You are on page 1of 21

Guía detallada de uso de la Consola de

administración de Directivas de grupo

En esta guía detallada se ofrecen instrucciones generales sobre cómo usar la Consola de
administración de Directivas de grupo (GPMC) para poder utilizar objetos de Directiva
de grupo en un entorno de Active Directory. En esta guía no se incluyen instrucciones
sobre la implementación de los objetos de Directiva de grupo.

Introducción
Guías detalladas

Las guías detalladas de desarrollo de Windows Server 2003 proporcionan experiencia


práctica para muchas configuraciones de sistemas operativos. Las guías comienzan
estableciendo una infraestructura de red común a través de la instalación de Windows
Server 2003, la configuración de Active Directory®, la instalación de una estación de
trabajo Windows XP Professional y, por último, la incorporación de esta estación de
trabajo a un dominio. Las guías detalladas posteriores asumen que posee esta
infraestructura de red común. Si no desea seguir esta infraestructura de red común,
tendrá que efectuar las modificaciones pertinentes mientras utiliza estas guías.

La infraestructura de red común requiere que se sigan las instrucciones de las guías
siguientes.


Parte I: Instalar Windows Server 2003 como un controlador de dominio
•Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla
a un dominio

Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías
detalladas adicionales. Tenga en cuenta que algunas guías detalladas pueden tener
requisitos previos adicionales además de los requisitos de infraestructura de red común.
Todos los requisitos adicionales se indicarán en la guía detallada específica.

Microsoft Virtual PC

Las guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en


un entorno de laboratorio físico o mediante tecnologías de creación de entornos
virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La
tecnología de máquina virtual permite a los usuarios ejecutar varios sistemas operativos
simultáneamente en un único servidor físico. Virtual PC 2004 y Virtual Server 2005
están diseñados para aumentar la eficacia operativa de las pruebas y desarrollo de
software, la migración de aplicaciones heredadas y los escenarios de consolidación de
servidores.
En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas las
configuraciones se realizarán en un entorno de laboratorio físico, aunque la mayoría de
ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.

La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno


virtual se escapa al alcance de este documento.

Notas importantes

Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo


electrónico, logotipos, personas, lugares y datos mencionados aquí son ficticios. No se
pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones,
nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o
datos reales.

Esta infraestructura común está concebida para su uso en una red privada. El nombre
ficticio de la compañía y el nombre DNS (Sistema de nombres de dominio) utilizados
en la infraestructura común no están registrados para su uso en Internet. No debe utilizar
estos nombres en una red pública ni en Internet.

El objetivo de la estructura del servicio Active Directory para esta infraestructura


común es mostrar cómo funciona la administración de cambios y configuración de
Windows Server 2003 con Active Directory. No se ha diseñado como un modelo para
configurar Active Directory en una organización.

Introducción

La Consola de administración de Directivas de grupo (GPMC) de Microsoft es una


nueva herramienta para la administración de Directivas de grupo que ayuda a los
administradores a administrar una empresa de forma más rentable al mejorar la
capacidad de administración y aumentar la productividad. Consta del nuevo
complemento Microsoft Management Console (MMC) y de un conjunto de interfaces
programables mediante secuencias de comandos.

GPMC simplifica la administración de la Directivas de grupo al proporcionar un único


lugar para administrar aspectos esenciales de la Directiva de grupo. Atiende los
requisitos principales de implementación de la Directiva de grupo exigidos por los
clientes mediante las siguientes funciones.

•Una interfaz de usuario (IU) que simplifica enormemente el uso de la Directiva de


grupo.

Operaciones de copia de seguridad/restauración de objetos de Directiva de grupo.
•Operaciones de importar/exportar y copiar/pegar objetos de Directiva de grupo y filtros
del Instrumental de administración de Windows (WMI).

Administración simplificada de la seguridad relacionada con la Directiva de grupo.
•Informes HTML (Lenguaje de marcado de hipertexto) de la configuración de objetos
de Directiva de grupo y datos del Conjunto resultante de directivas (RSoP).
•Secuencias de comandos de tareas relacionadas con directivas expuestas dentro de esta
herramienta (y no de la configuración de un objeto de Directiva de grupo).

Hasta ahora, los administradores necesitaban utilizar varias herramientas de Microsoft


para administrar la Directiva de grupo, como los complementos Usuarios y equipos de
Active Directory, Sitios y servicios de Active Directory y Conjunto resultante de
directivas. GPMC integra las funciones de Directiva de grupo existentes en estas
herramientas en una única consola unificada con nuevas capacidades.

Una característica integrada en GPMC es la compatibilidad para administrar varios


dominios y bosques, lo que permite a los administradores administrar la Directiva de
grupo de toda la empresa. Los administradores tienen un control total sobre los bosques
y dominios incluidos en GPMC, lo que permite mostrar únicamente las partes
pertinentes de un entorno.

Nota: en esta guía detallada sólo se ofrecen instrucciones sobre el uso de GPMC para
administrar objetos de Directiva de grupo. No se incluyen instrucciones sobre su
configuración. Para obtener información sobre cómo configurar objetos de Directiva de
grupo, consulte la Guía detallada de introducción al conjunto de características de
Directiva de grupo.

Requisitos previos


Parte 1: Instalar Windows Server 2003 como un controlador de dominio

Guía detallada de configuración de controladores de dominio adicionales

Guía detallada de administración de Active Directory

Guía detallada de uso del Asistente para delegación de control
•Guía detallada de introducción al conjunto de características de Directiva de
grupo

Guía detallada de aplicación de directivas de contraseñas seguras

Instalar y configurar GPMC


Instalar GPMC

La instalación de GPMC es un proceso simple que requiere la ejecución de un paquete


de Windows Installer (.MSI). Para descargar la última versión, visite el sitio de
Windows Server System para la administración de Directivas de grupo en
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx (en inglés).
Para instalar la Consola de administración de Directivas de grupo

1.En el servidor HQ-CON-DC-01, desplácese a la carpeta que contiene gpmc.msi,


haga doble clic en el paquete gpmc.msi y, a continuación, haga clic en Siguiente.
2.Haga clic en Acepto para aceptar el Contrato de licencia de usuario final (CLUF) y, a
continuación, haga clic en Siguiente.
3.Haga clic en Finalizar para completar la instalación de GPMC.

Una vez finalizada la instalación, la ficha Directiva de grupo que aparecía en la página
Propiedades de sitios, dominios y unidades organizativas de los complementos de
Active Directory se actualiza con un vínculo directo a GPMC. La funcionalidad que
existía anteriormente en la ficha Directiva de grupo ya no está disponible, puesto que
todas las funciones para administrar la Directiva de grupo están disponibles en GPMC.

Para abrir el complemento GPMC

1.En el servidor HQ-CON-DC-01, haga clic en el botón Inicio, en Ejecutar, escriba


GPMC.msc y, a continuación, haga clic en Aceptar.

Nota: puede utilizar también alguno de los métodos siguientes para ejecutar GPMC.

•Haga clic en el acceso directo Administración de directiva de grupo en la carpeta


Herramientas administrativas en el menú Inicio o en el Panel de control.
•Crear una consola MMC personalizada: haga clic en el botón Inicio y en Ejecutar,
escriba MMC y, a continuación, haga clic en Aceptar. Seleccione Archivo, haga
clic en Agregar o quitar complemento y luego en Agregar. Haga clic para resaltar
Administración de directiva de grupo, haga clic en Agregar, en Cerrar y después
en Aceptar.

Configurar GPMC para varios bosques

Se pueden agregar fácilmente varios bosques al árbol de la consola GPMC. De forma


predeterminada, sólo se puede agregar un bosque a GPMC si existe una relación de
confianza bidireccional con el bosque del usuario que ejecuta GPMC. Puede habilitar de
manera opcional GPMC para que funcione sólo con una relación de confianza
unidireccional o incluso sin que exista ninguna relación de confianza. La incorporación
de un bosque adicional a GPMC se realiza resaltando Administración de directiva de
grupo en la raíz del árbol, seleccionando Acción del menú contextual y haciendo clic
en AddForest. Como el entorno de ejemplo sólo contiene un bosque, la ejecución de
estos pasos se escapa al alcance de esta guía detallada.

Nota: si agrega bosques sin relación de confianza, algunas funciones no estarán


disponibles. Por ejemplo, no estará disponible la característica de creación de modelos
de Directiva de grupo y no será posible abrir el Editor de objetos de Directiva de grupo
para los objetos de Directiva de grupo del bosque sin relación de confianza. El escenario
de bosque sin relación de confianza sirve principalmente para habilitar la copia de
objetos de Directiva de grupo entre bosques.
Administrar varios dominios simultáneamente

GPMC permite administrar varios dominios al mismo tiempo, con cada dominio
agrupado por bosque en la consola. De forma predeterminada, sólo se muestra un
dominio en GPMC. Cuando inicie por primera vez GPMC mediante el complemento
preconfigurado (gpmc.msc) o una consola MMC personalizada, GPMC mostrará el
dominio que contiene la cuenta de usuario utilizada para iniciar GPMC. Puede
especificar dominios en cada uno de los bosques que desee administrar mediante GPMC
agregando o quitando los dominios mostrados en la consola.

Nota: puede agregar dominios con relaciones de confianza externas, aunque no


mantenga una relación de confianza con todo el bosque. De forma predeterminada, debe
haber una relación de confianza bidireccional entre el dominio que desea agregar y el
dominio del objeto de usuario. También puede agregar dominios en una relación de
confianza unidireccional deshabilitando la característica de detección de relaciones de
confianza de GPMC, en el cuadro de diálogo Opciones del menú Ver. Para agregar
dominios con relaciones de confianza externas, primero debe utilizar el cuadro de
diálogo AddForest para agregar un dominio de un bosque que contenga los dominios
con relaciones de confianza externas. Una vez agregado el bosque, puede agregar todos
los dominios de ese bosque en los que se confíe haciendo clic con el botón secundario
del mouse (ratón) en el nodo Dominios y haciendo clic en Show Domains.

Para agregar el dominio secundario vancouver.contoso.com a la consola

1.En la ventana Administración de directiva de grupo, haga clic en el signo más (+)
situado junto a Bosque:contoso.com para expandir el árbol y, a continuación, haga
clic en el signo más (+) situado junto a Dominios.
2.Haga clic con el botón secundario del mouse en Dominios y, a continuación, haga clic
en Show Domains.
3.Active la casilla de verificación situada junto a vancouver.contoso.com como se
muestra en la Figura 1 y, a continuación, haga clic en Aceptar.

Figura 1. Mostrar dominios


En cada dominio disponible en GPMC, se utiliza el mismo controlador de dominio para
todas las operaciones del dominio. Éstas incluyen todas las operaciones en los objetos
de Directiva de grupo, unidades organizativas, principales de seguridad y filtros de
WMI que residen en ese dominio. Asimismo, cuando el Editor de objetos de Directiva
de grupo se abre desde GPMC, siempre utiliza el mismo controlador de dominio
empleado en GPMC para el dominio donde se encuentra el objeto de Directiva de
grupo.

GPMC permite seleccionar el controlador de dominio que se utiliza para cada dominio.
Tiene cuatro opciones para elegir.


Usar el emulador de controlador de dominio principal (PDC) (opción predeterminada).

Usar cualquier controlador de dominio disponible.
•Usar cualquier controlador de dominio que ejecute un sistema operativo de la familia
Windows Server 2003. Esta opción es útil si va a restaurar un objeto de Directiva de
grupo eliminado que contiene opciones de instalación de software de Directiva de
grupo.

Usar un controlador de dominio específico.

Para cambiar el controlador de dominio utilizado por GPMC para el dominio


vancouver.contoso.com

1.En la ventana Administración de directiva de grupo, en la carpeta Dominios, haga


clic con el botón secundario del mouse en vancouver.contoso.com y, a continuación,
haga clic en Cambiar el controlador de dominio.
2.En el cuadro de diálogo Cambiar el controlador de dominio, haga clic en This
domain controller y, a continuación, haga clic para resaltar hq-con-dc-
03.vancouver.contoso.com como se muestra en la Figura 2. Haga clic en Aceptar
para continuar.

Figura 2. Cambiar controladores de dominio


Administrar objetos de Directiva de grupo
Ver objetos de Directiva de grupo del dominio

En cada dominio GPMC proporciona una vista basada en directivas de Active Directory
y de los componentes asociados a la Directiva de grupo, como objetos de Directiva de
grupo, filtros WMI y vínculos de objetos de Directiva de grupo. La vista de GPMC es
similar a la vista del complemento de MMC Usuarios y equipos de Active Directory en
la que se muestra la jerarquía de unidades organizativas. Sin embargo, GPMC difiere de
este complemento porque en lugar de mostrar usuarios, equipos y grupos en las
unidades organizativas, muestra los objetos de Directiva de grupo que están vinculados
a cada contenedor, así como los propios objetos.

En cada nodo de dominio de GPMC se muestran los siguientes elementos.


Todos los objetos de Directiva de grupo vinculados al dominio.
•Todas las unidades organizativas de nivel superior y una vista de árbol de las unidades
organizativas anidadas y los objetos de Directiva de grupo vinculados a cada unidad
organizativa.
•El contenedor Objetos de Directiva de grupo que muestra todos los objetos de
Directiva de grupo del dominio.

El contenedor Filtros de WMI que muestra todos los filtros de WMI del dominio.

Para ver objetos de Directiva de grupo asociados a un contenedor determinado

1.En el árbol Dominios, haga clic en el árbol contoso.com. Los objetos de Directiva de
grupo asociados al contenedor (la raíz del dominio) aparecen como se muestra en la
Figura 3. Este concepto se puede aplicar a cualquier contenedor de dominio.

Figura 3. Objetos de Directiva de grupo en la raíz del dominio


Para ver todos los objetos de Directiva de grupo asociados a un contenedor
determinado

1.En el árbol Dominios, haga clic en el signo más (+) situado junto a contoso.com y, a
continuación, haga clic en Objetos de Directiva de grupo.
Buscar objetos de Directiva de grupo

Se pueden buscar objetos de Directiva de grupo en el nivel de bosque o de dominio.


Para ajustar los resultados de búsqueda en un conjunto grande de objetos de Directiva
de grupo se pueden utilizar uno o varios parámetros de búsqueda.

Para buscar un objeto de Directiva de grupo específico en el bosque contoso.com


mediante varios parámetros de búsqueda

1.En el árbol de la consola, haga clic con el botón secundario del mouse en
Bosque:contoso.com y, a continuación, haga clic en Buscar.
2.En el cuadro Search item, seleccione Nombre del GPO, escriba Password para
Valor y, a continuación, haga clic en Agregar.
3.En el cuadro Search item, seleccione Configuración del equipo, seleccione
Seguridad para Valor y, a continuación, haga clic en Agregar.
4.Haga clic en Buscar. Los resultados deben ser similares a los que se muestran en la
Figura 4.

Figura 4. Búsqueda de objetos de Directiva de grupo basada en criterios


5.Cuando obtenga los resultados de la búsqueda, puede realizar alguna de las
operaciones siguientes:


Para abrir el objeto de Directiva de grupo y modificarlo, haga clic en Editar.
•Para guardar los resultados de búsqueda, haga clic en Save results. En el cuadro de
diálogo Save GPO Search Results, especifique el nombre del archivo donde desea
guardar los resultados y, a continuación, haga clic en Guardar.
•Para desplazarse a un objeto de Directiva de grupo incluido en la búsqueda, haga
doble clic en el objeto de Directiva de grupo en la lista de resultados de búsqueda.

Para borrar los resultados de búsqueda, haga clic en Borrar.
•Para cerrar el cuadro de diálogo Search for Group Policy Objects, haga clic en
Cerrar.

Definir el ámbito de los objetos de Directiva de grupo

El valor de la Directiva de grupo sólo resulta visible cuando se aplican correctamente


los objetos de Directiva de grupo a los contenedores de Active Directory que desea
administrar. El proceso de determinar qué usuarios y equipos van a recibir la
configuración de un objeto de Directiva de grupo recibe el nombre de “definir el ámbito
del objeto de Directiva de grupo”. El ámbito de un objeto de Directiva de grupo se
define a partir de tres factores.

•Los sitios, los dominios o las unidades organizativas donde el objeto de Directiva
de grupo está vinculado El mecanismo principal utilizado para aplicar la
configuración de un objeto de Directiva de grupo a usuarios y equipos consiste en
vincular el objeto a un sitio, dominio o unidad organizativa en Active Directory. La
ubicación donde el objeto de Directiva de grupo está vinculado se denomina Ámbito
de administración o SOM (también llamada SDOU en notas del producto anteriores).
Hay tres tipos de SOM: sitios, dominios y unidades organizativas. Un objeto de
Directiva de grupo puede estar vinculado a varios SOM y un SOM puede tener varios
objetos de Directiva de grupo vinculados a él. Un objeto de Directiva de grupo debe
estar vinculado a un SOM para que se aplique.
•Los filtros de seguridad del objeto de Directiva de grupo De forma
predeterminada, a todos los usuarios autenticados que se encuentran en el SOM (y sus
nodos secundarios) en el que está vinculado un objeto de Directiva de grupo se les
aplica la configuración del objeto de Directiva de grupo. Puede delimitar aún más qué
usuarios y equipos recibirán la configuración de un objeto de Directiva de grupo
administrando permisos para el objeto de Directiva de grupo. Esto proceso se
denomina filtrado de seguridad. Para que un objeto de Directiva de grupo se aplique a
un usuario o equipo, ese usuario o equipo debe tener los permisos Leer y Aplicar
directiva de grupo sobre el objeto. De manera predeterminada, los objetos de Directiva
de grupo tienen permisos que admiten que el grupo Usuarios autenticados tenga esos
dos permisos. Así es como todos los usuarios autenticados reciben la configuración de
un nuevo objeto de Directiva de grupo cuando está vinculado a un SOM (unidad
organizativa, dominio o sitio). No obstante, estos permisos se pueden cambiar para
limitar el ámbito del objeto de Directiva de grupo a un conjunto específico de usuarios
grupos o equipos incluidos en el SOM donde está vinculado.
•El filtro de WMI para el objeto de Directiva de grupo Los filtros de WMI permiten
que los administradores determinen de forma dinámica el ámbito de los objetos de
Directiva de grupo en función de sus atributos (disponibles en WMI) del equipo de
destino. Un filtro de WMI consta de una o varias consultas contra el repositorio de
WMI del equipo de destino que dan como resultado verdadero o falso. El filtro de
WMI es un objeto independiente del objeto de Directiva de grupo en el directorio. Para
aplicar un filtro de WMI a un objeto de Directiva de grupo, el filtro se vincula al
objeto. Esto se muestra en la sección de filtros de WMI de la ficha Ámbito de un
objeto de Directiva de grupo. Cada objeto de Directiva de grupo sólo puede tener un
filtro de WMI, pero el mismo filtro de WMI puede estar vinculado a varios objetos de
Directiva de grupo. Cuando un objeto de Directiva de grupo que está vinculado a un
filtro de WMI se aplica al equipo de destino, el filtro se evalúa en dicho equipo. Si el
filtro de WMI da como resultado falso, el objeto de Directiva de grupo no se aplica. Si
da como resultado verdadero, el objeto de Directiva de grupo se aplica.

Para definir el ámbito del objeto Directiva de contraseñas del dominio incluido en
la búsqueda anterior

1.En el panel de resultados Search for Group Policy Objects, haga doble clic en
Directiva de contraseñas del dominio y, a continuación, haga clic en Cerrar.

Nota: cuando se cierra el cuadro de diálogo Search for Group Policy Objects, el
foco pasa al objeto de Directiva de grupo anteriormente seleccionado en GPMC.
Aparecerá la página GPO Scope, que se muestra en la Figura 5.

Figura 5. Definir el ámbito de un objeto de Directiva de grupo


Para ver las directivas que aplica un objeto de Directiva de grupo

1.En el panel de resultados Directiva de contraseñas del dominio, haga clic en la ficha
Configuración y luego en Show All. Aparecerá un resumen de todas las opciones de
directiva definidas, como se muestra en la Figura 6. Las opciones no definidas no se
muestran.

Figura 6. Ver la configuración del objeto de Directiva de grupo


Herencia y orden de los vínculos de las directivas de objetos de Directiva de grupo

En la ficha Group Policy Inheritance para un contenedor dado se muestran todos los
objetos de Directiva de grupo (salvo aquéllos vinculados a sitios) que heredan la
configuración de los contenedores principales. En la columna de prioridad de esta ficha
se muestra la prioridad general de todos los vínculos que se aplican a objetos de ese
contenedor, teniendo en cuenta el atributo Orden de vínculos y Obligatoriedad de cada
vínculo, así como el valor de Bloquear la herencia.

Para ver la herencia de directivas en un contenedor

1.En la ventana Administración de directiva de grupo, bajo el árbol contoso.com,


expanda la unidad organizativa Cuentas y, a continuación, haga clic en la unidad
organizativa Oficinas centrales, como se muestra en la Figura 7.

Figura 7. Herencia de Directivas de grupo

Si varios objetos de Directiva de grupo están vinculado al mismo contenedor y tienen


opciones en común, debe haber un mecanismo que reconcilie la configuración. Este
comportamiento se controla mediante el orden de vínculos. Cuanto menor sea el número
de orden de un vínculo, más prioridad tendrá. La información sobre los vínculos de un
contenedor determinado se muestra en la ficha Linked Group Policy Objects del
contenedor. En este panel se indica si el vínculo es obligatorio, si está habilitado, el
estado del objeto de Directiva de grupo, si se aplica un filtro de WMI, cuándo se ha
modificado y el contenedor de dominio donde está almacenado. Los administradores o
usuarios que tengan permisos delegados para vincular objetos de Directiva de grupo al
contenedor pueden cambiar el orden de los vínculos resaltando un vínculo de objeto de
Directiva de grupo y utilizando las teclas de dirección arriba y abajo para subir o bajar
el vínculo en la lista.

Para cambiar el orden de los vínculos de directiva en un contenedor

1.En la pantalla Oficinas centrales, haga clic en Linked Group Policy Objects.
2.En la columna GPO, haga clic en Directivas vinculadas y, después, haga clic en la
flecha arriba situada justo a la izquierda de la columna Orden de vínculos. Cuando
termine, el orden de vinculación de los objetos de Directiva de grupo bajo la unidad
organizativa Oficinas centrales aparecerá como se muestra en la Figura 8.

Figura 8. Orden de vínculos del objeto de Directiva de grupo

Hacer una copia de seguridad, restaurar, copiar e importar objetos de


Directiva de grupo
Hacer una copia de seguridad de un objeto de Directiva de grupo

Cuando se hace una copia de seguridad de un objeto de Directiva de grupo se copian los
datos del objeto en el sistema de archivos. La función de copia de seguridad sirve
también como utilidad de exportación para los objetos de Directiva de grupo. Se puede
utilizar una copia de seguridad de un objeto de Directiva de grupo para restablecerlo al
estado de copia de seguridad o para importar la configuración de la copia de seguridad a
otro objeto de Directiva de grupo.
Al hacer una copia de seguridad de un objeto de Directiva de grupo se guarda en el
sistema de archivos toda la información almacenada en el interior del objeto. Esta
información es la siguiente:

•El identificador único global (GUID) del objeto de Directiva de grupo y la


configuración del objeto en el dominio

La lista de control de acceso discrecional (DACL) del objeto de Directiva de grupo

El vínculo del filtro de WMI, si hay alguno, pero no el filtro en sí

Los vínculos a directivas de seguridad IP, si existe alguno
•El informe XML (Lenguaje de marcado extensible) de la configuración del objeto de
Directiva de grupo, que se puede consultar como HTML desde GPMC

La marca de fecha y hora de la copia de seguridad

La descripción especificada por el usuario de la copia de seguridad

Al hacer una copia de seguridad de un objeto de Directiva de grupo sólo se guardan los
datos almacenados dentro del objeto. Los datos almacenados fuera del objeto son los
siguientes:


Los vínculos a un sitio, dominio o unidad organizativa

Los filtros de WMI

La directiva de seguridad IP

Estos datos no están disponibles cuando se restaura la copia de seguridad al objeto de


Directiva de grupo original o cuando se importa a un nuevo objeto.

Para hacer una copia de seguridad del objeto Directiva de contraseñas del dominio

1.En la ventana Administración de directiva de grupo, bajo el árbol contoso.com,


haga clic en la carpeta Objetos de Directiva de grupo.
2.En la carpeta Objetos de Directiva de grupo, haga clic con el botón secundario del
mouse en el objeto de Directiva de grupo Directiva de contraseñas del dominio y, a
continuación, haga clic en Back Up.
3.En el cuadro de diálogo Back Up Group Policy Object, escriba c:\windows para
Ubicación, escriba Copia de seguridad de la directiva de contraseñas del dominio
para Descripción y, después, haga clic en Back Up.
4.Una vez realizada la copia de seguridad, haga clic en Aceptar para continuar.
Administrar copias de seguridad

En la misma ubicación del sistema de archivos se pueden almacenar varias copias de


seguridad del mismo o de otro objeto de Directiva de grupo. Cada copia de seguridad se
identifica mediante un identificador de copia de seguridad exclusivo. El grupo de copias
de seguridad de una ubicación del sistema de archivos determinada se puede administrar
con el cuadro de diálogo Manage Backups de GPMC o mediante interfaces
programables con secuencias de comandos. El cuadro de diálogo Manage Backups está
disponible haciendo clic con el botón secundario del mouse en el nodo Dominio o en el
nodo Objetos de Directiva de grupo de un determinado dominio. Cuando se abre
Manage Backups desde el nodo Objetos de Directiva de grupo, la vista se filtra
automáticamente para que sólo aparezcan las copias de seguridad de los objetos de
Directiva de grupo de ese dominio. Cuando se abre desde el nodo Dominio, en el cuadro
de diálogo Manage Backups se muestran todas las copias de seguridad, sean del
dominio que sean.

Para administrar las copias de seguridad de objetos de Directiva de grupo


disponibles

1.En la ventana Administración de directiva de grupo, bajo el árbol contoso.com,


haga clic con el botón secundario del mouse en la carpeta Objetos de Directiva de
grupo y, a continuación, haga clic en Manage Backups. La ventana Manage Backups
debe tener un aspecto similar al de la Figura 9.

Figura 9. Administrar copias de seguridad


2.En la ventana Manage Backups, haga clic para resaltar la Copia de seguridad de la
directiva de contraseñas del dominio creada anteriormente y, después, haga clic en
Ver configuración.
3.Revise la información detallada sobre el objeto de Directiva de grupo y, a
continuación, cierre Internet Explorer.

Restaurar una copia de seguridad

Cuando se restaura un objeto de Directiva de grupo se vuelve a crear el objeto a partir


de los datos incluidos en la copia de seguridad. Una operación de restauración se puede
utilizar en las siguientes circunstancias: se ha hecho una copia de seguridad del objeto
de Directiva de grupo pero se ha eliminado, o el objeto de Directiva de grupo está activo
pero desea restablecerlo a un estado anterior conocido. Una operación de restauración
reemplaza los siguientes componentes de un objeto de Directiva de grupo.


La configuración del objeto

La lista DACL del objeto

Los vínculos de filtro de WMI (pero no los propios filtros)

La operación de restauración no restaura objetos que no forman parte del objeto de


Directiva de grupo. Estos objetos incluyen vínculos a un sitio, dominio o unidad
organizativa, filtros de WMI y directivas IPSec.

Para restaurar el objeto Directiva de contraseñas del dominio

1.En la ventana Manage Backups, haga clic en Restore.


2.Cuando se le indique, haga clic en Aceptar para restaurar la copia de seguridad
seleccionada.
3.Haga clic en Aceptar cuando termine la restauración del objeto de Directiva de grupo.
4.En el cuadro de diálogo Manage Backups, haga clic en Cerrar.

Copiar un objeto de Directiva de grupo

La operación de copia permite transferir la configuración de un objeto de Directiva de


grupo existente en Active Directory a un nuevo objeto de Directiva de grupo. El nuevo
objeto de Directiva de grupo creado durante la operación de copia recibe un nuevo
GUID y está desvinculado. Puede utilizar una operación de copia para transferir la
configuración a un nuevo objeto de Directiva de grupo del mismo dominio, de otro
dominio del mismo bosque o de un dominio de otro bosque. Como la operación de
copia utiliza un objeto de Directiva de grupo existente en Active Directory como su
origen, se requiere una relación de confianza entre los dominios de origen y de destino.
Las operaciones de copia sirven para mover la Directiva de grupo de un entorno de
producción a otro. Se utilizan también para migrar una Directiva de grupo que se ha
probado en un dominio o bosque de prueba a un entorno de producción, siempre que
exista una relación de confianza entre los dominios de origen y de destino.

Para copiar un objeto de Directiva de grupo

1.En el árbol contoso.com de la carpeta Objetos de Directiva de grupo, haga clic con
el botón secundario del mouse en el objeto de Directiva de grupo Directivas de
usuario forzadas y, después, haga clic en Copiar.
2.Haga clic en el signo más (+) situado junto a vancouver.contoso.com para expandir
el dominio y, después, haga clic en el signo más (+) situado junto a Objetos de
Directiva de grupo para expandir el árbol.
3.Haga clic con el botón secundario del mouse en Objetos de Directiva de grupo y, a
continuación, haga clic en Pegar.
4.En Cross-Domain Copying Wizard, haga clic en Siguiente para continuar.
5.En la pantalla Specify Permissions, seleccione Use the default permissions for new
GPOs (opción predeterminada) como se muestra en la Figura 10 y, a continuación,
haga clic en Siguiente.

Figura 10. Asistente para copiar entre dominios


6.Una vez analizado el objeto de Directiva de grupo original, haga clic en Siguiente
para continuar.
7.En la pantalla Completing the Cross-Domain Copying Wizard, confirme la
configuración y, a continuación, haga clic en Finalizar.
8.Cuando termine la operación de copia, haga clic en Aceptar.

Nota: el objeto de Directiva de grupo Directivas de usuario forzadas se ha copiado al


dominio vancouver.contoso.com, pero no se ha desvinculado del contenedor.

Para vincular el objeto Directivas de usuario forzadas a la raíz de


vancouver.contoso.com
1.Haga clic con el botón secundario del mouse en vancouver.contoso.com, haga clic en
Link an Existing GPO, haga clic para resaltar Directivas de usuario forzadas y, a
continuación, haga clic en Aceptar.
Importar un objeto de Directiva de grupo

La operación de importación transfiere la configuración a un objeto de Directiva de


grupo existente en Active Directory mediante un objeto de Directiva de grupo de copia
de seguridad en la ubicación del sistema de archivos como origen. Las operaciones de
importación sirven para transferir la configuración de un objeto de Directiva de grupo a
otro en el mismo dominio, en otro dominio del mismo bosque o en un dominio de un
bosque diferente. La operación de importación siempre aplica la configuración de la
copia de seguridad a un objeto de Directiva de grupo existente. Borra cualquier
configuración que exista previamente en el objeto de Directiva de grupo de destino. La
importación no requiere una relación de confianza entre el dominio de origen y el de
destino; por tanto, sirve para transferir la configuración entre bosques y dominios que
no tiene relaciones de confianza. La importación de la configuración a un objeto de
Directiva de grupo no afecta a sus DACL, vínculos en sitios, dominios o unidades
organizativas a ese objeto o vínculos a un filtro de WMI.

Para importar la Directiva de contraseñas del dominio de contoso.com a la de


vancouver.contoso.com

1.En la ventana Administración de directiva de grupo, haga clic con el botón


secundario del mouse en vancouver.contoso.com y, después, haga clic en Create
and Link a GPO here.
2.En el cuadro de diálogo New GPO, escriba Directiva de contraseñas del dominio
para Nombre y, a continuación, haga clic en Aceptar.
3.En Objetos de Directiva de grupo del árbol vancouver.contoso.com, haga clic con
el botón secundario del mouse en el objeto de Directiva de grupo Directiva de
contraseñas del dominio y, después, haga clic en Importar configuración.
4.En Import Settings Wizard, haga clic en Siguiente para continuar.
5.En la pantalla Backup GPO, haga clic en Siguiente para continuar sin realizar una
copia de seguridad, ya que el objeto de Directiva de grupo no tiene actualmente
definiciones de directiva.
6.Acepte la carpeta de copia de seguridad predeterminada, c:\windows, y, a
continuación, haga clic en Siguiente para continuar.
7.Como la Directiva de contraseñas del dominio es la única copia de seguridad actual,
está seleccionada de forma predeterminada. Haga clic en Siguiente para empezar a
importar la configuración de este objeto de Directiva de grupo.
8.Haga clic en Siguiente cuando se analicen los principales de seguridad del objeto de
Directiva de grupo y, después, haga clic en Finalizar.
9.Cuando concluya el Import Settings Wizard, haga clic en Aceptar.
Para comprobar la Directiva de contraseñas del dominio de
vancouver.contoso.com

1.En Objetos de Directiva de grupo del árbol vancouver.contoso.com, haga clic en el


objeto de Directiva de grupo Directiva de contraseñas del dominio y, después, haga
clic en Show All en el panel de resultados. La configuración debe ser idéntica a la que
se muestra en la Figura 11.

Figura 11. Directiva de contraseñas del dominio de vancouver.contoso.com

Creación de modelos de objetos de Directiva de grupo


Modelos de Directiva de grupo

Los modelos de Directiva de grupo son una simulación de lo que ocurriría en


circunstancias especificadas por un administrador. Requiere que exista al menos un
controlador de dominio que ejecute Windows Server 2003, ya que esta simulación se
ejecuta mediante un servicio que se ejecuta en un controlador de dominio con Windows
Server 2003.

Con los modelos de Directiva de grupo, puede simular los datos de RSoP que se
aplicarían a una configuración existente, o puede realizar análisis condicionales
simulando cambios hipotéticos en el entorno de directorio y calculando el RSoP de esa
configuración hipotética. Por ejemplo, puede simular cambios en la pertenencia a
grupos de seguridad, o cambios en la ubicación del objeto de usuario o equipo en Active
Directory. Fuera de GPMC, los modelos de Directiva de grupo reciben el nombre de
RSoP - modo de planeamiento.
Para simular el efecto de objetos de Directiva de grupo

1.En la ventana Administración de directiva de grupo, haga clic en el signo menos (-)
situado junto a Dominios para contraer el árbol.
2.En el árbol Bosque: contoso.com, haga clic con el botón secundario del mouse en
Group Policy Modeling y, a continuación, haga clic en Group Policy Modeling
Wizard.
3.En la pantalla Group Policy Modeling Wizard, haga clic en Siguiente.
4.En la pantalla Domain Controller Selection, deje la configuración predeterminada y
haga clic en Siguiente.
5.En la pantalla Selección de equipo y usuario, bajo Información de usuario, haga
clic en Usuario. Haga clic en Examinar, escriba Christine bajo Enter object name
to select y, a continuación, haga clic en Aceptar. Active la casilla de verificación Ir
directamente a la última página de este asistente sin recoger más información y,
después, haga clic en Siguiente. La configuración debe ser similar a la que se muestra
en la Figura 12.

Figura 12. Asistente para crear modelos de Directiva de grupo


6.En la pantalla Resumen de las selecciones, haga clic en Siguiente para iniciar la
simulación.
7.Haga clic en Finalizar. El panel de la derecha contendrá los resultados de la
simulación.
Recursos adicionales

Para obtener más información, consulte los siguientes recursos:

•Descargar la Consola de administración de Directivas de grupo con el Service Pack 1


en http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-
4B35-9272-DD3CBFC81887&displaylang=en (en inglés)
•Notas del producto Administrar la Directiva de grupo con GPMC en
http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx (en inglés)
•Para obtener la información más reciente sobre Windows Server 2003, visite el sitio
Web de Windows Server 2003 en http://www.microsoft.com/windowsserver2003

Editado a pdf por Black Empires

You might also like