CAPITULO 5 Implementacion Administracion y Administracion de Group Policy

Captulo 5 | Pgina 1 |
Captulo 5
Implementacin, Administracin
y Monitoreo de Group Policy
Durante este captulo Usted ir asimilando los conocimientos que necesita para hacer una correcta
administracin, diseo e implementacin de Group Policy.
Para poder realizar las prcticas de esta unidad es necesario que haya concluido las prcticas de los captulos 2 y 3.
1. Introduccin
Usted utiliza Group Policy en Active Directory para centralizar el maneo de usuarios y computadoras en una
empresa. !on"i#urando Group Policy puede centralizar policies para una or#anizaci$n entera% dominio% sitio u
or#anizational unit% y asimismo puede descentralizar la con"i#uraci$n de Group Policy% con"i#urndolo para cada
departamento en el nivel or#anizational unit.
Usted puede ase#urarse que los usuarios ten#an los am&ientes que requieren para realizar sus tra&aos y hacer
cumplir las polticas de las or#anizaciones% incluyendo re#las de ne#ocio% metas y requisitos de se#uridad. Adems%
puede &aar el 'otal !ost o" ()nership controlando am&ientes del usuario y de computadora% de modo tal que se
reduzca el nivel de ayuda t*cnica a los usuarios y la productividad perdida de los mismos a causa de sus errores.
Al terminar este captulo Usted podr:
!rear y con"i#urar Group Policy o&ects +GP(s,.
!on"i#urar intervalos de actualizaci$n de Group Policy y con"i#uraciones de Group Policy.
Administrar GP(s.
1.1. !u" es Group Policy#
Group Policy le otor#a control de administraci$n so&re los usuarios y las computadoras de su red% y por lo
tanto le permite de"inir el estado del am&iente de tra&ao de los usuarios una sola vez% con"iando en
-icroso"t .indo)s /erver 2003 para hacer cumplir continuamente la con"i#uraci$n de Group Policy que
de"ini$. 'am&i*n podr aplicar con"i#uraciones de Group Policy a trav*s de una or#anizaci$n entera o a
#rupos espec"icos de usuarios y de computadoras.

www.microsoft.com/argentina/technet
1 2003 -icroso"t !orporation. 'odos los derechos reservados. 'erminos de Uso

Captulo 5 | Pgina $ |
Para ms in"ormaci$n acerca de
Group Policy2
-icroso"t 3ntelli-irror.
Group Policy /ettin#s (vervie).
1.$. !u" son %ser y Computer Con&iguration 'ettings#
Usted puede hacer cumplir los Group Policy /ettin#s para las computadoras y los usuarios usando !omputer
!on"i#uration y User !on"i#uration en Group Policy.
Group Policy Settins para usuarios incluye
con"i#uraciones espec"icas del sistema operativo%
con"i#uraciones de escritorio% con"i#uraciones de
se#uridad% opciones de aplicaciones assi#ned y
pu&lished% con"i#uraciones de aplicaciones%
opciones de "older redirection% y scripts de user
lo#on y lo#o"". 4os Group Policy /ettin#s de
usuario se aplican cuando los usuarios inician
sesi$n en la computadora y durante un ciclo de
actualizaci$n peri$dico.
Group Policy /ettin#s modi"ica el am&iente de
escritorio del usuario para los requisitos
particulares o hace cumplir loc5do)n policies en
usuarios% y est contenido de&ao de User
!on"iuration en el editor de Group Policy
(&ect.
De#a$o de User !on"iuration, tam#i%n se encuentran:
4a carpeta /o"t)are /ettin#s2 contiene con"i#uraciones de so"t)are que se aplican a los usuarios sin
importar en qu* computadora inicien sesi$n. 6sta carpeta tam&i*n contiene con"i#uraciones que se coloquen
all de 3ndependent /o"t)are 7endors +3/7s,.
4a carpeta .indo)s /ettin#s2 contiene con"i#uraci$n .indo)s que se aplica a los usuarios sin importar en
qu* computadora inicien sesi$n. 6sta carpeta tam&i*n contiene los si#uientes puntos2 (older )edirection,
'ecurity 'ettings y 'cripts.
Group Policy /ettin#s para las computadoras incluye la manera en que el sistema operativo se comporta% el
comportamiento de escritorio% con"i#uraciones de se#uridad% scripts de startup y shutdo)n% opciones de
aplicaciones assi#ned a la computadora y con"i#uraciones de aplicaciones. 4as Group Policy relacionadas a la
computadora% se aplican cuando el sistema operativo se inicializa y durante un ciclo peri$dico de


Captulo 5 | Pgina * |
actualizaci$n. 6n #eneral% las con"i#uraciones de computadora Group Policy toman precedencia al estar en
con"licto con Group Policy de usuario.
4as Group Policy /ettin#s que modi"ican el am&iente para requisitos particulares de escritorio y para todos los
usuarios de una computadora% o que hacen cumplir las polticas de se#uridad en las computadoras de una
red% se contienen de&ao de !omputer !on"iuration en el editor de Group Policy (&ect.
De#a$o de !omputer !on"iuration, tam#i%n se encuentran:
4a carpeta /o"t)are /ettin#s2 contiene las con"i#uraciones de so"t)are que se aplican a todos los usuarios
que inicien sesi$n en la computadora. 6sta carpeta posee con"i#uraci$n de instalaci$n de so"t)are y puede
contener otras con"i#uraciones que se coloquen all de 3/7s.
4a carpeta .indo)s /ettin#s2 contiene con"i#uraciones .indo)s que se aplican a todos los usuarios que
inicien sesi$n en la computadora. 6sta carpeta tam&i*n contiene los si#uientes puntos2 'ecurity 'ettings y
'cripts.


Captulo 5 | Pgina + |
Security Settins est disponi&le de&ao de la carpeta .indo)s /ettin#s que se encuentra de&ao de
!omputer !on"i#uration y User !on"i#uration en el editor de Group Policy (&ect. /ecurity /ettin#s o /ecurity
Policies son las re#las que Usted con"i#ura en una computadora o las computadoras m8ltiples que prote#en
recursos en una computadora o una red. !on /ecurity /ettin#s% Usted puede especi"icar /ecurity Policy de
una or#anizational unit% domain o site.
Para ms in"ormaci$n so&re e9tender Group Policy% ver los m*todos Avanzados e9tendiendo Group Policy en2
http2::))).microso"t.com:technet:treevie):de"ault.asp;url<
:technet:prodtechnol:)indo)sserver2003:proddocs:server:sa#=/Pconcepts=30.asp
1.*. Prctica 1, Con&igurando -ocal Computer Policy 'ettings
Para arear Group Policy &#$ect 'ditor a una !ustom((! de#er:
>. A&rir una !ustom--!.
2. A#re#ar el snap?in Group Policy (&ect 6ditor.
3. Guardar la !ustom--!.
Para e)itar que los usuarios apauen el ser)idor usando *ocal Policy Settin de#er:
>. 69pandir% en la !ustom--!% el snap?in *ocal !omputer Policy.
2. 69pandir% en la consola% User !on"iuration. 69pandir Administrati)e +emplates y
despu*s hacer clic5 en /tart (enu and +as,#ar.
3. @acer do&le?clic5 en -emo)e and pre)ent access to the Shut Do.n command% del
panel de los detalles
A. @acer clic5 en 'na#led del cuadro -emo)e and pre)ent access to the Shut Do.n
command Properties% y despu*s hacer clic5 en &/.
B. !errar y #uardar todos los pro#ramas y hacer lo# o"".
Para pro#ar la policy de#er:
>. 3niciar sesi$n como User con una contraseCa.
2. @acer !lic5 en Start y veri"icar que el &ot$n Shut Do.n se haya quitado del men8 Start.
3. !errar y #uardar todos los pro#ramas y hacer lo# o"".
1.+. -as .erramientas usadas para crear GP/s
Acti)e Directory Users and !omputers
Usted puede a&rir el editor de Group Policy (&ect desde Active Directory Users and !omputers para
administrar GP(s para dominios y or#anizational units. 6n el cuadro Properties para un dominio u
or#anizational unit% hay una len#Deta Group Policy% con la cual se puede manear GP(s para el dominio u
or#anizational units.
Acti)e Directory Sites and Ser)ices
Usted puede a&rir el editor de Group Policy (&ect desde Active Directory /ites and /ervices para manear
GP(s de sites. 6n el cuadro Properties para el site% hay una len#Deta Group Policy% con la cual se puede
manear GP(s para el site.
Group Policy (anaement !onsole
4a Group Policy -ana#ement !onsole es un sistema de inter"ases pro#rama&les para el maneo de Group
Policy% as como las --! snap?in que se construyen en estas inter"ases pro#rama&les tam&i*n. 4os
componentes de Group Policy -ana#ement% por su parte% consolidan la administraci$n de Group Policy a
trav*s de la empresa.


4a Group Policy -ana#ement !onsole com&ina la "uncionalidad de componentes m8ltiples en una sola
inter"az de usuario +U3,. 4a U3 se estructura para emparear la manera en que se utiliza y manea Group
Policy. Asimismo incorpora la "uncionalidad relacionada con Group Policy de las herramientas si#uientes en
una sola --! snap?in2
Active Directory Users and !omputers
Active Directory /ites and /ervices
Eesultant /et o" Policy +E/oP,
Group Policy -ana#ement tam&i*n proporciona las si#uientes capacidades e9tendidas que no esta&an
disponi&les en herramientas anteriores de Group Policy. !on Group Policy -ana#ement% Usted puede2
@acer Fac5 up y restore de GP(s.
!opiar e importar GP(s.
Usar "iltros .indo)s -ana#ement 3nstrumentation +.-3,.
Generar reportes de GP( y E/oP.
F8scar para GP(s.
Group Policy (anaement )s. de"ault Group Policy tools
Antes de Group Policy -ana#ement% Usted administra&a Group Policy usando una variedad de herramientas
.indo)s% incluyendo Active Directory Users and
!omputers% Active Directory /ites and /ervices y E/oP. Pero ahora% Group Policy -ana#ement consolida la
administraci$n de todas las tareas &ase de Group Policy en una sola herramienta. Gracias a esta
administraci$n consolidada% la "uncionalidad de Group Policy ya no es requerida en las otras herramientas.
Despu*s de instalar Group Policy -ana#ement% Usted a8n utiliza cada una de las herramientas de Active
Directory para sus prop$sitos previstos de administraci$n de directorio% por eemplo% crear un usuario%
computadora y #rupo. /in em&ar#o% usted puede utilizar Group Policy -ana#ement para realizar todas las
tareas relacionadas con Group Policy. 4a "uncionalidad de Group Policy ya no estar disponi&le con las
herramientas de Active Directory cuando instale Group Policy -ana#ement.
Group Policy -ana#ement no sustituye al editor de Group Policy (&ect. Usted todava de&e editar GP(s%
usando el editor de Group Policy (&ect. Group Policy -ana#ement inte#ra la "uncionalidad de edici$n
proporcionando acceso directo al editor de Group Policy (&ect.
0ota, 4a Group Policy -ana#ement !onsole no viene con .indo)s /erver 2003.
%sted de1e descargarlo de,
http2::))).microso"t.com:do)nloads:details.asp9;Gamily3d<G3H6HDI0?J6A>?AHAJ?K2GB?
3330G3JADG6FLdisplaylan#<en


1.5. Prctica $, Cmo crear una GP/#
Utilice los procedimientos si#uientes para crear un nuevo GP( o un lin5 a una GP( e9istente% usando Active
Directory Users and !omputers% y para crear una GP( en un site% dominio u or#anizational unit.
Para crear una GP& nue)a o hacer un lin, a una GP& e0istente usando Acti)e Directory Users and
!omputers:
>. @acer clic5 derecho en el contenedor de Acti)e Directory +dominio u or#anizational
unit,% que est en el Active Directory Users and !omputers% para crear una GP(. Despu*s
hacer clic5 en Properties.
2. 6le#ir una de las opciones si#uientes% en el cuadro Properties% so&re la len#Deta Group
Policy2
Para crear una GP& nue)a% hacer clic5 en Me)% in#resar un nom&re para la GP( nueva
y presionar 6M'6E.
Para hacer un lin, a una GP& e0istente% hacer clic5 en Add y seleccionar la GP( de la
lista.
4a GP( o el lin5 que usted crea% se e9hi&e en la lista de GP(s que estn lin5eadas al contenedor de Active
Directory.
1.2. !u" es un GP/ -in3#
'odas las GP(s se almacenan en un contenedor de Active Directory llamado Group Policy (&ects. !uando
una GP( es utilizada por un site% dominio u or#anizational unit% la GP( es lin5eada al contenedor Group Policy
(&ects. !onsecuentemente% Usted puede centralizar la administraci$n y el deploy de GP(s a muchos
dominios u or#anizational units.
!uando Usted crea un GP( lin5 a un site% dominio u or#anizational unit% podr realizar dos operaciones
separadas2 crear la GP( nueva y lin5earla al site% dominio u or#anizational unit. Al dele#ar permisos para
lin5ear una GP( al dominio% or#anizational unit o site% Usted tendr que modi"icar los permisos para el
dominio% or#anizational unit o site que desee dele#ar.
Por de"ecto% solamente miem&ros de los #rupos Domain Admins y 6nterprise Admins tienen los permisos
necesarios para lin5ear GP(s a domains y or#anizational units. Nnicamente los miem&ros del #rupo


6nterprise Admins tienen los permisos para lin5ear GP(s a sites. -iem&ros del #rupo Group Policy !reator
()ners pueden crear GP(s% pero no pueden lin5ear.
!uando Usted crea una GP( en el contenedor Group Policy (&ects% la GP( no se aplica a nin#8n usuario o
computadora hasta que el GP( lin5 sea creado. Usted puede crear una unlin5ed GP( usando Group Policy
-ana#ement y tam&i*n puede lle#ar a crear unlin5ed GP(s en una or#anizaci$n #rande% donde un #rupo cree
GP(s y otro #rupo cree lin5s de GP(s al site% dominio u or#anizational unit.
1.4. Prctica *, Cmo crear un GP/ -in3#
Para realizar esta prctica de&er instalar previamente GP-!. +7ea el punto A.3 ms adelante, Utilice los
procedimientos si#uientes para crear y lin5ear GP(s.
Para lin5ear una GP( cuando usted lo crea2
>. 6n la Group Policy -ana#ement de la consola% e9pandir el "orest conteniendo el dominio en el cual Usted
desea crear y lin5ear la GP(. 69pandir Domains y realizar uno de los si#uientes pasos2
Para crear una GP& y lin,earla al dominio% hacer clic5 derecho en el dominio y despu*s hacer clic5 en
!reate and 4in5 a GP( @ere.
Para crear una GP& y lin,earla a una orani1ational unit% e9pandir el dominio que contiene la
or#anizational unit% hacer clic5 derecho en la or#anizational unit% y despu*s hacer clic5 en !reate and *in, a
GP& 2ere.
2. 6n el cuadro 3e. GP&% in#resar el nom&re para la GP( nueva y despu*s hacer clic5 en &/.
Para lin5ear una GP( e9istente al site% dominio u or#anizational unit2
>. 6n Group Policy -ana#ement de la consola% e9pandir el "orest conteniendo el dominio en el cual Usted
desea lin5ear una GP( e9istente. 69pandir Domains y el dominio.
2. @acer clic5 derecho en el dominio% site u or#anizational unit. Despu*s hacer clic5 en *in, an '0istin
GP&.
3. 6n el cuadro Select GP&% hacer clic5 en la GP( que Usted desea lin5ear y despu*s hacer clic5 en &/.
1.5. Cmo se .eredan permisos de Group Policy en Acti6e 7irectory#
4a orden en la cual .indo)s /erver 2003 aplica GP(s depende del contenedor de Active Directory al cual es
lin5eada la GP(. 4as GP(s se aplican primero al site% despu*s a dominios y por 8ltimo a or#anizational units
en los dominios.


Un contenedor child hereda GP(s del contenedor
parent. 6sto si#ni"ica que un contenedor child
puede tener muchos Group Policy /ettin#s aplicados
a sus usuarios y computadoras% sin tener un GP(
lin5eado a *l. /in em&ar#o% no hay erarqua de
dominios como en las or#anizational units% por
eemplo% las parent or#anizational units y child
or#anizational units.
4as GP(s son acumulativas% implicando que estn
heredadas. 4a herencia de Group Policy es el orden
en el cual .indo)s /erver 2003 aplica GP(s. 6ste
orden y la herencia de GP(s determinan% en 8ltima
instancia% qu* con"i#uraciones a"ectan a usuarios y
computadoras. /i hay GP(s m8ltiples que se "ian
en el mismo valor% por de"ecto la GP( que se aplic$
8ltima% tomar precedencia.
Usted puede tam&i*n tener GP(s m8ltiples lin5eadas al los mismos contenedores. Por eemplo% puede tener
tres GP(s lin5eadas a un solo dominio. 6l orden en el cual se aplican las GP(s puede a"ectar el resultado de
la con"i#uraci$n de Group Policy. @ay tam&i*n un orden o prioridad de Group Policy y de GP(s para cada
contenedor.
1.8. !u" sucede cuando .ay con&licto de GP/s#
4as com&inaciones compleas de GP(s pueden crear con"lictos y consecuentemente requerir modi"icar el
comportamiento de la herencia por de"ecto. !uando una con"i#uraci$n de Group Policy se con"i#ura para una
or#anizational unit parent y la misma con"i#uraci$n de Group Policy no se con"i#ura para la or#anizational
unit child% los o&etos de esta 8ltima heredan la con"i#uraci$n de Group Policy de la or#anizational unit
parent.
!uando se con"i#ura una Group Policy para am&as% or#anizacional unit parent y or#anizational units child% las
con"i#uraciones para estas or#anizational units se aplican. /i las con"i#uraciones son incompati&les% la
or#anizational unit child conserva sus propia con"i#uraci$n de Group Policy. Por eemplo% una con"i#uraci$n de
Group Policy para la or#anizational unit se aplica por 8ltimo a la computadora o el usuario so&reescri&e la que
est en con"licto de con"i#uraci$n de Group Policy para un contenedor% que es de ms alta erarqua en Active
Directory.
/i el orden de herencia por de"ecto no resuelve las necesidades de su or#anizaci$n% Usted puede modi"icar las
re#las de herencia para GP(s espec"icas. .indo)s /erver 2003 proporciona las dos si#uientes opciones para
cam&iar el orden de herencia por de"ecto2
3o &)erride
6sta opci$n se utiliza para prevenir que contenedores child eliminen una GP( con prioridad ms alta
de con"i#uraci$n. 6sta alternativa es 8til para hacer cumplir GP(s que representen re#las de ne#ocio
de la or#anizaci$n. 4a opci$n 3o &)erride se "ia so&re una &ase individual de GP(. Usted puede
"iar esta opci$n en una o ms GP(s se#8n lo requiera. !uando se "ia ms de una GP( en 3o
&)erride% la GP( ms alta en la erarqua de Active Directory% "iada en 3o &)erride% tomar
precedencia.


4loc, Policy inheritance
6sta opci$n se utiliza en contenedores child para &loquear herencia de todos los contenedores
parent. 6s 8til cuando una or#anizational unit requiere una 8nica con"i#uraci$n de Group Policy.
4loc, Policy inheritance se "ia &asndose en el contenedor. 6n caso de con"licto% la opci$n 3o
&)erride toma siempre precedencia so&re la opci$n 4loc, Policy inheritance.
1.19. :lo;ueo de 7eployment de GP/
Usted puede prevenir en un contenedor child la herencia
de cualquier GP( de los contenedores parent%
ha&ilitando 4loc, Policy inheritance en el contenedor
child. De esta manera% evita que el contenedor herede
todas las con"i#uraciones Group Policy. 6sto es 8til
cuando un contenedor de Active Directory requiere
con"i#uraciones 8nicas de Group Policy y Usted desea
ase#urarse que las con"i#uraciones de Group Policy no
se hereden. Por eemplo% se puede utilizar 4loc, Policy
inheritance cuando el administrador de una
or#anizational unit de&a controlar todas las GP(s para
ese container.


Al usar Floc5 Policy inheritance, de#er considerar lo siuiente:
Mo se puede ele#ir selectivamente qu* GP(s &loquea. 4loc, Policy inheritance a"ecta todas las GP(s de
todos los contenedores parent% e9cepto las GP(s con"i#uradas con la opci$n 3o &)erride sin GP-! instalada
y 'n"orced con GP-! instalada.
4loc, Policy inheritance no &loquea la herencia de una GP( lin5eada a un contenedor parent% si el lin5 se
con"i#ura con la opci$n 3o &)erride.
1.11. Cmo con&igurar Group Policy <n&orcement#
Importante, Antes de instalar Group Policy -ana#ement% la opci$n 'n"orced se llama Mo (verride en Active
Directory Users and !omputers.
Para con"iurar en"orcement de GP& lin, de#er:
>. 6n Group Policy -ana#ement de la consola% e9pandir el "orest con el lin5 en el cual Usted desea con"i#urar
el en"orcement. 4ue#o% se#uir uno de si#uientes pasos2
Para con"iurar en"orcement de GP& lin, a un dominio% e9pandir Domains y el dominio que
contiene el GP( lin5.
Para con"iurar en"orcement de GP& lin, a una orani1ational unit% e9pandir Domains y el
dominio que contiene la or#anizational unit. Despu*s e9pandir la or#anizational unit que pueda
incluir parent o child or#anizational unit y que conten#a el GP( lin5.
Para con"iurar en"orcement de GP& lin, a un site% e9pandir /ites% y lue#o e9pandir el site
que contiene el GP( lin5.


2. @acer clic5 derecho en el GP( lin5 y despu*s hacer clic5 en 'n"orced para permitir o inha&ilitar el
en"orcement.
1.1$. (iltrado de 7eployment de GP/
Por de"ecto% todos los Group Policy /ettin#s contenidos en las GP(s% a"ectan al contenedor y se aplican a
todos los usuarios y computadoras de ese contenedor% el cual no puede producir los resultados que Usted
desea. Usando la caracterstica de "iltrado% se puede determinar qu* con"i#uraciones se aplican a los usuarios
y a las computadoras en el contenedor espec"ico.
Usted puede "iltrar el deployment de GP( "iando permisos en el GP( 4in5 para determinar el acceso de
lectura o ne#ar el permiso en la GP(. Para que los Group Policy /ettin#s se apliquen a una cuenta de usuario
o de computadora% la cuenta de&e tener por lo menos el permiso de lectura para una GP(. 4os permisos por
de"ecto para una GP( nueva tienen el si#uiente Access !ontrol 6ntries +A!6s,2
Authenticated Users. Permitir read y permitir apply Group Policy
Domain Admins% 6nterprise Admins and /O/'6-. Permitir read% Permitir .rite% Permitir !reate All
!hild o&ects% Permitir Delete All !hild o&ects
Usted puede utili1ar los siuientes m%todos de "iltrado:
'0plicitly deny
6ste m*todo se utiliza al ne#ar el acceso a la Group Policy. Por eemplo% Usted podra ne#ar
e9plcitamente el permiso al #rupo de se#uridad de los administradores% lo cual prevendra a los
administradores en la or#anizational unit de la recepci$n de GP( /ettin#s.
-emo)e Authenticated Users
Usted puede omitir a los administradores de la or#anizational unit del #rupo de se#uridad% lo cual
si#ni"ica que no tienen nin#8n permiso e9plcito para la GP(.
Para ms in"ormaci$n acerca de Group Policy2
http2::support.microso"t.com:de"ault.asp9;scid<5&Pen?usP32AJA3
http2::microso"t.com:do)nloads:details.asp9;
Gamily3d<D2I6KKF!?DAAB?A6KG?AAA6?FH!2J0I>GJ!ALdisplaylan#<en


Captulo 5 | Pgina 1$ |
http2::))).microso"t.com:technet:treevie):de"ault.asp;url<:technet:
prodtechnol:)indo)sserver2003:mana#ement:#p:de"ault.asp
$. Administracin del entorno de usuario
4a administraci$n del entorno de usuario implica controlar lo que *stos pueden hacer cuando inician sesi$n en la red.
6sto se hace a trav*s de Group Policy% controlando las computadoras de escritorio% las cone9iones de red y las
inter"aces de usuario. Usted manea los am&ientes de usuario para ase#urarse que los mismos ten#an lo necesario
para realizar sus tra&aos. De esta manera% no podrn corromper o con"i#urar incorrectamente sus am&ientes.
!uando Usted con"iura y mane$a am#ientes de usuario de "orma centrali1ada, puede reali1ar las
siuientes tareas:
(ane$ar los usuarios y las computadoras. 6sto es posi&le controlando la con"i#uraci$n de escritorio del
usuario con policies &asadas en re#istry. As% Usted se ase#ura que los usuarios ten#an los mismos
am&ientes% incluso si ellos inician sesi$n de diversas computadoras. Asimismo% Usted puede controlar c$mo
-icroso"t .indo)s /erver 2003 manea el user pro"iles% el cual conoce la "orma en que los datos personales
de un usuario estn disponi&les. !on redirectin# user "olders de los discos duros locales del usuario a una
localizaci$n central en un servidor% Usted puede ase#urarse que los datos del usuario est*n disponi&les para
ellos% sin importar la computadora desde la cual inicien sesi$n.
Deploy so"t.are. 6l so"t)are se instala en las computadoras o en los usuarios con servicio de directorio
Active Directory. !on la instalaci$n del so"t)are% Usted puede ase#urarse que los usuarios ten#an sus
pro#ramas requeridos% service pac5s% y hot"i9es.
$.1. !u" son los Group Policy 'ettings <na1le o 7isa1le#
/i Usted inha&ilita un policy settin#% est inha&ilitando la acci$n del policy settin#. Por eemplo% los usuarios
por de"ecto pueden tener acceso al !ontrol Panel. Para ello% Usted no necesita inha&ilitar el policy settin#
Prohi#it access to the !ontrol Panel% a menos que previamente haya aplicado un policy settin#
ha&ilitndolo. 6n esta situaci$n% Usted ha&r "iado otro policy settin# para desha&ilitar el aplicado
previamente.
6sto es provechoso cuando se heredan policy settin#s y no se desea usar "iltrado para aplicar policy settin#s
a un #rupo y a otro no. Usted puede aplicar una GP( que permita un policy settin# en la parent
or#anizational unit y otro policy settin# que desha&ilite la GP( en la child or#anizational unit.


Captulo 5 | Pgina 1* |
/i Usted permite un policy settin#% estar consintiendo la acci$n del policy settin#. Por eemplo% para revocar
a al#uien acceso al !ontrol Panel% Usted puede permitir el policy settin# Prohi#it access to the !ontrol
Panel.
Un GP( lleva a ca&o los valores que cam&ian re#istry para los usuarios y las computadoras que estn
con"ormes al GP(. 4a con"i#uraci$n por de"ecto para un policy settin# es 3ot !on"iured. /i Usted desea
"iar a una computadora o a un usuario un policy settin#% de nuevo al valor pre"iado o de nuevo a la local
policy% de&er seleccionar la opci$n 3ot !on"iured. Por eemplo% Usted puede permitir un policy settin#
para al#unos clientes% y al usar la opci$n Mot !on"i#ured% la policy invertir a la policy por de"ecto% o local
policy settin#.
Al#unas GP(s requieren proporcionar una cierta in"ormaci$n adicional despu*s de permitir el o&eto. !iertas
veces Usted puede necesitar seleccionar un #rupo o una computadora si el policy settin# necesita volver a
diri#ir al usuario a una cierta in"ormaci$n. (tras veces% para permitir pro9y settin#s% Usted de&er
proporcionar el nom&re o la direcci$n 3nternet Protocol +3P, del pro9y server y el n8mero de puerto. /i el
policy settin# es multi?valued y los settin#s estn en con"licto con otro policy settin#% el con"licto de multi?
valued settin#s se su&stituyen por el 8ltimo policy settin# que "ue aplicado.
$.$. Prctica +, Cmo editar un Group Policy 'etting#
!omo administrador de sistemas% Usted de&e editar Group Policy settin#s. Utilice el si#uiente procedimiento
para realizar esta tarea.
>. 6n Group Policy -ana#ement de la consola% nave#ar los Group Policy
&#$ects.
2. @acer clic5 derecho en la GP( y despu*s en 'dit.
3. 6n el editor de Group Policy (&ect% &uscar el Group Policy settin# que se
desear editar% y despu*s hacer do&le?clic5.
A. 6n el cuadro Properties% con"i#urar el Group Policy settin# y despu*s hacer clic5 en &/.
$.*. !u" son los scripts de Group Policy 'ettings#
Usted puede utilizar los scripts de Group Policy para con"i#urar scripts centralizados que corran
automticamente cuando la computadora se inicia y se apa#a% y tam&i*n cuando los usuarios inician sesi$n y
la cierran. Usted puede especi"icar cualquier script que corra en .indo)s /erver 2003% incluyendo archivos
&atch% pro#ramas eecuta&les y scripts soportados por .indo)s /cript @ost +./@,.
Para ayudar al usuario a mane$ar y con"iurar sus am#ientes, de#er:
!orrer scripts que realicen las tareas que Usted no puede realizar con otros Group Policy settin#s.
Por eemplo% con"i#urar el entorno de usuario con cone9iones de red% cone9iones de impresora%
shortcuts a aplicaciones y documentos corporativos.
4impiar los escritorios cuando los usuarios cierran la sesi$n y apa#an la computadora. Usted puede
quitar las cone9iones que a#re#$ con los scripts de lo#on o startup% de modo que la computadora
est* en el mismo estado que cuando el usuario la encendi$.
!orrer scripts pre?e9istentes% "iados para manear los am&ientes de usuario hasta que se con"i#ure
con otro Group Policy settin#s que remplace esos scripts
0ota, Desde Active Directory Users and !omputers% Usted puede asi#nar scripts de lo#on individualmente a
las cuentas del usuario en el cuadro Properties de cada uno de ellos. /in em&ar#o% Group Policy es el
m*todo pre"erido para correr scripts porque se pueden manear estos scripts centralizados unto con startup%
shutdo)n%
y lo#o"" scripts.
Para ms in"ormaci$n acerca de scriptin#% vea 'echMet /cript !enter en2


Captulo 5 | Pgina 1+ |
http2::))).microso"t.com:technet:treevie):de"ault.asp;url<:technet:scriptcenter:de"ault.asp
$.+. Prctica 5, Cmo asignar 'cripts con Group Policy#
Para implementar script Usted utiliza Group Policy% a#re#ndolo a la con"i#uraci$n apropiada en un Group
Policy template. 6sto indica que el script puede correr durante el startup% shutdo)n% lo#on o lo#o"".
Para arear un script a la GP& de#er:
>. 6n Group Policy -ana#ement% editar la GP(.
2. 6n el editor de Group Policy (&ect de la consola% &uscar User
!on"i#uration:.indo)s /ettin#s:/cripts +4o#on:4o#o"",.
3. 6n el panel de detalles% hacer do&le?clic5 en *oon.
A. 6n el cuadro *oon Properties% hacer clic5 en Add.
B. 6n el cuadro Add a Script% con"i#urar cualquiera de las con"i#uraciones si#uientes que se
desee utilizar. Despu*s% hacer clic5 en &/2
Script 3ame. 3n#resar el path del script o hacer clic5 en 4ro.se para localizar el archivo
de script en la carpeta compartida Metlo#on del Domain controller.
Script Parameters. 3n#resar los parmetros que se desean utilizar% de la misma manera
que se in#resara en command line.
I. 6n el cuadro *oon Properties% con"i#urar cualquiera de las si#uientes con"i#uraciones
que se deseen utilizar2
*oon Scripts "or. 6sta lista enumera todas los scripts que estn actualmente
asi#nados a la GP( seleccionada. /i se asi#nan m8ltiples scripts% *stos sern procesados en
el orden que se especi"ic$. Para mover el script en la lista%
hacer clic5 en el script y despu*s Up o Do.n.
$.5. !u" es (older )edirection#
!uando Usted redirecciona "olders% cam&ia la locaci$n de las carpetas del disco duro local de la computadora
del usuario% a una carpeta compartida en un servidor de la red. Despu*s de redireccionar una carpeta a un
servidor% *sta se#uir apareciendo como local para el usuario. !uatro son las carpetas que "orman parte del
user pro"ile y que se pueden redireccionar2 -y Documents% Application Data% Des5top y /tart -enu.
Almacenando datos en la red, los #ene"icios de los usuarios son la disponi#ilidad creciente y los
#ac,up "recuentes de sus datos. -edireccionar carpetas tiene los siuientes #ene"icios:
4os datos en las carpetas estn disponi&les para el usuario% sin importar la computadora cliente
desde la que el usuario inicie sesi$n.
4os datos en las carpetas se almacenan centralizados% y por esto es ms "cil la administraci$n y el
&ac5up para su res#uardo.
4os archivos que se localizan adentro de carpetas redireccionadas% como los archivos de un
roamin# user pro"ile% no se copian y no se #uardan en la computadora del usuario que inicia sesi$n.
6sto si#ni"ica que cuando el usuario inicia sesi$n en la computadora cliente% no se utilizar espacio
de almacenamiento para esos archivos y los datos que puedan ser con"idenciales no quedan en dicha
computadora.
4os datos se almacenan en una carpeta compartida de red que puede ser parte de las reas
rutinarias de &ac5up. 6sto es ms se#uro porque no requiere nin#una acci$n de parte del usuario.
!omo administrador% Usted puede utilizar Group Policy para con"i#urar dis5 quotas% limitando la
cantidad de espacio que es tomado por los usuarios.


$.2. Carpetas ;ue pueden ser redireccionadas
Usted puede redireccionar las carpetas -y Documents% Application Data% Des5top y /tart -enu. Una
or#anizaci$n de&e redireccionar estas carpetas para preservar datos y con"i#uraciones importantes del
usuario. @ay varias ventaas al redireccionar cada una de estas carpetas% que varan se#8n las necesidades
de la or#anizaci$n.
Usted puede utili1ar redireccin para cualquiera de las siuientes carpetas en el user pro"ile:
(y Documents
4a redirecci$n de -y Documents es particularmente ventaosa porque la carpeta
tiende a realizarla en un plazo #rande.
4a tecnolo#a (""line Giles da el acceso a usuarios a -y Documents% incluso cuando
los usuarios no estn conectados a la red. 6sto es particularmente 8til para #ente que utiliza las
computadoras porttiles.
Application Data
4os Group Policy settin# controlan el comportamiento de los Application Data cuando el cachin# del lado del
cliente est ha&ilitado. 6sta con"i#uraci$n sincroniza los datos de aplicaciones centralizados en un servidor de
la red con la computadora local. !onsecuentemente% el usuario puede tra&aar en lnea o "uera de lnea. /i
al#unos cam&ios se realizan a los datos de aplicaci$n% la sincronizaci$n actualiza los datos del aplicativo so&re
el cliente y el servidor.
Des,top
Usted puede redireccionar el escritorio y todos los archivos% shortcuts y carpetas a un servidor centralizado.
Start (enu
!uando se redirecciona el /tart -enu% sus su&"olders tam&i*n se redireccionan.
$.4. Con&iguraciones re;ueridas para con&igurar (older )edirection
@ay tres con"i#uraciones disponi&les para Golder Eedirection2 none% &asic y advanced. Fasic Golder
Eedirection es para los usuarios que de&en rediri#ir sus carpetas a un rea com8n o para los usuarios que
necesitan que sus datos sean privados.
Usted tiene las siuientes opciones #sicas para 5older -edirection:
-edirect "older to the "ollo.in location
'odos los usuarios redireccionan sus carpetas a un rea com8n donde
pueden ver o utilizar otros datos en carpetas redirecionadas. Para hacer esto%
elia la con"i#uraci$n 4asic y con"i#ure la +aret "older location to
-edirect "older to the "ollo.in location. 6s aconsea&le utilizar esta
opci$n para todas las carpetas que conten#an los datos que no son privados.
!reate a "older "or each user under the root path
Para los usuarios que necesitan sus carpetas redireccionadas con datos
privados% elia con"i#uraci$n 4asic y con"i#ure +aret "older location to
!reate a "older "or each user under the root path. 6s aconsea&le
utilizar esta opci$n para los usuarios que necesitan sus datos privados% como
los #erentes que #uardan datos personales so&re empleados.
!uando Usted selecciona Ad)anced . speci"y locations "or )arious user
roups%
las carpetas son redireccionadas a di"erentes locaciones% &asadas en #rupos
de se#uridad de los usuarios.


*as opciones a)an1adas para 5older -edirection son las siuientes:
Select a roup6s7. Aqu es donde se especi"ica a qui*n aplicar la redirecci$n.
+aret 5older *ocation. Aqu se pueden ele#ir cualquiera de las si#uientes opciones2
!reate a "older "or each user under the root path. Utilizar para los datos con"idenciales.
-edirect to the "ollo.in location. Utilizar para los datos compartidos.
-edirect to the local userpro"ile location. Utilizar para los usuarios que utilizan una mezcla de
computadoras cliente que no son parte de Active Directory por un lado y s lo son por otro.
-oot Path. 6n este cuadro% se especi"ica el servidor y el nom&re de la carpeta compartida a la que se desear
redireccionar.
$.5. Prctica 2, Cmo con&igurar (older )edirection#
Usted con"i#ura Golder Eedirection usando el editor de Group Policy (&ect.
Para con"iurar 5older -edirection de#er:
>. 6n Group Policy -ana#ement% editar o crear la GP(.
2. 6n el editor de Group Policy (&ect de la consola% e9pandir User
!on"iuration% e9pandir 8indo.s Settins% y despu*s e9pandir 5older
-edirection. 4os conos para las cuatro carpetas que pueden ser redireccionadas se muestran.
3. @acer clic5 derecho en la carpeta que se desea redireccionar y despu*s hacer clic5 en Properties.
A. 6n el cuadro Properties% de la len#Deta Settin% hacer clic5 en una de las si#uientes opciones2
4asic 9 -edirect e)eryone:s "older to the same net.or, share point.
'odas las carpetas a"ectadas por esta GP( se almacenan en la misma carpeta compartida de red.
Ad)anced 9 -edirect personal "olders #ased on the user:s mem#ership in a 8indo.s
Ser)er ;<<= security roup.
4as carpetas se redireccionan a otras compartidas de la red y &asadas en los miem&ros de #rupos
de se#uridad. Por eemplo% carpetas que pertenecen a los usuarios del #rupo de conta&ilidad se
redireccionan al servidor de conta&ilidad% y
las carpetas que pertenecen a los usuarios en el #rupo de comercializaci$n se redireccionan al
servidor de comercializaci$n.
B. 6n el cuadro Properties% hacer !lic5 en Add.
I. Fao +aret "older location% en el cuadro -oot path% in#resar el nom&re de la carpeta compartida
en la red a utilizar% o hacer clic5 en 4ro.se para localizarla.
J. 6n la len#Deta Settins% con"i#urar las opciones que se desean utilizar y despu*s hacer clic5 en &/.
$.8. !u" es Gpupdate#
Gpupdate es una herramienta command?line que actualiza los local Group Policy settin#s y Group Policy
settin#s almacenados en Active Directory% incluidas las con"i#uraciones de se#uridad. Por de"ecto% las
con"i#uraciones de se#uridad se actualizan cada H0 minutos en un puesto de tra&ao o un servidor% y cada
cinco minutos en un Domain !ontroller. Usted puede correr #pupdate para pro&ar una Group Policy settin# o
aplicar inmediatamente un Group Policy settin#


*os e$emplos siuientes demuestran cmo Usted puede utili1ar el comando pupdate:
!:>pupdate
!:>pupdate ?taret:computer
!:>pupdate ?"orce ?.ait:@<<
!:>pupdate ?#oot
Gpupdate tiene los siguientes parmetros.
?+aret:A!omputer B UserC 6speci"ica la actualizaci$n solamente de usuario o computadora para sus
policy settin#s. Por de"ecto% la policy de usuario y computadora son actualizadas.
?5orce Eeaplica todos los policy settin#s. Por de"ecto% solamente los policy
settin#s que han cam&iado se reaplican.
?8ait:ADalueC Gia el n8mero de se#undos para esperar el procesamiento de policy. Por de"ecto% es de
I00 se#undos. 6l valor Q 0 Q si#ni"ica no esperar. 6l valor Q ? > Q si#ni"ica esperar inde"inidamente.
?*oo"" !ausa un lo#o"" despu*s de actualizar la con"i#uraci$n de Group Policy settin#s.
?4oot Provoca que la computadora se reinicie despu*s de la actualizaci$n de Group Policy settin#s.
?Sync Provoca que la pr$9ima con"i#uraci$n de policy settin# se aplique sincr$nicamente.
$.19. !u" es Gpresult#
De&ido a que Usted puede aplicar niveles traslapados de policy settin#s a cualquier computadora o usuario%
Group Policy #enera un reporte que resulta de aplicar policies al lo#on. Gpresult e9hi&e el reporte que
resulta de aplicar policies que se hacen cumplir en la computadora para el usuario especi"icado al lo#on.
6l comando presult e9hi&e los Group Policy settin#s y el Eesultant /et o" Policy +E/oP, para un usuario o
una computadora. Usted puede utilizar presult para ver qu* con"i#uraciones de la GP( son e"ectivas y
localizar pro&lemas en la aplicaci$n.
*os e$emplos siuientes demuestran cmo se puede utili1ar el comando presult:
!:>presult ?user taretusername ?scope computer
!:>presult ?s sr)main ?u maindom?hiropln ?p pEss8;= ?user taretusername ?scope US'-
!:>presult ?s sr)main ?u maindom?hiropln ?p pEss8;= ?user taretusername ?1 Fpolicy.t0t
!:>presult ?s sr)main ?u maindom?hiropln ?p pEss8;=
Gpresult tiene los siguientes parmetros.
?s !omputer 6speci"ica el nom&re o direcci$n 3P de una computadora remota. Por de"ecto es la
computadora local.
?u Domain?User 6l comando "unciona con los permisos de la cuenta del
usuario que se especi"ica User o Domain:User. 6l de"ecto son los permisos del usuario que se encuentre
autenticado en la computadora y que eecute el comando.


?p Pass.ord 6speci"ica el pass)ord de la cuenta del usuario que se especi"ica en el parmetro :u.
?user +aretUser3ame 6speci"ica el nom&re del usuario del que se e9hi&en los datos E/oP.
?scope AuserBcomputerC 69hi&e los policy settin#s del usuario o computadora. 4os valores vlidos para
el parmetro :scope son user o computer. /i se omite el parmetro :scope% #presult e9hi&e a am&os% usuario
y computadora.
?) 6speci"ica que la salida e9hi&ir in"ormaci$n ver&ose de la policy.
?1 6speci"ica que la salida e9hi&ir toda la in"ormaci$n disponi&le acerca de Group Policy. Dado que este
parmetro produce ms in"ormaci$n que el parametro :v% se de&e redireccionar la salida a un archivo de
te9to cuando se utilice este parmetro +por eemplo% s puede escri&ir presult ?1 Fpolicy.t0t,.
?G 69hi&e la ayuda en la ventana de comandos.


*. Administracin de instalacin de 'o&t=are
-icroso"t .indo)s /erver 2003 incluye una caracterstica llamada 3nstalaci$n y mantenimiento de so"t)are que
utiliza el servicio de Active Directory% Group Policy y -icroso"t .indo)s 3nstaller para instalar% mantener y quitar
so"t)are en las computadoras en su or#anizaci$n. Usando el m*todo de administraci$n e instalaci$n de so"t)are
&asado en policy% Usted puede ase#urarse que los pro#ramas que los usuarios requirieran para realizar sus tra&aos%
est*n disponi&les siempre y donde sea necesario.
*.1. -a instalacin del 'o&t=are y el proceso de mantenimiento
6n .indo)s /erver 2003% Usted puede utilizar Group Policy para manear el proceso de instalaci$n de
so"t)are centralizado a partir de una localizaci$n. Adems% Group Policy settin#s puede aplicarse a los
usuarios o computadoras en un site% dominio u or#anizational unit para instalar automticamente% actualizar
o quitar so"t)are. Aplicando Group Policy settin#s al so"t)are% Usted puede manear varias "ases de la
instalaci$n del so"t)are sin instalar so"t)are en cada computadora individualmente.
*a lista siuiente descri#e cada "ase en la instalacin del so"t.are y proceso de mantenimiento:
>. Preparation. Primero hay que instalar el so"t)are usanado la estructura corriente de Group Policy
o&ect +GP(,% y tam&i*n identi"icar los ries#os al usar la in"raestructura actual para instalar
so"t)are. Para preparar los archivos que permitan a un pro#rama ser instalado con Group Policy%
Usted de&e copiar los archivos .indo)s 3nstaller pac5a#e para un pro#rama a un so"t)are
distri&ution point% el cual puede ser una carpeta compartida en un servidor. Asimismo puede
adquirir el archivo .indo)s 3nstaller pac5a#e del vendedor del pro#rama o crear el archivo
pac5a#e usando una utilidad de terceras partes.
2. Deployment. Aqu hay que crear una GP( que instala el so"t)are en la computadora y lin5ea la
GP( a un contenedor apropiado de Active Directory. 6l so"t)are estar instalado cuando la
computadora se encienda o cuando un usuario inicie el pro#rama.
3. (aintenance. 6l so"t)are se actualiza con una nueva versi$n o reinstalando el so"t)are con un
service pac5 o un so"t)are update. De esta maner% estar automticamente actualizado o
reinstalado cuando la computadora se encienda o cuando el usuario inicie el pro#rama.
A. -emo)al. Para eliminar el so"t)are que no es requerido% se necesita quitar el so"t)are pac5a#e
settin# de la GP( que ori#inalmente instal$ el so"t)are. 6l so"t)are entonces se quitar
automticamente cuando la computadora se encienda o cuando un usuario inicie sesion.


Captulo 5 | Pgina $9 |
*.$. !u" es >indo=s Installer#
Para ha&ilitar Group Policy para instalaci$n y administraci$n de so"t)are% .indo)s /erver 2003 usa .indo)s
3nstaller. 6ste componente automatiza la instalaci$n y el retiro de pro#ramas% aplicando un sistema de re#las
centralmente de"inidas durante el proceso de la instalaci$n.
8indo.s Hnstaller contiene dos componentes:
8indo.s Hnstaller ser)ice. 6ste servicio del lado del cliente automatiza completamente la
instalaci$n del so"t)are y proceso de la con"i#uraci$n. 6l servicio .indo)s 3nstaller puede tam&i*n
modi"icar o reparar un pro#rama instalado e9istente. Para instalar un pro#rama lo hace directamente
del !d?E(- o usando Group Policy. Para ello% el servicio .indo)s 3nstaller requiere un .indo)s
3nstaller pac5a#e.
8indo.s Hnstaller pac,ae. 6ste archivo pac5a#e contiene toda la in"ormaci$n que el .indo)s
3nstaller service requiere para instalar o quitar so"t)are. 6l Archivo contiene2
Un archivo .indo)s 3nstaller con una e9tenci$n .msi.
Archivos "uente e9ternos% que son requeridos para instalar o quitar el so"t)are.
3n"ormaci$n estndar so&re el so"t)are y el pac5a#e.
Archivos del producto o una re"erencia a un punto de instalaci$n donde residen los
archivos del producto.
*as )enta$as de usar tecnoloia 8indo.s Hnstaller incluye:
!ustom installations. !aractersticas opcionales de un aplicativo. Por eemplo% clip art o un
diccionario% puede ser visi&le en un pro#rama sin que la caracterstica sea instalada. Aunque los
comandos de men8 son accesi&les% la caracterstica no est instalada hasta que el usuario acceda al
men8 de comandos. 6ste m*todo de instalaci$n ayuda a reducir la compleidad y la cantidad de
espacio de disco duro que el pro#rama utiliza.
-esilient applications. /i un archivo crtico se &orra o se corrompe% el pro#rama adquiere
automticamente una nueva copia del archivo de la "uente de la instalaci$n% sin requerir la
intervenci$n del usuario.
!lean remo)al. .indo)s 3nstaller quita aplicaciones sin dear archivos hu*r"anos o
inadvertidamente romper otro aplicativo% por eemplo% cuando un usuario &orra un archivo
compartido que otro aplicativo requiera. 'am&i*n% .indo)s 3nstaller quita todas las con"i#uraciones
de re#istry relacionadas y almacena las transacciones de instalaci$n en una &ase de datos y archivos
de lo# su&secuentes.


*.*. 7escripcin del proceso de 'o&t=are 7eployment
!uando Usted instala so"t)are% est especi"icando c$mo se instalan los aplicativos y c$mo se mantienen los
mismos en su or#anizaci$n.
Para instalar nue)o So"t.are, utili1ando Group Policy, de#er:
>. !rear un so"t.are distri#ution point. 6sta carpeta compartida en su servidor
contiene el pac5a#e y los archivos del so"t)are para instalar. !uando el so"t)are se instala
en una computadora local% el .indo)s 3nstaller copia archivos a la computadora.
2. Utili1ar la GP& para instalar so"t.are. Usted de&e crear o realizar cam&ios necesarios a
la GP( para el contenedor en donde desea instalar el aplicativo. Al mismo tiempo puede
con"i#urar la GP( para instalar so"t)are para una cuenta de usuario o de computadora.
6sta tarea tam&i*n incluye seleccionar el tipo de instalaci$n que se requiere.
3. Cam1iar las caractersticas de la instalacin del so&t=are. Dependiendo de
sus requisitos% Usted puede cam&iar las caractersticas que "ueron "iadas durante la
instalaci$n inicial del so"t)are.
*.+. Assigning 'o&t=are 6s. Pu1lis.ing 'o&t=are


Captulo 5 | Pgina $$ |
-os dos tipos de instalacin son, asi#nar so"t)are y pu&licar so"t)are.
Usando la asi#naci$n de so"t)are% Usted se ase#ura que el so"t)are est* siempre disponi&le para el usuario.
!uando *ste inicie sesi$n% aparecern Start menu shortcuts y des5top icons para el aplicativo. Por eemplo%
si el usuario a&re un archivo que utiliza -icroso"t 69cel en una computadora que no tiene 69cel% pero 69cel ha
sido asi#nado al usuario% .indo)s 3nstaller instala 69cel en la computadora cuando el usuario a&re archivo.
Adems% el asi#nar so"t)are hace al so"t)are resilient. /i por cualquier raz$n el usuario quita el so"t)are%
.indo)s 3nstaller lo reinstalar la pr$9ima vez que el usuario inicie sesi$n e inicie el aplicativo.
Usando la pu&licaci$n de so"t)are% Usted se ase#ura que el so"t)are est* disponi&le para que los usuarios lo
instalen en sus computadoras. .indo)s 3nstaller no a#re#a shortcuts en el escritorio del usuario o en el
Start menu% y no realiza entradas en re#istry local. Dado que los usuarios de&en instalar el pu&lished
so"t)are% Usted puede pu&licar so"t)are solamente a los usuarios y no a las computadoras.
Usted puede asinar y pu#licar so"t.are usando uno de los m%todos de la ta#la siuiente:
M"todo de
instalacin
M"todo 1 M"todo $
Asi#naci$n
!on"i#urando al usuario. !uando Usted
asi#ne so"t)are a un usuario% el so"t)are
se anunciar en el escritorio del mismo
cuando inicie sesi$n. 4a instalaci$n no
comenzar hasta que el usuario ha#a
do&le?clic5 al inicio de la aplicaci$n o a
un archivo asociado con la aplicaci$n.
6ste es un m*todo llamado activaci$n de
documento. /i el usuario no activa el
aplicativo% el so"t)are no es instalado. De
esta "orma% se ahorra espacio en el disco
duro y tiempo.
!on"i#urando la computadora. !uando Usted asi#ne
so"t)are a una computadora% nin#un aviso ocurrir.
6n su lu#ar% el so"t)are se instalar automticamente
cuando la computadora se encienda. Asi#nando
so"t)are a una computadora Usted se ase#ura que
ciertos aplicativos est*n siempre disponi&les en esa
computadora% sin importar qui*n la utiliza. Usted no
puede asi#nar so"t)are a una computadora que sea
domain controller.
Pu&licaci$n Usando Add or Eemove Pro#rams. Un
usuario puede a&rir el !ontrol Panel y
hacer do&le?clic5 en Add or Eemove
Pro#rams para e9hi&ir los aplicativos
disponi&les. 6l usuario puede seleccionar
un aplicativo y entonces hacer clic5 en
Usando la activaci$n de documentos. /i usted pu&lica
un aplicativo en Active Directory las e9tenciones de
nom&re de archivo de los documentos soportados por
la aplicaci$n sern asociadas en el directorio.


Captulo 5 | Pgina $* |
Add.
*.5. Prctica 4, Cmo utili?ar una GP/ para instalar 'o&t=are#
Despu*s de crear un so"t)are distri&ution point% Usted de&er crear una GP( que instale esos aplicativos% y
despu*s lin5ear la GP( al contenedor que conten#a los usuarios o computadoras en donde desee instalar el
so"t)are.
Importante, Mo asi#nar ni pu&licar un .indo)s 3nstaller pac5a#e ms de una vez en la misma GP(. Por
eemplo% si Usted asi#na -icroso"t (""ice RP a computadoras que son a"ectadas por una GP(% no de&er
asi#nar ni pu&licar a los usuarios a"ectados por la misma GP(.
Para utili1ar una GP& para instalar so"t.are, tendr que reali1ar los siuientes pasos:
>. !rear o editar la GP(.
2. Fao User !on"iuration o !omputer !on"iuration +dependiendo si Usted est
asi#nando el so"t)are a los usuarios o a las computadoras o pu&licndolo a los usuarios,%
e9pandir So"t.are Settins% hacer clic5 derecho en So"t.are Hnstallation% marcar 3e.%
y despu*s hacer clic5 en Pac,ae.
3. 6n el cuadro 5ile &pen% hacer &ro)se al so"t)are distri&ution point% usando el nom&re
Universal Mamin# !onvention +UM!,. Por eemplo% @@'er6er0ame@'.are0ame%
seleccionar el archivo pac5a#e y despu*s hacer clic5 en &pen.
A. 6n el cuadro Deploy So"t.are% seleccionar el m*todo de instalaci$n y despu*s hacer clic5
en &/.
*.2. Prctica 5, Cmo cam1iar las opciones para la instalacin de 'o&t=are#
Un GP( puede contener varias con"i#uraciones que a"ecten c$mo un aplicativo es instalado% maneado y
quitado. Usted puede de"inir las con"i#uraciones por de"ecto #lo&al para los nuevos pac5a#es en la GP(%
tam&i*n puede cam&iar al#unas de estas con"i#uraciones ms adelante% editando las propiedades del
pac5a#e en la e9tensi$n de la instalaci$n de so"t)are. Despu*s de instalar un so"t)are pac5a#e% reci*n podr
cam&iar las caractersticas de la instalaci$n que "ueron "iadas durante la instalaci$n inicial del so"t)are. Por
eemplo% Usted puede prevenir a usuarios la instalaci$n del so"t)are pac5a#e usando la activaci$n de
documento.
Para con"iurar las opciones implcitas para la instalacin del so"t.are, de#er reali1ar los
siuientes pasos:
>. !rear o editar la GP(.
2. Fao User !on"iuration o !omputer !on"iuration% e9pandir So"t.are Settins%
hacer clic5 derecho en So"t.are Hnstallation y despu*s en Properties.
3. 6n la len#Deta General% con"i#urar las opciones si#uientes de la instalaci$n de so"t)are2
De"ault pac,ae location
8hen addin ne. pac,aes to user settins
Hnstallation user inter"ace options
A. 6n la len#Deta Ad)anced% seleccionar la opci$n Uninstall the application .hen they
"all out o" the scope o" manaement.
Para cam#iar las caractersticas de la instalacin de so"t.are, de#er:
>. 6n /o"t)are 3nstallation% hacer clic5 derecho en el pac5a#e instalado% y despu*s hacer clic5
en Properties.
2. 6n el cuadro Properties de la len#Deta Deployment% cam&iar las si#uientes opciones2


Captulo 5 | Pgina $+ |
Deployment type
Deployment options
Hnstallation user inter"ace options


*.4. !u" es la modi&icacin de 'o&t=are#
4as modi"icaciones se asocian a un .indo)s 3nstaller pac5a#e en la instalaci$n anterior que utilice ese
.indo)s 3nstaller pac5a#e para instalar o modi"icar el aplicativo.
3nstalar varias con"i#uraciones de un aplicativo% permite a diversos #rupos en su or#anizaci$n utilizar un
paquete de so"t)are de diversas maneras. Usted puede utilizar modi"icaciones de so"t)are o archivos .mst
+tam&i*n llamado archi)os de trans"ormacin, para instalar varias con"i#uraciones de un aplicativo. Un
archivo .mst es un custom so"t)are pac5a#e que modi"ica c$mo .indo)s 3nstaller instala el .msi pac5a#e
asociado.
.indo)s 3nstaller aplica modi"icaciones a pac5a#es en el orden que Usted especi"ique. Para #uardar
modi"icaciones en un archivo .mst% de&er correr el custom installation )izard y ele#ir el archivo .msi en el
cual desea &asar la trans"ormaci$n. Usted de&er determinar el orden en el cual aplicar las trans"ormaciones
a los archivos antes de asi#nar o pu&licar el aplicativo.
<Aemplo, Una or#anizaci$n #rande% por eemplo% puede querer instalar -icroso"t (""ice RP% pero los
requisitos por departamento para el (""ice suite varian e9tensamente en la or#anizaci$n. 6n lu#ar de
con"i#urar manualmente cada uno de los departamentos% Usted puede utilizar di"erentes GP(s y archivos
.mst en com&inaci$n con los archivos .msi por de"ecto% para que cada departamento instale varias
con"i#uraciones de (""ice RP. 6n este eemplo% Usted puede correr el (""ice RP custom installation )izard del
(""ice Eesource Sit para crear el archivo de trans"ormaci$n.


*.5. Bipos de actuali?acin de 'o&t=are
4as tareas en una or#anizaci$n son dinmicas y variadas. Usted puede utilizar Group Policy para instalar y
administrar so"t)are up#rades que cumplan con requisitos departamentales en su or#anizaci$n. 4as
actualizaciones implican tpicamente cam&ios importantes al so"t)are y tienen nuevos n8meros de versi$n.
Generalmente% un n8mero su&stancial de archivos cam&ia para una actualizaci$n.
Darios acontecimientos en el ciclo de )ida de un aplicati)o pueden accionar la necesidad de una
actuali1acin, incluyendo lo siuiente:
Una nueva versi$n del so"t)are se lanza y contiene nuevas y meoradas caractersticas.
Parches y se#uridad o realces "uncionales se han hecho al so"t)are desde el lanzamiento pasado.
Una or#anizaci$n decide utilizar un so"t)are de diversos vendedores.
2ay tres tipos de actuali1aciones:
(andatory uprades. 6stas actualizaciones su&stituyen automticamente una viea versi$n del
so"t)are con la nueva version. Por eemplo% si los usuarios utilizan actualmente la versi$n del
pro#rama >.0% se quita esta versi$n% y la versi$n del pro#rama 2.0 se instala la pr$9ima vez que la
computadora se encienda o el usuario inicie sesi$n.
&ptional uprades. 6stas actualizaciones permiten que los usuarios decidan cundo actualizar la
nueva versi$n. Por eemplo% los usuarios pueden determinar si desean actualizar a la versi$n 2.0 del
so"t)are o continuar usando la versi$n >.0.
Selecti)e uprades. /i al#unos usuarios requieren una actualizacion pero no otros% Usted puede
crear GP(s m8ltiples para que se apliquen a los usuarios que requieran la actualizaci$n y crear los
paquetes de so"t)are apropiados en ellas.


*.8. Prctica 8, Cmo actuali?ar el 'o&t=are instalado#
Usted utiliza la instalaci$n de so"t)are para esta&lecer el procedimiento de actualizaci$n de so"t)are a la
versi$n actual.
Para instalar una actuali1acin, de#er:
>. 3nstalar la versi$n si#uiente del so"t)are.
2. A&rir /o"t)are 3nstallation% hacer clic5 derecho en la nueva versi$n% y despu*s hacer clic5
en Properties.
3. 6n el cuadro Properties de la len#Deta Uprades% en la secci$n Pac,aes that
this pac,ae .ill uprade% hacer clic5 en Add% y despues seleccionar la versi$n anterior
+actual, del so"t)are. Usted puede actualizar un aplicativo usando la GP( actual o
seleccioando una GP( espec"ica. /i am&as versiones del pro#rama tienen un .indo)s
3nstaller Pac5a#e de "orma nativa% este paso se realizar automticamente.
A. @acer !lic5 en Pac,ae can uprade o)er e0istin pac,ae o Uninstall the
e0istin pac,ae, then install the uprade pac,ae% y despues hacer clic5 en &/.
B. /eleccionar el tipo de actualizaci$n2
Para realizar un mandatory up#rade% seleccionar el cuadro -equired uprade "or
e0istin pac,aes% y despu*s hacer clic5 en &/.
Para realizar un optional up#rade% limpiar el cuadro -equired uprade "or
e0istin pac,aes% y despu*s hacer clic5 en &/.
*.19. Cmo &unciona la reinstalacin de 'o&t=are#
-edeployment es la aplicaci$n de service pac5s y actualizaciones de so"t)are al so"t)are instalado. Usted
puede instalar un pac5a#e instalado "orzando la reinstalaci$n del so"t)are. 4a reinstalaci$n puede ser
necesaria si el so"t)are pac5a#e instalado previamente es actualizado pero si#ue teniendo la misma versi$n%
o si hay pro&lemas de interopera&ilidad o virus que la reinstalaci$n del so"t)are arre#le.


!uando Usted marca un archivo pac5a#e para reinstalaci$n% el so"t)are se anuncia a cada uno de los que se
ha concedido el acceso al aplicativo% ya sea a trav*s asi#naci$n o pu&licaci$n. 6ntonces% dependiendo de
c$mo el pac5a#e ori#inal haya sido instalado% uno de estos tres escenarios ocurrir2
!uando usted asi#ne so"t)are a un usuario% el Start menu% los shortcuts de escritorio y la
con"i#uraci$n de re#istry sern relevantes al so"t)are y actualizados la pr$9ima vez que el usuario
inicie sesi$n. 4a pr$9ima vez que el usuario inicie el so"t)are% el service pac5 o actualizaci$n de
so"t)are se aplicar automticamente.
!uando usted asi#ne so"t)are a una computadora% el service pac5 o actualizaci$n de so"t)are se
aplicar automticamente la pr$9ima vez que la computadora se encienda.
!uando Usted pu&lique e instale so"t)are% el Start menu% los shortcuts de escritorio y la
con"i#uraci$n de re#istry% sern relevante al so"t)are y actualizados la pr$9ima vez que el usuario
inicie sesi$n. 4a pr$9ima vez que el usuario inicie el so"t)are% el service pac5 o actualizaci$n de
so"t)are se aplicar automticamente.
*.11. Prctica 19, Cmo reinstalar 'o&t=are#
Usted utiliza la instalaci$n de so"t)are para esta&lecer el procedimiento de reinstalaci$n del mismo. Antes de
reinstalar% ase#8rese que el servicio incluya un nuevo archivo .indo)s 3nstaller pac5a#e +.msi ,. De lo
contrario% Usted no podr reinstalar el so"t)are% porque solamente el nuevo archive pac5a#e contiene las
instrucciones para instalar los archivos nuevos que el service pac5 o actualizaci$n de so"t)are contiene.
Para reinstalar un so"t.are, de#er:
(&tener el service pac5 o actualizaci$n de so"t)are del vendedor del aplicativo y colocar los archivos en las
carpetas apropiadas de instalaci$n.
>. 6ditar la GP( que ori#inalmente instal$ el so"t)are.
2. A&rir /o"t)are 3nstallation% hacer clic5 derecho en el nom&re del archive pac5a#e% marcar
All +as,s% y despu*s hacer clic5 en -edeploy Application.
3. 6n el cuadro de dilo#o% hacer clic5 en Ies.
*.1$. M"todos para ;uitar 'o&t=are instalado


Puede ser necesario quitar el so"t)are si una versi$n no es soportada en adelante o si los usuarios no
requieren ms el so"t)are. Usted puede "orzar el retiro del so"t)are o dar a los usuarios la opci$n de
continuar% usando el vieo so"t)are.
Cay dos m"todos de remocin,
5orced remo)al. Usted puede "orzar la remoci$n del so"t)are% lo cual automticamente remover
el so"t)are de la computadora la pr$9ima vez que la computadora se encienda o la pr$9ima vez que
un usuario inicie sesi$n% en caso de un Group Policy settin# de usuario. 6l so"t)are se remover
antes que aparezca el escritorio del usuario.
&ptional remo)al. Usted puede quitar el so"t)are de la instalaci$n del mismo sin "orzar el retiro
"sico del so"t)are. 6l so"t)are no se quita realmente de las computadoras. 6l so"t)are no aparece
ms en Add or -emo)e Prorams% pero los usuarios pueden todava utilizarlo. /i los usuarios
remueven manualmente el so"t)are% no podrn reinstalarlo.
*.1*. Prctica 11, Cmo ;uitar 'o&t=are instalado#
!uando Usted utiliza Group Policy para instalar so"t)are% puede con"i#urar la GP( para remover el so"t)are
vieo% si no es ms requerido por su or#anizaci$n. 'am&i*n quitar so"t)are vieo con"i#urando la GP( que
permite a los usuarios un optionally up#rade a un nuevo so"t)are pac5a#e.
Para quitar so"t.are instalado, de#er:
>. A&rir la GP( que "ue utilizada ori#inalmente para instalar el so"t)are.
2. 6n /o"t)are 3nstallation% hacer clic5 derecho al nom&re del pac5a#e% marcar All
+as,s% y despu*s hacer clic5 en -emo)e.
3. 6n el cuadro -emo)e So"t.are% hacer clic5 a una de las si#uientes opciones% y despu*s
hacer clic5 en &/.
Hmmediately uninstall the so"t.are "rom users and computers.
Allo. users to continue to use the so"t.are, #ut pre)ent ne. installations.
0ota, Usted de&e ase#urarse que los usuarios reinicien sus computadoras si el cam&io a"ecta a la
computadora% o que inicien sesi$n nuevamente si el cam&io a"ecta al usuario.


Captulo 5 | Pgina *9 |
+. Group Policy Management Console DGPMCE
!onuntamente con -icroso"t .indo)s /erver. 2003% -icroso"t est lanzando una nueva herramienta Group Policy
-ana#ement que uni"ica la administracion de Group Policy. 4a -icroso"t Group Policy -ana#ement !onsole +GP-!,
proporciona una sola soluci$n para manear todas las areas relacionadas a Group Policy. !onsiste en un nuevo
-icroso"t -ana#ement !onsole +--!, snap?in y un sistema de inter"ases de scriptin# para la administraci$n de Group
Policy. 4a GP-! ayuda manear una empresa con ms e"icacia.
+.1. !u" es la Group Policy Management Console#
4a Group Policy -ana#ement !onsole +GP-!, es una herramienta nueva para manear Group Policy en
.indo)s /erver 2003.
*a GP(!:
Permite que usted manee Group Policy para m8ltiples "orests% dominios y or#anizational units a
partir de una inter"az constante.
69hi&e los lin5s% herencia y dele#aci$n de Group Policy
-uestra los contenedores a los cuales se aplican policy.
Proporciona reportes @'-4 de las con"i#uraciones.
Proporciona las herramientas para mostrar el Eesultant /et o" Policies +E/oP, y e9perimentar con
com&inaciones propuestas de policies.
0ota, 4a GP-! no viene con .indo)s /erver 2003. Usted puede descar#arla de
http2::))).microso"t.com:)indo)sserver2003:#pmc:de"ault.msp9


+.$. GPMC )e;uisitos del 'istema
GP-! ayuda a manear am&os dominios &asados en .indo)s 2000 y .indo)s /erver 2003 con Active
Directory service.
'n cualquier caso, la computadora en la cual corre GP(! de#e "uncionar con uno de los sistemas
operati)os siuientes:
.indo)s /erver 2003.
.indo)s RP Pro"essional con /ervice Pac5 > +/P>, y -icroso"t .M6' Grame)or5. Adems% es requerido un
hot"i9 post?/P> +TG6 T32IAIH,. 6ste TG6 actualiza su versi$n de #pedit.dll a version B.>.2I00.>>KI% la cual
se requiere para GP-!. 6ste TG6 se incluye con GP-! y la instalaci$n de GP-! le pre#unta so&re su
instalaci$n. /in em&ar#o% si el len#uae de GP-! no concuerda con el len#uae de su sistema operativo%
GP-! no instalar el TG6 y se necesitar o&tener e instalar por separado este TG6% que ser incluido en
.indo)s RP /ervice Pac5 2.
+.*. Instalacin de GPMC
4a instalaci$n de GP-! es un proceso simple que implica la eecuci$n de un .indo)s 3nstaller +.-/3,
pac5a#e. 4os archivos necesarios sern instalados en la carpeta @Program (iles@GPMC.
Para ello:
>. @acer Do&le?clic5 en pmc.msi pac5a#e y en 3e0t.
2. Aceptar el 6nd User 4icense A#reement +6U4A,% y hacer clic5 en 3e0t.
3. @acer !lic5 en !lose para terminar la instalaci$n.
/o&re la terminaci$n de la instalaci$n% la len#Deta Group Policy que apareca en las p#inas de propiedades
de sites% dominios y or#anizational units +(Us, en el Active Directory snap?ins% es actualizada para
proporcionar un acceso directo a la GP-!. 4a "uncionalidad que e9isti$ previamente en la len#Deta ori#inal de
Group Policy no estar ms disponi&leP toda la "uncionalidad para manear Group Policy estar disponi&le a
trav*s de la GP-!.
Para a#rir el GP(! snap9in directamente, utili1ar aluno de los m%todos siuientes:
@acer !lic5 en Start% clic5 -un% in#resar GP(!.msc% y despu*s hacer clic5 en &/.
@acer !lic5 en el acceso Group Policy (anaement en la carpeta Administrati)e +ools del /tart -enu o
en el !ontrol Panel.
!rear una consola custom --!
>. @acer !lic5 en Start% clic5 -un% in#resar ((!% y despu*s hacer clic5 en &/.
2. 6n el menu 5ile% hacer clic5 en Add?-emo)e Snap9in, hacer clic5 en Add% seleccionar Group
Policy (anaement% hacer clic5 en Add% hacer clic5 en !lose% y despu*s hacer clic5 en &/.
Para reparar o quitar GP-!% usar Add or -emo)e Prorams en !ontrol Panel. Alternativamente% correr el
#pmc.msi pac5a#e% seleccionr la opci$n apropiada% y hacer clic5 en 5inish.


Captulo 5 | Pgina *$ |
+.+. Group Policy Modeling y Group Policy )esults
Group Policy (odelin
.indo)s /erver 2003 tiene una nueva caracterstica de #ran alcance2 Group Policy -ana#ement. 6sta
permite que el usuario simule la aplicaci$n de policy que sera aplicada a los usuarios y a las computadoras
antes aplicar realmente policies. 6sta caracterstica% es conocida como Eesultant /et o" Policy +E/oP,. 6l -odo
de planeamiento en .indo)s /erver 2003% se inte#ra en GP-! como Group Policy -odelin#. 6sto requiere un
domain controller .indo)s /erver 2003 en el "orest porque la simulaci$n es realizada por un servicio que
est solamente presente en domain controllers .indo)s /erver 2003.
/in em&ar#o% usando esta caracterstica% Usted puede simular el resultant set o" policy para cualquier
computadora en el "orest% incluyendo las que "uncionan con -icroso"t .indo)s 2000.
Group Policy -esults
6sta caracterstica permite que los administradores determinen el resultant set o" policy que "ue aplicada a
una computadora espec"ica y +opcionalmente, el usuario que inici$ sesi$n en esa computadora. 4os datos
que se presentan son similares a los datos de Group Policy -odelin#. /in em&ar#o% son di"erentes a Group
Policy -odelin# puesto que no son una simulaci$n. 6s el resultado real de resultant set o" policy o&tenido de
la computadora destino. 'am&i*n di"iere Group Policy -odelin#% con los datos de Group Policy Eesults que se
o&tienen del cliente% y no se simula en el domain controller. 6l cliente de&e correr .indo)s RP% .indo)s
/erver 2003 o superior. Mo es posi&le conse#uir Group Policy Eesults para una computadora que corra
.indo)s 2000 o anterior.


Captulo 5 | Pgina ** |
+.5. Administrando mFltiples (orests
(Jltiples "orests pueden ser areados "cilmente a la consola. Para ello de#er:
>. @acer clic5 derecho al nodo de la raz Group Policy (anaement% y seleccionar Add 5orestK
2. 6speci"icar el nom&re DM/ o MetF3(/ del dominio deseado en el "orest que no se haya car#ado en
GP-!% y hacer clic5 en &/.
6l "orest especi"icado aparecer como nodo secundario en la consola y ser car#ado en la consola con el
dominio que "ue incorporado en el cuadro Add 5orest.
Para quitar un nodo de "orest% simplemente ha#a clic5 derecho en el nodo% y seleccione -emo)e. Por de"ecto
usted puede a#re#ar solamente "orest a la GP-! si hay 2?)ay trust con el "orest del usuario que corre la
GP-!.
+.2. Contenido de 7ominios
Dentro de cada dominio% GP-! proporciona una vista &asada en policy de Active Directory y los componentes
asociados a las Group Policy% por eemplo% GP(s% .-3 "ilters y GP( lin5s. 4a visi$n en GP-! es similar a la
visi$n en Active Directory Users and !omputers --! snap?in% que muestra la erarqua de (U. /in em&ar#o%
GP-! di"iere de este snap?in porque en vez de mostrar usuarios% computadoras y #rupos en (Us% e9hi&e las
GP(s que estn lin5eadas a cada contnedor.
!ada nodo de dominio en GP(! e0hi#e los puntos siuientes:
'odas las GP(s lin5eadas al dominio.
'odas las top?level (Us y una vista del r&ol de (Us y GP(s lin5eadas a cada una de las (Us.
4os contenedores de Group Policy &#$ects muestran todas las GP(s en el dominio.
6l contenedor 8(H 5ilters muestra todos los .-3 Gilters en el dominio.


Captulo 5 | Pgina *+ |
+.4. )eportes de con&iguracin de GP/
4a len#Deta de con"i#uraci$n de GP( o GP( lin5 en GP-!% muestra un in"orme @'-4 que e9hi&e todas las
con"i#uraciones de"inidas en la GP(. @aciendo clic5 en esta len#Deta se #enera un in"orme de las
con"i#uraciones en la GP(. 6ste in"orme puede ser #enerado por cualquier usuario con acceso de lectura al
GP(. /in GP-!% usuarios que no tenan acceso de escritura a un GP( no podrn leer y revisar con"i#uracion
en esa GP(. 6sto es porque el editor de Group Policy (&ect requiere que el usuario ten#a permisos de
lectura y escritura al a&rir la GP(.


4os in"ormes @'-4 tam&i*n hacen "cil que el administrador ten#a visi$n de todas las con"i#uraciones que se
conten#an en un GP( de un vistazo. /eleccionando la opci$n Sho. All arri&a del in"orme% *ste se ampla
completamente y se muestran todas las con"i#uraciones.
Para ver o #uardar un in"orme directamente en un &ro)ser .e&% Usted de&e utilizar 3nternet 69plorer I o
Metscape J. Metscape J no soporta la "uncionalidad que permita mostrar u ocultar datos en in"ormes.
+.5. /peraciones con GP/
4as operaciones GP( se re"ieren a la capacidad de #ac,up +e9port,% restore% import y copy de GP(s. @acer
&ac5up de GP( consiste en hacer copia de los datos de GP( al sistema de archivos. (&servar que la "uncti$n
4ac,up tam&i*n sirve como la "unci$n de la e9portaci$n para GP(s.
6l Eestore de GP( toma un &ac5up e9istente y recrea la GP( en el dominio. 6l prop$sito del restore es
reaustar un GP( espec"ico de nuevo al estado id*ntico que tenia cuando era realizado el &ac5up. Por lo
tanto% la operacion de restore no puede ser utilizada para trans"erir GP(s a trav*s de dominios. Para esta
operaci$n de&e utilizar la importaci$n de GP( $ la operaci$n de copy.
+.5.1. :ac3up
'l 4ac,up de GP& pone una copia de todos los datos rele)antes de GP& en una
locali1acin especi"icada del sistema de archi)os. *os datos rele)antes incluyen:
6l GP( GU3D y dominio.
!on"i#uraciones GP(.
4a Discretionary Access !ontrol 4ist +DA!4, de la GP(.
4os .-3 "ilter lin5.
4a operaci$n de &ac5up solamente hace &ac5up de componentes de la GP( que estn en Active
Directory y en la estructura de archivo de GP( en /O/7(4. 4a operaci$n no captura los datos
almacenados "uera del GP(% por eemplo .-3 "ilters e 3P /ecurity policies. Ustos son o&etos


separados con su propio sistema de permisos y es posi&le que un administrador cualquiera que
realiza el &ac5up o el restore% pueda no tener los permisos requeridos en esos otros o&etos.
*os administradores pueden hacer #ac,up de una o ms GP&s usando los m%todos
siuientes:
@acer clic5 derecho en la GP( &ao el nodo Group Policy o#$ects y ele#ir 4ac, upK del
men8 de conte9to.
@acer clic5 derecho en una o ms GP(s en la len#Deta !ontents del nodo Group Policy
o#$ects y ele#ir 4ac, upK del men8 de conte9to. 6sto hace &ac5up de las GP(+s,
seleccionadas.
6n el nodo Group Policy &#$ects% hacer clic5 derecho y ele#ir la opci$n 4ac, Up AllK
6sto hace &ac5up de todas las GP(s en el dominio.
Use los GP( &ac5up scripts. Usted puede escri&ir sus el propios scripts o puede utilizar la
muestra de scripts incluida con GP-! en la carpeta GP-!Vscripts . @ay dos scripts
4ac,upGP&..s" y 4ac,upAllGP&s..s" que se incluyen con GP-!% los cuales usted
pueden utilizar para hacer &ac5up de GP(s.
+.5.$. )estore
4a operaci$n de Eestore de GP( restaura la GP( a un estado anterior y puede ser utilizada en los
casos si#uientes2 se realiza &ac5up a la GP( perose ha removido desde entonces% o la GP( est viva
y se desea volverla a un estado anterior.
*a operacin de restore su#stituye los componentes siuientes de una GP&:
!on"i#uraciones de GP(.
A!4s en la GP(.
4os .-3 "ilter lin5s.


Usted puede reali1ar un restore de GP&s usando cualquiera de los m%todos siuientes:
Para hacer restore una GP( e9istente% hacer clic5 derecho a la GP( en el contenedor
Group Policy o#$ects y seleccionar -estore "rom 4ac,upK 6sto a&re el -estore Group
Policy &#$ect 8i1ard.
Usar los GP( restore scripts. Usted puede escri&ir sus propios scripts o utilizar las
muestras de scripts includas con GP-! en la carpeta GPMC@scripts
@ay dos scripts -estoreGP&..s" y -estoreAllGP&s..s".
+.5.*. Import
4a operaci$n de importaci$n trans"iere con"i#uraci$n en una GP( e9istente de Active Directory%
usando un &ac5up de GP( en la localizaci$n del sistema de archivos como su "uente. 4as
operaciones de importaci$n se pueden utilizar para trans"erir con"i#uraciones a trav*s de GP(s
dentro del mismo dominio% a trav*s de dominios en el mismo "orest o en "orest separados.
4as operaciones de importaci$n son ideales para emi#rar Group Policy a trav*s de am&ientes donde
no hay con"ianza.
*as operaciones de importacin se pueden reali1ar usando cualquiera de los m%todos
siuientes:
@acer clic5 derecho en la GP( &ao el nodo Group Policy (&ects y hacer clic5 en 3mport
/ettin#s. 6sto iniciar un )izard que lo #uiar en el proceso de seleccionar el &ac5up y
opcionalmente especi"icando una ta&la de mi#raci$n si es apropiado.
Usar cualquiera de los scripts HmportGP&..s" o HmportAllGP&s..s" que se incluyen
con GP-!.
+.5.+. Copy
>. Una operaci$n de copia trans"iere con"i#uraciones usando una GP( e9istente en Active Directory
como la "uente y crea un GP( nueva como su destino.
2. Una operaci$n de copia se puede utilizar para trans"erir con"i#uraciones a un GP( nuevo
cualquiera en el mismo dominio% en otros dominios% en el mismo "orest o en "orest separados.
Puesto que una operaci$n de copia utiliza un GP( e9istente en Active Directory como ori#en% la
con"ianza se requiere entre el ori#en y los dominios de la destino.
*as operaciones de copia se pueden reali1ar usando cualquiera de los m%todos siuientes:
@acer clic5 derecho en la GP( ori#in% ele#ir la copy y hacer clic5 derecho en el contenedor
Group Policy &#$ects del dominio deseado de destino. 6le#ir la opci$n paste.
Usar dra# and drop para arrastrar la GP( ori#in al contenedor Group Policy &#$ects en
el dominio destino.
Usar el script !opyGP&..s" command?line que se incluye con GP-!.
Para o&tener mas in"ormaci$n2
http2::))).microso"t.com:)indo)sserver2003:#pmc:de"ault.msp9
http2::))).microso"t.com:)indo)sserver2003:#pmc:mi#r#po.msp9


http2::))).microso"t.com:#rouppolicy
http2::))).microso"t.com:technet:#rouppolicy


CAPITULO 5 Implementacion Administracion y Administracion de Group Policy

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CAPITULO 5 Implementacion Administracion y Administracion de Group Policy

Cargado por

Copyright:

Formatos disponibles

Captulo 5 | Pgina 1 |

También podría gustarte