18 2

Captulo 5

DFS slo transmite los cambios en los GPO, eliminando la necesidad de replicar todo un GPO cuando ste sufra modificaciones. A diferencia de W indows Server 2 0 0 3 , Windows Server 2 0 0 8 utiliza el servicio Cliente de directiva de grupo para aislar las notificaciones y el procesamiento de las directivas de grupo del proceso de inicio de sesin en Windows. Al separar las directivas de grupo del proceso de inicio de sesin se reducen los recursos necesarios para el procesamiento en segundo plano de las directivas y se mejora el rendimiento general del mismo, permitiendo que la entrega y aplicacin de nuevos archivos de directiva de grupo forme parte del proceso de actualizacin sin que sea necesario reiniciar el sistema. W indows Server 2 0 0 8 no utiliza las capacidades de seguimiento de registros de userenv.dll, en su lugar escribe los mensajes de evento de directivas de grupo en el registro del sistema. Lo que es ms, el registro de operaciones de las directivas de grupo sustituye al anterior registro Userenv. Cuando intente resolver problemas relacionados con las directivas de grupo tendr que examinar los mensajes detallados de los eventos del registro de operaciones en lugar del registro Userenv. Encontrar este registro en el visor de eventos, en Registros de aplicaciones y servic0s\

Microsoft\Windows\GroupPolicy.
Windows Server 2 0 0 8 utiliza el servicio Reconocimiento de ubicacin de red en lugar del protocolo ICMP (ping). Gracias a este servicio cada equipo es cons ciente del tipo de red al que est conectado y tambin puede percibir los cam bios del estado del sistema o de la configuracin de la red. El reconocimiento de ubicacin de red permite que el cliente de directivas de grupo sea capaz de determinar el estado del equipo, de la red y el ancho de banda de red disponi ble, detectando as conexiones lentas.

A d m in istra ci n de directivas de g ru p o local

W indows Server 2 0 0 8 permite la utilizacin de varios objetos de directiva de grupo local (LGPO, L o ca l G roup P olicy O bject ) en un mismo equipo (siempre que no se trate de un controlador de dominio). Anteriormente, los equipos slo disponan de un LGPO. Windows Server 2 0 0 8 le permite asignar un LGPO distinto a cada usuario loi o tipo de usuario. Esto permite que la aplicacin de directivas de grupo sea m flexible y permita un abanico de escenarios de funcionamiento ms amplio.

Automatizacin de tareas, directivas y procedimientos administrativos

183

O bjetos de directiva de grupo local

En aquellos equipos que estn funcionando independientemente, en lugar de dentro de un dominio, encontrar til la utilizacin de varios LGPO porque as no tendr que desactivar o eliminar explcitamente aquellas caractersticas que interfieran con su capacidad de gestionar el equipo antes de com enzar las tareas de administracin. As, podr utilizar un LGPO para los administradores y otro para el resto de usuarios. Sin embargo, en un entorno con dominios no es acon sejable utilizar LGPO. En un dominio ya existe un GPO asignado a la mayora de equipos y usuarios. Aadir la utilizacin de LGPO a esta ya de por s varia da mezcla puede com plicar la administracin de directivas de grupo. Windows Server 2 0 0 8 dispone de tres niveles de objetos de directiva de grupo local: Directiva de grupo local: Se trata del nico objeto que permite aplicar a to dos los usuarios del sistema las mismas opciones de configuracin tanto del equipo como de usuario. Directiva de grupo local para adm inistradores y no adm inistradores: Slo contiene opciones de configuracin de usuario. Esta directiva se aplica con independencia de que la cuenta de usuario utilizada sea o no miembro del grupo de administradores. Directiva de grupo local para usuarios: Slo contiene opciones de configu racin de usuario. Se aplica a todos los usuarios y grupos.

El orden de aplicacin de los niveles anteriores es: primero la directiva de grupo local, luego la de grupo local para administradores y no administradores y, por ltimo, la directiva de grupo local para usuarios. Como las opciones disponibles para la configuracin de usuarios es la misma en todos los objetos de directivas de grupo local es posible que la modificacin de un GPO entre en conflicto con otro GPO. Windows Server 2 0 0 8 soluciona estos conflictos reemplazando las opciones de configuracin ms antiguas con las le das en ltimo lugar, con las ms recientes. El resultado final es el que Windows Server 2 0 0 8 utiliza. Windows Server 2 0 0 8 slo resuelve conflictos en las opcio nes habilitadas o deshabilitadas. Si la opcin en cuestin no ha sido configurada (es decir, si su valor es No est definido) no tendr efecto sobre la aplicacin de una directiva anterior. Para simplificar la administracin de dominios puede desactivar el procesamiento de objetos de directiva de grupo local en los equipos Windows Server 2 0 0 8 activando la directiva Desactivar el procesamiento de objetos de directiva de grupo local. Esta opcin de configuracin se encuen tra dentro de Configuracin del equipo\Plantillas administrativas\Sistema\

Directiva de grupo.

Captulo 5

A cce so a la raz de las directivas locales

Con la excepcin de los controladores de dominio, es posible editar el objeto de directiva de grupo local en todos los equipos Windows 2 0 0 0 y posteriores. La manera ms rpida de acceder al LGPO del equipo local es escribir la siguiente orden en el smbolo del sistema:
gpedit.msc /gpcomputer: "%ComputerName%M

La orden anterior pone en marcha GPOE dentro de la consola de administracin de Microsoft (MMC, M icrosoft M anagem ent C on sol ) con el equipo local seleccio nado. En la orden anterior %ComputerName% es una variable de entorno cuyo valor es el nombre del equipo local. Es necesario utilizar comillas dobles, como acaba de ver. Para acceder a la raz de la directiva local de un equipo remoto es criba la siguiente orden en el smbolo del sistema:
gpedit.msc /gpcomputer: "EquipoRemoto"

En la orden anterior EquipoRemoto es nombre del equipo o su nombre de do minio completo (FQDN, Fully Q ualified D om ain am e). De nuevo es necesario que utilice las comillas dobles, como muestra el siguiente ejemplo:
gpedit.msc /gpcomputer: "SERVCORP82

Tambin acceder a la raz de la directiva local de un equipo si sigue estos pasos: 1. Haga clic sobre Inicio, escriba mmc en el cuadro de texto Iniciar bsqueda y pulse Intro. Seleccione la opcin Agregar o quitar complemento del men Archivo de la consola de administracin de Microsoft. Haga clic en Editor de objetos de directiva de grupo dentro del cuadro de dilogo Agregar o quitar complementos y haga clic Agregar. Haga clic en Finalizar dentro del cuadro de dilogo Seleccionar un objeto de directiva de grupo ya que el equipo local es el objeto por defecto. Haga clic en Aceptar. Ahora podr administrar la configuracin de la directiva local utilizando las op ciones disponibles, com o muestra la figura 5.1.

2.

3.

4.

Automatizacin de tareas, directivas y procedimientos administrativos

18 5

l (instila 1

d e co n s o l D ire c tiv a E qu ip o lu< dl C iiiiig u rd ti n d e l e q u ip o ' Pla n tillas a d m in is tra tiv a s \ P a n e l d e c o n tro l\ C u e n ta s d e u s u w l o ]

| M | -yvovB , m c c c t i vtr rwwiM mam A yusv

> <

lir! a s ira is
El

_ _ JDirectiva Equipo local

r l sPf* Configuracin del equipo _J Configuracin de software S .J Configuracin de Windows ;; Scripts (inicio o apagado) R jj Configuracin de seguridad E | QoS basada en directiva H .J Plantillas administrativas F1 Componentes de Windows j Impresoras Id j Panel de control .J Configuracin regional y de idioma _i E _ ] Red B F! . Sistema Configuracin de usuario 1 ) "_i Configuracin de software F1 _ j Configuracin de Windows SI Plantillas administrativas \
A p lic a r la im a g e n d e inicio de se si n de u s u a rio p r e d e t e rm in a d a a to d o s los u su a rio s

Raz de consola

| Pfur tatawfteft * Hde ds sesin s usuario{tfMttbanriftada to te tos usuarios

Mostrar propiedades Requisitos: Al menos Windows Vista Descripcin: Esta configuracin de directiva permite que un administrador estandarice las imgenes de inicio de sesin para todos los usuarios de un sistema a la imagen de usuario predeterminada. Una aplicacin de esta configuracin de directiva es estandarizar las imgenes de micro de sesin al logotipo de la empresa-

Extendido

X Estndar /

21 T

Figura 5.1. Utilice el editor de directivas para administrar las opciones de la directiva local.

Configuracin de L G P O
Las directivas de grupo local se guardan en la carpeta %SystemRoot%\System32 \ GroupPolicy de cada equipo Windows Server 2008. En dicha carpeta podr encontrar las siguientes subcarpetas: Machine: Dentro de la carpeta Scripts estarn los scripts del equipo mien tras la informacin de directivas del registro para HKEY_LOCAL_MACHINE (HKLM) estar en el archivo Registry.pol. User: Dentro de la carpeta Scripts estarn los scripts del usuario mien tras que la informacin de directivas para HKEY_CURRENT_USER (HKCU) estar en el archivo Registry.pol.

i No debera modifica directamente estqs ardyvosy carpetas, bien, utilizar las caractersticas correspondientes d$ una c^,tysherramtende administracin de directivas t grupo. Estoa archivos y carptas estn por dfecto, Si ^ S6-

cion8laopctnOp<^^^<^rp)Btadelm9nHefTfn^nta^,ha8|clicen
v . luego s^iQcaon^ia p p ^ n M fts tn frlc x k ^
lacarp eiid afa'

I cuadro^ ltgo& tkrtericia queaparcer y, porSttno; haga cfic

' m & w t.

186

Captulo 5

A cce so a las directivas de grupo local de adm inistradores, no adm inistradores y usuarios
Por defecto, el nico objeto de directiva local que existe en un equipo es el objeto de directiva de grupo local. Es posible crear y administrar tantos objetos locales como sea necesario. Siga estos pasos para crear o acceder al objeto de directiva de grupo local del administrador o de los no administradores: 1. Haga clic en Inicio, escriba mmc en el cuadro de texto Iniciar bsqueda y pulse Intro. Seleccione la opcin Agregar o quitar complemento del men Archivo de la consola de administracin de Microsoft. Haga clic en Editor de objetos de directiva de grupo dentro del cuadro de dilogo Agregar o quitar complementos y haga clic Agregar. Haga clic en Exam inar dentro del cuadro de dilogo Seleccionar un objeto de directiva de grupo. Haga clic en la ficha Usuarios dentro del cuadro de dilogo Buscar un objeto de directiva de grupo. Dentro de la ficha Usuarios, las entradas de la columna El objeto de direc tiva de grupo existe indican si un objeto de directiva local en particular ha sido creado o no. Escoja una de las siguientes opciones: Seleccione Administradores para crear o acceder al objeto de directiva de grupo local del administrador. Seleccione No administradores para crear o acceder al objeto de direc tiva de grupo local de no administradores. Seleccione el usuario local a cuyo objeto de directiva de grupo local es pecfico quiera acceder o crear.

2.

3.

4.

5.

Haga clic en A ceptar. Si el objeto seleccionado no existe ser creado. En caso contrario, se abrir entonces el objeto existente para que pueda examinarlo y modificarlo.

Las opciones de las directivas de administradores, no administradores y usuarios se encuentran en la carpeta % S y s te m R o o t% \ S y s te m 3 2 \ G r o u p P o lic y U s e r s de cada equipo W indows Server 2 0 0 8 . Como estos LGPO tan slo se aplican a las opciones de los usuarios, dentro de la carpeta % S y stem R o o t% \ S y stem 32\ G r o u p P o l i c y U s e r s slo existe una carpeta U s e r . En su interior estn los scripts de usuarios, dentro de la carpeta S c r i p t s , y la informacin de directivas del registro para HKEY_CURRENT_USER (HKCU), en el archivo R e g i s t r y .p o l.