Professional Documents
Culture Documents
En esta guía detallada se ofrecen instrucciones generales sobre cómo usar la Consola de
administración de Directivas de grupo (GPMC) para poder utilizar objetos de Directiva
de grupo en un entorno de Active Directory. En esta guía no se incluyen instrucciones
sobre la implementación de los objetos de Directiva de grupo.
Introducción
Guías detalladas
La infraestructura de red común requiere que se sigan las instrucciones de las guías
siguientes.
•
Parte I: Instalar Windows Server 2003 como un controlador de dominio
•Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla
a un dominio
Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías
detalladas adicionales. Tenga en cuenta que algunas guías detalladas pueden tener
requisitos previos adicionales además de los requisitos de infraestructura de red común.
Todos los requisitos adicionales se indicarán en la guía detallada específica.
Microsoft Virtual PC
Notas importantes
Esta infraestructura común está concebida para su uso en una red privada. El nombre
ficticio de la compañía y el nombre DNS (Sistema de nombres de dominio) utilizados
en la infraestructura común no están registrados para su uso en Internet. No debe utilizar
estos nombres en una red pública ni en Internet.
Introducción
Nota: en esta guía detallada sólo se ofrecen instrucciones sobre el uso de GPMC para
administrar objetos de Directiva de grupo. No se incluyen instrucciones sobre su
configuración. Para obtener información sobre cómo configurar objetos de Directiva de
grupo, consulte la Guía detallada de introducción al conjunto de características de
Directiva de grupo.
Requisitos previos
•
Parte 1: Instalar Windows Server 2003 como un controlador de dominio
•
Guía detallada de configuración de controladores de dominio adicionales
•
Guía detallada de administración de Active Directory
•
Guía detallada de uso del Asistente para delegación de control
•Guía detallada de introducción al conjunto de características de Directiva de
grupo
•
Guía detallada de aplicación de directivas de contraseñas seguras
Una vez finalizada la instalación, la ficha Directiva de grupo que aparecía en la página
Propiedades de sitios, dominios y unidades organizativas de los complementos de
Active Directory se actualiza con un vínculo directo a GPMC. La funcionalidad que
existía anteriormente en la ficha Directiva de grupo ya no está disponible, puesto que
todas las funciones para administrar la Directiva de grupo están disponibles en GPMC.
Nota: puede utilizar también alguno de los métodos siguientes para ejecutar GPMC.
GPMC permite administrar varios dominios al mismo tiempo, con cada dominio
agrupado por bosque en la consola. De forma predeterminada, sólo se muestra un
dominio en GPMC. Cuando inicie por primera vez GPMC mediante el complemento
preconfigurado (gpmc.msc) o una consola MMC personalizada, GPMC mostrará el
dominio que contiene la cuenta de usuario utilizada para iniciar GPMC. Puede
especificar dominios en cada uno de los bosques que desee administrar mediante GPMC
agregando o quitando los dominios mostrados en la consola.
1.En la ventana Administración de directiva de grupo, haga clic en el signo más (+)
situado junto a Bosque:contoso.com para expandir el árbol y, a continuación, haga
clic en el signo más (+) situado junto a Dominios.
2.Haga clic con el botón secundario del mouse en Dominios y, a continuación, haga clic
en Show Domains.
3.Active la casilla de verificación situada junto a vancouver.contoso.com como se
muestra en la Figura 1 y, a continuación, haga clic en Aceptar.
GPMC permite seleccionar el controlador de dominio que se utiliza para cada dominio.
Tiene cuatro opciones para elegir.
•
Usar el emulador de controlador de dominio principal (PDC) (opción predeterminada).
•
Usar cualquier controlador de dominio disponible.
•Usar cualquier controlador de dominio que ejecute un sistema operativo de la familia
Windows Server 2003. Esta opción es útil si va a restaurar un objeto de Directiva de
grupo eliminado que contiene opciones de instalación de software de Directiva de
grupo.
•
Usar un controlador de dominio específico.
En cada dominio GPMC proporciona una vista basada en directivas de Active Directory
y de los componentes asociados a la Directiva de grupo, como objetos de Directiva de
grupo, filtros WMI y vínculos de objetos de Directiva de grupo. La vista de GPMC es
similar a la vista del complemento de MMC Usuarios y equipos de Active Directory en
la que se muestra la jerarquía de unidades organizativas. Sin embargo, GPMC difiere de
este complemento porque en lugar de mostrar usuarios, equipos y grupos en las
unidades organizativas, muestra los objetos de Directiva de grupo que están vinculados
a cada contenedor, así como los propios objetos.
•
Todos los objetos de Directiva de grupo vinculados al dominio.
•Todas las unidades organizativas de nivel superior y una vista de árbol de las unidades
organizativas anidadas y los objetos de Directiva de grupo vinculados a cada unidad
organizativa.
•El contenedor Objetos de Directiva de grupo que muestra todos los objetos de
Directiva de grupo del dominio.
•
El contenedor Filtros de WMI que muestra todos los filtros de WMI del dominio.
1.En el árbol Dominios, haga clic en el árbol contoso.com. Los objetos de Directiva de
grupo asociados al contenedor (la raíz del dominio) aparecen como se muestra en la
Figura 3. Este concepto se puede aplicar a cualquier contenedor de dominio.
1.En el árbol Dominios, haga clic en el signo más (+) situado junto a contoso.com y, a
continuación, haga clic en Objetos de Directiva de grupo.
Buscar objetos de Directiva de grupo
1.En el árbol de la consola, haga clic con el botón secundario del mouse en
Bosque:contoso.com y, a continuación, haga clic en Buscar.
2.En el cuadro Search item, seleccione Nombre del GPO, escriba Password para
Valor y, a continuación, haga clic en Agregar.
3.En el cuadro Search item, seleccione Configuración del equipo, seleccione
Seguridad para Valor y, a continuación, haga clic en Agregar.
4.Haga clic en Buscar. Los resultados deben ser similares a los que se muestran en la
Figura 4.
•
Para abrir el objeto de Directiva de grupo y modificarlo, haga clic en Editar.
•Para guardar los resultados de búsqueda, haga clic en Save results. En el cuadro de
diálogo Save GPO Search Results, especifique el nombre del archivo donde desea
guardar los resultados y, a continuación, haga clic en Guardar.
•Para desplazarse a un objeto de Directiva de grupo incluido en la búsqueda, haga
doble clic en el objeto de Directiva de grupo en la lista de resultados de búsqueda.
•
Para borrar los resultados de búsqueda, haga clic en Borrar.
•Para cerrar el cuadro de diálogo Search for Group Policy Objects, haga clic en
Cerrar.
•Los sitios, los dominios o las unidades organizativas donde el objeto de Directiva
de grupo está vinculado El mecanismo principal utilizado para aplicar la
configuración de un objeto de Directiva de grupo a usuarios y equipos consiste en
vincular el objeto a un sitio, dominio o unidad organizativa en Active Directory. La
ubicación donde el objeto de Directiva de grupo está vinculado se denomina Ámbito
de administración o SOM (también llamada SDOU en notas del producto anteriores).
Hay tres tipos de SOM: sitios, dominios y unidades organizativas. Un objeto de
Directiva de grupo puede estar vinculado a varios SOM y un SOM puede tener varios
objetos de Directiva de grupo vinculados a él. Un objeto de Directiva de grupo debe
estar vinculado a un SOM para que se aplique.
•Los filtros de seguridad del objeto de Directiva de grupo De forma
predeterminada, a todos los usuarios autenticados que se encuentran en el SOM (y sus
nodos secundarios) en el que está vinculado un objeto de Directiva de grupo se les
aplica la configuración del objeto de Directiva de grupo. Puede delimitar aún más qué
usuarios y equipos recibirán la configuración de un objeto de Directiva de grupo
administrando permisos para el objeto de Directiva de grupo. Esto proceso se
denomina filtrado de seguridad. Para que un objeto de Directiva de grupo se aplique a
un usuario o equipo, ese usuario o equipo debe tener los permisos Leer y Aplicar
directiva de grupo sobre el objeto. De manera predeterminada, los objetos de Directiva
de grupo tienen permisos que admiten que el grupo Usuarios autenticados tenga esos
dos permisos. Así es como todos los usuarios autenticados reciben la configuración de
un nuevo objeto de Directiva de grupo cuando está vinculado a un SOM (unidad
organizativa, dominio o sitio). No obstante, estos permisos se pueden cambiar para
limitar el ámbito del objeto de Directiva de grupo a un conjunto específico de usuarios
grupos o equipos incluidos en el SOM donde está vinculado.
•El filtro de WMI para el objeto de Directiva de grupo Los filtros de WMI permiten
que los administradores determinen de forma dinámica el ámbito de los objetos de
Directiva de grupo en función de sus atributos (disponibles en WMI) del equipo de
destino. Un filtro de WMI consta de una o varias consultas contra el repositorio de
WMI del equipo de destino que dan como resultado verdadero o falso. El filtro de
WMI es un objeto independiente del objeto de Directiva de grupo en el directorio. Para
aplicar un filtro de WMI a un objeto de Directiva de grupo, el filtro se vincula al
objeto. Esto se muestra en la sección de filtros de WMI de la ficha Ámbito de un
objeto de Directiva de grupo. Cada objeto de Directiva de grupo sólo puede tener un
filtro de WMI, pero el mismo filtro de WMI puede estar vinculado a varios objetos de
Directiva de grupo. Cuando un objeto de Directiva de grupo que está vinculado a un
filtro de WMI se aplica al equipo de destino, el filtro se evalúa en dicho equipo. Si el
filtro de WMI da como resultado falso, el objeto de Directiva de grupo no se aplica. Si
da como resultado verdadero, el objeto de Directiva de grupo se aplica.
Para definir el ámbito del objeto Directiva de contraseñas del dominio incluido en
la búsqueda anterior
1.En el panel de resultados Search for Group Policy Objects, haga doble clic en
Directiva de contraseñas del dominio y, a continuación, haga clic en Cerrar.
Nota: cuando se cierra el cuadro de diálogo Search for Group Policy Objects, el
foco pasa al objeto de Directiva de grupo anteriormente seleccionado en GPMC.
Aparecerá la página GPO Scope, que se muestra en la Figura 5.
1.En el panel de resultados Directiva de contraseñas del dominio, haga clic en la ficha
Configuración y luego en Show All. Aparecerá un resumen de todas las opciones de
directiva definidas, como se muestra en la Figura 6. Las opciones no definidas no se
muestran.
En la ficha Group Policy Inheritance para un contenedor dado se muestran todos los
objetos de Directiva de grupo (salvo aquéllos vinculados a sitios) que heredan la
configuración de los contenedores principales. En la columna de prioridad de esta ficha
se muestra la prioridad general de todos los vínculos que se aplican a objetos de ese
contenedor, teniendo en cuenta el atributo Orden de vínculos y Obligatoriedad de cada
vínculo, así como el valor de Bloquear la herencia.
1.En la pantalla Oficinas centrales, haga clic en Linked Group Policy Objects.
2.En la columna GPO, haga clic en Directivas vinculadas y, después, haga clic en la
flecha arriba situada justo a la izquierda de la columna Orden de vínculos. Cuando
termine, el orden de vinculación de los objetos de Directiva de grupo bajo la unidad
organizativa Oficinas centrales aparecerá como se muestra en la Figura 8.
Cuando se hace una copia de seguridad de un objeto de Directiva de grupo se copian los
datos del objeto en el sistema de archivos. La función de copia de seguridad sirve
también como utilidad de exportación para los objetos de Directiva de grupo. Se puede
utilizar una copia de seguridad de un objeto de Directiva de grupo para restablecerlo al
estado de copia de seguridad o para importar la configuración de la copia de seguridad a
otro objeto de Directiva de grupo.
Al hacer una copia de seguridad de un objeto de Directiva de grupo se guarda en el
sistema de archivos toda la información almacenada en el interior del objeto. Esta
información es la siguiente:
Al hacer una copia de seguridad de un objeto de Directiva de grupo sólo se guardan los
datos almacenados dentro del objeto. Los datos almacenados fuera del objeto son los
siguientes:
•
Los vínculos a un sitio, dominio o unidad organizativa
•
Los filtros de WMI
•
La directiva de seguridad IP
Para hacer una copia de seguridad del objeto Directiva de contraseñas del dominio
•
La configuración del objeto
•
La lista DACL del objeto
•
Los vínculos de filtro de WMI (pero no los propios filtros)
1.En el árbol contoso.com de la carpeta Objetos de Directiva de grupo, haga clic con
el botón secundario del mouse en el objeto de Directiva de grupo Directivas de
usuario forzadas y, después, haga clic en Copiar.
2.Haga clic en el signo más (+) situado junto a vancouver.contoso.com para expandir
el dominio y, después, haga clic en el signo más (+) situado junto a Objetos de
Directiva de grupo para expandir el árbol.
3.Haga clic con el botón secundario del mouse en Objetos de Directiva de grupo y, a
continuación, haga clic en Pegar.
4.En Cross-Domain Copying Wizard, haga clic en Siguiente para continuar.
5.En la pantalla Specify Permissions, seleccione Use the default permissions for new
GPOs (opción predeterminada) como se muestra en la Figura 10 y, a continuación,
haga clic en Siguiente.
Con los modelos de Directiva de grupo, puede simular los datos de RSoP que se
aplicarían a una configuración existente, o puede realizar análisis condicionales
simulando cambios hipotéticos en el entorno de directorio y calculando el RSoP de esa
configuración hipotética. Por ejemplo, puede simular cambios en la pertenencia a
grupos de seguridad, o cambios en la ubicación del objeto de usuario o equipo en Active
Directory. Fuera de GPMC, los modelos de Directiva de grupo reciben el nombre de
RSoP - modo de planeamiento.
Para simular el efecto de objetos de Directiva de grupo
1.En la ventana Administración de directiva de grupo, haga clic en el signo menos (-)
situado junto a Dominios para contraer el árbol.
2.En el árbol Bosque: contoso.com, haga clic con el botón secundario del mouse en
Group Policy Modeling y, a continuación, haga clic en Group Policy Modeling
Wizard.
3.En la pantalla Group Policy Modeling Wizard, haga clic en Siguiente.
4.En la pantalla Domain Controller Selection, deje la configuración predeterminada y
haga clic en Siguiente.
5.En la pantalla Selección de equipo y usuario, bajo Información de usuario, haga
clic en Usuario. Haga clic en Examinar, escriba Christine bajo Enter object name
to select y, a continuación, haga clic en Aceptar. Active la casilla de verificación Ir
directamente a la última página de este asistente sin recoger más información y,
después, haga clic en Siguiente. La configuración debe ser similar a la que se muestra
en la Figura 12.