, el GPO de directiva de usuario administrador) que permita de forma explcita a los administradores obtener acceso a la lnea de comandos y a herramientas de edicin del Registro. Vincule el GPO a la unidad organizativa Administradores, que invalida los valores de directiva configurados en el GPO de directiva de usuario estndar. Este mtodo se ilustra en la figura 4.
Si otro grupo de usuarios requiere acceso a la lnea de comandos, pero no al Registro, puede crear otro GPO que se lo permita. El acceso a las herramientas de edicin del Registro les seguir denegado porque el nuevo GPO no invalida el valor de configuracin de las herramientas del Registro del GPO de directiva de usuario estndar. Normalmente, un GPO de estndar corporativo incluye ms valores y opciones de configuracin de directiva de los que se muestran en la ilustracin anterior. Por ejemplo, se suelen usar objetos GPO de estndar corporativo para realizar lo siguiente: Quitar del alcance de los usuarios toda la funcionalidad no esencial o que podra resultar perjudicial.
Definir permisos de acceso, configuracin de seguridad y permisos para el sistema de archivos y el Registro para los servidores y estaciones de trabajo miembro. Normalmente, los GPO se asignan a la estructura de unidades organizativas en lugar de al dominio o sitio. Si le da al modelo de unidades organizativas una estructura de usuarios, estaciones de trabajo y servidores, es ms fcil identificar y configurar valores de directiva de estndar corporativo. Tambin puede deshabilitar las partes de usuario o de equipo del GPO que no sean aplicables, lo que facilita la administracin de la directiva de grupo. Si establece valores predeterminados para una configuracin de directiva relacionada con la seguridad, como la pertenencia restringida a un grupo, permisos de acceso al sistema operativo y permisos de acceso al Registro, es importante comprender que esta configuracin de directiva funciona con el principio de "lo ltimo es lo que vale" (last-writer-wins) y que los valores de configuracin de directiva no se combinan. En el siguiente ejemplo se muestra este principio.
Ejemplo: principio "lo ltimo es lo que vale" (last-writer-wins)

Un administrador crea un GPO de estaciones de trabajo predeterminadas que define la pertenencia al grupo Usuarios avanzados local como los grupos Soporte tcnico y Asistencia. El grupo Banca empresarial desea agregar el grupo Soporte de banca empresarial a la lista y crea un nuevo GPO de estaciones de trabajo predeterminadas para ello. A menos que el nuevo GPO especifique que los tres grupos son miembros de Usuarios avanzados, solo el grupo Soporte de banca empresarial tiene derechos de usuario avanzado en las estaciones afectadas.
Implementacin de la directiva de grupo

Antes de implementar la directiva de grupo, asegrese de que conoce los procedimientos para trabajar con objetos GPO, incluidas las tareas de creacin de objetos GPO, importacin de configuracin de directiva, copia de seguridad y restauracin de objetos GPO, edicin y vinculacin de objetos GPO, establecimiento de excepciones a la herencia de objetos GPO predeterminada, filtrado y aplicacin de objetos GPO, delegacin de administracin y uso de Modelado de directivas de grupo para planear y Resultados de directivas de grupo para evaluar la aplicacin de GPO. Pruebe siempre los GPO en un entorno seguro antes de aplicarlos en el entorno de produccin. Cuanto ms planee, disee y pruebe los GPO antes de implementarlos, ms fcil ser crear, implementar y mantener una implementacin ptima de la directiva de grupo. No est de ms insistir en la importancia de las pruebas y de implementaciones piloto en este contexto. Las pruebas deben simular de forma lo ms parecida posible el entorno de produccin. Un diseo no est completo hasta que se prueban y validan todas las variaciones importantes y la estrategia de implementacin. No se pueden realizar pruebas exhaustivas de la estrategia de implementacin del GPO hasta que se configura el GPO con configuracin de directiva especfica, como configuracin de seguridad y administracin de escritorios y datos. Hgalo para cada grupo de usuarios y equipos de la red. Use el entorno de prueba para desarrollar, probar y validar objetos GPO especficos. Aproveche todas las ventajas del Asistente para modelado de directivas de grupo y el Asistente para Resultados de directivas de grupo de GPMC. Asimismo, considere una implementacin interactiva de la directiva de grupo. Es decir, en lugar de implementar 100 valores de configuracin de directiva de grupo nuevos, primero pruebe e implemente solo algunos valores para validar que la infraestructura de la directiva de grupo est funcionando
correctamente. Para obtener ms informacin acerca de los ensayos de directivas de grupo, consulte Ensayo de implementaciones de directiva de grupo en esta gua.
Creacin y trabajo con objetos GPO

Puesto que los cambios en un GPO son efectivos de forma inmediata, mantenga el GPO desvinculado de la ubicacin de produccin (sitio, dominio o unidad organizativa) hasta que lo haya probado totalmente en un entorno de prueba. Durante el desarrollo del GPO, mantngalo desvinculado o vinculado a una unidad organizativa de prueba. En esta seccin, se explica el proceso de creacin e implementacin de objetos GPO. Para obtener ms informacin sobre cmo probar configuraciones de directiva de grupo antes de la implementacin, consulte Ensayo de implementaciones de directiva de grupo en esta gua. Los siguientes procedimientos muestran cmo crear y editar GPO mediante GPMC.
Para crear un GPO desvinculado

1. En el rbol de consola de GPMC, haga clic con el botn secundario en Objetos de directiva de grupo en el bosque y dominio donde desea crear un nuevo GPO desvinculado. 2. Haga clic en Nuevo. 3. En el cuadro de dilogo Nuevo GPO, especifique un nombre para el nuevo GPO y, a continuacin, haga clic en Aceptar. Use el siguiente procedimiento para editar un GPO.
Para editar un GPO

1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y dominio que contienen el GPO que desea editar. 2. Haga clic con el botn secundario en el GPO que desea editar y, a continuacin, haga clic en Editar. 3. En el rbol de consola, expanda los elementos necesarios para buscar el elemento que contiene la configuracin de directiva que desea modificar. Haga clic en un elemento para ver la configuracin de directiva asociada en el panel de detalles. 4. En el panel de detalles, haga doble clic en los nombres de los valores de configuracin de directiva que desea editar. Tenga en cuenta que algunos valores de configuracin de directiva, como la configuracin para implementar un nuevo paquete de instalacin de software, utilizan interfaces de usuario nicas. 5. En el cuadro de dilogo Propiedades, modifique la configuracin de directiva segn sea necesario y haga clic en Aceptar.
Para vincular un GPO

La forma principal para aplicar la configuracin de directiva de un GPO a usuarios y equipos es vinculando el GPO a un contenedor de Active Directory. Los objetos GPO se pueden vincular a tres tipos de contenedores de Active Directory: sitios, dominios y unidades organizativas. Un GPO se puede vincular a varios contenedores de Active Directory. Los objetos GPO se almacenan por dominios. Por ejemplo, si vincula un GPO a una unidad organizativa, el GPO no se encuentra realmente en esa unidad organizativa. Un GPO es un
objeto de dominio que se puede vincular a cualquier parte del bosque. La interfaz de usuario de GPMC permite ver con claridad la distincin entre vnculos y GPO reales. En GPMC, puede vincular un GPO existente a contenedores de Active Directory mediante alguno de los siguientes mtodos: Haga clic con el botn secundario en un elemento de sitio, dominio o unidad organizativa y, a continuacin, haga clic en Vincular un GPO existente. Este procedimiento es equivalente a elegir Agregar en la ficha Directiva de grupo que estaba disponible en el componente Usuarios y equipos de Active Directory, antes de instalar GPMC. Este procedimiento requiere que el GPO exista ya en el dominio. Arrastre un GPO desde el elemento Objetos de directiva de grupo hasta la unidad organizativa a la que desea vincular el GPO. Esta funcionalidad de arrastrar y colocar funciona solo dentro del mismo dominio. Tambin puede usar GPMC para crear y vincular de forma simultnea un nuevo GPO, como se explica en la seccin siguiente.
Para crear y vincular un GPO

Para crear un GPO y vincularlo a un sitio, dominio o unidad organizativa, debe crear primero el GPO en el dominio y despus vincularlo. El siguiente procedimiento es equivalente a elegir Nuevo en la ficha Directiva de grupo que estaba disponible en el componente Usuarios y equipos de Active Directory, antes de instalar GPMC. Si bien esta operacin se presenta en GPMC como una sola accin, tienen lugar dos acciones: Se crea un GPO en el dominio y, a continuacin, el nuevo GPO se vincula al sitio, dominio o unidad organizativa.
Para crear un GPO y vincularlo a un sitio, dominio o unidad organizativa

1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y dominio que contienen el GPO que desea vincular. 2. Haga clic con el botn secundario en una unidad organizativa y, a continuacin, haga clic en Crear un GPO en este dominio y vincularlo aqu. 3. En el cuadro de dilogo Nuevo GPO, escriba un nombre para el nuevo GPO y haga clic en Aceptar. Use el siguiente procedimiento para desvincular un GPO (es decir, eliminar un vnculo de un GPO con un sitio, dominio o unidad organizativa).
Para eliminar un vnculo con un GPO de un sitio, dominio o unidad organizativa

1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y dominio que contienen el GPO que desea desvincular. 2. Haga clic en el GPO que desea desvincular. 3. En el panel de detalles, haga clic en la ficha mbito. 4. Si aparece el siguiente mensaje, haga clic en Aceptar para cerrarlo (tambin puede especificar que no se vuelva a mostrar este mensaje cuando cree un nuevo GPO y lo vincule): "Seleccion un vnculo a un objeto de directiva de grupo (GPO). Con la excepcin de los cambios a las propiedades del vnculo, los cambios realizados aqu son
globales para el GPO, y afectarn a todas las ubicaciones con las que este GPO est vinculado". 5. En la seccin Vnculos, haga clic con el botn secundario en el objeto de Active Directory que tiene el vnculo que desea eliminar y, a continuacin, haga clic en Eliminar vnculos.
Nota Eliminar un vnculo con un GPO es distinto de eliminar un GPO. Si elimina solo un vnculo con el GPO, el GPO contina existiendo, igual que los dems vnculos que haya de otros dominios con ese GPO. Sin embargo, si elimina un GPO, se le pedir que elimine el GPO y todos los vnculos que haya con l en el dominio seleccionado. Esto no elimina los vnculos que haya con el GPO en otros dominios. Asegrese de quitar los vnculos con el GPO de otros dominios antes de eliminar este GPO de este dominio.
Deshabilitacin de los valores Configuracin de usuario y Configuracin del equipo en un GPO

Si va a crear un GPO para establecer solo configuracin de directiva relacionada con el usuario, puede deshabilitar los valores de Configuracin del equipo del GPO. Esto reduce ligeramente el tiempo de inicio del equipo porque no se tienen que evaluar los valores de Configuracin del equipo del GPO para determinar si hay alguna configuracin de directiva. Si va a configurar solo valores de directiva relacionados con el equipo, deshabilite los valores de Configuracin de usuario del GPO. Vea la figura 5 para identificar los elementos de GPMC a los que se hace referencia en el procedimiento siguiente.
Para deshabilitar los valores Configuracin de usuario y Configuracin del equipo en un GPO
1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y dominio que contienen el GPO que tiene la configuracin de directiva
que desea deshabilitar. 2. Haga clic en el GPO que contiene la configuracin de directiva que desea deshabilitar. 3. En la lista Estado de GPO, seleccione alguna de estas opciones: Todos los valores de configuracin deshabilitados Configuracin de equipo deshabilitada Habilitados (predeterminado) Configuracin de usuario deshabilitada
Consideraciones especiales para objetos GPO vinculados a sitios

Puede ser apropiado usar objetos GPO vinculados a sitios para establecer una directiva de configuracin de proxy, impresoras y red. Todo GPO vinculado a un contenedor de sitio se aplica a todos los equipos de ese sitio, independientemente del dominio del bosque al que pertenezca el equipo. Este comportamiento tiene las siguientes implicaciones: Asegrese de que los equipos no tienen acceso a un GPO de sitio a travs de un vnculo WAN, porque producira importantes problemas de rendimiento. De forma predeterminada, para administrar objetos GPO de sitio, debe ser miembro del grupo Administradores de empresas o del grupo Admins. del dominio en el dominio raz del bosque. La replicacin de Active Directory entre controladores de dominio de sitios diferentes es menos frecuente que la replicacin entre controladores de dominio del mismo sitio, y tiene lugar solo durante perodos programados. Entre sitios, la replicacin FRS no se determina por la programacin de replicacin del vnculo a sitios; esto no es un problema dentro de un mismo sitio. La programacin y la frecuencia de replicacin de servicio de directorio son propiedades de los vnculos a sitios que conectan sitios. La frecuencia de replicacin entre sitios predeterminada es tres horas. Para cambiar esta frecuencia, use el siguiente procedimiento.
Para cambiar la frecuencia de replicacin entre sitios

1. Abra Sitios y servicios de Active Directory. 2. En el rbol de consola, expanda Sitios, Transportes entre sitios e IP, y haga clic en la carpeta de transportes entre sitios que contiene el vnculo a sitios para el que va a configurar la replicacin entre sitios. 3. En el panel de detalles, haga clic con el botn secundario en el vnculo a sitios cuya frecuencia de replicacin entre sitios desea configurar y, a continuacin, haga clic en Propiedades. 4. En la ficha General, en Replicar cada, escriba o seleccione el nmero de minutos entre replicaciones. 5. Haga clic en Aceptar. Cambiar la frecuencia o la programacin de replicacin puede afectar notablemente a la directiva de grupo. Por ejemplo, imagine que tiene establecida una frecuencia de replicacin de tres horas o ms, y crea un GPO y lo vincula a una unidad organizativa de un dominio que abarca varios sitios.
Probablemente, tendr que esperar varias horas para que todos los usuarios de esa unidad organizativa reciban el GPO. Si la mayora de los usuarios de una unidad organizativa estn en una ubicacin remota, y tiene un controlador de dominio en ese sitio, puede solucionar la latencia de replicacin entre sitios realizando operaciones de directiva de grupo en el controlador de dominio de ese sitio.
Uso del procesamiento de bucle invertido para configurar valores de directiva de usuario
El valor de configuracin de directiva Modo de procesamiento de bucle invertido de la directiva de grupo de usuario es una opcin avanzada que est pensada para mantener la configuracin del equipo igual independientemente de quin inicie sesin. Este valor de configuracin de directiva es apropiado en determinados entornos muy administrados con equipos para uso especial, como aulas, quioscos multimedia pblicos y reas de recepcin. Por ejemplo, puede habilitar este valor de configuracin de directiva para un servidor especfico, como un servidor de Terminal Server. Habilitar el valor de configuracin de directiva de modo de procesamiento de bucle invertido hace que el sistema aplique la misma configuracin de directiva de usuario para cualquier usuario que inicie sesin en el equipo, basndose en el equipo. Si aplica objetos GPO a usuarios, normalmente se aplica el mismo conjunto de valores de configuracin de directiva a esos usuarios cuando inician sesin en cualquier equipo. Habilitar el valor de configuracin de directiva de procesamiento de bucle invertido en un GPO permite configurar valores de directiva de usuario en funcin del equipo en el que inician sesin. Estos valores de directiva se aplican independientemente del usuario que inicie sesin. Si habilita el valor de configuracin de directiva del modo de procesamiento de bucle invertido, debe asegurarse de que tanto el valor Configuracin de usuario como el valor Configuracin del equipo estn habilitados en el GPO. Puede configurar el valor de configuracin de directiva de bucle invertido mediante GPMC para editar el GPO y habilitar el valor de configuracin de directiva Modo de procesamiento de bucle invertido de la directiva de grupo de usuario en Configuracin del equipo\Directivas\Plantillas administrativas\Sistema\Directiva de grupo. Hay dos opciones disponibles: Modo de combinar. En este modo, la lista de objetos GPO para el usuario se recopila durante el proceso de inicio de sesin. A continuacin, se recopila la lista de objetos GPO para el equipo. Despus se agrega la lista de objetos GPO para el equipo al final de los GPO para el usuario. Como resultado, los GPO del equipo tienen una precedencia mayor que los objetos del usuario. Si hay algn conflicto entre los valores de directiva, se aplicarn los valores de directiva de usuario de los GPO del equipo en lugar de los valores de directiva normales del usuario. Modo de reemplazar: En este modo, no se recopila la lista de objetos GPO para el usuario. En su lugar, solo se utiliza la lista de objetos GPO basados en el objeto de equipo. Los valores de Configuracin de usuario de la lista se aplican al usuario.
Delegacin de la administracin de la directiva de grupo

El diseo de la directiva de grupo probablemente requerir que delegue determinadas tareas administrativas de la directiva de grupo. Determinar el grado de centralizacin o distribucin del control administrativo de la directiva de grupo es uno de los factores ms importantes a la hora de evaluar las necesidades
de la organizacin. En organizaciones que utilizan un modelo de administracin centralizado, un grupo de TI proporciona servicios, toma decisiones y establece estndares para toda la compaa. En organizaciones que utilizan un modelo de administracin distribuido, cada unidad de negocio administra su propio grupo de TI. Puede delegar las siguientes tareas de directiva de grupo: Administrar objetos GPO individuales (por ejemplo, conceder acceso de edicin o lectura a un GPO) Realizar las siguientes tareas de directiva de grupo en sitios, dominios y unidades organizativas: Administrar vnculos de directiva de grupo para un determinado sitio, dominio o unidad organizativa Realizar anlisis de Modelado de directivas de grupo para objetos de ese contenedor (no aplicable a sitios) Leer datos de Resultados de directivas de grupo para objetos de ese contenedor (no aplicable a sitios) Crear objetos GPO Crear filtros WMI Administrar y editar filtros WMI individuales Segn el modelo administrativo de la organizacin, debe determinar los aspectos de la administracin de la configuracin ms adecuados para controlarlos en el nivel de sitio, dominio o unidad organizativa. Tambin debe determinar cmo se podran subdividir las responsabilidades en cada nivel de sitio, dominio o unidad organizativa entre los administradores o grupos administrativos disponibles en cada nivel. Cuando decida si delegar o no autoridad en el nivel de sitio, dominio o unidad organizativa, tenga en cuenta las siguientes consideraciones: La autoridad delegada en el nivel de dominio afecta a todos los objetos del dominio, si el permiso se establece para heredarse en todos los contenedores secundarios. La autoridad delegada en el nivel de unidad organizativa puede afectar solo a esa unidad organizativa o a la unidad y todas sus unidades organizativas secundarias. La administracin de permisos es ms fcil y ms eficaz si asigna control en el nivel de unidad organizativa ms alto posible. La autoridad delegada en el nivel de sitio probablemente abarcar varios dominios y puede influir en objetos de otros dominios distintos del dominio donde se encuentra el GPO. Las secciones siguientes explican cmo usar GPMC para realizar estas tareas de delegacin.
Delegacin de la administracin de objetos GPO individuales

GPMC permite conceder permisos fcilmente a usuarios adicionales para un GPO; adems, administra permisos en el nivel de tarea. Hay cinco niveles de permiso que se pueden conceder para un GPO: Lectura; Editar configuracin; Editar configuracin, eliminar, modificar seguridad; Lectura (de Filtrado de seguridad) y Personalizado. Estos niveles de permiso corresponden a un conjunto fijo de permisos de bajo nivel. En la tabla 3, se muestran los permisos de bajo nivel correspondientes a cada opcin.
Tabla 3 Opciones de permiso y permisos de bajo nivel de un GPO

Opcin de permiso de GPO Lectura Lectura (de Filtrado de seguridad) Permisos de bajo nivel
Permite el acceso de lectura al GPO. Este valor no se puede establecer directamente, pero aparece si el usuario tiene los permisos Lectura y Aplicar directiva de grupos para el GPO, que se establecen usando Filtrado de seguridad en la ficha mbito del GPO. Permite leer, escribir, crear objetos secundarios, eliminar objetos secundarios. Permite leer, escribir, crear objetos secundarios, eliminar objetos secundarios, eliminar, modificar permisos y modificar el propietario. Concede control total sobre el GPO, excepto que no est establecido el permiso Aplicar directiva de grupos. Cualquier otra combinacin de derechos, como la denegacin de permisos, aparece como permisos personalizados. No se pueden establecer permisos personalizados haciendo clic en Agregar. Solo se pueden establecer haciendo clic en Avanzadas y modificando los derechos directamente.
Editar configuracin Editar configuracin, eliminar y modificar seguridad
Personalizado
Para conceder permisos para un GPO a un usuario o grupo, use el siguiente procedimiento.
Para conceder permisos para un GPO a un usuario o grupo

1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y dominio que contienen el GPO que desea editar. 2. Haga clic en el GPO para el que desea conceder permisos. 3. En el panel de detalles, haga clic en la ficha Delegacin. 4. Haga clic en Agregar. 5. En el cuadro de dilogo Seleccionar usuario, equipo o grupo, especifique el usuario o grupo al que desea conceder permisos y haga clic en Aceptar. 6. En el cuadro de dilogo Agregar grupo o usuario, en Permisos, haga clic en el nivel de permisos que desea conceder al usuario o grupo y despus en Aceptar. Tenga en cuenta el permiso Aplicar directiva de grupos, que se usa para el filtrado de seguridad, no se puede establecer en la ficha Delegacin. Puesto que el permiso Aplicar directiva de grupos se usa para establecer el mbito del GPO, este permiso se administra en la ficha mbito del GPO en GPMC. Para conceder a un usuario o grupo el permiso Aplicar directiva de grupos para un GPO, en la ficha mbito para el GPO, haga clic en Agregar y especifique el usuario o grupo. El nombre del usuario o grupo aparecer en la lista Filtrado de seguridad. Cuando se conceden a un usuario permisos de Filtrado de seguridad en la ficha mbito, realmente se estn estableciendo los permisos Lectura y Aplicar directiva de grupos. La tabla 4 es una lista de los permisos de seguridad predeterminados para un GPO.
Tabla 4 Permisos de seguridad predeterminados para objetos GPO

Grupo de seguridad Usuarios autenticados Permisos Lectura (de Filtrado de seguridad) Leer
CONTROLADORES DE DOMINIO EMPRESARIALES Admins. del dominio, Administradores de empresas, Creador Propietario, SYSTEM Nota
Editar configuracin, eliminar, modificar seguridad
Puesto que los administradores son tambin parte del grupo Usuarios autentificados, tienen la entrada de control de acceso (ACE) Aplicar directiva de grupos establecida en Permitir de manera predeterminada. Como resultado, la configuracin de directiva es aplicable a ellos tambin si se encuentran en el contenedor donde est vinculado el GPO.
Delegacin de tareas de directiva de grupo en sitios, dominios y unidades organizativas

Puede delegar las siguientes tareas de directiva de grupo (permisos) por contenedor de Active Directory: Vincular objetos GPO a un contenedor de Active Directory (sitio, dominio o unidad organizativa). Realizar anlisis de Modelado de directivas de grupo para objetos de ese contenedor (dominios y unidades organizativas) Leer datos de Resultados de directivas de grupo para objetos de ese contenedor (dominios y unidades organizativas) Para delegar tareas administrativas, debe conceder el permiso que corresponda a la tarea en el contenedor de Active Directory correspondiente mediante GPMC. De forma predeterminada, los miembros del grupo Admins. del dominio tienen permiso para vincular objetos GPO para dominios y unidades organizativas, y los miembros de los grupos Administradores de empresas y Admins. del dominio del dominio raz del bosque pueden administrar vnculos a sitios. Puede delegar permisos en grupos y usuarios adicionales mediante GPMC. De forma predeterminada, el acceso a Modelado de directivas de grupo y el acceso remoto a los datos de Resultados de directivas de grupo est restringido a miembros de los grupos Administradores de empresas y Admins. del dominio. Puede delegar el acceso a estos datos en administradores de un nivel ms bajo estableciendo los permisos correspondientes en GPMC. Los procedimientos siguientes explican cmo delegar las tareas administrativas de directiva de grupo modificando los permisos pertinentes en los contenedores de Active Directory.
Para delegar tareas administrativas de directiva de grupo en un sitio, dominio o unidad organizativa
1. En GPMC, haga clic en el nombre del sitio, dominio o unidad organizativa en la que desea delegar tareas administrativas de directiva de grupo. 2. En el panel de detalles del sitio, dominio o unidad organizativa, haga clic en la ficha Delegacin.
3. En la lista Permiso, haga clic en alguno de los siguientes: Vincular Objetos de directiva de grupo, Realizar anlisis de Modelado de directivas de grupo o Leer datos de Resultados de directivas de grupo. Tenga en cuenta que, para sitios, solo est disponible Vincular Objetos de directiva de grupo. 4. Para delegar la tarea en un nuevo usuario o grupo, haga clic en Agregar y especifique el usuario o grupo que desea agregar. 5. Para modificar el valor Se aplica a para un permiso existente (es decir, para cambiar el contenedor de Active Directory al que se aplica el permiso concedido a un usuario o grupo especfico), haga clic con el botn secundario en el usuario o grupo en la lista Grupos y usuarios y, a continuacin, haga clic en Slo este contenedor o Este contenedor y secundarios. 6. Para quitar un grupo o usuario existente de la lista de grupos y usuarios a los que se ha concedido el permiso especificado, haga clic en el usuario o grupo en la lista Grupos y usuarios y, a continuacin, haga clic en Quitar. Tenga en cuenta que debe ser miembro del grupo Admins. del dominio para poder hacer esto. 7. Para agregar o quitar permisos personalizados: a. Haga clic en Avanzadas en la ficha Seguridad. b. En Nombres de grupos o usuarios, haga clic en el usuario o grupo cuyos permisos desea cambiar. c. En Permisos, modifique los permisos segn sea necesario y haga clic en Aceptar.
Delegacin de la creacin de objetos GPO

La capacidad para crear objetos GPO en un dominio es un permiso que se administra por dominio. De forma predeterminada, solo los miembros de los grupos Admins. del dominio, Administradores de empresas Propietarios del creador de directivas de grupo y SYSTEM pueden crear nuevos GPO. Un miembro del grupo Admins. del dominio puede delegar la creacin de objetos GPO en cualquier usuario o grupo. Hay dos mtodos para conceder este permiso a un grupo o usuario. Ambos conceden permisos idnticos: Agregar el grupo o usuario al grupo Propietarios del creador de directivas de grupo. Este era el nico mtodo disponible antes de GPMC. Usar GPMC para conceder de forma explcita al grupo o usuario permiso para crear GPO. Para ello, en el rbol de consola de GPMC, haga clic en Objetos de directiva de grupo, haga clic en la ficha Delegacin y modifique los permisos segn sea necesario. Cuando un miembro no administrador del grupo Propietarios del creador de directivas de grupo crea un GPO, ese usuario se convierte en el creador propietario del GPO y puede editar y modificar los permisos del GPO. Sin embargo, los miembros del grupo Propietarios del creador de directivas de grupo no pueden vincular GPO a contenedores a menos que se haya delegado en ellos por separado el derecho de hacerlo en un sitio, dominio o unidad organizativa particular. Ser miembro del grupo Propietarios del creador de directivas de grupo concede al usuario que no es administrador control total solo para los GPO que crea el usuario. Los miembros de Propietarios del creador de directivas de grupo no tienen permisos para GPO que no crean ellos mismos. Nota
Cuando un administrador crea un GPO, los miembros del grupo Admins. del dominio se convierten en creador propietario del GPO. De forma predeterminada, los miembros del grupo Admins. del dominio pueden editar todos los GPO del dominio. El derecho de vincular GPO se delega de forma independiente del derecho de crear y editar los GPO. No olvide delegar ambos derechos en los grupos que desea que creen y vinculen GPO. De forma predeterminada, los administradores que no son de dominio no pueden administrar vnculos y esto impide que puedan usar GPMC para crear y vincular GPO. Sin embargo, estos administradores s pueden crear GPO desvinculados si son miembros del grupo Propietarios del creador de directivas de grupo. Cuando un administrador que no es de dominio crea un GPO desvinculado, el administrador de dominio, o alguien en quien se han delegado permisos para vincular objetos GPO a contenedores, puede vincular el GPO segn proceda. Puesto que el grupo Propietarios del creador de directivas de grupo es un grupo global de dominio, no puede contener miembros de fuera del dominio. Por tanto, si desea delegar permisos para crear objetos GPO a usuarios de fuera del dominio, debe usar GPMC para conceder de forma explcita a tales usuarios los permisos correspondientes. Para ello, cree un nuevo grupo local de dominio en el dominio (por ejemplo, "GPCO-Externo"), conceda a ese grupo permisos para crear objetos GPO en el dominio y agregue grupos globales de dominio de dominios externos a ese grupo. Para usuarios y grupos del dominio, debe continuar usando el grupo Propietarios del creador de directivas de grupo para conceder permisos de creacin de objetos GPO.
Delegacin de la creacin de filtros WMI

Puede delegar los siguientes niveles de permisos en un usuario o grupo para crear filtros WMI: Creador Propietario: Permite al usuario o grupo crear nuevos filtros WMI en el dominio, pero no concede permisos para administrar filtros WMI creados por otros usuarios. Control total: Permite al usuario o grupo crear filtros WMI y concede control total sobre todos los filtros WMI del dominio, incluidos los filtros nuevos que se hayan creado despus de haber concedido este permiso a los usuarios. Puede delegar estos permisos mediante GPMC. En el rbol de consola de GPMC, haga clic en Filtros WMI. En el panel de detalles, haga clic en la ficha Delegacin y delegue los permisos segn sea necesario.
Delegacin de permisos para administrar filtros WMI individuales

Puede delegar los siguientes niveles de permisos en un usuario o grupo para administrar un filtro WMI individual: Modificar: Permite al usuario o grupo editar el filtro WMI seleccionado. Control total: Permite al usuario o grupo editar, eliminar y modificar la seguridad en el filtro WMI seleccionado. Puede delegar estos permisos mediante GPMC. En el rbol de consola de GPMC, haga clic en el filtro WMI para el que desea delegar permisos. En el panel de detalles, haga clic en la ficha Delegacin y delegue los permisos segn sea necesario. Tenga en cuenta que todos los usuarios tienen acceso de Lectura a todos los filtros WMI. GPMC no permite quitar este permiso. Si se quitara el permiso Lectura, no se procesara la directiva de grupo en el equipo de destino.
Definicin de procedimientos operativos de directiva de grupo

Para facilitar la administracin futura de la directiva de grupo, debe desarrollar procedimientos operativos para garantizar que los cambios en objetos GPO se realizan de una forma autorizada y controlada. En particular, asegrese de que todos los GPO nuevos y los cambios en objetos GPO existentes se ensayan debidamente antes de implementarlos en el entorno de produccin. Tambin debe crear copias de seguridad de los GPO con regularidad. En algunas organizaciones, puede que diferentes equipos sean responsables de administrar diferentes aspectos de la directiva de grupo. Por ejemplo, un equipo de implementacin de software suele estar interesado por la configuracin de directiva de Configuracin de usuario\Directivas\Configuracin de software\Instalacin de software y Configuracin del equipo\Directivas\Configuracin de software\Instalacin de software. El resto de la configuracin de directiva, relacionada con elementos como scripts y redireccin de carpetas, probablemente no ser de inters para este equipo. Para reducir la complejidad y minimizar la posibilidad de introducir errores, considere la creacin de objetos GPO distintos para diferentes grupos de administradores. Como alternativa, puede restringir el acceso de los administradores a las partes de la directiva de grupo que estn autorizados a cambiar. Puede usar el valor de configuracin de directiva Complementos restringidos o permitidos\Complementos de extensin para restringir los complementos a los que pueden obtener acceso los administradores. Esta configuracin de directiva est disponible cuando se edita un GPO en Configuracin de usuario\Directivas\Plantillas administrativas\Componentes de Windows\Microsoft Management Console. El valor de configuracin de directiva Complementos restringidos o permitidos\Complementos de extensin pertenece a la interfaz de usuario accesible mediante el editor que acompaa a GPMC. Recuerde que algunos equipos pueden necesitar acceso a ms de un tipo de complemento de extensin. Nota La configuracin de directiva MMC afecta solo a la interfaz de usuario accesible con MMC; si la directiva de grupo se edita mediante programacin, se puede editar cualquier valor de configuracin de GPO. Para obtener ms informacin acerca de estos y otros valores de configuracin de directiva de grupo, haga doble clic en la configuracin de directiva en el panel de detalles cuando edite un GPO y, a continuacin, haga clic en la ficha Explicacin en el cuadro de dilogo Propiedades de la directiva. Tenga en cuenta que esta informacin est siempre disponible cuando hace clic en un valor de configuracin de directiva, si est habilitada la opcin Vista extendida. Esta vista est habilitada de forma predeterminada.
Especificacin de un controlador de dominio para editar la directiva de grupo

En cada dominio, GPMC usa el mismo controlador de dominio para todas las operaciones de ese dominio. Esto incluye todas las operaciones en los GPO que hay en el dominio, as como todos los dems objetos de ese dominio, como unidades organizativas y grupos de seguridad. GPMC usa tambin el mismo controlador de dominio para todas las operaciones de sitios. Este controlador de dominio se usa para leer y escribir informacin acerca de los vnculos con los GPO existentes en un sitio dado, pero la informacin
relacionada con los propios GPO se obtiene de los controladores de dominio de los dominios que hospedan los GPO. De forma predeterminada, cuando se agrega un nuevo dominio a la consola, GPMC usa el controlador de dominio que alberga la funcin de maestro de operaciones del emulador PDC (controlador de dominio principal) en ese dominio para operaciones en ese dominio. Para la administracin de sitios, GPMC usa el emulador PDC en el dominio del usuario de forma predeterminada. La eleccin de controladores de dominio es algo importante que deben considerar los administradores para evitar conflictos de replicacin. Esto es especialmente importante porque los datos de GPO se encuentran tanto en Active Directory como en Sysvol, que se basan en mecanismos de replicacin independientes para replicar datos de GPO en varios controladores del dominio. Si dos administradores modifican a la vez el mismo GPO en diferentes controladores de dominio, es posible que los cambios escritos por un administrador sean sobrescritos por otro administrador, dependiendo de la latencia de replicacin. Para evitar esto, GPMC usa el emulador PDC en cada dominio de forma predeterminada. Esto contribuye a garantizar que todos los administradores usen el mismo controlador de dominio y protege frente a prdida de datos. Sin embargo, puede que no siempre sea deseable que un administrador use el emulador PDC para editar los GPO. Por ejemplo, si el administrador se encuentra en un sitio remoto o si la mayora de los usuarios o equipos destinatarios del GPO estn en un sitio remoto, el administrador puede optar por elegir como destinatario un controlador de dominio en la ubicacin remota. Por ejemplo, si es un administrador en Japn y el emulador PDC est en Nueva York, puede no ser conveniente depender de un vnculo por WAN para obtener acceso al emulador PDC de Nueva York. Importante Si varios administradores administran un GPO comn, todos los administradores deberan usar el mismo controlador de dominio cuando editen un GPO particular con el fin de evitar colisiones en el servicio FRS. Para especificar el controlador de dominio que se debe usar para un dominio dado o para todos los sitios de un bosque, use el comando Cambiar el controlador de dominio en GPMC. En cualquier caso, estn disponibles las siguientes opciones: El controlador de dominio con el smbolo de maestro de operaciones para el emulador PDC (opcin predeterminada) Cualquier controlador de dominio disponible Cualquier controlador de dominio disponible que ejecute Windows Server 2003 o posterior Este controlador de dominio (en este caso, debe seleccionar el controlador de dominio). La opcin seleccionada se usa cada vez que se abre una consola guardada hasta que se cambia la opcin. Esta preferencia se guarda en el archivo .msc y se usa cuando se abre este archivo. En general, no se recomienda usar la opcin Cualquier controlador de dominio disponible a menos que est realizando operaciones de solo lectura.
Procesamiento de la directiva de grupo y vnculos de baja velocidad

Algunas veces, la directiva de grupo no se aplica cuando la
velocidad de la conexin cae por debajo de umbrales especificados. Por tanto, cuando la solucin de directiva de grupo requiere aplicar la directiva a travs de vnculos de baja velocidad o mediante acceso remoto, debe considerar valores de configuracin de directiva para la deteccin de vnculos de baja velocidad. Aunque los vnculos de baja velocidad y el acceso remoto estn relacionados, el procesamiento de la directiva de grupo vara en cada uno. Que un equipo est conectado a una LAN no implica necesariamente un vnculo rpido, ni una conexin de acceso remoto implica necesariamente un vnculo de baja velocidad. El valor predeterminado de lo que la directiva de grupo considera un vnculo de baja velocidad es cualquier valor por debajo de 500 Kbps. Puede cambiar este umbral usando la directiva de grupo. En la seccin siguiente, se explican las fases del procesamiento de la directiva de grupo y cmo mide la directiva de grupo la velocidad de los vnculos en Windows Server 2008.
Fases de procesamiento de la directiva de grupo

El procesamiento de la directiva de grupo se realiza en tres fases. En cada fase del proceso, hay un subconjunto de escenarios de procesamiento. Cuando se procesa la directiva de grupo, el servicio de directiva de grupo se itera a travs de cada escenario conforme pasa de una fase a otra. Las fases del procesamiento de la directiva de grupo son: Fase de preprocesamiento: Indica la instancia inicial del procesamiento de la directiva de grupo y recopila informacin necesaria para procesar la directiva de grupo. Fase de procesamiento: Utiliza la informacin recopilada en la fase de preprocesamiento para realizar el ciclo a travs de cada extensin de la directiva de grupo, que aplica la configuracin de directiva al usuario o equipo. Fase de posprocesamiento: Notifica el final de la instancia de procesamiento de la directiva y registra si la instancia finaliz correctamente, se proces con advertencias o no se proces. El servicio de directiva de grupo se basa en una comunicacin correcta con un controlador de dominio para recuperar informacin especfica del equipo y del usuario. Adems, el servicio utiliza el controlador de dominio para detectar los GPO del mbito del equipo o usuario.
Cmo mide la directiva de grupo la velocidad de los vnculos

Para la directiva de grupo de Windows Server 2008, se ha mejorado el proceso de deteccin de vnculos de baja velocidad. En la directiva de grupo de Windows Server 2003, un cliente busca su controlador de dominio usando el Protocolo de mensajes de control de Internet (ICMP) para determinar la disponibilidad del controlador de dominio y la velocidad del vnculo entre el cliente y el controlador de dominio. En Windows Server 2008, el servicio de directiva de grupo determina la velocidad del vnculo usando el servicio Reconocimiento de ubicacin de red (NLA) para muestrear el trfico TCP actual entre el cliente y el controlador de dominio. Este muestreo tiene lugar durante la fase de preprocesamiento. El servicio de directiva de grupo solicita al servicio NLA que inicie el muestreo de ancho de banda TCP en la interfaz de red que hospeda el controlador de dominio poco despus de haber detectado el servicio de directiva de grupo un controlador de dominio. El servicio de directiva de grupo contina con la fase de preprocesamiento comunicndose con el controlador de dominio para detectar la funcin del equipo actual (miembro o controlador de dominio), el usuario que ha iniciado sesin y los GPO del mbito del equipo o usuario. A continuacin, el servicio
de directiva de grupo solicita al servicio NLA que detenga el muestreo del trfico TCP y proporcione un ancho de banda estimado entre el equipo y el controlador de dominio basndose en el muestreo. Como se ha mencionado anteriormente, la directiva de grupo considera de forma predeterminada un vnculo de baja velocidad cuando el muestreo del servicio NLA es ms bajo de 500 Kbps. Puede usar un valor de configuracin de directiva para definir un vnculo de baja velocidad con el fin de aplicar la directiva de grupo, como se explica en las siguientes secciones.
Especificacin de la configuracin de directiva de grupo para la deteccin de vnculos de baja velocidad

Puede controlar parcialmente qu extensiones de la directiva de grupo se procesan a travs de un vnculo de baja velocidad. De forma predeterminada, cuando el procesamiento tiene lugar a travs de un vnculo de baja velocidad, no se procesan todos los componentes de la directiva de grupo. La tabla 5 es una lista de los valores de configuracin predeterminados para procesar la directiva de grupo a travs de vnculos de baja velocidad.
Tabla 5 Valores de configuracin predeterminados para procesar la directiva de grupo a travs de vnculos de baja velocidad
Valor de configuracin Seguridad Valor predeterminado Activado (no se puede deshabilitar) Activado Activado Activado
Seguridad IP EFS Directivas de restriccin de software Inalmbrico Plantillas administrativas
Activado Activado (no se puede deshabilitar) Desactivado Desactivado Desactivado
Instalacin de software Scripts Redireccionamiento de carpetas Programador de paquetes QoS Cuotas de disco Asignaciones de zona de Internet Explorer Mantenimiento de IE Preferencias de directiva de grupo Windows Search Conexiones de impresora implementadas Directiva de grupo 802.3
Activado Desactivado Activado
Activado Activado
Activado Desactivado
Activado
Archivos sin conexin de Microsoft
Activado
Puede usar la directiva de grupo para definir un vnculo de baja velocidad con el fin de aplicar y actualizar la directiva de grupo. El valor predeterminado define una velocidad inferior a 500 Kbps como vnculo de baja velocidad. Para especificar la configuracin de directiva de grupo de deteccin de vnculos de baja velocidad para equipos, cuando edite un GPO use el valor de configuracin de directiva Deteccin de vnculo de baja velocidad de la directiva de grupo, que se encuentra en Configuracin del equipo\Directivas\Plantillas administrativas\Sistema\Directiva de grupo. La unidad de medida para la velocidad de conexin es Kbps. Para configurar este valor de configuracin de directiva para usuarios, use el valor de configuracin de directiva Deteccin de vnculo de baja velocidad de la directiva de grupo en Configuracin de usuario\Directivas\Plantillas administrativas\Sistema\Directiva de grupo. Para perfiles de usuario, el valor de configuracin de directiva Tiempo de espera de conexin de red a baja velocidad para los perfiles de usuario se encuentra en el nodo Configuracin del equipo\Directivas\Plantillas administrativas\Sistema\Perfiles de usuario. Este valor de configuracin de directiva permite a la directiva de grupo comprobar el rendimiento de la red del servidor de archivos que hospeda el perfil de usuario. Este paso es necesario porque los perfiles de usuario se pueden guardar en cualquier lugar y puede que el servidor no admita IP. Debe especificar velocidades de conexin tanto en Kbps como en milisegundos cuando configure este valor de configuracin de directiva. Importante Si la opcin de configuracin de directiva No detectar las conexiones de red lentas est habilitada, se omite la opcin Tiempo de espera de conexin de red a baja velocidad para los perfiles del usuario. Si la opcin de configuracin de directiva Eliminar copias en cach de perfiles mviles est habilitada, no hay copia local del perfil mvil para cargar cuando el sistema detecta una conexin a baja velocidad.
Establecimiento de una directiva de equipo para extensiones del lado cliente para el procesamiento a travs de vnculos de baja velocidad
La directiva de grupo se implementa casi en su totalidad como una serie de extensiones del lado cliente, como seguridad, plantillas administrativas y redireccin de carpetas. Hay una directiva de equipo que permite configurar el comportamiento con vnculos de baja velocidad para cada extensin del lado cliente. Puede usar esta configuracin de directiva para especificar el comportamiento de las extensiones del lado cliente cuando se procesa la directiva de grupo. Hay un mximo de tres opciones para cada configuracin de directiva. La opcin Permitir el procesamiento a travs de una conexin de red de baja velocidad controla el procesamiento de configuracin de directiva a travs de vnculos de baja velocidad. Las otras dos opciones se pueden usar para especificar que la configuracin de directiva no se debe procesar en segundo plano, o que la configuracin de directiva debe actualizarse y aplicarse de nuevo incluso si no ha cambiado. Para obtener ms informacin acerca de la directiva para extensiones del lado cliente, consulte Especificacin de la configuracin de directiva de grupo para la deteccin de vnculos de baja velocidad en esta gua. Algunas extensiones mueven grandes cantidades de datos, por
lo que el procesamiento a travs de un vnculo de baja velocidad puede afectar al rendimiento. De forma predeterminada, solo la configuracin de directiva relacionada con plantillas administrativas y la seguridad se procesa a travs de un vnculo de baja velocidad. Puede configurar la siguiente configuracin de procesamiento de la directiva de grupo: Instalacin de software Seguridad IP Recuperacin EFS Cuota de disco Mantenimiento de Internet Explorer Scripts Redireccionamiento de carpetas Registro Seguridad Con cable Inalmbrico Preferencias de directiva de grupo La configuracin de estos valores de directiva se explica en Control de las extensiones del lado cliente con la directiva de grupo.
Directiva de grupo y conexiones de acceso remoto

El procesamiento de la directiva de grupo a travs de una conexin de acceso remoto difiere del procesamiento a travs de un vnculo de baja velocidad. La directiva de grupo se aplica durante una conexin de acceso remoto del siguiente modo: Cuando los usuarios hacen clic para seleccionar una opcin de conexin remota antes de iniciar sesin en un equipo de destino a travs de la conexin remota, la configuracin de directiva de grupo tanto de usuario como del equipo se aplica si el equipo es miembro del dominio al que pertenece o en el que confa el servidor de acceso remoto. Sin embargo, la configuracin de directiva de instalacin de software basada en el equipo no se procesa y los scripts de inicio basados en el equipo no se ejecutan porque, normalmente, la directiva de equipo se procesa antes de que aparezca la pantalla de inicio de sesin. Sin embargo, para una conexin remota, la aplicacin de la directiva de equipo se completa como una actualizacin en segundo plano durante el proceso de inicio de sesin. Cuando se completa el procesamiento de credenciales en cach y se establece una conexin de acceso remoto, no se aplica la directiva de grupo, excepto durante una actualizacin en segundo plano. La directiva de grupo no se aplica a equipos miembro de un grupo de trabajo, porque la directiva de equipo no se aplica nunca a equipos que estn en un grupo de trabajo.
Control de las extensiones del lado cliente con la directiva de grupo

Varios componentes de la directiva de grupo incluyen extensiones del lado cliente (implementadas normalmente como
archivos .dll) que son responsables de procesar y aplicar la configuracin de directiva de grupo en los equipos de destino. Para cada extensin del lado cliente, el orden de procesamiento de objetos GPO se obtiene de una lista de GPO determinada por el motor de la directiva de grupo durante el procesamiento. Cada extensin del lado cliente procesa la lista resultante de objetos GPO. Hay una directiva de equipo para controlar el comportamiento de cada una de las extensiones del lado cliente de la directiva de grupo. Cada directiva incluye hasta tres opciones, y algunas incluyen ms opciones de configuracin especficas. Para configurar directivas de equipo para extensiones del lado cliente cuando edita un GPO, abra la carpeta Configuracin del equipo\Directivas\Plantillas administrativas\Sistema\Directiva de grupo y haga doble clic en la directiva de la extensin correspondiente. Puede establecer las siguientes opciones de directiva de equipo: Permitir el procesamiento a travs de una conexin de red de baja velocidad. Algunas extensiones transfieren grandes cantidades de datos, por lo que el procesamiento a travs de un vnculo de baja velocidad puede disminuir el rendimiento. De forma predeterminada, solo la configuracin de directiva de plantillas administrativas y seguridad se procesa a travs de un vnculo de baja velocidad. Puede establecer esta directiva para exigir que otras extensiones del lado cliente se procesen tambin a travs de un vnculo de baja velocidad. Para controlar lo que se considera un vnculo de baja velocidad, use el valor de configuracin de directiva de deteccin de vnculos de baja velocidad de la directiva de grupo. Para obtener ms informacin, consulte Especificacin de la configuracin de directiva de grupo para la deteccin de vnculos de baja velocidad en esta gua. No aplicar durante el procesamiento peridico en segundo plano. Windows aplica la directiva de equipo en el inicio y de nuevo cada 90 minutos. Tambin aplica la directiva de usuario cuando el usuario inicia sesin en el equipo y despus, en segundo plano, aproximadamente cada 90 minutos. La opcin No aplicar durante el procesamiento peridico en segundo plano permite invalidar este comportamiento y evitar que la directiva de grupo se ejecute en segundo plano.
Nota Las extensiones Instalacin de software y Redireccin de carpetas procesan la directiva de grupo solo en el inicio y cuando el usuario inicia sesin en la red debido a los riesgos del procesamiento de estas directivas en segundo plano, cuando los usuarios pueden tener aplicaciones y archivos abiertos.
Procesar incluso si los objetos de directiva de grupo no han cambiado. Si los GPO del servidor no cambian, no suele ser necesario aplicarlos continuamente en el equipo de destino, excepto para invalidar posibles cambios locales. Puesto que los usuarios que se ejecutan como administradores locales podran modificar las partes del Registro donde se almacena la configuracin de directiva de grupo, quiz desee volver a aplicar esta configuracin de directiva segn sea necesario durante el proceso de inicio de sesin o durante el procesamiento peridico en segundo plano para devolver el equipo al estado deseado. Por ejemplo, imagine que la directiva de grupo define un conjunto especfico de opciones de seguridad para un archivo. A continuacin, un usuario con credenciales administrativas inicia sesin y cambia esas opciones de seguridad. Quiz desee
habilitar la opcin Procesar incluso si los objetos de directiva de grupo no han cambiado para que las opciones de seguridad especificadas en la directiva de grupo se apliquen de nuevo la prxima vez que se actualice la directiva. Las mismas consideraciones se aplican a las aplicaciones: Con esta opcin habilitada, si la directiva de grupo instala una aplicacin pero el usuario la quita o elimina el icono, la aplicacin se vuelve a anunciar la prxima vez que el usuario inicia sesin en el equipo. De forma predeterminada, la configuracin de directiva de seguridad que distribuye la directiva de grupo se aplica cada 16 horas (960 minutos) incluso si un GPO no ha cambiado. Es posible cambiar este perodo predeterminado en la entrada del Registro MaxNoGPOListChangesInterval en la siguiente subclave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \GPExtensions\{827D319E
El tipo de datos de esta entrada es REG_DWORD y el valor es el nmero de minutos. Precaucin La modificacin incorrecta del Registro puede daar gravemente el sistema. Antes de realizar cambios en el Registro, se recomienda hacer una copia de seguridad de los datos de valor que contenga el equipo.
Directiva de grupo y Sysvol

La informacin de configuracin de directiva de objetos GPO se almacena en dos ubicaciones: Active Directory y la carpeta Sysvol de los controladores de dominio. El contenedor de Active Directory se conoce como un contenedor de directivas de grupo y la carpeta Sysvol contiene la plantilla de directiva de grupo. El contenedor de directivas de grupo contiene atributos que se usan para implementar objetos GPO en el dominio, unidades organizativas y sitios. Tambin contiene una ruta de acceso a la plantilla de directiva de grupo, donde se almacena la mayor parte de la configuracin de directiva de grupo. La informacin almacenada en la plantilla de directiva de grupo incluye configuracin de seguridad, archivos de script e informacin para implementar aplicaciones, preferencias y configuracin de directiva de grupo basada en plantillas administrativas. Las plantillas administrativas (archivos .ADMX) proporcionan informacin de configuracin de directiva de grupo para los elementos que aparecen en Plantillas administrativas. En la directiva de grupo de Windows Server 2008, puede almacenar plantillas administrativas en modo local o centralizado, en Sysvol. Para almacenar plantillas administrativas de forma centralizada, debe crear primero una carpeta PolicyDefinitions en el recurso compartido Sysvol en el controlador de dominio correspondiente y despus copiar en esta carpeta los archivos de plantilla administrativa que desee aplicar en el dominio.
Las actualizaciones de Sysvol se replican en todos los controladores del dominio, lo que produce un aumento del trfico y la carga de red en los controladores de dominio. Por tanto, para minimizar el impacto de esta operacin en el dominio, se recomienda programar la copia de las plantillas administrativas en Sysvol fuera de las horas de oficina de mayor actividad. Los archivos de plantilla administrativa de Windows Server 2008 y Windows Vista se dividen en archivos .ADMX (independientes del idioma) y .ADML (especficos del idioma). Estos dos formatos de archivo reemplazan el formato de archivo .ADM
usado en versiones anteriores de Windows, que usaba un lenguaje de marcado propietario. Los archivos .ADML son archivos del lenguaje ADM basado en XML que se almacenan en una carpeta especfica del idioma. Por ejemplo, los archivos .ADML del idioma ingls (Estados Unidos) se almacenan en la carpeta en-US. De forma predeterminada, la carpeta %Systemroot%\PolicyDefinitions de un equipo local almacena todos los archivos .ADMX y los archivos .ADML de todos los idiomas habilitados en el equipo. Para descargar los archivos de plantilla administrativa de Windows Server 2008, consulte el artculo sobre plantillas administrativas (ADMX) de Windows Server 2008 que encontrar enhttp://go.microsoft.com/fwlink/?LinkId=116434 (puede estar en ingls).
Ventajas del almacenamiento de archivos ADMX en la carpeta Sysvol

La creacin y el uso de un almacn central de plantillas administrativas tiene dos ventajas principales. La primera es una ubicacin de almacenamiento central replicada para plantillas administrativas de dominio. La GPMC que se incluye con Windows Server 2008 usa siempre un almacn central de plantillas administrativas sobre las versiones locales de las plantillas administrativas. Esto permite proporcionar un conjunto de plantillas administrativas aprobadas para todo el dominio. La otra ventaja de almacenar las plantillas administrativas en la carpeta Sysvol es proporcionar plantillas administrativas en una gran variedad de idiomas. Esto es especialmente til para entornos que abarcan diferentes pases o utilizan diferentes idiomas. Por ejemplo, cuando las plantillas administrativas se almacenan en la carpeta Sysvol, un administrador de un dominio puede ver configuracin de directiva de plantillas administrativas en espaol mientras otro administrador del mismo dominio ve la misma configuracin de directiva en francs. Para obtener ms informacin acerca de la administracin de archivos ADMX y cmo crear un almacn central, consulte la gua paso a paso para administrar archivos ADMX de directiva de grupo (http://go.microsoft.com/fwlink/?LinkId=75124) (puede estar en ingls).
Inconvenientes del almacenamiento de archivos ADMX en la carpeta Sysvol

Las ventajas de crear y usar un almacn central de plantillas administrativas son importantes, pero tienen algunos pequeos inconvenientes. GPMC lee todo el conjunto de archivos de plantilla administrativa cuando edita, modela o elabora un informe de un GPO. Por tanto, GPMC debe leer estos archivos de toda la red. Si decide crear un almacn central de plantillas administrativas, debe conectar siempre GPMC al controlador de dominio ms cercano. Nota El trfico de red adicional que se crea desde el almacn central est limitado solo a los usuarios de GPMC. Los clientes que aplican y procesan la directiva de grupo no leen plantillas administrativas.
Actualizacin de Sysvol
En la directiva de grupo de versiones de Microsoft Windows anteriores a Windows Vista, si modifica la configuracin de directiva de plantillas administrativas en los equipos locales, el recurso compartido Sysvol de un controlador del dominio se actualiza automticamente con los nuevos archivos ADM. En la directiva de grupo de Windows Server 2008 y Windows Vista, si modifica la configuracin de directiva de plantillas administrativas en los equipos locales, Sysvol no se actualiza automticamente con los nuevos archivos ADMX o ADML. Este cambio de comportamiento se ha implementado para reducir la
carga de la red y los requisitos de almacenamiento en disco, y para evitar conflictos entre los archivos ADMX y los archivos ADML cuando se modifica la configuracin de directiva de plantillas administrativas en diferentes configuraciones regionales. Para garantizar que las actualizaciones locales se reflejan tambin en Sysvol, debe copiar manualmente los archivos ADMX o ADML actualizados de la carpeta PolicyDefinitions del equipo local a la carpeta Sysvol\PolicyDefinitions del controlador de dominio pertinente.
Cambio del intervalo de actualizacin de la directiva de grupo

Puede cambiar el valor del intervalo de actualizacin de directiva predeterminado usando alguna de estas configuraciones de directiva: Intervalo de actualizacin de la directiva de grupo para equipos, Intervalo de actualizacin de la directiva de grupo para controladores de dominio o Intervalo de actualizacin de la directiva de grupo para usuarios. Estas configuraciones de directiva permiten especificar una frecuencia de actualizacin de 0 a 64.800 minutos (45 das). Importante Si se establece el intervalo de actualizacin en 0 minutos, el equipo intenta actualizar la directiva de grupo cada siete segundos. Puesto que estas actualizaciones pueden interferir en el trabajo de los usuarios y aumentar el trfico en la red, los intervalos de actualizacin muy cortos son apropiados solo en entornos de prueba. Para evitar que la directiva de grupo se actualice mientras un equipo est en uso, puede habilitar la configuracin de directiva Desactivar la actualizacin en segundo plano de Directiva de grupo. Si habilita esta configuracin de directiva, el sistema espera hasta que el usuario actual cierra sesin en el sistema antes de actualizar la configuracin de directiva de grupo.
Intervalo de actualizacin de la directiva de grupo para equipos

Esta configuracin de directiva especifica la frecuencia con que Windows actualiza la directiva de grupo en los equipos en segundo plano. Especifica una frecuencia de actualizacin en segundo plano solo para la configuracin de directiva de grupo de equipo. Windows actualiza la directiva de grupo de equipo en segundo plano cada 90 minutos de forma predeterminada, con un desplazamiento aleatorio de 0 a 30 minutos. Adems de las actualizaciones en segundo plano, la directiva de grupo de equipo se actualiza siempre cuando se inicia el sistema. Esta configuracin de directiva est disponible en Configuracin del equipo\Directivas\Plantillas administrativas\Sistema\Directiva de grupo.
Intervalo de actualizacin de la directiva de grupo para controladores de dominio

Esta configuracin de directiva especifica la frecuencia con que Windows actualiza la directiva de grupo en los controladores de dominio en segundo plano. De forma predeterminada, Windows actualiza la directiva de grupo en los controladores de dominio cada cinco minutos. Esta configuracin de directiva est disponible en Configuracin del equipo\Directivas\Plantillas administrativas\Sistema\Directiva de grupo.
Intervalo de actualizacin de la directiva de grupo para usuarios

Esta configuracin de directiva especifica la frecuencia con que Windows actualiza la directiva de grupo en segundo plano solo para la configuracin de directiva de grupo de usuario. Adems de las actualizaciones en segundo plano, la directiva de grupo de usuario se actualiza siempre cuando el usuario inicia sesin.
Esta configuracin de directiva est disponible en Configuracin de usuario\Directivas\Plantillas administrativas\Sistema\Directiva de grupo.
Desactivar la actualizacin en segundo plano de Directiva de grupo

Esta configuracin de directiva evita que Windows aplique la configuracin de directiva de grupo mientras el equipo est en uso. Afecta a la directiva de grupo para equipos, usuarios y controladores de dominio. Esta configuracin de directiva est disponible en el elemento Configuracin del equipo\Directivas\Plantillas administrativas\Sistema\Directiva de grupo.
Ejecucin de opciones de la lnea de comandos para actualizar la directiva

En un equipo dado, puede actualizar la configuracin de directiva que se implementa en ese equipo con la herramienta Gpupdate.exe. En la tabla 6, se explican los parmetros de Gpupdate.exe. Esta herramienta se usa en los entornos Windows Server 2008, Windows Vista, Windows Server 2003 y Windows XP. La herramienta Gpudate.exe utiliza la siguiente sintaxis:
gpupdate [/target:{computer|user}] [/force] [/wait:valor] [/logoff] [/boot] [/sync]
Tabla 6 Parmetros de Gpudate.exe

Parmetro /target:{computer|user} Descripcin Dependiendo del destino que especifique, Gpupdate.exe procesa la configuracin de directiva del equipo, la configuracin de directiva del usuario actual o ambas. De forma predeterminada, se procesa la configuracin de directiva tanto del equipo como del usuario. Aplica de nuevo toda la configuracin de directiva y omite las optimizaciones de procesamiento. De forma predeterminada, se aplica solo la configuracin de directiva que ha cambiado. Especifica el nmero de segundos que espera el procesamiento de la directiva para finalizar. El valor predeterminado es 600 segundos. Un valor de 0 significa que no hay espera; -1 significa una espera indefinida. Cierra la sesin cuando se completa la actualizacin de la directiva. Esto es necesario para extensiones del lado cliente de la directiva de grupo que no se procesan en un ciclo de actualizacin en segundo plano pero se procesan cuando el usuario inicia sesin, como Instalacin de software y Redireccin de carpetas de usuario. Esta opcin no tiene efecto
/force
/wait:valor
/logoff
si no se llama a extensiones que requieran que el usuario cierre sesin. /boot Reinicia el equipo cuando se completa la actualizacin de la directiva. Esto es necesario para extensiones del lado cliente de la directiva de grupo que no se procesan en un ciclo de actualizacin en segundo plano pero se procesan cuando se inicia el equipo, como Instalacin de software de equipo. Esta opcin no tiene efecto si no se llama a extensiones que requieran reiniciar el equipo. Fuerza que la siguiente aplicacin de directiva en primer plano sea sincrnica. El procesamiento de directiva de grupo en primer plano tiene lugar cuando se inicia el equipo o cuando el usuario inicia sesin. Puede especificar la aplicacin de directiva en primer plano para el usuario, el equipo o ambos con el parmetro /target. Si especifica este parmetro y los parmetros /force y /wait, estos ltimos se omiten. Muestra la Ayuda en el smbolo del sistema.
/sync
/?
Uso de Modelado de directivas de grupo y Resultados de directivas de grupo para evaluar la configuracin de directiva de grupo
Antes de implementar la directiva de grupo en un entorno de produccin, es fundamental determinar los efectos de los valores de directiva que ha configurado, individualmente y combinados. El mecanismo principal para evaluar la implementacin de la directiva de grupo es crear un entorno de ensayo e iniciar sesin con una cuenta de prueba. Esta es la mejor forma de comprender el impacto y la interaccin de todos los valores de configuracin de GPO aplicados. Ensayar la implementacin de la directiva de grupo es fundamental para crear un entorno administrado correcto. Para obtener ms informacin, consulte Ensayo de implementaciones de directiva de grupo en esta gua. Para redes de Active Directory con al menos un controlador de dominio con Windows Server 2008, puede usar Modelado de directivas de grupo en GPMC para simular la implementacin de GPO en cualquier equipo de destino. La herramienta principal para ver la aplicacin real de objetos GPO es Resultados de directivas de grupo en GPMC.
Uso de Modelado de directivas de grupo para simular un conjunto resultante de directivas

El Asistente para modelado de directivas de grupo de GPMC calcula el efecto neto simulado de los GPO. Modelado de directivas de grupo puede simular tambin factores como la pertenencia a grupos de seguridad, evaluacin de filtros WMI y los efectos de mover objetos de usuario o equipo a un contenedor de Active Directory diferente. La simulacin se realiza con un servicio que se ejecuta en los controladores de dominio que ejecutan Windows Server 2008 o Windows Server 2003. Esta configuracin de directiva calculada se notifica en HTML y se muestra en GPMC en la ficha Configuracin del panel de detalles para la consulta seleccionada. Para expandir u
ocultar la configuracin de directiva de cada elemento, haga clic en Ocultar o Mostrar todo para poder ver todos los valores de configuracin de directiva o solo algunos. Para ejecutar Modelado de directivas de grupo, debe tener al menos un controlador de dominio que ejecute Windows Server 2008 o Windows Server 2003, y debe tener el permiso Realizar anlisis de Modelado de directivas de grupo en el dominio o unidad organizativa que contiene los objetos en los que desea ejecutar la consulta. Para ejecutar el asistente, en el rbol de consola de GPMC, haga clic con el botn secundario en Modelado de directivas de grupo (o en un contenedor de Active Directory) y, a continuacin, haga clic en Asistente para modelado de directivas de grupo. Si ejecuta el asistente desde un contenedor de Active Directory, el asistente completa los campos Contenedor para el usuario y el equipo con el nombre distintivo del protocolo ligero de acceso a directorios (LDAP) de ese contenedor. Una vez completado el asistente, se muestran los resultados como si fuesen de un solo GPO. Tambin se guardan como una consulta representada con un elemento nuevo en GPMC, en Modelado de directivas de grupo. Bajo el encabezado GPO prevalente, la pantalla muestra el GPO responsable de cada configuracin de directiva. Tambin puede ver informacin de precedencia ms detallada (por ejemplo, los GPO que intentaron establecer la configuracin de directiva pero no lo lograron); para ello, haga clic con el botn secundario en el elemento de consulta y, a continuacin, haga clic en Vista avanzada. Al hacer esto, se abre el complemento Conjunto resultante de directivas. Cuando vea las propiedades de la configuracin de directivas en Conjunto resultante de directivas, tenga en cuenta que cada configuracin de directiva tiene una ficha Precedencia. Recuerde que Modelado de directivas de grupo no incluye una evaluacin de los GPO locales. Por tanto, en algunos casos, puede haber una diferencia entre la simulacin y los resultados reales. Para guardar los resultados del modelado, haga clic con el botn secundario en la consulta y, a continuacin, haga clic en Guardar informe. Nota Windows Server 2008 y Windows Vista incluyen una nueva configuracin de directiva, Desactivar el procesamiento de objetos de directiva de grupo local, que permite deshabilitar el procesamiento de la directiva de grupo local. Esta configuracin de directiva se encuentra en Configuracin del equipo\Directivas\Plantillas administrativas\Sistema\Directiva de grupo.
Uso de resultados de directivas de grupo para determinar el conjunto resultante de directivas

Use el Asistente para Resultados de directivas de grupo con el fin de determinar la configuracin de directiva de grupo que es efectiva para un usuario o equipo mediante la obtencin de datos RSoP del equipo de destino. A diferencia de Modelado de directivas de grupo, Resultados de directivas de grupo revela la configuracin real de la directiva de grupo aplicada en el equipo de destino. El equipo de destino debe ejecutar Windows XP Professional o posterior. La configuracin de directiva se notifica en HTML y se muestra, en la ventana de explorador de GPMC, en las fichas Resumen y Configuracin del panel de detalles de la consulta seleccionada. Para expandir y contraer la configuracin de directiva, bajo cada elemento haga clic en Ocultar o Mostrar todo para ver todos los valores de configuracin de la directiva o solo algunos. Para obtener acceso remoto a los datos de Resultados de directivas de grupo de un usuario o equipo, debe tener el permiso deacceso remoto a datos de Resultados de directiva de grupo en el dominio o unidad organizativa que contiene el usuario o equipo; o bien, debe ser miembro del
grupo Administradores local en el equipo correspondiente y tener conectividad de red con el equipo de destino. Para ejecutar el asistente, haga clic con el botn secundario en el elemento Resultados de directivas de grupo y, a continuacin, haga clic en Asistente para Resultados de directivas de grupo. Una vez completado el asistente, GPMC crea un informe que muestra los datos RSoP del usuario o equipo que especific en el asistente. Bajo el encabezado GPO prevalente, la pantalla muestra el GPO responsable de cada valor de configuracin de directiva en la ficha Configuracin. Para guardar los resultados, haga clic con el botn secundario en la consulta y, a continuacin, haga clic Guardar informe.
Uso de Gpresult.exe para evaluar la configuracin de directiva

Ejecute Gpresult.exe en el equipo local para obtener los mismos datos que se pueden obtener con el Asistente para Resultados de directivas de grupo en GPMC. De forma predeterminada, Gpresult.exe devuelve la configuracin de directiva de grupo efectiva en el equipo en el que se ejecuta. Para Windows Server 2008 y Windows Vista con Service Pack 1, Gpresult.exe usa la siguiente sintaxis:
gpresult [/s <equipo> [/u <dominio>\<usuario> /p <contrasea>]] [/scope {user|computer}] [/user
En la tabla 7, se describen los parmetros de Gpresult.exe.
Tabla 7 Parmetros de Gpresult.exe

Parmetro /s <equipo> Descripcin Especifica el nombre o la direccin IP de un equipo remoto. (No use barras diagonales inversas). El valor predeterminado es el equipo local. Ejecuta el comando usando los permisos de cuenta del usuario especificado en <Usuario> o <Dominio\Usuario>. El valor predeterminado es usar los permisos del usuario que tiene iniciada una sesin actualmente en el equipo que emite el comando. Especifica la contrasea de la cuenta de usuario especificada con el parmetro /u. Muestra los resultados del usuario o del equipo. Los valores vlidos para el parmetro /scope son user o computer. Si omite el parmetro /scope, Gpresult muestra la configuracin de directiva tanto del usuario como del equipo.
/u <dominio>\<usuario>
/p <contrasea>
/scope {user | computer}
/user <nombreDeUsuarioDeDestino>
Especifica el nombre de usuario cuyos datos RSoP se van a mostrar. Muestra un resumen de datos RSoP. Especifica que la salida muestre informacin de directiva detallada. Especifica que la salida muestre toda la informacin disponible acerca de la directiva de grupo. Puesto que este parmetro produce ms informacin que el parmetro /v, redirija la salida a un archivo de texto cuando use este parmetro (por ejemplo, gpresult /z >directiva.txt). Guarda el informe con formato XML en la ubicacin y con el nombre de archivo especificados con el parmetro <nombreDeArchivo> (vlido en Windows Server 2008 y Windows Vista SP1). Guarda el informe con formato HTML en la ubicacin y con el nombre de archivo especificados con el parmetro <nombreDeArchivo> (vlido en Windows Server 2008 y Windows Vista SP1). Fuerza que Gpresult sobrescriba el nombre de archivo especificado con el parmetro /x o /h. Muestra la Ayuda en el smbolo del sistema.
/r
/v
/z
/x <nombreDeArchivo>
/h <nombreDeArchivo>
/f
/?
Para ejecutar Gpresult.exe en el equipo

1. Abra el smbolo del sistema con privilegios elevados. Para abrir un smbolo del sistema con privilegios elevados, haga clic en Inicio, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. 2. En el smbolo del sistema, escriba gpresult /h gpresult.html /f 3. En el smbolo del sistema, escriba Start gpresult.html para ver el archivo.
Copia de seguridad, restauracin, migracin y copia de objetos GPO

GPMC proporciona mecanismos para realizar copias de seguridad, restaurar, migrar y copiar los GPO existentes. Estas capacidades son muy importantes para el mantenimiento de las implementaciones de directiva de grupo en caso de error o desastre. Evitan la necesidad de crear de nuevo manualmente
los GPO perdidos o daados, y repetir las fases de planeamiento, prueba e implementacin. Una parte del plan en curso de las operaciones de directiva de grupo debera incluir copias de seguridad peridicas de todos los GPO. Informe a todos los administradores de directiva de grupo sobre cmo usar GPMC para restaurar los GPO. GPMC permite tambin copiar e importar objetos GPO, dentro del mismo dominio y entre dominios diferentes. Puede usar GPMC para migrar un GPO existente; por ejemplo, desde un dominio existente a un dominio recin implementado. Puede copiar objetos GPO o importar la configuracin de directiva de un GPO en otro GPO. Esto permite ahorrar tiempo y problemas, porque permite reutilizar el contenido de los GPO existentes. Copiar objetos GPO permite pasar directamente de la fase de ensayo a produccin, si ha configurado las relaciones de confianza adecuadas entre los entornos. Importar objetos GPO permite transferir la configuracin de directiva desde la copia de seguridad de un GPO a un GPO existente, y es especialmente til en situaciones donde no existe una relacin de confianza entre los dominios de origen y de destino. Si desea reutilizar objetos GPO existentes, la funcin de copia permite tambin mover cmodamente objetos GPO de un entorno de produccin a otro.
Uso de GPMC para trabajar con objetos GPO

Para crear copias de seguridad de objetos GPO, debe tener al menos acceso de lectura a los GPO y acceso de escritura a la carpeta donde se almacenarn las copias de seguridad. Consulte la figura 6 para identificar los elementos a los que se hace referencia en los procedimientos siguientes.
Uso de GPMC para crear y ver copias de seguridad de objetos GPO

La operacin de copia de seguridad crea una copia de seguridad de un GPO de produccin en el sistema de archivos. La ubicacin de la copia de seguridad puede ser cualquier carpeta en la que tenga acceso de escritura. Tras crear copias de seguridad de objetos GPO, debe usar GPMC para mostrar y manipular el contenido de la carpeta de copias de seguridad, ya
sea mediante la interfaz de usuario de GPMC o mediante programacin usando un script. No interacte con objetos GPO archivados directamente a travs del sistema de archivos. Una vez que se han creado las copias de seguridad de los GPO, use GPMC para procesar los GPO archivados mediante las operaciones Importar y Restaurar. Nota Puede crear copias de seguridad de varias instancias del mismo GPO en la misma ubicacin porque GPMC identifica de forma nica cada instancia de copia de seguridad y proporciona un mecanismo que permite elegir la instancia del GPO archivado con la que desea trabajar. Por ejemplo, puede elegir mostrar solo las copias de seguridad ms recientes cuando vea el contenido de una carpeta de copias de seguridad a travs de GPMC. Esto puede ser til si se realizan copias de seguridad de un GPO despus de cambiarlo y, ms adelante, es necesario restaurar una versin anterior de dicho GPO.
Para realizar copias de seguridad de todos los GPO de un dominio

1. En el rbol de consola de GPMC, expanda el bosque o dominio que contiene los GPO de los que desea realizar una copia de seguridad. 2. Haga clic con el botn secundario en Objetos de directiva de grupo y, a continuacin, haga clic en Hacer copia de seguridad de todos. 3. En el cuadro de dilogo Copia de seguridad Objeto de directiva de grupo, especifique la ruta de acceso de la ubicacin donde desea almacenar las copias de seguridad de los GPO. O bien, haga clic en Examinar, localice la carpeta en la que desea almacenar las copias de seguridad de los GPO y haga clic en Aceptar. 4. Escriba una descripcin de los GPO de los que desea realizar copias de seguridad y haga clic en Hacer copia de seguridad. 5. Una vez completada la operacin de copia de seguridad, aparece un resumen que enumera los GPO de los que se cre la copia de seguridad correctamente y los posibles GPO de los que no se cre copia de seguridad. 6. Haga clic en Aceptar.
Para crear una copia de seguridad de un GPO especfico

1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque o dominio que contiene el GPO del que desea crear la copia de seguridad. 2. Haga clic con el botn secundario en el GPO del que desea crear una copia de seguridad y, a continuacin, haga clic en Hacer copia de seguridad. 3. En el cuadro de dilogo Copia de seguridad Objeto de directiva de grupo, especifique la ruta de acceso de la ubicacin donde desea almacenar la copia de seguridad del GPO. O bien, haga clic en Examinar, localice la carpeta en la que desea almacenar la copia de seguridad del GPO y haga clic en Aceptar. 4. Escriba una descripcin del GPO del que desea realizar una copia de seguridad y haga clic en Hacer copia de seguridad. 5. Una vez completada la operacin de copia de seguridad, un resumen indica si la copia de seguridad se realiz correctamente o no.
6. Haga clic en Aceptar.
Para ver la lista de copias de seguridad de objetos GPO

1. En el rbol de consola de GPMC, expanda el bosque o dominio que contiene los GPO de los que desea crear copias de seguridad. 2. Haga clic con el botn secundario en Objetos de directiva de grupo y, a continuacin, haga clic en Administrar copias de seguridad. 3. En el cuadro de dilogo Administrar copias de seguridad, especifique la ruta de acceso de la ubicacin donde almacen las copias de seguridad de objetos GPO que desea ver; o bien, haga clic en Examinar, localice la carpeta que contiene las copias de seguridad de los GPO y haga clic en Aceptar. 4. Para especificar que se muestre solo la versin ms reciente de los GPO en la lista Objetos de directiva de grupo con copia de seguridad, active la casilla Mostrar solo la versin ms reciente de cada GPO. Haga clic en Cerrar.
Importante Debe proteger las copias de seguridad de objetos GPO y asegurarse de que solo los administradores autorizados tienen permiso de acceso a la carpeta en la que guarda los GPO. Use permisos de seguridad en el sistema de archivos donde se crean las copias de seguridad.
Uso de GPMC para restaurar GPO

Tambin puede restaurar objetos GPO. Esta operacin restaura un GPO del que se ha creado una copia de seguridad en el mismo dominio desde donde se cre la copia de seguridad. No puede restaurar un GPO a partir de una copia de seguridad en un dominio diferente del dominio original del GPO.
Para restaurar una versin anterior de un GPO existente

1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque o dominio que contiene el GPO que desea restaurar. 2. Haga clic con el botn secundario en el GPO del que desea restaurar una versin anterior y, a continuacin, haga clic en Restaurar desde copia de seguridad. 3. Cuando se abra el Asistente para restaurar objeto de directiva de grupo, siga las instrucciones del asistente y haga clic en Finalizar. 4. Una vez completada la operacin de restauracin, un resumen indica si la restauracin se realiz correctamente o no. Haga clic en Aceptar.
Para restaurar un GPO eliminado

1. En el rbol de consola de GPMC, expanda el bosque o dominio que contiene el GPO que desea restaurar. 2. Haga clic con el botn secundario en Objetos de directiva de grupo y, a continuacin, haga clic en Administrar copias de seguridad. 3. En el cuadro de dilogo Administrar copias de seguridad, haga clic en Examinar y localice el archivo que contiene las copias de seguridad de los GPO. 4. En la lista Objetos de directiva de grupo con copia de seguridad, haga clic en el GPO que desea restaurar y, a
continuacin, en Restaurar. 5. Cuando se le pida que confirme la operacin de restauracin, haga clic en Aceptar. 6. Una vez completada la operacin de restauracin, un resumen indica si la restauracin se realiz correctamente o no. Haga clic en Aceptar. Haga clic en Cerrar.
Copia de seguridad y restauracin de datos de filtros WMI, configuraciones de directiva IPsec y vnculos a unidades organizativas
Los vnculos a filtros WMI y directivas IPsec se almacenan en objetos GPO y se incluyen en las copias de seguridad de los GPO. Cuando se restaura un GPO, se mantienen esos vnculos si los objetos subyacentes existen an en Active Directory. Sin embargo, los vnculos con unidades organizativas no forman parte de los datos de copia de seguridad y no se restauran durante una operacin de restauracin. Las configuraciones de directiva que se almacenan fuera de los GPO, como los datos de filtros WMI y las configuraciones de directiva IPsec no se incluyen en las copias de seguridad ni se restauran durante estos procesos. Para crear una copia de seguridad y restaurar un nmero reducido de filtros WMI, haga clic en el elemento Filtros WMI en GPMC o en un filtro WMI especfico bajo este elemento y, a continuacin, use los comandos Importar o Exportar segn sea necesario. Para obtener informacin sobre cmo importar o exportar un filtro WMI, consulte los temas sobre cmo importar un filtro WMI y cmo exportar un filtro WMI en la Ayuda de GPMC. Puesto que solo puede importar o exportar un solo filtro WMI al mismo tiempo con estos comandos, se recomienda este mtodo solo si necesita crear una copia de seguridad o restaurar algunos filtros WMI. Para crear una copia de seguridad y restaurar un gran nmero de filtros WMI, use la herramienta de la lnea de comandos Ldifde, como se explica en el artculo sobre importacin y exportacin de filtros WMI que puede encontrar en http://go.microsoft.com/fwlink/?linkid=109519 (puede estar en ingls). Nota Ldifde es una herramienta de la lnea de comandos integrada en Windows Server 2008. Est disponible si tiene instalada la funcin de servidor AD DS o Active Directory Lightweight Directory Services (AD LDS). Para usar Ldifde, debe ejecutar el comando Ldifde desde un smbolo del sistema con derechos elevados. Para obtener ms informacin, consulte Ldifde (http://go.microsoft.com/fwlink/?LinkId=110104) (puede estar en ingls). Al asignar una directiva IPsec a un GPO, se registra un puntero a la directiva IPsec que est dentro del atributo ipsecOwnersReference del GPO. El GPO en s contiene solo una referencia de nombre distintivo (DN) LDAP a la directiva IPsec. La directiva de grupo se usa solo para entregar la asignacin de directiva al servicio IPsec del equipo. El servicio IPsec del equipo recupera despus la directiva IPsec desde Active Directory, la almacena en cach en modo local y la mantiene actual usando un intervalo de sondeo especificado por la propia directiva IPsec. Para crear una copia de seguridad y restaurar configuraciones de directiva IPsec, debe usar los comandos Exportar directivas e Importar directivas en el Complemento de administracin de las directivas de seguridad de IP. El comando Exportar directivas permite exportar todas las directivas IPsec locales y guardarlas en un archivo con la extensin .ipsec.
Uso de GPMC para copiar GPO e importar la

configuracin GPO
GPMC permite copiar GPO, dentro del mismo dominio o entre dominios diferentes, e importar la configuracin de directiva de grupo de un GPO a otro. Realice estas operaciones como parte del proceso de ensayo antes de la implementacin en el entorno de produccin. Estas operaciones son tiles tambin para migrar GPO de un entorno de produccin a otro. Si bien la coleccin de valores de configuracin de directiva que componen un GPO son una sola entidad en sentido lgico, los datos de un solo GPO se almacenan en varias ubicaciones y con una gran variedad de formatos. Algunos datos estn en Active Directory y otros se almacenan en la carpeta Sysvol de los controladores de dominio. Esto significa que no puede simplemente copiar objetos GPO copiando una carpeta de un equipo a otro. Sin embargo, GPMC proporciona funcionalidad integrada que permite realizar esta operacin de un modo seguro y relativamente sencillo. Una operacin de copia copia un GPO actual existente en el dominio de destino deseado. Siempre se crea un nuevo GPO como parte de este proceso. El dominio de destino puede ser cualquier dominio de confianza en el que tenga el derecho de crear nuevos GPO. Simplemente agregue los bosques y dominios deseados en GPMC y use la consola para copiar y pegar (o arrastrar y colocar) los GPO deseados de un dominio a otro. Para copiar un GPO, debe tener permiso para crear GPO en el dominio de destino. Cuando copie GPO, puede copiar tambin la lista de control de acceso discrecional (DACL) en el GPO, adems de la configuracin de directiva del GPO. Esto es til para garantizar que el nuevo GPO que se crea como parte de la operacin de copia tenga el mismo filtro de seguridad y las mismas opciones de delegacin que el GPO original. Importar un GPO permite transferir configuracin de directiva de la copia de seguridad de un GPO a un GPO existente. Al importar un GPO, se transfiere solo la configuracin del GPO; no se modifica el filtrado de seguridad existente ni los vnculos del GPO de destino. Importar un GPO es til para migrar GPO entre entornos que no son de confianza, porque solo necesita acceso a la copia de seguridad del GPO, no al GPO de produccin. Puesto que una operacin de importacin modifica solo la configuracin de directiva, son suficientes permisos de edicin en el GPO de destino para realizar la operacin. Cuando copia o importa un GPO, puede especificar una tabla de migracin, si el GPO contiene entidades de seguridad o rutas de acceso UNC que podra ser necesario actualizar cuando se copien en el dominio de destino. Use el Editor de tablas de migracin (MTE) para crear y editar tablas de migracin. Las tablas de migracin se describen en la siguiente seccin, Uso de tablas de migracin.
Para copiar un GPO

1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y dominio que contienen el GPO que desea copiar. 2. Haga clic con el botn secundario en el GPO que desea copiar y, a continuacin, haga clic en Copiar. 3. Efecte uno de los siguientes pasos: Para poner la copia del GPO en el mismo dominio que el GPO de origen, haga clic con el botn secundario en Objetos de directiva de grupo y, a continuacin, haga clic en Pegar. Para poner la copia del GPO en un dominio diferente (en el mismo bosque o en otro diferente), expanda el dominio de destino, haga clic con el botn secundario en Objetos de directiva de grupo y, a continuacin, haga clic en Pegar.
Si la operacin de copia es dentro del mismo dominio, haga clic en Usar permisos predeterminados para nuevos GPO o Conservar permisos existentes y, a continuacin, en Aceptar. 4. Si la operacin de copia es entre dominios diferentes, siga las instrucciones del asistente que se abre y haga clic en Finalizar.
Para importar configuracin de directiva de la copia de seguridad de un GPO a otro GPO

1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y dominio que contienen el GPO en el que desea importar la configuracin de directiva. 2. Haga clic con el botn secundario en el GPO en el que desea importar la configuracin de directiva y, a continuacin, haga clic en Importar configuracin. 3. Cuando se abra el Asistente para importar configuraci n, siga las instrucciones del asistente y haga clic en Finalizar. 4. Una vez completada la operacin de importacin, un resumen indica si la importacin se realiz correctamente o no. Haga clic en Aceptar.
Uso de tablas de migracin

Puesto que algunos datos de un GPO son especficos del dominio y pueden no ser vlidos cuando se copien directamente en otro dominio, GPMC proporciona tablas de migracin. Una tabla de migracin es una tabla sencilla que especifica una asignacin entre un valor de origen y un valor de destino. En la figura 7, se muestra una tabla de migracin en el editor MTE de GPMC.
Una tabla de migracin convierte, durante la operacin de copia o importacin, las referencias de un GPO en nuevas referencias que funcionarn en el dominio de destino. Puede usar tablas de migracin para actualizar entidades de seguridad y rutas de acceso UNC con los nuevos valores como parte de la operacin de importacin o copia. Las tablas de migracin se almacenan con la extensin de nombre de archivo .migtable y son archivos XML. No es necesario conocer el lenguaje XML para crear o editar tablas de migracin; GPMC proporciona el editor MTE para manipular tablas de migracin. Una tabla de migracin consta de una o varias entradas de asignacin. Cada entrada de asignacin consta de un tipo de origen, una referencia de origen y una referencia de destino. Si especifica una tabla de migracin cuando realice una operacin de importacin o copia, cada referencia a la entrada de origen se reemplaza por la entrada de destino cuando se escribe la configuracin de directiva en el GPO de destino. Puesto que utiliza una tabla de migracin, asegrese de que las referencias de destino especificadas en la tabla de migracin ya existen. Los siguientes elementos pueden contener entidades de seguridad y se pueden modificar usando una tabla de migracin: Configuracin de directiva de seguridad de los siguientes tipos: Asignaciones de derechos de usuario
Grupos restringidos Servicios del sistema Sistema de archivos Registro Configuracin de directiva de redireccin de carpetas avanzada Lista DACL del GPO, si se conserva durante una operacin de copia Lista DACL de los objetos de instalacin de software, que solo se conserva si se especifica la opcin para copiar la lista DACL del GPO Asimismo, los siguientes elementos pueden contener rutas de acceso UNC, que podra ser necesario actualizar con los nuevos valores como parte de la operacin de importacin o copia, puesto que los servidores del dominio original pueden no ser accesibles desde el dominio al que se va a migrar el GPO: Configuracin de directiva de grupo de redireccin de carpetas Configuracin de directiva de grupo de instalacin de software Referencias a scripts (como scripts para iniciar el equipo o iniciar sesin) que estn almacenadas fuera del GPO de origen GPO. El script en s no se copia como parte de la operacin de copia o importacin del GPO, a menos que est almacenado en el GPO de origen. Para obtener ms informacin acerca del uso de tablas de migracin, consulte Ensayo de implementaciones de directiva de grupo en esta gua.
Mantenimiento de la directiva de grupo

Tras la implementacin, puede ser necesario realizar un mantenimiento y una modificacin rutinarios de la implementacin de la directiva de grupo conforme cambia la organizacin y sus necesidades, y conforme aumenta su experiencia con la directiva de grupo. Puede establecer procedimientos de control para crear, vincular, editar, importar configuracin de directiva, crear copias de seguridad y restaurar objetos GPO con el fin de minimizar las llamadas al servicio de soporte tcnico causadas por implementaciones de directiva de grupo mal planeadas. Tambin puede simplificar la solucin de problemas de objetos GPO y reducir el costo total de propiedad de equipos en la red. Al establecer mecanismos de control de GPO, puede crear objetos GPO que: Sean conformes a estndares corporativos. Garanticen que los valores de configuracin de directiva no crean conflictos con los establecidos por otros. Para facilitar la solucin de problemas de objetos GPO, puede usar el Asistente para Resultados de directivas de grupo de GPMC para identificar posibles errores de implementacin de la directiva de grupo. Para obtener ms informacin acerca de esta herramienta, consulte Uso de Modelado de directivas de grupo y Resultados de directivas de grupo para evaluar la configuracin de directiva de grupo en esta gua. Tambin puede usar el Asistente para modelado de directivas de grupo de GPMC para evaluar las consecuencias de la nueva
configuracin de directiva de grupo antes de implementarla en el entorno de produccin. Siempre que implemente nuevas soluciones de tecnologa, como redes inalmbricas, debe revisar la configuracin de directiva de grupo para garantizar la compatibilidad con la nueva tecnologa. Para facilitar la administracin de varias tecnologas, la directiva de grupo ofrece valores de configuracin de directiva como los de Directivas de red inalmbrica (IEEE 802.11) (que se encuentra en Configuracin del equipo\Directivas\Configuracin de Windows\Configuracin de seguridad) y Terminal Services (que se encuentra en Configuracin del equipo\Directivas\Plantillas administrativas\Componentes de Windows y Configuracin de usuario\Directivas\Plantillas administrativas\Componentes de Windows), as como valores de configuracin de directiva para muchas otras tecnologas. Modificar la configuracin de directiva de grupo puede tener consecuencias importantes. Cuando realice el mantenimiento de la directiva de grupo, debe tomar las precauciones razonables para probar los cambios propuestos y evaluar los efectos en un entorno de ensayo antes de la implementacin.
Consideraciones de directiva de grupo para cambiar el nombre de un dominio

Los nombres de dominio son parte fundamental del correcto funcionamiento de una implementacin de directiva de grupo. En la familia de Windows Server 2008, puede cambiar el nombre de un dominio usando las herramientas para cambiar nombres de dominio (Rendom.exe y GPfixup.exe), que se incluyen con Windows Server 2008. Estas herramientas proporcionan un mtodo seguro y admitido para cambiar el nombre de uno o varios dominios (y particiones de directorio de aplicaciones) en un bosque de Active Directory. Importante No olvide crear una copia de seguridad de los GPO mediante GPMC una vez que haya cambiado el nombre del dominio. Despus de cambiar el nombre de un dominio, no puede restaurar copias de seguridad realizadas antes del cambio de nombre. Cambiar el nombre de uno o varios dominios es un proceso complejo que requiere un planeamiento a conciencia y un buen entendimiento de los procedimientos de cambio de nombres de dominio. Tambin debe modificar los GPO afectados para que funcionen correctamente. Para ello, use la herramienta Gpfixup.exe, que se incluye con Windows Server 2008. Gpfixup.exe repara los GPO y las referencias de GPO en cada dominio al que se le ha cambiado el nombre. Es necesario reparar los GPO y los vnculos de directiva de grupo despus de la operacin de cambio de nombre del dominio para actualizar el nombre de dominio antiguo incrustado en estos objetos GPO y sus vnculos. Importante Para obtener ms informacin acerca del proceso de cambio de nombres de dominio, consulte el sitio TechCenter de Windows Server 2008 (http://go.microsoft.com/fwlink/? LinkId=100876) (puede estar en ingls).
Uso de scripts para administrar la directiva de grupo

Puede descargar scripts de ejemplo que usan las interfaces de GPMC y crear scripts que ejecuten muchas de las operaciones admitidas en GPMC. Los scripts de ejemplo de GPMC constituyen la base de un kit de herramientas de scripts que puede usar para solucionar problemas administrativos especficos. Por ejemplo, puede ejecutar consultas para buscar
todos los GPO de un dominio que tengan nombres duplicados, o para generar una lista de todos los GPO de un dominio cuya configuracin de directiva est deshabilitada o parcialmente deshabilitada. Los scripts muestran tambin objetos y mtodos de scripting fundamentales para proporcionar informacin general de las numerosas tareas administrativas que puede realizar con GPMC. Para obtener informacin acerca de estos scripts, consulte el artculo sobre scripts de ejemplo de la Consola de administracin de directivas de grupo que encontrar en http://go.microsoft.com/fwlink/?LinkId=109520 (puede estar en ingls). De forma predeterminada, si descarga scripts de ejemplo de GPMC, se instalan en la carpeta Archivos de programa\Microsoft Group Policy\GPMC Sample Scripts. Los scripts de ejemplo muestran la salida en la ventana de comando y deben ejecutarse con Cscript.exe. Si Cscript.exe no es el host de scripting predeterminado, deber especificar de forma explcita Cscript.exe en la lnea de comandos. Por ejemplo, escriba d: \Archivos de programa\Microsoft Group Policy\GPMC Sample Scripts>cscript ListAllGPOs.wsf. Para hacer que Cscript.exe sea el host de scripting predeterminado, escriba cscript //h:cscript en la lnea de comandos. Muchos de los scripts de ejemplo se basan en una biblioteca de funciones auxiliares comunes contenidas en el archivo Lib_CommonGPMCFunctions.js. Si copia estos scripts en otra ubicacin, debe copiar tambin este archivo de biblioteca en esa ubicacin para que los scripts de ejemplo funcionen.
Ensayo de implementaciones de directiva de grupo

La directiva de grupo de Windows Server 2008 proporciona eficaces funciones para implementar cambios de configuracin en una organizacin. Al igual que con cualquier otro cambio dentro de la organizacin, las implementaciones de directiva de grupo y las actualizaciones continuas requieren planearlas y probarlas detenidamente para garantizar una alta disponibilidad y una infraestructura segura. Las caractersticas que incluye GPMC permiten crear un proceso de implementacin de prueba, ensayo y produccin que garantice la predictibilidad y la coherencia durante las implementaciones de directiva de grupo.
Informacin general sobre el ensayo de directivas de grupo

Directiva de grupo es una eficaz herramienta para configurar los sistemas operativos Windows Server 2008, Windows Vista, Windows Server 2003 y Windows XP en una organizacin. Esta capacidad de modificar configuraciones de cientos, e incluso miles, de equipos requiere buenas prcticas de administracin de cambios para garantizar que los cambios realizados en un GPO producen los resultados esperados para los destinos seleccionados, ya sean usuarios o equipos. La mayora de las organizaciones tienen procesos de administracin de cambios que garantizan que las nuevas configuraciones o implementaciones en entornos de produccin son sometidos a pruebas rigurosas en un entorno de prueba antes de la implementacin en el entorno de produccin. En muchos procesos de administracin de cambios, las organizaciones diferencian entre un entorno de prueba, que se usa para probar los cambios, y un entorno de ensayo, que es un entorno puro que se asemeja al entorno de produccin y es la ltima prueba a la que se somete un cambio antes de implementarlo en el entorno de produccin. En esta seccin, los trminos prueba y ensayo se usan indistintamente, sin diferenciarlos como entornos fsicos. No obstante, puede usar las tcnicas descritas en esta seccin para crear entornos de prueba y de ensayo separados si sus procesos de administracin de cambios lo requieren. Es importante tener procesos de administracin de cambios
eficaces para garantizar una correcta implementacin de los cambios de directiva de grupo, porque la directiva de grupo puede afectar a todo, desde la configuracin del Registro a la configuracin de seguridad pasando por el software implementado en un equipo. Adems de los numerosos valores de configuracin que alberga la directiva de grupo, los GPO se pueden vincular a un gran nmero de mbitos diferentes y su efecto se puede filtrar por usuarios, equipos o grupos de seguridad. La capacidad de ensayar objetos GPO en un entorno de prueba y probar despus los diferentes efectos antes de implementarlos en un entorno de produccin es crucial para garantizar un funcionamiento fiable y slido de la infraestructura basada en Windows. Crear un entorno de ensayo es fundamental para toda implementacin correcta de directiva de grupo en una infraestructura basada en Active Directory. Hay varias opciones que puede elegir para crear este entorno. Estas opciones se habilitan mediante las caractersticas de GPMC. Combine las caractersticas basadas en GPMC con scripts para crear un entorno de ensayo que simule el entorno de produccin. A continuacin, use el entorno de ensayo para probar objetos GPO nuevos o modificados. Una vez validados esos GPO, use GPMC para migrarlos a los dominios de produccin.
Proceso de ensayo de directivas de grupo

El proceso de ensayo de directivas de grupo implica crear un entorno de ensayo que simule el entorno de produccin, probar la nueva configuracin de directiva de grupo en el entorno de ensayo e implementar despus esa configuracin en el entorno de produccin. El mtodo de implementacin especfico que use depende de la configuracin del entorno de ensayo. En principio, ensamblar un entorno de ensayo para la directiva de grupo es simplemente una cuestin de identificar el hardware disponible que se puede usar para crear una infraestructura similar al entorno de produccin, y configurar despus la estructura lgica correspondiente. Despus puede usar las herramientas de GPMC para importar la configuracin de directiva de grupo de produccin en el entorno de ensayo. Una vez creado el entorno, probar la directiva de grupo implica implementar los cambios y medir su efecto en usuarios y equipos de prueba que simulen usuarios y equipos de produccin. Tras haber validado los cambios, use de nuevo las herramientas de GPMC para migrar la configuracin de directiva de grupo nueva o modificada al entorno de produccin. En el caso de una implementacin de forma continua, es necesario realizar un mantenimiento de la directiva de grupo y continuar evaluando los cambios. Por tanto, es necesario mantener el entorno de ensayo sincronizado con el entorno de produccin a lo largo del tiempo. Use las herramientas de GPMC, como los scripts de ejemplo y las caractersticas de copia de seguridad, importacin y copia para mantener el entorno de ensayo a lo largo del tiempo. Nota La virtualizacin basada en hipervisor de Windows Server 2008 puede facilitar la creacin y prueba de una gran variedad de escenarios de directiva de grupo. El uso de mquinas virtuales permite crear un entorno independiente y seguro que se parezca de forma precisa al funcionamiento de los servidores y clientes fsicos. Para obtener informacin acerca de la virtualizacin en Windows Server 2008, consulte el artculo sobre virtualizacin y consolidacin que encontrar en http://go.microsoft.com/fwlink/?LinkId=109521 (puede estar en ingls).
Capacidades de ensayo y mantenimiento de implementaciones

de GPMC
GPMC incluye varias caractersticas para ensayar y mantener la directiva de grupo: El Asistente para modelado de directivas de grupo para planear implementaciones de directiva de grupo. El Asistente para Resultados de directivas de grupo para ver la interaccin de los GPO y para la solucin de problemas. La posibilidad de usar una sola interfaz de Microsoft Management Console (MMC), GPMC, para administrar la directiva de grupo en toda la organizacin. Las operaciones de administracin incluyen importacin y exportacin, copia y copia de seguridad, y restauracin de GPO. Para ensayar la directiva de grupo, las caractersticas ms importantes de GPMC son copia de seguridad, importacin, copia y tablas de migracin. Estas caractersticas permiten ensayar y migrar GPO entre bosques y dominios.
Copia de seguridad e importacin

GPMC permite realizar copias de seguridad de uno o varios GPO. Despus, puede usar estas copias de seguridad para restaurar GPO individuales a su estado anterior (mediante la operacin de restauracin); o bien, puede importar la configuracin de directiva en un GPO existente, lo que sobrescribir la configuracin de directiva anterior. La operacin de restauracin se usa solo para restaurar un GPO en el mismo dominio desde donde se cre la copia de seguridad. Por contraste, la operacin de importacin se usa en casos en que la copia de seguridad se cre a partir de un GPO del mismo dominio, un dominio diferente o, incluso, de un bosque diferente que no es de confianza, como un bosque de prueba aislado del bosque de produccin. Tenga en cuenta que, aunque las capacidades de restauracin e importacin se aplican a GPO de los que ya se ha creado una copia de seguridad, la restauracin proporciona capacidades adicionales. Para ensayar y migrar GPO al entorno de produccin, se usarn las operaciones de copia de seguridad, importacin y copia. En la figura 8, se muestra la operacin de importacin. En este caso, el GPO X de un bosque de prueba contiene una serie de entidades de seguridad que tienen asignado el derecho de usuario Inicio de sesin local. De este GPO se crea una copia de seguridad y se importa en el bosque de produccin. Durante la operacin de importacin, las entidades de seguridad originales se asignan a otras nuevas que existen en el dominio de produccin.
Copy
Mediante la capacidad de copia de GPMC, puede hacer clic con el botn secundario en un GPO, copiarlo de un dominio y pegarlo en un nuevo dominio. En una operacin de copia, cuando copia un GPO en un nuevo dominio, se crea un nuevo GPO. Esto difiere de la operacin de importacin, que borra y despus sobrescribe un GPO existente. Sin embargo, en el nuevo GPO solo se copia la configuracin de directiva del GPO de origen. Los vnculos SOM (mbito de administracin), las listas ACL y los vnculos de filtros WMI del GPO de origen no se copian en el nuevo GPO. Las operaciones de copia requieren que el dominio de destino sea de confianza para el dominio de origen. Para realizar operaciones de copia, debe ser miembro del grupo Administradores local o un usuario delegado con los siguientes derechos: Derechos de lectura en el GPO de origen y en el dominio de origen. Derecho de creacin de GPO en el dominio de destino (donde se va a copiar el nuevo GPO). Con las operaciones de importacin y copia, GPMC permite asignar entidades de seguridad y rutas de acceso entre referencias a esos objetos en los GPO de origen y de destino. En la figura 9 se muestra una operacin de copia. En este caso, se migra un GPO del dominio B al dominio C y varias de sus entidades de seguridad asociadas se asignan a nuevas entidades de seguridad en el dominio C.
Tablas de migracin
Los objetos GPO pueden contener referencias a entidades de seguridad y rutas de acceso UNC como parte de un valor de configuracin de directiva. Por ejemplo, en una configuracin de directiva de seguridad, puede controlar los usuarios o grupos que pueden iniciar y detener un servicio de Windows concreto. En la figura 10, se muestra la configuracin de seguridad que se puede aplicar al servicio Messenger. En este caso, esta configuracin de seguridad se puede asignar desde entidades de seguridad del entorno de ensayo a entidades de seguridad de un entorno de produccin usando tablas de migracin.
Adems, un GPO tiene un descriptor de seguridad que contiene una lista DACL usada para controlar los equipos, usuarios o grupos que procesan un GPO y qu usuarios pueden crear, modificar y editar el GPO. Las entidades de seguridad incluidas en la lista DACL en un GPO se pueden tener en cuenta tambin cuando se implementa el GPO de un dominio a otro. Las tablas de migracin permiten tambin asignar rutas de acceso UNC, que pueden existir en las directivas de instalacin de software, redireccin de carpetas y scripts. Para solucionar las diferencias en estas rutas de acceso entre los entornos de prueba y de produccin, puede usar tablas de migracin para reemplazar los nombres de servidor y de recurso compartido cuando migre la configuracin de directiva de grupo. Si un GPO creado en otro dominio o bosque se migra al entorno de produccin, debe modificar las referencias de entidad de seguridad asociadas para reflejar las referencias encontradas en el dominio de produccin. GPMC proporciona un MTE, que puede usar para crear un archivo de asignacin de entidades principales y rutas de acceso UNC. El MTE crea un archivo con formato XML con la extensin .migtable. Este archivo especifica las entidades de seguridad y rutas de acceso UNC de origen y de destino para la migracin de un GPO. Para obtener ms informacin acerca del MTE, consulte Creacin de tablas de migracin ms adelante en esta gua.
Creacin del entorno de ensayo

El primer paso para ensayar e implementar la directiva de grupo es la creacin del entorno de ensayo. Este paso implica la construccin de una infraestructura de prueba que refleje la del entorno de produccin y permite probar valores de configuracin de directiva de grupo nuevos o modificados sin afectar a los usuarios y equipos de produccin. Llegado este punto, debe tomar decisiones acerca de la ubicacin del entorno de ensayo y sus relaciones de confianza con el entorno de produccin. Puede optar por crear: Un dominio de ensayo dentro del bosque de produccin. Un bosque de ensayo sin relaciones de confianza con el bosque de produccin. Un bosque de ensayo con relaciones de confianza con el bosque de produccin. Cada opcin tiene ventajas e inconvenientes, como se explica en la tabla 8.
Tabla 8 Eleccin de un mtodo de ensayo

Mtodo Dominio de ensayo dentro de un bosque de producci n Ventajas Puede usar la operacin de copia de GPMC para mover GPO entre entornos de ensayo y de produccin. Puede aprovechar servicios de la infraestructura de produccin existentes (por ejemplo, DNS, DHCP). Requiere implementar menos hardware que un entorno totalmente aislado que requiera una infraestructura donde ubicarlo. Ms fcil de mantener sincronizado con el entorno de produccin porque todos los valores de configuracin de directiva y servicios estn en el mismo bosque. Requiere un uso menor de tablas de migracin si la migracin se realiza de dominio a dominio en el bosque de produccin (por ejemplo, algunas entidades de seguridad se pueden reutilizar independientemente del dominio). Inconvenientes Puede que no est lo suficientemente aislado del entorno de produccin para garantizar que las pruebas no le afectan (por ejemplo, los GPO vinculados a sitios no se pueden probar con facilidad porque los sitios abarcan dominios dentro de un bosque. Las entidades de seguridad se pueden reutilizar independientemente del dominio). Puede ser restrictivo si se requieren cambios en el entorno para realizar las pruebas.
Bosque de ensayo sin relaciones de confianza con el bosque de producci n
Totalmente aislado del entorno de produccin; proporciona la proteccin mxima respecto a los GPO de prueba que afectan a equipos y usuarios de produccin. No hay superposicin de seguridad entre el entorno de ensayo y el de produccin; los administradores del bosque de ensayo y del bosque de produccin no necesitan acceso a
Dificultad para mantenerlo sincronizado con el bosque de produccin. Sin relaciones de confianza, los movimientos de datos y configuracin de directiva entre bosques es ms engorrosa. Se necesitan tablas de migracin para mover objetos GPO que contengan entidades de seguridad o rutas de acceso UNC de
ambos bosques. Proporciona flexibilidad; los administradores pueden experimentar libremente con las configuraciones y los valores de directiva sin afectar al entorno de produccin.
un entorno de ensayo a un entorno de produccin. No se puede usar la operacin de copia de GPMC para migrar GPO; debe usar la operacin de importacin de GPMC.
Bosque de ensayo con relaciones de confianza con el bosque de producci n
Puede usar la operacin de copia de GPMC para mover GPO entre los entornos de ensayo y de produccin. Parcialmente aislado del entorno de produccin. Proporciona flexibilidad; los administradores pueden experimentar libremente con las configuraciones y los valores de directiva sin afectar al entorno de produccin. No necesita tablas de migracin para asignar rutas de acceso UNC, porque todas las rutas de acceso pueden estar disponibles a travs de las relaciones de confianza actuales.
Dificultad para mantenerlo sincronizado con el bosque de produccin. Las relaciones de confianza entre los entornos de ensayo y de produccin permiten a los usuarios de un entorno obtener acceso a los recursos del otro. Se necesitan tablas de migracin para mover objetos GPO que contengan entidades de seguridad del entorno de ensayo al entorno de produccin.
Considere las ventajas e inconvenientes descritos en la tabla 8 cuando elija un mtodo de ensayo. Una vez que lo haya elegido, podr determinar los requisitos de hardware para el entorno de ensayo.
Requisitos de hardware
Independientemente del mtodo de ensayo que seleccione, ser necesario dedicar algn hardware adicional a la construccin del entorno de ensayo. La cantidad de hardware que necesite depende del tipo de pruebas que deba realizar y cmo de especficos sean los requisitos de pruebas de la directiva de grupo. Por ejemplo, los entornos de produccin que incluyen equipos a travs de vnculos de red de baja velocidad pueden afectar al modo en que Windows aplica la directiva de grupo, porque algunos valores de configuracin de directiva de grupo no se aplican a travs de vnculos de baja velocidad. Es importante que el entorno de prueba refleje esta situacin para poder obtener una visin precisa de cmo afectan los cambios en la directiva de grupo al entorno de produccin. GPMC puede ser til en esta situacin, porque proporciona la capacidad de modelar el impacto del procesamiento de la directiva de grupo a travs de vnculos de baja velocidad. Sin embargo, es posible que no pueda reflejar totalmente el entorno de produccin a menos que dedique sistemas y hardware de red suficientes al entorno de ensayo. El objetivo es producir un entorno de
pruebas y ensayo que refleje el rendimiento y el comportamiento que encontrarn los equipos y usuarios del entorno de produccin cuando la directiva de grupo aplique objetos GPO nuevos o modificados.
Preparacin del entorno de ensayo

Una vez elegido el mtodo de ensayo y configurado el hardware, instale Windows Server 2008 y Active Directory en los servidores de ensayo para preparar la sincronizacin de la configuracin de los entornos de produccin y de ensayo. En la mayora de los casos, debe asegurarse de que los equipos del entorno de ensayo estn ejecutando el mismo sistema operativo, los mismos Service Packs y las mismas revisiones que en el entorno de produccin. Esto es importante para garantizar resultados coherentes en las pruebas. Adems, asegrese de que la infraestructura, como DNS, DFS (Sistema de archivos distribuido) y servicios relacionados estn configurados tambin como en el entorno de produccin. DNS es especialmente importante para el correcto procesamiento de objetos GPO. Si decide usar un mtodo de ensayo que coloque un dominio o una estructura de unidades organizativas de ensayo en el bosque de produccin, puede usar la infraestructura DNS de produccin existente para los servicios de nombres. Importante Use GPMC de Windows Server 2008 para administrar objetos GPO en dominios de Windows Server 2008, Windows Server 2003 y Windows 2000. Si construye un bosque separado para el ensayo, debe solucionar el problema de integracin de los servicios de nombres. Nos servicios de nombres pueden ser DNS o Servicios de nombres Internet de Windows (WINS), dependiendo de los tipos de relaciones de confianza que cre. Puede ser necesario crear una infraestructura DNS aparte para el entorno de ensayo, especialmente si usa DNS seguro integrado en Active Directory en el bosque de produccin, porque las zonas seguras integradas en Active Directory no admiten el registro dinmico de clientes de bosques externos. Si planea crear relaciones de confianza entre los bosques de ensayo y de produccin, la infraestructura de servicios de nombres de cada bosque debe estar al tanto de la otra. Una vez que el entorno de ensayo est totalmente configurado con los elementos base necesarios para implementar la directiva de grupo, el siguiente paso es sincronizar los entornos de ensayo y produccin.
Sincronizacin de los entornos de ensayo y produccin

Tras haber creado una infraestructura de ensayo bsica que refleje el entorno de produccin, debe asegurarse de que todos los valores de configuracin de seguridad y de objetos GPO son idnticos entre los dos entornos. La sincronizacin requiere tambin asegurarse de que existe una representacin suficiente de unidades organizativas, usuarios, equipos y grupos en ambos entornos, porque debe poder probar los vnculos de los GPO y los efectos del filtrado de grupos de seguridad tal y como estn en el entorno de produccin. El objeto de todo entorno de prueba es garantizar que refleja el entorno de produccin con la mayor exactitud posible. Puede descargar y ejecutar dos scripts de ejemplo de GPMC, CreateXMLFromEnvironment.wsf y CreateEnvironmentFromXML.wsf, que le ayudarn con la sincronizacin inicial y a mantener el entorno de prueba sincronizado con el entorno de produccin a lo largo del tiempo. Como se ha mencionado antes, los scripts de ejemplo de GPMC se instalan de forma predeterminada en la carpeta Archivos de programa\Microsoft Group Policy\GPMC Sample Scripts. El script CreateXMLFromEnvironment.wsf se ejecuta con un
dominio de produccin, almacena toda la informacin de directiva en un archivo con formato XML y crea copias de seguridad de los GPO que encuentra en el dominio de produccin. Tenga en cuenta que este script funciona solo con un solo dominio cada vez, no con un bosque entero. El script CreateEnvironmentFromXML.wsf utiliza el archivo con formato XML y las copias de seguridad de los GPO creadas por el script CreateXMLFromEnvironment.wsf para volver a crear los GPO y otros objetos del dominio de produccin en un dominio de ensayo. En la tabla 9, se explican los objetos y los valores de configuracin de directiva que recopila CreateXMLFromEnvironment.wsf y muestra objetos adicionales que puede capturar usando opciones de la lnea de comandos cuando ejecute el script.
Tabla 9 Objetos capturados por CreateXMLFromEnvironment.wsf

Tipo de objeto Capturado por el script Opciones de lnea de comandos adicionales Para capturar configuracin de GPO, debe proporcionar la ruta de acceso de una plantilla con la opcin /TemplatePath para especificar una ubicacin del sistema de archivos donde almacenar las copias de seguridad de los GPO. Si no se especifica ninguna ruta de acceso de plantilla, no se crean copias de seguridad de los GPO. Puede excluir los permisos para objetos GPO con la opcin /ExcludePermissions. Puede capturar solo una parte del rbol de unidades organizativas con la opcin /StartingOU, con la ruta de acceso de tipo DN a una unidad organizativa.
Todos los S GPO y valores de configuracin de GPO del dominio o unidad organizativa
Unidades organizativas
Vnculos de objetos GPO y atributos de vnculo (por ejemplo, deshabilitado y bloquear herencia) Permisos relacionados con directivas Filtros WMI Usuarios
S, excepto Ninguno que los vnculos en objetos de sitio no se capturan
Puede excluir los permisos con la opcin /ExcludePermissions.
S Opcional
Ninguno Las cuentas de usuario no se capturan a menos que use la opcin /IncludeUsers. De forma predeterminada, el script captura solo los grupos de seguridad definidos en unidades organizativas. Puede ampliar esta funcionalidad para incluir todos los grupos del contenedor Usuarios y de la raz del dominio con la opcin /IncludeAllGroups.
Grupos de seguridad
Equipos Sitios
No No
Ninguno Ninguno
Hay algunas cosas que se deben tener en cuenta cuando se usa el script CreateXMLFromEnvironment.wsf. En primer lugar, si utiliza la opcin /IncludeUsers para capturar objetos de usuario, cuando esos objetos se crean de nuevo en el dominio de ensayo, deber proporcionar una contrasea para cada usuario capturado. Para ello, edite manualmente el archivo XML resultante y agregue una contrasea para cada usuario. Como alternativa, si tiene usuarios que no tienen contraseas especificadas en el archivo XML, el script CreateEnvironmentfromXML.wsf le pedir que proporcione una contrasea. Todos los usuarios que no tengan contraseas especificadas en el archivo XML se crearn con esta contrasea. Tenga en cuenta tambin que el script no captura equipos. Esto se debe a que los objetos de equipo de Active Directory corresponden a recursos de hardware fsicos y pueden diferir entre los entornos de produccin y de ensayo. Finalmente, el script no captura sitios ni vnculos de objetos GPO a sitios. Puesto que los sitios pueden abarcar varios dominios y pueden afectar a la replicacin de Active Directory, es mejor volver a crear estos objetos (y los vnculos de objetos GPO a ellos) manualmente en el entorno de ensayo.
Ejemplo: creacin de un archivo con formato XML de un entorno de produccin

Imagine que el dominio de produccin se denomina Contoso.com. Desea exportar la configuracin de directiva de grupo y la informacin relacionada para crear un nuevo dominio de ensayo para probar objetos GPO. En este ejemplo, imagine que desea capturar objetos GPO de todo el dominio e incluir las cuentas de usuario y los grupos. Para exportar la informacin que necesita, realice las siguientes tareas:
Para crear un archivo con formato XML de un entorno de produccin

1. Asegrese de que tiene permisos suficientes en el dominio de produccin para extraer los datos necesarios. Debe tener derechos de lectura para todos los objetos que va a capturar, incluidos objetos GPO, unidades organizativas, usuarios y grupos (y sus pertenencias). 2. Cree una carpeta para almacenar el archivo con formato XML que describa la informacin recopilada por el script. 3. Cree una carpeta para almacenar copias de seguridad de los GPO extrados por el script. 4. Ejecute el script CreateXMLFromEnvironment.wsf desde la carpeta de instalacin. Debe poner el comando cscript delante del nombre del script si cscript.exe no es el motor Windows Script Host (WSH) predeterminado. Para este ejemplo, escriba lo siguiente en la lnea de comandos:
Cscript "%programfiles%\Microsoft Group Policy\GPMC Sample Scripts\CreateXmlFromEnvironment
Este comando crea el archivo con formato XML Production.xml en la carpeta donde se ejecuta el script. Las copias de seguridad de objetos GPO se crean en una subcarpeta de la carpeta actual denominada GPObackups. Si pone una barra diagonal inversa (\) delante de las rutas de acceso de production.xml y GPObackups da lugar a que el script use una ruta de acceso relativa y cree las carpetas de los archivos XML y de las copias de seguridad de objetos GPO en el directorio actual desde donde se ejecuta el script. El uso de una ruta de
acceso relativa facilita la copia de los archivos XML y las copias de seguridad en ubicaciones diferentes desde donde se puedan restaurar. El script inicia la captura en el nivel de dominio, Contoso.com. Tambin puede ejecutar el script en el nivel de unidad organizativa, en cuyo caso utilizara la opcin /StartingOU adems de la opcin /Domain. Si excluye la opcin /Domain, se utiliza el dominio actual. La opcin /DC indica al script que use el controlador de dominio contoso-dc1, y la opcin /TemplatePath especifica que las copias de seguridad de todos los GPO que se capturen se almacenen en la carpeta GPOBackups. Finalmente, la opcin /IncludeUsers garantiza que el script capture tambin las cuentas de usuario. Precaucin Tambin puede abrir y editar los archivos con formato XML que cree el script CreateXMLFromEnvironment.wsf en un editor de texto o cualquier editor XML. Tenga en cuenta, no obstante, que los archivos con formato XML deben adherirse a una sintaxis especfica. Si cambia esa sintaxis, puede afectar a la capacidad del script CreateEnvironmentFromXML.wsf para leer el archivo de entrada. Una vez capturado el entorno de produccin ejecutando el script CreateXMLFromEnvironment.wsf, debe ejecutar el script CreateEnvironmentFromXML.wsf, usando la salida del archivo con formato .XML del script CreateXMLFromEnvironment.wsf como entrada. Debe ejecutar el script CreateEnvironmentFromXML.wsf desde el dominio de ensayo, o bien, puede ejecutar este script desde un equipo que no est en el dominio de ensayo si ya ha configurado relaciones de confianza con el dominio de ensayo.
Importacin de objetos GPO de produccin en el dominio de ensayo

El script CreateEnvironmentFromXML.wsf proporciona varias opciones que puede usar para poder crear objetos GPO en el entorno de ensayo. La opcin ms sencilla implica proporcionar un archivo con formato XML creado desde el dominio de produccin al script y, opcionalmente, dirigir la operacin del script hacia un controlador de dominio del dominio de ensayo. El script crea objetos GPO y objetos relacionados en el dominio de ensayo que corresponden a los datos capturados del dominio de produccin. Si fuese necesario modificar este proceso, el script proporciona una serie de opciones de lnea de comandos: Undo. Esta opcin quita del entorno de ensayo todos los objetos (GPO, permisos de GPO, unidades organizativas, filtros WMI, usuarios y grupos) que se especifican en el archivo con formato XML. Es til si necesita revertir cambios que se hayan realizado en el dominio de ensayo. ExcludePolicy Settings. Esta opcin crea objetos GPO en el dominio de destino, pero sin ninguna configuracin de directiva. sela cuando no desee importar la configuracin de directiva en un GPO, sino solo crear unidades organizativas, usuarios, y grupos de usuarios que se hayan capturado. ExcludePermissions. Esta opcin hace que el script omita los permisos relacionados con la directiva de grupo que contiene el archivo con formato XML. En su lugar, cuando se crean los nuevos GPO y otros objetos en el entorno de ensayo, se crean con los permisos predeterminados. MigrationTable. Esta opcin permite especificar un archivo .migtable que se crea mediante el editor MTE para especificar la asignacin de entidades de seguridad y rutas de acceso UNC en la configuracin de objetos GPO del entorno de produccin a las entidades de seguridad y rutas de acceso UNC correspondientes en el
entorno de ensayo. ImportDefaultGPOs. Esta opcin importa la configuracin de directiva en la directiva de dominio predeterminada y la directiva de controladores de dominio predeterminada, si se especifica la configuracin de directiva de estos objetos GPO en el archivo XML. Si no se especifica esta opcin, estos objetos GPO no se modificarn. CreateUsersEnabled. Esta opcin crea cuentas de usuario habilitadas en lugar de deshabilitadas. PasswordForUsers. Esta opcin permite especificar la contrasea que se debe usar para usuarios que no tengan contraseas especificadas en el archivo XML. Se usar la misma contrasea para todos los usuarios que no tengan contraseas especificadas en el archivo XML. Q. Esta opcin ejecuta el script en modo silencioso, si se han proporcionado todos los parmetros necesarios en la lnea de comandos. Sin esta opcin, se le advierte de que este script debera usarse solo para crear entornos de ensayo y, si es necesario, se le pedir que proporcione una contrasea para los usuarios que no tienen contraseas definidas en el archivo XML.
Ejemplo: relleno del dominio de ensayo a partir del archivo con formato XML
Imagine que el entorno de ensayo es el dominio test.contoso.com y que este dominio est en el mismo bosque que el dominio de produccin capturado antes en este captulo. Incluso si el dominio de ensayo no estuviese en el mismo bosque que el dominio de produccin, los pasos para rellenar el dominio de ensayo son los mismos, pero seran necesarias diferentes asignaciones de entidades de seguridad usando tablas de migracin.
Para rellenar un entorno de ensayo a partir de un archivo XML

1. Asegrese de que est ejecutando el script CreateEnvironmentFromXML.wsf con suficientes permisos en el dominio de ensayo. Debe ejecutar el script como usuario miembro del grupo Admins. del dominio o tener derechos de acceso equivalentes en el dominio. 2. Asegrese de que tiene acceso al archivo con formato XML y a los GPO de copia de seguridad que se crearon en el dominio de produccin con el script CreateXMLFromEnvironment.wsf. Cuando se ejecuta CreateEnvironmentFromXML.wsf, solo se hace referencia al archivo con formato XML (no a la ubicacin de los GPO de copia de seguridad) en las opciones de la lnea de comandos. Ese archivo incluye las rutas de acceso a los archivos de GPO de copia de seguridad. Por tanto, si especifica el archivo XML en CreateEnvironmentFromXML.wsf, el script usa los archivos de GPO de copia de seguridad en la carpeta especificada cuando se ejecut el script CreateXMLFromEnvironment.wsf. Si ejecut CreateXMLFromEnvironment.wsf con el comando que se muestra en Ejemplo: creacin de un archivo con formato XML de un entorno de produccin, el archivo XML indicar que las copias de seguridad estn en una subcarpeta de la carpeta actual. Si no us una ruta de acceso relativa cuando ejecut CreateXMLFromEnvironment.wsf, hay tres formas de garantizar que CreateEnvironmentFromXML.wsf encuentre los archivos necesarios: Copiar la estructura de carpetas especificada de la ubicacin donde se cre a una ruta de acceso idntica en el equipo local desde donde ejecut CreateEnvironmentFromXML.wsf.
Especificar un recurso compartido de red en lugar de una unidad local cuando cree el archivo XML (el recurso compartido debe ser accesible tambin desde la ubicacin donde ejecut CreateEnvironmentFromXML.wsf). Editar el archivo XML para cambiar las entradas de ruta de acceso para que apunten a una ubicacin diferente para los archivos de copia de seguridad de objetos GPO. 3. Ejecutar CreateEnvironmentFromXML.wsf desde la carpeta Scripts de la carpeta de instalacin de GPMC. Debe poner el comando cscript delante del nombre del script si cscript.exe no es el motor WSH predeterminado. Para este ejemplo, escriba lo siguiente en la lnea de comandos:
Cscript CreateEnvironmentFromXml.wsf /xml:c:\staging\production.xml /Domain:test.contoso.co
El script genera una advertencia indicando que est pensado para crear solo entornos de ensayo, y despus insta al usuario a especificar una contrasea para objetos de usuario. Si utiliza la opcin /Q y proporciona la contrasea con la opcin PasswordForUsers cuando ejecute este script, no se muestran estos mensajes. Si confirma que desea continuar, el script proporciona el estado conforme procesa el archivo XML y los GPO. A continuacin, puede confirmar que todos los pasos se completaron correctamente con Usuarios y equipos de Active Directory y GPMC para comprobar que los usuarios, grupos y GPO se crearon correctamente.
Mantenimiento de la sincronizacin de los entornos de ensayo y produccin

Use los scripts CreateXMLFromEnvironment.wsf y CreateEnvironmentFromXML.wsf para crear un entorno de ensayo inicial a partir del entorno de produccin. Pero el mantenimiento de la directiva de grupo, incluidas las pruebas de los GPO nuevos o modificados, requiere un esfuerzo continuo. Cmo se mantienen sincronizados los entornos de ensayo y de produccin de forma continuada? Estos dos scripts proporcionan un mtodo de "todo o nada" para rellenar objetos GPO. No son lo suficientemente especficos para capturar e importar solo objetos GPO especficos. Las funciones de copia de seguridad e importacin de GPMC permiten sincronizar de forma selectiva GPO especficos entre los entornos de produccin y de ensayo. Use la funcin de copia de seguridad para crear una copia de seguridad de la configuracin de directiva y la seguridad de un GPO de produccin. Importe la copia de seguridad sobre un GPO existente en el dominio de ensayo, lo que sincronizar el GPO con el GPO de produccin. Para obtener ms informacin acerca de la copia de seguridad e importacin de GPO, consulte Ejemplos de implementacin.
Cmo probar la directiva de grupo en el entorno de ensayo

Una vez creado el entorno de ensayo y sincronizada la directiva de grupo con el entorno de produccin, puede comenzar las pruebas de los cambios de directiva de grupo planeados. El mejor mecanismo para probar la directiva de grupo es usar una combinacin de las herramientas Resultados de directivas de grupo y Modelado de directivas de grupo que se proporcionan con GPMC, y usar cuentas de usuario y equipos reales en el entorno de prueba para procesar GPO reales. La caracterstica Resultados de directivas de grupo es til cuando se ha aplicado una nueva configuracin de GPO en un
equipo y usuario, y es necesario comprobar que realmente se aplicaron todos los valores de configuracin de directiva esperados. Use Modelado de directivas de grupo para determinar los efectos de cambiar la ubicacin de un usuario o equipo en el espacio de nombres de Active Directory, cambiar la pertenencia a grupos o un usuario o equipo, o bien para observar los efectos de un vnculo de baja velocidad o una directiva de bucle invertido. La caracterstica Modelado de directivas de grupo permite probar los efectos de un cambio sin realizar realmente el cambio, mientras que la caracterstica Resultados de directivas de grupo muestra lo sucedido realmente. Resultados de directivas de grupo se ejecuta en el equipo de destino, por lo que debe tener acceso a ese equipo. Modelado de directivas de grupo se ejecuta en un controlador de dominio, por lo que debe haber al menos uno disponible para ejecutar el proceso de modelado. Tenga en cuenta que Modelado de directivas de grupo permite modelar configuracin de directiva en equipos que ejecuten Windows Server 2008, Windows Vista, Windows Server 2003 y Windows XP Professional. Observe que Modelado de directivas de grupo simula el procesamiento de directiva, mientras que Resultados de directivas de grupo muestra los efectos de las directivas procesadas realmente.
Pruebas mediante inicio de sesin como usuario de prueba

El primer y mejor mtodo para probar la directiva de grupo es realizar los cambios en los GPO del dominio de ensayo y probar despus los resultados iniciando sesin en las estaciones de trabajo con cuentas de usuario de prueba para observar el efecto de los cambios. De esta forma, puede observar cmo afectan los cambios a los usuarios.
Pruebas con Resultados de directivas de grupo

Use el Asistente para Resultados de directivas de grupo de GPMC para obtener informes detallados de los GPO aplicados a usuarios y equipos, si GPMC est instalada en el equipo de prueba. De lo contrario, puede usar la versin de la lnea de comandos de Resultados de directivas de grupo para crear informes de los GPO aplicados al usuario o equipo. A continuacin, realice los cambios necesarios en los GPO de prueba en consecuencia. Use Resultados de directivas de grupo despus de procesar toda la directiva de grupo para un usuario y un equipo dados con el fin de obtener un informe de los valores de configuracin de directiva aplicados. Los resultados se recopilan mediante consultas a RSoP en el equipo con Windows Server 2008, Windows Vista, Windows Server 2003 o Windows XP que proces la directiva de grupo. El asistente devuelve, por tanto, los valores de configuracin de directiva que realmente se aplicaron en lugar de los que se esperaban. Es la misma salida que produce el comando Gpresult.exe con el parmetro /h. Para obtener ms informacin acerca del Asistente para Resultados de directivas de grupo, consulte Uso de Modelado de directivas de grupo y Resultados de directivas de grupo para evaluar la configuracin de directiva de grupo en esta gua.
Pruebas con Modelado de directivas de grupo

El segundo mtodo para probar la directiva de grupo es usar el Asistente para modelado de directivas de grupo de GPMC para modelar los cambios en el entorno antes de aplicarlos realmente. Modelado de directivas de grupo permite realizar pruebas hipotticas en objetos de usuario y equipo antes de la implementacin en un entorno de produccin para observar cmo se aplicara la configuracin de directiva de grupo si realizara cambios como mover objetos de usuario o equipo a otra unidad organizativa, cambiar su pertenencia a grupos de seguridad o cambiar los filtros WMI efectivos. Tenga en cuenta, no obstante, que los resultados obtenidos con Modelado de directivas de grupo son valores de configuracin de directiva simulados, no reales. Por tanto, una vez modelado el escenario que satisfaga sus necesidades, es mejor usar el Asistente para
Resultados de directivas de grupo para comprobar la configuracin de directiva esperada. Puesto que Modelado de directivas de grupo no permite especificar los cambios propuestos de configuracin de directiva en un GPO, debe realizar esos cambios en los GPO de ensayo y ejecutar despus el Asistente para modelado de directivas de grupo para una determinada unidad organizativa, usuario o equipo con el fin de determinar el conjunto resultante de directivas. Modelado de directivas de grupo permite tambin modelar el comportamiento de la directiva de grupo cuando los equipos procesan la directiva a travs de un vnculo de red de baja velocidad, lo que puede determinar las extensiones de directiva de grupo que se procesan. Si un equipo se conecta a un controlador de dominio a travs de un vnculo de red de baja velocidad, no se procesan extensiones de directiva de grupo como Instalacin de software y Redireccin de carpetas. Modelado de directivas de grupo puede simular un vnculo de baja velocidad y utilizarlo para determinar los valores de configuracin de directiva efectivos que se modelarn para el usuario y el equipo. Adems, Modelado de directivas de grupo permite realizar pruebas de los efectos del procesamiento de bucle invertido de la directiva de grupo. Si est habilitado el procesamiento de bucle invertido, se aplica la misma configuracin de directiva a un equipo independientemente del usuario que inicie sesin en l. Tenga en cuenta que debe especificar que desea modelar el procesamiento de bucle invertido en el Asistente para modelado de directivas de grupo, ya que el procesamiento de bucle invertido no se modela de forma predeterminada. Puede especificar deteccin de vnculos de baja velocidad, procesamiento de bucle invertido o ambos cuando use el Asistente para modelado de directivas de grupo. Para el procesamiento de bucle invertido, puede elegir entre reemplazar o combinar la directiva especfica del usuario. El modo de reemplazo reemplaza la configuracin de directiva normal de usuario por los valores definidos en la configuracin de usuario de los GPO que aplique al objeto de equipo (la configuracin de directiva de bucle invertido). El modo de combinacin combina la configuracin de directiva normal de usuario con la configuracin de directiva de bucle invertido. Cuando hay un conflicto entre un elemento de la configuracin de directiva normal de usuario y la configuracin de directiva de bucle invertido, se aplica la configuracin de bucle invertido. Nota El proceso de Modelado de directivas de grupo se ejecuta en un controlador de dominio. Por contraste, Gpresults o el Asistente para Resultados de directivas de grupo se ejecuta en el equipo con Windows Server 2008, Windows Vista, Windows Server 2003 o Windows XP que est procesando la directiva de grupo. Resultados de directivas de grupo utiliza el proveedor de WMI para RSoP para generar informacin acerca del procesamiento de la directiva de grupo. Modelado de directivas de grupo se basa en el servicio Conjunto resultante de proveedor de directivas en el controlador de dominio con Windows Server 2008 o Windows Server 2003 para realizar el anlisis. Para obtener ms informacin acerca del Asistente para modelado de directiva de grupo, consulte Uso de Modelado de directivas de grupo y Resultados de directivas de grupo para evaluar la configuracin de directiva de grupo en esta gua.
Preparacin de la implementacin en el entorno de produccin

Una vez probados a conciencia los cambios de la directiva de grupo en el entorno de ensayo, est prcticamente listo para implementar los GPO nuevos o modificados en el entorno de produccin. Sin embargo, para poder hacerlo, debe evaluar si
ser necesario asignar valores diferentes a las entidades de seguridad o rutas de acceso UNC que contienen los GPOcomo parte de la migracin.
Determinacin de los requisitos de asignacin de la migracin

El entorno de ensayo puede ser un dominio de prueba en el entorno de produccin, un bosque de prueba separado pero de confianza o un bosque de prueba separado sin relaciones de confianza. En cada caso, es probable que deba crear y usar una tabla de migracin conforme implementa objetos GPO nuevos o modificados en el entorno de produccin. Las tablas de migracin satisfacen tres tipos diferentes de requisitos de asignacin: Debe asignar cada entrada de control de acceso (ACE) de los GPO a diferentes entidades de seguridad conforme migre los GPO al entorno de produccin. Las entradas ACE de un GPO describen los usuarios, equipos y grupos de equipos que procesarn ese GPO, as como los usuarios o grupos de usuarios que pueden ver y editar la configuracin de directiva del GPO o eliminar el GPO. Debe asignar las entidades de seguridad de los valores de configuracin de directiva de seguridad o redireccin de carpetas definidos en uno o varios objetos GPO. De manera especfica, directivas como Asignacin de derechos de usuario, Grupos restringidos, Sistema de archivos, Registro o Servicios del sistema permiten especificar usuarios o grupos concretos que pueden obtener acceso a esos recursos o configurarlos El identificador de seguridad (SID) de ese usuario o grupo se almacena en el GPO y debe modificarse para reflejar los usuarios o grupos del dominio de produccin cuando se migre el GPO. Debe asignar las rutas de acceso UNC cuando haya definido los valores de configuracin de directiva Instalacin de software, Redireccin de carpetas o Scripts que hagan referencia a rutas de acceso UNC. Por ejemplo, quiz tenga un GPO que haga referencia a un script almacenado en una ruta de acceso externa, como un recurso compartido Netlogon o un servidor remoto. Puede ser necesario asignar esta ruta de acceso a otra ruta de acceso cuando se migre el GPO. Las rutas de acceso UNC suelen ser especficas de un entorno dado y puede ser necesario cambiarlas cuando migre el GPO al entorno de produccin. Si se da alguna de las condiciones anteriores, deber crear una tabla de migracin que se pueda usar para asignar a los valores de los GPO de prueba los valores correctos del dominio de produccin cuando se migren
Creacin de tablas de migracin

Use el MTE, que se incluye con GPMC, para crear y editar tablas de migracin. El acceso a estas tablas se puede obtener de dos formas: Puede iniciar el MTE y crear o editar una tabla de migracin durante una operacin de copia o importacin de GPMC. En este caso, el MTE inicia una ventana aparte que permite crear una tabla de migracin o editar una existente. Puede iniciar el editor MTE en modo independiente (independiente de una operacin de importacin o copia) y crear o editar la tabla de migracin antes de migrar los GPO al entorno de produccin. Tambin puede crear tablas de migracin usando scripts de ejemplo, como se explica ms adelante en esta seccin.
Una ventaja de crear la tabla de migracin con antelacin es que puede estar seguro de que la configuracin de migracin que defina es exactamente lo que desea antes de comenzar la implementacin. Por tanto, cuando est listo para mover los GPO de prueba al entorno de produccin, debera crear primero una o varias tablas de migracin para los GPO que tiene que migrar. Tenga en cuenta que se puede usar una sola tabla de migracin para ms de un GPO. Puede usar una sola tabla de migracin que cubra las posibles combinaciones de entidades de seguridad y rutas de acceso para una migracin determinada desde un dominio de ensayo a un dominio de produccin. En ese caso, puede simplemente aplicar la misma tabla de migracin a cada GPO que se implemente desde el dominio de ensayo en el dominio de produccin, y las entidades de seguridad y rutas de acceso que coincidan se asignarn correctamente.
Uso del editor MTE independiente

Para iniciar el editor MTE en modo independiente, ejecute Mtedit.exe desde la carpeta de instalacin GPMC. El editor MTE se inicia con una tabla de migracin en blanco que puede rellenar manualmente escribiendo entradas en la cuadrcula, o bien puede rellenar automticamente la tabla usando uno de los mtodos de llenado automtico.
Llenado automtico de la tabla de migracin

El modo ms fcil de crear una tabla de migracin es usar una de las caractersticas de llenado automtico, a las que se puede obtener acceso desde el men Herramientas del editor MTE. Puede rellenar automticamente la tabla a partir de copias de seguridad de objetos GPO o de GPO activos. Para rellenar automticamente una tabla de migracin, use el siguiente procedimiento.
Para rellenar automticamente una tabla de migracin

1. Elija si desea rellenar automticamente la tabla de migracin a partir de GPO activos o de copias de seguridad de objetos GPO. Cuando est preparado para migrar un GPO del entorno de ensayo al entorno de produccin, use Rellenar a partir del GPO con un GPO activo en el entorno de ensayo para iniciar la tabla de migracin. El proceso de rellenar automticamente la tabla a partir de la copia de seguridad de un GPO es el mismo, excepto que debe proporcionar la ruta de acceso a la copia de seguridad del GPO. En ese caso, si tiene copias de seguridad de ms de un GPO, se muestra una lista en la que puede elegir. Tenga en cuenta que puede seleccionar varios GPO o varias copias de seguridad de objetos GPO cuando rellene automticamente una sola tabla de migracin. Esto permite usar una sola tabla de migracin para todos los GPO de un dominio. 2. Elija si desea incluir entidades de seguridad de la lista DACL del GPO. Cuando rellene automticamente una tabla de migracin, puede seleccionar la opcin para incluir entidades de seguridad de la lista DACL del GPO. Si selecciona esta opcin, las entidades de seguridad de la lista DACL del GPO se incluyen en la tabla con las entidades de seguridad a las que se hace referencia en la configuracin del GPO. Las entidades de seguridad de origen duplicadas no se repiten en la tabla de migracin. El editor MTE admite una serie de tipos de objeto diferentes que se pueden asignar, como se explica en la tabla 10.
Tabla 10 Tipos de objeto admitidos en la tabla de migracin

Tipo de objeto Usuario Usado para asignar Cuentas de usuario individuales.
Grupo global de dominio Grupo local de dominio
Grupos globales de dominio.
Grupos locales de dominio.
Grupo Grupos universales. universal Equipo Nombres de equipo. Por ejemplo, a un equipo individual se le pueden conceder los permisos Lectura y Aplicar directiva de grupos en un GPO. Rutas de acceso UNC usadas en la directiva de instalacin de software.
Ruta de acceso UNC Texto libre o SID
Entidades de seguridad sin determinar. Por ejemplo, puede hacer referencia a entidades de seguridad en un GPO por el nombre en lugar del SID (escrito "administradores" en lugar de "DominioX\Administradores"); o puede que no sea posible resolver entidades de seguridad para determinar el tipo. Este tipo de asignacin puede ocurrir si establece una directiva de seguridad de grupo restringido y escribe el nombre del grupo en lugar de resolver el nombre con un dominio activo. En este caso, el nombre de grupo se almacena en el GPO como el nombre que ha especificado en lugar del correspondiente SID. El editor MTE considera esta entidad de seguridad como Texto libre o SID. Adems, puede especificar SID sin formato en el MTE. En este caso, puesto que el tipo de objeto no es conocido para el MTE, debe especificarse como Texto libre o SID.
3. Modifique el campo Nombre de destino de cada entidad de seguridad y ruta de acceso UNC. Una vez rellena la tabla de migracin, puede modificar el campo Nombre de destino para cada registro. El valor predeterminado del campo Nombre de destino es Igual al origen, que significa que se usar la misma entidad de seguridad o ruta de acceso UNC en el GPO de destino que en el origen. En este caso, el valor se copia sin modificar y la asignacin no realiza cambios. Normalmente, deber cambiar este campo para una o varias entradas de origen cuando migre un GPO de un entorno de prueba a un entorno de produccin. Para cambiar el campo de destino, puede escribir una entrada o hacer clic con el botn secundario en el campo y elegir el elemento de men correspondiente. 4. Los dos elementos de men disponibles son Examinar y Establecer destino. La opcin Examinar permite seleccionar una entidad de seguridad de cualquier dominio de confianza. Si selecciona Establecer destino, puede elegir entre tres opciones: Sin destino. Si especifica Sin destino, no se incluye la entidad de seguridad en el GPO de destino cuando se migra. Esta opcin no est disponible para entradas de rutas de acceso UNC. Asignar por nombre relativo. Si especifica Asignar por nombre relativo, se asume que el nombre de la entidad de seguridad existe ya en el
dominio de destino y se usar ese nombre de destino para la asignacin. Por ejemplo, si el nombre de origen es Admins. del dominio para el dominio test.contoso.com y va a migrar el GPO al dominio contoso.com, el nombre Administradores del dominio@test.contoso.com se asignar a Admins. del dominio@contoso.com. El grupo debe existir ya en el dominio de destino para que la operacin de importacin o copia sea correcta. Esta opcin no est disponible para entradas de rutas de acceso UNC. Igual al origen. Si especifica Igual al origen, se usa la misma entidad de seguridad en los GPO de origen y de destino. Bsicamente, la entrada de seguridad se deja como est. Tenga en cuenta que esta opcin es prctica solo si va a realizar una migracin desde un dominio de prueba del mismo bosque que el dominio de produccin, o si la migracin se va a realizar desde un dominio de prueba de un bosque diferente con una relacin de confianza con el bosque de produccin. El requisito para que se asigne correctamente un nombre de origen es que los usuarios y equipos del bosque de produccin puedan resolverlo. Hay varias restricciones a las opciones disponibles para el nombre de destino. Las rutas de acceso UNC admiten solo la opcin Igual al origen; o bien, puede especificar manualmente una ruta de acceso UNC diferente. Las entidades de seguridad designadas como Texto libre o SID no admiten Asignar por nombre relativo. Es importante tambin tener en cuenta que se mostrar una advertencia si la asignacin es de un tipo de grupo a otro. Por ejemplo, si tiene una entidad de seguridad de origen que es un grupo global de dominio y selecciona un grupo local de dominio como destino, se le advertir de que el nombre de destino es de un tipo diferente al del origen. Si despus intenta validar el archivo, el proceso de validacin dar error, pero an podr usar la tabla de migracin para realizar una migracin. Tenga en cuenta que la tabla de migracin no admite la asignacin a un grupo de seguridad integrado como el grupo Administradores. Si es necesario eliminar una fila del MTE, seleccione la fila deseada, haga clic con el botn secundario en ella y, a continuacin, haga clic en Eliminar. 5. Valide la tabla de migracin. Antes de guardar la tabla de migracin, es mejor validar el archivo. Para ello, en el men Herramientas, haga clic en Validar. El proceso de validacin determina si el formato XML del archivo resultante es vlido y comprueba si los nombres de destino son vlidos desde una perspectiva de migracin. Por ejemplo, si especifica una ruta de acceso UNC para el destino y la ruta no existe, el proceso de validacin devolver una advertencia. Especialmente, el proceso de validacin: Valida la existencia de entidades de seguridad y rutas de acceso UNC de destino. Comprueba si las entradas de origen con rutas de acceso UNC no tienen destinos de Asignar por nombre relativo o Sin destino, porque no se admiten. Comprueba si el tipo de cada entrada de destino de la tabla coincide con el tipo en Active Directory. Si proporciona datos manualmente, el proceso de validacin es especialmente importante para garantizar que un error de entrada no impide una migracin correcta. Tenga en cuenta que una validacin del archivo de asignacin puede dar error si el usuario que edita el archivo no puede resolver las entidades de seguridad o
rutas de acceso UNC especificadas en el archivo. Sin embargo, esto no significa que el archivo no funcionar segn lo esperado durante una migracin, siempre y cuando el usuario que realiza la migracin pueda resolver los nombres de entidad de seguridad y UNC. Los mensajes de validacin indicarn si hay algn error de sintaxis en la tabla o si el validador simplemente no puede resolver un nombre de entidad de seguridad o una ruta de acceso UNC. En el caso de error de resolucin de un nombre, asegrese de que tendr permisos de acceso suficientes para los recursos de origen y de destino durante la migracin real. 6. Cuando termine de editar la tabla, guarde el archivo .migtable resultante. Para ello, haga clic en Archivo y, a continuacin, en Guardar.
Cmo proporcionar las entradas de la tabla de migracin manualmente

Si elige no usar la caracterstica de llenado automtico o si tiene que especificar datos manualmente, tenga cuidado de usar los formatos correctos para que la tabla de migracin sea vlida. En la tabla 11, se muestra la forma correcta de cada tipo de objeto admitido en la tabla de migracin. Tenga en cuenta que estos formatos son necesarios tanto en el campo de origen como en el de destino.
Tabla 11 Formatos requeridos para objetos de migracin

Tipo de objeto Usuario Formato requerido a. UPN: Usuario@sufijo UPN b. SAM: nombre de dominio NetBIOS\usuario c. DNS: nombre de dominio DNS\usuario Por ejemplo, MonicaB@contoso.com, contoso\MonicaB o contoso.com\MonicaB. a. UPN: grupo@sufijo UPN b. SAM: nombre de dominio NetBIOS\grupo c. DNS: nombre de dominio DNS\grupo Por ejemplo, Admins. del dominio@contoso.com, contoso\Admins. del dominio o Contoso.com\Admins. del dominio. a. UPN: grupo@sufijo UPN b. SAM: nombre de dominio NetBIOS\grupo c. DNS: nombre de dominio DNS\grupo Por ejemplo, Administradores@contoso.com, contoso\Administradores o Contoso.com\Administradores.
Grupo global de dominio
Grupo local de dominio
Grupo a. UPN: grupo@sufijo UPN universal b. SAM: nombre de dominio NetBIOS\grupo c. DNS: nombre de dominio DNS\grupo Por ejemplo, Administradores de empresas@contoso.com, contoso\Administradores de empresas o contoso.com\Administradores de empresas. Equipo a. UPN: nombre de equipo$@sufijo UPN b. SAM: nombre de dominio NetBIOS\nombre de equipo$ c. DNS: nombre de dominio DNS\nombre de equipo$ Por ejemplo, servidor1$@contoso.com, contoso\servidor1$ o contoso.com\servidor1$. El signo $ indica la cuenta de equipo oculta del equipo. \\nombreDeServidor\nombreDeRecursoCompartido\. Por ejemplo, \\servidor1\paquetes.
Ruta de acceso UNC
Texto libre o SID
Una cadena o la representacin de cadena de un SID. Por ejemplo, "MonicaB" o "S-1-5-21-14737332591489586486-3363071491-1005". No se pueden especificar SID en el campo de destino.
Creacin de una tabla de migracin usando un script

Si es necesario automatizar el proceso de creacin de tablas de migracin, puede usar el script de ejemplo de GPMC CreateMigrationTable.wsf. Tambin puede usar este script en lugar del MTE para generar la tabla de migracin inicial y usar despus el MTE para modificar la tabla. El script CreateMigrationTable.wsf admite rellenar automticamente una tabla de migracin usando un GPO actual o una ubicacin de copias de seguridad de objetos GPO. Tambin puede hacer que todos los GPO de un dominio lean el script. En ese caso, todas las entidades de seguridad que se encuentren en los GPO del dominio de ensayo se insertan en la tabla de migracin y esa sola tabla se puede usar para la migracin de cualquier GPO desde ese dominio de ensayo a un dominio de produccin. Tenga en cuenta que el script siempre incluye las entidades de seguridad que forman parte de la lista DACL del GPO, a diferencia del editor MTE, que da la opcin de excluirlas. El script tiene tambin una opcin para establecer el nombre de destino en Asignar por nombre relativo en lugar del valor predeterminado Igual al origen. Use la opcin /MapByName para implementar nombres relativos. El siguiente comando muestra cmo se puede usar el script. En este comando, un GPO denominado Finance OU Desktop Policy se encuentra en un dominio de ensayo denominado staging.contoso.com. Este comando rellena automticamente la tabla de migracin denominada FinanceStaging.migtable a partir del GPO actual:
Cscript.exe CreateMigrationTable.wsf c:\migtables\FinanceStaging.migtable /GPO: "Finance OU Desk
Para crear una tabla de migracin a partir de la copia de seguridad de este GPO en lugar de la copia activa, simplemente agregue la opcin /BackupLocation a la sintaxis del comando y proporcione la ruta de acceso de la carpeta que contiene la copia de seguridad del GPO. Tenga en cuenta que, si usa la opcin /BackupLocation y hay ms de un GPO de copia de seguridad en esa ruta de acceso a la carpeta, se usarn todas las copias de seguridad de GPO para rellenar la tabla de migracin.
Preparaciones finales para la implementacin

Como paso final antes de la implementacin de produccin, debe crear copias de seguridad de los GPO de ensayo. Se necesita una copia de seguridad si va a usar una importacin de GPO para realizar la migracin del entorno de ensayo al de produccin. Este mtodo es necesario cuando el entorno de ensayo es un bosque separado del dominio de produccin y sin relaciones de confianza con l, o cuando es necesario actualizar un GPO que ya existe en el entorno de produccin. Puede usar GPMC para crear copias de seguridad de uno o varios GPO; o bien, puede usar el script de ejemplo BackupGPO.wsf para crear una copia de seguridad de un solo GPO o de todos los GPO del dominio de ensayo. Para crear una copia de seguridad de un GPO con GPMC, en el rbol de consola de GPMC, haga clic con el botn secundario en el GPO del que desea crear una copia de seguridad y, a continuacin, haga clic en Copia de seguridad. Para crear una copia de seguridad de un GPO con BackupGPO.wsf, ejecute el script desde la carpeta Archivos de
programa\Microsoft Group Policy\GPMC Sample Scripts. La siguiente sintaxis de la lnea de comandos crea una copia de seguridad del GPO Finance OU Workstation Security Policy del dominio staging.contoso.com en la carpeta c:\gpobacks:
Cscript.exe backupgpo.wsf "Finance OU Workstation Security Policy" c:\gpobacks /comment:"Backup
Esta sintaxis incluye un comentario que indica el propsito de la copia de seguridad.
Implementacin de objetos GPO ensayados en el entorno de producci n

Una vez que ha construido el entorno de ensayo, lo ha sincronizado con el entorno de produccin, ha probado los GPO nuevos y modificados, y ha creado las tablas de migracin, est preparado para realizar la implementacin de produccin real.
Precauciones de implementacin
Para garantizar un servicio ininterrumpido a los usuarios, es conveniente tener en cuenta algunas precauciones a la hora de migrar objetos GPO ensayados al entorno de produccin. Si bien migrar objetos GPO nuevos suele ser un proceso rpido que no afecta negativamente a los usuarios o equipos de produccin, es prudente evitar realizar el cambio hasta que el nmero de usuarios que se vern afectados sea el mnimo. Normalmente, esto puede ser fuera de horas de trabajo, cuando los usuarios no estn activos en la red. Recuerde que, cuando se actualiza un GPO, la actualizacin se realiza primero con el controlador de dominio que es destinatario de GPMC para un dominio concreto. Si usa GPMC para realizar la migracin, puede hacer clic en el elemento Dominios en el rbol de consola y comprobar qu controlador de dominio se est usando actualmente para cada dominio bajo administracin. Para cambiar el controlador de dominio, en el rbol de consola de GPMC, haga clic con el botn secundario en el nombre del dominio, elija Cambiar el controlador de dominio y especifique el nuevo controlador de dominio antes de migrar los cambios.
Replicacin de GPO
Tenga en cuenta que los cambios de objetos GPO se propagan segn las topologas de replicacin de Active Directory y Sysvol, y, por tanto, la replicacin en todas las ubicaciones de una implementacin de Active Directory mundial puede tardar un tiempo considerable. Asimismo, tenga presente que un GPO se compone de dos partes: la parte que se almacena y que se replica como parte de Active Directory, y la parte que se almacena y se replica como parte de Sysvol. Puesto que estas partes son dos objetos separados que tienen que replicarse a travs de la red, ambas deben sincronizarse antes de aplicar un nuevo GPO. Puede ver el estado de replicacin en un controlador de dominio determinado con GPMC. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque o dominio que contiene los GPO que desea aplicar, haga clic en un GPO que vaya comprobar y, a continuacin, haga clic en la ficha Detalles del panel de detalles. Si el GPO est sincronizado en ese controlador de dominio, los nmeros de versin de Active Directory y Sysvol sern idnticos para la configuracin de usuario y equipo. Sin embargo, no es necesario que los nmeros de versin de usuario coincidan con los nmeros de versin de equipo.
Requisitos para realizar la implementacin

El primer requisito que se debe tener presente cuando se prepara la migracin de objetos GPO ensayados al entorno de produccin es si se tienen permisos suficientes en los GPO de destino. Normalmente, solo es necesario acceso de lectura al dominio de origen para completar una implementacin. Dependiendo de la configuracin del entorno de ensayo, puede ser necesario seguir varios pasos especficos antes de la migracin. Si va a realizar una operacin de copia, deber permisos suficientes para crear un nuevo GPO en el dominio de destino. Si va a importar la copia de seguridad de un GPO, deber poder leer los archivos de copia de seguridad, dondequiera que estn almacenados, y tener suficientes permisos para modificar un GPO existente en el dominio de destino de la operacin de importacin. Finalmente, debe asegurarse de que la tabla de migracin que cre para cada GPO que requiere una se almacena en un lugar que le sea accesible cuando est realizando la migracin. La siguiente lista de comprobacin resume los elementos que se deben comprobar antes de ejecutar la migracin: Para una operacin de copia: Asegrese de que el dominio de destino es de confianza para el dominio de origen y de que tiene permisos para crear objetos GPO en el dominio de destino. Puede confirmar los permisos de creacin de GPO en un dominio con GPMC. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el dominio de destino y, a continuacin, haga clic en la ficha Delegacin para comprobar los usuarios o grupos que pueden crear nuevos GPO en el dominio. Para una operacin de importacin: asegrese de que tiene acceso a los archivos de GPO de copia de seguridad y de que tiene el permiso Editar configuracin en el GPO de destino. Si va a usar una tabla de migracin (.migtable): asegrese de que tiene acceso al archivo desde GPMC.
Ejemplos de implementacin
Los dos ejemplos siguientes muestran la implementacin de los GPO desde entornos de ensayo a entornos de produccin. En el primer ejemplo, el dominio de ensayo se encuentra en el mismo bosque que el dominio de produccin. En el segundo ejemplo, el dominio de ensayo est en un bosque separado en el que no confa el dominio de produccin. Si usa un bosque de ensayo separado en el que confa el dominio de produccin, los pasos son los mismos que en el primer ejemplo, donde el dominio de ensayo forma parte del bosque de produccin.
Ensayo en un dominio de produccin en un solo bosque o desde un bosque de ensayo de confianza

Cuando el dominio de ensayo forma parte del bosque de produccin o si se dispone de un bosque de ensayo separado en el que confa el dominio de produccin, el mtodo de implementacin depende de si el GPO es nuevo o modificado. Si el GPO es nuevo y no existe en el dominio de produccin, use el mtodo de copia para implementar el nuevo GPO. Si va a implementar una actualizacin de un GPO existente, debe usar el mtodo de importacin para actualizar la configuracin del GPO de produccin con la configuracin de la copia de seguridad del GPO de ensayo. En este ejemplo, implementar un nuevo GPO denominado Directiva de seguridad de estacin de trabajo de la OU Ventas desde el dominio de ensayo al dominio de produccin mediante GPMC. En la figura 11, se muestra la configuracin de los dominios de ensayo y produccin, as como la tabla de migracin.
Antes de comenzar la implementacin, cargue los dominios de origen y destino en GPMC. Si la copia se realiza desde un bosque separado de confianza, abra ambos bosques en GPMC.
Para implementar un nuevo GPO mediante el mtodo de copia

1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el dominio de ensayo. 2. Haga clic con el botn secundario en el GPO que planea copiar y, a continuacin, haga clic en Copiar. 3. En el rbol de consola de GPMC, haga clic con el botn secundario en Objetos de directiva de grupo en el dominio de produccin y, a continuacin, haga clic en Pegar. Se abre el asistente para copiar. 4. En la pgina de bienvenida del asistente para copiar, haga clic en Siguiente. 5. Seleccione Conservar o migrar los permisos de los GPO originales y haga clic en Siguiente. Esta opcin permite usar una tabla de migracin para asignar la lista DACL del GPO de ensayo a sus equivalentes de produccin. Si selecciona la primera opcin, Usar permisos predeterminados para nuevos GPO, este GPO recibe los permisos predeterminados que se aplicarn a cualquier GPO nuevo del dominio de produccin. 6. Una vez que el asistente completa el examen del GPO de origen para determinar los requisitos de asignacin de entidades de seguridad o rutas de acceso UNC, haga clic en Siguiente. 7. En la pgina Migrar referencias, seleccione Usando esta tabla de migracin para asignarlos a nuevos valores en los nuevos GPO. Esta opcin permite elegir una tabla de migracin para usarla como parte de la implementacin. Puesto que va a migrar un nuevo GPO desde el entorno de ensayo al entorno de produccin, debe elegir esta opcin. La
opcin alternativa, Copindolas de forma idntica al origen, deja todas las entidades de seguridad y rutas de acceso UNC en el nuevo GPO exactamente como estn en el origen. 8. En la misma pgina, si desea que la migracin no progrese si hay una entidad de seguridad o una ruta de acceso UNC en el GPO de origen que no est en la tabla de migracin, seleccione Usar tabla de migracin de manera exclusiva. Si selecciona esta opcin, el asistente intentar asignar todas las entidades de seguridad y rutas de acceso UNC utilizando la tabla de migracin que especifique. Esto es til para garantizar que ha incluido todas las entidades de seguridad y rutas de acceso UNC en la tabla de migracin. 9. Haga clic en Siguiente. 10. En la pgina de finalizacin del asistente, confirme que especific las opciones de migracin correctas y haga clic en Finalizar. Tras hacer clic en Finalizar, comienza la migracin del GPO de ensayo. Tenga en cuenta que el nuevo GPO se va a crear en el dominio de produccin, pero no se vincular an a ningn objeto de contenedor. 11. Cuando el asistente complete la operacin de copia, haga clic con el botn secundario en el sitio, dominio o unidad organizativa de Active Directory a la que desea vincular el GPO copiado y seleccione Vincular un GPO existente. 12. En el cuadro de dilogo Seleccionar GPO, seleccione el GPO que acaba de copiar. Una vez que ha vinculado el nuevo GPO y se ha completado la replicacin, el GPO est activo en el dominio de produccin.
Uso de un script para realizar una implementacin mediante copia

Tambin puede realizar una implementacin mediante copia usando el script CopyGPO.wsf. Este script copia un GPO del dominio de ensayo al dominio de produccin en un solo comando. Para realizar la misma operacin de copia descrita en el procedimiento anterior, use el siguiente comando:
Cscript CopyGPO.wsf "Directiva de seguridad de estacin de trabajo de la OU Ventas" "Directiva d
Los dos primeros argumentos de este comando especifican el mismo nombre para los GPO de origen y de destino. Los cuatro argumentos siguientes especifican los nombres de dominio de origen y de destino y el controlador de dominio de cada dominio. El argumento /migrationtable especifica la tabla de migracin que se debe usar y el argumento /CopyACL se usa para conservar la lista DACL del GPO de origen y usar la tabla de migracin especificada para asignar las listas DACL de origen a sus equivalentes en el dominio de produccin.
Implementacin en un dominio de produccin desde un bosque de ensayo que no es de confianza

Si va a implementar un GPO desde un bosque de ensayo que no es de confianza para el bosque de produccin, la nica opcin para realizar la implementacin es una operacin de importacin. Tambin puede usar una operacin de importacin para implementar una actualizacin de un GPO existente en el dominio de produccin, incluso si existe una relacin de
confianza entre los dominios de ensayo y produccin.
Requisitos previos de una operacin de importacin

Antes de realizar la implementacin de este ejemplo, asegrese de lo siguiente: Si va a implementar un nuevo GPO con GPMC, debe crear primero un GPO nuevo vaco en el dominio de produccin que pueda actuar como destino para la operacin de importacin. Recuerde que la operacin de importacin de GPMC funciona importando en un GPO de destino existente la configuracin de directiva de una copia de seguridad de un GPO. Sin embargo, tambin puede usar ImportGPO.wsf para crear un nuevo GPO de forma automtica, como parte del proceso de importacin. Antes de comenzar la importacin, asegrese de hacer copias de seguridad de los GPO del dominio de ensayo que planea implementar en el dominio de produccin. Esto es necesario porque la operacin de importacin utiliza copias de seguridad de objetos GPO en lugar de los GPO activos. Si va a usar GPMC en lugar de un script para realizar la importacin, puede crear una copia de seguridad del GPO de produccin actual antes de realizar la importacin. Siempre debe crear una copia de seguridad de un GPO de produccin existente antes de implementar una nueva versin por si hay problemas con la implementacin. De esta forma, puede realizar una operacin de restauracin desde GPMC para restaurar la versin anterior del GPO. Tras realizar estas tareas, use el siguiente procedimiento para implementar un nuevo GPO en el entorno de produccin usando la operacin de importacin.
Para implementar un nuevo GPO en el dominio de produccin usando la operacin de importacin

1. En el rbol de consola de GPMC, expanda Objetos de directiva de grupo en el dominio de produccin. 2. Haga clic con el botn secundario en el GPO que va a actualizar y, a continuacin, haga clic en Importar configuracin. Se abre el Asistente para importar configuracin. 3. En la pgina de bienvenida, haga clic en Siguiente. 4. En la pgina Hacer copia de seguridad de GPO, haga clic en Copia de seguridad para crear una copia de seguridad del GPO de produccin existente antes de realizar la importacin. 5. En el cuadro de dilogo Copia de seguridad Objeto de directiva de grupo, especifique la ubicacin donde est almacenada la copia de seguridad del GPO, escriba una descripcin para la copia de seguridad y haga clic en Copia de seguridad. 6. Una vez completada la copia de seguridad del GPO, un mensaje indica que la copia de seguridad se realiz correctamente. Haga clic en Aceptar. 7. En la pgina Hacer copia de seguridad de GPO, haga clic en Siguiente. 8. En la pgina Ubicacin de copia de seguridad, especifique la carpeta que contiene la copia de seguridad del GPO de ensayo que desea importar. Debe tener acceso a la carpeta donde cre la copia de seguridad de los GPO de ensayo. Si las copias de seguridad se completaron en un servidor del bosque de ensayo, puede ser necesario asignar una unidad a la
carpeta del equipo donde va a ejecutar la operacin de importacin, usando credenciales del bosque de ensayo. 9. Haga clic en Siguiente. 10. En la pgina GPO de origen, seleccione el GPO de ensayo que desea importar y haga clic en Siguiente. 11. En la pgina Examinar copias de seguridad, el asistente examina la configuracin de directiva de la copia de seguridad para determinar las referencias a entidades de seguridad o rutas de acceso UNC que se deben transferir, y despus muestra los resultados del examen. 12. Haga clic en Siguiente. 13. En la pgina Migrar referencias, seleccione Usando esta tabla de migracin para asignarlos a nuevos valores en los nuevos GPO y especifique una ruta de acceso a la tabla de migracin que cre para esta migracin. Esta opcin permite elegir una tabla de migracin para usarla como parte de la implementacin. Puesto que va a implementar un GPO desde un dominio de ensayo que no tiene una relacin de confianza con el dominio de produccin, debe usar una tabla de migracin para migrar la informacin de entidades de seguridad y rutas de acceso UNC. De lo contrario, las entidades de seguridad y rutas de acceso UNC a las que se hace referencia en el bosque que no es de confianza no se pueden resolver en el dominio de produccin. 14. En la misma pgina, si desea que la migracin no progrese si hay una entidad de seguridad o una ruta de acceso UNC en el GPO de origen que no est en la tabla de migracin, seleccione Usar tabla de migracin de manera exclusiva. Use esta opcin solo para importar el GPO si todas las entidades de seguridad de la copia de seguridad se incluyen en la tabla de migracin. 15. Haga clic en Siguiente. 16. En la pgina de finalizacin del asistente, confirme que especific las opciones de migracin correctas y haga clic en Finalizar. Tras hacer clic en Finalizar, comienza la migracin del GPO de ensayo. Una vez que el asistente completa la operacin de importacin, un mensaje indica que la importacin se realiz correctamente. 17. Haga clic en Aceptar. Si cre un nuevo GPO de produccin para realizar esta importacin, debe vincular el nuevo GPO al objeto de contenedor correspondiente. Para vincular el GPO al objeto de contenedor apropiado, en el rbol de consola de GPMC, en el dominio de produccin, haga clic con el botn secundario en el sitio, dominio o unidad organizativa de Active Directory a la que desea vincular el GPO importado, haga clic en Vincular un GPO existente, especifique el GPO que desea vincular y haga clic en Aceptar. Una vez que ha vinculado el nuevo GPO y se ha completado la replicacin, el GPO est activo en el dominio de produccin.
Uso de un script para realizar una implementacin mediante importacin

Tambin puede realizar una importacin usando el script ImportGPO.wsf. Este script permite importar una copia de seguridad de un GPO en el dominio de produccin. Si el GPO de destino no existe an, el script permite tambin crear un nuevo GPO para que reciba la importacin como parte del proceso. Para realizar la misma operacin de importacin descrita en el procedimiento anterior, escriba el siguiente comando:
Cscript ImportGPO.wsf c:\gpobacks "Directiva de seguridad de estacin de trabajo de la OU Ventas
El primer argumento del comando especifica la ubicacin de los archivos de copia de seguridad de objetos GPO. El segundo argumento especifica el nombre de la copia de seguridad de GPO desde la que se importa (en su lugar, puede proporcionar el identificador de copia de seguridad, que es un GUID de 128 bits generado por la utilidad de copia de seguridad para identificar unvocamente la copia de seguridad). El tercer argumento especifica el nombre del GPO de destino en el que se importa. El argumento /CreateIfNeeded indica que, si el GPO de destino no existe an, debe crearse antes de realizar la importacin. El argumento /MigrationTable especifica la ruta de acceso y el nombre del archivo de tabla de migracin. El argumento /Domain proporciona el nombre DNS del dominio de destino.
Reversin
En caso de que tenga algn problema con un GPO despus de implementarlo desde el entorno de ensayo al entorno de produccin, la mejor forma de revertir la implementacin es usar la copia de seguridad del GPO que cre para restaurar el GPO original. Tambin puede usar el script RestoreGPO.wsf para realizar el proceso de restauracin. Como parte de la implementacin, se recomienda crear un conjunto de scripts que pueda usar para realizar la reversin automtica de todos los cambios usando RestoreGPO.wsf. En caso de que sea necesario realizar una reversin, el script est listo y disponible para usarlo con una interrupcin mnima para el usuario.
Recursos adicionales para la directiva de grupo

Sito TechCenter de la directiva de grupo (http://go.microsoft.com/fwlink/?LinkId=109523) (puede estar en ingls) Artculos sobre la directiva de grupo en el sitio Microsoft Ayuda y soporte para Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=109524) (pueden estar en ingls). Ayuda de GPMC para obtener informacin detallada acerca del uso de GPMC para implementar la directiva de grupo. Ayuda de valores de configuracin de directiva de grupo especficos en la vista extendida predeterminada cuando realice operaciones de edicin en GPMC (seleccione un valor de configuracin de directiva de grupo para ver informacin detallada del mismo). Lista de la A a la Z de los comandos de Windows Server 2008, para obtener ms informacin acerca de las herramientas de la lnea de comandos como Dcgpofix.exe, Gpupdate.exe y Gpresult.exe (http://go.microsoft.com/fwlink/?LinkId=109525) (puede estar en ingls).
Te h a resu ltado til?
No
Adiciones de comunidad
AGREGAR
Administre su perfil | | | | | Boletn Contacte con nosotros Privacidad y Cookies Condiciones de Uso Marcas registrada Comentario del sitio
2013 Microsoft

Idioma

¡Te damos la bienvenida a Scribd!

Guía de planeación e implementación de directivas de grupo

Cargado por

Información del documento

Fecha en que fue cargado

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Descripción:

Copyright:

Formatos disponibles

Guía de planeación e implementación de directivas de grupo

Cargado por

Descripción:

Copyright:

Formatos disponibles

Títulos relacionados

Tech Net

So p o rte tcn ico

Gua de planeacin e implementacin de directivas de grupo

Informacin general sobre la directiva de grupo

Proceso para implementar una solucin de directiva de grupo

Qu debe hacer antes de disear la solucin de directiva de grupo

Requisitos administrativos de la directiva de grupo

directivas de grupo (GPMC)

Aplicacin de la directiva de grupo a cuentas de usuario y equipo nuevas

Consideraciones sobre sitios y replicacin

Cumplimiento de acuerdos de nivel de servicio

Definicin de los objetivos de la directiva de grupo

Evaluacin de prcticas corporativas existentes

Definicin de los objetivos de la directiva de grupo

Planeamiento de la administracin continua de la directiva de grupo

Identificacin de problemas de interoperabilidad

Determinacin de cundo se aplican los cambios de directiva de grupo

Intervalo de actualizacin de la directiva

Desencadenamiento de una actualizacin de directiva de grupo

Identificacin de problemas de instalacin de software

Diseo del modelo de directiva de grupo

Definicin del mbito de aplicacin de la directiva de grupo.

Determinacin del nmero de objetos GPO necesarios

Vinculacin de objetos GPO

Vinculacin de objetos GPO al sitio

Vinculacin de objetos GPO al dominio

Restauracin del GPO de la directiva

predeterminada de dominio y del GPO de la directiva predeterminada de controladores de dominio

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

Tabla 1 Opciones de la lnea de comandos de Dcgpofix.exe

/target: DOMAIN o /target: DC o

Vinculacin de objetos GPO a la estructura de unidades organizativas

Cambio del orden de vnculos de objetos GPO

Uso de filtrado de seguridad para aplicar objetos GPO a grupos seleccionados

Aplicacin de filtros WMI

Establecimiento de opciones de filtrado WMI

Tabla 2 Filtros WMI de ejemplo

Registro de eventos de Windows Versin del sistema operativo

Equipos que ejecutan Windows Server 2003 y posterior

Inventario de hardware Configuracin de hardware Asociaciones de servicios

Equipos con un procesador Pentium III

Filtros WMI de ejemplo

Eleccin de destinatarios basada en el sistema operativo

Select * from Win32_OperatingSystem where Caption like "%Vista%"

Eleccin de destinatarios basada en un inventario de hardware

Select * from Win32_POTSModem Where Name = " MyModem"

Eleccin de destinatarios basada en la configuracin

Select * from Win32_NetworkProtocol where SupportsMulticasting = true

Eleccin de destinatarios basada en la cantidad de espacio en disco y el tipo de sistema de archivos

Para crear un filtro WMI

Uso de la herencia de directivas de grupo

Ejemplo: principio "lo ltimo es lo que vale" (last-writer-wins)

Implementacin de la directiva de grupo

Creacin y trabajo con objetos GPO

Para crear un GPO desvinculado

Para editar un GPO

Para vincular un GPO

Para crear y vincular un GPO