Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Directivas de Grupo GPO en Windows Server 2008 y 2008 R2
Directivas de Grupo GPO en Windows Server 2008 y 2008 R2
2008 R2
Implementación, funcionalidades, depuración
Introducción
1. Prólogo 13
2. Introducción 16
1. Introducción 25
9. Conclusión y comentarios 56
1. Introducción 59
3. Administrar las GPO con la consola de administración de directivas de grupo - GPMC 2.0 61
3.1 Implementar la consola GPMC 2.0 61
3.1.1 Instalación de la funcionalidad Administración de directivas de grupo 62
3.2 Funcionalidades de la consola GPMC 2.0 63
3.2.1 Creación y modificación de directivas de grupo 63
3.2.2 Vincular objetos directiva de grupo 71
3.2.3 Utilizar la opción Exigido 74
3.2.4 Gestionar la precedencia de las directivas 77
3.2.5 Gestionar las herencias de directivas 79
3.2.6 Forzar las directivas en la GPMC 81
3.2.7 Buscar directivas 82
3.3 Configuración de los parámetros de directivas 85
3.3.1 Configuración del equipo 87
3.3.2 Configuración de usuario 89
1. Introducción 125
144
3.2.1 Parámetros de preferencias comunes a los equipos y a los usuarios 144
3.2.2 Parámetros de preferencias de los usuarios 163
3.3 Las opciones de la pestaña Comunes 170
3.4 Las opciones de objetos de preferencias existentes 172
1. Introducción 183
7. Seleccionar el objetivo de las GPO con la ayuda de los filtros WMI 198
1. Introducción 211
1. Introducción 273
2. Metodología 274
Casos de estudio
1. Introducción 321
4. Conclusión 405
Conclusión
1. Conclusión 407
índice 411
Julien BENICHOU
Resumen
Este libro sobre las directivas de grupo se dirige principalmente a arquitectos, administradores e ingenieros de sistemas, proponiéndoles una
inmersión en el mundo de las directivas de grupo (GPO) en entornos Windows Server 2008 y 2008 R2.
El lector avanza entre los principios teóricos y las aplicaciones prácticas de los diferentes componentes que constituyen las directivas de grupo,
la única herramienta capaz de configurar los equipos en profundidad a nivel del sistema. La información indispensable para el dominio de esta
herramienta, como los procesos de tratamiento y aplicación de las GPO o su estrecha colaboración con Active Directory, le permitirán la puesta
en práctica de todo tipo de políticas de directiva de grupo en su empresa.
Además, los elementos relacionados con la planificación y la organización necesarios para la elaboración de una infraestructura basada en la
implementación de directivas de grupo, acompañan al lector a lo largo de los diferentes capítulos del libro.
El autor emplea su extensa experiencia en muchas infraestructuras de contextos distintos e internacionales para centralizar y difundir los
aspectos más importantes que permitirán al lector orientarse en las soluciones técnicas usadas más frecuentemente en las empresas.
Este libro ha sido concebido y se difunde respetando los derechos de autor. Todas las marcas citadas han sido registradas por su editor respectivo. Reservados todos los
derechos. El contenido de esta obra está protegido por la Ley, que establece penas de prisión y/o multas, adamás de las correspondientes indemnizaciones por daños y
perjuicios, para quienes reprodujeren, plagiaren, distribuyeren o comunicaren públicamente, en todo o en parte, una obra literaria, artística o científica, o su transformación,
interpretación o ejecución artística fijada en cualquier tipo de soporte o comunicada a través de cualquier medio, sin la preceptiva autorización.
Este libro digital integra varias medidas de protección, entre las que hay un marcado con su identificador en las imágenes principales
1. Un poco de historia…
Fue la empresa Microsoft quien, durante los años 2000, introdujo por primera vez el concepto de directivas de
grupo, también denominadas GPO (Group Policy Object). En concreto, la primera aparición de este término se
produjo con la salida al mercado de Windows 2000 Server.
La expresión en inglés de la que se deriva el término, Group Policy, significa literalmente ’política de grupo’. Este
nombre tiene perfecto sentido si se tiene en cuenta el objetivo de partida de las directivas de grupo, ya que una
parte de su misión sería, efectivamente, agrupar la configuración de varios parámetros para poder aplicarlos de
forma conjunta sobre un cierto número de ordenadores objetivo.
La segunda revolución en materia de gestión de directivas de grupo se produjo con la aparición del sistema
operativo Windows Server 2003, en el que Microsoft introdujo una consola de administración de directivas de
grupo, denominada comúnmente GPMC (Group Policy Management Console). Esta herramienta permitió extender
considerablemente la potencia de las directivas de grupo, facilitando su administración y despliegue.
En la actualidad es común el uso de las directivas de grupo en todo tipo de organizaciones. Tanto las grandes
como las pequeñas empresas, o las instituciones, emplean con regularidad las directivas de grupo para
personalizar sus redes de equipos, o también para restringir los accesos considerados como sensibles.
2. … y de futuro
La centralización de los recursos técnicos se convierte en una etapa inevitable cuando se constata la evolución
de las nuevas tecnologías. La globalización de los métodos para el intercambio de información es un fenómeno
cuyo crecimiento parece permanente y, además, se produce a un ritmo exponencial.
De esta realidad y de las reflexiones iniciales con las que nace la escritura de este libro surge una cuestión de
partida, para la que finalmente no se ha podido encontrar una respuesta categórica y definitiva. Se podría
formular así : ’¿Qué es la información?’. A partir de esta pregunta se derivarían infinitas de otras, de entre las
que ha sido necesario considerar tan sólo las más razonables, teniendo en cuenta el objetivo de esta obra. Una
vez se tiene una definición somera sobre la naturaleza de la información, podemos preguntarnos ¿para qué
sirve?, o ¿por qué nos resulta tan necesaria?, y ¿a partir de qué criterios podríamos establecer una escala para
su valor?
Hay quien defiende que la posesión de información es una de las formas de detentar el poder. Otros piensan
que la posesión de información es uno de los factores y fuerzas que empujan una economía creciente. Por estos
motivos, y en un mundo basado ampliamente en la utilización de las nuevas tecnologías (a su vez en constante
evolución), es importante la gestión óptima de la información.
Para el propósito de esta obra, las directivas de grupo de Windows Server 2008 y 2008 R2, consideraremos que
dominar los principios de funcionamiento de las directivas de grupo permite, al menos en parte, gestionar
óptimamente la información y su circuito de difusión en el seno de una empresa.
Del hecho mismo de que las empresas se hagan más grandes y se fusionen, se sigue un crecimiento a nivel
mundial de las relaciones de colaboración entre éstas. Las empresas que desean intercambiar y compartir su
información con la máxima fiabilidad y seguridad, necesitan de las directivas de grupo. La orientación dada al
desarrollo de esta herramienta viene ligada al funcionamiento de las empresas y la evolución seguida por éstas
en los procesos básicos de información, colaboración y de acceso, necesarios en toda progresión.
Los administradores del mañana serán aquéllos que hayan tomado conciencia de su rol, de importancia
creciente, como garantes de la validez de los circuitos de intercambio de información entre las diferentes
entidades de la organización. Además, se verán fuertemente implicados en la forma en que esta información se
gestione y se aprovisione. En consecuencia, su puesto les exigirá garantizar la integridad de la información,
manteniendo el nivel más alto de seguridad.
Finalmente, el uso de las directivas de grupo permite un alto nivel de control sobre los intercambios de
3. ¿Quién se beneficia de las directivas de grupo?
En una empresa, ¿a quiénes conciernen las directivas de grupo?
Desde una perspectiva individual, los administradores de redes se benefician de poderosas herramientas que les
permiten evolucionar la red de equipos de la que son responsables mediante las técnicas más recientes
disponibles. De esta manera la ejecución de tareas informáticas está cada vez más automatizada, centralizada y
es cada vez más precisa.
En el otro extremo de la cadena, los usuarios se benefician de las ventajas de las directivas de grupo para
estabilizar su entorno de trabajo. La actividad de los usuarios dependerá en gran medida de la fiabilidad de las
herramientas que se pongan a su disposición. Esta actividad se ve cada vez menos interrumpida, y el número de
errores disminuye de manera constante. Las directivas de grupo permiten anticiparse a los errores más
frecuentes que se puedan dar en los puestos de trabajo y, de esta manera, impedirlos.
Por tanto, considerándolo desde una perspectiva más amplia, las ventajas que se obtienen de la utilización de
directivas de grupo redundan en provecho de la productividad global de la empresa.
Actualmente, la complejidad creciente de los sistemas de información de las empresas orienta los métodos de
gestión hacia una centralización de la información. La evolución en las tecnologías conlleva, inevitablemente,
cambios en los procedimientos de trabajo. A este respecto, Windows ha evolucionado considerablemente las
técnicas de administración de las directivas de grupo desde la primera versión servidor de Windows que permitía
el despliegue de directivas de grupo: Windows Server 2000.
Con Windows Server 2003 se incorporaron mejoras sustanciales en las herramientas de gestión de las directivas
de grupo.
El número de utilidades a disposición de los administradores se ha incrementado paulatinamente con las versiones
sucesivas de Windows Server. Son precisamente estas herramientas cada vez más poderosas, pero también más
complejas, el objeto de este libro.
Las GPO se han impuesto como una herramienta indispensable para simplificar la administración de las redes
Microsoft. Modelar las configuraciones, desplegar las aplicaciones y sus actualizaciones, definir las políticas de
seguridad de la empresa, uniformizar los servidores y puestos de trabajo, se han convertido en tareas que
pueden realizarse desde un puesto de trabajo de administrador, o desde el propio servidor.
Las nuevas herramientas para manipular las directivas son numerosas, eficaces, y resultan indispensables para
los administradores que desean hacer de la red un espacio de trabajo ideal. Con Active Directory y las directivas
de grupo, la administración de la red está cada vez más centralizada y estructurada.
Este libro trata de las GPO en las versiones Server 2008 y 2008 R2 de Windows, de sus principios de
funcionamiento, de las novedades que incorporan y del abanico de posibilidades que ofrecen.
Esta obra se sumerge en el mundo de las directivas de grupo de las dos últimas versiones de las ediciones Server
de Microsoft, Windows Server 2008 y 2008 R2. Las directivas de grupo existen desde Windows Server 2000, y aun
cuando su funcionamiento actual es diferente, los principios son similares.
En cuanto a cuál es la utilidad de las directivas de grupo: se trata principalmente de desplegar configuraciones y
parametrizaciones sobre los puestos de trabajo en red, desde los servidores que estén autorizados y habilitados
para hacerlo.
Las directivas de grupo funcionan en las diferentes versiones de Windows a partir de las tecnologías Windows
2000 y son compatibles con el uso de entornos de trabajo heterogéneos (p.e. un entorno con puestos XP, Vista y
Windows 7).
Este libro trata diferentes elementos relativos al funcionamiento de una infraestructura de red basada en el
despliegue de directivas de grupo. Se abordarán temas tales como los componentes de arquitectura
indispensables para la implementación de las directivas de grupo y el funcionamiento de éstas; así como el trabajo
minucioso que supone la planificación y puesta en marcha de este tipo de infraestructura.
Se realizará también un análisis técnico en profundidad de las herramientas, comandos y funcionalidades
vinculadas al funcionamiento de las directivas de grupo.
1. El entorno técnico usado para este libro
La mayor parte de la información contenida en este libro es relativa a los entornos Windows Server 2008 y 2008
R2 para los servidores, y Windows Vista y 7 para los puestos de trabajo.
La estructura de funcionamiento de las directivas de grupo no ha experimentado modificaciones sustanciales a
partir de Windows Server 2003, a diferencia del paso de Windows 2000 a Windows Server 2003, en el que se
incorporó como principal novedad la GPMC.
Existen, no obstante, novedades notables e interesantes.
Se dedicará un capítulo a la consola de administración de las directivas de grupo (GPMC 2.0), elemento central de
su puesta a punto y de su funcionamiento. Windows 2000 no cuenta con la consola de administración de las
directivas de grupo, que apareció con Windows Server 2003. La consola GPMC no es una característica nativa en
Windows Server 2003, por lo que debe descargarse previamente a su utilización (esta descarga desde el sitio
web de Microsoft es gratuita).
En Windows Server 2008 y 2008 R2 la consola de administración de las directivas de grupo viene incluida con la
instalación del sistema operativo.
2. La organización de la información
La terminología empleada en este capítulo en cuanto a los nombres de los objetos directiva de grupo es
exhaustiva y no es representativa de la que se emplearía en una empresa. En realidad los nombres son
generalmente más cortos y tienen como único fin designar el rol de la directiva en cuestión.
No es obligatorio que lleve a cabo cada manipulación sobre las directivas de grupo de forma idéntica a como se
describe en el libro para conseguir una buena comprensión de su funcionamiento. Los ejemplos de directivas de
grupo elegidos por el autor son fruto de su experiencia y su preferencia personal.
No obstante, los lectores que deseen recorrer esta obra realizando las operaciones técnicas mostradas una a
una, deben tener presente que éstas siguen una cierta lógica temporal que se debe respetar. Es decir, en
ciertos puntos de los diferentes capítulos se proponen manipulaciones que se apoyan sobre otras presentadas
3. A qué público va dirigido
Este libro está dirigido a personas que desarrollen un puesto de arquitecto, administrador de red o jefe de
proyecto, o a personas que deseen desarrollar estas funciones en el futuro.
Su alcance técnico y organizacional se centra en el campo de las directivas de grupo con Windows Server 2008 y
2008 R2 en el ámbito de la empresa. Para comprender el contenido de esta obra el lector deberá aprender e
interiorizar un cierto número de principios técnicos de funcionamiento.
Las directivas de grupo son de interés para la gestión de redes informáticas, en particular para el personal de
servicios informáticos.
La potencia de esta herramienta simplifica las tareas administrativas, permitiendo ahorrar tiempo: desaparecen
las instalaciones individuales en cada puesto, desaparecen las modificaciones de parámetros aquí y allá,
desaparece el tener que desplazarse de manera repetitiva para efectuar las mismas tareas. Todas las
operaciones pueden realizarse desde servidores habilitados para ello o desde puestos de administración, y se
aplican sobre la totalidad de la red.
A pesar de todo, la herramienta tiene limitaciones. Las GPO no se pueden aplicar sobre las versiones 95, 98 y NT
de Windows Server y Workstation. Funcionan perfectamente a partir de Windows 2000, incluido, esto es:
Windows 2000 (Server y Workstation), Windows XP, Windows Server 2003 (como cliente), Windows Vista o
Windows 7 y Windows Server 2008 y 2008 R2 (como cliente).
La implementación de directivas de grupo adecuadas potencia la productividad, la seguridad y la estabilidad de la
red de la empresa.
La puesta en práctica de una política de directivas de grupo puede contribuir a disminuir el coste total de
propiedad de una empresa. Esto significa que se pueden reducir los presupuestos informáticos de varias formas
y que, por tanto, el uso de las GPO contribuye al crecimiento de la empresa.
A modo de ejemplo de las notables mejoras aportadas desde la versión anterior se pueden citar: el
comportamiento de las directivas y la forma en la que se aplican, las nuevas opciones y funcionalidades integradas
en Windows Server 2008 y 2008 R2, la extensión en las posibilidades para Windows Vista y 7.
La siguiente sección enumera las principales novedades, explicando brevemente en qué radica su utilidad. El
funcionamiento básico de las directivas de grupo de Windows Server 2008 y 2008 R2 es muy similar al de Windows
Server 2003. Sobre este funcionamiento, sin embargo, se han aplicado varias actualizaciones, cuyo grado de
importancia puede ser distinto en función de cada organización y de criterios de evaluación personales.
1. Novedades principales de Windows Server 2008 y 2008 R2
Se presenta, a continuación, una lista de las novedades incorporadas en Windows Server 2008 y 2008 R2 para
la administración de las directivas de grupo.
a. La GPMC integrada (GPMC 2.0)
Anteriormente la GPMC estaba disponible como una descarga aparte, que debía ser instalada manualmente.
Desde la versión 2003 de Windows Server, está disponible como una característica nativa.
b. Group Policy es ahora un servicio
Anteriormente a Windows Vista, las directivas de grupo se aplicaban mediante un servicio Winlogon. Ahora
Group Policy es un servicio independiente, aumentando con ello su eficacia.
c. Las GPO de inicio
Como parte de las novedades aparecen las GPO de inicio. Utilizando únicamente el contenedor Plantillas
administrativas, es posible crear una estructura de partida sobre la que se apoyarán las nuevas GPO del
dominio.
d. Las preferencias de directiva y las extensiones del lado cliente
Antiguamente era preciso emplear scripts para satisfacer las exigencias asociadas a los entornos de usuario.
Ahora es posible realizar estas configuraciones gracias a las preferencias de directiva. Sin olvidar las nuevas
extensiones del lado cliente para Windows Vista y 7 que permiten procesar un número mayor de parámetros
que antes.
e. La detección de enlaces lentos con NLA (Network Location Awareness)
Incluso cuando se detectan enlaces de red excesivamente lentos, una parte de los parámetros de las GPO se
aplican en cualquier caso. Esto permite que al menos funcionen los objetos de directiva prioritarios cuando la
red no puede dar soporte a la totalidad de GPO.
f. La gestión de logs mediante GPDBPA
Con GPDBPA (Group Policy Diagnostics Best Practices Analyzer) es posible supervisar el conjunto de las directivas
de grupo y obtener informes detallados sobre los errores más frecuentes.
g. El formato ADMX
h. La delegación de la instalación de los drivers de impresora a los usuarios
A partir de Windows Server 2008 y 2008 R2, los administradores pueden delegar la instalación de los drivers de
impresora mediante las directivas de grupo. Esta funcionalidad ayuda a mantener la seguridad, al limitar la
difusión de los datos de identificación de los administradores.
i. La consola de administración avanzada de las GPO
La consola AGPM (Advanced Group Policy Management), componente insignia de MDOP (Microsoft Desktop
Optimization Pack), complementa las funciones de la GPMC. Este sistema de gestión avanzada de las GPO ofrece
numerosas opciones de configuración y administración, si bien persiste el inconveniente de que es de pago.
2. Utilización de los diferentes tipos de directivas de grupo
Es posible distinguir dos categorías en el sistema de directivas de grupo: las directivas locales y las directivas de
dominio.
Las directivas de dominio son indispensables para poder configurar un parque de equipos cliente en redes de
ordenadores de gran tamaño. Cuando se desea un enfoque individualizado de los puestos de trabajo, se
emplean directivas locales.
Hay dos formas de enfocar la gestión de las directivas de grupo dentro de las diferentes arquitecturas Microsoft.
Si los administradores desean utilizar las GPO dentro de una arquitectura de tipo descentralizada (comúnmente
denominado Workgroup), la única forma consiste en configurar una o varias directivas locales sobre cada puesto
de trabajo.
A pesar de que este método es más sencillo genera mucho trabajo para los responsables de mantener la
infraestructura informática.
Cuando la arquitectura es centralizada y se gestiona mediante Active Directory, se puede disponer de las GPO de
dominio, siendo su uso prácticamente indispensable.
El despliegue de las directivas de dominio a través de la red es el tipo de gestión que mejor pone de manifiesto
la potencia de este mecanismo.
a. Las directivas locales en un Workgroup
El uso de directivas locales permite diseñar una configuración a un nivel muy fino de detalle para los puestos de
trabajo Windows.
En los sistemas operativos Windows, muchas opciones ya están disponibles en los menús de configuración del
propio Windows. Pero la comprensión del conjunto de elementos de configuración disponibles no está
necesariamente al alcance de los usuarios finales. Dicho de otro modo, el nivel de configuración requerido para
un puesto de trabajo conlleva frecuentemente más investigación que el simple uso de los menús clásicos de
Windows, del tipo ’panel de configuración’.
Para estos escenarios en los que se necesita un enfoque particularmente minucioso de la configuración de
Windows, la solución es el uso de directivas locales.
El editor de objetos de directivas de grupo, que es un complemento de la consola MMC (Microsoft Management
Console), posibilita este tipo de trabajo. Por medio de este editor se pueden configurar cientos de parámetros
correspondientes a los diferentes sistemas y aplicaciones de Windows
b. Las GPO en un dominio Active Directory
Para que las directivas de grupo se hagan efectivas deben poder desplegarse en un dominio Microsoft. Y para
poder aprovechar las ventajas y últimas novedades que incorporan, debe existir en la red al menos un
controlador de dominio en versión Windows Server 2008 o 2008 R2.
Una vez que se ha promovido al rango de controlador de dominio un servidor Windows Server2008 o 2008 R2,
es posible empezar a usar las directivas de grupo. Las GPO de dominio, en ese momento, se vuelven accesibles
desde la GPMC. Desde esta consola se crean y gestionan las directivas, teniendo como apoyo la estructura y
arquitectura de los dominios Active Directory del bosque.
Porque, efectivamente, la consola de administración de directivas de grupo se apoya para su funcionamiento
sobre la arquitectura Active Directory del dominio. En consecuencia, las directivas de grupo se agrupan sobre
una entidad única e identificable en la red. La creación, la gestión y la supervisión de los objetos GPO se
convierten en tareas administrativas cada vez más interesantes.
El alcance de las capacidades de gestión proporcionadas por la consola de administración de GPO es amplísimo.
Por ejemplo, un usuario que posea las autorizaciones y permisos necesarios, puede observar todos los
dominios aprobados por el dominio al que pertenece, en todos los bosques. De esta manera, podría gestionar
las directivas de grupo desplegadas en su organización y además también las desplegadas en las diferentes
filiales de la empresa, y todo ello a partir de los servidores de ésta.
Evidentemente, siempre es posible utilizar directivas locales sobre un parque informático compuesto por equipos
asociados a un Workgroup. Sin embargo, el uso de las directivas de grupo en un entorno Active Directory
representa el caso más corriente entre las empresas que disponen de una arquitectura Microsoft.
Gestionar las directivas locales de cada puesto de trabajo de una organización exige mucho trabajo, y una gestión
descentralizada de la información. Cuando se realiza una modificación sobre las políticas de directiva de grupo, es
necesario efectuar la actualización correspondiente sobre cada puesto de trabajo involucrado. Si el Workgroup se
compone de un número elevado de equipos, el trabajo de los administradores requiere tanto tiempo dedicado a
tareas repetitivas que deja de tener interés.
Por esta razón la utilidad de desplegar las GPO en un dominio Active Directory es incomparablemente mayor que
sobre un Workgroup.
Cuando la empresa conecta sus equipos a través de un dominio, las GPO se apoyan para su funcionamiento en
Active Directory y la consola de administración de las directivas de grupo. En este caso, las directivas se almacenan
en un mismo sitio y se aplican en función de la estructura Active Directory de la empresa. La supervisión y la
evolución de las directivas de grupo se vuelven así más eficaces y eficientes.
Las GPO de dominio funcionan a partir de un solo servidor controlador de dominio (Windows Server 2003, 2008 o
2008 R2) y un puesto de trabajo (Windows 2000, XP, Vista o 7).
En este capítulo se profundizará en la comprensión de las directivas de grupo en el ámbito de las redes
profesionales, en las que la infraestructura respeta el sistema piramidal de bosque y de dominio Active Directory.
La estructura del Active Directory de una empresa, y en particular la estructura de sus Unidades Organizativas,
define la forma en que se podrán gestionar las GPO.
La constitución de la arquitectura Active Directory determina la lógica de creación de las directivas de grupo. Es
interesante disponer de un Active Directory compartimentado y organizado en concordancia con los diferentes
sectores de actividad de la empresa. Cuando esto es así, es más sencillo generar directivas de grupo orientadas a
las necesidades de los usuarios y vincularlas a las Unidades Organizativas correspondientes.
Se recomienda igualmente mantener la simplicidad en la organización de las Unidades Organizativas. Una
estructura simple y comprensible facilita la gestión de las directivas de grupo.
En el momento de la creación de una nueva organización Active Directory es necesario planificar los pasos y
anticipar su evolución a largo plazo. El crecimiento de la empresa tiene una influencia preponderante en todo lo
que concierne a Active Directory: el número de usuarios aumenta, las cuentas de equipo se multiplican, quizás se
prevé la apertura de nuevas sucursales…
Todos estos factores tienen un efecto inmediato sobre el Active Directory y la estructura de Unidades
Organizativas y, en consecuencia, sobre la forma en que se podrán gestionar las directivas de grupo.
El Active Directory contiene todas las Unidades Organizativas de una empresa, ya sea grande o pequeña. Pero el
tamaño de la organización no cambia el hecho de que sea de vital importancia definir una estructura de Unidades
Organizativas que permita una gestión óptima de las directivas de grupo y de red.
Al crear la estructura sobre Active Directory se deberá conocer el número de sitios web, de dominios padre y de
dominios hijos que van a existir. Además, se deberá saber si hay previstas relaciones de aprobación entre
diferentes dominios, dentro de una misma estructura Active Directory. La consola de administración de las
directivas de grupo permite visualizar todos los dominios presentes en el Active Directory y, de igual manera,
aplicar las directivas de grupo a las unidades organizativas de cada uno de esos dominios.
En las organizaciones que ya disponen de una estructura Active Directory existente, la implementación de una
política de GPO de gran envergadura conlleva generalmente la modificación de la misma.
Las directivas de grupo se crean y modifican en la consola de administración de directivas de grupo, interactuando
ésta directamente sobre el Active Directory en el momento de su aplicación. Una vez creadas las directivas de
grupo, éstas deben quedar vinculadas a los nodos de Active Directory sobre los que se supone van a influir. Estos
nodos son el sitio, dominio o Unidades Organizativas en el bosque o bosques Active Directory del dominio o
dominios involucrados.
Por tanto, las políticas de directivas de grupo dependen directamente de la forma en que las Unidades
Organizativas están estructuradas en el Active Directory. Si la arquitectura de las Unidades Organizativas está
optimizada, los problemas y bloqueos que puedan darse en el futuro serán menos que en una estructura que
tienda a ser cerrada y restrictiva.
Los ejemplos tomados de casos reales revelan la dificultad para anticipar las modificaciones futuras necesarias en
una red en constante evolución. Es prácticamente imposible configurar la arquitectura del Active Directory para ser
compatible con todos los escenarios de evolución posibles. De igual manera, es muy difícil imaginar, en el momento
de su creación, todos los motivos que en el futuro puedan conducir a modificaciones.
Prestando especial atención durante la etapa de modificación de Active Directory, previa a la integración de las
directivas de grupo, se puede compensar de alguna manera las futuras pérdidas de tiempo. Una preparación
cuidadosa de esta etapa puede evitarnos chocar a posteriori contra los límites en la implementación de las
políticas de grupo.
Cuanto más se tengan en cuenta las directivas de grupo a la hora de diseñar la estructura de las Unidades
Organizativas más posibilidades habrá de conseguir los objetivos prefijados. Las GPO pueden ofrecer una
capacidad de administración muy amplia, pero para ello es imprescindible crear la arquitectura en la que pueda
Toda la empresa depende de las políticas de directivas de grupo: la seguridad de los puestos de trabajo, el acceso
a los datos y a las configuraciones de los puestos de trabajo y los servidores, el acceso a todo o parte de
Internet, la utilización de discos intercambiables o sus restricciones son ejemplos sencillos de lo que se puede
hacer con las GPO.
De esta forma, es posible gestionar, modificar, restringir, autorizar y auditar todos los aspectos de la red
informática. Se puede supervisar el conjunto de todas las operaciones desde los puestos de administrador, o
desde los servidores.
Active Directory contiene los ordenadores, servidores, grupos y usuarios de la red. Cuando desee desplegar una o
varias políticas de directiva de grupo en su organización, es importante llevar a cabo una planificación.
Establecer una lista con: las directivas que hay que poner en funcionamiento, cómo, para quién, ayudará a crear la
arquitectura Active Directory adecuada para la red en cuestión.
Las redes evolucionan con el tiempo y no siempre es posible rectificar o modelar el Active Directory existente para
darle la forma ideal. Estos casos ocurren a menudo y exigen de los intervinientes una gran reactividad y capacidad
de adaptación. No importa cuál sea la forma en que esté configurada la estructura del Active Directory, siempre es
posible implementar las GPO. No obstante, un buen dominio de los principios de funcionamiento del repositorio
Active Directory nos permitirá utilizar las directivas de grupo de la mejor manera posible.
En la arquitectura de una red, hay varios niveles sobre los que se pueden aplicar las directivas de grupo.
El orden de aplicación es el siguiente: directivas locales, directivas a nivel del sitio web, directivas a nivel del
dominio y directivas a nivel de las unidades organizativas.
En este libro nos centraremos en la gestión de directivas de grupo en un dominio Active Directory. Para este caso,
el orden de aplicación tiene efecto a partir del nivel de sitio web.
1. Niveles de aplicación en Active Directory
Podemos considerar tres niveles de aplicación diferentes en Active Directory:
● 1 Sitio
● 2 Dominio
● 3 UO (Unidad Organizativa)
● GPO activa a nivel de sitio
Las directivas asociadas al nivel de sitio en Active Directory afectan a los usuarios en función del lugar de
conexión.
Los usuarios se encuentran definidos en otra parte del Active Directory, pero obtienen los parámetros GPO a
partir de Sitios y Servicios de Active Directory. Para poder reconocer el sitio desde el que los usuarios se
conectan, la aplicación verifica la subred a la que pertenece el ordenador en el momento de obtener su dirección
IP.
● GPO activa a nivel de dominio
Cuando una directiva está asociada al nivel de dominio, ésta afecta a todos los usuarios y ordenadores del
dominio, todas las UO y todos los subcontenedores UO.
● GPO activa a nivel de UO
Las directivas aplicadas al nivel de Unidad Organizativa afectan a los usuarios y ordenadores presentes en la UO
así como a los objetos creados en las UO hijas.
2. Orden de aplicación
Las directivas de grupo se aplican en el orden siguiente:
1. Directivas locales
2. Sitio
3. Dominio
4. UO
Cuando una GPO está configurada en un lugar del Active Directory, los niveles siguientes o "por debajo" heredan
los parámetros de directiva provenientes del nivel superior.
Las directivas tienen un efecto acumulativo siempre que los objetos de directiva modificados no entren en
conflicto.
Los conflictos de directivas se producen cuando dos objetos iguales de directiva se modifican desde dos GPO
diferentes.
En este caso, la directiva ganadora es la última que se aplique. Por ejemplo, si una GPO de dominio entra en
conflicto con una GPO de Unidad Organizativa, es la directiva a nivel de UO la que resulta efectiva. Esto es así
tanto para la configuración del equipo como para la del usuario.
Para poder definir estos vínculos, los niveles funcionales de los dominios deben ser como mínimo los de Windows
Server 2003 y la modalidad de autentificación debe extenderse al bosque.
Las directivas de grupo se comportan de forma regular en un entorno multibosque. La consola de administración
de directivas de grupo GPMC permite ver la totalidad de la estructura del Active Directory. El principio de delegación
de control otorga o deniega los derechos de administración sobre ciertas entidades del Active Directory. Sólo los
administradores que dispongan de "superpoderes" pueden intervenir sobre todos los niveles del Active Directory,
es decir, los Administradores de dominio y de la empresa.
Los dominios aprobados son visibles y gestionables desde una misma entidad. Las operaciones de creación, de
modificación y de aplicación de las GPO se realizan de la misma forma que en una arquitectura clásica.
Cuando el modo de autentificación es selectivo, no todos los parámetros se aplican de la misma manera. Cuando
entra en actividad una GPO que atraviesa una relación de aprobación, tan sólo los parámetros del equipo se
aplican como parámetros de usuario. Este funcionamiento se denomina Group Policy Loopback Replace mode.
El proceso de creación de un repositorio Active Directory requiere la puesta a punto de un servidor DNS (Domain
Name System) promovido al rango de controlador de dominio.
Al término de estas operaciones, se puede bien instalar o bien utilizar directamente la consola de administración
de las directivas de grupo, en función de la versión del servidor instalada. Windows Server 2003 requiere la
instalación manual de la consola de administración de directivas de grupo. Windows Server 2008 y 2008 R2
instalan este componente al mismo tiempo que se realiza la promoción del servidor a controlador de dominio, tras
la instalación del sistema operativo.
La implementación de Active Directory proporciona una estructura por defecto para el repositorio, pero
corresponde a los administradores el crear su propia estructura según las necesidades de la empresa.
La puesta a punto de esta organización requiere que se establezca una metodología sólida siempre que los
objetivos perseguidos sean los de la densidad, coherencia y estabilidad de Active Directory.
Si se prevé implementar una política de directivas de grupo desde el momento de la creación del dominio, es
imprescincible tener presente que las GPO se apoyan sobre Active Directory para su funcionamiento. Cuanto mejor
se haya pensado y organizado la estructura de Active Directory en función de las necesidades de la empresa, más
acogedora resultará la puesta en marcha de las directivas de grupo que se precisen. La forma de organizar Active
Directory depende del tamaño de la empresa y de su organización.
Se recomienda encarecidamente planificar un proyecto de este tipo antes de su arranque, con esto se evitan
numerosas complicaciones futuras.
A modo de ilustración de lo expuesto en esta parte del capítulo, véase a continuación un ejemplo de una
estructura flexible de Active Directory para la integración de las directivas de grupo.
1. Modelo de estructura de las Unidades Organizativas
Las estructuras Active Directory varían de una organización a otra. A continuación se ilustra mediante un
esquema un ejemplo de modelo de estructura ampliamente adaptada al despliegue de directivas de grupo.
La estructura Active Directory del modelo presenta las características de un directorio con muchos objetos. El
dominio Empresa.local contiene la Unidad Organizativa de la filial España, cuyo nombre es Empresa_España.
Cada departamento de la empresa posee una Unidad Organizativa que a su vez contiene subcategorías
destinadas a albergar las cuentas de usuario, usuarios externos y los equipos que pertenezcan a ese
departamento.
Existe una Unidad Organizativa específica para los Grupos, al mismo nivel jerárquico que las Unidades
Organizativas de departamentos.
A la escala de la empresa
Para entender el interés de una organización como ésta para el despliegue de las directivas de grupo,
necesitaremos entrar a examinar las Unidades Organizativas de departamentos.
Para ello, no debemos olvidar que las directivas de grupo de dominio están ligadas al dominio, en nuestro
ejemplo, el dominio Empresa.local. Además, las directivas de grupo asociadas únicamente a la filial están ligadas
al contenedor Empresa_España.
Estudiemos ahora las Unidades Organizativas de los departamentos Dirección y Marketing en nuestro ejemplo.
Obviamente una empresa típica tendría más departamentos que Dirección y Marketing, pero la estructura de
cada contenedor adicional sería conforme a las de Dirección o Marketing, según se muestra en la figura.
Como es lógico, cada departamento posee particularidades técnicas en función de su actividad. Los diseñadores
gráficos no tienen las mismas necesidades de recursos del sistema que los miembros del personal administrativo.
Para los usuarios de los diferentes departamentos, las aplicaciones empleadas y los datos a los que acceden
serán diferentes.
Para los administradores, la empresa ya no es un único conjunto en el que se mezclan las cuentas de usuario y
todos los equipos, sino que ahora es una agrupación de los diferentes departamentos que la constituyen.
Se puede ofrecer a cada departamento la posibilidad de tener en cuenta todas sus particularidades y
necesidades en términos de configuración.
A escala de la empresa, las directivas pueden ser concebidas, personalizadas y desplegadas en función de la
actividad de los usuarios y de su pertenencia a un departamento de la empresa.
Dentro de los diferentes departamentos
Estudiemos ahora la estructura de las Unidades Organizativas que componen los departamentos.
Cada departamento se compone de varios contenedores. Las UO de departamento albergan las cuentas de
usuario, las cuentas de usuarios externos y las cuentas de equipos.
La Unidad Organizativa de las cuentas de equipos se divide en dos subcategorías con el objetivo de separar los
ordenadores portátiles de los ordenadores fijos.
Siendo esto así, sería posible ligar directivas de grupos diferentes para los usuarios del departamento por una
parte y por otra para los usuarios externos que accedan mediante conexiones lentas.
Del mismo modo se podría aplicar directivas a todos los ordenadores del departamento, únicamente a los
ordenadores portátiles, o bien solamente a los ordenadores fijos.
La compartimentación de la estructura de Active Directory es de una gran relevancia en la medida en que, en
parte, condiciona la forma en que se podrán implementar las directivas de grupo.
1. Localización de las GPO
Antes de verificar la presencia de las directivas de grupo en la consola GPMC, es importante conocer que éstas
existen dentro de los servidores desde su creación, ya que los archivos que constituyen las directivas de grupo
se almacenan en varios lugares de los servidores controladores de dominio.
Cada vez que se crea una nueva directiva en la consola de administración de las directivas de grupo, se sucede
una secuencia de eventos:
● Se le asigna a la GPO un identificador único global GUID.
● Se crea un contenedor de directiva de grupo GPC (Group Policy Container) en la partición de dominio de
Active Directory.
● Se crea un contenedor de modelos de administración GPT (Group Policy Template) en el directorio
SYSVOL\Policies del controlador de dominio emulador PDC (Primary Domain Controller).
Así, una directiva de grupo se identifica por el GUID asignado en el momento de su creación. Un ejemplo de GUI
obtenido para una de las GPO de dominio sería:
Este número de identificación único garantiza la identidad de la GPO en el dominio.
A continuación, la directiva de grupo se divide en dos partes distintas, los GPC y GPT, que se almacenan en dos
lugares diferentes del controlador de dominio.
La GPC se almacena en el contenedor System/Policies del Active Directory. Para acceder al contenedor Policies
es necesario mostrar las funcionalidades avanzadas en Active Directory.
La siguiente ilustración muestra el contenido del directorio Policies. Se puede comprobar que los diferentes GPO
aparecen listados mostrando el GUID que les ha sido asignado durante su creación, y su valor GPC.
a. Creación de las GPO
Para crear una directiva de grupo se debe disponer de las autorizaciones necesarias.
Por defecto, los usuarios o grupos que están capacitados para crear objetos GPO son los miembros de los
grupos Administradores, Administradores de dominio y Administradores de empresas.
El grupo Propietarios del creador de directivas de grupo forma parte de uno de los grupos de seguridad que se
crean por defecto durante la instalación de Active Directory. Este grupo permite a sus miembros modificar las
directivas de grupo de dominio.
Tras la creación de la directiva de grupo, el único usuario que posee las autorizaciones necesarias para su
modificación (escritura y borrado) es el propietario del objeto. En general este usuario es el creador de la
directiva.
Sin embargo, los administradores del dominio y de la empresa tienen permisos específicos que les autorizan a
modificar los objetos directiva de grupo sin autorización previa de su propietario. Sus derechos sobre la
totalidad del dominio son los más altos.
b. Consultar y modificar las autorizaciones
Los permisos que conciernen a las directivas de grupo se pueden gestionar de varias maneras.
Los derechos de acceso por defecto se definen al crear la directiva y son consultables y modificables de
diversas formas.
La consola de administración de directivas de grupo permite modificar las autorizaciones de los objetos de las
directivas de grupo de manera uniforme entre los diferentes elementos que la constituyen.
Es posible hacer consultas específicas sobre los permisos de los contenedores GPC y/o GPT.
No obstante, siempre es interesante conocer los diferentes métodos para consultar y modificar los
contenedores GPC y GPT de forma independiente.
c. El contenedor Policies en Active Directory
El contenedor System/Policies del directorio Active Directory almacena los datos de GPC de las diferentes
directivas de grupo del dominio.
Los permisos de este directorio permiten verificar y determinar qué usuarios o grupos de seguridad disponen
de autorizaciones de escritura.
Al editar los datos de seguridad de este objeto, se puede ver la presencia de los grupos Administradores,
Administradores de dominio, Administradores de empresas y Propietarios del creador de directiva de grupo.
La siguiente figura muestra los datos de seguridad del contenedor Policies en Active Directory.
Los Propietarios del creador de directivas de grupo disponen únicamente de derechos de creación de objetos
hijo. Estos derechos sobre este directorio permiten almacenar la parte GPC de los objetos directiva de grupo
creados en el GPMC.
Solamente los Administradores tienen posibilidad de modificar el contenido del directorio.
d. El contenedor GPC
Es posible acceder a los permisos del contenedor GPC desde el directorio Active Directory. Los GPC de las
La siguiente figura muestra las propiedades de seguridad de nuestra directiva de grupo identificada por su
GUID.
Para esta GPC, sólo los administradores de dominio y de la empresa tienen derechos de lectura, escritura y
modificación. Los usuarios autentificados poseen únicamente derechos de lectura que les permiten ejecutar y
aplicar los parámetros de la directiva sobre los puestos cliente.
Es posible añadir o suprimir usuarios y grupos desde la pestaña Seguridad. Es importante recordar que estas
modificaciones no se replican sobre el objeto GPT correspondiente.
e. El contenedor GPT
La consulta de los permisos se basa en los métodos habituales de modificación de las autorizaciones para la
compartición de archivos. Así, el contenedor GPT es uno más de los subdirectorios del recurso compartido
SYSVOL de los controladores de dominio y funciona de la misma manera que un directorio normal. Es posible
editar las propiedades del directorio y consultar o modificar los datos de seguridad.
La figura muestra los permisos del GPT de nuestra directiva de grupo.
Los elementos GPC y GPT son las dos partes que componen una directiva de grupo.
La parte GPC de la directiva emplea la replicación Active Directory mientras que la parte GPT utiliza la replicación
FRS (File Replication System).
Las directivas de grupo aplicadas a Windows 2000 y las que se aplican a Windows XP, Vista o 7 no tienen en
cuenta los mismos parámetros de sincronización para los elementos GPC y GPT.
Cada objeto directiva de grupo posee un número de versión. Este número de versión se incrementa con cada
actualización de la directiva de grupo.
El sistema operativo Windows 2000 presenta ciertos límites al no aplicar las GPO hasta que los dos elementos
GPC y GPT están sincronizados y utilizan el mismo número de versión.
Como consecuencia, es imprescindible que los dos sistemas de replicación (Active Directory y FRS) estén
funcionando y lo hagan de forma coordinada para que las directivas de grupo se apliquen correctamente sobre
los puestos cliente que ejecuten Windows 2000.
Los equipos con XP, Vista y 7 funcionan de manera diferente. Si la replicación Active Directory no está
programada al mismo tiempo que la replicación FRS, los datos GPC y GPT de los controladores de dominio podrían
no corresponderse durante el intervalo de tiempo entre las dos replicaciones.
Este fenómeno no impide el tratamiento de las directivas sobre los equipos cliente con XP, Vista y 7, ya que son
capaces de aplicar los parámetros contenidos en el GPC y en el GPT aun cuando sus números de versión no se
correspondan. Cuando las diferentes replicaciones han actualizado los múltiples controladores de dominio y los
números de versión han cambiado, Windows detecta las modificaciones realizadas en la GPO y aplica los nuevos
parámetros de configuración.
Un número de versión diferente indica al equipo que se han realizado cambios sobre la directiva y es necesario
descargarlos y aplicarlos.
En los puestos cliente de red, los números de versión son indispensables para señalar las modificaciones
llevadas a cabo sobre las directivas de grupo.
Microsoft exige ciertas condiciones para asegurar un funcionamiento y aplicación con todas las garantías de las
directivas de grupo sobre los puestos de trabajo:
● Los elementos GPC y GPT de una misma directiva deben estar presentes en los controladores de
dominio sobre los que se autentifiquen los equipos.
● Si el número de versión registrado en la directiva de grupo es diferente del que se conserva en el
registro de la caché del puesto de trabajo, Windows considera que la directiva ha sido actualizada y
procede a realizar su procesamiento.
Windows 2000 no es capaz de procesar una GPO que contenga elementos GPC y GPT cuyos números
de versión no sean coincidentes, mientras que Windows XP, Vista y 7 sí poseen esta capacidad.
1. Comprender cómo se aplican las GPO
Las directivas de grupo están sujetas a su particular ciclo de procesamiento. Hay un cierto número de eventos
que se suceden desde la creación de una GPO hasta que sus efectos se hacen visibles sobre un puesto de
trabajo.
El lugar de almacenamiento de las GPO, la parte que las vincula a Active Directory y el camino que siguen hasta
llegar a aplicarse sobre un puesto de trabajo son elementos constitutivos del funcionamiento general de las
directivas de grupo.
Cuando se crea o modifica una GPO, ésta no se aplica inmediatamente sobre los puestos de los contenedores
Active Directory a los que está ligada.
Los equipos cliente lanzan peticiones varias veces al día con el objetivo de obtener los parámetros de GPO que
les están destinados, procesarlos y aplicarlos. Y las GPO se distribuyen en momentos concretos, según criterios
que pueden variar.
Según las versiones de Windows empleadas en un entorno (Windows 2000, XP, Vista, 7, Windows Server 2003,
2008 y 2008 R2), los procesos de aplicación y recuperación de las GPO son diferentes, por lo que los mecanismos
de aplicación pueden prestarse a confusión.
Las reglas de aplicación de las GPO respetan una metodología estricta y están definidas por paramétros
registrados por defecto. No obstante, es posible modificar ciertos aspectos de este proceso. Los tiempos de
espera entre los ciclos de aplicación de las directivas de grupo pueden acortarse, y se pueden utilizar los filtros
WMI (Windows Management Instrumentation) para filtrar los equipos objetivo de acuerdo a condiciones precisas.
Las directivas de grupo pueden, a su vez, atravesar los bosques en los entornos multibosque. Es importante
analizar las posibilidades de modificación que se nos ofrecen.
En esta parte del capítulo, abordaremos los principios de aplicación de las directivas de grupo, los diferentes
escenarios, y profundizaremos en la comprensión de la cadena de eventos desde la creación de la GPO hasta su
difusión a un puesto de trabajo.
2. Principios generales de aplicación de las GPO
Es importante recordar que las GPO funcionan de la manera siguiente:
● Creación de la directiva en el servidor.
● Petición de obtención de los parámetros de la directiva desde el puesto de trabajo.
En ningún caso es posible forzar la aplicación de las GPO sobre los puestos cliente desde el servidor sin la
intervención de terceras partes.
a. Proceso de aplicación
Aplicación inicial en la apertura de la sesión
Las versiones Windows 2000, Windows Server 2003, Windows Server 2008 y 2008 R2 obtienen los parámetros
de directiva en el momento de la apertura de la sesión.
Aplicación en segundo plano para los equipos miembros del dominio
Las versiones Windows 2000, Windows Server 2003, Windows Server 2008 y 2008 R2, XP, Vista y 7 obtienen
Este parámetro se puede modificar a través de una directiva de grupo.
Aplicación en segundo plano para los controladores de dominio
Los controladores de dominio obtienen los parámetros de directiva cada 5 minutos, una vez se ha efectuado la
replicación Active Directory.
Aplicación de las directivas de seguridad
Los parámetros de seguridad se aplican cada 16 horas independientemente de la versión de Windows. Si no se
efectúa ninguna modificación sobre los parámetros de seguridad, el intervalo de tiempo para la aplicación de
directivas se mantiene.
Atención: cuando se mueve un equipo o un usuario de una Unidad Organizativa a otra, los procesos
de aplicación de GPO no se activan en tiempo real. Active Directory requiere un margen de tiempo
antes de detectar las modificaciones y aplicarlas.
Es posible identificar varias categorías básicas de "tipo de comportamiento" en cuanto a los principios de
aplicación de las directivas de grupo. Estas categorías se establecen en función del sistema operativo y de la
forma en la que éste tiene programada la obtención de las GPO.
Los comportamientos relativos a la aplicación de las directivas de grupo han evolucionado desde Windows
2000. Sin embargo, el funcionamiento en Windows 2000 ha inspirado el de las versiones posteriores de
Windows.
Para comprender mejor la forma en que se aplican las GPO actualmente, resulta interesante repasar algunos
conceptos básicos de Windows 2000.
b. Proceso de aplicación inicial para las versiones Windows 2000, Server 2003, Server 2008 y
2008 R2
Las directivas de grupo se dividen en dos partes bien diferenciadas, la configuración del equipo y la
configuración del usuario.
La configuración del equipo se aplica en el arranque de la máquina, antes de que se solicite la apertura de
sesión.
Los párrafos siguientes describen el orden de las operaciones desde el arranque del equipo hasta la petición
de apertura de la sesión de usuario.
En el momento del arranque del equipo, se realiza una petición DNS (Domain Name System) para encontrar el
nombre de un controlador de dominio sobre el que el equipo pueda autentificarse.
Una vez se ha encontrado el controlador de dominio, éste indica al equipo cuál es el sitio Active Directory al que
pertenece, en qué dominio está autentificado y, finalmente, en qué Unidad Organizativa está almacenado.
La configuración del equipo se obtiene en este orden, antes de la petición de apertura de sesión.
Una vez se ha aplicado la directiva, se muestra la ventana [Ctrl][Alt][Supr].
Después de que la autentificación del usuario haya sido validada por Active Directory, la parte de configuración
de usuario de la GPO se obtiene siguiendo el mismo orden que antes: Sitio, Dominio y Unidad Organizativa.
Todas las GPO de usuario que afecten al cliente actual se aplican en este momento. El escritorio del usuario se
muestra únicamente después de este proceso.
El orden del procedimiento de aplicación de las GPO: Sitio, Dominio y UO se denomina proceso sincronizado.
c. Proceso de aplicación inicial para las versiones Windows XP y Vista
En el siguiente caso, supondremos que el puesto de trabajo acaba de integrarse en el dominio. Es la primera
vez que la cuenta de equipo y la cuenta de usuario van a autentificarse en el dominio.
El proceso de aplicación de las GPO seguirá los pasos del proceso sincronizado, descrito en la sección anterior.
En el arranque del equipo, las configuraciones del equipo se aplican antes de la apertura de la sesión y las
configuraciones de usuario después de la apertura de sesión, justo antes de que se muestre el escritorio. El
orden de aplicación Sitio, Dominio y Unidad Organizativa se mantiene.
Para el caso de equipos ya activos en el dominio, el procedimiento de aplicación de las directivas de grupo es
diferente.
Tras cada intervalo de 90 minutos transcurrido, comenzando el primero tras la apertura de la sesión, se
descargan las GPO y se aplican en segundo plano, hasta el cierre de la sesión.
Los sistemas Windows XP, Vista y 7 conservan los últimos parámetros de la directiva de equipo utilizada y los
aplican desde el momento del arranque de los equipos, incluso si la red todavía no ha sido detectada. Cuando
aparece la ventana de comando [Ctrl][Alt][Supr], todas las nuevas directivas de grupo se descargan sobre el
equipo para ser aplicadas algo más tarde, tras la apertura de la sesión.
Una vez se ha autentificado al usuario, los nuevos elementos o las modificaciones todavía no están activos.
Microsoft decidió configurar los sistemas XP, Vista y 7 de esta manera para reducir el tiempo de espera. El
arranque del equipo y la apertura de la sesión de usuario son más rápidos puesto que emplean las últimas
GPO utilizadas, mostrando así un comportamiento similar a una caché.
Esto quiere decir que las GPO se aplican de forma asíncrona para los entornos XP, Vista y 7.
Existen, sin embargo, particularidades, como los parámetros de seguridad y las plantillas de administración
(archivos que actualizan el registro), que se descargan y aplican algunos minutos después de la autentificación
del usuario.
En terminología de Microsoft esta forma de proceder se denomina Fast Boot.
Para evitar confusiones, veamos un resumen de las etapas del proceso de aplicación de las GPO en los
entornos XP, Vista y 7:
Primer arranque:
● Primer arranque del equipo tras su integración en el dominio: aplicación de los parámetros de la
directiva de equipo de forma sincronizada.
● Primer logon del usuario en el dominio: aplicación de los parámetros de la directiva de usuario de forma
sincronizada.
Para el resto de los arranques:
● A partir del segundo arranque del equipo en el dominio: aplicación de los últimos parámetros de
directiva de equipo empleados antes de la detección de la red (procedimiento de puesta en caché).
d. El Fast Boot
El Fast Boot permite ganar tiempo durante el arranque del equipo y la apertura de la sesión de usuario, pero
también conlleva algunas desventajas.
La aplicación de las GPO de forma asíncrona significa que los cambios no son visibles en tiempo real. Varios
tipos de modificaciones requieren que se rearranque el equipo para que los cambios surtan efecto. En
ocasiones puede ser necesario reiniciar el equipo varias veces para algunos tipos específicos de modificaciones
(despliegue de software y redirección de directorios). El tiempo ganado en el arranque queda lastrado por los
reinicios que requiere ese tipo de modificaciones.
Las modificaciones de las GPO de usuario también requieren renovar la apertura de sesión, y esto una o dos
veces en función de los cambios (directorio Home, scripts de apertura de sesión, perfiles itinerantes).
Se puede desactivar el Fast Boot en los equipos Windows XP, Vista y 7 para que se comporten de la misma
forma que los entornos Windows 2000, Server 2003, 2008 y 2008 R2 (aplicación de las GPO de forma
sincronizada).
Con ello se perderán los ahorros de tiempo durante el arranque del puesto y durante la
autentificación del usuario. Microsoft, sin embargo, recomienda esta forma de proceder ya que se
facilita la detección de errores y su resolución.
Para desactivar el Fast Boot y forzar la aplicación de las GPO de forma sincronizada es preciso crear una
directiva de grupo.
Una directiva de ese tipo obligará a los equipos a detectar y descargar las GPO y a aplicarlas antes del
comando de apertura de sesión [Ctrl][Alt][Supr].
3. Aplicar las GPO manualmente
Para casos de urgencia en los que no hay tiempo para esperar a que las modificaciones de algunos parámetros
de directivas surtan efecto por sus propios mecanismos, es posible emplear comandos que permiten forzar las
directivas de grupo sobre los puestos cliente.
En este caso se está obligado a estar físicamente ante el puesto afectado por las modificaciones urgentes.
Esta parte del capítulo enumera los comandos, así como las acciones correspondientes.
Para poder ejecutar los comandos que sirven para forzar las GPO es imprescindible disponer de derechos de
administración sobre el equipo.
Los comandos se envían desde la ventana de edición de comandos DOS (Inicio/Ejecutar/cmd.exe).
a. Comandos de Windows 2000
Este comando actualiza las directivas del usuario en curso.
Este comando actualiza las directivas del equipo en curso.
Gpupdate
Este comando actualiza consecutivamente las directivas del usuario y del equipo en curso.
Gpupdate /Target:Computer
Este comando actualiza las directivas del equipo en curso.
Gpupdate /Target:User
Este comando actualiza las directivas del usuario en curso.
Gpupdate /Logoff
Este comando permite verificar si los parámetros de directivas modificadas requieren una
reapertura de la sesión de usuario para surtir efecto.
Gpupdate /Boot
Este comando permite verificar si los parámetros de directivas modificadas requieren un
rearranque del equipo para surtir efecto.
4. Forzar las GPO
Hay una manera de forzar las GPO para que se apliquen los parámetros sin tener que esperar los intervalos de
actualización de Active Directory (cada 16 horas).
a. Entorno Windows 2000
Fuerza la aplicación de una GPO para la parte usuario.
Fuerza la aplicación de los parámetros del nodo configuración de equipo.
b. Entorno Windows XP y superiores
GPUPDATE /FORCE
Fuerza la aplicación de parámetros para los nodos Equipos y Usuarios.
Cuando un objeto al que se aplica una GPO se transfiere de una Unidad Organizativa a otra, éste
continua aplicando las directivas ligadas a su antigua UO durante un periodo de 30 minutos. A esto
hay que añadir el tiempo de replicación de Active Directory si el objeto está sobre un sitio remoto. El
comando GPUPDATE /FORCE obtiene inmediatamente los parámetros de directiva de la nueva Unidad
Organizativa.
Durante sus desplazamientos fuera de la red de la empresa utiliza el acceso VPN para conectarse de forma remota
a los servidores. Se autentifica en Active Directory y puede acceder a los datos de la red y utilizar la mensajería
Exchange.
Todas las versiones de Windows realizan una detección de la velocidad de las conexiones de red y determinan a
partir del resultado si las directivas de grupo pueden descargarse o no.
Según sea la versión de Windows instalada, esta detección se hace de forma diferente, los protocolos empleados
no son los mismos, por lo que los resultados pueden variar.
Los subapartados contenidos en esta sección presentan las diferentes formas de detectar las conexiones lentas y
describen las situaciones que pueden producirse según el escenario de partida.
1. Detección de conexiones lentas en Windows
a. Windows 2000 y XP
Los equipos con Windows 2000 y XP que utilicen TCP/IP para conectarse al servicio RAS (Remote Access Service)
están programados para descargar las GPO a partir de una velocidad de 500 kbps (kilobits por segundo).
Windows 2000 y XP emplean el protocolo ICMP (Internet Control Message Protocol) para detectar la velocidad de
conexión entre el puesto de trabajo y la red remota. ICMP emplea el sistema de ping para averiguar la
velocidad de la conexión. Es frecuente que los administradores tengan este protocolo desactivado en la
configuración de los firewalls. Si el protocolo está desactivado, los controladores de dominio no responden y la
descarga de las GPO se cancela automáticamente.
b. Windows Vista
Windows Vista cuenta con otros sistemas de detección de conexiones lentas, el protocolo NLA o NLA 2 (Network
Location Awareness).
NLA detecta inicialmente si la conexión es lenta o no sin emplear el protocolo ICMP.
En un segundo paso, el protocolo NLA envía una petición para encontrar un controlador de dominio. Si la
respuesta es positiva, las directivas de grupo se descargan, en caso contrario, no se descargan.
c. Parámetros aplicados a través de conexiones lentas
Si la detección de la velocidad de conexión da como resultado que ésta es adecuada, sólo una parte de las
directivas de grupo será aplicada sobre los puestos de trabajo remotos.
No obstante, si la velocidad de conexión es considerada demasiado lenta, todavía se aplica una parte de las
directivas.
He aquí la lista de los elementos descargados sin importar cuál sea la velocidad de la conexión remota:
● Parámetros de registro
● Parámetros de restricción de software (para las versiones XP y superiores)
● Parámetros de obtención de archivos EFS (Encrypting File System)
● Parámetros IPSec
● Plantillas de administración
● GPO de preferencias
Cuando se detecta una conexión lenta, los siguientes elementos pueden aplicarse a pesar de todo, pero esto
precisa de una configuración particular. He aquí la lista de los parámetros aplicables opcionalmente para el caso
de una conexión a la red lenta:
● Configuración inalámbrica
● Programador de paquetes QoS
● Asignaciones de zona de Internet Explorer
● Mantenimiento de IE
● Windows Search
● Directiva de grupo 802.3
● Archivos sin conexión de Microsoft
La aplicación de las directivas de grupo depende del tipo de conexión remota empleada. Los parámetros de
seguridad y las plantillas de administración de la configuración del equipo se aplican después de la
autentificación del usuario cuando la conexión RAS empleada se haya establecido antes de la apertura de la
sesión (authentificación dialup).
Cuando la conexión RAS se efectúa tras la autentificación del usuario (VPN), los parámetros de directiva se
aplican entre 90 a 120 minutos después de la apertura de sesión.
Es posible modificar la velocidad mínima a partir de la que se aplicarán estas directivas. La velocidad por
defecto está establecida en 500 kpbs pero puede aumentarse o disminuirse de manera independiente de la
configuración de equipo y usuario.
Comprender y asimilar la importancia de la infraestructura Active Directory permite preparar el despliegue de las
directivas de grupo en las mejores condiciones. La integración del proceso de aplicación de las directivas de grupo
permite extender la facultad de identificar y detectar errores, así como malfuncionamientos que aparecen en
producción.
La parte de este capítulo dedicada a Active Directory prepara y facilita la comprensión del capítulo Administrar las
directivas con la consola GPMC 2.0 Administrar y gestionar las GPO. Efectivamente, dominar las diferentes
opciones disponibles en la consola de administración de las directivas de grupo es un recurso fundamental para
garantizar el funcionamiento de las directivas de grupo. No obstante, después de una breve exploración de la
consola GPMC, nos podemos dar cuenta rápidamente de que toda la interfaz gráfica se apoya directamente sobre
la aplicación Usuarios y equipos de Active Directory.
Cuando la estructura Active Directory está implementada en conformidad con lo esperado en materia de
despliegue de directivas de grupo, ya no se hace necesario volver atrás una vez iniciado el trabajo con la consola
de administración de directivas de grupo. Es posible arrancar inmediatamente la puesta en marcha de las
directivas más adecuadas para la organización que nos planteemos como objetivo.
La implementación de las directivas de grupo permite centralizar las configuraciones de los diferentes elementos
de los puestos de trabajo de la empresa.
En cuanto Ud. ponga las directivas de grupo en funcionamiento sobre la red, se verá confrontado con problemas e
incidencias ligadas a éstas. Con un buen dominio del proceso de aplicación dispondrá de los elementos necesarios
para realizar un análisis eficaz de las causas de un mal funcionamiento. Le resultará más fácil orientar sus
búsquedas en la buena dirección y resolver rápidamente los problemas.
Este capítulo presenta de forma detallada la nueva consola de administración de directivas de grupo de Windows
Server 2008 y 2008 R2, conocida como GPMC 2.0.
En comparación con las versiones precedentes, la administración de las directivas de grupo parece simplificarse en
Server 2008 y 2008 R2. Efectivamente, la consola de administración de directivas de grupo necesitaba
anteriormente una descarga e instalación manual sobre los servidores o los puestos de trabajo del administrador
y gestor de las directivas de grupo. Recientemente, Microsoft ha elegido incorporar la GPMC 2.0 en las últimas
versiones de Windows Server: 2008 y 2008 R2.
Podemos considerar la consola de administración de directivas de grupo como el punto de acceso que permite
entrar en materia sobre el tema de las directivas de grupo.
La interfaz de la aplicación se presenta bajo la forma de una consola MMC (Microsoft Management Console) clásica.
Una parte de la interfaz gráfica de GPMC se basa en la aplicación de administración de objetos Active Directory
(Usuarios y Equipos Active Directory). Entre las ventajas de la consola de administración de directivas de grupo, se
pueden citar la eficiencia y el nivel de eficacia de la administración de las GPO, así como el alto nivel de control de
estas últimas dentro del dominio.
Para comenzar, descubriremos la herramienta GPMC 2.0, abordando a continuación sus funcionalidades así como
sus novedades. Nuestro recorrido nos llevará a manipular las diferentes opciones disponibles en la GPMC y a
explicar su papel así como su importancia.
Uno de los métodos que se pueden plantear es la conexión directa a uno de los controladores de dominio de red.
En este caso es posible crear y gestionar las directivas a partir de la GPMC instalada en ellos.
Es perfectamente posible explotar los puestos de trabajo con XP o Vista instalado para administrar la red de la
misma forma. Si los administradores eligen emplear este método, se debe tener en cuenta cierto número de
prerrequisitos técnicos.
La consola de administración de directivas de grupo es una herramienta nativa de los sistemas operativos
Windows Server 2008 y 2008 R2. No se precisa ninguna instalación adicional cuando se emplea un controlador de
dominio bajo Server 2008 o 2008 R2 para administrar o gestionar las directivas de grupo.
Si se administran los servidores a partir de puestos con Vista o 7, es necesario instalar el Service Pack 1 así como
el pack RSAT (Remote Server Administration Tool), que está disponible para su descarga en el sitio de Microsoft.
Windows Vista dispone de forma nativa de la consola GPMC, pero ésta desaparece tras la instalación del
Service Pack 1.
Para Windows 7 es necesario descargar el pack RSAT, al igual que para Windows Vista. El pack está disponible en
la dirección: http://www.microsoft.com/downloads/eses/details.aspx?familyid=7d2f6ad7656b4313a005
4e344e43997d
Windows 7 debe estar en la versión SP1 para poder instalar el pack RSAT.
1. Implementar la consola GPMC 2.0
Según la versión de Windows Server que esté instalada en los controladores de dominio, la utilización de la
GPMC está sujeta a condiciones.
Los servidores sobre Windows Server 2008 y 2008 R2 edición Estándar requieren la instalación de la
funcionalidad Administración de directivas de grupo.
Los servidores que cuenten con la version Enterprise de Windows Server 2008 y 2008 R2 pueden sacar partido
de la consola de administración de directivas de grupo desde la promoción del servidor al rango de controlador
de dominio.
a. Instalación de la funcionalidad Administración de directivas de grupo
La instalación de nuevas funcionalidades puede hacerse desde la aplicación Administrador del servidor de
Windows Server 2008 y 2008 R2.
Una vez en el Administrador del servidor, sitúese en el nivel Resumen de características y después
haga clic en Agregar características.
A continuación, escoja la característica Administración de directivas de grupo.
La consola de administración de directivas de grupo está ahora instalada sobre el servidor.
Para abrir la GPMC, vaya al menú Inicio Herramientas administrativas Administración de
directivas de grupo.
2. Funcionalidades de la consola GPMC 2.0
a. Creación y modificación de directivas de grupo
La totalidad de las directivas de grupo del dominio se almacena en el contenedor Objetos de directiva de
grupo de la consola de administración de las directivas de grupo. Hay dos directivas por defecto creadas al
mismo tiempo que el directorio base de Active Directory: las directivas Default Domain Controllers Policy y
Default Domain Policy. Éstas se aplican sobre los controladores de dominio y sobre el dominio,
respectivamente.
Tras la apertura de la consola GPMC, es interesante analizar su arquitectura. La estructura en árbol tiene como
nivel raíz el del bosque Active Directory, siguiendo con el nivel de dominio. La estructura de la consola GPMC es
idéntica a la de la consola Usuarios y Equipos Active Directory, salvo por los contenedores Builtin, Computers y
Users, que no son Unidades Organizativas y por tanto no se les puede asociar directivas de grupo. Los
directorios suplementarios como Objetos de directiva de grupo, Filtros WMI, GPO de inicio tan sólo están
disponibles en la consola de administración de directivas de grupo.
Creación de la primera GPO
En este momento, estamos preparados para crear la primera directiva de grupo del dominio Empresa, que
pertenece al bosque Empresa.local.
Para crear una nueva directiva de grupo, despliegue el menú contextual sobre la parte vacía del
contenedor Objetos de directiva de grupo y seleccione Nuevo.
Introduzca un nombre para la directiva.
Haga clic en Aceptar para crear la nueva GPO.
Una vez creado el nuevo objeto de directiva, aparece una GPO disponible en el contenedor Objetos de
directiva de grupo. Sin embargo, su contenido está vacío ya que todavía no se ha modificado ningún
parámetro en esta directiva.
En este momento es necesario editar el objeto y modificarlo en función de las tareas que la directiva deba
cumplir. Para facilitar la comprensión de este libro se ilustrará el caso simplificado en que se modifica un único
parámetro, por más que en un caso más general una sola directiva puede cubrir varias funciones.
Más adelante en un segundo ejemplo completaremos la directiva modificando varios criterios.
Para editar la directiva, despliegue el menú contextual de la Primera directiva de grupo y escoja la
opción Editar.
El editor de administración de directivas de grupo se presenta bajo la forma de una consola MMC. No hay
ninguna forma alternativa de efectuar las diferentes configuraciones de las directivas de grupo.
En el marco de nuestro primer ejemplo, modificaremos un parámetro de seguridad en la Configuración del
En la parte izquierda del editor, despliegue el menú jerárquico del nodo Configuración del equipo.
Seleccione el directorio en la ruta Directivas Configuración de Windows Configuración de
seguridad Directivas locales Directiva de auditoría.
En la parte derecha, haga doble clic en Auditar la administración de cuentas.
De entre las opciones disponibles, seleccione Definir esta configuración de directiva, Correcto y
Error.
En este ejemplo, la directiva Primera directiva de grupo contiene un único parámetro modificado. Esta
directiva se aplicará sobre las diferentes operaciones hechas sobre las cuentas de equipo o de usuarios
(modificación de una contraseña, asignación de derechos de administrador a una cuenta local...) que, en
adelante, serán auditadas. Esta auditoría está activa tanto en caso de éxito como de fracaso.
Para hacer el ejemplo más próximo a uno real (múltiples parámetros), podemos completar el objeto GPO
Primera directiva de grupo de la siguiente forma.
Vuelva al Editor de administración de directivas de grupo al nivel Configuración del equipo
Directivas Configuración de Windows Configuración de seguridad Directivas locales
Directiva de auditoría.
Defina los parámetros a incluir en la GPO y configúrelos. Puede tomar como ejemplo el parámetro de
directiva Auditar eventos de inicio de sesión.
Atención: cuanto mayor es la complejidad de las directivas, más difíciles resultan de aplicar, de
depurar sus errores o simplemente de comprender.
Tomemos el ejemplo del método de securización de las contraseñas. Esta configuración generalmente es parte
de las modificaciones de parámetros de la Default Domain Policy. En apariencia es sencilla, sin embargo esta
operación origina generalmente numerosos incidentes para el equipo de soporte técnico. El hecho de tener en
cuenta varios parámetros al mismo tiempo para un mismo objeto puede convertirse en una fuente de confusión
para algunos usuarios.
En esta sección del capítulo, hemos creado y modificado un objeto GPO.
Esta operación es siempre idéntica para cualquier tipo de directiva creada en el dominio. Las necesidades de su
empresa le llevarán a modificar los diferentes parámetros de directiva contenidos en las numerosas categorías
del Editor de administración de directiva de grupo.
b. Vincular objetos directiva de grupo
Para que una directiva de grupo esté operativa, debe desplegarse sobre la red para que los puestos cliente la
puedan procesar y aplicar.
Una vez la GPO está configurada y activa, es necesario vincularla al nivel deseado (Sitio, Dominio o UO) para
ponerla en funcionamiento.
Hay varios métodos para vincular una GPO a uno de los niveles Sitio, Dominio o Unidad Organizativa.
Detallaremos a continuación el método ”clásico” de enlazar una nueva directiva a una Unidad Organizativa.
Haga clic con el botón derecho sobre la UO escogida y seleccione la opción Vincular un GPO
existente.
También es posible vincular los objetos GPO empleando drag & drop.
Cuando se muestre una ventana de diálogo como la de la figura, seleccione en la lista el objeto de
directiva de grupo deseado.
Una vez vinculado, el objeto GPO se mostrará bajo la Unidad Organizativa correspondiente en la parte
izquierda de la pantalla.
Haciendo doble clic en una Unidad Organizativa podrá ver cuantos objetos de directiva tiene
vinculados.
Despliegue los subnodos bajo el contenedor Empresa_España para mostrar el número de objetos de
directiva de grupo que tiene vinculados.
Podemos comprobar que, de momento, existe un único objeto de directiva ligado a la Unidad Organizativa
Empresa_España: Primera directiva de grupo.
c. Utilizar la opción Exigido
A partir de Windows Server 2003, la opción Exigido permite forzar la aplicación de una directiva de grupo sobre
los objetos de los contenedores hijos del contenedor al que está vinculada.
Cuando se activa la función Exigido sobre una de las GPO vinculadas a un contenedor de Active Directory, los
parámetros modificados se aplican incluso aunque alguno de los contenedores hijo bloquee las herencias.
La opción Exigido ya existía en Windows 2000 sin la herramienta GPMC; el equivalente era No
reemplazar.
Para emplear la opción Exigido, despliegue el menú contextual de la directiva que desee forzar.
Cuando esta opción queda activada, podemos comprobar que la GPO aparece como aplicada en la parte
derecha de la pantalla, entre Ubicación y Vínculo habilitado. Además, podemos verificar si una directiva está
aplicada desplegando simplemente su menú contextual.
Cuando se ha aplicado la GPO, aparece un pequeño candado a la izquierda de la directiva aplicada
cuando se la visualiza dentro del contenedor al que está vinculada.
d. Gestionar la precedencia de las directivas
Hasta ahora hemos visto el orden de aplicación de las directivas de grupo que sigue la cadena nivel del Sitio,
nivel del dominio y nivel de las UO.
Cuando hay varias directivas vinculadas a una Unidad Organizativa común, el orden de aplicación funciona de
abajo a arriba. La directiva situada al final de la lista se aplicará en primer lugar y así sucesivamente hasta la
primera de la lista.
Para ilustrar los principios de funcionamieno de la precedencia de directivas, hemos creado un ejemplo con dos
GPO ficticias: GPO Ejemplo 1 y GPO Ejemplo 2. Las dos están asociadas a la Unidad Organizativa
Empresa/Empresa_España/Usuarios.
Las flechas a la izquierda de la lista permiten modificar el orden en el que se desea aplicar las directivas de
grupo en el dominio.
Haga clic en la flecha que apunta hacia arriba o hacia abajo para cambiar el orden de la lista.
Atención: recuerde que la aplicación se hace en orden inverso al de aparición. En la siguiente figura,
la GPO Ejemplo 2 se aplica antes que la GPO Ejemplo 1.
e. Gestionar las herencias de directivas
En el capítulo anterior hemos mencionado la noción de directivas acumulativas. Este término quiere decir, en
parte, que una directiva vinculada al nivel de Sitio de Active Directory se aplicará a los niveles siguientes, que
son Dominio y Unidades Organizativas. Continuando con este proceso, una directiva vinculada al nivel de
dominio se aplicará a todas las Unidades Organizativas hijas del dominio. Y, finalmente, una directiva vinculada
a una de las Unidades Organizativas se aplicará a cada una de sus Unidades Organizativas hijas.
El concepto de transmisión de parámetros de directivas desde un contenedor de jerarquía superior a otro se
denomina herencia de las directivas.
La herencia de directivas está activada por defecto. Desde el momento en que se crea una directiva y ésta se
vincula a un contenedor Active Directory, los contenedores hijos deben recibir los parámetros de las directivas y
aplicarlos. Algunos casos requieren el bloqueo de las herencias de directivas de grupo. Para los casos en que
no se desee conservar la herencia, la consola de administración de directivas de grupo permite bloquear las
herencias al nivel que se requiera.
Para ilustrar esto, en nuestro caso de ejemplo hemos modificado la estructura Active Directory del grupo
Empresa.
Todas las filiales de Empresa están ahora agrupadas bajo una Unidad Organizativa: Grupo_Empresa.
Se ha configurado una nueva directiva de grupo y se ha vinculado a la Unidad Organizativa Grupo_Empresa.
Esta directiva, llamada Directiva de seguridad filial, se aplica a todos los contenedores hijos de la Unidad
Organizativa Grupo_Empresa. En otras palabras, la directiva se aplica a todas las filiales del grupo.
Ahora, nuestra tarea principal es bloquear la herencia de directivas a partir de la Unidad Organizativa
Empresa_España.
Despliegue el menú contextual de la Unidad Organizativa Empresa_España y seleccione la opción
Bloquear herencia.
En nuestro caso, en cuanto se activa la opción Bloquear herencia sobre la UO Empresa_España, los
parámetros de directivas de grupo vinculados al dominio y a la UO Grupo_Empresa no se aplicarán a los
usuarios y equipos de la UO Empresa_España.
Respecto a la utilización de la opción Bloquear herencia, es importante considerar que todas las GPO
vinculadas a niveles superiores se verán igualmente bloqueadas.
Con el objetivo de mantener la coherencia de la arquitectura de red, se hace necesario emplear la opción
Exigido para aquellas directivas que deban transmitirse más allá de los bloqueos de herencia.
Windows 2000 Server incluía la opción No reemplazar para permitir el bloqueo en la aplicación de parámetros
de directivas heredados.
Cuando se activa la opción Exigido sobre una directiva de grupo, ésta se fuerza a partir del contenedor al que
esté vinculada.
Los parámetros de esta directiva de grupo se aplicarán incluso si la opción Bloquear herencia está
activa sobre una UO hija. Atención, algunos parámetros quedarán bloqueados a pesar de todo.
g. Buscar directivas
En una red de gran tamaño que contenga numerosas directivas de grupo, puede ser fácil perderse. El tiempo
dedicado a la búsqueda de información puede alcanzar proporciones desmesuradas. La consola de
administración de directivas de grupo permite realizar búsquedas de objetos directiva de grupo, facilitando así
el trabajo a los administradores.
Cuando una directiva debe modificarse urgentemente, la herramienta de búsqueda multicriterio permite
encontrarla de forma rápida y simple.
Despliegue el menú contextual del contenedor a partir del que desee lanzar la búsqueda y después
haga clic en Buscar.
En nuestro caso, la búsqueda se realiza sobre la totalidad del dominio empresa.local.
Al hacer clic en Buscar, se abre una ventana de diálogo de búsqueda que permite introducir los criterios de
dirección de la búsqueda.
Introduzca el valor ”filial” en el campo Valor.
Una vez haya dado valor a los campos, haga clic en Agregar y después en Buscar.
3. Configuración de los parámetros de directivas
Para poder ser operativas, las directivas de grupo deben configurarse para que algunos de los parámetros
disponibles sean modificables en el editor de objetos de directiva de grupo. Les diferentes categorías que, en
conjunto, constituyen una directiva de grupo no varían de una directiva local a una directiva de dominio. La
estructura de una directiva de grupo se compone de los nodos Configuración del equipo y Configuración de
usuario.
Los parámetros modificados en el nodo Configuración del equipo impactan únicamente a la configuración del
puesto de trabajo.
Los parámetros modificados en el nodo Configuración de usuario impactan únicamente a la configuración de los
perfiles de usuario del puesto de trabajo.
Cuando se tiene abierto el editor de administración de directiva de grupo, las dos categorías Configuración del
equipo y Configuración de usuario aparecen como nodos raíz en la parte izquierda de la consola.
Si el mismo parámetro se configura a la vez en Configuración del equipo y en Configuración de usuario,
entonces el parámetro que se aplica es el de Configuración del equipo.
La siguiente figura permite distinguir las diferencias que existen entre los subcontenedores de Configuración del
equipo y los de Configuración de usuario.
Existen diferencias entre los parámetros de directiva ligados a la seguridad entre las plantillas administrativas, y
las preferencias de directivas disponibles no son las mismas.
Las políticas de empresa definen la forma en la que se deben configurar las directivas. Estas últimas deben
respetar los criterios de seguridad, las restricciones y especificidades relativas a las necesidades de la empresa.
En su mayoría, los criterios de configuración de directivas de grupo se definen en función de la actividad de la
El uso de la Configuración del equipo sólo permite la parametrización de puestos de trabajo
independientemente de los usuarios que se conectarán sobre ellos posteriormente. Por ejemplo, la configuración
de los puestos cliente puede corresponder a los criterios mínimos de seguridad de la empresa mientras que la
configuración de perfiles de usuarios puede depender de los roles y funciones de los usuarios en cuestión.
a. Configuración del equipo
Hasta ahora, sabemos que la Configuración del equipo tan sólo impacta al puesto de trabajo sobre el que se
aplica la directiva de grupo.
Para comprender mejor los principios de funcionamiento y la utilidad de disponer de los nodos equipo y usuario,
presentaremos a continuación una propuesta de configuración del nodo equipo en el marco de un despliegue
de directivas de grupo en una arquitectura Microsoft.
En la consola GPMC, cree un nuevo objeto de directiva de grupo llamado Directiva de configuración
de puestos de trabajo.
Modificaremos la directiva de grupo Directiva de configuración de puestos de trabajo para que responda a las
necesidades del grupo Empresa/Empresa_España.
Modifique la Directiva de configuración de puestos de trabajo usando la consola de administración de
directivas de grupo. Puede referirse a la sección Administrar las GPO con la consola de administración de
directivas de grupo GPMC 2.0, Funcionalidades de la consola GPMC 2.0 de este capítulo para la modificación de
los parámetros de directiva.
La Directiva de configuración de puestos de trabajo debe respetar los siguientes criterios.
El valor para cada parámetro de directiva debe ser Habilitada.
Componentes de Windows/Windows Messenger
● No permitir que se ejecute Windows Messenger.
Componentes de Windows/Windows Media Center
● No permitir que se ejecute Windows Media Center.
Panel de control/Cuentas de usuario
● Aplicar la imagen de inicio de sesión predeterminada a todos los usuarios.
Panel de control/Configuración regional y de idioma
● Limita los idiomas de la interfaz de usuario que Windows usa para todos los usuarios que hayan
iniciado sesión.
Red/Archivos sin conexión
● Prohibir la configuración del usuario de Archivos sin conexión.
Sistema/Acceso de almacenamiento extraíble
● CD y DVD: denegar acceso de lectura.
● Unidades de disquete: denegar acceso de escritura.
● Unidades de disquete: denegar acceso de lectura.
Sistema/Instalación de dispositivos/Restricciones de instalación de dispositivos
● Impedir la instalación de dispositivos extraíbles.
Sistema/Instalación de controladores
● Desactivar la intervención del usuario en búsquedas de controladores de dispositivo en Windows
Update.
Sistema/Inicio de sesión
● Asignar un dominio predeterminado para iniciar sesión.
● Esperar siempre la detección de red al inicio del equipo y de sesión.
Sistema/Perfiles de usuario
● Eliminar copias en caché de perfiles móviles.
Sistema/Cuota de disco
● Habilitar cuotas de disco.
● Aplicar un límite de cuota de disco.
● Límite de cuota y nivel de aviso predeterminados 80 GB / 70 GB.
Sistema/Restaurar sistema
● Desactivar Restaurar sistema.
Una vez haya configurado los parámetros de directiva, salga del Editor de administración de
directiva de grupo y vuelva a la consola de administración de directivas de grupo.
La Directiva de configuración de puestos de trabajo está ahora parametrizada y lista para entrar en actividad
sobre la red.
b. Configuración de usuario
Ahora, queremos completar la arquitectura con una directiva en la que la configuración impacte únicamente a
los usuarios.
En la GPMC, cree un nuevo objeto de directiva de grupo llamado Directiva de configuración de
perfiles de usuario.
Modifique la directiva en el Editor de administración de directiva de grupo y configure la directiva
según los siguientes criterios.
El estado de cada parámetro de directiva debe ser Habilitada.
● Ocultar el icono Ubicaciones de red del escritorio.
● Quitar el Asistente para limpieza de escritorio.
● Quitar del escritorio el icono de Papelera de reciclaje.
Escritorio/Active Desktop
● Tapiz del escritorio \\SERV01\Ruta de acceso\logo.jpg.
Menu Inicio y barra de tareas
● Quitar vínculos y accesos a Windows Update.
Panel de control/Agregar o quitar programas
● Ocultar la página Agregar o quitar componentes de Windows.
Panel de control/Impresoras
● Impedir la eliminación de impresoras.
Red/Conexiones de red
● Prohibir la configuración TCP/IP avanzada.
Sistema/Perfiles de usuario
● Limitar el tamaño del perfil 10 000 KB.
En este momento disponemos de una segunda directiva de grupo que afecta únicamente a los parámetros de
los usuarios.
c. Generación de informes
Verificar el contenido de una GPO puede llevar un tiempo considerable si cada parámetro debe controlarse
manualmente. Para llevar a cabo una verificación manual, se debería entrar en modo edición en cada directiva y
verificar el estado de cada parámetro disponible.
Parece poco probable que los administradores elijan este método teniendo en cuenta el número tan elevado
de objetos disponibles.
Para evitar estas pérdidas de tiempo, la GPMC dispone de una funcionalidad que permite realizar este tipo de
verificación. Con ella es posible generar un informe detallado de cada objeto de directiva creado en su dominio.
En este informe se pueden consultar los datos relativos a los parámetros modificados por la directiva.
Para editar y consultar un informe, entre en la GPMC y sitúese sobre el contenedor Objetos de
directiva de grupo.
Seleccione la directiva de la que desee analizar el contenido, en el ejemplo Directiva de
configuración de puestos de trabajo, y haga clic en la pestaña Configuración en la parte derecha de
la pantalla.
Se muestra la totalidad de los parámetros modificados, permitiendo una visibilidad más o menos directa de las
diferentes funciones atribuídas a la directiva y de su impacto sobre el dominio.
Gracias a los informes detallados, resulta fácil saber si una directiva sigue estando al día o si ha quedado
obsoleta. Esta funcionalidad permite a su vez comprender las razones del comportamiento de un equipo o
cuenta de usuario particular en caso de que presente conflictos o un funcionamiento incorrecto.
4. Seguridad y delegación
Las metodologías empleadas en relación con la jerarquización y la delegación de poderes administrativos en un
dominio pueden ser diferentes. Las redes de grandes dimensiones eligen, en su mayoría, escalonar los poderes
administrativos sobre la red. Por ejemplo, ciertas organizaciones prefieren delegar la administración de las
Unidades Organizativas a los administradores locales de los sitios, y conservar los poderes de administración del
dominio y de la empresa en el seno de la dirección informática. Otras organizaciones eligen uniformizar los
niveles de poderes administrativos entre todos los administrativos.
En el escenario de una jerarquía definida y en activo, la supervisión de las directivas de grupo es parte de los
elementos de la red para los que debería definirse una habilitación específica.
Cuando los administradores de dominio quieren que los administradores con capacidades más restringidas estén
autorizados a modificar los elementos propios de las directivas de grupo, pueden hacer uso de la delegación de
poder.
Tan sólo los administradores de dominio pueden delegar el poder a la jerarquía inferior.
En nuestro caso, imaginemos que deseamos delegar las autorizaciones de modificación de una sola directiva de
grupo.
Para hacer esto, estamos obligados a añadir un objeto en Active Directory. Este objeto grupo de seguridad nos
permitirá identificar los intervinientes informáticos de la filial España del grupo Empresa.
Abra la aplicación Usuarios y equipos de Active Directory y cree un grupo de seguridad llamado
Equipo IT Local en Empresa.local\Grupo_Empresa\Empresa_España\Grupos.
Una vez haya finalizado la operación, vuelva al contenedor Objetos de directiva de grupo en la
consola de administración de directivas de grupo.
En este ejemplo, elegiremos la Primera directiva de grupo que está asociada a la Unidad Organizativa
Empresa_España.
Entre los datos que se pueden consultar en la pestaña Delegación figura la lista de autorizaciones de los
Grupos y usuarios habilitados para modificar la directiva.
A continuación, añadiremos un nuevo grupo de seguridad y le delegaremos las autorizaciones de control de esta
directiva.
Para añadir un nuevo objeto en la lista de miembros delegados, haga clic en el botón Agregar y teclee
el nombre del usuario o grupo requerido. En nuestro caso, añadiremos el grupo de seguridad Equipo
IT Local.
Haga clic en Aceptar para completar la operación.
Una vez Active Directory ha reconocido y validado el nombre, se muestra la siguiente ventana de diálogo.
Este diálogo permite elegir el nivel de control requerido para el grupo Equipo IT Local sobre la directiva Primera
directiva de grupo. Escogeremos un nivel de control total para hacer que Equipo IT Local sea autónomo.
Seleccione la opción Editar configuración, eliminar, modificar seguridad.
Para terminar, haga clic en Aceptar.
Una vez se ha añadido el grupo, éste queda visible en la GPMC al igual que las autorizaciones de las que
dispone.
La copia de seguridad de datos informáticos es uno de los elementos más sensibles de un sistema de
información. Datos cuyo valor se considera inestimable pueden desaparecer en muy poco tiempo y por diferentes
razones, como por ejemplo por errores de manipulación, por daños materiales, o por averías procedentes del
exterior de la red.
Con objeto de preservar la integridad de datos en relación con la configuración de las directivas de grupo, la
GPMC ofrece la posibilidad de realizar copias de seguridad y de restaurar las GPO.
a. Hacer copia de seguridad de una directiva
El uso de las funciones de copia de seguridad de las directivas de grupo permite restablecer su configuración a
un estado operativo después de una pérdida de datos o una anomalía que haya generado un mal
funcionamiento de los objetos de directiva.
Esta utilidad también resulta útil durante las migraciones de servidores para evitar tener que crear de nuevo el
conjunto de directivas de dominio sobre los servidores migrados.
Para hacer una copia de seguridad de todas las directivas de grupo, haga clic con el botón derecho
en Objetos de directiva de grupo y seleccione Hacer copia de seguridad de todo.
Para realizar una copia de seguridad de una directiva, sitúese en el contenedor Objetos de directiva
de grupo y haga clic con el botón derecho sobre la directiva a salvaguardar. En nuestro caso,
haremos una copia de seguridad de Primera directiva de grupo.
En el menú contextual de la GPO, haga clic en Hacer copia de seguridad.
Cuando haya introducido los datos, haga clic en Hacer copia de seguridad.
Espere y supervise que el proceso de salvaguarda se desarrolle sin problemas.
Para asegurarse de una correcta ejecución de la copia de seguridad, se recomienda encarecidamente verificar
la presencia de archivos de directiva en el directorio de destino.
Para realizar esta verificación, abra el explorador de Windows.
Sitúese en el directorio de copias de seguridad y verifique que los archivos de directivas están
presentes.
b. Restaurar una directiva
Una vez que se ha hecho una copia de seguridad de la totalidad de las estrategias de grupo, puede iniciarse la
migración. Cuando los servidores se hayan migrado, se podrán restaurar las directivas salvaguardadas.
En la GPMC, sitúese en el contenedor Objetos de directiva de grupo y despliegue a continuación el
menú contextual de la Primera directiva de grupo.
En el menú contextual, escoga la opción Eliminar.
Haga clic en Sí cuando aparezca la petición de confirmación.
Una vez se haya suprimido la directiva en el contenedor Objetos de directiva de grupo, sitúese en la
parte derecha de la consola y haga clic con el botón derecho sobre cualquier espacio vacío.
Escoja la opción Administrar copias de seguridad.
En la ventana de diálogo siguiente, podrá consultar la lista de todas las GPO salvaguardadas. En nuestro caso
sólo aparece la Primera directiva de grupo.
Seleccione la directiva que desee restaurar.
Espere y supervise la operación de restauración.
Cierre la ventana de diálogo Administrar copias de seguridad y verifique la presencia de la GPO
restaurada en el contenedor Objetos de directiva de grupo.
Atención: ¡Los vínculos de la GPO con los contenedores de Active Directory no se salvaguardan ni se
restauran!
c. Importar parámetros
Es posible que desee explotar la configuración de parámetros de una directiva salvaguardada previamente y
que no fue creada sobre el servidor en el que ahora desea que se ejecute.
En este caso, puede ahorrar tiempo utilizando la importación de parámetros de directivas. Esta operación evita
a los administradores tener que configurar uno a uno los parámetros de directiva.
¡Cuidado con los parámetros personalizados que se repercutan sobre el sistema objetivo! Es
preferible emplear esta funcionalidad únicamente en los casos de GPO cuya parametrización sólo
modifica objetos estándar.
Para importar parámetros de directiva, debe disponer de una directiva salvaguardada en un directorio Windows
sobre el que tenga los derechos de acceso suficientes para realizar la operación. En nuestro ejemplo, vamos a
importar una GPO que configura el menú Inicio de los usuarios.
En la GPMC, sitúese sobre el contenedor Objetos de directiva de grupo, después haga clic con el
botón derecho sobre una parte vacía de la pantalla.
En el menú contextual, seleccione Nuevo e introduzca un nombre para la nueva directiva que desea
configurar. En nuestro ejemplo, la llamaremos Menú Inicio del usuario.
En principio, se importan los parámetros de una directiva que ya hayan sido configurados, el nombre
de la GPO estará por tanto en consonancia con su contenido.
Haga clic con el botón derecho sobre la directiva que acaba de crear y seleccione la opción Importar
configuración…
Haga clic en Siguiente.
A continuación, puede hacer una copia de seguridad de su directiva antes de importar parámetros de
una directiva existente. En nuestro caso, no es necesario hacer esto ya que tenemos como situación
de partida una directiva vacía.
En la ventana siguiente, debe introducir la ruta al directorio de almacenamiento de directivas
salvaguardadas.
Una vez haya introducido la ruta correcta, haga clic en Siguiente.
En la ventana siguiente, seleccione la directiva de origen a partir de la cual desea importar los
parámetros.
Verifique que la operación se desarrolla sin problemas.
Haga clic en Siguiente.
A continuación, verifique los parámetros del Resumen.
En la ventana siguiente, supervise el procedimiento de importación de parámetros hasta su término.
Haga clic en Aceptar.
Los parámetros se han importado correctamente.
Windows Server 2008 y 2008 R2 utilizan las bases del funcionamiento de la consola GPMC 1.0 y ofrecen
funcionalidades suplementarias. En razón de sus novedades, la nueva consola de administración de directivas de
grupo fue bautizada como GPMC 2.0.
Entre las novedades de la GPMC 2.0, podemos citar las GPO de inicio, las nuevas posibilidades de los filtros WMI y
de los comentarios, la presencia de cerca de 500 nuevas plantillas de administración destinadas a configurar los
puestos de trabajo con Vista o 7 instalado. Además entre las mejoras notables podemos contar los nuevos
formatos de constitución de las plantillas de administración: los archivos ADMX (ADMinistrativeXML template file) y
ADML (ADMinistrative XMLtemplate file). Su gestión simplificada y centralizada reemplaza ventajosamente a sus
predecesores: los archivos ADM (ADMinistrative template file).
Sin olvidarnos de las preferencias de directivas de grupo, que indudablemente forman parte de las novedades más
interesantes e innovadoras de la consola GPMC 2.0. En el próximo capítulo, enteramente dedicado a las
preferencias de directivas de grupo, se explicará su funcionamiento y su utilidad.
1. Las GPO de inicio (GPO Starter)
En las empresas que disponen de una arquitectura compleja, las directivas de grupo forman parte del área
técnica de la que se responsabilizan únicamente los administradores de dominio o de la empresa. En cierta
manera, tan sólo las personas situadas por encima en la jerarquía informática se ven involucradas en la
definición de las políticas de directivas de grupo.
Una vez las políticas de directivas de grupo han sido definidas, es necesario implementarlas en la red. Cuando
los poderes administrativos se delegan, los administradores delegados tienen la posibilidad, y a veces la
responsabilidad, de poner en marcha y mantener las directivas de grupo.
En estos tipos de organización, las GPO de inicio son útiles porque permiten crear modelos de estructura de
directivas de grupo que servirán como base estructural para las directivas futuras.
De esta manera, los responsables de la coherencia entre las políticas de empresa y las directivas de grupo
desplegadas proporcionan un modelo a sus subordinados conforme con las normas de la empresa. A partir del
modelo GPO de inicio, los administradores delegados disponen de un grado de autonomía que les permite crear y
desarrollar la infraestructura con nuevas directivas de grupo.
Como conclusión, podemos decir que las GPO de inicio facilitan la cohesión de la infraestructura informática y
permiten ganar tiempo.
a. Crear el directorio GPO de inicio
Para crear una GPO de inicio, es necesario haber entrado en la consola de administración de directivas de
grupo. El contenedor GPO de inicio está visible en la parte izquierda de la GPMC.
Existen algunas condiciones técnicas de partida para la creación de un objeto de inicio de GPO. Antes de crear
el primer iniciador de GPO, se debe crear el directorio GPO de inicio por primera vez.
Para crear el directorio GPO de inicio, haga clic en el contenedor GPO de inicio en la parte izquierda
de la pantalla.
En la parte derecha de la pantalla, haga clic en el botón Crear carpeta de GPO de inicio.
Cada vez que se cree un nuevo objeto iniciador de directiva, éste se almacenará en el directorio
Windows\SYSVOL\domain\StarterGPOs de los controladores de dominio del dominio involucrado. Cada
objeto iniciador de directiva tiene asignado un identificador único GUID desde el momento de su creación, al
igual que para los objetos ya conocidos de directiva de grupo.
b. Crear un objeto GPO de inicio
Una vez se ha creado el directorio de almacenamiento de los iniciadores de directiva, se está preparado para
crear un primer objeto GPO de inicio.
Para crear una GPO de inicio, despliegue el menú contextual del contenedor GPO de inicio y escoja la
opción Nuevo.
La ventana de diálogo siguiente le solicita los datos relativos a la GPO de inicio.
Le puede atribuir un nombre y emplear el campo destinado a los comentarios.
Tras introducir los datos requeridos, haga clic en Aceptar.
Para editar el iniciador de GPO, despliegue su menú contextual y seleccione la opción Editar (utilice el
mismo método que para una GPO normal).
Tras editar el objeto iniciador de directiva, comprobaremos que los contenedores de objetos de directiva de
grupo raíces son idénticos que los de una directiva normal. Sin embargo, los subcontenedores de los nodos
Configuración del equipo y Configuración de usuario son menos numerosos. Efectivamente, tan sólo los
contenedores Plantillas administrativas están disponibles para la configuración de un objeto iniciador de
directiva.
Recuerde: las GPO de inicio permiten únicamente configurar las Plantillas administrativas.
Los iniciadores de directiva no son sino directivas de grupo en las que únicamente se pueden configurar los
objetos parámetros de las plantillas de administración. Si desea ejercitarse en la creación de objetos GPO de
inicio, puede usar la sección Administrar las GPO con la consola de administración de directivas de grupo GPMC
2.0, Funcionalidades de la consola GPMC 2.0 de este capítulo para crear un modelo de directiva a su antojo.
c. Iniciar una directiva a partir de una GPO de inicio
Cuando el o los modelos de directiva están creados y disponibles para su uso, Ud. puede emplearlos para la
creación de directivas de grupo futuras. En ese momento, su estructura está dispuesta a emplear los
iniciadores de directiva como modelos de configuración de las nuevas directivas de grupo del dominio.
Para arrancar una directiva de grupo a partir de una GPO de inicio, despliegue el menú contextual del
objeto GPO de inicio de su elección, en nuestro ejemplo GPO de inicio Empresa_España.
Escoja a continuación Nuevo GPO a partir de GPO de inicio.
Una vez guardada, la directiva se almacena con las otras GPO del dominio en el contenedor Objetos de
directiva de grupo.
Funcionalidades como la copia de seguridad, restauración y la delegación de control de los objetos GPO de
inicio utilizan los mismos procedimientos que las directivas clásicas. Si desea efectuar una copia de seguridad o
restaurar un iniciador de directiva, puede referirse a la sección Administrar las GPO con la consola de
administración de directivas de grupo GPMC 2.0, Copia de seguridad y restauración de las directivas de este
capítulo.
Cuando Ud. decida crear una nueva directiva de grupo, tiene la posibilidad de utilizar la GPO de inicio de
origen. Una ventana de diálogo le permite seleccionar un objeto iniciador de directiva origen.
Para una mejor comprensión de este proceso, cree una directiva de grupo nueva.
En la ventana de diálogo siguiente, escoja la GPO de inicio de origen apropiada.
d. Intercambiar las GPO de inicio
Los objetos iniciadores de directiva de grupo pueden salvaguardarse en un formato de archivo particular. La
opción de exportación de las GPO de inicio permite salvaguardar los iniciadores como archivos .CAB (cabinet).
Esto permite intercambiar los archivos .CAB entre los diferentes controladores de dominio. Esta funcionalidad
es interesante cuando de lo que se trata es de intercambiar archivos .CAB que contengan GPOs de inicio entre
los diferentes servidores de dominio. Efectivamente, la replicación del directorio SYSVOL permite la puesta a
disposición de los iniciadores sobre todos los controladores de dominio de un mismo dominio.
2. Las nuevas funcionalidades de los filtros
Con más de 2400 objetos parametrizables, es imposible conocer de memoria todos los objetos de directiva
disponibles.
La consola de administración de directivas de grupo ofrece una opción interesante: el filtrado de parámetros.
A pesar de su gran utilidad y efectividad, el filtrado de parámetros trae consigo algunos límites a tener en
cuenta. En realidad, el filtrado no es posible más que sobre los contenedores Plantillas administrativas de las
dos categorías Configuración del equipo y Configuración de usuario.
a. Utilizar los filtros
Al configurar una directiva de grupo, el administrador busca los parámetros que se corresponden con las
aplicaciones o partes del sistema que desea configurar.
En caso de que conciba una directiva adaptada a sus necesidades, pero no esté seguro de que existan los
parámetros que le permitan ponerla en práctica, siempre puede contar con la opción de la búsqueda por filtros.
Sin embargo, esta función se considera compleja. De entre todas las categorías y opciones de configuración de
filtros disponibles, la mayoría no guardan relación con el caso típico de uso de filtros.
Para utilizar los filtros es necesario modificar una directiva de grupo existente o crear una nueva. En nuestro
ejemplo, emplearemos la directiva de dominio Directiva de seguridad filial.
Despliegue el menú contextual de la directiva Directiva de seguridad filial y seleccione la opción
Editar.
En el Editor de administración de directivas de grupo, despliegue el menú contextual del directorio
Plantillas administrativas en la Configuración del equipo o de usuario.
La ventana de diálogo de configuración de los filtros de búsqueda consta de tres secciones bien diferenciadas:
Seleccione el tipo de configuración de directiva que se va a mostrar, Habilitar filtros de palabra clave y
Habilitar filtros de requisitos.
Habilitar filtros de palabra clave
El filtrado por palabras clave funciona como todos los motores de búsqueda que utilizan el sistema de palabras
clave. Introduzca una palabra que guarde relación con la configuración deseada y espere al resultado de la
búsqueda. Recuerde que cuanto más preciso sea, mayores serán las probabilidades de éxito.
Habilitar filtros de requisitos
Los filtros de condiciones permiten realizar una búsqueda por tipo de plataforma soportada. Esta opción no es
de uso obligado para realizar con éxito una búsqueda de parámetros.
En el marco de nuestro ejemplo, imaginaremos que ha surgido la necesidad de crear una nueva directiva de
grupo. Una parte de los usuarios de la filial Empresa_España son agentes comerciales con desplazamientos
habituales. Utilizan sus puestos de trabajo para conectarse a los servidores del Grupo_Empresa desde
sesiones de Escritorio remoto. Recientemente se han instalado en el dominio varios servidores dedicados a
recibir estas conexiones. Ahora, se necesita configurar los servicios de Escritorio remoto de acuerdo con las
normas de la empresa.
Con este objetivo, se creará una nueva directiva de grupo llamada Directiva de configuración de servicios
Una vez haya creado y modificado la directiva, haga clic con el botón derecho sobre el directorio
Configuración del equipo\Directivas\Plantillas administrativas y escoja Opciones de filtro.
Configure los parámetros de filtros según la figura presentada anteriormente y marque la opción
Habilitar filtros de palabra clave.
Dado que la directiva que queremos crear está relacionada con los servicios RDS (Remote Desktop Services),
haremos una búsqueda por palabras clave utilizando los términos Terminal Server en el campo Filtrar por las
palabras.
Deje la opción Habilitar filtros de requisitos sin marcar y haga clic en Aceptar.
Después de hacer clic en Aceptar, desaparece la ventana de diálogo y aparece el Editor de administración de
directivas de grupo.
En la parte afectada por la búsqueda, un icono gris en forma de filtro marca el contenedor a partir del cual el
filtro está activo.
El contenedor Todos los valores contiene todos los parámetros que guardan relación con las palabras clave del
filtro.
En este ejemplo, aparecerá listado en este contenedor todo componente configurable asociado a los servicios
de Escritorio remoto (tan sólo del directorio Plantillas administrativas). De entre los parámetros, será
3. La utilización de las herramientas de comentarios
El uso de los comentarios en informática es un medio de comunicación eficaz. Los desarrolladores son
particularmente conscientes de la utilidad de este mecanismo cuando son varias las personas que se van dando
el relevo durante el desarrollo de un programa.
De la misma forma, los administradores pueden usar los comentarios para administrar la red y mantener la
continuidad del servicio. De esta manera los equipos ganan tiempo cuando las personas en posesión de la
información requerida no están disponibles o localizables.
Por esta razón, y con el objetivo de garantizar la calidad del servicio, hay empresas que estimulan la aplicación
de procedimientos estrictos.
En esos casos, el añadir comentarios a las nuevas directivad de grupo es parte del trabajo del administrador.
Para añadir comentarios, abra en el editor la directiva a comentar y haga clic con el botón derecho
sobre la directiva Directiva de configuración de servicios RDS. Se desplegará su menú contextual.
En el menu contextual, escoja la opción Propiedades.
Haga clic en la pestaña Comentario e introduzca sus comentarios (véase en la figura un ejemplo de
comentarios que pudieran resultar útiles).
Se puede constatar la utilidad de los comentarios cuando alguno de los miembros del equipo IT consulta los
datos adicionales de la directiva. Efectivamente, con ello quedará informado de forma detallada respecto a la
organización y administración de las directivas de grupo de la red.
Además, la administración de las directivas de grupo desde la versión Server 2000 hasta Server 2008 R2 ha
evolucionado constantemente en la dirección de simplificar el trabajo de la administración de redes.
Los hitos más notables de esta progresión son la aparición de la GPMC con Server 2003, y ahora con Server 2008
y 2008 R2 la nueva consola GPMC 2.0.
En este capítulo estudiaremos una de las mejoras más destacadas de GPMC 2.0 que se denomina Preferencias de
directiva de grupo.
Las plataformas que soportan esta novedad son Windows XP, Vista y 7 para los puestos de trabajo y Windows
Server 2003, 2008 y 2008 R2 para los servidores. Esta herramienta, que ahora es nativa en Windows Server 2008
y 2008 R2 (integrada en la GPMC 2.0), apareció en el mercado de forma independiente. DesktopStandard
Corporation fue su creadora, y Microsoft es el dueño actual tras adquirir esta empresa.
Microsoft incorporó las preferencias de directiva en Windows Server 2008 y 2008 R2 tras la compra de
DesktopStandard. Desde entonces hasta hoy, han sido parte integrante de los parámetros de directivas
disponibles en el editor de directivas de grupo. Incluso cuentan con su propio contenedor raíz en el editor de
administración de directivas de grupo.
Las preferencias de directiva funcionan de manera simple. Los parámetros numerosos y variados que ofrecen para
su configuración son el origen de archivos DLL muy poderosos. Efectivamente, permiten configurar parámetros
corrientes del puesto de trabajo que hasta ahora no estaban disponibles en los parámetros por defecto de
directivas de grupo o plantillas de administración. Para que las preferencias de directiva funcionen correctamente
en los puestos de trabajo, éstos deben disponder de una extensión del lado cliente llamada CSE (Client Side
Extension). No todas las versiones de Windows incorporan las CSE por defecto. Windows Server 2008, 2008 R2 y
Windows 7 son las versiones que disponen de parámetros de preferencias y de extensiones CSE por defecto.
Respecto a las otras versiones de Windows, éstas precisan que se instalen las CSE sobre los puestos de trabajo.
En este capítulo vamos a explorar las posibilidades y funcionalidades de las preferencias de directivas, cuáles son
las diferentes formas de explotarlas y con qué finalidad. Explicaremos, a su vez, quién puede usar las preferencias
y qué condiciones técnicas se deben dar para hacerlo.
Las preferencias disponen de iconos específicos que representan al componente que modifican. El estilo visual de
los iconos está basado en el de Microsoft para mantener los hábitos y los puntos de referencia de los
administradores.
Para visualizar una preferencia de directiva y su contenido, es necesario modificar una GPO existente o bien crear
una nueva.
En la consola GPMC, cree una nueva directiva de grupo llamada Directiva de preferencias.
A continuación, modifique la directiva desde el Editor de administración de directivas de grupo.
Observará que los dos contenedores, Configuración del equipo y Configuración de usuario ofrecen un
subcontenedor Preferencias. Este directorio contiene los elementos configurables de las preferencias
de directivas.
Ambos nodos, Configuración del equipo y Configuración de usuario disponen de dos subcategorías. Estas
categorías son el directorio Configuración de Windows y el directorio Configuración del Panel de control. Todos
los objetos de parámetros de directivas de preferencias se guardan en estos contenedores.
La lista de parámetros disponibles en los nodos Configuración del equipo y Configuración de usuario es
diferente. No obstante, la mayoría de los parámetros son comunes a los dos contenedores.
1. Lista de parámetros de preferencias
Hay muchas opciones de preferencias disponibles en los nodos Configuración del equipo y Configuración de
usuario que son comunes. Ciertas preferencias sin embargo sólo están disponibles en el nodo Configuración de
usuario.
Para comprender la utilidad de las preferencias de directiva, puede ser interesante enumerar los objetos de
directivas que es posible configurar.
a. Configuración del equipo Configuración de Windows
La siguiente figura muestra una lista de los objetos que Ud. puede parametrizar en la Configuración del
equipo.
Hay 16 objetos de preferencias configurables en la Configuración del equipo. Los apartados de este capítulo
explican su utilidad y su configuración.
b. Configuración de usuario Configuración de Windows
He aquí la lista de parámetros de preferencias disponibles en el nodo Configuración de usuario.
A la hora de configurar un objeto de preferencia, hay ciertas operaciones que son comunes a cada objeto de los
nodos Configuración del equipo y Configuración de usuario.
Este capítulo presenta un ejemplo de configuración para cada objeto de preferencias ofrecido por Windows
Server 2008 y 2008 R2. Para evitar las repeticiones en las instrucciones de manipulación se presenta a
continuación la estructura y la procedimiento común a cada objeto de preferencias.
a. Configuración de un objeto de preferencia
Cuando desee crear un parámetro de preferencias, despliegue el menú contextual y haga clic en Nuevo.
Según la preferencia que seleccione, podrá escoger entre una o varias categorías de objeto. Cuando la
propuesta es múltiple, podrá elegir en función de criterios variables como la versión del sistema operativo
objetivo, la configuración de los objetos locales o compartidos o incluso las versiones de las aplicaciones sobre
las que se desea que tenga efecto.
Para nuestro ejemplo, crearemos un objeto con elección única y un objeto con elección múltiple.
Configuración de un objeto con elección única
Abra en modificación la directiva de grupo Directiva de preferencias.
Despliegue los subnodos del nodo Configuración del equipo hasta mostrar Preferencias
Configuración de Windows.
Haga clic derecho sobre el objeto de preferencia Entorno y seleccione Nuevo Variable de entorno.
Abra en modificación la directiva de grupo Directiva de preferencias.
Despliegue los subnodos del nodo Configuración del equipo hasta llegar a Preferencias
Configuración del Panel de control.
Haga clic derecho sobre el objeto de preferencia Usuarios y grupos locales y seleccione Nuevo
Grupo local de entre las dos opciones.
b. Determinar la acción que la preferencia debe efectuar
Para cada objeto de preferencia, deberá definir la acción a realizar sobre los puestos objetivo. Hay cuatro
acciones posibles.
Lista de acciones para cada objeto
● Actualizar un parámetro en el equipo o usuario objetivo.
● Crear un parámetro en el equipo o usuario objetivo.
● Reemplazar un parámetro en el equipo o usuario objetivo.
● Suprimir un parámetro en el equipo o usuario objetivo.
Lista de las funciones de cada objeto
● Actualizar: modifica un objeto existente en el equipo o usuario objetivo.
● Crear: permite crear un nuevo objeto en el equipo o usuario objetivo.
● Reemplazar: suprime y recrea un objeto en el equipo o usuario objetivo. Esta función reemplaza todos
los parámetros existentes.
● Suprimir: permite suprimir un objeto existente en el equipo o usuario objetivo.
Para comprender mejor el interés y funcionamiento de los parámetros de preferencias, realizaremos un análisis de
la función de cada uno de ellos.
Esta parte del capítulo está organizada de forma que se eviten las repeticiones debidas a parámetros presentes
en las dos categorías, Configuración del equipo y Configuración de usuario.
1. Configuración de las preferencias del contenedor Configuración de Windows
a. Parámetros de preferencias comunes a los equipos y a los usuarios
Entorno
La opción Entorno permite parametrizar nuevas variables de entorno para los usuarios y para el sistema
operativo. También es posible reemplazar las variables de ruta por defecto de Windows (System Path).
En este ejemplo, crearemos una variable de sistema llamada NewVar que apuntará al directorio C:\NewVar.
Cree un nuevo objeto Variable de entorno.
Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Actualizar.
Introduzca el nombre de la variable en el campo Nombre (NewVar) y el valor en el campo Valor
(C:\NewVar).
Archivos
La opción Archivos le permite copiar un archivo de una ruta origen a una ruta de destino. Generalmente, esta
preferencia se emplea para la copia de uno o varios archivos de la red a un directorio local en un puesto de
trabajo. No obstante se puede configurar para copiar un archivo local a otro lugar en el disco local.
En este ejemplo, escogeremos un archivo origen situado en el servidor de archivos y un archivo de destino
situado en el directorio Temp de la unidad C: de los puestos de trabajo.
Cree una nueva preferencia de Archivo.
Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Actualizar.
Seleccione el o los Archivos de origen así como el Archivo de destino.
Haga clic en Aceptar para terminar.
Cuando se aplique la preferencia, el archivo origen Listadepersonal.xlsx del directorio compartido sobre la red
sobreescribirá al archivo en local Listadepersonal.xlsx en el puesto de trabajo.
También es posible renombrar el archivo de destino cuando se crea la preferencia.
Carpetas
La preferencia Carpetas le permite efectuar operaciones sobre los directorios de los puestos de trabajo. Es
posible crear nuevos directorios, reemplazar directorios existentes, suprimir su contenido o el directorio
completo.
En este ejemplo, borraremos el contenido del directorio C:\Temp sirviéndonos de la acción Reemplazar.
Cree una preferencia de Carpetas.
Introduzca la ruta de acceso del directorio involucrado, en este caso: C:\Temp.
De entre las opciones adicionales, seleccione las siguientes:
Eliminar todos los archivos de las carpetas.
Permitir eliminación de archivos o carpetas de sólo lectura.
Omitir errores de archivos o carpetas que no pueden eliminarse.
Haga clic en Aceptar para terminar.
Archivos .ini
Los archivos INI o INF son archivos de configuración cuya función es almacenar parámetros destinados a
modificar la configuración de ciertas aplicaciones o del sistema operativo. Esta preferencia permite crear,
reemplazar, actualizar o suprimir un archivo INI o INF en el sistema operativo de los puestos cliente.
Es posible crear entradas tanto para un archivo nuevo como para uno existente.
En este ejemplo, crearemos una preferencia de directiva cuyo papel será el de actualizar el valor de la
propiedad aplname del archivo aplnegocio.ini.
Cree una preferencia de Archivos .ini.
Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Actualizar.
Introduzca valores en los campos requeridos Nombre de sección, Nombre de propiedad y Valor de
propiedad que se desea añadir al archivo.
Registro
Este parámetro de los objetos de preferencia es especialmente interesante por su alcance. Efectivamente,
permite modificar directamente el registro (registry) de los puestos cliente.
Es imprescindible tomar el máximo de precauciones, como para todas las manipulaciones que se hagan sobre el
registro. En efecto, cualquier operación descuidada es susceptible de causar un fallo irremediable en el sistema
impactado.
Cuando se modifica una preferencia de Registro se puede crear una clave nueva, modificar un valor, o suprimir
una clave existente.
La categoría adicional llamada Elemento de colección permite organizar las modificaciones por grupos. El
filtrado tiene efecto a nivel de la colección, ya no es individual para cada modificación de clave.
En este ejemplo, mediante una modificación del registro, definiremos el editor HMTL por defecto de la aplicación
Internet Explorer.
¡El asistente permite modificar de una sola vez varios valores de un subárbol existente y guardarlo
en una colección!
Cree un nuevo archivo de registro ayudándose del Asistente para el registro.
Cuando se emplea el Asistente, no se requiere ningún tipo de acción para esta directiva.
Escoja el origen del que deberá extraerse el valor de registro.
Haga clic en Siguiente.
Escoja en el registro local la clave que desee extraer y aplicar como preferencia sobre sus puestos de
trabajo.
En el registro local, optaremos por el valor de registro que define el editor HTML por defecto de Internet
Explorer.
Seleccione la clave y haga clic en Finalizar.
Ud. puede crear igualmente sus propios valores de registro como preferencias sin ayuda del Asistente para el
En ese caso, es necesario dominar los principios de funcionamiento del registro de Windows.
Recursos compartidos de red
Esta preferencia le permite compartir automáticamente un directorio con todos los equipos de la red.
Es posible definir un límite para el número de accesos simultáneos al directorio compartido (por defecto este
valor límite es de 10 para los puestos clientes) o activar o desactivar la función ABE (Access Based Enumeration)
para ocultar los recursos compartidos de la red no accesibles a los usuarios.
En este ejemplo, crearemos y compartiremos un directorio destinado a los miembros de un comité de empresa.
Este directorio compartido se necesita mientras dure la fusión de dos organizaciones en proceso de asociarse.
El acceso al directorio deberá estar restringido a los 5 miembros del comité de empresa.
Cree un nuevo objeto de preferencia Recursos compartidos de red.
Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Crear.
Introduzca el Recurso compartido, seleccione la Ruta de acceso a la carpeta (directorio a compartir)
y añada comentarios si fuese necesario.
Haga clic en Aceptar.
Accesos directos
La preferencia Accesos directos permite crear accesos directos en el Escritorio a aplicaciones en los puestos
objetivo.
En este ejemplo, crearemos un acceso directo a la aplicación de negocio de los miembros del servicio de diseño
gráfico en tres dimensiones. La aplicación se llama Design3D y debe estar accesible desde el Escritorio de los
Cree un nuevo objeto de preferencia Accesos directos.
Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Crear.
Escoja el Nombre y Ubicación de destino para el acceso directo y el Tipo de destino entre las
diferentes opciones. Determine, a continuación, la Ruta de destino y los Argumentos del objeto, si
los necesita. En la última sección, introduzca el directorio de arranque de la aplicación, un método
abreviado de teclado si aplica, el tamaño de la ventana, un comentario así como la ruta de acceso a
la imagen del icono.
Haga clic en Aceptar.
b. Parámetros de preferencias de los usuarios
Aplicaciones
Este objeto de preferencia permite configurar rápidamente aplicaciones Microsoft tales como el paquete Office,
Outlook 2003 y 2007, Microsoft Visio o Project...
El objeto de preferencia existe por defecto en la configuración de Windows Server 2008 pero su uso requiere
que se instalen previamente las correspondientes extensiones de las aplicaciones.
Asignaciones de unidades
Ya no es necesario modificar continuamente los scripts de inicio de sesión para asignar las nuevas unidades de
lectura a los usuarios.
Con esta preferencia es posible conectar y desconectar los volúmenes de red, y asignarles una letra de unidad
de lectura.
Cree un nuevo objeto de preferencia Unidad asignada.
Escoja el tipo de acción a efectuar. En nuestro caso, escoja Crear.
Configure el volumen de red al que desea dar acceso con los parámetros adecuados. Si así lo desea,
puede asignar una cuenta de usuario específica para conectarse al volumen. También puede
personalizar las opciones de visualización de la unidad en el explorador de Windows objetivo.
Haga clic en Aceptar.
2. Configuración de las preferencias del contenedor Configuración del panel de control
a. Parámetros de preferencias comunes a los equipos y a los usuarios
Orígenes de datos
El uso de bases de datos de tipo SQL Server, Oracle, Access, Excel y archivos CSV requiere la configuración de
los correspondientes orígenes de base de datos. Esta preferencia permite configurar el origen de datos para
una aplicación específica y escoger si se desea aplicar esta parametrización al sistema o a los usuarios, en
función de lo que se necesite.
En este ejemplo, actualizaremos la fuente de datos MS Access Database en el sistema objetivo. Supondremos
que, al haber cambiado la contraseña de la cuenta AdminMDB, los equipos ya no tienen la autorización para
conectarse a la base de datos Access.
Cree un nuevo objeto de preferencia Origen de datos.
Escoja el tipo de acción a efectuar. En nuestro caso, seleccione Actualizar.
Haga clic en Aceptar.
Dispositivos
Es posible activar o desactivar ciertos dispositivos empleando una preferencia de directiva. Es posible
desactivar un objeto de forma unitaria, o bien una clase de objetos.
En este ejemplo, desactivaremos la clase de dispositivo del sistema de audio con el objetivo de impedir el
funcionamiento de dispositivos de audio en los puestos cliente. No se podrá escuchar música sobre los puestos
impactados por esta preferencia.
Cree un nuevo objeto de preferencia Dispositivo.
Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione No usar este dispositivo
(deshabilitar).
Escoja la Clase de dispositivo o el dispositivo individual que desee activar o desactivar.
Cuando haya escogido, haga clic en Seleccionar.
Opciones de carpeta
La preferencia Opciones de carpeta del nodo Configuración del equipo permite asociar una extensión de
nombre de archivo a un programa específico en Windows. Se puede igualmente asociar una extensión de
archivo a una clase específica de archivo.
En este ejemplo, crearemos una preferencia Opciones de carpeta que tendrá como objetivo asociar los
archivos de imagen PNG con el programa Paintbrush de Windows.
Cree un nuevo objeto de preferencia Opciones de carpeta Tipo de archivo.
Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Actualizar.
Introduzca el valor para Extensión archivo que desee asociar y el programa (Clase asociada) al que
quedará asignado.
Haga clic en Aceptar.
Usuarios y grupos locales
Este parámetro de directiva es de interés para todos los miembros del departamento informático. Gracias a las
preferencias de directiva, es factible ahora modificar las cuentas locales de los puestos de trabajo.
Renombrar, suprimir o modificar las autorizaciones de las cuentas locales de administradores o usuarios,
cambiar la contraseña, incluso crear cuentas suplementarias, son desde ahora tareas sencillas.
Las operaciones como la creación o supresión de los grupos locales, la adición o supresión de miembros de
diferentes grupos locales son, igualmente, posibles.
En este ejemplo, crearemos una cuenta de administrador local sobre los puestos de trabajo que servirá a los
equipos técnicos durante una migración. El proyecto de migración debe haber concluido para finales de abril,
Cree un nuevo objeto de preferencia Usuario local.
Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Crear.
Introduzca los datos de identificación de la cuenta así como la Contraseña correspondiente.
Configure a continuación las opciones de la cuenta según sus necesidades.
Haga clic en Aceptar.
Opciones de red
Esta preferencia es interesante para las organizaciones en las que los usuarios externos disponen de una
configuración específica. Tanto más cuando, con mucha frecuencia, estas configuraciones son específicas y
están securizadas, ya que deben dar acceso a la red local desde el exterior de la empresa.
Las opciones de red le facilitan la tarea cuando se trata de crear y desplegar conexiones VPN (Virtual Private
Network) o DUN (Dial Up Network).
Entre los parámetros, es posible configurar las opciones de rellamada, el número de reintentos de conexión
antes de abandonar, así como el intervalo entre éstos.
La parte Seguridad le permite administrar los parámetros necesarios para la autentificación. Puede escoger
entre protocolos estándar o protocolos avanzados en los que el nivel de seguridad es más elevado.
En este ejemplo, crearemos una conexión VPN para los usuarios externos de la red.
Cree un nuevo objeto de preferencia Opciones de red y escoja Conexión VPN.
Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Crear.
A continuación, configure los parámetros de conexión en función de su red.
Configure las opciones de llamada y rellamada para los reintentos de conexión VPN.
Haga clic en la pestaña Seguridad para configurar las opciones de cifrado de datos, si es necesario.
Opciones de energía
Sobre este objeto es posible encontrar numerosos artículos en varios sitios de internet especializados. Su tema
central es ofrecer la configuración de las opciones de alimentación y su despliegue mediante directivas de
grupo con el objetivo de reducir el consumo energético de la empresa.
En primer lugar, es importante señalar que esta preferencia esta prevista para que funcione con Windows XP
únicamente. Además, la preferencia de directiva Opciones de energía se divide en dos categorías distintas. En
efecto, Ud. tiene posibilidad de gestionar independientemente las opciones de alimentación y el modo de
gestión de la alimentación. Windows proporciona un cierto número de perfiles por defecto del modo de gestión
de la alimentación. Si no son los que Ud. necesita, puede crear unos nuevos más adaptados a las necesidades
de su organización.
Finalmente, también tiene la posibilidad de configurar opciones de seguridad tales como la petición de
contraseña tras el modo de espera de los puestos y la habilitación de la hibernación.
En este ejemplo, configuraremos las opciones de alimentación de los puestos de trabajo y, a continuación, su
modo de gestión.
Escogeremos una configuración personalizada para las opciones de modo de espera, para seguir las normas de
nuestra empresa.
Cree un nuevo objeto de preferencia Opciones de energía (Windows XP).
Marque las opciones Solicitar contraseña cuando el equipo se active tras el modo de espera y
Habilitar hibernación.
Escoja las opciones: Modo de espera Cuando cierre la tapa del equipo portátil, Preguntarme qué
hacer Cuando presione el botón de encendido del equipo y Modo de espera Cuando presione el
botón de suspensión del equipo.
Ahora, configuraremos la preferencia Combinación de energía para definir en qué casos se debe activar el
modo de espera.
Cree un nuevo objeto de preferencia Combinación de energía (Windows XP).
Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Actualizar.
A continuación, defina el perfil que desea configurar con los intervalos de tiempo más convenientes
para su organización.
Atención, las opciones de alimentación tan sólo funcionan sobre sistemas operativos Windows XP.
Impresoras
Las impresoras generalmente dan mucho trabajo a los equipos técnicos. Las necesidades de instalación o
reinstalación de impresoras locales o compartidas en la red dan pie a numerosos desplazamientos.
En su mayor parte, las intervenciones relacionadas con la instalación de impresoras o la actualización de sus
controladores tienen lugar directamente sobre los equipos.
Ahora, se puede emplear Windows Server 2008 y las preferencias de directiva para instalar impresoras locales
o en red y desplegarlas desde la consola de administración de directivas de grupo. Esto permite evitar el uso
de scripts y ofrece la posibilidad de realizar todas las operaciones desde los servidores.
En este ejemplo, configuraremos una impresora de red que utiliza el protocolo TCP/IP para desplegarla sobre
los puestos de trabajo de los diferentes departamentos que la emplearán.
Cree un nuevo objeto de preferencia Impresoras y escoja Impresora TCP/IP para instalar una
impresora de red.
Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Crear.
Indique la Dirección IP de la impresora, introduzca su nombre así como su ruta de acceso en red.
Las secciones Ubicación y Comentario se pueden utilizar para localizar la impresora rápidamente.
Es posible escoger el protocolo utilizado por la impresora, así como el número de puerto.
También se dispone de configuración para la gestión de colas y SNMP.
Haga clic en Aceptar.
Tareas programadas
Este parámetro de preferencia permite crear tareas programadas o tareas urgentes, para las que la ejecución
debe ser inmediata.
Las opciones de las tareas programadas le permiten definir las fechas y horas a las que se deben ejecutar y
asociarlas con las aplicaciones que permiten su ejecución.
En este ejemplo, crearemos una tarea programada asociada a un script de ejecución cuya función es eliminar
los archivos de log de una aplicación de negocio.
Cree un nuevo objeto de preferencia Tarea programada y escoja la creación de una Tarea
programada.
Escoja el tipo de Acción a efectuar. En nuestro caso, seleccione Crear.
Introduzca los parámetros de configuración de la tarea, su nombre, el script o la aplicación que debe
arrancar, en que ruta, así como las autorizaciones necesarias para su ejecución.
Haga clic en la pestaña Programar para configurar los parámetros de la planificación.
Defina la frecuencia de ejecución de la tarea y la hora a la que debe comenzar.
Haga clic en Aceptar.
Esta preferencia elimina la necesidad de scripts o del uso de la consola de recuperación para gestionar los
servicios sobre los puestos de trabajo y los servidores.
Ahora, es posible modificar las propiedades de los servicios escogiendo entre sus posibilidades de
configuración, como pueden ser el tipo de arranque y de acción a realizar, y la cuenta que permite ejecutar las
operaciones programadas.
Es posible definir las configuraciones por defecto de los servicios y actualizar los puestos de trabajo con las
preferencias de directiva. Además, puede resolver incidencias sobre la red, por ejemplo en las que un servicio
se ve esporádicamente interrumpido sobre un conjunto de equipos.
En este ejemplo, crearemos una preferencia de directiva de Servicios con el objetivo de desactivar el Terminal
Server sobre ciertos puestos del dominio a los que el acceso está fuertemente restringido.
Cree un nuevo objeto de preferencia Servicio.
Escoja la forma de Inicio. En nuestro caso, seleccione Deshabilitado.
Haga clic en el botón al lado del campo Nombre de servicio para seleccionar el servicio que será
desactivado.
Haga clic en Aceptar.
b. Parámetros de preferencias de los usuarios
Opciones de carpeta
Los parámetros disponibles en esta preferencia permiten modificar las opciones de los directorios igual que con
el menú ofrecido por el explorador de Windows. Se puede configurar la forma en que los directorios se
muestran y organizan así como el nivel de detalle de los datos sobre los directorios y los archivos.
En este ejemplo, escogeremos mostrar la ruta completa en la barra de título, mostrar los directorios ocultos y
no mostrar las extensiones de los archivos de los que se conoce el tipo.
Atención: esta preferencia sólo es de aplicación en las versiones XP y Vista de Windows.
Cree un nuevo objeto de preferencia Opciones de carpeta (Windows Vista).
Modifique las opciones que le interesen en función de las necesidades de los usuarios.
Configuración de Internet
Actualmente, Internet Explorer es el navegador empleado por defecto en gran número de empresas. La
aplicación contiene numerosas opciones de configuración. En esta preferencia de directiva, los parámetros
disponibles varían en función de las versiones de Internet Explorer instaladas.
Por ejemplo, se tiene la posibilidad de configurar las zonas de seguridad, los sitios de confianza, o también
activar los filtros antipopup y antiphishing.
En este ejemplo, configuraremos la página de inicio por defecto así como el nivel de seguridad de la Zona
Internet. Escogeremos la configuración de Internet Explorer 7 frente a la de las versiones 5 y 6 que están
igualmente disponibles.
Cree un nuevo objeto de preferencia Configuración de Internet y escoja Internet Explorer 7.
Defina las opciones de Internet Explorer que desee activar sobre los puestos de trabajo y configure
los parámetros de las pestañas que necesite.
En nuestro caso, introduzca la URL por defecto para la página de inicio de los usuarios.
Configuración regional
Este parámetro de preferencia le permite definir el idioma por defecto utilizado en el sistema operativo objetivo.
La elección de país tiene un impacto sobre el formato con que se muestra la hora, las cifras, la fecha, las
monedas y también el idioma del teclado.
Existe la posibilidad de definir el país para que queden definidos automáticamente el resto de parámetros.
Pero, si lo desea, también puede definir los valores de las otras pestañas de forma manual.
En este ejemplo, crearemos un parámetro de preferencia Configuración regional cuya configuración estará
basada en el país España. Modificaremos los parámetros de la pestaña Moneda para cambiar la moneda de
euro a dólar. En efecto, los usuarios del departamento de Importación están constantemente realizando
transacciones con Estados Unidos y compran su mercancía en dólares.
Cree un nuevo objeto de preferencia Configuración regional.
Configure las opciones regionales respecto a todos los criterios disponibles según sus necesidades.
En nuestro caso, defina el país en la pestaña Configuración regional para que sea Español (España,
internacional).
Haga clic en la pestaña Moneda.
Haga clic en Aceptar.
Esta preferencia le permite configurar el menú Inicio. En primer lugar, puede escoger entre el menú de
Windows XP y el de Windows Vista. Además, le permitirá crear los accesos directos que estime oportunos y que
estarán solos en la barra de tareas del menú Inicio de Windows. Puede configurar el menú Inicio de los
usuarios de forma personalizada y a imagen de su empresa.
En este ejemplo, escogeremos un menú Inicio simplificado para los usuarios de la red.
Cree un nuevo objeto de preferencia Menú Inicio y escoja el Menú Inicio Windows Vista.
Haga clic en Aceptar.
3. Las opciones de la pestaña Comunes
Como habrá podido observar, cada una de las preferencias tiene una pestaña común llamada Comunes. Todas
las opciones disponibles en el interior de esta pestaña son las mismas para cada objeto.
En la siguiente figura la ventana de diálogo muestra las opciones de la pestaña Comunes seguidas de un texto
descriptivo detallado para cada parámetro.
Ya hemos visto que es posible efectuar varias acciones desde una misma GPO.
Se impone la puesta en marcha de un sistema de gestión de errores. Si la primera acción de la GPO crea una
nueva cuenta de usuario, la segunda modifica la contraseña, y la tercera y última añade la cuenta a un grupo,
parece evidente que las dos últimas acciones tan sólo se pueden ejecutar si la cuenta ha sido creada con éxito.
Seleccionando esta opción, el proceso de aplicación de los parámetros de la GPO se interrumpirá en caso de
error. Se pasará a analizar la directiva siguiente.
Ejecutar en contexto seg. usuario con sesión iniciada (dir. usuarios)
La cuenta empleada por defecto para las preferencias de directiva es la cuenta Local System.
Al seleccionar esta opción, las preferencias de directivas emplearán las credenciales de la cuenta de usuario.
Quitar este elemento cuando ya no se aplique
Esta opción permite suprimir los objetos creados por las preferencias de directiva cuando ya no están activos.
Aplicar una vez y no volver a aplicar
Seleccione esta opción si desea aplicar la directiva una sola vez. Por defecto, las directivas de preferencia se
aplican cada 90 minutos, igual que las directivas de grupo normales.
Destinatarios de nivel de elemento
Establezca de forma precisa a qué usuarios y a qué equipos desea aplicar las preferencias.
Active esta opción en primer lugar, después haga clic en el botón Destinatarios para escoger el destino de cada
elemento gracias al Editor de destinatarios.
Cada parámetro de preferencia, ya sea recién creado o existente, dispone de ciertas opciones en el Editor de
administración de directivas de grupo. Es posible efectuar operaciones tales como mostrar los datos del objeto
en formato XML, exportar la lista a archivo de texto, o activar/desactivar objetos.
Una vez se ha creado un objeto preferencia en el Editor de administración de directivas de grupo,
seleccione el objeto en la parte derecha de la pantalla.
Tras efectuar la selección, la barra de menú situada encima y a la izquierda del objeto permite efectuar
las operaciones siguientes:
● Cortar, pegar, eliminar y modificar las propiedades de un objeto.
● Imprimir y actualizar el objeto.
● Exportar la lista de objetos a un archivo de texto.
● Mostrar los datos XML de un objeto.
● Desactivar o activar un objeto.
La configuración de estas directivas se define sobre los servidores o los puestos de administración que disponen
de los componentes objetos de preferencias. Las modificaciones y las parametrizaciones se aplican sobre los
puestos de trabajo cuando éstos disponen de las CSE (Client Side Extensions) de Windows. Es interesante
recordar la composición básica de las extensiones del lado cliente que permiten ejecutar las peticiones de
modificación de parámetros requeridos por las preferencias de directiva. Las CSE se apoyan sobre archivos DLL
muy potentes capaces de tratar los cambios de configuración que las preferencias comportan.
1. Administrar las preferencias
Para aplicar correctamente las preferencias de Windows Server 2008 y 2008 R2, un puesto de trabajo debe
disponer de las CSE. En el momento actual, de las diferentes versiones de Windows anteriores a Windows 2008
y Vista ninguna incluye por defecto ni los componentes, ni las extensiones del lado cliente.
Los sistemas que permiten la creación y la implementación de preferencias de directiva son necesariamente
Windows Server 2008 o Windows Vista como estación de administración.
Los componentes de preferencias se suministran con Windows Server 2008 y 2008 R2, tan sólo se precisa la
instalación adicional del objeto Applications. Si los administradores desean administrar tanto las directivas de
grupo como las preferencias desde un puesto Windows Vista o 7, es preciso que instalen los componentes
adicionales que permiten realizar dichas operaciones.
2. Aplicar las preferencias
Una vez se han definido y desplegado las preferencias, es necesario configurar los puestos clientes objetivo. Las
preferencias de directiva de grupo tienen una serie de requisitos previos para poder funcionar sobre los puestos
de trabajo.
Ésta es la lista de los diferentes sistemas operativos con la configuración mínima requerida para procesar las
preferencias:
● Windows XP con Service Pack 2 instalado
● Windows Server 2003 con Service Pack 1 instalado
● Windows Vista con las CSE
● Windows Server 2008
● Windows Server 2008 R2
● Windows 7.
3. Instalación de las extensiones del lado cliente sobre los equipos
Para tener una visión de contexto sobre el modo de funcionamiento de las preferencias de grupo, recordaremos
que éste consta de dos fases diferenciadas.
La primera fase consiste en crear y configurar los objetos de preferencias sobre los servidores o los puestos de
administración que dispongan de las herramientas adecuadas.
La segunda fase consiste en aplicar estas parametrizaciones sobre los puestos de la red. En efecto, los equipos
objetivo deben tener la capacidad para procesar las preferencias de directiva y para aplicar las modificaciones
que éstas aportan. En este caso, todos los puestos objetivo tienen la obligación de disponer de las extensiones
a. Windows Server 2008 y 2008 R2
Windows Server 2008 y 2008 R2 están equipados por defecto con los componentes necesarios para el
funcionamiento de las preferencias de directiva.
b. Windows Server 2003, Windows XP
Para que Windows Server 2003 y Windows XP puedan aplicar las preferencias de la directiva, es imprescindible
instalar las CSE sobre los equipos.
En estas versiones de Windows es obligatoria la instalación de XMLlite previamente a la aplicación de los
parches de preferencias. Podrá localizar los archivos de instalación en el sitio de Microsoft
(http://www.microsoft.com) con la ayuda de su motor de búsqueda.
c. Windows Vista
Windows Vista tan sólo requiere la descarga e instalación del parche .MSU (MicroSoft Update patch) desde el
sitio de Microsoft. De esta forma, dispondrá de las extensiones del lado cliente para aplicar las preferencias.
d. Windows 7
Windows 7 no precisa de ninguna instalación suplementaria para poder procesar las preferencias.
e. Instalación de las CSE
Las extensiones del lado cliente están contenidas en archivos ejecutables .EXE o .MSU. No es posible
desplegarlos de forma masiva mediante directivas de grupo. Existe la posibilidad de utilizar un servidor WSUS
(Windows Server Update Services) o una herramienta equivalente si la instalación manual no es posible. De no
ser así, deberá realizar las instalaciones una a una sobre cada puesto cliente en el que desee poder aplicar las
preferencias de directiva.
4. Gestionar los componentes de preferencias sobre los puestos de administración
En este momento, los puestos clientes estarían listos.
La elección de emplear una estación de administración de Windows Vista o 7, o directamente uno de los
servidores para administrar e implementar las directivas de grupo forma parte de la política de empresa.
Generalmente son los administradores quienes deciden cuáles son los medios técnicos más eficaces para
administrar la red.
a. Administrar las preferencias de directiva desde un equipo Windows Vista o 7
Si ha escogido un puesto de trabajo para administrar las directivas de grupo, hay que configurarlo en
consecuencia.
Los componentes relacionados con las preferencias de directiva se instalan en dos tiempos:
● El paquete RSAT (Remote Server Administration Tool) está disponible para su descarga en el sitio de
Microsoft. Contiene los principales componentes de las preferencias de directivas.
● Una herramienta adicional está igualmente disponible para su descarga en el sitio de Microsoft. Se
trata del objeto de preferencia Aplicaciones que permite gestionar diferentes aplicaciones publicadas
por Microsoft.
Recuerde que los componentes de preferencias de directiva se suministran por defecto con Windows Server
2008 y 2008 R2.
Los parámetros de preferencias están disponibles a través de la GPMC en los directorios Preferencias de los
nodos Configuración de equipo y usuario. Nos centraremos en el nodo Configuración de usuario
Preferencias Configuración de Windows. Este contenedor dispone del objeto de preferencia Aplicaciones,
pero hay un detalle sutil a tener en cuenta.
Efectivamente, le será posible crear este objeto, pero éste será inutilizable porque la ventana de diálogo no le
permitirá seleccionar una aplicación en particular.
Esta particularidad tiene su razón de ser en motivos legales difícilmente comprensibles. No obstante, es posible
descargar el componente Aplicaciones (archivo DLL) desde el sitio de Microsoft e instalarlo siguiendo las
instrucciones.
Desde su aparición hasta la fecha, el funcionamiento de las directivas de grupo ha sufrido muchas modificaciones.
Algunas están relacionadas con su funcionamiento, otras con los parámetros de objetos disponibles y con las
formas de aplicarlos en Active Directory.
Las preferencias de directiva pueden verse como un resumen de las principales opciones de configuración de los
perfiles de usuario de los puestos de trabajo en una red empresarial Microsoft.
Las preferencias reemplazan la mayor parte del contenido de los scripts de inicio de sesión y de las
parametrizaciones de los perfiles de usuario. Familiarizándose con las herramientas de preferencias de directivas y
utilizándolas de manera óptima, se aligeran de forma considerable las tareas de administración de redes.
No siempre es sencillo elegir entre usar las preferencias o usar las directivas de grupo. Como elementos a
considerar en nuestra decisión, compararemos de forma noexhaustiva los modos de funcionamiento de cada una
de las dos opciones.
En primer lugar, las preferencias de directiva funcionan de forma diferente a las directivas de grupo normales. En
efecto, podrá darse cuenta de que su apariencia en la consola de administración de directivas de grupo es
diferente de la de las GPO estándar. Los iconos empleados, y la disposición de los diferentes objetos no se han
concebido para que se correspondan con los otros tipos de parámetros del editor de administración de las
directivas de grupo.
Les preferencias de directivas constituyen una entidad autónoma considerada como una parte del sistema de
administración de las políticas de directivas de grupo.
Recordemos que los parámetros de preferencias se encuentran accesibles en el mismo lugar que los de las GPO.
No obstante, sus funcionamientos respectivos son ligeramente diferentes.
En efecto, cuando un parámetro de directiva de grupo se define y aplica sobre un puesto de trabajo, la sección del
registro del equipo cliente impactada por la modificación de configuración queda protegida. Lo que esto quiere
decir es que un usuario no tiene posibilidad de modificar el registro manualmente de tal forma que elimine los
efectos de la directiva de grupo sobre su puesto.
Los accesos a las claves del registro de las directivas de grupo quedan bloqueados para impedir la anulación de la
aplicación de los parámetros por parte de los usuarios. Una vez escrito en el registro, un parámetro de
configuración aplicado mediante una GPO queda inaccesible para los usuarios, salvo que dispongan de los
permisos necesarios.
Las preferencias tienen un funcionamiento algo distinto. De hecho, las preferencias no guardan sus
parametrizaciones en las claves del registro (Policies keys) bloqueadas por el sistema operativo. Las aplicaciones
impactadas por los parámetros de preferencias obtienen los datos de configuración de otro emplazamiento del
registro, en el que los accesos no están restringidos.
Si las claves del registro correspondientes a parametrizaciones de preferencias estuviesen guardadas en
el mismo sitio que las claves de registro de los parámetros de directiva de grupo, las preferencias
sencillamente no podrían funcionar en los puestos de trabajo.
Por tanto, los archivos que contienen las configuraciones y parametrizaciones de preferencias pueden ser
modificados y eliminados de los puestos de trabajo por parte de los usuarios.
En Active Directory, cuando se mueve un objeto usuario o equipo de una unidad organizativa a otra, los
parámetros de preferencias permanecen activos en el equipo. En efecto, las preferencias quedan registradas en el
sistema cliente, donde persisten a pesar de esa modificación.
Sin embargo, en el caso de una eliminación de una clave de registro que contenga un parámetro de preferencia,
Por ejemplo, imaginemos una preferencia de directiva cuyo papel sea crear el acceso a un volumen compartido en
la red en el puesto de trabajo de un usuario. Y que el usuario, intencionadamente o no, desconecta la unidad
asociada. En ese caso, en la siguiente aplicación de las directivas de grupo y de las preferencias, la unidad de red
se reconectará automáticamente en el perfil del usuario.
Existen diferentes maneras de aplicar los parámetros de preferencias, según se ha visto en la sección
Configuración de los objetos de preferencias Las opciones de la pestaña Comunes.
Hemos constatado que ciertos parámetros de GPO y de preferencia se refieren a los mismos objetos.
También, durante la administración, nos pueden surgir dudas sobre si se debe parametrizar cierto objeto con los
objetos de parámetros de directivas de grupo estándar, o con los de las preferencias.
Aunque hay similitudes, son más las diferencias. Así, los parámetros de directiva vendrían a complementar las
funcionalidades de sus homónimos disponibles en las directivas de grupo.
Es primordial recordar que las preferencias actúan como parametrizaciones personalizadas con el objetivo de
mejorar el día a día de los usuarios. Son diferentes en cuanto a su propósito y funcionamiento de las políticas de
directiva aplicadas.
Los parámetros y opciones sobre los que las preferencias actúan pueden modificarse por parte de los usuarios.
Los parámetros de directiva definidos por las directivas de grupo son algo impuesto, que los usuarios no pueden
modificar.
Las GPO estándar tienen un carácter obligatorio mientras que las preferencias se parecerían más a sugerencias.
En caso de conflicto entre una directiva de grupo y una preferencia de directiva, es la directiva de grupo la que
resulta efectiva.
Un archivo ADM quedaba almacenado en el directorio de la directiva de grupo en el que se creaba, con lo que
añadía al tamaño de este directorio unos 4 MB. La replicación de los controladores de dominio se veía
sensiblemente ralentizada por este comportamiento, generando un problema comúnmente conocido como Sysvol
bloat.
A partir de Windows Server 2008 y Windows Vista, aparece una novedad en el ámbito de la gestión de las
plantillas administrativas: los archivos con formato ADMX y ADML.
Los archivos ADMX son los sucesores de los archivos ADM presentes en las versiones anteriores de Windows.
Es en estos archivos, programados en lenguaje XML, en los que se basan las opciones que componen las plantillas
administrativas. Al igual que los archivos ADM, los formatos ADMX afectan a la configuración del registro de los
puestos objetivo. Las modificaciones de los objetos de directiva de grupo se realizan desde la interfaz de la
consola de administración de directivas de grupo, de forma idéntica a como se configura una GPO estándar. Los
archivos ADMX definen los parámetros de registro que serán activados, desactivados o modificados en los puestos
de trabajo objetivo.
Para profundizar en la gestión y la depuración de las directivas de grupo es preciso estudiar la estructura de los
archivos ADMX. La administración de las directivas de grupo adquiere así una dimensión más amplia.
En este capítulo presentaremos los formatos de archivo ADMX, ADML y compararemos sus funcionalidades con las
de sus predecesores. Para terminar, daremos un repaso a las diferentes herramientas adicionales, como el ADMX
Migrator.
Su gestión individual representa mucho trabajo para los administradores si debe identificar uno, localizarlo y
después replicarlo sobre los puestos de trabajo.
Los archivos ADMX son los sucesores de los archivos ADM, su estructura ha cambiado así como sus métodos de
gestión.
1. Los entornos mixtos
Se puede plantear el uso sobre un entorno mixto de las nuevas funcionalidades proporcionadas por Windows
Server 2008 y 2008 R2 para la gestión de las directivas de grupo. No obstante, es importante saber que el único
medio de aprovechar todas las nuevas funcionalidades de Windows Server 2008 y 2008 R2 es migrar todos los
puestos de trabajo hasta, como mínimo, Windows Vista, o cualquier versión posterior.
En efecto, un gran número de los parámetros nuevos está previsto para que funcione con un nivel funcional de
dominio Server 2008 o 2008 R2. Además, la mayor parte de las nuevas funcionalidades aportadas por la
GPMC 2.0 sólo se pueden explotar si los puestos cliente están en Vista o 7, como mínimo.
Windows Vista y 7 contienen cerca de 700 objetos de directiva para parametrizar, mientras que Windows XP tan
sólo posee 200.
Cuando un administrador modifica o crea una directiva de grupo, los parámetros disponibles en el contenedor
Plantillas administrativas en los nodos Configuración del equipo y Configuración de usuario se reparten entre
aquellos que aplican para Vista o 7 y aquellos que aplican para las versiones anteriores.
En un entorno que incluya versiones mixtas de Windows, la parametrización de las GPO, en particular de las
plantillas administrativas, se deberá hacer en función de las versiones de Windows.
La consola de administración de directivas de grupo de Windows Server 2003 no contiene los mismos
parámetros que la GPMC 2.0 (Windows Server 2008 y 2008 R2). Ciertas novedades solo están
accesibles con Windows Server 2008 y 2008 R2.
Cada archivo ADMX se corresponde con un parámetro de directiva para una aplicación específica.
Los archivos ADMX que contienen los parámetros de configuración del registro se almacenan en el directorio %
systemroot%\PolicyDefinitions (C:\Windows\PolicyDefinitions) de los controladores de dominio y de los
puestos de trabajo.
Cada archivo ADMX implica la creación de un archivo ADML. Los archivos ADML se almacenan en las subcategorías
del directorio principal de destino C:\Windows\PolicyDefinitions, en el directorio del idioma correspondiente (es
ES para el español).
Las plantillas administrativas se construyen a partir de archivos ADMX y su archivo de idioma correspondiente
ADML.
Nuevas funcionalidades de los archivos ADMX y ADML
Archivo de directiva en Funcionalidad multi Mejora la gestión de los entornos multi
lenguaje XML idioma y versionado idioma.
Se muestran los parámetros de directiva en
el idioma del sistema operativo.
1. Requisitos previos para la creación de archivos ADMX
El lenguaje de programación de los archivos AMDX es el XML. Para comprender la composición de un archivo
ADMX, hay que conocer su construcción.
La creación de archivos ADMX implica el conocimiento del lenguaje de programación XML.
Para crear archivos ADMX válidos, hay que conocer los elementos siguientes:
● Definición de un documento XML bien formado.
● Los elementos XML.
● Los atributos XML.
Atención: el lenguaje XML distingue entre mayúsculas y minúsculas.
2. Estructura de los archivos ADMX
La estructura de un archivo ADMX se compone de dos categorías principales. Cada una define un conjunto de
parámetros relativos al propio archivo o a los parámetros de directivas que modifica.
Entre estas categorías, la declaración XML y PolicyDefinitions están al mismo nivel jerárquico, mientras que las
cinco categorías restantes son categorías hijas de PolicyDefinitions.
Es perfectamente posible crear uno mismo sus propios archivos ADMX y los archivos ADML asociados siempre que
se respeten ciertos principios de funcionamiento.
En primer lugar, es importante precisar que la creación de archivos ADMX y ADML aplica exclusivamente a
Windows Server 2008 en lo referente a la infraestructura. Estos archivos se convertirán en las plantillas
administrativas desplegadas por las directivas de grupo, procesadas y después aplicadas por las extensiones del
lado cliente de los equipos que ejecuten Windows Vista.
a. Esquema del archivo
El esquema siguiente representa un archivo ADMX dividido en sus diferentes categorías.
● La Declaración XML: elemento indispensable para especificar que el archivo se basa en el lenguaje
XML.
● El Elemento PolicyDefinitions contiene todas las categorías hija que constituyen el archivo .admx.
● El Elemento PolicyNameSpaces define el espacio de nombres único del archivo .admx. Contiene a su
vez la correspondencia de los espacios de nombre de archivos externos cuando estos tienen
referencias a elementos categoría definidos en otro archivo .admx.
● El Elemento Resources (.admx) indica las condiciones requeridas para los recursos específicos al
idioma.
● El Elemento SupportedOn hace referencia a las cadenas de texto localizadas cuyo papel es definir los
sistemas operativos o las aplicaciones impactadas por un parámetro de directiva.
● El Elemento Categories establece las categorías en las que el parámetro de directiva debe mostrarse
en la consola de administración de directivas de grupo o el editor de directiva de grupo.
Cuando se usa un nombre de categoría igual a otro contenido en otro archivo ADMX, se genera un nodo
duplicado. Microsoft tiene disponible en Internet información relativa a listas de nombres de categorías para
evitar la aparición de nodos duplicados.
● El Elemento Policies contiene las definiciones de cada parámetro de directiva individual.
Los archivos ADML contienen los recursos de idioma de los parámetros de directiva contenidos en el archivo
ADMX.
Esto permite que la consola de administración de directivas de grupo o el editor de directiva de grupo muestren
un parámetro de directiva en el idioma deseado.
El archivo ADML posee una estructura básica formada por dos categorías principales, la Declaración XML y la
PolicyDefinitionResources, que a su vez contiene un subelemento Resources (.adml). Las categorías StringTable y
PresentationTable son propiamente los subelementos de la categoría PolicyDefinitionResources.
a. Esquema del archivo
El archivo ADML está construido según se ilustra en el siguiente esquema:
b. Estructura básica del archivo
● Declaración XML: elemento imprescindible para especificar que el archivo se basa en el lenguaje XML.
● El Elemento PolicyDefinitionResources contiene todas las categorías hijas que constituyen el
■ El Elemento Resources (.adml): es un elemento hijo de la categoría PolicyDefinitionResources y
contiene a su vez dos subelementos.
■ Los elementos StringTable y PresentationTable permiten definir un idioma concreto. Se debe
respetar el orden de su definición en el archivo ADML, el elemento StringTable debe preceder al
elemento PresentationTable. Cuando se invierte el orden, el analizador de las herramientas de
administración de directivas de grupo señala un error.
4. Archivo básico ADMX personalizado
En ocasiones, los administradores de red desean crear archivos .admx para que se muestren bajo un nodo de
categoría única en el editor de directiva de grupo de la consola de administración de directivas de grupo.
En ese caso, lo interesante es crear un archivo básico ADMX personalizado.
Un único archivo básico personalizado que integre varias categorías predefinidas así como texto definido por el
elemento SupportedOn, puede reutilizarse desde varios archivos .admx.
Tomemos como ejemplo la creación de un archivo básico personalizado para la organización Grupo_Empresa.
Los administradores del Grupo_Empresa quieren crear varios archivos ADMX personalizados agrupados bajo un
nodo de categoría única llamado Grupo_Empresa. Este nodo estará visible como contenedor en la consola de
administración de directivas de grupo, en particular en el editor de administración de directivas de grupo durante
la creación o modificación de una directiva.
La creación de un archivo básico ADMX personalizado permite definir la categoría central Grupo_Empresa en el
editor de administración de directivas de grupo. Todos los archivos ADMX que modifican parámetros
personalizados se almacenan en esta categoría.
La creación de un archivo básico ADMX personalizado conlleva la creación del modelo ADML asociado.
5. Comentarios
Un archivo ADMX siempre va acompañado de su archivo ADML asociado. Los archivos ADMX definen los
parámetros de directiva a modificar en el registro. El archivo ADML asociado define los parámetros de idioma del
archivo ADMX.
El editor de directiva de grupo espera encontrar un archivo .adml con el mismo nombre que el del archivo .admx.
Cuando esto no es así, el editor de objetos de directiva muestra un mensaje de error.
Existe una cierta cantidad de archivos ADMX disponibles por defecto en Windows Server 2008 y 2008 R2 o
Windows Vista y 7. E igualmente se pueden descargar archivos ADMX de Internet e integrarlos en el almacén
central con el propósito de que estén disponibles en la consola de administración de directivas de grupo.
Como última opción puede generar estos archivos Ud. mismo si ninguno de los archivos predeterminados o
disponibles para descargar satisface sus necesidades o sus expectativas.
La oportunidad de generar uno mismo sus archivos ADMX extiende considerablemente las posibilidades de
personalización de la red. Los administradores pueden definir cuáles son las necesidades de creación en materia
de plantillas administrativas y, así, hacer lo necesario para desplegarlas sobre los puestos de trabajo.
Para la creación de archivos ADMX, hay que conocer los principios básicos de las estructuras de archivos XML así
como el esquema de construcción de los archivos ADMX y ADML.
Una vez se han creado y probado estos archivos, se deben integrar en el almacén central para aumentar el
conjunto de plantillas administrativas disponibles.
Este directorio es el lugar de almacenamiento común para los archivos ADMX y ADML en los controladores de
dominio.
En efecto, las plantillas administrativas usadas por las directivas de grupo proceden del almacén central.
Además, cada una de las GPO que contiene archivos ADMX accede al almacén central para obtener la última
versión de cada plantilla de administración desplegada. La puesta al día regular del almacén central garantiza la
puesta al día de los objetos de parámetros modificados por la directiva sobre los clientes.
No obstante, el almacén central hay que crearlo antes de poder emplearlo. Microsoft recomienda la creación del
almacén central sobre el controlador de dominio principal. La replicación de Active Directory se encarga de
actualizar los controladores de dominio secundarios.
1. Crear el almacén central
La creación del almacén central se debe efectuar de forma manual en el explorador de archivos del controlador
de dominio principal. Para poder hacer esto es necesario conectarse al controlador con una cuenta habilitada
para realizar este tipo de modificaciones.
Conéctese al controlador de dominio principal con una cuenta de administrador de dominio y abra el
explorador de Windows.
Existe una convención de nomenclatura para cada idioma. Para España, emplee esES.
Dentro del nuevo directorio PolicyDefinitions, cree un nuevo directorio esES.
2. Aumentar el almacén central
Una vez haya creado el almacén central, podrá albergar en él los archivos ADMX de los que disponga.
Para aumentar y actualizar el almacén central, puede emplear varios métodos.
Presentaremos, no obstante, uno de los métodos más simples y eficaces. Se trata simplemente de copiar los
archivos ADMX directamente en el directorio del almacén central: SYSVOL\domain\Policies\PolicyDefinitions.
No importa el método de copia que emplee, copia manual, por un script o cualquier otra, pero recuerde que debe
copiar los archivos ADML en el directorio del idioma correspondiente al archivo ADMX.
Puede descargar plantillas ADMX desde otras fuentes externas, ajenas a Windows.
1. Descarga de archivos ADMX de una fuente externa
Hay numerosos sitios Internet que proveen plantillas administrativas adicionales para la gestión de su red. Las
fuentes de descarga son múltiples y es difícil asegurarse de manera cierta de la integridad de los archivos. Se
recomienda probarlos antes de integrarlos en producción.
2. Plantillas administrativas para Microsoft Office
Microsoft ofrece para su descarga numerosas plantillas administrativas cuyo objetivo es personalizar Microsoft
Office para los usuarios de la red.
Una vez se han descargado las plantillas administrativas sobre los servidores o sobre los puestos de
administración, es suficiente con integrar estos archivos en el almacén central de los controladores de dominio
para poder emplearlos.
Si, a pesar de todo, desea utilizar archivos ADM y utilizar los parámetros de directivas que modifican para
incrementar el almacén central con antiguas plantillas administrativas, necesitará la utilidad ADMX Migrator.
ADMX Migrator permite convertir todos los archivos ADM en archivos ADMX.
Está disponible para su descarga en el sitio de Microsoft.
Durante el proceso de conversión de un archivo ADM en un archivo ADMX, AMDX Migrator transforma el archivo ADM
en dos archivos distintos: un archivo ADMX que contiene los parámetros de directiva y un archivo ADML que
contiene los parámetros de idioma.
Cuando ha terminado la conversión, los archivos transformados se pueden integrar en el almacén central o
incorporarse directamente en un puesto de trabajo para probarlos.
En versiones anteriores de la utilidad ADMS Migrator persistían algunos errores de conversión, pero a partir de la
versión 1.2 éstos han sido corregidos.
Si no emplea ADMX Migrator pero desea conservar las parametrizaciones de los archivos ADM, estará obligado a
recrear todos los modelos de administración.
1. Escenario ideal de uso de los archivos ADMX
Hay un escenario ideal de administración de archivos ADMX, pero trae consigo una serie de requisitos previos. Si
Ud. sólo desea emplear los archivos ADMX y su almacén central, deberá migrar todos los puestos de
administración de la red a Windows Vista o 7. Además, todos los servidores de dominio deben tener instalado
Windows Server 2008 o 2008 R2.
Respecto a las plantillas administrativas, la totalidad de los archivos ADM presentes en la red deben convertirse
en archivos ADMX.
Y, finalmente, no puede haber en ejecución en el dominio ninguna directiva de grupo destinada a puestos de
trabajo con versiones de Windows instaladas anteriores a Vista.
Si se cumplen todas estas condiciones, puede suprimir los archivos ADM de forma segura. En este caso, los
archivos han quedado obsoletos y se puede liberar el espacio que ocupan en la red.
2. Enlaces y descargas
Las búsquedas de información ejecutadas mediante los filtros WMI pueden hacer uso de un sinnúmero de
parámetros relativos a los puestos de trabajo. Los filtros de búsqueda pueden estar basados en el hardware que
constituye el puesto de trabajo, la versión del sistema operativo instalada, las versiones de las aplicaciones
instaladas o la configuración del sistema activa en el equipo.
Los filtros WMI se pueden emplear sobre tecnologías Windows Server 2000, 2003, 2008 y 2008 R2 para los
servidores y sobre Windows XP, Vista y 7 para los puestos de trabajo.
Lo más frecuente es que una red Microsoft se componga de puestos cliente con diferentes versiones del sistema
operativo Windows. De hecho, es probable que se puedan encontrar varios objetos equipo con versiones de
sistema operativo diferentes en una misma Unidad Organizativa de Active Directory.
Cuando se crea una directiva de grupo para aplicar a una Unidad Organizativa de ese tipo, es posible que los
equipos cliente necesiten una configuración diferente en función de la versión de Windows instalada para que la
directiva de grupo pueda funcionar.
Tomemos como ejemplo el de una directiva de grupo vinculada a una UO que contiene un equipo con Windows XP
y otro con Windows Vista o 7. La directiva de grupo debe modificar ciertos parámetros en función de la versión del
sistema operativo de los puestos cliente.
Debido a esto, se hace necesario configurar dos objetos de directiva de grupo. Un primer parámetro de directiva
está destinado a la modificación de los puestos con XP y el segundo a la modificación de los puestos con Vista/7.
En ese caso, se debe prestar atención para garantizar que se apliquen los parámetros de directiva tan sólo a los
equipos adecuados.
Es posible plantear varios métodos para llevar a cabo esta operación, entre ellos el uso de filtros de WMI. En
efecto, los filtros WMI permiten distinguir los equipos según criterios relativos al sistema o a las aplicaciones.
Además, el uso de filtros WMI permite mantener la organización de Active Directory a pesar de la diversidad de
sistemas operativos en los puestos cliente. En otros términos, no es preciso poner a punto una estructura de
Unidades Organizativas en función de las versiones de Windows desplegadas en el dominio.
Durante la creación de una directiva de grupo, se puede añadir un filtro WMI al objeto de directivas de grupo para
determinar los criterios indispensables para la aplicación de ésta sobre un puesto cliente.
Atención: los filtros WMI no funcionan en puestos con sistema operativo Windows 2000.
1. La sintaxis de los filtros WMI
Los filtros WMI se basan en el lenguaje WQL (WMI Query Language), muy próximo al lenguaje de programación
SQL (Structured Query Language).
Hay varias formas de crear filtros WMI, ya sea con un programa especializado, o bien con la interfaz disponible
para ello en la consola de administración de directivas de grupo.
Por ejemplo, el programa Scriptomatic2 es bastante popular entre los programadores y está disponible en el sitio
de Microsoft.
Los filtros WMI son peticiones enviadas a los puestos de trabajo objetivo. Estas peticiones contienen parámetros
que señalan al servidor que provee las directivas de grupo cuáles son los criterios de aplicación o noaplicación
para cada una de las directivas de grupo.
Cada petición WMI destinada a constituir un filtro debe tomar la forma básica siguiente:
No obstante, algunas peticiones especializadas requieren una sintaxis más compleja y una mayor cantidad de
datos.
b. Ejemplo de petición WMI
La siguiente petición permite determinar si el espacio libre en las unidades locales de un puesto de trabajo es
inferior a 10 MB.
En función del resultado, la directiva que emplea este filtro WMI se aplicará o no sobre los puestos cliente.
2. Crear un filtro WMI
La creación de los filtros WMI se realiza desde la consola de administración de directivas de grupo. Una vez
creado el filtro, éste se puede asignar a una o varias directivas de grupo del contenedor Objetos de directiva de
grupo.
Para crear un filtro WMI, se debe tener preparada la petición en la que se basa. Si se crea la petición en un
programa independiente de la consola de administración de directivas de grupo, será necesario copiarla y
pegarla en el campo correspondiente de la ventana de diálogo de la creación de un nuevo filtro WMI.
No obstante, también se tiene la posibilidad de escribir la petición en el momento de la creación del filtro.
Para incorporar una petición a un filtro WMI, abra la consola de administración de directivas de grupo y
sitúese sobre el contenedor Filtros WMI.
Despliegue el menú contextual del directorio y escoja Nuevo.
Introduzca el nombre que desea dar al filtro así como su descripción. Lo más habitual es aprovechar
para definir la acción del filtro en este campo.
Tiene la opción de escribir la petición directamente, o bien de copiar y pegar un texto que contenga una petición
en el campo Consultas.
Haga clic en Agregar para incorporar la petición WMI al filtro.
Haga clic en Aceptar.
La petición WMI se ha añadido al filtro.
Los parámetros de peticiones hacen uso del espacio de nombres CIMv2. Todos los parámetros
recogidos bajo este espacio de nombres pueden utilizarse para crear peticiones WMI.
Una vez guardada, la petición queda visible en la consola de administración de directivas de grupo en el
directorio Filtros WMI.
Además, el filtro queda ahora disponible para ser asignado a una de las directivas de grupo del dominio.
3. Asociar un filtro WMI
Tras la creación de un filtro WMI, mientras no esté asociado a una directiva, está disponible pero inactivo. Es
necesario asociarlo a una directiva de grupo para que tenga efecto.
En la consola de administración de directivas de grupo, cree una nueva directiva de grupo llamada
Directiva de cálculo del espacio en disco.
En ese mismo apartado, haga clic en el menú desplegable y escoja el filtro WMI adecuado. Para
nuestro ejemplo, el filtro Cálculo del espacio libre en el disco inferior a 10 MB.
Haga clic en Sí para hacer efectiva la aplicación del filtro cuando aparezca la petición de confirmación.
Los parámetros de la directiva de grupo tan sólo se aplicarán a los equipos y/o usuarios que satisfagan la
petición WMI.
4. Importar y exportar los filtros WMI
Al igual que ocurre con muchas de sus opciones, Windows ofrece la posibilidad de importar y exportar los filtros
WMI.
Gracias a esta funcionalidad, se pueden importar y exportar los filtros entre los diferentes controladores de
dominio de varios dominios. También es posible importar los filtros de servidores ya obsoletos tras haber sido
migrados o desde fuentes externas.
A las funciones de importación y exportación se accede desde la consola de administración de directivas de
grupo. Al exportar un filtro WMI, se crea un archivo con la extensión .MOF en la ruta que se especifique.
a. Importar un filtro
En la consola de administración de directivas de grupo, sitúese en el contenedor Filtros WMI.
Haga clic con el botón derecho sobre un área vacía de la pantalla.
Escoja Importar.
La siguiente ventana de diálogo le permitirá buscar el archivo .MOF que contiene el filtro que
desea importar.
Haga clic en Abrir.
b. Exportar un filtro
La exportación de un filtro WMI se hace partiendo directamente del filtro en cuestión. En la GPMC,
sitúese en el contenedor Filtros WMI.
Haga clic con el botón derecho sobre el filtro que desee exportar y escoja Exportar.
La siguiente ventana de diálogo le permitirá guardar el filtro WMI en un archivo de extensión .MOF
en la ruta que Ud. elija.
Haga clic en Guardar.
Use este enlace si desea crear sus propios archivos ADMX. La descarga del esquema ADMX le ayudará al
proporcionar el soporte básico para la creación de archivos ADMX y ADML: http://go.microsoft.com/fwlink/?
LinkId=86094
Este enlace le permitirá acceder a documentación que le guiará para crear un archivo básico ADMX personalizado:
http://technet.microsoft.com/eses/library/cc770905%28WS.10%29.aspx
Este enlace le permitirá descargar las plantillas administrativas y los archivos de preferencia ADMX para Windows
Server 2008: http://www.microsoft.com/downloads/details.aspx?FamilyID=927fc7e3853c410aacb5
9062c76142fa&DisplayLang=en
Este enlace le permitirá descargar las plantillas administrativas ADM, ADMX y ADML para Microsoft Office 2010:
http://www.microsoft.com/download/en/details.aspx?id=18968
El uso combinado de los programas RegtoAdm y ADMX Migrator le permite crear archivos ADMX y ADML
explotables en Windows Server 2008 y 2008 R2. Tenga precaución, puesto que las pruebas han
mostrado que pueden aparecer errores.
La potencia de las plantillas administrativas presenta un interés superior frente a la utilidad de los filtros WMI. Las
plantillas administrativas personalizadas permiten configurar los puestos de trabajo en conformidad con las
expectativas y necesidades de una empresa.
La puesta a disposición de un almacén central aumenta la centralización de los datos de la red y permite actualizar
todos los controladores de dominio gracias a la replicación.
El error por SysvolBloat ha dejado de existir.
En cuanto a los filtros WMI, son herramientas muy potentes para filtrar según numerosos criterios y de varias
formas. Cuanto mayor sea su conocimiento de las diferentes partes del sistema que se pueden filtrar, más
eficazmente podrá utilizar WMI. Sin embargo, el filtrado por petición WMI supone tiempo y espacio. Si se aplican
demasiados filtros WMI sobre los puestos en el momento de aplicar las directivas de grupo, la red y los puestos de
trabajo se verán ralentizados de forma notable.
Además, las peticiones WMI deben probarse antes de ser desplegadas y aplicadas de forma masiva. Las
peticiones WMI incorrectas pueden alterar seriamente el funcionamiento de las directivas de grupo, y es difícil
determinar las causas exactas del problema. Microsoft recomienda desplegar las peticiones WMI en los
laboratorios de pruebas y verificar su buen funcionamiento antes de incorporarlas a los sistemas en producción.
El número de parámetros configurados en la GPMC influye sobre la velocidad del intercambio de datos en la red.
La seguridad interna trata sobre todas las manipulaciones que pueden dañar la integridad de la red local, ya sea
de forma intencionada o por error. La seguridad exterior debe impedir los ataques y la acción de los virus u otros
programas malintencionados. Éstos provienen en su mayor parte del exterior de la empresa. Lo más frecuente es
que estas intrusiones provengan de Internet o de medios de almacenamiento extraíbles.
Un conocimiento experto de las directivas de grupo en entornos Windows incrementa la capacidad de securización
de la empresa. Las GPO permiten configurar un sinnúmero de parámetros de directiva relacionados con la
seguridad de los puestos de trabajo y de los servidores, así como con datos de la red.
Las políticas de seguridad varían de una organización a otra según sus actividades y las necesidades que se
definan. Una vez se ha establecido el nivel de seguridad requerido, es posible configurar las directivas de grupo
correspondientes.
No es el objetivo de este libro enumerar y detallar todas y cada una de las opciones de seguridad y su impacto,
sino que más bien nos concentraremos sobre los elementos principales relacionados con la seguridad de Windows
a través de las directivas de grupo.
En este capítulo se presentarán los parámetros de seguridad considerados como más importantes. Se explicarán
sus efectos y se explorarán los diferentes niveles de directivas de seguridad.
Cuando se crea un nuevo dominio, hay ciertas operaciones que se ejecutan automáticamente, entre ellas la
creación de directivas de grupo por defecto.
Inicialmente, al promocionar un servidor a controlador de dominio, se crea la unidad organizativa Domain
Controllers en Active Directory. En esta unidad organizativa se almacenarán los objetos controladores de dominio
por defecto.
A continuación, se crea y vincula a nivel de dominio la directiva de grupo Default Domain Policy. Esta GPO es la
directiva de dominio por defecto. Los parámetros definidos se aplican a todos los objetos contenidos en Active
Directory.
Para terminar, se crea la directiva de grupo Default Domain Controllers Policy y se vincula a la unidad organizativa
Domain Controllers. Esta GPO define los parámetros de directivas que se aplican a los controladores de dominio de
la empresa.
Microsoft recomienda modificar únicamente los parámetros de seguridad de estas directivas de grupo. Para
cualquier modificación que no guarde relación con la seguridad, es preferible crear GPOs aparte. Si fuese
necesario, éstas se pueden vincular al nivel de dominio posteriormente.
Precaución: ¡si se altera la integridad de las directivas de grupo Default Domain Policy y Domain
Controllers Policy, resulta muy difícil deshacer los cambios!
1. La directiva Default Domain Policy
La directiva Default Domain Policy está vinculada al dominio Active Directory por defecto.
El objetivo principal de esta directiva es definir las políticas utilizadas por las cuentas de usuario del dominio.
Estos son los tres parámetros de directiva que presentan mayor interés:
● Directiva de contraseñas
● Directiva de bloqueo de cuenta
● Directiva Kerberos
Estos tres parámetros definen la forma en que van a funcionar las cuentas de usuario en la red. Es posible
modificar directamente la directiva de grupo Default Domain Policy o crear una nueva GPO para configurar los
parámetros de las cuentas de usuario de la organización. Una vez se ha creado la GPO, basta con vincularla al
dominio para que funcione de manera idéntica a la directiva por defecto Default Domain Policy.
El empleo de esta posibilidad garantiza la integridad de la directiva Default Domain Policy y no cuesta más tiempo
de configurar. En este caso, es imprescindible tener en cuenta el orden de precedencia de las GPO.
a. Los parámetros de directiva de dominio
Hay cinco parámetros de directiva que, una vez modificados, sólo surten efecto si la GPO está vinculada a nivel
de dominio. Ésta es la lista de esos parámetros y sus funciones:
● Forzar la desconexión de las sesiones de usuario…: es posible definir las franjas horarias de
● Cuentas : cambiar el nombre de la cuenta de administrador: se puede renombrar el nombre de la
cuenta del administrador local del puesto.
● Cuentas : cambiar el nombre de cuenta de invitado: se puede emplear para renombrar la cuenta de
invitado en los puestos de trabajo.
● Cuentas estado de la cuenta de administrador: esta opción funciona a partir de las versiones
Windows Server 2003 y superiores. Permite desactivar la cuenta del administrador local en los puestos
de trabajo.
● Cuentas : estado de la cuenta de invitado: esta opción funciona a partir de las versiones Windows
Server 2003 y superiores. Permite desactivar la cuenta del invitado en los puestos de trabajo.
Estos parámetros de directiva tan sólo funcionan si se aplican al dominio entero.
b. Modificar la Default Domain Policy o crear una nueva
Es posible modificar directamente la Default Domain Policy para configurar el comportamiento de las cuentas de
usuario del dominio o crear una estrategia completamente nueva y vincularla a nivel de dominio.
Si elige crear una nueva GPO para configurar las cuentas de usuario, surge el problema de la precedencia de
las GPO. En el capítulo Administrar las directivas con GPMC 2.0 (Administrar las GPO con la consola de
administración de directivas de grupo GPMC 2.0), hemos indicado que la última GPO en aplicarse es la que
"gana". Hará falta por tanto cambiar la precedencia de la directiva de las cuentas de usuario para que se
aplique la última, después de Default Domain Policy.
Si no, los parámetros de configuración de las cuentas de usuario no surtirán efecto sobre los puestos de
trabajo ya que serán anulados y reemplazados por los de la Default Domain Policy.
Se recomienda modificar la Default Domain Policy directamente para los parámetros de directiva de las cuentas
de usuario. Se debe tener presente el asignarle el nivel de precedencia más alto y evitar la aparición de
conflictos, ya que tendrá prioridad sobre las otras GPO del dominio.
2. Directiva Default Domain Controllers Policy
En un dominio Active Directory, todos los servidores promovidos al rango de controladores de dominio quedan
automáticamente incorporados a la Unidad Organizativa Domain Controllers.
La directiva Default Domain Controllers Policy, creada por defecto durante la puesta en marcha del dominio,
define los parámetros de directiva que se aplican a todos los controladores de dominio contenidos en la Unidad
Organizativa Domain Controllers.
Del mismo modo, es posible crear una nueva GPO para configurar los controladores de dominio y asignarle el
nivel más alto de precedencia para que se aplique después de la directiva por defecto. Pero lo recomendado es
emplear la Default Domain Controllers Policy disponible para este propósito.
3. Reparar las directivas por defecto (Default Domain Policy y Default Domain
Controllers Policy)
Puede ocurrir que las directivas por defecto se corrompan y ya no funcionen correctamente. Se recomienda
utilizar las copias de seguridad de las directivas por defecto que, idealmente, se habrán realizado previamente a
cualquier modificación.
Si no se ha hecho ninguna copia de seguridad, Windows Server 2008 y 2008 R2 proporcionan utilidades por línea
de comando que permiten restaurar las directivas de grupo a su estado inicial. Estos comandos funcionan a
partir de la versión 2003 de Windows Server y ofrecen las siguientes funcionalidades: restauración de la directiva
Para realizar una restauración de directivas de dominio por defecto hay que estar conectado al servidor
controlador de dominio principal con los derechos de administración requeridos.
Una vez autentificado, abra una ventana de comando DOS y escriba el comando DCGPOFIX especificando uno
de los siguientes parámetros:
DCGPOFIX /Target:Domain para restaurar la Default Domain Policy.
DCGPOFIX /Target:DC para restaurar la Default Domain Controllers Policy.
DCGPOFIX /Target:BOTH para restaurar las dos.
En cualquier caso, DCGPOFIX no funcionará si el esquema Active Directory ha sufrido cambios desde la
instalación del controlador de dominio.
En ese caso, emplee el siguiente comando:
GPOFIX /ignoreschema para ignorar las modificaciones del esquema.
Truco: para restaurar las GPO por defecto de un controlador de dominio Windows Server 2000, puede
descargarse la utilidad RecreateDefPol del sitio de Microsoft.
Los objetos de directiva están localizados en el nodo Configuración del equipo Directivas Configuración de
Windows Configuración de seguridad Directivas de cuenta.
En esta sección, definiremos y pondremos en marcha una política de administración de cuentas de usuario del
dominio.
Atención, esta directiva se aplicará a todos los usuarios que tengan una cuenta en el dominio.
Utilice la consola de administración de directivas de grupo, para abrir la directiva Default Domain
Policy en el Editor de administración de directivas de grupo.
Expanda el árbol hasta Directivas de cuenta.
● Directiva de contraseñas
● Directiva de bloqueo de cuenta
● Directiva Kerberos
Directiva de contraseñas:
Las opciones disponibles permiten definir el nivel de seguridad, de complejidad y los criterios de gestión de
contraseñas.
Directiva de bloqueo de cuenta:
Directiva Kerberos:
Los parámetros de la directiva Kerberos permiten definir los modos de autentificación de los clientes sobre los
controladors de dominio, el tiempo de validez de los vales de usuario y la forma en que estos vales se renuevan.
En el siguiente ejemplo de configuración de una directiva Default Domain Policy se han empleado valores al azar
para los parámetros. Puede Ud. definir por sí mismo los valores de los parámetros de directiva, generalmente
éstos vendrán definidos por las políticas en vigor en la empresa.
1. Configuración de la Directiva de contraseñas
Exigir historial de contraseñas: 8 contraseñas recordadas.
Vigencia máxima de la contraseña: 42 días.
Vigencia mínima de la contraseña: 30 días.
Almacenar contraseñas con cifrado reversible: No está definido.
La contraseña debe cumplir los requisitos de complejidad: Habilitada.
Longitud mínima de la contraseña: 10 caracteres.
Duración del bloqueo de cuenta: 3 minutos.
Restablecer el bloqueo de cuenta después de: 3 minutos.
Umbral de bloqueo de cuenta: 3 intentos de inicio de sesión no válidos.
3. Configuración de la Directiva Kerberos
Para la configuración de los parámetros de directiva Kerberos se necesita comprender bien su utilidad. En efecto,
una vez configurados, los diferentes parámetros podrían ralentizar los intercambios de datos en función de los
criterios que se definan.
Aplicar restricciones de inicio de sesión de usuario:
Este parámetro de seguridad permite determinar si el centro de distribución de las claves Kerberos debe validar
individualmente cada una de las peticiones de vale de sesión (todas las peticiones de sesión) con los derechos
del usuario autentificado.
Vigencia máxima del vale de servicio:
Este parámetro permite definir el tiempo máximo (en minutos) durante el que un vale de sesión emitido por el
centro de distribución de claves Kerberos es utilizable para acceder a un servicio específico. La duración mínima
de vida de un vale debe ser superior a 10 minutos.
Los vales de sesión se utilizan para autentificar nuevas conexiones con los servidores de dominio. Si un vale
expira mientras la conexión entre el puesto de trabajo y el servidor está todavía activa, ésta no se ve afectada.
Vigencia máxima del vale de usuario:
Este parámetro de seguridad permite definir el tiempo máximo de utilización de un vale que concede vales de
usuario o TGT (TicketGrantingTicket). Un TGT expirado conlleva su renovación o la petición de un nuevo TGT.
Este parámetro permite definir el periodo durante el que el usuario puede renovar un TGT.
Tolerancia máxima para la sincronización de los relojes de los equipos:
Este parámetro permite establecer la diferencia máxima de tiempo aceptada por el centro de distribución de
claves Kerberos para la sincronización entre el reloj del servidor y el del puesto cliente.
Atención: la seguridad implementada mediante marcas temporales (timestamps) sólo funciona
correctamente si los relojes de los servidores y los puestos cliente están sincronizados.
Aplicar restricciones de inicio de sesión de usuario: Deshabilitada.
Vigencia máxima del vale de servicio: 600 minutos.
Vigencia máxima del vale de usuario: 10 horas.
Vigencia máxima de renovación de vales de usuario: 34 días.
Tolerancia máxima para la sincronización de los relojes de los equipos: 3 minutos.
¿Qué ocurre cuando se crea una GPO que modifica la política de contraseñas y se vincula a una Unidad
Organizativa?
La última GPO aplicada tiene efecto únicamente sobre las contraseñas de las cuentas locales. Éstas deberán cumplir
los criterios definidos por la directiva.
¿Cómo se hace para definir políticas de contraseña diferentes en un mismo dominio?
La respuesta llega de la mano de Windows Server 2008. Entre los parámetros de directiva disponibles, nos
familiarizaremos con el objeto FGPP (Fine Grained Password Policy). Este mecanismo permite crear políticas de
contraseñas diferentes para los usuarios de dominio. Esto permite, por ejemplo, aumentar el nivel de seguridad de
las cuentas de usuarios con privilegios elevados o que tengan acceso a datos muy sensibles. No obstante, el
funcionamiento de la FGPP requiere una preparación específica. No se puede crear directivas de contraseñas y
aplicarlas a las Unidades Organizativas. Para la puesta a punto y correcto funcionamiento de la FGPP, ésta debe
organizarse tomando como base Active Directory. Se detallarán a continuación los diferentes pasos para
implementar las directivas de contraseñas con FGPP.
Estos son los diferentes pasos de la puesta en marcha de una política FGPP:
● Creación de un PSO (Password Setting Object).
● Configuración de las opciones del PSO con la ayuda del asistente ADSI (Active Directory Service Interface).
● Vinculación de los PSO con los usuarios o grupos de seguridad.
1. Preparar la implementación de FGPP
Para que FGPP esté activo, el nivel funcional del dominio deber ser Windows Server 2008 y 2008 R2. Si no es el
caso, es necesario aumentar el nivel funcional en Active Directory.
Para aumentar el nivel funcional del dominio, abra Active Directory y haga clic con el botón derecho sobre
el dominio.
En el menú contextual, escoja la opción Elevar el nivel funcional del dominio.
a. Crear un PSO
Una vez se ha actualizado el nivel funcional del dominio, el procedimiento para emplear FGPP requiere la creación
de uno o varios PSO.
Windows Server 2008 y 2008 R2 almacena las FGPP en el esquema Active Directory. Existen dos nuevas clases
de objeto: las clases PSC (Password Settings Container) y PSO.
La clase PSC se almacena por defecto en el contenedor System del dominio y alberga los objetos PSO del
dominio en cuestión.
Los PSO se crean en ADSI Edit. ADSI Edit viene ahora integrado en las plataformas Windows Server 2008 y 2008
R2.
Para abrir ADSI Edit, abra la ventana de diálogo Ejecutar... del Menú Inicio.
Escriba adsiedit.msc y haga clic en Aceptar.
En ADSI Edit, haga clic con el botón derecho sobre Editor ADSI y escoja Conectar a....
Haga clic en Aceptar.
Después de haber hecho clic en Aceptar, estará Ud. conectado al esquema Active Directory. Para crear un PSO,
hay que dirigirse al contenedor Password Settings Container siguiendo la ruta: Contexto de nomenclatura
predeterminado/FQDN/CN = System/CN = Password Settings Container.
Haga clic con el botón derecho en el espacio vacío a la derecha del directorio Password Settings
Container y escoja Nuevo, después Objeto.
Haga clic en Siguiente.
Cada una de las ventanas de diálogo que se suceden permite la configuración de uno de los parámetros del
PSO. Se deben configurar un total de once parámetros antes de la creación de cada PSO.
Esta tabla resume las diferentes opciones a parametrizar y sus efectos.
MsDSLockout Observation Tiempo de bloqueo de la ventana de 18000000000
Window conexión. (6 minutos)
Una vez se ha configurado el último parámetro, aparece la siguiente ventana.
Es posible configurar atributos suplementarios haciendo clic sobre el botón Más atributos.
Tras haber hecho clic en Finalizar, el PSO creado aparece en el contenedor ADSI Password Settings Container.
Haga clic con el botón derecho sobre el PSO, que hemos llamado PSO Investigación y seleccione
Propiedades.
En la ventana de diálogo siguiente, podrá visualizar la lista de atributos del PSO que se han configurado, y sus
valores.
Tras haber seleccionado los diferentes filtros, ciertos atributos aparecen en las propiedades del PSO.
b. Asignar un PSO
Una de estas optiones es msDSPSOAppliesTo, que permite asignar el PSO a un grupo o usuario.
Recuerde que es preferible asignar los PSO a grupos de Active Directory que a los usuarios.
Para asignar un PSO, haga doble clic sobre el objeto y seleccione el atributo msDSPSOAppliesTo.
En la siguiente ventana de diálogo, puede escoger entre las opciones Agregar cuenta de Windows (Cuenta de
Active Directory) o Agregar DN (agregar un nombre único).
Haga clic en Agregar cuenta de Windows.
Seleccione el grupo al que debe aplicarse el PSO, en nuestro caso Investigación, y haga clic en
Aceptar.
Ahora puede verificar los grupos a los que se aplica el PSO y su SID.
Una vez terminada la verificación, haga clic en Aceptar.
En la siguiente ventana de diálogo, el atributo msDSPSOAppliesTo contiene el valor (SID) del grupo al que se
aplica ahora el PSO.
c. PSO y Active Directory
Una vez se han creado y asignado los PSO, es posible realizar verificaciones en Active Directory en las
propiedades de los grupos.
Para permitir que Active Directory muestre estas opciones, deberá activar las funcionalidades avanzadas.
Abra Usuarios y equipos de Active Directory y despliegue el menú Ver.
Escoja la opción Características avanzadas.
Cuando esta opción está activada, Active Directory muestra nuevos contenedores y permite visualizar nuevos
parámetros en las propiedades de los diferentes objetos.
Vaya al contenedor de grupos de seguridad de Active Directory, en nuestro ejemplo en Grupo Empresa
Empresa España Grupos, y abra las propiedades del grupo Investigación.
El valor del atributo msDSPSOApplied contiene los datos del PSO asignado al grupo de seguridad
Investigación. Observe que el nombre del PSO (CN= PSO Investigación) se corresponde con las operaciones
realizadas en Active Directory.
2. Conclusión y comentarios
En los apartados anteriores de este capítulo hemos seguido los pasos de la implementación de FGPP.
Es importante recordar que FGPP sirve para poner en práctica políticas de contraseña diferentes para los usuarios
de un mismo dominio.
Para utilizar FGPP, es necesario crear PSOs y asignarlas a los grupos objetivo en el ADSI.
Ahora que Ud. conoce cómo emplear los PSO, no se olvide de la Default Domain Policy. Es en esta directiva donde
se definen las políticas de contraseña en primer lugar. Cuando se emplea un PSO, la Default Domain Policy sigue
actuando de forma subyacente. Si Ud. asigna un PSO directamente a un usuario, será la política de contraseñas
definida en el PSO la que se imponga sobre la Default Domain Policy. Cuanso son varios los PSO asignados a un
usuario, es el PSO con el nivel de precedencia más bajo el que se impone sobre los demás. Una entrada en el
registro de eventos marca la asignación de varios PSO a este usuario. Así:
● Si un usuario es miembro de un único grupo de seguridad global y se asigna un PSO a ese grupo, la
política de contraseñas de ese PSO se impondrá sobre la Default Domain Policy.
● Si el usuario es miembro de varios grupos de seguridad global vinculados a diferentes PSOs, será el PSO
con el nivel de precedencia más bajo el que se impondrá sobre los demás.
● Si los usuarios no tienen ningún PSO vinculado a su cuenta Active Directory o a los grupos de seguridad
de los que son miembros, será la Default Domain Policy la que se aplique.
● Almacenar contraseñas usando cifrado reversible.
● Sin contraseña necesaria.
● La contraseña nunca caduca.
Si uno de estos atributos está definido en Active Directory, se aplicará a la cuenta de usuario a pesar del PSO.
a. Utilizar Specops
La creación de objetos PSO puede parecer complicada de poner en práctica. Y, de igual forma, la conexión y la
manipulación del ADSI pueden parecer fastidiosas.
Specops es una utilidad gráfica disponible en Internet que permite gestionar los PSO de forma intuitiva y
simplificada. Si desea utilizarla, descargue el programa Specops desde http://www.specopssoft.com e instálelo
en el servidor o puesto de trabajo desde el que gestione las GPO. La utilidad Powershell debe estar instalada
para que Specops pueda funcionar.
La mayoría de las opciones de auditoría son configurables con las GPO. No obstante, Windows Server 2008 y 2008
R2 ofrecen nuevas posibilidades de auditoría cuya activación se realiza de forma independiente a las directivas de
grupo.
Esta parte del capítulo presenta primero las múltiples opciones de auditoría posibles gracias a las GPO, y después
las herramientas de auditoría que no provienen de ellos.
1. Utilizar las directivas de grupo para auditar
Si implementa una directiva de grupo de auditoría, puede vincularla a la Unidad Organizativa Domain Controllers si
desea auditar las acciones realizadas sobre el controlador de dominio. Del mismo modo, puede configurar
directivas de auditoría y vincularlas a otras Unidades Organizativas de su estructura Active Directory, esto
dependerá de los sistemas y elementos que Ud. desee auditar.
a. Los diferentes parámetros de auditoría
Los parámetros de auditoría configurables se encuentran en la ruta Configuración del equipo Directivas
Configuración de Windows Configuración de seguridad Directivas locales Directiva de auditoría.
Para visualizar estos parámetros, abra la GPMC y modifique la Default Domain Controllers Policy.
Sitúese a continuación en la posición de la Directiva de auditoría.
Windows Server 2008 y 2008 R2 ofrecen nueve parámetros de auditoría. La siguiente tabla describe las
diferentes acciones y recomendaciones para utilizarlos de forma óptima.
Auditar la administración Registra cada evento relativo a la Valor = Correcto o
de cuentas administración de cuentas sobre un equipo, Erróneo
como la creación, modificación o supresión de
una cuenta o grupo de usuarios. La auditoría
registra las modificaciones si una cuenta se
renombra, se activa o desactiva y si se
establece o modifica la contraseña.
Auditar el acceso al Registra cada evento relativo al acceso a un Valor = Correcto
servicio de directorio objeto Active Directory por parte de un
usuario.
Auditar el acceso a Registra cada evento relativo al acceso a un Valor = Sin auditoría
objetos objeto especificado por parte de un usuario
(archivos, impresoras, claves de registro...).
Auditar eventos de inicio Registra cada evento de inicio y cierre de Valor = Sin auditoría
de sesión sesión de los usuarios de un equipo.
Auditar eventos de inicio Registra los eventos de conexión a Active Valor = Correcto
de sesión de cuenta Directory en los registros de eventos de los
controladores de dominio.
Auditar eventos del Registra los eventos relativos al rearranque Valor = Correcto
sistema o parada de un equipo y los que afectan a la
seguridad del sistema o el registro de
seguridad.
Auditar el cambio de Registra cada modificación de derechos de Valor = Correcto
directivas usuario, de directivas de auditoría o de
directivas de confianza de la empresa.
b. Auditar las directivas de grupo con una directiva de grupo
La creación de directivas de grupo con los parámetros de auditoría descritos en la sección anterior tiene por
objetivo auditar los equipos y servidores de la red. Si Ud. desea auditar las acciones hechas sobre las propias
directivas de grupo, entonces deberá utilizar una directiva de grupo para auditar a las anteriores.
c. Auditar las modificaciones de objetos
Cuando se crea, suprime o modifica una GPO se generan varias entradas en el registro de eventos de Windows
Server 2008 o Windows Server 2008 R2.
El objeto de directiva Auditar el acceso al servicio de directorio está activado por defecto en la Default Domain
Controller Policy cuando el servidor ejecuta Windows Server 2003. En cambio, en Windows Server 2008 y 2008
R2, la opción no está definida por defecto sino programada "a fuego" para que funcione permanentemente.
De forma más precisa, la auditoría está activa sobre el contenedor Policies en Active Directory. Este contenedor
sólo está visible si las funcionalidades avanzadas de Active Directory han sido seleccionadas.
Para verificar la existencia y el contenido del directorio Policies, abra Usuarios y equipos de Active
Directory.
Escoja que se muestren las funcionalidades avanzadas.
Abra el directorio Dominio (empresa.local) System Policies.
Cada directorio corresponde con una de las directivas de grupo creadas en la consola de administración de
directivas de grupo.
Elija una de las directivas de grupo presentes, haga clic con el botón derecho sobre ella y seleccione
Propiedades.
En esta ventana, podemos comprobar que las entradas de auditoría tienen el valor Correcto. Todas las
modificaciones hechas correctamente sobre los contenedores de Active Directory auditados generarán una
entrada en el registro de eventos del controlador de dominio.
En el visor de eventos, sitúese en el directorio Registros de Windows Seguridad y busque los
eventos con el número de ID 4662.
Podemos ver que los accesos a Active Directory se auditan con éxito.
Haga doble clic sobre un evento en particular si desea analizar sus detalles.
Con Windows Server 2008 y 2008 R2, aparecieron algunas novedades para las auditorías. Ahora es posible
auditar 4 nuevos ID de eventos para las operaciones hechas en Active Directory.
Esta es la lista de eventos y su descripción:
● Event 5136: Mostrar los atributos modificados.
● Event 5137: Mostrar los atributos creados.
● Event 5138: Mostrar los atributos no suprimidos.
● Event 5139: Mostrar los atributos desplazados.
Estos eventos informan únicamente de que se han hecho modificaciones, pero no del contenido de éstas. Por
ejempo, podrá saber que una nueva GPO ha sido modificada pero no a qué parámetros ha afectado la
modificación.
Para emplear los Directory service changes con este propósito, hay herramientas disponibles para su descarga.
e. Activar Directory service changes
La activación de la auditoría de los directory service changes se hace por línea de comando sobre cada uno de
los controladores de dominio que desee auditar.
Abra una ventana de comando Ejecutar y escriba CMD.
En la ventana de comando DOS, escriba:
f. Auditar un objeto específico
Es posible auditar cualquier objeto de Active Directory pero eso requiere una manipulación. Para nuestro
ejemplo, auditaremos una Unidad Organizativa concreta.
Abra Usuarios y equipos de Active Directory.
Sitúese en el contenedor Grupo_Empresa, haga clic con el botón derecho sobre la Unidad Organizativa
Empresa_España y seleccione Propiedades.
Haga clic en la pestaña Seguridad, después sobre Opciones avanzadas y escoja la pestaña Auditoría.
Haga clic en Agregar.
En la siguiente ventana, escoja los grupos o usuarios específicos a auditar. En nuestro ejemplo,
aplicaremos la auditoría a Todos dentro de la UO Empresa_España.
Escriba Todos y haga clic en Comprobar nombres.
La siguiente ventana de diálogo permite efectuar la configuración de la auditoría. Puede escoger a qué objetos
aplica la auditoría y qué tipos de acceso deben ser auditados.
Para nuestro ejemplo, escoja en el menú desplegable Aplicar en la opción Usuario objetos
descendientes.
Seleccione el acceso Escribir todas las propiedades.
Haga clic en Aceptar.
Haga clic en Aceptar para todas las ventanas de diálogo restantes.
Para verificar los resultados de la auditoría que hemos puesto a punto, son necesarias algunas manipulaciones.
En Active Directory, sitúese en el contenedor para el que se ha activado la auditoría y cree un nuevo usuario.
En nuestro ejemplo, sitúese en la Unidad Organizativa Grupo_Empresa Empresa_España Usuarios
y cree un nuevo usuario.
Verifique a continuación en el Visor de eventos que se ha creado una nueva entrada. En cualquier
caso existirá un evento con un ID 4662 ya que se habrá auditado un acceso a Active Directory.
g. Auditar los accesos a los archivos en la red
Si desea saber qué usuarios acceden a qué archivos de la red y en qué momento, necesitará auditar los archivos
compartidos.
En este caso, puede activar la auditoría sobre cada uno de los servidores de archivos o utilizar una directiva de
grupo.
Si elige utilizar una GPO, será necesario modificar la estructura de su Active Directory de la siguiente manera:
Mueva las cuentas de equipo de los servidores de archivos a esta UO.
Cree una GPO y vincúlela a esta UO.
Active la auditoría de los objetos en la directiva de grupo.
En las propiedades de un directorio, haga clic en la pestaña Seguridad, y después en Opciones
avanzadas. Haga clic en Editar en la pestaña Auditoría y especifique qué usuarios o qué grupos desea
auditar para cuando el resultado es Correcto y/o Erróneo.
2. Conclusión y comentarios
En esta parte del capítulo hemos abordado el funcionamiento y la utilidad de las directivas de auditoría.
Hemos comprobado que hay un número indefinido de objetos y eventos susceptibles de ser auditados. El interés
de las directivas de auditoría es que garantizan una seguridad reforzada y un mejor control de la red. Es posible
saber qué manipulación se ha hecho sobre qué objeto, en qué momento y por qué usuario o administrador.
La puesta en práctica de las directivas de auditoría requiere no obstante el control y la supervisión de los eventos
auditados. Si el visor de eventos o los registros de logs no se inspeccionan regularmente, la auditoría estará
activa pero desgraciadamente será inútil. No se debe olvidar que cuanto mayor sea el número de objetos
auditados, más largo y minucioso será el trabajo de revisión de los eventos.
Ciertas organizaciones de gran tamaño se encuentran con un número elevado de entradas en los registros de
eventos. Herramientas como Microsoft MOM o Event Log Sentry II permiten una centralización de logs para realizar
un análisis más adecuado.
Para evitar pérdidas de tiempo recurrentes, Microsoft proporciona la posibilidad de implementar políticas de
restricción de software que permiten a los administradores determinar qué programas podrán o no ejecutarse
sobre los puestos cliente.
Las versiones XP y superiores de Windows incluyen ciertas CSE. Una de estas CSE es la directiva de restricción de
software que permite restringir el funcionamiento de los programas para un usuario en particular o para todos los
usuarios de un puesto de trabajo en particular.
Por supuesto las GPO de restricción de software se pueden aplicar perfectamente al resto de niveles del directorio
Active Directory.
Esto depende de la forma en que los administradores desear organizar las restricciones. Si se aplica una directiva
de restricción de software a nivel del dominio, ninguno de los usuarios del dominio será capaz de usar los
programas restringidos. Se se aplica la GPO al nivel de una Unidad Organizativa, ninguno de los usuarios de esta
UO tendrá posibilidad de utilizar los programas restringidos, pero los usuarios de otra UO si podrán.
Las directivas de restricción de software pueden aplicarse igualmente a los equipos. Si los equipos están
impactados por estas GPO, les programas restringidos en la directiva no se podrán usar en el equipo en cuestión
por parte de ningún usuario.
Para poner a punto una directiva de restricción de software, abra la consola de administración de
directivas de grupo y cree una nueva directiva llamada Directiva de restricción de software.
Modifique la directiva y sitúese en el contenedor Configuración del equipo Directivas Configuración
de Windows Configuración de seguridad Directivas de restricción de software.
Haga clic con el botón derecho sobre el directorio Directivas de restricción de software y escoja
Nuevas directivas de restricción de software.
Hecho esto, el editor de administración de directivas de grupo mostrará los diferentes objetos de directiva que es
posible configurar.
El contenedor Directivas de restricción de software contiene dos subdirectorios, Niveles de seguridad y Reglas
adicionales así como tres objetos de directiva, Cumplimiento, Tipos de archivo designados y Editores de
confianza.
Los tres parámetros presentes en el contenedor Niveles de seguridad determinan el nivel de seguridad de acceso
a los diferentes programas.
● No permitido: es el nivel de seguridad más alto. No se puede ejecutar ningún programa,
independientemente de los derechos de acceso del usuario.
● Usuario básico: permite a los programas ejecutarse para usuarios sin derechos de Administrador, pero
con acceso a los recursos accesibles a los usuarios normales que no tienen restricciones especiales.
● Ilimitado: los usuarios pueden acceder a los programas en función de los derechos que les han sido
asignados.
El nivel de seguridad por defecto para las directivas de certificado es Ilimitado. Puede cambiar este parámetro en
cada ventana de diálogo No permitido, Usuario básico o Ilimitado.
Para definir una regla suplementaria, haga clic con el botón derecho sobre el contenedor Reglas
adicionales y elija entre las nuevas reglas disponibles.
Regla de nuevo certificado
Las reglas de certificado utilizan certificados firmados criptográficamente. Ud. puede firmar sus propias aplicaciones
o scripts con una regla de certificado. Adicionalmente Ud. puede utilizar otra regla de certificado para aprobar un
publicador, como por ejemplo el departamento de informática o Microsoft.
Los usuarios, los administradores o los administradores de la empresa pueden especificarse como publicadores de
confianza.
No obstante, para utilizar esta regla es necesario activar un parámetro de seguridad en la directiva de restricción
Para activar este parámetro vaya a Configuración del equipo Directivas Configuración de Windows
Directivas locales Opciones de seguridad.
Habilite, según muestra la figura, Configuración del sistema: usar reglas de certificado en ejecutables
de Windows para directivas de restricción de software.
Regla de nuevo hash
Cuando se crea una regla de nuevo hash, las restricciones que entran en juego utilizan el hash de los programas
no autorizados.
Nueva regla de zona de red
Lo más frecuente es que los virus y los programas malintencionados provengan de descargas de Internet. Las
reglas de zona de red permiten definir qué zonas de Internet Explorer autorizan las descargas: Internet, Intranet,
sitios restringidos, sitios de confianza o equipo local.
Es importante observar que esta regla únicamente impide la descarga de archivos MSI. El resto de formatos de
archivo están exentos de la regla.
Regla de nueva ruta de acceso
Con esta regla es posible autorizar o restringir el acceso a ciertas aplicaciones en función del lugar donde están
instaladas en el disco duro.
1. Crear una directiva con una regla adicional
Hemos decidido bloquear todo el directorio de juegos de Windows mediante una regla de ruta de acceso.
Cree una Regla de nueva ruta de acceso.
En la ventana de diálogo del parámetro, introduzca la ruta de acceso al directorio de juegos de
Windows. La ruta por defecto es %PROGRAMFILES%\Microsoft Games ya que emplearemos la
variable de entorno %PROGRAMFILES%.
La ruta de acceso debe corresponder a la de los puestos de trabajo sobre los que la GPO va a
aplicarse según su versión. Esto también es así si se desea crear otra regla ya que el servidor no
siempre dispone de la misma configuración de sistema que los puestos de trabajo. Las diferentes
versiones de Windows 2000 a Vista o 7 disponen igualmente de configuraciones de sistema diferentes.
Configure el nivel de seguridad a No permitido si desea un nivel máximo de restricción.
Haga clic en Aceptar.
La regla adicional ha sido creada y se muestra en el contenedor Reglas adicionales, debajo de las reglas por
defecto.
Es preferible no modificar las reglas presentes por defecto en el directorio Reglas adicionales.
No olvide forzar la aplicación de las GPO con ayuda del comando GPUPDATE para verificar directamente los
resultados.
2. ¿Cómo y cuándo aplicar las GPO de restricción?
En el momento de la autentificación de un usuario sobre un puesto, el sistema ejecuta el programa shell
Explorer.exe, cuyo papel es arrancar a su vez otros programas.
Explorer.exe inspecciona el registro (entre otros) para aplicar las posibles restricciones en vigor. Las directivas de
restricción se guardan en el registro en la clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifier.
A partir de la aplicación de la directiva de restricción sobre el puesto de trabajo, no puede crearse ninguna
instancia de las aplicaciones restringidas.
Si los programas restringidos ya están en funcionamiento antes de la aplicación de la directiva de grupo, podrán
ser utilizados hasta que se cierren. Una vez cerrados, no podrán volver a iniciarse.
3. Depurar las directivas de restricción
Hay dos maneras de investigar el fallo en el funcionamiento de las GPO para poder repararlas.
Es posible inspeccionar manualmente el registro para verificar si todos los parámetros de directivas de restricción
en curso son adecuados, o también, crear un registro de eventos específico para las directivas de restricción.
a. Verificar manualmente el registro
Las directivas de restricción software se guardan en el registro bajo la clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
o
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Una vez situado en el registro en uno de estos dos lugares, podrá comprobar que las diferentes reglas
adicionales se almacenan en las subramas del directorio CodeIdentifiers. Tendrá la posibilidad de comparar los
b. Crear un registro de eventos
Es posible crear un registro de eventos específico a los errores de aplicación de las directivas de restricción
software.
Para crear el registro de log, sitúese en el registro en el lugar:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers.
Cree un nuevo valor de cadena llamado LogFileName.
Haga doble clic sobre el nuevo valor creado y, en el campo Datos del valor, introduzca la ruta
completa de almacenamiento del archivo de log, por ejemplo C:\Temp\Logsrl.txt.
Una vez se haya realizado esta operación, se creará una entrada en el registro de eventos creado para cada
arranque de una aplicación sobre el puesto de trabajo. Los motivos de su funcionamiento o de sus fallos
quedarán explicados allí.
La versión incluida con las últimas versiones de Windows es Internet Explorer 8 y 9 con el Service Pack 1 de
Windows 7. La configuración de Internet Explorer es muy importante en la medida en que la mayor parte de los
ataques provienen de Internet.
Obviamente, el primer plano en lo concerniente a la seguridad en la red corresponde a los cortafuegos, pero
securizar Internet Explorer es también un punto clave para asegurar la estabilidad de los puestos cliente y,
finalmente, la de la red completa.
Establecer la configuración de Internet Explorer lleva tiempo. Hay que considerar todas las opciones y su
importancia, verificar si la conexión a Internet pasa por servidores PROXY y asegurarse de adaptar el nivel de
seguridad requerido para los diferentes tipos de usuarios. Poner a punto la configuración de Internet Explorer
puede llevar todavía más tiempo si cada parametrización debe hacerse directamente sobre los puestos de trabajo.
Con las directivas de grupo tiene la posibilidad de preparar la configuración de Internet Explorer en la consola de
administración de directivas de grupo y desplegarla sobre los puestos de trabajo.
Los parámetros de configuración de la aplicación Internet Explorer forman parte de las Plantillas administrativas
de la Configuración del equipo y de la Configuración de usuario. En el nodo Configuración de usuario, existe un
directorio específico para el mantenimiento de Internet Explorer.
1. Parámetros de directiva de Internet Explorer
Internet y la seguridad van de la mano. Los usuarios no siempre tienen presente que Internet es una puerta de
entrada para los virus y que es muy importante configurar la seguridad del navegador para impedir estas
intrusiones.
La aplicación posee numerosas opciones que, una vez configuradas, podrán facilitar la navegación de los
usuarios de la red. Las directivas de grupo permiten configurar el navegador Internet Explorer de varias
maneras. La aplicación en sí misma puede configurarse a partir de las plantillas administrativas (archivos ADMX) y
los elementos de mantenimiento de la aplicación están accesibles como directivas.
a. Configurar el navegador Internet Explorer
Para configurar Internet Explorer, abra la consola de administración de directivas de grupo y cree
una nueva directiva de grupo llamada Configuración IE usuarios.
Como podrá comprobar la lista de parámetros de directiva configurables es exhaustiva. No es necesario que
configure cada uno de los parámetros disponibles, elija tan sólo aquellos que se correspondan con la necesidad
de la directiva y configúrelos.
Para una mejor comprensión de este libro, nos centraremos en la configuración de los elementos Barras de
herramientas y Panel de control de Internet.
En el contenedor Barras de herramientas, escoja la siguiente configuración:
● Desactivar herramienta de actualización de la barra de herramientas: Habilitada
● Desactivar personalizar la barra de herramientas del explorador: Habilitada
● Desactivar personalizar botones de la barra de herramientas del explorador: Habilitada
Cuando haga clic sobre el parámetro Configurar botones de la barra de herramientas, establézcalo
Una vez terminada la configuración, haga clic en Aceptar.
La sección Barras de herramientas ha quedado ahora configurada para los usuarios del dominio que se
beneficiarán de esta directiva de grupo.
A continuación, configuraremos los parámetros en Panel de control de Internet.
Sitúese sobre el contenedor Panel de control de Internet.
La lista de los parámetros disponibles es de nuevo exhaustiva y nos llevaría demasiado tiempo si tuviésemos
que recorrerla en detalle.
Ud. podrá recorrer los objetos de directiva disponibles y formarse una opinión sobre su eficacia o su necesidad
para su red.
De los objetos disponibles, no todos aplican para la última versión de Internet Explorer. Puede emplear los
filtros para mostrar los parámetros que corresponden a las versiones de Internet Explorer que le interesen.
2. Mantenimiento de Internet Explorer
Como novedad en Windows Server 2008 y 2008 R2, el mantenimiento de Internet Explorer está disponible bajo
la forma de directivas de grupo. Puede utilizar los parámetros de mantenimiento de Internet Explorer para
configurar la forma en que los usuarios van a utilizar el navegador.
Estos parámetros están disponibles en Configuración de usuario Directivas Configuración de Windows
Mantenimiento de Internet Explorer.
La parametrización de la interfaz de usuario del navegador sirve generalmente para personalizar Internet
Explorer a imagen de la empresa.
Puede configurar la barra de título de la aplicación, cambiar el logotipo de Internet Explorer para mostrar el de
su empresa o personalizar las imágenes en segundo plano de la barra de herramientas y los botones
disponibles de ésta.
Para personalizar la barra de título del navegador, vaya a Interfaz de usuario del explorador y haga
doble clic en el parámetro Título del explorador.
Introduzca el texto adecuado y haga clic en Aceptar.
Tal y como se indica en la ventana de diálogo, el texto de la barra de título aparecerá a continuación del texto
por defecto. Según nuestro ejemplo, el texto mostrado una vez modificado será Windows Internet Explorer
proporcionado por Grupo_Empresa.
El directorio Conexión del directorio de Mantenimiento de Internet Explorer proporciona varios parámetros de
directiva para configurar las opciones de conexión del navegador.
Es posible importar los parámetros de conexión, configurar directamente las conexiones de red o a Internet
deseadas, y configurar los servidores PROXY o el navegador para apuntar automáticamente hacia una URL
específica para los intentos de conexión a Internet.
c. Gestionar las URL
La página de arranque de Internet Explorer, los favoritos y enlaces pueden definirse y parametrizarse en la
sección Direcciones URL del directorio Mantenimiento de Internet Explorer.
d. Seguridad de Internet Explorer
Existen varios niveles de seguridad para el navegador Internet Explorer configurables en la sección Seguridad
del directorio Mantenimiento de Internet Explorer.
Es posible definir: las zonas de seguridad, el nivel de seguridad del navegador, las zonas Intranet, los sitios de
confianza y el nivel de confidencialidad.
e. Parámetros de programas
La sección Programas le permite definir el editor HTML, el programa de correo electrónico o el tipo de
calendario a emplear por Internet Explorer.
La profundidad y la precisión en la configuración de los puestos de trabajo y los servidores tan sólo son posibles
con las GPO. Ninguna otra herramienta le permite ser tan específico en la parametrización de un entorno cliente
Windows o de las aplicaciones.
Es posible restringir el acceso a los discos, impedir la conexión de elementos externos, definir quién puede
conectarse a la WiFi, la complejidad a exigir en las contraseñas. Son varios miles los parámetros disponibles.
La fiabilidad de una empresa pasa por la seguridad. Cuanto más alta sea la seguridad, más fiables son los datos,
más estables son los puestos de trabajo y más se aligera el trabajo cotidiano de los equipos.
Es necesario definir el nivel de seguridad deseado, hasta qué punto los usuarios deben ser dueños de sus
puestos de trabajo. Ciertas empresas eligen no proteger los puestos de trabajo ni la red porque es más simple
intercambiar datos de esta manera. Otras prefieren aumentar y dar prioridad a la seguridad hasta el más alto nivel
porque su actividad lo requiere.
Los sistemas informáticos de las empresas son la piedra angular de su actividad. Unos equipos constantemente
averiados no permiten alcanzar una productividad estable ya que se ve interrumpida permanentemente. Sin
embargo, el funcionamiento de los departamentos informáticos depende directamente de los métodos de gestión
empleados por la organización.
Las directivas de grupo son hoy la herramienta más potente para configurar los puestos de trabajo Microsoft. Los
parámetros configurables en la GPMC tan sólo están accesibles para las GPO. Todos los parámetros disponibles en
la consola de administración de directivas de grupo permiten realizar una configuración en profundidad y
securizada. Los errores de manipulación sobre los puestos de trabajo o el comportamiento malintencionado
pueden anticiparse e impedirse.
Para corregir una directiva es necesario discernir en qué momento de su recorrido ha quedado bloqueada la
directiva en cuestión. Una vez se haya averiguado esto, se podrán determinar las razones del error y poner en
práctica procedimientos de resolución.
Son varios los elementos de infraestructura involucrados en la aplicación correcta de las directivas de grupo. El
directorio Active Directory, el servidor DNS, el servicio de replicación de archivos FRS (File Replication System) son
actores principales en los procesos de aplicación de las GPO. Sin omitir la importancia del papel de las extensiones
del lado cliente que garantizan el tratamiento de las directivas y la aplicación de sus parámetros en los puestos de
trabajo.
Es evidente que en las redes de gran tamaño, los equipos técnicos no tienen necesariamente siempre el tiempo
para comunicar entre ellos las diferentes intervenciones realizadas sobre la red. Cuando se detecta una avería, la
causa puede ser simplemente la desactivación o la supresión de la directiva por uno de los administradores, sin
que nadie se haya dado cuenta. La información de la presencia de una avería no es detectada por los
administradores hasta que se reporta un incidente en los puestos de trabajo. Aunque es posible supervisar
permanentemente la aplicación correcta de las directivas de grupo de la red, el volumen de trabajo de los equipos
técnicos generalmente no permite este tipo de organización.
Algunos olvidos, aunque no sean graves, pueden igualmente provocar un funcionamiento erróneo de las directivas
de grupo. Un simple clic puede impedir que una GPO funcione o puede permitir que funcione de nuevo.
En este capítulo, abordaremos los elementos esenciales que permiten detectar y reparar los fallos en el
funcionamiento de las directivas de grupo.
Las razones de los fallos de funcionamiento de las directivas de grupo pueden tener varios orígenes ligados a los
entornos técnicos o a la forma en que están organizados.
Windows Server 2008 y 2008 R2 ofrecen herramientas que permiten diagnosticar los errores y resolverlos.
Descomponer el ciclo de tratamiento de una directiva de grupo en varias categorías permite estructurar la
búsqueda de la solución. Los ciclos de aplicación de las directivas de grupo siguen un camino preciso.
Los siguientes elementos constituyen puntos de partida para facilitar la búsqueda, la deteción y la resolución de
los fallos ligados a las directivas de grupo.
1. Elementos de búsqueda
a. Las exigencias ligadas a la infraestructura
Los problemas ligados a la aplicación de las directivas de grupo tienen que ver frecuentemente con las
tecnologías sobre las que se apoya la propia directiva. Algunos olvidos en la puesta en práctica de las
directivas también pueden ser origen de fallos.
Un análisis de las interdependencias entre las diferentes tecnologías permite identificar rápidamente el origen
de los errores de funcionamiento ligados a las directivas de grupo.
En particular, Active Directory y DNS (Domain Name System) tienen un lugar importante en el proceso de
aplicación de las directivas de grupo.
El servidor DNS, así como el servicio DNS sobre los puestos cliente, deben funcionar correctamente. Los
protocolos de red deben funcionar correctamente para permitir la comunicación entre los controladores de
dominio y los puestos de trabajo.
Asímismo, la implementación de una estructura Active Directory sólida y organizada facilita el proceso y la
aplicación de las directivas de grupo. El funcionamiento de la replicación entre los diferentes sitios es
indispensable para que los controladores de dominio designados para suministrar las GPO obtengan sus
actualizaciones.
Los entornos Active Directory que posean relaciones de aprobación entre varios dominios son igualmente una
fuente potencial de fallos.
b. Los entornos mixtos
Las versiones XP y Vista/7 de Windows no tienen la misma forma de tratar y aplicar las directivas de grupo. Por
esto, pueden surgir problemas en una red compuesta por equipos con sistemas operativos mixtos.
c. Las autorizaciones
Las directivas de grupo están vinculadas a los diferentes contenedores Active Directory. La verificación de la
presencia de usuarios con errores en los diferentes Sitios, Dominios y Unidades Organizativas del directorio
forma parte de los métodos de resolución. Es importante verificar igualmente los derechos y permisos de los
usuarios a aplicar sobre las GPO.
d. El dominio Active Directory
Es preciso emplear las reglas de herencia y precedencia de las directivas de grupo en la concepción de la
estructura Active Directory. Ésta debe corresponder a los requisitos de funcionamiento en cuanto a la utilización
de las directivas de grupo.
Para recibir los objetos de directiva de grupo que se crean y almacenan a nivel del dominio, el usuario o el
equipo deben ser miembros de un Sitio, Dominio, o de una Unidad Organizativa. Una directiva de grupo también
debe estar vinculada a uno de estos objetos. La pertenencia de las cuentas de equipos o de usuarios a un
grupo de seguridad no forma parte de los fundamentos de funcionamiento de las directivas de grupo. El uso de
las pertenencias a los diferentes grupos de seguridad como criterio de aplicación de una directiva de grupo se
denomina filtrado de seguridad. Este mecanismo se usa particularmente para las restricciones de software de
las directivas de grupo.
e. La conectividad con la red
Para que las directivas de grupo se apliquen sobre los puestos cliente, se debe establecer una conexión entre
los puestos y un controlador de dominio. Existen varios parámetros que pueden afectar a la conectividad con la
red:
● La arquitectura de la red debe basarse en TCP/IP para que las GPO puedan difundirse.
● El protocolo ICMP (Internet Control Message Protocol) debe estar activo sobre las redes que empleen un
cortafuegos.
● Los inicios de sesión sobre dominios con caché pueden generar problemas de conectividad.
● Si el reloj de un equipo no está sincronizado con los demás relojes de la red pueden aparecer
problemas ligados a la autentificación. Estos problemas de autentificación podrían quedar
enmascarados cuando un usuario tiene posibilidad de conectarse al equipo con credenciales
guardadas en caché. En estos casos, en apariencia el usuario ha abierto una sesión con éxito pero no
es capaz de acceder a los recursos del sistema, incluyendo las directivas de grupo.
f. Las directivas aplicadas a enlaces lentos
La detección de enlaces lentos funciona de forma autónoma y es diferente del funcionamiento de las directivas
en una red estándar. Pueden aparecer ciertos problemas si los enlaces de red no soportan los intercambios de
datos.
g. Los servidores DNS
Los puestos cliente utilizan los nombres de dominio totalmente calificados FQDN (Fully Qualified Domain Name)
para comunicar con los controladores de dominio. Durante la lectura de una GPO, se solicita un acceso al
volumen compartido SYSVOL del controlador de dominio. Los servidores DNS deben estar activos para que los
clientes puedan obtener los nombres de dominio totalmente calificados, conectarse a los controladores de
dominio y obtener los datos de las directivas de grupo que finalmente se aplicarán.
Ciertos parámetros de directiva que emplean las CSE deben tener acceso a los recursos de la red. Las CSE
utilizan nombres de dominio totalmente calificados para conectarse a la red de la empresa, también en este
caso los recursos DNS deben estar funcionando.
h. El volumen compartido SYSVOL
Los datos relativos a las GPO se almacenan en dos lugares diferentes de la infraestructura (capítulo GPO, AD y
los procesos de aplicación). La parte GPC de la directiva se guarda en Active Directory y la parte de la plantilla
GPT en el archivo Policies del directorio SYSVOL de los controladores de dominio. Los clientes deben tener
capacidad para acceder al directorio SYSVOL y obtener los datos de las plantillas de directivas de grupo para
poder aplicarlas.
La replicación Active Directory y la de los archivos del sistema son necesarias para el buen funcionamiento de
las directivas de grupo. Es imprescindible que los dos tipos de replicación estén operativos. En el caso de que
tan sólo esté operativa la replicación Active Directory, todavía son posibles la modificación o la administración
de la directiva de grupo en Active Directory Sitios y Servicios y en Configuración de usuario y de equipo. Sin
embargo, la aplicación de la directiva de grupo sobre los puestos cliente no se podrá efectuar.
j. Las directivas por defecto
Las dos directivas instaladas por defecto durante la creación de un dominio Active Directory son la Default
Domain Policy y la Default Domain Controllers Policy. En general, no se recomienda modificar estas directivas de
grupo, a excepción de ciertos parámetros de seguridad. Si estos parámetros se configuran de manera
incorrecta, pueden aparecer problemas de autentificación de los clientes, de replicación del directorio, de
replicación FRS y de otros componentes. Para eliminar estas anomalías, se deberá restaurar Default Domain
Policy y Default Domain Controllers Policy.
k. En la GPMC
La consola de administración de directivas de grupo permite realizar numerosas operaciones que, si se
efectúan de forma errónea, o simplemente se olvidan, pueden alterar el funcionamiento de las GPO sobre la
red.
Cuando se producen fallos relacionados con una directiva de grupo, es interesante integrar estos elementos en
los procedimiendos de detección de fallos, ya que un solo clic puede ser suficiente para provocar un gran daño.
A continuación se muestra una lista de elementos suplementarios que permiten resolver ciertos incidentes
ligados a las directivas de grupo.
Vincular los objetos
Cuando una GPO no funcione, verifique que se ha vinculado correctamente al contenedor Active Directory
adecuado. Si no fuese el caso, corrija la vinculación y efectúe una actualización de las GPO sobre los puestos de
trabajo afectados.
Los objetos desactivados
Si está desactivada una de las partes, equipo o usuario, de una directiva de grupo, puede tener problemas si
los parámetros que le interesan se encuentran en el contenedor inactivo. En ese caso, conéctese a la consola
de administración de directivas de grupo y actívelo.
La precedencia
No se olvide de la precedencia de las GPO. La vinculación a uno de los niveles Sitio, Dominio o Unidad
Organizativa tiene características específicas que influyen sobre el orden de aplicación de las directivas sobre
los equipos. Recuerde la regla: la última GPO aplicada es la que se impone.
¿Están en el lugar correcto los objetivos de la GPO?
Cuando un usuario o un equipo no recibe los parámetros de directiva que se le habían previsto, verifique que
estén presentes los objetos en los contenedores a los que están vinculadas las GPO. Si no fuese el caso,
efectúe las operaciones necesarias.
2. Organizar los permisos
Se emplea el sistema de lógica piramidal, que permite tener administradores con todos los privilegios, otros con
unos pocos menos, y así sucesivamente.
Jerarquizar los niveles de acceso de los administradores permite saber, en caso de conflicto, qué interviniente
puede haber originado el fallo en el ciclo de procesamiento de las GPO. Los derechos requeridos para efectuar
una operación permiten determinar al responsable en cada caso.
La comunicación entre los equipos es uno de los elementos esenciales para el buen funcionamiento de una
organización. Generalmente, los errores se comenten cuando los intervinientes están desbordados por su
trabajo y no tienen tiempo para actuar de acuerdo a las recomendaciones en vigor.
Emplear las herramientas que Microsoft ofrece para una mejor gestión de la información, tales como la
delegación de control, puede ser ventajoso cuando la situación se vuelve urgente.
1. GPOTool
GPOTool.exe es una herramienta con interfaz de usuario por línea de comandos en Windows Server 2008 y 2008
R2. Esta aplicación está prevista para emplearse internamente en los entornos de dominio Windows que
contengan más de un controlador de dominio, y en los que la replicación Active Directory esté activa.
El papel de esta herramienta es el de determinar la validez de la sincronización entre los objetos GPC y GPT
asociados a las directivas de grupo.
GPOTool recorre el conjunto de los controladores de dominio y verifica cada error de coherencia entre el
contenedor de directivas de grupo (la información contenida en el GPC) y la plantilla de directiva de grupo (la
GPT, información contenida en la unidad compartida SYSVOL de los controladores de dominio).
La herramienta verifica también la coherencia de las directivas de grupo desplegadas en el dominio. Cuando
haya finalizado el proceso de verificación, dispondrá de información en detalle sobre los objetos GPO que han
sido replicados entre todos los controladores de dominio. Es importante señalar que el proceso de verificación de
GPOTool puede llevar mucho tiempo si existen muchos objetos de directiva de grupo en el dominio.
GPOTool le permite efectuar una verificación sobre un objeto de directiva de grupo concreto especificando su
GUID.
a. Preparar la utilización de GPOTool
La herramienta GPOTool está disponible a partir de la version Windows Server 2000. Se puede descargar
gratuitamente y se puede emplear sobre Windows Server 2000, 2003, 2008 y 2008 R2. No parece que existan
modificaciones en la herramienta desde la versión de Windows Server 2003.
b. Utilizar GPOTool
El directorio de instalación por defecto de GPOTool es C:\Program Files (x86)\Windows Resource
Kits\Tools. Se recomienda arrancar la aplicación a partir de una ventana de línea de comando DOS.
Abra una ventana de línea de comando DOS e introduzca la ruta de la aplicación.
Teclee gpotool /? para mostrar la lista de comandos disponibles en la herramienta.
gpotool
gpotool /gpo
Este comando permite especificar la directiva de grupo que se desea verificar. Se puede emplear el
GUID de la directiva o su nombre. Éste debe especificarse conforme a la denominación que
muestre la consola de administración de directivas de grupo.
gpotool /domain
Este comando permite especificar el nombre DNS del dominio de las GPO que se desea verificar.
gpotool /dc
Este comando permite especificar el o los controladores de dominio que se desea verificar.
gpotool /checkacl
Este comando permite verificar la validez de las listas ACL en el directorio SYSVOL. Atención, esta
verificación puede llevar mucho tiempo.
gpotool /verbose
Este comando muestra información detallada de los informes de verificación.
Arranque el comando gpotool sobre uno de los controladores de su dominio. En nuestro ejemplo,
efectuaremos una verificación completa sobre el único controlador de dominio existente.
Se ha completado la verificación de la totalidad de las directivas de grupo del dominio. El informe indica que las
directivas son válidas y funcionales.
c. Aislar los errores de replicación
Es importante aislar los errores asociados a la replicación para un buen funcionamiento de las directivas de
Inicialmente se podía instalar la utilidad Replmon que permitía mejorar la probabilidad de detectar los fallos
ligados a la replicación. Windows Server 2008 y 2008 R2 no son compatibles con la versión actual de Replmon.
Si el uso de Replmon es indispensable para la estabilidad de la red, se puede emplear desde un puesto de
administración con XP o un servidor que tenga instalado Windows Server 2003.
2. Determinar un conjunto resultante de directivas RsOP
Para casos en que los administradores desean verificar la correcta aplicación de los parámetros de directiva de
grupo sobre los puestos cliente, Microsoft proporciona la posibilidad de mostrar un conjunto resultante de
directivas para una o varias directivas de grupo aplicadas a diferentes objetivos. Es posible obtener los
conjuntos resultantes de directivas de los puestos clientes remotos a distancia con la ayuda de las utilidades de
la consola de administración de directivas de grupo o localmente sobre los puestos empleando las utilidades por
línea de comandos de Gpresult. Además, se puede agregar el complemento Conjunto resultante de directivas
para generar los datos RSOP.
En Windows Server 2008 y 2008 R2, es posible determinar el conjunto resultante de directivas desde los
servidores gracias a la visualización de los Resultados de directivas de grupo. Esta funcionalidad le permite la
consulta de informes detallados sobre los parámetros de directiva aplicados sobre los puestos de trabajo de su
dominio. Es posible visualizar los parámetros de directiva aplicados a los usuarios y a los equipos con una sesión
abierta en la red. Las opciones del directorio Resultados de directivas de grupo de la consola de administración
de directivas de grupo le permiten mostrar información del conjunto resultante de directivas utilizando el modo
de registro de RsOP.
La consola de administración de directivas de grupo permite, a su vez, simular los parámetros de directiva que
deben aplicarse sobre un puesto o un usuario al que no le es posible contactar utilizando la red. Las opciones
del directorio Modelación de directivas de grupo de la consola de administración de directivas de grupo
permiten visualizar información del conjunto resultante de directivas empleando el modo de planeamiento de
RsOP.
Los componentes necesarios para la visualización de los conjuntos resultantes de directivas RSoP están
disponibles en la consola de administración de directivas de grupo.
a. Resultados de directivas de grupo
Cuando una directiva de grupo no se está aplicando correctamente sobre un puesto de trabajo, hay ciertos
datos que son indispensables para comprender los errores que se están produciendo.
La funcionalidad Resultados de directivas de grupo ofrece la visualización detallada de los conjuntos
resultantes de directivas para los equipos y los usuarios. Éstos permiten realizar un análisis en profundidad de
los errores en la aplicación de una directiva de grupo.
Para hacer una prueba con el modo de registro de RsOP, abra la consola de administración de directivas de
grupo y sitúese sobre el contenedor Resultados de directivas de grupo.
Despliegue el menú contextual del directorio y escoja la opción Asistente para Resultados de
directivas de grupo.
Haga clic en el botón Siguiente.
La siguiente ventana de diálogo le propone la selección de parámetros relativos al equipo. Tiene la posibilidad
de seleccionar el ordenador local sobre el que está ejecutando el asistente o un ordenador remoto de los
recogidos en Active Directory.
También puede escoger no mostrar los parámetros de equipo de las directivas de grupo.
Escoja la opción Otro equipo y haga clic en Examinar.
Haga clic en Aceptar.
Haga clic en Siguiente.
A continuación, la ventana de diálogo del asistente le ofrece la selección de parámetros relativos al usuario.
Puede escoger entre mostrar los resultados para el usuario en curso o los de un usuario específico.
Tiene como elección el no mostrar los parámetros de los usuarios, si lo desea.
Por defecto, las opciones del usuario están seleccionadas. No escoja la opción No mostrar
configuración de directiva de usuario en resultados.
Haga clic en Siguiente.
La ventana de diálogo que se muestra le permite validar los datos introducidos en los pasos anteriores.
Haga clic en Finalizar para confirmar la operación.
Una vez terminado el proceso del asistente, se ha creado un nuevo objeto en el directorio Resultados de
directivas de grupo. Para facilitar la identificación de estos objetos, sus nombres se componen del nombre del
usuario y el del equipo involucrados.
● La pestaña Resumen
● La pestaña Configuración
● La pestaña Eventos de directiva
La pestaña Resumen
La pestaña Resumen reune la información relativa a la infraestructura que permite aplicar la GPO en las dos
categorías principales: Configuración del equipo y Configuración de usuario. Estas dos categorías tienen la
misma estructura y muestran información del mismo tipo.
La sección General contiene los datos identificativos del objetivo de Resultados de directivas de grupo como
son el nombre del objeto, su dominio, y su sitio, así como la hora de la última aplicación de las directivas sobre
este objeto.
El apartado Causa denegada le puede servir de orientación para corregir una directiva que no se
aplica correctamente.
La sección Pertenencia a grupos de seguridad cuando se aplicó la directiva de grupo le permite verificar los
grupos de seguridad a los que pertenecía el objeto en el momento de aplicar las directivas.
La sección Filtros WMI muestra los filtros que pudiera haber asociados a las directivas aplicadas.
La pestaña Configuración
La pestaña Configuración reúne todas los datos relativos a los parámetros aplicados. Muestra todos los
objetos de parámetros de todas las directivas aplicadas, junto a su definición y configuración.
La pestaña Eventos de directiva se presenta bajo la forma de un visor de eventos dedicado exclusivamente al
objeto verificado.
Los registros son notificaciones informativas, de error, y advertencias que permiten profundizar en la
investigación de los fallos.
Esta utilidad permite verificar el impacto de una directiva de grupo sobre los puestos objetivo. El método
empleado se basa en la simulación de la aplicación de la directiva.
El modelado de directivas puede anticipar posibles fallos que pueden surgir en producción. Una directiva de
grupo no probada sobre la red puede suponer fallos con graves consecuencias. Los problemas que puede
acarrear se deben resolver con urgencia y los equipos IT pierden tiempo en el restablecimiento del equilibrio en
la red. Esta funcionalidad evita este tipo de contrariedades.
Para probar el modo de planeamiento, abra la consola de administración de directivas de grupo y
sitúese sobre el contenedor Modelado de directivas de grupo.
Despliegue el menú contextual del directorio y escoja la opción Asistente para modelado de
directivas de grupo.
Haga clic en Siguiente.
Es posible seleccionar el controlador de dominio a partir del cual se efectuará el modelado. Los controladores
de dominio propuestos son aquellos que ejecuten una versión superior o igual a Windows Server 2003 o el
controlador al que se esté conectado.
En nuestro caso, procederemos al modelado a partir del controlador de dominio sobre el que estamos
conectados en este momento.
Una vez hecha la elección, haga clic en Siguiente.
La configuración de las opciones es opcional y no es indispensable para el buen funcionamiento de la operación
de modelado. En este caso, puede pasar directamente al último paso seleccionando la casilla Ir directamente a
la última página de este asistente sin recopilar más información.
En caso contrario, puede simular una aplicación de directiva de grupo mediante enlace lento o en bucle,
escoger el sitio, verificar los lugares Active Directory de los objetos seleccionados, las pertenencias a grupos de
seguridad del usuario o del equipo, la elección de filtros WMI asociados a la simulación para el usuario y para el
equipo antes de iniciar el modelado.
En nuestro caso, no tenemos necesidad de parámetros adicionales para efectuar el modelado de la directiva de
grupo aplicada a María Quintero sobre Laptop01.
Marque la opción Ir directamente a la última página de este asistente sin recopilar más
información y haga clic en Siguiente.
El asistente le muestra un resumen de sus selecciones. Una vez verificadas, puede empezar el modelado.
El tiempo de simulación depende del número de directivas aplicadas al puesto y al usuario.
Una vez terminado el modelado, el asistente muestra una última ventana de diálogo antes de permitir
consultar los resultados de la simulación.
Haga clic en Finalizar.
Cuando el modelado ha terminado, se ha creado un nuevo objeto en el contenedor Modelado de directivas de
grupo de la consola de administración de directivas de grupo. El nombre de objeto se construye de forma
idéntica a la de los objetos Resultados de directivas de grupo.
Son idénticas a las de los objetos Resultados de directivas de grupo.
La pestaña Resumen
En esta pestaña encontrará la misma información que en la pestaña Resumen del objeto Resultados de
directivas de grupo.
En esta pestaña encontrará la misma información que en la pestaña Configuración del objeto Resultados de
directivas de grupo.
La pestaña Consulta presenta un resumen de los criterios que componen la petición de modelado.
GPResult es una utilidad suplementaria con interfaz por línea de comandos que permite mostrar un resultado
de directiva de grupo sobre un puesto de trabajo o un servidor sobre el que se ejecutan directivas de grupo.
Entre las opciones disponibles se incluyen distintos niveles de detalle para los informes de ejecución de las
GPO.
Los informes de ejecución de GPResult se pueden exportar a archivos XML, HTML o texto.
Para utilizar GPResult, hay que abrir una consola de comando DOS en el puesto o servidor objetivo.
Teclee el comando GPResult /R y pulse [Enter].
El siguiente comando le permitirá exportar un informe RSOP (Resultant Set Of Policy) a un archivo de texto.
Encontrará el archivo en la ruta en que lo haya exportado. Ábralo con un editor para analizarlo.
3. GPDBPA
GPDBPA es una utilidad gratuita de Microsoft para el análisis y recogida de datos de configuración de las
directivas de grupo.
La utilidad realiza pruebas sobre la configuración de las directivas de grupo de un entorno definido. Los datos
recogidos como resultado de las pruebas de configuración se almacenan en un archivo de salida con formato
XML.
a. Condiciones de uso de GPDBPA
GPDBPA tan sólo está disponible para Windows XP o Windows Server 2003.
La cuenta empleada para la ejecución de la utilidad debe disponer de acceso a la base de datos de Active
Directory y al directorio SYSVOL de los controladores de dominio.
El equipo desde el que desee emplear GPDBPA debe tener instalado el framework .NET en versión 1.1 o
superior. El servicio WMI (Windows Management Instrumentation) debe estar ejecutándose en los controladores
de dominio de su entorno.
b. Utilizar GPDBPA
Cuando su entorno Windows está correctamente configurado, el software permite localizar las interrupciones
de servicio que pueden causar fallos en el curso de las operaciones ligadas a las directivas de grupo.
Enlaces y descargas
El enlace para descargar la utilidad es el siguiente: http://support.microsoft.com/kb/940122/es
4. Dcgpofix
Si alguno de los objetos de directiva de grupo por defecto, Default Domain Policy o Default Domain Controllers
Policy, se ha corrompido o ha quedado inutilizable, la utilidad Dcgpofix le permitirá restaurar el estado inicial.
¡Cuidado!: una vez se hayan restaurado las directivas de grupo por defecto, los parámetros personalizados de
las directivas habrán desaparecido.
5. Gpupdate
Si se detectan errores relacionados con las directivas de grupo en los puestos de trabajo, puede ocurrir que los
parámetros de directivas no se hayan aplicado todavía si las modificaciones han tenido lugar durante los
intervalos de aplicación de las GPO. En estos casos, la ejecución del comando Gpupdate puede resolver el
incidente.
6. Replmon
Replmon permite supervisar la replicación de Active Directory de forma más profunda que la aplicación Sitios y
servicios de Active Directory. Esta utilidad permite forzar la replicación de la base de datos del directorio,
rebasando los límites impuestos por los sitios Active Directory.
Esta utilidad no está disponible por el momento en las versiones Server 2008 y 2008 R2. Si desea emplearla,
necesitará un puesto de administración XP o un servidor con Windows Server 2003 en su dominio.
Las notificaciones de los registros de eventos relativas a las directivas de grupo de Windows Server 2008 y 2008
R2, así como Windows Vista y 7, han cambiado desde las versiones precedentes. Las notificaciones de eventos se
localizan en la sección Sistema del visor de eventos, mientras que en versiones anteriores de Windows formaban
parte de la sección Aplicación. Ahora, los eventos ligados a las directivas de grupo aparecen con un valor para el
campo origen de GroupPolicy. Puede filtrar los ID de los eventos utilizando el nombre del origen para proceder al
análisis de los errores en la aplicación de las directivas de grupo.
1. El visor de eventos de Windows Vista
Hay dos tipos de registros de eventos en los puestos con Windows Vista.
El visor de eventos normal muestra registros dedicados integramente a las directivas de grupo. A partir de
Windows Server 2008 y Windows Vista, el visor de eventos ofrece un modo avanzado equivalente al verbose
logging de Windows XP (el verbose logging es un modo de visualización de logs que muestra una mayor cantidad
de información). Esta parte del visor muestra información complementaria sobre las directivas de grupo y su
funcionamiento sobre los puestos.
a. Visor de eventos en modo normal
Para consultar los eventos ligados al funcionamiento de las directivas de grupo, se deberá situar en la
categoría Registros de Windows/Sistema del visor de eventos.
Puede emplear la columna origen con el valor GroupPolicy como criterio de ordenación de la lista para localizar
los eventos relacionados con las directivas de grupo, que son los que le guiarán en la investigación de los
errores.
Las entradas con origen GroupPolicy debidamente agrupadas le facilitarán el análisis.
Por ejemplo, tendrá la posibilidad de verificar datos tanto si ha habido una aplicación correcta de una GPO como
si no, qué controlador de dominio se ha utilizado para alimentar las directivas de grupo a un puesto de trabajo
concreto, cuántas directivas se procesan y cuánto tiempo lleva su aplicación. No obstante, el visor no le
proporcionará necesariamente los motivos de los fallos.
Una entrada GroupPolicy en el visor de eventos se compone de dos pestañas: General y Detalles.
La pestaña General
La pestaña General muestra datos generales relativos al desarrollo de las operaciones ligadas al proceso de
las directivas de grupo. En nuestro ejemplo, la notificación informativa indica que la aplicación de la GPO ha sido
un éxito.
La pestaña Detalles permite verificar información complementaria relativa a la entrada.
Cuando haga clic en la pestaña Detalles, muestre los datos disponibles en Vista descriptiva.
Los datos interesantes se encuentran en la sección EventData.
Por ejemplo, el campo ProcessingTimeInMilliseconds indica el tiempo de proceso de la directiva en
El campo ProcessingMode precisa el método empleado para procesar las directivas de grupo. Un valor 0 indica
que el modo es normal. Con un valor de 1 o 2, el modo sería respectivamente bucle invertido (loopback mode) o
modo de reemplazo (replace mode).
Por último, el campo DCName indica el controlador de dominio solicitado durante el último ciclo de tratamiento
de las directivas de grupo sobre el puesto. En nuestro caso, es el controlador de dominio SERV01.
Cuando se produce un error de proceso, una notificación de error en el visor de eventos le permitirá estar
informado del fallo de una o varias directivas de grupo y de las causas potenciales de este fallo.
En el ejemplo siguiente, la entrada con número de evento 1058 nos informa de que la aplicación de la directiva
de grupo ha fracasado por problemas en la lectura de un archivo asociado a la misma.
b. Visor de eventos en modo avanzado
El registro avanzado de los eventos ligados a las directivas de grupo presenta un indudable interés para todos
los administradores de empresa.
Desde Windows Vista y en Windows 7, es posible consultar información detallada del registro de datos de
directiva de grupo en el visor de eventos. En efecto, se encuentra disponible una nueva categoría en el visor:
Registros de aplicaciones y servicios/Microsoft/Windows/GroupPolicy, mientras que para Windows XP era
necesario modificar el registro de Windows para generar el modo de registro avanzado.
Registro avanzado en Windows XP
Éste es el procedimiento que permite activar el modo de registro avanzado en Windows XP.
Conéctese al puesto con Windows XP como administrador local.
En el editor del Registro, despliegue los nodos en la sección:
HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
Agregue un valor REG_DWORD llamado UserEnvDebugLevel.
Modifique el objeto, asígnele un valor hexadecimal de 10002 y haga clic en Aceptar.
Una vez realizados estos pasos, el registro avanzado de eventos de directiva habrá quedado activo en el
puesto de trabajo.
Las entradas de registro se encuentran en la ruta C:\Windows\debug\usermode en el archivo Userenv.log.
Registro avanzado en Windows Vista y 7
Volvamos ahora a los temas principales de esta sección: los modos avanzados de Windows Vista y 7.
En el visor de eventos, despliegue los nodos de la categoría Registros de aplicaciones y
Servicios/Microsoft/Windows/GroupPolicy.
El directorio GroupPolicy contiene un único archivo llamado Operativo. Éste contiene los registros de eventos
con origen GroupPolicy en modo de registro avanzado.
Esta sección del visor de eventos centraliza la información asociada al motor de procesamiento de directivas de
grupo en el puesto de trabajo. Pone de manifiesto el diálogo entre el puesto de trabajo y las diferentes partes
del sistema solicitadas durante los procesos de aplicación de las directivas de grupo.
Es posible emplear las funciones de filtrado de eventos y de definición de vistas personalizadas para simplificar
los análisis. Puede, por ejemplo, utilizar el filtrado para no mostrar más que las notificaciones de error del
registro. Esto le permitirá ganar tiempo al centrar sus investigaciones en los errores detectados.
Las entradas del registro tienen la misma composición que las del registro de eventos del sistema y ofrecen
también información de detalle contenida en la pestaña Detalles.
Cuando investigue errores en las directivas de grupo, el considerar la información de la pestaña Detalles le
generará un trabajo de investigación adicional. En efecto, los valores de los objetos son numerosos, varían en
función del tipo de evento y deben analizarse de forma específica para cada entrada.
c. El visor de eventos en los controladores de dominio
En los controladores de dominio Windows Server 2008 y 2008 R2, se dispone de información de registro de dos
tipos: normal y avanzada. En lo que respecta a las directivas de grupo, el visor de eventos de los controladores
de dominio está estructurado de manera idéntica al de los puestos de trabajo Vista y 7.
Para analizar los eventos en curso sobre los controladores de dominio, la consulta de eventos en modo normal
se debe hacer en la sección Sistema del visor.
La pestaña Detalles muestra la información detallada de la entrada en cuestión.
Para comprender mejor el interés del visor de eventos en el análisis de fallos en el funcionamiento de las
directivas de grupo, presentaremos un escenario que pone de relieve su utilidad.
Tomemos el ejemplo de un error asociado a la resolución de nombres de dominio DNS. En ese caso, existirá una
entrada señalando un error de este tipo en el registro de eventos.
El administrador podrá entonces verificar el funcionamiento del servicio DNS, vaciar la cache, comprobar las
direcciones DNS que se distribuyen automáticamente por el DHCP (Dynamic Host Configuration Protocol) del
controlador de dominio y constatar la existencia de un error que afecta al proceso de las directivas de grupo. La
resolución del incidente permitirá que las partes del sistema interdependientes funcionen de nuevo.
Para comprobar la solución puesta en práctica, el administrador se puede conectar al puesto de trabajo del
usuario y efectuar una actualización de los componentes de directivas de grupo mediante el comando
GPUPDATE. De esta forma podrá verificar la correcta ejecución de las directivas de grupo en el puesto de
trabajo que presentaba errores.
Tras efectuar la actualización con éxito y aplicar las directivas de grupo de nuevo, los errores habrán
desaparecido.
El conocimiento de los elementos interdependientes de la red permite alcanzar buenos niveles de precisión y
eficacia en el análisis de errores. En efecto, la comprensión del orden seguido por la cadena de eventos de los
elementos que participan en la aplicación de las directivas de grupo permite localizar los errores más rápidamente.
No existe un método genérico preferido entre las múltiples herramientas para la detección de errores y orientación
de la búsqueda de soluciones. Los procedimientos son numerosos y serán más o menos apropiados en función de
los tipos de error. La eficacia de los procedimientos de resolución aumenta cuando los datos proporcionados por
las diferentes herramientas se cotejan y analizan en profundidad. En la resolución de fallos informáticos, cruzar y
comparar las diferentes fuentes de información es una parte de la metodología básica a emplear. En efecto,
apoyarse sobre datos obtenidos de varias fuentes en vez de emplear una sola permite realizar un análisis más
preciso y más seguro.
Al final, la eficacia en la resolución de fallos depende de la metodología y de los procedimientos empleados, del
conocimiento de los diferentes elementos interdependientes de la red y de la capacidad de deducción por parte
del administrador de los datos obtenidos.
Active Directory es indispensable para una correcta ejecución de las GPO, así como el manejo de la GPMC. En
producción, el conocimiento profundo de los sistemas operativos soportados permite discriminar las directivas que
se pueden poner en práctica y las que no.
Los procesos de ejecución y aplicación de las directivas permiten saber los momentos en las que son emitidas por
el servidor, y recibidas por los puestos de trabajo. Una vez asimilado el funcionamiento de los procesos de
aplicación de las GPO, no sólo resulta más fácil el análisis y la detección de fallos, sino también su rápida
resolución.
Este libro permite comprender y demostrar el interés de utilizar las directivas de grupo en una red Microsoft. La
implementación de tales directivas es indispensable para reforzar la seguridad, prevenir los fallos y mejorar la
gestión cotidiana de los usuarios.
Este capítulo detalla casos concretos que pueden encontrarse en la empresa.
Ciertas configuraciones de red son comunes a muchas empresas. Las particularidades y complejidades varían
según el tamaño y la actividad de éstas. Respecto al despliegue de directivas de grupo, es importante recordar
que la planificación, el dimensionamiento, la supervisión y el seguimiento de un despliegue son pasos necesarios,
si no indispensables, para el buen desarrollo de una operación similar.
Así pues, en este capítulo abordaremos la puesta en práctica de casos típicos y quizá otros más particulares de
implementación de directivas de grupo. Determinaremos a través de este análisis su impacto y su utilidad y los
puntos esenciales que permiten poner en marcha proyectos como el despliegue masivo de directivas de grupo.
Las directivas de grupo ofrecen miles de parámetros que configurar y poner en práctica, pero algunos se han
vuelto indispensables.
Las dos directivas de grupo por defecto representan el mejor ejemplo. Su creación ocurre en el momento de la
puesta a punto de Active Directory y se recomienda no suprimirlas. En efecto, los fallos potenciales serían en ese
caso muy difíciles de resolver. En estas directivas, la administración de cuentas de usuario forma parte de estos
parámetros importantes cuya configuración es casi obligatoria. El carácter obligatorio de una configuración de
parámetros forma parte de las decisiones que deben tomar los diferentes intervinientes de la organización.
Corresponde a los responsables de la red actuar de forma que ésta tome la forma deseada y definida por las
políticas de la empresa.
En esta parte del capítulo, propondremos una combinación de directivas de grupo aplicadas a los equipos y a los
usuarios, y directivas de preferencias que pueden ser de interés para una mejor administración de la red.
1. Directivas de la Configuración del equipo
a. Caso 1 Configurar el cortafuegos de Windows mediante directivas de grupo
En esta parte, crearemos una directiva de grupo para configurar el cortafuegos de Windows para los puestos
de trabajo de nuestra red.
No obstante, mi propia experiencia me ha permitido constatar que el cortafuegos de Windows está desactivado
en la mayoría de empresas. Las razones que llevan a los administradores a desactivarlo por completo son, por
ejemplo, las interferencias que crea entre ciertas aplicaciones cliente/servidor y el no poder ejecutar el
comando ping. Además, las redes están protegidas de ataques por uno o varios cortafuegos (de tipo hardware)
que disminuyen los riesgos que crea la desactivación del cortafuegos de Windows en los puestos de trabajo.
En consecuencia, crearemos en una segunda parte una directiva de grupo que desactive el cortafuegos sobre
los puestos de trabajo.
Configurar el cortafuegos en la GPMC
Para configurar el cortafuegos para los puestos de trabajo, abra la consola de administración de las
directivas de grupo y cree una nueva directiva llamada Configuración del firewall de Windows.
Edite la directiva y sitúese en el contenedor Configuración del equipo Directivas Configuración
Windows Configuración de seguridad.
Una vez en el directorio Firewall de Windows con seguridad avanzada, extienda los subnodos del
directorio.
Haga clic con el botón derecho en Firewall de Windows con seguridad avanzada y escoja
Propiedades.
Configuraremos el cortafuegos de forma estándar, empleando la parametrización por defecto para la mayor
parte de las opciones.
Configure el Estado del firewall, las Conexiones entrantes y las Conexiones salientes.
En la sección Configuración, haga clic en Personalizar.
Haga clic en Aceptar, también para las ventanas siguientes.
El firewall está ahora activado para los puestos de trabajo del dominio. Las conexiones entrantes están
bloqueadas por defecto. En este caso, el firewall está configurado para bloquear toda conexión que no
corresponda con una regla definida.
Las conexiones salientes están activadas por defecto. En este caso, el firewall autoriza todas las conexiones
salientes a excepción de aquellas para las que hay una regla activa.
En las opciones de personalización, hemos activado la opción de visualización de notificaciones cuando se
bloqueen conexiones entrantes. En cada tentativa de conexión entrante con el puesto de trabajo, Windows
mostrará un mensaje notificando al usuario que se ha bloqueado una conexión exterior.
La última opción de personalización (zona Combinación de reglas) permite bloquear la aplicación de los
parámetros del firewall local. Hemos escogido activar esta opción para evitar conflictos entre la configuración
del firewall de dominio y la del puesto de trabajo.
El firewall de Windows ofrece multitud de opciones adicionales para configurar en el Editor de directivas de
grupo. Es posible parametrizar las conexiones entrantes o salientes a base de autorizar o bloquear las
conexiones de programas y de puertos. Dispone también de la posibilidad de emplear numerosas reglas
predefinidas u optar por la personalización de una regla.
Atención: cuando despliegue el Firewall de Windows con seguridad avanzada con la ayuda de las
directivas de grupo, tenga la precaución de configurar las reglas salientes de tal forma que los
puestos de trabajo puedan recibir la directiva, o actualizarla.
Desactivar el firewall en la GPMC
Para desactivar el firewall en los puestos de trabajo, cree una nueva directiva llamada Desactivar el
firewall de Windows.
Edite la directiva y sitúese en el contenedor Configuración del equipo Directivas Configuración
de Windows Configuración de seguridad.
Una vez en el directorio Firewall de Windows con seguridad avanzada, extienda los subnodos del
directorio.
Haga clic con el botón derecho en Firewall de Windows con seguridad avanzada y seleccione
Propiedades.
Seleccione las siguientes opciones:
● Estado del firewall: Inactivo
● Conexiones entrantes: No configurado
● Conexiones salientes: No configurado
Después, haga clic en el botón Personalizar en la sección Configuración.
En la sección Combinación de reglas, seleccione No en la opción Aplicar reglas de firewall local.
Haga clic en Aceptar, también en las ventanas siguientes.
El firewall está ahora desactivado en la directiva de grupo y en los puestos de trabajo en lo que concierne al
perfil del dominio. No hay ninguna regla entrante o saliente configurada y los parámetros locales del firewall
Windows no podrán aplicarse mientras la directiva de grupo esté activa.
En el Editor de administración de directivas de grupo, podrá comprobar el estado del firewall para la directiva
Desactivar el firewall de Windows.
Puede repetir estas opciones de configuración para los demás perfiles del firewall (Perfil privado y Perfil
Una vez haya terminado de configurar el firewall, es necesario vincular la directivas de grupo al contenedor
Active Directory requerido para que se active en los puestos de trabajo del dominio.
Enlaces y descargas
Emplee este enlace si desea profundizar sus conocimientos sobre el funcionamiento del firewall en las
directivas de grupo:
http://technet.microsoft.com/eses/library/cc748991%28WS.10%29.aspx
Para obtener más información acerca de la configuración de directivas de red inalámbrica, puede consultar el
sitio de Microsoft Technet:
http://technet.microsoft.com/eses/library/cc730878%28WS.10%29.aspx
b. Caso 2 Configurar las directivas de red inalámbrica de forma centralizada
Las redes inalámbricas hicieron su aparición hace algunos años y son muy populares en las redes domésticas.
Actualmente es algo corriente encontrar redes inalámbricas disponibles gratuitamente en lugares públicos o
comerciales.
Las empresas no han hecho progresar sus redes locales inalámbricas hacia redes empresariales inalámbricas
por razones de seguridad. No obstante, no es extraño ver una parte de la red local destinada a los usuarios
configurada como inalámbica.
Windows Server 2008 y 2008 R2 permiten configurar el acceso a la red inalámbrica para los clientes mediante
directivas de grupo. En efecto, ciertos usuarios de la red se ven obligados a desplazarse dentro de la empresa.
Su acceso a la red debe mantenerse operativo durante los desplazamientos. En este caso, las conexiones a la
red inalámbrica se revelan como la mejor solución. Una configuración de red securizada puede complicar la fase
de parametrización de ésta en los puestos de trabajo. Además, es interesante configurar este mecanismo
mediante directivas de grupo.
Configuración de la red inalámbrica
Para configurar la red inalámbrica, abra la consola de administración de directivas de grupo, y cree
una nueva directiva llamada Configuración de la red inalámbrica.
Edite la directiva y sitúese en el contenedor Configuración del equipo Directivas Configuración
de Windows Configuración de seguridad Directivas de red inalámbrica (IEEE 802.11).
En este directorio, haga clic con el botón derecho en un espacio vacío y elija entre las dos
extensiones del lado cliente disponibles: Crear una nueva directiva de red inalámbrica para
Windows Vista y versiones posteriores o Crear una nueva directiva de Windows XP.
La siguiente ventana de diálogo permite definir el nombre de la directiva de conexión inalámbrica para Vista así
como la descripción de la misma.
Si deja activada la opción Usar el servicio de configuración automática de WLAN de Windows para
clientes, los puestos cliente Vista del dominio tendrán la posibilidad de conectarse automáticamente
a la red inalámbrica una vez haya sido detectada por el puesto.
Una vez haya introducido la información, haga clic en el botón Agregar.
Debe elegir entre agregar un perfil de conexión inalámbrica Infraestructura o Ad Hoc.
El perfil se encarga de las configuraciones de red inalámbrica que disponen de elementos como
puntos de acceso inalámbrico.
El perfil Infraestructura es el más apropriado para la mayoría de organizaciones.
El perfil Ad Hoc
Este perfil se encarga de las conexiones de red inalámbrica mediante comunicación puesto a
puesto.
Configuración de un perfil Infraestructura
Los ejemplos presentados en este capítulo se refieren principalmente a casos encontrados en las empresas,
por lo que elegiremos poner a punto la configuración de un perfil Infraestructura.
En la ventana de diálogo de las Propiedades de la conexión, en la pestaña Redes preferidas, escoja
Agregar, después Infraestructura.
La siguiente ventana de diálogo le permite configurar el perfil de conexión a la red inalámbrica.
Una vez haya introducido la información y las opciones adecuadas, haga clic en Agregar.
A continuación, puede definir los parámetros de seguridad del perfil de conexión en la pestaña Seguridad.
Haga clic en la pestaña Seguridad.
Normas de seguridad
Los estándares de seguridad empleados varían de una empresa a otra. Las variaciones conciernen tanto a las
preferencias en materia de sistemas de claves como a la elección de los tipos de cifrado para éstas.
Los parámetros de directivas relativos a las directivas de red inalámbrica tienen en cuenta las diferentes
normas de seguridad del mercado. Es la configuración de la conexión de acceso inalámbrico en el router la que
define la parametrización de las interfaces de conexión inalámbrica de los puestos cliente.
Puede elegir entre diferentes protocolos de Autenticación como WEP, WPA Enterprise y Personal, WPA2
Enterprise y Personal o bien 802.1X.
Además, puede escoger el Cifrado de la clave como por ejemplo TKIP, AES o incluso en abierto.
Los protocolos PEAP, LEAP y EAP aparecen como opciones para el campo Seleccione un método de
autenticación de red.
Los modos de autenticación a escoger pueden ser usuario, equipo o invitado. Estas opciones se deben definir
en la pestaña Seguridad para permitir a los usuarios conectarse a la red inalámbrica con parámetros
correctamente preconfigurados.
En este ejemplo, la empresa ha escogido la autenticación por clave WPA2Enterprise con tipo de cifrado AES. El
método de autenticación de red empleado será Microsoft PEAP así como un modo cuya autenticación será la del
equipo.
Haga clic en Aceptar, también en las ventanas siguientes.
La conexión a la red inalámbrica está ahora configurada para funcionar como directiva de grupo. Los
administradores pueden ahora vincularla al contenedor requerido para que puedan beneficiarse los usuarios de
c. Caso 3 Poner a punto una directiva de clave pública
La seguridad reforzada de las redes informáticas no siempre ha sido una prioridad para los administradores. La
sola presencia de una cuenta en la red justificaba antes su identidad así como su pertenencia a ésta. Hoy en
día, las prácticas han evolucionado hacia redes más complejas constituidas por tecnologías interconectadas.
Los archivos de red, los sitios de Internet, Extranet e Intranet, la mensajería son sistemas independientes
unos de otros y, sin embargo, interconectados sobre un mismo conjunto.
Ahora bien, la importancia de la información digital no ha hecho sino aumentar con el tiempo. El patrimonio de la
empresa está constituido principalmente por los datos informáticos de ésta. Y la multitud de datos disponibles
en una red de empresa está accesible potencialmente a personas no autorizadas para consultar o modificar
estos datos.
Se revela como algo primordial el asegurar la identidad de los usuarios que acceden a la red y controlar sus
accesos a la información. Los proveedores de servicios y otros proyectos que mezclan intervinientes externos e
internos exigen tomar precauciones especiales. Los usuarios externos deben tener acceso a ciertos datos de la
empresa para poder llevar a cabo su trabajo. Sin embargo, estos accesos deben estar definidos y controlados
con objeto de respetar las políticas de seguridad de la empresa.
¿Qué herramienta es necesario emplear para administrar de forma segura la información relativa a la
identificación de los usuarios?
Las directivas de grupo aportan una respuesta al permitir la definición de directivas de clave pública. Las
directivas de clave pública permiten verificar y autentificar la identidad de cada uno de los miembros de una
transacción. Las infraestructuras de clave pública utilizan los sistemas de certificado digital, de autoridades de
certificación y de inscripción que se apoyan en la criptografía por clave pública para efectuar estas
verificaciones. Los sistemas de validación por clave pública son omnipresentes en el sector del comercio
electrónico. Sus normas están en permanente evolución con el objetivo de aumentar la seguridad de las
transacciones.
Poner a punto una directiva de clave pública en la red de la empresa nos permite estar seguros de la identidad
del usuario que accede a una información determinada. En otros términos, certificar el acceso a los datos
mediante clave pública permite tener la seguridad de que un usuario definido estará autentificado para acceder
a las distintas partes del sistema informático.
Integrar una directiva de clave pública en una organización permite a los administradores gestionar los
certificados a escala de la empresa.
Requisitos previos para la creación de una directiva de clave pública
La puesta en práctica de una infraestructura de clave pública es un paso obligado para que pueda funcionar la
directiva de clave púbilca.
Durante la implementación de una infraestructura de clave pública PKI (Public Key Infrastructure), es necesario
definir una autoridad de certificación raíz que estará situada en el nivel más alto de la jerarquía de certificación
de la infraestructura de clave pública. Cada equipo o periférico que utilice los certificados para comunicar debe
referirse a un certificado raíz común.
Los certificados raíz de terceros conocidos existen por defecto en la configuración de los equipos con Windows.
Durante la puesta a punto de una infraestructura de clave pública debe instalarse el certificado raíz. Hay varios
métodos posibles para llevarlo a cabo.
Creación de una directiva de clave pública
Para configurar una directiva de clave pública, abra la GPMC y cree una nueva directiva llamada
Directiva de clave pública.
Edite la directiva y sitúese en el contenedor Configuración del equipo Directivas Configuración
de Windows Configuración de Seguridad Directiva de clave pública.
Objetos de directiva de una directiva de clave pública
Sistema de cifrado de archivos (EFS)
El sistema de archivos EFS (Encrypting File System) permite cifrar los archivos y los directorios en los servidores
de archivos así como en los ordenadores cliente. Además, los datos están protegidos de intentos de acceso por
parte de usuarios no autorizados o incluso externos a la empresa (pirateo de datos).
Este parámetro de la directiva le permite crear o añadir un agente de recuperación de datos.
Configuración de la solicitud de certificados automática
Las inscripciones de certificados reunen los procesos de petición, recepción e instalación de certificados. La
configuración de solicitud automática de certificado le permite inscribir los equipos directamente a certificados
mediante su asociación a los objetos de directiva de grupo. Si este parámetro no está configurado, los equipos
deben inscribirse de forma específica cada uno de ellos.
Una vez configurado el parámetro de solicitud automática de certificado para los ordenadores implicados, la
solicitud se efectúa durante el inicio de sesión de usuario en los puestos de trabajo.
Este parámetro de la directiva le permite crear una nueva solicitud automática de certificados con la ayuda de
las plantillas de certificados automáticos.
Entidades de certificación raíces de confianza
La creación de una autoridad de certificación raíz de confianza es uno de los pasos indispensables en la
implementación de una infraestructura PKI. La autoridad de certificación raíz representa una fuente de
aprobación para todos los certificados subordinados a ella.
Este parámetro de la directiva le permite importar el o los certificados raíces de confianza de su empresa en el
almacén de certificados.
Confianza empresarial
Es posible asignar una lista de certificados de confianza a un objeto de directiva de grupo. Puede crear una
nueva lista de certificados de confianza o importar una lista ya existente. En el caso de una creación, ésta debe
estar firmada con un certificado emitido a tal efecto por una autoridad de certificación raíz. Los certificados
raíces incluidos en la lista de certificados de confianza deben estar especificados.
Este parámetro de la directiva le permite importar el o los certificados de confianza de su empresa en el
almacén de certificados.
Este parámetro de la directiva le permite importar el o los certificados de entidades de certificación intermedias
de su empresa en el almacén de certificados.
Editores de confianza
El uso del mecanismo de firma de software crece permanentemente. Los fabricantes de software integran
estas firmas con el objetivo de certificar que las aplicaciones que suministran provienen de una fuente de
confianza.
Este parámetro de la directiva le permite importar el o los certificados de los proveedores aprobados por su
empresa en el almacén de certificados.
Certificados en los que no se confía
Las directivas de clave pública le permiten impedir la utilización de ciertos certificados en su empresa. Para
conseguir esto, es necesario añadir los certificados no autorizados al almacén de certificados en los que no se
confía.
Este parámetro de la directiva le permite importar el o los certificados no autorizados de su empresa en el
almacén de certificados.
Personas de confianza
Este parámetro de la directiva le permite importar el o los certificados de personas de confianza de su empresa
en el almacén de certificados.
Implementar la directiva de clave pública
Después de haber consultado y comprendido las funciones de los diferentes parámetros de directiva de clave
pública, edite la Directiva de clave pública que ha creado anteriormente en la GPMC con el Editor de
administración de directivas de grupo.
La puesta a punto de una infraestructura de clave pública exige una planificación minuciosa y precisa. El
proceso de implementación de una PKI puede llevar tiempo y su complejidad exige un dominio de los diferentes
elementos que la constituyen. Para una mejor comprensión de este libro, emplearemos una Directiva de clave
pública simplificada como ejemplo.
Sitúese de nuevo en el contenedor Configuración del equipo Directivas Configuración de
Windows Configuración de seguridad Directiva de clave pública.
Haga clic con el botón derecho sobre los parámetros Sistema de cifrado de archivos (EFS) y escoja
la opción Crear Agente de recuperación de datos.
Cuando se crea el agente de recuperación de datos en la directiva de clave pública, los certificados se emiten
por defecto para el Administrador del dominio.
Del mismo modo puede añadir un agente de recuperación de datos si lo desea. Asegúrese de que el agente de
recuperación de datos agregado posee los certificados apropiados así como las autorizaciones para recuperar
los archivos cifrados con la clave pública del dominio de la empresa.
A continuación, configuraremos el parámetro de solicitud automática de certificado. Los equipos sobre los que
se aplique el parámetro efectuarán una solicitud de certificado al inicio de la sesión de usuario en el puesto de
trabajo.
Situése en el contenedor Configuración del equipo Directivas Configuración de Windows
Configuración de seguridad Directiva de clave pública.
Se abre el Asistente para instalación de solicitud automática de certificado ofreciendo las opciones de hacer
clic en Siguiente o Cancelar la operación.
Haga clic en Siguiente.
Cuando se crea el almacén de certificados en Windows Server 2008, existen por defecto algunos tipos de
certificados.
Puede seleccionar uno de estos certificados en función de la necesidad de la directiva de clave pública. En
nuestro ejemplo, escogeremos una plantilla de certificado de equipo. Ésta permitirá validar las peticiones de
autentificación de los equipos a los servidores de la red.
El agente de inscripción es una plantilla de certificado que se incluye en la edición Entreprise de
Windows Server 2008 y 2008 R2. No existe en la versión estándar de los servidores 2008 y 2008 R2.
Cabe destacar que se trata de un usuario habilitado dentro de una organización. Éste debe poseer un
certificado Agente de inscripción que le autorice a inscribirse para obtener certificados de tarjeta
inteligente por cuenta de una parte de los usuarios de la red. Estos usuarios tienen generalmente
acceso a datos sensibles de la red que requieren una identificación por tarjeta inteligente.
El Asistente para instalación de solicitud automática de certificado solicita la confirmación para agregar el
certificado seleccionado.
Verifique que la plantilla del certificado creado cumple las necesidades de la directiva y haga clic en
Finalizar.
Hemos dicho anteriormente que una entidad de certificación raíz de confianza debe estar definida y puesta a
punto para que una infraestructura de clave pública pueda funcionar.
Vamos a añadir una entidad raíz de confianza a nuestra Directiva de clave pública.
Haga clic con el botón derecho en el objeto Entidades de certificación raíz de confianza y escoja la
opción Importar.
Se abre el Asistente para importación de certificados dando opción a hacer clic en Siguiente o a Cancelar la
operación.
Haga clic en Siguiente.
La siguiente ventana de diálogo le permite especificar el archivo de certificado raíz de confianza a importar.
Haga clic en Siguiente.
La ventana de diálogo siguiente permite especificar el almacén de certificados en el que se desea conservar el
certificado importado. En nuestro caso, el almacén apropiado es Entidades de certificación raíz de confianza.
Una vez terminado el trabajo del asistente, verifique los parámetros del certificado importado antes de
confirmar la operación.
La siguiente ventana emergente confirma el éxito de la importación del certificado.
Haga clic en Aceptar.
Tras hacer clic en Aceptar, compruebe la presencia del certificado importado en el contenedor Entidades de
certificación raíz de confianza.
En este momento, la directiva de clave pública posee un certificado raíz de confianza sobre el que se pueden
apoyar otros certificados para validar las transacciones electrónicas.
La solicitud de certificado de los puestos de trabajo del dominio, basada en la plantilla Equipo, se puede
automatizar mediante la configuración del parámetro de directiva Configuración de la solicitud de certificados
automática.
Otros parámetros de directiva de clave pública
Los restantes parámetros del contenedor Directiva de clave pública funcionan de manera similar al parámetro
Entidades de certificación raíz de confianza.
La única opción disponible cuando realiza clic con el botón derecho es importar uno o varios certificados en el
Cuando importa un certificado de confianza empresarial, automáticamente queda guardado en el almacén de
certificados Confianza empresarial. Lo mismo ocurre con los parámetros siguientes.
En Windows Server 2008 R2, quedan tres parámetros de directiva de grupo:
● Cliente de Servicios de servidor de certificados Directiva de inscripción de certificados
● Configuración de validación de rutas de certificados
● Cliente de Servicios de servidor de certificados Inscripción automática
Haga doble clic en Configuración de validación de rutas de certificados para configurar el objeto.
Según podemos comprobar, no hay ningún parámetro definido por defecto al abrir este objeto de directiva.
Las diferentes pestañas contienen varios tipos de parámetros configurables para la directiva de clave pública.
Seleccione la casilla Definir esta configuración de directiva para que los parámetros aparezcan
como disponibles en vez de inhabilitados.
Pestaña Almacenes
Permitir el uso de entidades de certificación raíz de confianza para validar certificados (recomendado)
La activación de esta opción permite a los usuarios elegir los certificados de entidades de certificación raíz que
se emplearán para validar los certificados.
Al desactivar esta opción se impide a los usuarios que aprueben certificados que provengan de una cadena no
securizada, pero se pueden provocar errores en el funcionamiento de ciertas aplicaciones. Además, esto puede
llevar a algunos usuarios a no considerar las posibilidades de los certificados raíz de confianza para la
validación del certificado en el puesto de trabajo.
Permitir que los usuarios confíen en certificados de confianza del mismo nivel (recomendado)
La activación de esta opción permite a los usuarios elegir los certificados del mismo nivel dignos de confianza.
Al desactivar esta opción se impide que los usuarios confíen en certificados cuyo origen es incierto pero puede
provocar errores en el funcionamiento de ciertas aplicaciones. Además, esto puede llevar a algunos usuarios a
no considerar las posibilidades de los certificados destinados a establecer una relación de confianza.
Los propósitos de certificado disponibles permiten emplear los certificados para establecer un vínculo de
confianza entre pares.
Estos propósitos de certificado están accesibles al hacer clic en el botón Seleccionar propósitos del
Entidades de certificación raíz en las que pueden confiar los equipos cliente
Esta sección le permite elegir qué entidades de certificación raíz pueden aprobar los usuarios del dominio.
CA raíz de terceros y CA raíz de empresa (recomendado)
Los usuarios pueden aprobar los certificados de empresa y los certificados noMicrosoft suministrados por
terceros.
Sólo CA raíz de empresa
Los usuarios tan sólo pueden aprobar los certificados internos de la empresa. En este caso, la confianza se
limita a los certificados publicados en los servicios AD DS (Active Directory Domain Services).
Las CA también deben ser compatibles con las restricciones de nombre principal del usuario (no
recomendado)
Los usuarios no tendrán la posibilidad de confiar en certificados de autenticación no conformes con las
condiciones de nombres de usuarios principales.
Pestaña Editores de confianza
Las opciones disponibles en la pestaña Editores de confianza permiten a los administradores configurar las
personas autorizadas para decidir las acciones a llevar a cabo respecto a los editores de confianza. Es posible
autorizar a los grupos siguientes para que validen los certificados de los editores de confianza:
● Los administradores y los usuarios.
● Sólo los administradores.
● Sólo los administradores de empresa.
En esta pestaña, puede definir las siguientes opciones relativas a los certificados de editores de confianza:
● Comprobar que no estén revocados.
● Comprobar que las marcas de tiempo (timestamp) sean válidas.
Pestaña Recuperación de red
En este caso, los parámetros de recuperación de la red permiten a los administradores realizar las siguientes
tareas:
● Efectuar una actualización automática de los certificados en el programa de certificados raíz de
Microsoft.
● Configurar los valores de tiempo de espera de recuperación para las listas CRL y de validación de ruta
de acceso.
● Habilitar la recuperación de certificados del emisor durante la validación de rutas.
● Definir la frecuencia de descarga de los certificados cruzados.
Pestaña Revocación
Las opciones disponibles en esta pestaña permiten a los administradores optimizar los métodos de utilización
de las listas CRL y los de los respondedores en línea. En efecto, en el caso de listas CRL muy voluminosas, los
intercambios de datos pueden ralentizar la velocidad de la red.
Estos son los parámetros que se pueden configurar:
Preferir siempre el uso de respuestas de listas de revocación de certificados (CRL) en vez de respuestas
de Protocolo de estado de certificados en línea (OCSP) (no recomendado)
Generalmente, los clientes utilizan los datos de revocación más recientes, independientemente de que
provengan de una lista de revocación de certificados o de un respondedor en línea. Si selecciona esta opción, la
consulta de información de revocación a un respondedor en línea no se realiza más que en caso de que
ninguna lista CRL o CRL Delta esté disponible.
Permitir que las respuestas CRL y OCSP sigan siendo válidas tras finalizar su duración (no recomendado)
Esta opción resulta útil cuando hay clientes que, por periodos de tiempo prolongados, no tienen la posibilidad
de conectarse a un punto de distribución de lista CRL o a un respondedor en línea.
Tiempo que puede extenderse el período de validez (en horas)
Esta opción le permite configurar la duración del periodo de validez de las listas CRL o de las respuestas de
protocolo OCSP.
En este momento, la directiva Directiva de clave pública está lista para ser desplegada en el dominio Empresa.
De esta manera, los administradores podrán vincular la directiva a las Unidades Organizativas de los usuarios o
equipos del dominio que deban beneficiarse de esta directiva de grupo.
Enlaces y descargas
Puesta a punto de una PKI:
http://technet.microsoft.com/enus/library/cc772393%28WS.10%29.aspx (en inglés)
http://technet.microsoft.com/enus/library/cc773138%28WS.10%29.aspx (en inglés)
http://www.microsoft.com/downloads/details.aspx?FamilyID=3c670732c9714c65be9c
c0ebc3749e24&displaylang=en (en inglés)
Detalles sobre EFS:
http://technet.microsoft.com/eses/library/cc749610%28WS.10%29.aspx
Administrar la validación de rutas de certificados:
http://technet.microsoft.com/eses/library/cc731638%28WS.10%29.aspx
Detalles sobre nuevos parámetros en Windows Server 2008:
http://technet.microsoft.com/eses/library/cc725911%28WS.10%29.aspx
Detalles sobre la solicitud automática de certificados:
http://technet.microsoft.com/eses/library/cc759371%28WS.10%29.aspx
d. Caso 4 Desplegar las aplicaciones con las directivas de grupo
Las GPO no pemiten desplegar cualquier tipo de software. En efecto, las GPO permiten instalar remotamente
tan sólo el software que tenga una extensión MSI (Microsoft Software Installer).
Este tipo de directiva puede servir para el despliegue de todos los paquetes MSI como, por ejemplo, Microsoft
Office, las aplicaciones específicas o también la instalación urgente de un servicepack.
Los despliegues de paquetes MSI resultan útiles porque son numerosas las aplicaciones Microsoft disponibles
en formato MSI. Existe también la posibilidad de crear estos paquetes con la ayuda de herramientas
especializadas.
Requisitos previos para el despliegue de un paquete
Hay algunos requisitos previos para la correcta ejecución de un despliegue de paquete mediante directiva de
grupo.
Los archivos desplegados deben tener la extensión MSI. Deben estar almacenados en un sitio de la red
compartido y accesible para los usuarios del dominio. Los derechos de acceso a la red y la compartición de
archivos deben estar comprobados y operativos.
Desplegar un paquete
Para desplegar una aplicación, abra la consola de administración de directivas de grupo y cree una
nueva directiva llamada Despliegue del paquete Teamviewer.
Abra la directiva con el editor y sitúese en el contenedor Configuración del equipo Directivas
Configuración de software.
Haga clic con el botón derecho en el objeto Instalación de software. Escoja Nuevo y después
Paquete.
La ventana de diálogo que aparece le permitirá identificar el archivo que contiene el paquete en el sitio de red
donde esté almacenado.
Seleccione el paquete que desee desplegar y haga clic en Abrir.
La siguiente ventana de diálogo le pide escoger entre los parámetros de despliegue para la aplicación
Asignada y Avanzada.
Este parámetro le permite desplegar la aplicación empleando los parámetros de configuración por
defecto.
Avanzada
Este parámetro le permite modificar manualmente los parámetros por defecto de la aplicación que
despliegue.
Se recomienda emplear la opción Asignada si no se conocen los parámetros a configurar en el
paquete.
Marque la opción que desee emplear. En este ejemplo escogemos la opción Asignada.
Haga clic en OK.
Después de haber validado el modo de despliegue de la aplicación, se creará un nuevo objeto en el contenedor
Instalación de software del Editor de administración de directivas de grupo.
Para modificar las propiedades de la aplicación desplegada, despliegue su menú contextual y escoja
la opción Propiedades.
La ventana de diálogo de las propiedades del objeto le permite modificar las opciones de puesta a nivel del
paquete, las autorizaciones en curso sobre el objeto, y las categorías en que se clasificarán los paquetes en el
menú Agregar/Quitar programas de Windows.
2. Directivas de la Configuración de usuario
a. Caso 5 Configurar el escritorio ideal para sus usuarios
El Escritorio es el punto de entrada de los usuarios en un puesto de trabajo. Un Escritorio sobrecargado será
siempre un estorbo para el buen desarrollo de las tareas cotidianas de un usuario.
Las directivas de grupo ofrecen a los administradores la posibilidad de configurar el Escritorio de los usuarios.
Es posible aumentar la seguridad con ayuda de restricciones de acceso a ciertas opciones y facilitar la
administración cotidiana de los usuarios con la configuración de un Escritorio adaptado a sus actividades.
Configurar el Escritorio
Para configurar el Escritorio, abra la consola de administración de directivas de grupo, cree una
nueva directiva llamada Configuración del Escritorio.
Dispone de varios parámetros para configurar el Escritorio de los usuarios. El contenedor Escritorio/Active
Desktop contiene parámetros de configuración relativos a la visualización (Fondo de escritorio, uso de Active
Desktop).
En el directorio Escritorio/Active Desktop, configure los siguientes parámetros:
● Deshabilitar Active Desktop: Habilitada
Cuando desee definir el fondo de escritorio por defecto para los usuarios, introduzca la ruta UNC (Universal
Naming Convention) de la imagen a emplear.
Ahora, el fondo de Escritorio de los usuarios queda configurado por defecto con la imagen de la empresa. Active
Desktop está desactivado por resultar inútil en caso de que se emplee un fondo de pantalla en formato mapa
de bits.
Configuraremos ahora otros parámetros disponibles en la configuración del Escritorio.
Hay varias posibilidades para responder a las necesidades definidas durante la planificación de la puesta en
marcha de la directiva de grupo. Nos limitaremos a mostrar algunas de las posibilidades a través de los
siguientes ejemplos.
Modifique los siguientes parámetros:
● Prohibir a los usuarios la redirección manual de las carpetas de perfiles: Habilitada
● Quitar el Asistente para limpieza de escritorio: Habilitada
● Ocultar el icono Ubicaciones de red del escritorio: Habilitada
● Quitar el elemento Propiedades del menú contextual del icono Equipo: Habilitada
● Quitar del escritorio el icono de Papelera de reciclaje: Habilitada
● Prohibir el ajuste de las barras de herramientas del escritorio: Habilitada
b. Caso 6 Restringir el acceso al panel de control
El panel de control de Windows es una herramienta que se debe manipularse con precaución. Ciertas
modificaciones hechas desde este lugar pueden tener consecuencias nefastas para los usuarios y los
administradores.
Por esta razón, ciertos administradores de redes piensan que es necesario restringir el acceso a las opciones
del panel de control para una mejor estabilidad de los puestos de usuario.
Configurar el panel de control
Para gestionar las opciones del panel de control, abra la consola de administración de directivas de
grupo y cree una nueva directiva llamada Configuración del panel de control.
Nos centraremos en un único parámetro, pero de gran interés. Permite suprimir elementos del panel de control
para hacerlos inaccesibles a los usuarios.
Modifique el parámetro Ocultar los elementos especificados del Panel de control. Para empezar,
asígnele el valor Habilitada.
A continuación, haga clic en Mostrar para informar los elementos que Windows no mostrará en el
panel de control.
Agregue cada elemento deseado escribiendo su nombre y pulsando [Enter]. Cuidado, el uso de mayúsculas y
minúsculas en esta ventana de diálogo y en el Panel de control deben coincidir.
Haga clic en Aceptar en la ventana siguiente.
En este momento, el Panel de control de los usuarios del dominio está conforme a las normas de su empresa.
Podrá agregar o suprimir nuevos elementos editando la directiva y modificándola.
3. Directivas de preferencias
Las directivas de preferencias han sido objeto del capítulo Las preferencias de directiva de grupo de este libro y
aparecen como una de las novedades más interesantes de la administración de directivas de grupo en Windows
Server 2008 y 2008 R2. En efecto, las directivas de preferencias facilitan las tareas de administración
reemplazando a los scripts que se empleaban hasta ahora.
Los siguientes ejemplos ilustran estas ventajas.
a. Caso 7 Gestionar los usuarios y grupos locales de los puestos de trabajo desde la GPMC
Los grupos locales en Windows XP, Vista y 7 contribuyen cotidianamente al trabajo de los equipos técnicos. La
contraseña perdida o que no funciona para el administrador local, la presencia en grupos locales de antiguos
usuarios (lo que se opone a las políticas de seguridad), son ejemplos de problemas recurrentes.
Con las directivas de grupo, los administradores pueden definir y gestionar los usuarios y los grupos locales de
forma centralizada. La uniformidad de las cuentas locales en los puestos de trabajo se convierte en un objetivo
que ahora se puede alcanzar fácilmente.
Configurar los Usuarios y grupos locales
Para configurar los Usuarios y grupos locales, abra la consola de administración de directivas de
grupo y cree una nueva directiva llamada Configuración de los grupos locales.
En el Editor de administración de directivas de grupo, sitúese en el contenedor Configuración del
equipo Preferencias Configuración del Panel de control Usuarios y grupos locales.
Para este ejemplo, escogeremos la actualización de las cuentas de Administrador local de los equipos. El
objetivo será uniformizar las contraseñas de las cuentas de administrador local de los puestos de trabajo.
Haga clic con el botón derecho en el contenedor Usuarios y grupos locales, escoja Nuevo y después
seleccione Usuario local o Grupo local en función de las necesidades de la directiva. En nuestro
ejemplo, escogeremos Usuario local.
Seleccione la acción Actualizar y después escoja la cuenta Administrador propuesta en la lista
desplegable del campo Nombre de usuario.
Rellene el campo Descripción si lo estima oportuno e introduzca la contraseña a asignar a la cuenta
Administrador local de los equipos.
Desmarque la opción El usuario debe cambiar la contraseña en el siguiente inicio de sesión y
asegúrese de marcar la opción La contraseña nunca expira si desea establecer hasta nueva orden
la contraseña introducida, o bien especifique una fecha de expiración como forma de reforzar la
seguridad.
Cuando esta directiva se haya vinculado a uno de los contenedores Active Directory de su organización, todos
los puestos de trabajo sobre los que se aplique la directiva tendrán una contraseña de la cuenta de
administrador local uniforme gracias a las preferencias.
b. Caso 8 Conectar las unidades compartidas de red gracias a las preferencias
La mayor parte de los datos profesionales se almacenan en los servidores de archivos de la empresa. La
conexión de las unidades de red mediante preferencias, mediante script o manualmente, forma parte de las
operaciones cotidianas obligatorias. En efecto, un usuario sólo puede ser productivo si el acceso a los datos
está permitido y operativo.
Las preferencias permiten especificar la conexión para las unidades de red de los usuarios desde la consola de
administración de directivas de grupo.
Asignar las unidades
Para asignar las unidades de red, abra la consola de administración de directivas de grupo y cree una
nueva directiva llamada Configuración de las unidades de red.
En este caso, conectaremos el recurso de red compartido Marketing para los miembros del departamento de
Marketing.
Cree una nueva preferencia de unidad asignada y configure los diferentes elementos para que se
correspondan con sus requisitos.
Si se pierde la conexión a la unidad Marketing, el usuario deberá esperar una nueva aplicación de la directiva
de preferencia o aplicar los parámetros de preferencia manualmente con ayuda de los comandos disponibles
para ello.
c. Caso 9 Facilitar el acceso a las aplicaciones de los usuarios
Los accesos directos de Windows en el Escritorio facilitan el trabajo de los usuarios.
Si los accesos directos desaparecen o dejan de funcionar, el usuario puede quedar bloqueado. Para estabilizar
el funcionamiento de los puestos de trabajo, las directivas de preferencias le ofrecen la creación de accesos
directos en el Escritorio de los usuarios.
d. Caso 10 Permitir que su empresa ahorre energía
Las directivas de preferencias le permiten implementar una política de gestión de energía en los puestos de
trabajo en beneficio del medio ambiente y de los gastos de la empresa.
Cuanto más centralizadas son las arquitecturas, más aumenta el interés por herramientas como las GPO. Puede
ser viable estudiar «caso por caso» en organizaciones pequeñas o medianas, donde los problemas se identifican
rápidamente y requieren poca o ninguna planificación para mantener y actualizar la red. Pero esto no se sostieme
en organizaciones de gran tamaño donde los proyectos informáticos deben presentar inexcusablemente un
carácter estructurado.
Es posible reducir el coste total de propiedad (Total Cost of Ownership) de una empresa únicamente con las
directivas de grupo. Una estrategia de despliegue de GPOs adecuada y bien preparada permite anticipar las
pérdidas de tiempo para resolver problemas informáticos. La producción de la empresa está menos sujeta a las
interrupciones, y las pérdidas disminuyen en consecuencia.
Cuando se prevé un despliegue de directivas de grupo, es importante preguntarse cómo abordar su planificación y
cuáles son los parámetros a tener en cuenta respecto a la organización sobre la que se despliega. Adicionalmente,
es necesario definir los proyectos de despliegue que tienen interés, los que tienen menos, y cómo distinguirlos.
Windows Server 2008 y 2008 R2 le permiten gestionar las directivas de grupo con la consola de administración
GPMC 2.0. Puede implementar las directivas del equipo y usuarios, las plantillas administrativas, las políticas de
seguridad, los despliegues de software y de scripts, utilizar las preferencias...
Para planificar y desplegar las directivas de grupo de una forma adecuada a las necesidades de su empresa, es
primordial identificar las necesidades de ésta. La actividad de la empresa es la que define inicialmente los criterios
que hay que tener en cuenta.
Cuanto mayor sea el conocimiento de los procedimientos en vigor en la empresa, mejor será el ajuste de la
configuración de la red a las necesidades de la organización. En su diseño inicial, las redes Microsoft son idénticas
de una empresa a otra cuando las tecnologías empleadas son las mismas, pero con el paso del tiempo la red se
«personaliza» a imagen de cada empresa.
Es importante conocer bien la historia de la red, su evolución y las posibilidades reales de alcanzar los objetivos
fijados para llevar a buen término una operación de despliegue de directivas de grupo. Por ejemplo, si los
entornos del usuario son variables de una versión de Windows a otra, las GPO no se aplicarán de la misma forma.
Los parámetros modificables no son siempre los mismos y los resultados pueden ser desalentadores.
Cuanto mayor sea el número de parámetros tenidos en cuenta, más precisa será la planificación y menos serán las
sorpresas desagradables.
Uno de los principales intereses de la gestión de parques informáticos mediante directivas de grupo es la
transparencia de las operaciones para el usuario.
Los administradores preparan las modificaciones a nivel de los servidores para, posteriormente, aplicarlas a los
puestos de trabajo de una manera transparente para los usuarios.
Las razones para la creación y despliegue de directivas de grupo dependen directamente de las necesidades de la
empresa.
Las restricciones de orden técnico se pueden a veces compensar con los medios financieros apropiados, mientras
que las restricciones que provienen de la organización requieren más bien de un esfuerzo intelectual importante.
La combinación de estas dos problemáticas, junto a la llegada del Cloud Computing, invita a una reflexión que
permita plantear la solución de ambas al mismo tiempo.
En efecto, las empresas que sacan al mercado ofertas basadas en tecnologías Cloud ofrecen cada vez más
servicios, aplicaciones y espacio albergados de forma federada. Esto permite, con un coste reducido, el acceso a
un servicio eficiente y rico. En consecuencia, aquello que antes resultaba tan caro de poseer y poner en marcha
para disponer en la empresa de un sistema fiable, profesional y securizado, se encuentra hoy accesible en alquiler.
Además, el Cloud Computing tiene la particularidad de recrear el efecto de cohesión técnica deseado por los que
toman las decisiones de orden informático, aún cuando obligue generalmente a descentralizar las herramientas
empleadas para llegar a este resultado. Una empresa entera puede estar conectada y gestionada mediante un
sistema común cuyos elementos están repartidos por el mundo.
La centralización de los datos, de los medios de intercambio, y de las herramientas de producción de las
organizaciones empuja a reunir y contener los elementos del sistema informático en un mismo lugar físico. No
obstante, la presencia cada vez más extendida de las redes, entre ellas Internet, las posibilidades de
interconexión crecientes y las tecnologías tanto de Cloud Computing como de virtualización permiten plantear
formas innovadoras de definir y construir las infraestructuras informáticas de las empresas.
Es posible imaginar una organización en la que los servidores de mensajería estén situados en Europa mientras
que los servidores de archivos estén en Asia, y los servidores de bases de datos residan en Australia. Las
aplicaciones, que cada vez más están desarrolladas para la Web, pueden estar accesibles desde cualquier lugar,
en un mundo conectado a Internet.
Uno de los indicadores más apropiados de la viabilidad de estos métodos de trabajo parece ser el tiempo de
respuesta. El acceso es hoy algo que se puede dominar y garantizar. El tiempo de respuesta es un dato del que
pocas personas se hacen responsables, y con razón, ya que es muy difícil de saber al detalle si las rutas tomadas
por los datos que transitan por la red están saturadas, son fiables o están securizadas.
Las directivas de grupo son indispensables para gestionar en la capa profunda del sistema los equipos y
servidores que emplean Windows. Tan sólo las directivas de grupo o la configuración del registro de Windows
permiten garantizar la estabilidad de las parametrizaciones de los equipos o los servidores de la organización.
Las averías y reconfiguraciones frecuentes en nada contribuyen a una productividad creciente, o al confort en el
trabajo de los usuarios o de los miembros de los equipos técnicos.
En una arquitectura virtual o Cloud, las directivas deben manejarse con precaución, ya que pueden saturar
rápidamente el ancho de banda o los enlaces de conexión entre los diferentes equipos. Lo más adecuado parece
ser la puesta en marcha de sistemas que empleen clientes ligeros. Las arquitecturas basadas en Terminal Server,
servicios de Escritorio remoto o incluso Remote Desktop Services (RDS) permiten la configuración de numerosas
directivas de grupo para los servidores RDS de la empresa.
1. Un modelo de estructura Active Directory para RDS
Durante la implementación de una infraestructura centralizada basada íntegramente en el uso de los servicios de
Escritorio remoto (antes Terminal Server), es necesario e incluso obligatorio planificar la estructura Active
Directory adaptada al despliegue de GPO, de la misma manera que en una arquitectura clienteservidor clásica.
Los servidores utilizados para albergar las sesiones de Escritorio remoto deben estar configuradas
exclusivamente para esta tarea y las sesiones de usuarios deben, igualmente, estar sujetas a parametrizaciones
adecuadas y precisas.
Por ejemplo, si no se configura ninguna directiva de grupo para limitar los accesos de perfiles de usuarios a los
sistemas de servidores de sesiones de Escritorio remoto, éstos podrían rearrancarlos accidentalmente o incluso
tener acceso a los volúmenes sobre los que están instalados los sistemas operativos de los servidores. El acceso
a los directorios y archivos del sistema parece inútil para un usuario estándar de la organización y aumenta
considerablemente la vulnerabilidad de los servidores implicados.
A la hora de poner en marcha proyectos de este estilo, son bastantes los argumentos que llevan a concluir que
la elaboración de directivas de grupo exclusivamente dedicadas a configurar los perfiles de los usuarios de
Escritorio remoto es un paso indispensable.
Se muestra, a continuación, un modelo de organización y de estructura en Active Directory para el despliegue de
directivas de grupo en una arquitectura que utilice los servicios de Escritorio remoto.
Modelo de organización
El porqué de este modelo
Un modelo como el presentado permite parametrizar GPOs para configurar los servidores de Escritorio remoto en
la UO Servidores RDS. Las directivas de seguridad locales por defecto de los servidores deben, generalmente,
modificarse para securizar los accesos y reducir las posibilidades de provocar daños, ya sean intencionadas o no.
El principal interés de la estructura de Active Directory propuesta reside en la flexibilidad que ofrece para
configurar diferentes niveles de acceso para los perfiles de usuario de Escritorio remoto. El hecho de crear una
UO para cada departamento de la empresa permite desplegar directivas adaptadas a las necesidades de los
usuarios finales.
Una vez más, nos apoyamos en Active Directory para estructurar el sistema informático en su conjunto.
2. Securizar y estabilizar los perfiles de Escritorio remoto de los usuarios
En una implementación de GPO en un entorno de Escritorio remoto, es primordial actuar con rigor, ya que el
menor acceso que quede abierto inadvertidamente puede llevar a consecuencias graves. Debido a que los
recursos se comparten entre varios usuarios, ciertas modificaciones no deseadas aplicadas al conjunto del
sistema pueden penalizar a cada uno de los usuarios conectados con una sesión de Escritorio remoto.
He aquí ejemplos de directivas útiles para centralizar, simplificar y securizar la gestión de perfiles de Escritorio
remoto de los usuarios de su empresa.
En la consola de administración de directivas de grupo, cree una nueva GPO que llamaremos
Configuración de los perfiles de Escritorio remoto.
Haga clic en Aceptar.
Una vez creada, haga clic con el botón derecho en el objeto directiva de grupo y seleccione Editar.
Modificar el registro para impedir el acceso a las herramientas de administración
Seleccione Nuevo y después Elemento del Registro.
A continuación, seleccione el subárbol HKEY_CURRENT_USER y después haga clic sobre el botón …
situado a la derecha del campo Ruta de la clave.
Despliegue la ruta en el explorador de elementos del registro hasta llegar al
directorio Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced.
Escoja la clave de registro Start_AdminToolsRoot y haga clic en Seleccionar.
Para activar el menú Herramientas administrativas en el menú Inicio de los usuarios, deje el valor de
la clave a 00000002.
Para desactivarlo, cambie el valor de la clave a 00000000, opción que tomaremos para nuestro
ejemplo.
Deje el parámetro Base con Hexadecimal seleccionado y haga clic en Aplicar.
Verifique la exactitud de los parámetros y haga clic en Aceptar para confirmar.
Después, vincule la GPO a la UO en la que quiera que desaparezca la opción Herramientas
administrativas del menú Inicio de los usuarios.
Impedir el acceso a las unidades A, B, C y D
Sitúese en el nodo Configuración de usuario/Directivas/Plantillas administrativas/Componentes de
Windows/Explorador de Windows.
Busque y seleccione el parámetro Ocultar estas unidades especificadas en Mi PC.
En la siguiente ventana, seleccione la opción Habilitada y elija la opción más apropiada de entre las
que se ofrecen. En nuestro ejemplo, restringiremos el número máximo de unidades de disco en el
sistema, es decir el parámetro Restringir sólo las unidades A, B, C y D.
Si escoge la opción que permite restringir el acceso a todas las unidades del puesto de trabajo no
podrá mostrar las unidades de red a las que los usuarios deben conectarse en su sesión. Del mismo
modo, es importante renombrar las unidades locales A, B, C o D sobre el servidor de sesiones de Escritorio
remoto. Si uno de los volúmenes locales se identifica con la letra E, los usuarios verán el volumen accesible
en el explorador de Windows de su perfil.
Después, conéctese a la sesión de un usuario y abra el Explorador de Windows.
Bloquear las aplicaciones
A continuación, haga clic con el botón derecho en el contenedor Directivas de restricción de software
y escoja Nuevas directivas de restricción de software.
Como resultado de esta operación aparecen dos nuevos subcontenedores: Niveles de seguridad y Reglas
adicionales.
Sitúese sobre el contenedor Reglas adicionales y después haga clic con el botón derecho en la parte
vacía a la derecha de la pantalla.
En el menú contextual, seleccione Regla de nuevo hash.
Haga clic en Examinar.
En la siguiente ventana, introduzca la ruta y nombre del ejecutable del programa que desea bloquear
a los usuarios.
A continuación, escoja el nivel de seguridad que desee aplicar. Los tres niveles disponibles son No
permitido, Usuario básico e Ilimitado.
Seleccione No permitido y haga clic en Aceptar.
Los usuarios podrán ahora utilizar Adobe Reader sin restricciones pero no podrán mostrar el módulo
que permite la actualización del programa. El interés principal de la operación reside en que ya no se
molesta a los usuarios con las peticiones regulares de actualización del software.
Después, conéctese a la sesión de un usuario y abra la aplicación Adobe Reader o Adobe Standard.
Haga clic en Ayuda y Buscar actualizaciones.
Si la directiva está configurada correctamente, obtendrá el siguiente mensaje de error.
Haga clic en Aceptar.
Para actualizar Adobe Reader, puede aplicar las actualizaciones del programa como administrador.
Configurar los accesos directos estándar para sus usuarios
Sitúese en el nodo Configuración de usuario Preferencias Configuración Windows Accesos
directos.
Introduzca los campos necesarios para la creación de un acceso directo en el escritorio de los usuarios.
Haga clic en Aplicar y después en Aceptar.
Si no da un valor correcto al campo Ruta del icono, el acceso directo funcionará pero no mostrará
ningún icono.
Verifique la presencia del objeto en el contenedor Accesos directos.
Para empezar, impediremos que los programas aparezcan en la lista de programas frecuentes del menú Inicio
(sólo es válido en Windows Server 2008 o 2008 R2 y Windows 7).
A continuación, prohibiremos anclar programas a la barra de tareas para que los accesos directos se mantengan
sin cambios respecto a cuando fueron creados. Los usuarios no podrán añadir o suprimir por sí mismos los
accesos directos presentes en la barra de tareas. De esta forma no tendrán posibilidad de perder los accesos a
programas o recursos importantes para su actividad por culpa de un error de manipulación.
Para impedir que los programas aparezcan en la lista de programas frecuentes del menú Inicio, sitúese
en el contenedor Configuración de usuario Directivas Plantillas administrativas Menú Inicio y
barra de tareas.
Después, haga doble clic en el parámetro Quitar del menú Inicio la lista de programas de uso
frecuente.
Seleccione la opción Habilitada y haga clic en Aceptar.
Cuando se trate de consultar información, las tabletas gráficas o incluso los smartphones podrían dar soporte a
conexiones con los recursos de la empresa. En materia de producción o explotación, probablemente sea todavía
más práctico introducir información o crear contenidos en sesiones sobre un sistema operativo clásico, lo que
conlleva contar con las aplicaciones necesarias y un material de trabajo adecuado (pantallas con las dimensiones
correctas, ratón, teclado, potencia de cálculo de los procesadores).
A la vista de los numerosos sistemas y métodos de trabajo emergentes, el futuro de las directivas de grupo
parece potencialmente amenazado, al ser dependiente exclusivamente de la presencia de Microsoft en la
infraestructura de las empresas.
El éxito consolidado del fabricante permite presagiar la pervivencia de las GPO y nos recuerda que es difícil
configurar en profundidad los sistemas cliente de las redes de empresa sin emplear este modo de funcionamiento.
La estabilidad de los departamentos de la empresa representa una ganancia en productividad y una disponibilidad
de los datos cuyo valor es inestimable.
Un puesto de trabajo instalado de forma personalizada y que contenga únicamente las herramientas de la
empresa, sin permisos ni posibilidad de modificar ninguna opción que pueda conllevar fallos en el servicio, y que al
mismo tiempo proporcione los accesos necesarios para el buen desarrollo de la actividad de los usuarios, es lo
ideal. Un equipo con gran número de programas que se activan durante el arranque, multitud de aplicaciones
inútiles y ávidas de recursos y un acceso abierto al sistema, por principio trae consigo un riesgo muy serio de fallos
en su funcionamiento. Las consecuencias directas se traducen en lentitud del sistema durante su uso, fallos en los
servicios e indisponibilidad de recursos.
Al final, si la información no está disponible, no puede cumplir con su papel original: informar.
En la actualidad, una empresa que no puede disponer de su información de forma estable y rápida tiene poca
credibilidad. En el futuro próximo, ninguna.
1. GPO, puestos de trabajo Windows y servidores alojados en Cloud
Las directivas de grupo se difunden a través de la red. Su trayecto tiene como punto de partida el servidor de
directivas de grupo, que transmite la configuración en el momento del arranque del puesto o de la autentificación
del usuario. Después, según la configuración existente, las GPO se aplican de nuevo a intervalos regulares. Esta
forma de funcionar es, en el momento actual, indisociable de una red local rápida, o de una red inalámbrica
remota unida mediante enlaces de banda ancha (fibra óptica) estables y de alto rendimiento.
En definitiva, su funcionamiento parece prácticamente imposible en una infraestructura de tipo Cloud porque
transitaría demasiada información por la red.
2. GPO, puestos RDS y servidores de Escritorio remoto alojados en Cloud
Mezclar y armonizar una red de empresa de gran perímetro geográfico requiere de medios técnicos y financieros
muy elevados. Pueden obtenerse los beneficios de una infraestructura basada en la implementación de GPO sin
poner a punto un sistema inalámbrico apropiado mediante el uso de los servicios de Escritorio remoto.
De esta manera, la metodología y la normativa técnica pueden desplegarse rebasando los límites físicos del
hardware y la infraestructura. Se requiere un alto nivel de detalle para la utilización de las directivas de grupo en
un entorno de servicios de Escritorio remoto, porque el impacto de una modificación puede afectar a todos los
usuarios, tanto si la ha realizado un administrador como los usuarios por sí mismos, ya sea de forma voluntaria o
no.
Los clientes desean información en tiempo real sobre un perímetro lo más amplio posible. Los proveedores desean
proporcionar esto a un menor coste sin dejar de garantizar la seguridad y la viabilidad de sus sistemas. El Cloud
permite alquilar sistemas de lujo sin los inconvenientes de tenerlos en propiedad. La contrapartida parece ser el
descenso en el nivel de seguridad siempre que la información de una empresa se guarda en cualquier otro sitio
que no sea sus propios servidores y sus propios inmuebles.
Cuando una empresa de tamaño medio, con un presupuesto informático razonable, contrata los servicios de una
empresa del tamaño de Microsoft para que aloje su plataforma de mensajería, uno puede imaginar que los
sistemas de seguridad de la empresa contratada compensan ampliamente los que el cliente puede poner en
práctica. En ese caso, el Cloud aporta una seguridad suplementaria, además de ser práctico y amigable. Subsiste
la posibilidad de una intrusión o de la consulta, copia o supresión de datos almacenados en un proveedor de este
tipo de servicios. Estos riesgos existen igualmente cuando los sistemas se tienen en propiedad, presentes en las
instalaciones del cliente.
Es difícil predecir si el Cloud es el futuro de los sistemas informáticos o una simple moda pasajera. Las GPO
constituyen hoy una forma armoniosa de estructurar los sistemas cliente y evitar errores de funcionamiento.
Aunque las infraestructuras terminarán por integrar herramientas Cloud al máximo, no por ello deja de ser cierto
que los puestos o terminales a partir de los que los usuarios trabajen tendrán que seguir gestionándose de
manera global. La metodología requerida para administrar informáticamente los puestos de usuario puede
aplicarse a otros soportes como las tabletas o los smartphones, si llegaran a reemplazar a los ordenadores en la
empresa; pero siempre sería preciso que pudieran ser configurados por directivas de grupo o un mecanismo
equivalente.
El potencial técnico de las directivas de grupo cubre un área extensa y permite responder a tipos de problemas
muy diversos. Recordemos que las directivas de grupo permiten no sólo poner en práctica políticas de seguridad
avanzadas y personalizar el funcionamiento de la red en función de la organización de la empresa, sino también
mantener la coherencia en la administración de varias entidades de una misma empresa dispersas
geográficamente.
Utilizar las directivas de grupo es garantizar la capacidad de evolucionar y la supervivencia de una organización.
En efecto, las directivas de grupo permiten rebasar las limitaciones impuestas por sitios distantes geográficamente
y las restricciones técnicas impuestas por la tecnología empleada. La utilización de directivas de grupo aumenta la
capacidad de realizar intercambios securizados, permitiendo así crear un sistema de comunicación de calidad.
El uso de métodos de comunicación eficaces forma parte de los criterios indispensables para el éxito de una
empresa. Entre sus muchas ventajas, las directivas de grupo permiten traducir las necesidades en materia de
organización en realidades técnicas. En ese caso, el uso de directivas de grupo determina la implicación de los
miembros de los equipos de IT en los procesos de decisión relativos a la administración de la empresa.
Esta obra propone herramientas con las que guiarse en el vasto mundo de las directivas de grupo. Obviamente,
existen posibilidades más extensas que las que se han cubierto en este libro, pero, para aquellos que lo deseen,
éste les permitirá aprender las diferentes maneras de explorar en profundidad los miles de parámetros y opciones
ligadas a las directivas de grupo para optimizarlas.
La centralización de las redes parece hoy el último nivel en la evolución de los métodos de gestión de la
información. En efecto, la forma de organizar los datos ha conocido varias revoluciones desde la creación de los
sistemas automatizados y no ha dejado de modificar nuestro comportamiento respecto a cómo accedemos a los
datos y qué uso hacemos de ellos.
En definitiva, las directivas de grupo tienen como objetivo facilitar considerablemente la tarea de quienes quieren
adaptarse a estos nuevos métodos de gestión de la información en la empresa.
Para terminar, se puede resumir el funcionamiento de las directivas de grupo en una sola frase: reflexionar una
única vez, aplicar múltiples veces.
http://technet.microsoft.com/eses/default.aspx
Este sitio se encuentra entre las referencias en materia de documentación técnica. Entre la gran cantidad de
información disponible, encontrará artículos técnicos detallados sobre los diferentes productos Microsoft, entre
ellos, las directivas de grupo.
http://techfaq.com/
www.laboratoiremicrosoft.org
www.gpanswers.com
www.grouppolicy.biz