Administrar la herencia de directivas de grupo

Para aplicar la configuracin de un objeto de directiva de grupo (GPO) a los usuarios y equipos de un dominio, un sitio o una unidad organizativa, puede vincular el dominio, el sitio o la unidad organizativa a ese GPO. En la Consola de administracin de directivas de grupo puede agregar uno o varios vnculos de GPO a cada dominio, sitio o unidad organizativa. La configuracin implementada por los GPO vinculados a contenedores de nivel superior (contenedores primarios) de Active Directory se hereda de forma predeterminada en los contenedores secundarios y se combina con la configuracin implementada por los GPO vinculados a contenedores secundarios. Si varios GPO intentan establecer valores contradictorios en una opcin, prevalecer el GPO que tenga mayor precedencia. El procesamiento de los GPO se basa en el principio de que prevalece el ltimo en llegar y los GPO procesados con posterioridad tienen precedencia sobre los procesados anteriormente. Los objetos de directiva de grupo se procesan en el orden siguiente: 1. 2. 3. 4. Se aplica el objeto de directiva de grupo local (LGPO). GPO vinculados a sitios. GPO vinculados dominios. GPO vinculados a unidades organizativas. En caso de haber unidades organizativas anidadas, los GPO asociados a unidades organizativas primar se ias procesan antes que los GPO asociados a unidades organizativas secundarias.

Los vnculos a un determinado sitio, dominio o unidad organizativa se aplican en orden inverso al orden de los vnculos. Por ejemplo, un GPO con Orden de vnculos 1 tiene la mxima precedencia sobre otros GPO vinculados a ese contenedor. Para ver el orden de precedencia de los GPO de un sitio, dominio o unidad organizativa determinados, abra la ficha Herencia de directivas de grupo de ese sitio, dominio o unidad organizativa. Observe que al mostrar la ficha Herencia de directivas de grupo de un dominio o de una unidad organizativa, los GPO vinculados a sitios no aparecen. Ello se debe a que el sitio especfico en el que se encuentra un equipo no se conoce previamente. Adems, cuando se observa un sitio la nica diferencia entre las fichas Herencia de directivas de grupo y Objetos de directivas de grupo vinculados es que en la primera se tiene en cuenta el atributo de obligatoriedad (que se describe ms abajo). Para obtener ms informacin general acerca del procesamiento de vnculos de GPO y su precedencia, incluido el orden de procesamiento predeterminado, vea Procesamiento y precedencia de directivas de grupo. Es posible controlar an ms la precedencia y el modo en que los vnculos de GPO se aplican en determinados dominios, sitios o unidades organizativas de las formas siguientes: Cambiar el orden de los vnculos.

Dentro de cada dominio, sitio o unidad organizativa, el orden de los vnculos determina cundo se aplican. Para cambiar la precedencia de un vnculo puede cambiar el orden de los vnculos, desplazando cada uno hacia arriba o hacia abajo en la lista hasta la ubicacin deseada. El vnculo con mayor orden (donde 1 es el orden mximo) tiene la mxima precedencia para un sitio, dominio o unidad organizativa determinados. Por ejemplo, si agrega seis vnculos de GPO y posteriormente decide que el ltimo que ha agregado debe tener la mxima precedencia, puede desplazar ese vnculo a la primera posicin de la lista. Bloquear la herencia de directivas de grupo. Es posible bloquear la herencia de directivas de grupo en un dominio o en una unidad organizativa. Con el bloqueo de la herencia se impide que los GPO vinculados a sitios, dominios o unidades organizativas superiores se hereden automticamente en el nivel secundario. De forma predeterminada, los niveles secundarios heredan todos los GPO del nivel primario, pero en algunas ocasiones resulta til bloquear la herencia. Por ejemplo, si desea aplicar un nico conjunto de directivas a todo un dominio, excepto a una unidad organizativa, puede vincular los GPO necesarios en el nivel de dominio (cuyas directivas heredan todas las unidades organizativas de forma predeterminada) y a continuacin bloquear la herencia nicamente para la unidad organizativa a la que no deben aplicarse esas directivas. Forzar un vnculo de GPO. Para especificar que la configuracin establecida por un vnculo de GPO prevalezca sobre la configuracin de cualquier objeto secundario, puede establecer la opcin Forzado para ese vnculo. Los vnculos de GPO forzados no pueden bloquearse desde el contenedor primario. Sin forzado desde arriba, la configuracin de los vnculos de GPO de mayor nivel (primario) se sobrescribe con la configuracin de los GPO vinculados a unidades organizativas secundarias, en caso de que los GPO especifiquen valores contradictorios. Con el forzado u obligatoriedad, el vnculo de GPO primario siempre prevalece. De forma predeterminada no se fuerzan los vnculos de GPO. En las herramientas anteriores a GPMC, el concepto de "forzado" se denominaba "No reemplazar". Deshabilitar un vnculo de GPO. De forma predeterminada, el procesamiento est habilitado para todos los vnculos de GPO. Para bloquear completamente la aplicacin de un GPO para un sitio, dominio o unidad organizativa determinados, puede deshabilitar el vnculo de GPO para ese dominio, sitio o unidad organizativa. Tenga en cuenta que con ello no se deshabilita el GPO propiamente dicho y que si el GPO est vinculado a otros sitios, dominios o unidades organizativas, stos seguirn procesndolo si sus vnculos estn habilitados. Para obtener ms informacin acerca de estas tareas, vea Controlar el mbito de los objetos de directiva de grupo.

Importante
y

No se pueden bloquear los vnculos de GPO establecidos como forzado (no reemplazar). Las opciones de forzado y bloqueo de herencia deben utilizarse con poca frecuencia. El uso incontrolado de estas caractersticas avanzadas complica la solucin de problemas.

Adems de utilizar vnculos de GPO para aplicar directivas, tambin puede controlar el modo en que se aplican los GPO mediante filtros de seguridad o filtros WMI.