usar la consola de administración de directivas de grupo (gpmc) en un entorno de active directory...

Haga clic aquí para instalar Silverlight Latinoamérica Cambiar | Todos los sitios de Microsoft

Home | Suscríbase | Descarga | Contáctenos | Simplified

Inicio

Biblioteca

Entrenamiento

Descarga

Soporte

Comunidad

Seguridad

TechCenters Más Populares

Aceleradores de Soluciones

Adminitración de Sistemas

Windows

Medianas Empresas

Office

Servidores

Evaluación de Software

Guía detallada de uso de la Consola de administración deDirectivas de grupoPublicado: septiembre 17, aaaa

En esta guía detallada se ofrecen instrucciones generales sobre cómo usar la Consola deadministración de Directivas de grupo (GPMC) para poder utilizar objetos de Directiva de grupoen un entorno de Active Directory. En esta guía no se incluyen instrucciones sobre laimplementación de los objetos de Directiva de grupo.

En esta página

Introducción

Introducción

Instalar y configurar GPMC

Administrar objetos de Directiva de grupo

Hacer una copia de seguridad, restaurar, copiar e importar objetos de Directiva de grupo

Creación de modelos de objetos de Directiva de grupo

Recursos adicionales

Introducción

Guías detalladasLas guías detalladas de desarrollo de Windows Server 2003 proporcionan experiencia prácticapara muchas configuraciones de sistemas operativos. Las guías comienzan estableciendo unainfraestructura de red común a través de la instalación de Windows Server 2003, la

configuración de Active Directory®, la instalación de una estación de trabajo Windows XPProfessional y, por último, la incorporación de esta estación de trabajo a un dominio. Las guíasdetalladas posteriores asumen que posee esta infraestructura de red común. Si no desea seguiresta infraestructura de red común, tendrá que efectuar las modificaciones pertinentes mientrasutiliza estas guías.

La infraestructura de red común requiere que se sigan las instrucciones de las guías siguientes.

• Parte I: Instalar Windows Server 2003 como un controlador de dominio

• Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a undominio

Una vez configurada la infraestructura de red común, pueden utilizarse todas las guíasdetalladas adicionales. Tenga en cuenta que algunas guías detalladas pueden tener requisitosprevios adicionales además de los requisitos de infraestructura de red común. Todos losrequisitos adicionales se indicarán en la guía detallada específica.

Microsoft Virtual PCLas guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en unentorno de laboratorio físico o mediante tecnologías de creación de entornos virtuales comoMicrosoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnología de máquina virtualpermite a los usuarios ejecutar varios sistemas operativos simultáneamente en un únicoservidor físico. Virtual PC 2004 y Virtual Server 2005 están diseñados para aumentar la eficaciaoperativa de las pruebas y desarrollo de software, la migración de aplicaciones heredadas y losescenarios de consolidación de servidores.

En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas lasconfiguraciones se realizarán en un entorno de laboratorio físico, aunque la mayoría de ellas sepueden aplicar a un entorno virtual sin necesidad de modificarlas.

La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno virtual seescapa al alcance de este documento.

Notas importantesLas compañías, organizaciones, productos, nombres de dominio, direcciones de correoelectrónico, logotipos, personas, lugares y datos mencionados aquí son ficticios. No se pretende

Buscar Microsoft.com

Usar la Consola de administración de Directivas de grupo (GPMC) en u... http://www.microsoft.com/latam/technet/productos/windows/windowss...

1 de 16 08/08/2011 09:02 a.m.

indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, nombres dedominio, direcciones de correo electrónico, logotipos, personas, lugares o datos reales.

Esta infraestructura común está concebida para su uso en una red privada. El nombre ficticio dela compañía y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructuracomún no están registrados para su uso en Internet. No debe utilizar estos nombres en una redpública ni en Internet.

El objetivo de la estructura del servicio Active Directory para esta infraestructura común esmostrar cómo funciona la administración de cambios y configuración de Windows Server 2003con Active Directory. No se ha diseñado como un modelo para configurar Active Directory en unaorganización.

Principio de la página

IntroducciónLa Consola de administración de Directivas de grupo (GPMC) de Microsoft es una nuevaherramienta para la administración de Directivas de grupo que ayuda a los administradores aadministrar una empresa de forma más rentable al mejorar la capacidad de administración yaumentar la productividad. Consta del nuevo complemento Microsoft Management Console(MMC) y de un conjunto de interfaces programables mediante secuencias de comandos.

GPMC simplifica la administración de la Directivas de grupo al proporcionar un único lugar paraadministrar aspectos esenciales de la Directiva de grupo. Atiende los requisitos principales deimplementación de la Directiva de grupo exigidos por los clientes mediante las siguientesfunciones.

• Una interfaz de usuario (IU) que simplifica enormemente el uso de la Directiva de grupo.

• Operaciones de copia de seguridad/restauración de objetos de Directiva de grupo.

• Operaciones de importar/exportar y copiar/pegar objetos de Directiva de grupo y filtros delInstrumental de administración de Windows (WMI).

• Administración simplificada de la seguridad relacionada con la Directiva de grupo.

• Informes HTML (Lenguaje de marcado de hipertexto) de la configuración de objetos deDirectiva de grupo y datos del Conjunto resultante de directivas (RSoP).

• Secuencias de comandos de tareas relacionadas con directivas expuestas dentro de estaherramienta (y no de la configuración de un objeto de Directiva de grupo).

Hasta ahora, los administradores necesitaban utilizar varias herramientas de Microsoft paraadministrar la Directiva de grupo, como los complementos Usuarios y equipos de ActiveDirectory, Sitios y servicios de Active Directory y Conjunto resultante de directivas. GPMCintegra las funciones de Directiva de grupo existentes en estas herramientas en una únicaconsola unificada con nuevas capacidades.

Una característica integrada en GPMC es la compatibilidad para administrar varios dominios ybosques, lo que permite a los administradores administrar la Directiva de grupo de toda laempresa. Los administradores tienen un control total sobre los bosques y dominios incluidos enGPMC, lo que permite mostrar únicamente las partes pertinentes de un entorno.

Nota: en esta guía detallada sólo se ofrecen instrucciones sobre el uso de GPMC paraadministrar objetos de Directiva de grupo. No se incluyen instrucciones sobre su configuración.Para obtener información sobre cómo configurar objetos de Directiva de grupo, consulte la Guíadetallada de introducción al conjunto de características de Directiva de grupo.

Requisitos previos

• Parte 1: Instalar Windows Server 2003 como un controlador de dominio

• Guía detallada de configuración de controladores de dominio adicionales

• Guía detallada de administración de Active Directory

• Guía detallada de uso del Asistente para delegación de control

• Guía detallada de introducción al conjunto de características de Directiva de grupo

• Guía detallada de aplicación de directivas de contraseñas seguras


Instalar y configurar GPMC

Instalar GPMC


2 de 16 08/08/2011 09:02 a.m.

La instalación de GPMC es un proceso simple que requiere la ejecución de un paquete deWindows Installer (.MSI). Para descargar la última versión, visite el sitio de Windows ServerSystem para la administración de Directivas de grupo en http://www.microsoft.com/windowsserver2003/gpmc/default.mspx (en inglés).

Para instalar la Consola de administración de Directivas de grupo

1. En el servidor HQ-CON-DC-01, desplácese a la carpeta que contiene gpmc.msi, hagadoble clic en el paquete gpmc.msi y, a continuación, haga clic en Siguiente.

2. Haga clic en Acepto para aceptar el Contrato de licencia de usuario final (CLUF) y, acontinuación, haga clic en Siguiente.

3. Haga clic en Finalizar para completar la instalación de GPMC.

Una vez finalizada la instalación, la ficha Directiva de grupo que aparecía en la páginaPropiedades de sitios, dominios y unidades organizativas de los complementos de ActiveDirectory se actualiza con un vínculo directo a GPMC. La funcionalidad que existía anteriormenteen la ficha Directiva de grupo ya no está disponible, puesto que todas las funciones paraadministrar la Directiva de grupo están disponibles en GPMC.

Para abrir el complemento GPMC

1. En el servidor HQ-CON-DC-01, haga clic en el botón Inicio, en Ejecutar, escribaGPMC.msc y, a continuación, haga clic en Aceptar.

Nota: puede utilizar también alguno de los métodos siguientes para ejecutar GPMC.

• Haga clic en el acceso directo Administración de directiva de grupo en la carpetaHerramientas administrativas en el menú Inicio o en el Panel de control.

• Crear una consola MMC personalizada: haga clic en el botón Inicio y en Ejecutar,escriba MMC y, a continuación, haga clic en Aceptar. Seleccione Archivo, haga clic enAgregar o quitar complemento y luego en Agregar. Haga clic para resaltarAdministración de directiva de grupo, haga clic en Agregar, en Cerrar y despuésen Aceptar.

Configurar GPMC para varios bosquesSe pueden agregar fácilmente varios bosques al árbol de la consola GPMC. De formapredeterminada, sólo se puede agregar un bosque a GPMC si existe una relación de confianzabidireccional con el bosque del usuario que ejecuta GPMC. Puede habilitar de manera opcionalGPMC para que funcione sólo con una relación de confianza unidireccional o incluso sin queexista ninguna relación de confianza. La incorporación de un bosque adicional a GPMC se realizaresaltando Administración de directiva de grupo en la raíz del árbol, seleccionando Accióndel menú contextual y haciendo clic en AddForest. Como el entorno de ejemplo sólo contieneun bosque, la ejecución de estos pasos se escapa al alcance de esta guía detallada.

Nota: si agrega bosques sin relación de confianza, algunas funciones no estarán disponibles.Por ejemplo, no estará disponible la característica de creación de modelos de Directiva de grupoy no será posible abrir el Editor de objetos de Directiva de grupo para los objetos de Directivade grupo del bosque sin relación de confianza. El escenario de bosque sin relación de confianzasirve principalmente para habilitar la copia de objetos de Directiva de grupo entre bosques.

Administrar varios dominios simultáneamenteGPMC permite administrar varios dominios al mismo tiempo, con cada dominio agrupado porbosque en la consola. De forma predeterminada, sólo se muestra un dominio en GPMC. Cuandoinicie por primera vez GPMC mediante el complemento preconfigurado (gpmc.msc) o unaconsola MMC personalizada, GPMC mostrará el dominio que contiene la cuenta de usuarioutilizada para iniciar GPMC. Puede especificar dominios en cada uno de los bosques que deseeadministrar mediante GPMC agregando o quitando los dominios mostrados en la consola.

Nota: puede agregar dominios con relaciones de confianza externas, aunque no mantenga unarelación de confianza con todo el bosque. De forma predeterminada, debe haber una relación deconfianza bidireccional entre el dominio que desea agregar y el dominio del objeto de usuario.También puede agregar dominios en una relación de confianza unidireccional deshabilitando lacaracterística de detección de relaciones de confianza de GPMC, en el cuadro de diálogoOpciones del menú Ver. Para agregar dominios con relaciones de confianza externas, primerodebe utilizar el cuadro de diálogo AddForest para agregar un dominio de un bosque quecontenga los dominios con relaciones de confianza externas. Una vez agregado el bosque, puedeagregar todos los dominios de ese bosque en los que se confíe haciendo clic con el botónsecundario del mouse (ratón) en el nodo Dominios y haciendo clic en Show Domains.

Para agregar el dominio secundario vancouver.contoso.com a la consola


3 de 16 08/08/2011 09:02 a.m.

1. En la ventana Administración de directiva de grupo, haga clic en el signo más (+)situado junto a Bosque:contoso.com para expandir el árbol y, a continuación, haga clicen el signo más (+) situado junto a Dominios.

2. Haga clic con el botón secundario del mouse en Dominios y, a continuación, haga clic enShow Domains.

3. Active la casilla de verificación situada junto a vancouver.contoso.com como semuestra en la Figura 1 y, a continuación, haga clic en Aceptar.

Figura 1. Mostrar dominios

En cada dominio disponible en GPMC, se utiliza el mismo controlador de dominio para todas lasoperaciones del dominio. Éstas incluyen todas las operaciones en los objetos de Directiva degrupo, unidades organizativas, principales de seguridad y filtros de WMI que residen en esedominio. Asimismo, cuando el Editor de objetos de Directiva de grupo se abre desde GPMC,siempre utiliza el mismo controlador de dominio empleado en GPMC para el dominio donde seencuentra el objeto de Directiva de grupo.

GPMC permite seleccionar el controlador de dominio que se utiliza para cada dominio. Tienecuatro opciones para elegir.

• Usar el emulador de controlador de dominio principal (PDC) (opción predeterminada).

• Usar cualquier controlador de dominio disponible.

• Usar cualquier controlador de dominio que ejecute un sistema operativo de la familiaWindows Server 2003. Esta opción es útil si va a restaurar un objeto de Directiva de grupoeliminado que contiene opciones de instalación de software de Directiva de grupo.

• Usar un controlador de dominio específico.

Para cambiar el controlador de dominio utilizado por GPMC para el dominiovancouver.contoso.com

1. En la ventana Administración de directiva de grupo, en la carpeta Dominios, hagaclic con el botón secundario del mouse en vancouver.contoso.com y, a continuación,haga clic en Cambiar el controlador de dominio.

2. En el cuadro de diálogo Cambiar el controlador de dominio, haga clic en This domaincontroller y, a continuación, haga clic para resaltar hq-con-dc-03.vancouver.contoso.com como se muestra en la Figura 2.

3. Haga clic en Aceptar para continuar.


4 de 16 08/08/2011 09:02 a.m.

Figura 2. Cambiar controladores de dominio


Administrar objetos de Directiva de grupo

Ver objetos de Directiva de grupo del dominioEn cada dominio GPMC proporciona una vista basada en directivas de Active Directory y de loscomponentes asociados a la Directiva de grupo, como objetos de Directiva de grupo, filtros WMIy vínculos de objetos de Directiva de grupo. La vista de GPMC es similar a la vista delcomplemento de MMC Usuarios y equipos de Active Directory en la que se muestra la jerarquíade unidades organizativas. Sin embargo, GPMC difiere de este complemento porque en lugar demostrar usuarios, equipos y grupos en las unidades organizativas, muestra los objetos deDirectiva de grupo que están vinculados a cada contenedor, así como los propios objetos.

En cada nodo de dominio de GPMC se muestran los siguientes elementos.

• Todos los objetos de Directiva de grupo vinculados al dominio.

• Todas las unidades organizativas de nivel superior y una vista de árbol de las unidadesorganizativas anidadas y los objetos de Directiva de grupo vinculados a cada unidadorganizativa.

• El contenedor Objetos de Directiva de grupo que muestra todos los objetos de Directiva degrupo del dominio.

• El contenedor Filtros de WMI que muestra todos los filtros de WMI del dominio.

Para ver objetos de Directiva de grupo asociados a un contenedor determinado

1. En el árbol Dominios, haga clic en el árbol contoso.com. Los objetos de Directiva degrupo asociados al contenedor (la raíz del dominio) aparecen como se muestra en laFigura 3. Este concepto se puede aplicar a cualquier contenedor de dominio.


5 de 16 08/08/2011 09:02 a.m.

Figura 3. Objetos de Directiva de grupo en la raíz del dominioVer la imagen a tamaño completo

Para ver todos los objetos de Directiva de grupo asociados a un contenedordeterminado

1. En el árbol Dominios, haga clic en el signo más (+) situado junto a contoso.com y, acontinuación, haga clic en Objetos de Directiva de grupo.

Buscar objetos de Directiva de grupoSe pueden buscar objetos de Directiva de grupo en el nivel de bosque o de dominio. Paraajustar los resultados de búsqueda en un conjunto grande de objetos de Directiva de grupo sepueden utilizar uno o varios parámetros de búsqueda.

Para buscar un objeto de Directiva de grupo específico en el bosque contoso.commediante varios parámetros de búsqueda

1. En el árbol de la consola, haga clic con el botón secundario del mouse enBosque:contoso.com y, a continuación, haga clic en Buscar.

2. En el cuadro Search item, seleccione Nombre del GPO, escriba Password para Valory, a continuación, haga clic en Agregar.

3. En el cuadro Search item, seleccione Configuración del equipo, seleccione Seguridadpara Valor y, a continuación, haga clic en Agregar.

4. Haga clic en Buscar. Los resultados deben ser similares a los que se muestran en laFigura 4.


6 de 16 08/08/2011 09:02 a.m.

Figura 4. Búsqueda de objetos de Directiva de grupo basada en criterios

5. Cuando obtenga los resultados de la búsqueda, puede realizar alguna de las operacionessiguientes:

• Para abrir el objeto de Directiva de grupo y modificarlo, haga clic en Editar.

• Para guardar los resultados de búsqueda, haga clic en Save results. En el cuadro dediálogo Save GPO Search Results, especifique el nombre del archivo donde deseaguardar los resultados y, a continuación, haga clic en Guardar.

• Para desplazarse a un objeto de Directiva de grupo incluido en la búsqueda, hagadoble clic en el objeto de Directiva de grupo en la lista de resultados de búsqueda.

• Para borrar los resultados de búsqueda, haga clic en Borrar.

• Para cerrar el cuadro de diálogo Search for Group Policy Objects, haga clic enCerrar.

Definir el ámbito de los objetos de Directiva de grupoEl valor de la Directiva de grupo sólo resulta visible cuando se aplican correctamente los objetosde Directiva de grupo a los contenedores de Active Directory que desea administrar. El procesode determinar qué usuarios y equipos van a recibir la configuración de un objeto de Directiva degrupo recibe el nombre de “definir el ámbito del objeto de Directiva de grupo”. El ámbito de unobjeto de Directiva de grupo se define a partir de tres factores.

• Los sitios, los dominios o las unidades organizativas donde el objeto de Directiva degrupo está vinculado El mecanismo principal utilizado para aplicar la configuración de unobjeto de Directiva de grupo a usuarios y equipos consiste en vincular el objeto a un sitio,dominio o unidad organizativa en Active Directory. La ubicación donde el objeto de Directivade grupo está vinculado se denomina Ámbito de administración o SOM (también llamadaSDOU en notas del producto anteriores). Hay tres tipos de SOM: sitios, dominios y unidadesorganizativas. Un objeto de Directiva de grupo puede estar vinculado a varios SOM y un SOMpuede tener varios objetos de Directiva de grupo vinculados a él. Un objeto de Directiva degrupo debe estar vinculado a un SOM para que se aplique.

• Los filtros de seguridad del objeto de Directiva de grupo De forma predeterminada, atodos los usuarios autenticados que se encuentran en el SOM (y sus nodos secundarios) en elque está vinculado un objeto de Directiva de grupo se les aplica la configuración del objeto deDirectiva de grupo. Puede delimitar aún más qué usuarios y equipos recibirán la configuraciónde un objeto de Directiva de grupo administrando permisos para el objeto de Directiva degrupo. Esto proceso se denomina filtrado de seguridad. Para que un objeto de Directiva degrupo se aplique a un usuario o equipo, ese usuario o equipo debe tener los permisos Leer y


7 de 16 08/08/2011 09:02 a.m.

Aplicar directiva de grupo sobre el objeto. De manera predeterminada, los objetos deDirectiva de grupo tienen permisos que admiten que el grupo Usuarios autenticados tengaesos dos permisos. Así es como todos los usuarios autenticados reciben la configuración deun nuevo objeto de Directiva de grupo cuando está vinculado a un SOM (unidad organizativa,dominio o sitio). No obstante, estos permisos se pueden cambiar para limitar el ámbito delobjeto de Directiva de grupo a un conjunto específico de usuarios grupos o equipos incluidosen el SOM donde está vinculado.

• El filtro de WMI para el objeto de Directiva de grupo Los filtros de WMI permiten quelos administradores determinen de forma dinámica el ámbito de los objetos de Directiva degrupo en función de sus atributos (disponibles en WMI) del equipo de destino. Un filtro deWMI consta de una o varias consultas contra el repositorio de WMI del equipo de destino quedan como resultado verdadero o falso. El filtro de WMI es un objeto independiente del objetode Directiva de grupo en el directorio. Para aplicar un filtro de WMI a un objeto de Directivade grupo, el filtro se vincula al objeto. Esto se muestra en la sección de filtros de WMI de laficha Ámbito de un objeto de Directiva de grupo. Cada objeto de Directiva de grupo sólopuede tener un filtro de WMI, pero el mismo filtro de WMI puede estar vinculado a variosobjetos de Directiva de grupo. Cuando un objeto de Directiva de grupo que está vinculado aun filtro de WMI se aplica al equipo de destino, el filtro se evalúa en dicho equipo. Si el filtrode WMI da como resultado falso, el objeto de Directiva de grupo no se aplica. Si da comoresultado verdadero, el objeto de Directiva de grupo se aplica.

Para definir el ámbito del objeto Directiva de contraseñas del dominio incluido en labúsqueda anterior

1. En el panel de resultados Search for Group Policy Objects, haga doble clic enDirectiva de contraseñas del dominio y, a continuación, haga clic en Cerrar.

Nota: cuando se cierra el cuadro de diálogo Search for Group Policy Objects, el focopasa al objeto de Directiva de grupo anteriormente seleccionado en GPMC. Aparecerá lapágina GPO Scope, que se muestra en la Figura 5.

Figura 5. Definir el ámbito de un objeto de Directiva de grupo

Para ver las directivas que aplica un objeto de Directiva de grupo

1. En el panel de resultados Directiva de contraseñas del dominio, haga clic en la fichaConfiguración y luego en Show All. Aparecerá un resumen de todas las opciones dedirectiva definidas, como se muestra en la Figura 6. Las opciones no definidas no semuestran.


8 de 16 08/08/2011 09:02 a.m.

Figura 6. Ver la configuración del objeto de Directiva de grupo

Herencia y orden de los vínculos de las directivas de objetos de Directiva degrupoEn la ficha Group Policy Inheritance para un contenedor dado se muestran todos los objetos deDirectiva de grupo (salvo aquéllos vinculados a sitios) que heredan la configuración de loscontenedores principales. En la columna de prioridad de esta ficha se muestra la prioridadgeneral de todos los vínculos que se aplican a objetos de ese contenedor, teniendo en cuenta elatributo Orden de vínculos y Obligatoriedad de cada vínculo, así como el valor de Bloquear laherencia.

Para ver la herencia de directivas en un contenedor

1. En la ventana Administración de directiva de grupo, bajo el árbol contoso.com,expanda la unidad organizativa Cuentas y, a continuación, haga clic en la unidadorganizativa Oficinas centrales, como se muestra en la Figura 7.

Figura 7. Herencia de Directivas de grupoVer la imagen a tamaño completo

Si varios objetos de Directiva de grupo están vinculado al mismo contenedor y tienen opciones


9 de 16 08/08/2011 09:02 a.m.

en común, debe haber un mecanismo que reconcilie la configuración. Este comportamiento secontrola mediante el orden de vínculos. Cuanto menor sea el número de orden de un vínculo,más prioridad tendrá. La información sobre los vínculos de un contenedor determinado semuestra en la ficha Linked Group Policy Objects del contenedor. En este panel se indica si elvínculo es obligatorio, si está habilitado, el estado del objeto de Directiva de grupo, si se aplicaun filtro de WMI, cuándo se ha modificado y el contenedor de dominio donde está almacenado.Los administradores o usuarios que tengan permisos delegados para vincular objetos deDirectiva de grupo al contenedor pueden cambiar el orden de los vínculos resaltando un vínculode objeto de Directiva de grupo y utilizando las teclas de dirección arriba y abajo para subir obajar el vínculo en la lista.

Para cambiar el orden de los vínculos de directiva en un contenedor

1. En la pantalla Oficinas centrales, haga clic en Linked Group Policy Objects.

2. En la columna GPO, haga clic en Directivas vinculadas y, después, haga clic en laflecha arriba situada justo a la izquierda de la columna Orden de vínculos. Cuandotermine, el orden de vinculación de los objetos de Directiva de grupo bajo la unidadorganizativa Oficinas centrales aparecerá como se muestra en la Figura 8.

Figura 8. Orden de vínculos del objeto de Directiva de grupoVer la imagen a tamaño completo


Hacer una copia de seguridad, restaurar, copiar e importarobjetos de Directiva de grupo

Hacer una copia de seguridad de un objeto de Directiva de grupoCuando se hace una copia de seguridad de un objeto de Directiva de grupo se copian los datosdel objeto en el sistema de archivos. La función de copia de seguridad sirve también comoutilidad de exportación para los objetos de Directiva de grupo. Se puede utilizar una copia deseguridad de un objeto de Directiva de grupo para restablecerlo al estado de copia de seguridado para importar la configuración de la copia de seguridad a otro objeto de Directiva de grupo.

Al hacer una copia de seguridad de un objeto de Directiva de grupo se guarda en el sistema dearchivos toda la información almacenada en el interior del objeto. Esta información es lasiguiente:

• El identificador único global (GUID) del objeto de Directiva de grupo y la configuración delobjeto en el dominio

• La lista de control de acceso discrecional (DACL) del objeto de Directiva de grupo

• El vínculo del filtro de WMI, si hay alguno, pero no el filtro en sí

• Los vínculos a directivas de seguridad IP, si existe alguno


10 de 16 08/08/2011 09:02 a.m.

• El informe XML (Lenguaje de marcado extensible) de la configuración del objeto de Directivade grupo, que se puede consultar como HTML desde GPMC

• La marca de fecha y hora de la copia de seguridad

• La descripción especificada por el usuario de la copia de seguridad

Al hacer una copia de seguridad de un objeto de Directiva de grupo sólo se guardan los datosalmacenados dentro del objeto. Los datos almacenados fuera del objeto son los siguientes:

• Los vínculos a un sitio, dominio o unidad organizativa

• Los filtros de WMI

• La directiva de seguridad IP

Estos datos no están disponibles cuando se restaura la copia de seguridad al objeto de Directivade grupo original o cuando se importa a un nuevo objeto.

Para hacer una copia de seguridad del objeto Directiva de contraseñas del dominio

1. En la ventana Administración de directiva de grupo, bajo el árbol contoso.com, hagaclic en la carpeta Objetos de Directiva de grupo.

2. En la carpeta Objetos de Directiva de grupo, haga clic con el botón secundario delmouse en el objeto de Directiva de grupo Directiva de contraseñas del dominio y, acontinuación, haga clic en Back Up.

3. En el cuadro de diálogo Back Up Group Policy Object, escriba c:\windows paraUbicación, escriba Copia de seguridad de la directiva de contraseñas del dominiopara Descripción y, después, haga clic en Back Up.

4. Una vez realizada la copia de seguridad, haga clic en Aceptar para continuar.

Administrar copias de seguridadEn la misma ubicación del sistema de archivos se pueden almacenar varias copias de seguridaddel mismo o de otro objeto de Directiva de grupo. Cada copia de seguridad se identificamediante un identificador de copia de seguridad exclusivo. El grupo de copias de seguridad deuna ubicación del sistema de archivos determinada se puede administrar con el cuadro dediálogo Manage Backups de GPMC o mediante interfaces programables con secuencias decomandos. El cuadro de diálogo Manage Backups está disponible haciendo clic con el botónsecundario del mouse en el nodo Dominio o en el nodo Objetos de Directiva de grupo de undeterminado dominio. Cuando se abre Manage Backups desde el nodo Objetos de Directiva degrupo, la vista se filtra automáticamente para que sólo aparezcan las copias de seguridad de losobjetos de Directiva de grupo de ese dominio. Cuando se abre desde el nodo Dominio, en elcuadro de diálogo Manage Backups se muestran todas las copias de seguridad, sean deldominio que sean.

Para administrar las copias de seguridad de objetos de Directiva de grupo disponibles

1. En la ventana Administración de directiva de grupo, bajo el árbol contoso.com, hagaclic con el botón secundario del mouse en la carpeta Objetos de Directiva de grupo y,a continuación, haga clic en Manage Backups. La ventana Manage Backups debe tenerun aspecto similar al de la Figura 9.


11 de 16 08/08/2011 09:02 a.m.

Figura 9. Administrar copias de seguridad

2. En la ventana Manage Backups, haga clic para resaltar la Copia de seguridad de ladirectiva de contraseñas del dominio creada anteriormente y, después, haga clic enVer configuración.

3. Revise la información detallada sobre el objeto de Directiva de grupo y, a continuación,cierre Internet Explorer.

Restaurar una copia de seguridad

Cuando se restaura un objeto de Directiva de grupo se vuelve a crear el objeto a partir de losdatos incluidos en la copia de seguridad. Una operación de restauración se puede utilizar en lassiguientes circunstancias: se ha hecho una copia de seguridad del objeto de Directiva de grupopero se ha eliminado, o el objeto de Directiva de grupo está activo pero desea restablecerlo a unestado anterior conocido. Una operación de restauración reemplaza los siguientes componentesde un objeto de Directiva de grupo.

• La configuración del objeto

• La lista DACL del objeto

• Los vínculos de filtro de WMI (pero no los propios filtros)

La operación de restauración no restaura objetos que no forman parte del objeto de Directiva degrupo. Estos objetos incluyen vínculos a un sitio, dominio o unidad organizativa, filtros de WMIy directivas IPSec.

Para restaurar el objeto Directiva de contraseñas del dominio

1. En la ventana Manage Backups, haga clic en Restore.

2. Cuando se le indique, haga clic en Aceptar para restaurar la copia de seguridadseleccionada.

3. Haga clic en Aceptar cuando termine la restauración del objeto de Directiva de grupo.

4. En el cuadro de diálogo Manage Backups, haga clic en Cerrar.

Copiar un objeto de Directiva de grupoLa operación de copia permite transferir la configuración de un objeto de Directiva de grupoexistente en Active Directory a un nuevo objeto de Directiva de grupo. El nuevo objeto deDirectiva de grupo creado durante la operación de copia recibe un nuevo GUID y estádesvinculado. Puede utilizar una operación de copia para transferir la configuración a un nuevoobjeto de Directiva de grupo del mismo dominio, de otro dominio del mismo bosque o de undominio de otro bosque. Como la operación de copia utiliza un objeto de Directiva de grupoexistente en Active Directory como su origen, se requiere una relación de confianza entre losdominios de origen y de destino. Las operaciones de copia sirven para mover la Directiva de


12 de 16 08/08/2011 09:02 a.m.

grupo de un entorno de producción a otro. Se utilizan también para migrar una Directiva degrupo que se ha probado en un dominio o bosque de prueba a un entorno de producción,siempre que exista una relación de confianza entre los dominios de origen y de destino.

Para copiar un objeto de Directiva de grupo

1. En el árbol contoso.com de la carpeta Objetos de Directiva de grupo, haga clic con elbotón secundario del mouse en el objeto de Directiva de grupo Directivas de usuarioforzadas y, después, haga clic en Copiar.

2. Haga clic en el signo más (+) situado junto a vancouver.contoso.com para expandir eldominio y, después, haga clic en el signo más (+) situado junto a Objetos de Directivade grupo para expandir el árbol.

3. Haga clic con el botón secundario del mouse en Objetos de Directiva de grupo y, acontinuación, haga clic en Pegar.

4. En Cross-Domain Copying Wizard, haga clic en Siguiente para continuar.

5. En la pantalla Specify Permissions, seleccione Use the default permissions for newGPOs (opción predeterminada) como se muestra en la Figura 10 y, a continuación, hagaclic en Siguiente.

Figura 10. Asistente para copiar entre dominios

6. Una vez analizado el objeto de Directiva de grupo original, haga clic en Siguiente paracontinuar.

7. En la pantalla Completing the Cross-Domain Copying Wizard, confirme laconfiguración y, a continuación, haga clic en Finalizar.

8. Cuando termine la operación de copia, haga clic en Aceptar.

Nota: el objeto de Directiva de grupo Directivas de usuario forzadas se ha copiado aldominio vancouver.contoso.com, pero no se ha desvinculado del contenedor.

Para vincular el objeto Directivas de usuario forzadas a la raíz devancouver.contoso.com

1. Haga clic con el botón secundario del mouse en vancouver.contoso.com, haga clic enLink an Existing GPO, haga clic para resaltar Directivas de usuario forzadas y, acontinuación, haga clic en Aceptar.

Importar un objeto de Directiva de grupoLa operación de importación transfiere la configuración a un objeto de Directiva de grupoexistente en Active Directory mediante un objeto de Directiva de grupo de copia de seguridaden la ubicación del sistema de archivos como origen. Las operaciones de importación sirven paratransferir la configuración de un objeto de Directiva de grupo a otro en el mismo dominio, enotro dominio del mismo bosque o en un dominio de un bosque diferente. La operación deimportación siempre aplica la configuración de la copia de seguridad a un objeto de Directiva degrupo existente. Borra cualquier configuración que exista previamente en el objeto de Directivade grupo de destino. La importación no requiere una relación de confianza entre el dominio de


13 de 16 08/08/2011 09:02 a.m.

origen y el de destino; por tanto, sirve para transferir la configuración entre bosques y dominiosque no tiene relaciones de confianza. La importación de la configuración a un objeto de Directivade grupo no afecta a sus DACL, vínculos en sitios, dominios o unidades organizativas a eseobjeto o vínculos a un filtro de WMI.

Para importar la Directiva de contraseñas del dominio de contoso.com a la devancouver.contoso.com

1. En la ventana Administración de directiva de grupo, haga clic con el botón secundariodel mouse en vancouver.contoso.com y, después, haga clic en Create and Link a GPOhere.

2. En el cuadro de diálogo New GPO, escriba Directiva de contraseñas del dominio paraNombre y, a continuación, haga clic en Aceptar.

3. En Objetos de Directiva de grupo del árbol vancouver.contoso.com, haga clic con elbotón secundario del mouse en el objeto de Directiva de grupo Directiva decontraseñas del dominio y, después, haga clic en Importar configuración.

4. En Import Settings Wizard, haga clic en Siguiente para continuar.

5. En la pantalla Backup GPO, haga clic en Siguiente para continuar sin realizar una copiade seguridad, ya que el objeto de Directiva de grupo no tiene actualmente definiciones dedirectiva.

6. Acepte la carpeta de copia de seguridad predeterminada, c:\windows, y, a continuación,haga clic en Siguiente para continuar.

7. Como la Directiva de contraseñas del dominio es la única copia de seguridad actual,está seleccionada de forma predeterminada. Haga clic en Siguiente para empezar aimportar la configuración de este objeto de Directiva de grupo.

8. Haga clic en Siguiente cuando se analicen los principales de seguridad del objeto deDirectiva de grupo y, después, haga clic en Finalizar.

9. Cuando concluya el Import Settings Wizard, haga clic en Aceptar.

Para comprobar la Directiva de contraseñas del dominio de vancouver.contoso.com

1. En Objetos de Directiva de grupo del árbol vancouver.contoso.com, haga clic en elobjeto de Directiva de grupo Directiva de contraseñas del dominio y, después, hagaclic en Show All en el panel de resultados. La configuración debe ser idéntica a la que semuestra en la Figura 11.

Figura 11. Directiva de contraseñas del dominio de vancouver.contoso.comVer la imagen a tamaño completo



14 de 16 08/08/2011 09:02 a.m.

Creación de modelos de objetos de Directiva de grupo

Modelos de Directiva de grupoLos modelos de Directiva de grupo son una simulación de lo que ocurriría en circunstanciasespecificadas por un administrador. Requiere que exista al menos un controlador de dominioque ejecute Windows Server 2003, ya que esta simulación se ejecuta mediante un servicio quese ejecuta en un controlador de dominio con Windows Server 2003.

Con los modelos de Directiva de grupo, puede simular los datos de RSoP que se aplicarían a unaconfiguración existente, o puede realizar análisis condicionales simulando cambios hipotéticosen el entorno de directorio y calculando el RSoP de esa configuración hipotética. Por ejemplo,puede simular cambios en la pertenencia a grupos de seguridad, o cambios en la ubicación delobjeto de usuario o equipo en Active Directory. Fuera de GPMC, los modelos de Directiva degrupo reciben el nombre de RSoP - modo de planeamiento.

Para simular el efecto de objetos de Directiva de grupo

1. En la ventana Administración de directiva de grupo, haga clic en el signo menos (-)situado junto a Dominios para contraer el árbol.

2. En el árbol Bosque: contoso.com, haga clic con el botón secundario del mouse enGroup Policy Modeling y, a continuación, haga clic en Group Policy Modeling Wizard.

3. En la pantalla Group Policy Modeling Wizard, haga clic en Siguiente.

4. En la pantalla Domain Controller Selection, deje la configuración predeterminada yhaga clic en Siguiente.

5. En la pantalla Selección de equipo y usuario, bajo Información de usuario, haga clicen Usuario. Haga clic en Examinar, escriba Christine bajo Enter object name toselect y, a continuación, haga clic en Aceptar. Active la casilla de verificación Irdirectamente a la última página de este asistente sin recoger más información y,después, haga clic en Siguiente. La configuración debe ser similar a la que se muestraen la Figura 12.

Figura 12. Asistente para crear modelos de Directiva degrupo

6. En la pantalla Resumen de las selecciones, haga clic en Siguiente para iniciar lasimulación.

7. Haga clic en Finalizar. El panel de la derecha contendrá los resultados de la simulación.


Recursos adicionalesPara obtener más información, consulte los siguientes recursos:

• Descargar la Consola de administración de Directivas de grupo con el Service Pack 1 enhttp://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en (en inglés)


15 de 16 08/08/2011 09:02 a.m.

• Notas del producto Administrar la Directiva de grupo con GPMC en http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx (en inglés)

• Para obtener la información más reciente sobre Windows Server 2003, visite el sitio Web deWindows Server 2003 en http://www.microsoft.com/windowsserver2003


Administre su perfil

©2011 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros | Aviso Legal |Marcas registradas | Privacidad


16 de 16 08/08/2011 09:02 a.m.

usar la consola de administración de directivas de grupo (gpmc) en un entorno de active directory...

Documents