Usar La Consola de Administración de Directivas de Grupo (GPMC) en Un Entorno de Active Directory de Windows Server 2003

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...
http://www.microsoft.com/latam/technet/productos/windows/windowss...
Haga clic aqu para instalar Silverlight
Latinoamrica Cambiar | Todos los sitios de Microsoft
Buscar Microsoft.com
Home
Inicio Biblioteca Entrenamiento Descarga Soporte Comunidad Seguridad TechCenters Ms Populares Aceleradores de Soluciones Adminitracin de Sistemas W indows Medianas Empresas Office Servidores Evaluacin de Software
| Suscrbase | Descarga | Contctenos | Simplified
Gua detallada de uso de la Consola de administracin de Directivas de grupo

Publicado: septiembre 17, aaaa
En esta gua detallada se ofrecen instrucciones generales sobre cmo usar la Consola de administracin de Directivas de grupo (GPMC) para poder utilizar objetos de Directiva de grupo en un entorno de Active Directory. En esta gua no se incluyen instrucciones sobre la implementacin de los objetos de Directiva de grupo. En esta pgina Introduccin Introduccin Instalar y configurar GPMC Administrar objetos de Directiva de grupo Hacer una copia de seguridad, restaurar, copiar e importar objetos de Directiva de grupo Creacin de modelos de objetos de Directiva de grupo Recursos adicionales
Introduccin
Guas detalladas
Las guas detalladas de desarrollo de Windows Server 2003 proporcionan experiencia prctica para muchas configuraciones de sistemas operativos. Las guas comienzan estableciendo una infraestructura de red comn a travs de la instalacin de Windows Server 2003, la configuracin de Active Directory, la instalacin de una estacin de trabajo Windows XP Professional y, por ltimo, la incorporacin de esta estacin de trabajo a un dominio. Las guas detalladas posteriores asumen que posee esta infraestructura de red comn. Si no desea seguir esta infraestructura de red comn, tendr que efectuar las modificaciones pertinentes mientras utiliza estas guas. La infraestructura de red comn requiere que se sigan las instrucciones de las guas siguientes.
Parte I: Instalar Windows Server 2003 como un controlador de dominio Parte II: Instalar una estacin de trabajo Windows XP Professional y conectarla a un dominio
Una vez configurada la infraestructura de red comn, pueden utilizarse todas las guas detalladas adicionales. Tenga en cuenta que algunas guas detalladas pueden tener requisitos previos adicionales adems de los requisitos de infraestructura de red comn. Todos los requisitos adicionales se indicarn en la gua detallada especfica.
Microsoft Virtual PC
Las guas detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio fsico o mediante tecnologas de creacin de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnologa de mquina virtual permite a los usuarios ejecutar varios sistemas operativos simultneamente en un nico servidor fsico. Virtual PC 2004 y Virtual Server 2005 estn diseados para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migracin de aplicaciones heredadas y los escenarios de consolidacin de servidores. En las guas detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarn en un entorno de laboratorio fsico, aunque la mayora de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas. La aplicacin de los conceptos proporcionados en estas guas detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compaas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y datos mencionados aqu son ficticios. No se pretende
1 de 16
08/08/2011 09:02 a.m.
indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares o datos reales. Esta infraestructura comn est concebida para su uso en una red privada. El nombre ficticio de la compaa y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura comn no estn registrados para su uso en Internet. No debe utilizar estos nombres en una red pblica ni en Internet. El objetivo de la estructura del servicio Active Directory para esta infraestructura comn es mostrar cmo funciona la administracin de cambios y configuracin de Windows Server 2003 con Active Directory. No se ha diseado como un modelo para configurar Active Directory en una organizacin.
Principio de la pgina
Introduccin
La Consola de administracin de Directivas de grupo (GPMC) de Microsoft es una nueva herramienta para la administracin de Directivas de grupo que ayuda a los administradores a administrar una empresa de forma ms rentable al mejorar la capacidad de administracin y aumentar la productividad. Consta del nuevo complemento Microsoft Management Console (MMC) y de un conjunto de interfaces programables mediante secuencias de comandos. GPMC simplifica la administracin de la Directivas de grupo al proporcionar un nico lugar para administrar aspectos esenciales de la Directiva de grupo. Atiende los requisitos principales de implementacin de la Directiva de grupo exigidos por los clientes mediante las siguientes funciones.
Una interfaz de usuario (IU) que simplifica enormemente el uso de la Directiva de grupo. Operaciones de copia de seguridad/restauracin de objetos de Directiva de grupo. Operaciones de importar/exportar y copiar/pegar objetos de Directiva de grupo y filtros del Instrumental de administracin de Windows (WMI). Administracin simplificada de la seguridad relacionada con la Directiva de grupo. Informes HTML (Lenguaje de marcado de hipertexto) de la configuracin de objetos de Directiva de grupo y datos del Conjunto resultante de directivas (RSoP). Secuencias de comandos de tareas relacionadas con directivas expuestas dentro de esta herramienta (y no de la configuracin de un objeto de Directiva de grupo).
Hasta ahora, los administradores necesitaban utilizar varias herramientas de Microsoft para administrar la Directiva de grupo, como los complementos Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Conjunto resultante de directivas. GPMC integra las funciones de Directiva de grupo existentes en estas herramientas en una nica consola unificada con nuevas capacidades. Una caracterstica integrada en GPMC es la compatibilidad para administrar varios dominios y bosques, lo que permite a los administradores administrar la Directiva de grupo de toda la empresa. Los administradores tienen un control total sobre los bosques y dominios incluidos en GPMC, lo que permite mostrar nicamente las partes pertinentes de un entorno. Nota: en esta gua detallada slo se ofrecen instrucciones sobre el uso de GPMC para administrar objetos de Directiva de grupo. No se incluyen instrucciones sobre su configuracin. Para obtener informacin sobre cmo configurar objetos de Directiva de grupo, consulte la Gua detallada de introduccin al conjunto de caractersticas de Directiva de grupo.
Requisitos previos
Parte 1: Instalar Windows Server 2003 como un controlador de dominio Gua detallada de configuracin de controladores de dominio adicionales Gua detallada de administracin de Active Directory Gua detallada de uso del Asistente para delegacin de control Gua detallada de introduccin al conjunto de caractersticas de Directiva de grupo Gua detallada de aplicacin de directivas de contraseas seguras
Instalar y configurar GPMC

Instalar GPMC
2 de 16
08/08/2011 09:02 a.m.
La instalacin de GPMC es un proceso simple que requiere la ejecucin de un paquete de Windows Installer (.MSI). Para descargar la ltima versin, visite el sitio de Windows Server System para la administracin de Directivas de grupo en http://www.microsoft.com /windowsserver2003/gpmc/default.mspx (en ingls). Para instalar la Consola de administracin de Directivas de grupo 1. En el servidor HQ-CON-DC-01, desplcese a la carpeta que contiene gpmc.msi, haga doble clic en el paquete gpmc.msi y, a continuacin, haga clic en Siguiente. 2. Haga clic en Acepto para aceptar el Contrato de licencia de usuario final (CLUF) y, a continuacin, haga clic en Siguiente. 3. Haga clic en Finalizar para completar la instalacin de GPMC. Una vez finalizada la instalacin, la ficha Directiva de grupo que apareca en la pgina Propiedades de sitios, dominios y unidades organizativas de los complementos de Active Directory se actualiza con un vnculo directo a GPMC. La funcionalidad que exista anteriormente en la ficha Directiva de grupo ya no est disponible, puesto que todas las funciones para administrar la Directiva de grupo estn disponibles en GPMC. Para abrir el complemento GPMC 1. En el servidor HQ-CON-DC-01, haga clic en el botn Inicio, en Ejecutar, escriba GPMC.msc y, a continuacin, haga clic en Aceptar. Nota: puede utilizar tambin alguno de los mtodos siguientes para ejecutar GPMC.
Haga clic en el acceso directo Administracin de directiva de grupo en la carpeta Herramientas administrativas en el men Inicio o en el Panel de control. Crear una consola MMC personalizada: haga clic en el botn Inicio y en Ejecutar, escriba MMC y, a continuacin, haga clic en Aceptar. Seleccione Archivo, haga clic en Agregar o quitar complemento y luego en Agregar. Haga clic para resaltar Administracin de directiva de grupo, haga clic en Agregar, en Cerrar y despus en Aceptar.
Configurar GPMC para varios bosques

Se pueden agregar fcilmente varios bosques al rbol de la consola GPMC. De forma predeterminada, slo se puede agregar un bosque a GPMC si existe una relacin de confianza bidireccional con el bosque del usuario que ejecuta GPMC. Puede habilitar de manera opcional GPMC para que funcione slo con una relacin de confianza unidireccional o incluso sin que exista ninguna relacin de confianza. La incorporacin de un bosque adicional a GPMC se realiza resaltando Administracin de directiva de grupo en la raz del rbol, seleccionando Accin del men contextual y haciendo clic en AddForest. Como el entorno de ejemplo slo contiene un bosque, la ejecucin de estos pasos se escapa al alcance de esta gua detallada. Nota: si agrega bosques sin relacin de confianza, algunas funciones no estarn disponibles. Por ejemplo, no estar disponible la caracterstica de creacin de modelos de Directiva de grupo y no ser posible abrir el Editor de objetos de Directiva de grupo para los objetos de Directiva de grupo del bosque sin relacin de confianza. El escenario de bosque sin relacin de confianza sirve principalmente para habilitar la copia de objetos de Directiva de grupo entre bosques.
Administrar varios dominios simultneamente

GPMC permite administrar varios dominios al mismo tiempo, con cada dominio agrupado por bosque en la consola. De forma predeterminada, slo se muestra un dominio en GPMC. Cuando inicie por primera vez GPMC mediante el complemento preconfigurado (gpmc.msc) o una consola MMC personalizada, GPMC mostrar el dominio que contiene la cuenta de usuario utilizada para iniciar GPMC. Puede especificar dominios en cada uno de los bosques que desee administrar mediante GPMC agregando o quitando los dominios mostrados en la consola. Nota: puede agregar dominios con relaciones de confianza externas, aunque no mantenga una relacin de confianza con todo el bosque. De forma predeterminada, debe haber una relacin de confianza bidireccional entre el dominio que desea agregar y el dominio del objeto de usuario. Tambin puede agregar dominios en una relacin de confianza unidireccional deshabilitando la caracterstica de deteccin de relaciones de confianza de GPMC, en el cuadro de dilogo Opciones del men Ver. Para agregar dominios con relaciones de confianza externas, primero debe utilizar el cuadro de dilogo AddForest para agregar un dominio de un bosque que contenga los dominios con relaciones de confianza externas. Una vez agregado el bosque, puede agregar todos los dominios de ese bosque en los que se confe haciendo clic con el botn secundario del mouse (ratn) en el nodo Dominios y haciendo clic en Show Domains. Para agregar el dominio secundario vancouver.contoso.com a la consola
3 de 16
08/08/2011 09:02 a.m.
1. En la ventana Administracin de directiva de grupo, haga clic en el signo ms (+) situado junto a Bosque:contoso.com para expandir el rbol y, a continuacin, haga clic en el signo ms (+) situado junto a Dominios. 2. Haga clic con el botn secundario del mouse en Dominios y, a continuacin, haga clic en Show Domains. 3. Active la casilla de verificacin situada junto a vancouver.contoso.com como se muestra en la Figura 1 y, a continuacin, haga clic en Aceptar.
Figura 1. Mostrar dominios
En cada dominio disponible en GPMC, se utiliza el mismo controlador de dominio para todas las operaciones del dominio. stas incluyen todas las operaciones en los objetos de Directiva de grupo, unidades organizativas, principales de seguridad y filtros de WMI que residen en ese dominio. Asimismo, cuando el Editor de objetos de Directiva de grupo se abre desde GPMC, siempre utiliza el mismo controlador de dominio empleado en GPMC para el dominio donde se encuentra el objeto de Directiva de grupo. GPMC permite seleccionar el controlador de dominio que se utiliza para cada dominio. Tiene cuatro opciones para elegir.
Usar el emulador de controlador de dominio principal (PDC) (opcin predeterminada). Usar cualquier controlador de dominio disponible. Usar cualquier controlador de dominio que ejecute un sistema operativo de la familia Windows Server 2003. Esta opcin es til si va a restaurar un objeto de Directiva de grupo eliminado que contiene opciones de instalacin de software de Directiva de grupo. Usar un controlador de dominio especfico.
Para cambiar el controlador de dominio utilizado por GPMC para el dominio vancouver.contoso.com 1. En la ventana Administracin de directiva de grupo, en la carpeta Dominios, haga clic con el botn secundario del mouse en vancouver.contoso.com y, a continuacin, haga clic en Cambiar el controlador de dominio. 2. En el cuadro de dilogo Cambiar el controlador de dominio, haga clic en This domain controller y, a continuacin, haga clic para resaltar hq-condc-03.vancouver.contoso.com como se muestra en la Figura 2. 3. Haga clic en Aceptar para continuar.
4 de 16
08/08/2011 09:02 a.m.
Figura 2. Cambiar controladores de dominio
Administrar objetos de Directiva de grupo

Ver objetos de Directiva de grupo del dominio
En cada dominio GPMC proporciona una vista basada en directivas de Active Directory y de los componentes asociados a la Directiva de grupo, como objetos de Directiva de grupo, filtros WMI y vnculos de objetos de Directiva de grupo. La vista de GPMC es similar a la vista del complemento de MMC Usuarios y equipos de Active Directory en la que se muestra la jerarqua de unidades organizativas. Sin embargo, GPMC difiere de este complemento porque en lugar de mostrar usuarios, equipos y grupos en las unidades organizativas, muestra los objetos de Directiva de grupo que estn vinculados a cada contenedor, as como los propios objetos. En cada nodo de dominio de GPMC se muestran los siguientes elementos.
Todos los objetos de Directiva de grupo vinculados al dominio. Todas las unidades organizativas de nivel superior y una vista de rbol de las unidades organizativas anidadas y los objetos de Directiva de grupo vinculados a cada unidad organizativa. El contenedor Objetos de Directiva de grupo que muestra todos los objetos de Directiva de grupo del dominio. El contenedor Filtros de WMI que muestra todos los filtros de WMI del dominio.
Para ver objetos de Directiva de grupo asociados a un contenedor determinado 1. En el rbol Dominios, haga clic en el rbol contoso.com. Los objetos de Directiva de grupo asociados al contenedor (la raz del dominio) aparecen como se muestra en la Figura 3. Este concepto se puede aplicar a cualquier contenedor de dominio.
5 de 16
08/08/2011 09:02 a.m.
Figura 3. Objetos de Directiva de grupo en la raz del dominio Ver la imagen a tamao completo
Para ver todos los objetos de Directiva de grupo asociados a un contenedor determinado 1. En el rbol Dominios, haga clic en el signo ms (+) situado junto a contoso.com y, a continuacin, haga clic en Objetos de Directiva de grupo.
Buscar objetos de Directiva de grupo

Se pueden buscar objetos de Directiva de grupo en el nivel de bosque o de dominio. Para ajustar los resultados de bsqueda en un conjunto grande de objetos de Directiva de grupo se pueden utilizar uno o varios parmetros de bsqueda. Para buscar un objeto de Directiva de grupo especfico en el bosque contoso.com mediante varios parmetros de bsqueda 1. En el rbol de la consola, haga clic con el botn secundario del mouse en Bosque:contoso.com y, a continuacin, haga clic en Buscar. 2. En el cuadro Search item, seleccione Nombre del GPO, escriba Password para Valor y, a continuacin, haga clic en Agregar. 3. En el cuadro Search item, seleccione Configuracin del equipo, seleccione Seguridad para Valor y, a continuacin, haga clic en Agregar. 4. Haga clic en Buscar. Los resultados deben ser similares a los que se muestran en la Figura 4.
6 de 16
08/08/2011 09:02 a.m.
Figura 4. Bsqueda de objetos de Directiva de grupo basada en criterios
5. Cuando obtenga los resultados de la bsqueda, puede realizar alguna de las operaciones siguientes:
Para abrir el objeto de Directiva de grupo y modificarlo, haga clic en Editar. Para guardar los resultados de bsqueda, haga clic en Save results. En el cuadro de dilogo Save GPO Search Results, especifique el nombre del archivo donde desea guardar los resultados y, a continuacin, haga clic en Guardar. Para desplazarse a un objeto de Directiva de grupo incluido en la bsqueda, haga doble clic en el objeto de Directiva de grupo en la lista de resultados de bsqueda. Para borrar los resultados de bsqueda, haga clic en Borrar. Para cerrar el cuadro de dilogo Search for Group Policy Objects, haga clic en Cerrar.
Definir el mbito de los objetos de Directiva de grupo

El valor de la Directiva de grupo slo resulta visible cuando se aplican correctamente los objetos de Directiva de grupo a los contenedores de Active Directory que desea administrar. El proceso de determinar qu usuarios y equipos van a recibir la configuracin de un objeto de Directiva de grupo recibe el nombre de definir el mbito del objeto de Directiva de grupo. El mbito de un objeto de Directiva de grupo se define a partir de tres factores.
Los sitios, los dominios o las unidades organizativas donde el objeto de Directiva de grupo est vinculado El mecanismo principal utilizado para aplicar la configuracin de un objeto de Directiva de grupo a usuarios y equipos consiste en vincular el objeto a un sitio, dominio o unidad organizativa en Active Directory. La ubicacin donde el objeto de Directiva de grupo est vinculado se denomina mbito de administracin o SOM (tambin llamada SDOU en notas del producto anteriores). Hay tres tipos de SOM: sitios, dominios y unidades organizativas. Un objeto de Directiva de grupo puede estar vinculado a varios SOM y un SOM puede tener varios objetos de Directiva de grupo vinculados a l. Un objeto de Directiva de grupo debe estar vinculado a un SOM para que se aplique. Los filtros de seguridad del objeto de Directiva de grupo De forma predeterminada, a todos los usuarios autenticados que se encuentran en el SOM (y sus nodos secundarios) en el que est vinculado un objeto de Directiva de grupo se les aplica la configuracin del objeto de Directiva de grupo. Puede delimitar an ms qu usuarios y equipos recibirn la configuracin de un objeto de Directiva de grupo administrando permisos para el objeto de Directiva de grupo. Esto proceso se denomina filtrado de seguridad. Para que un objeto de Directiva de grupo se aplique a un usuario o equipo, ese usuario o equipo debe tener los permisos Leer y
7 de 16
08/08/2011 09:02 a.m.
Aplicar directiva de grupo sobre el objeto. De manera predeterminada, los objetos de Directiva de grupo tienen permisos que admiten que el grupo Usuarios autenticados tenga esos dos permisos. As es como todos los usuarios autenticados reciben la configuracin de un nuevo objeto de Directiva de grupo cuando est vinculado a un SOM (unidad organizativa, dominio o sitio). No obstante, estos permisos se pueden cambiar para limitar el mbito del objeto de Directiva de grupo a un conjunto especfico de usuarios grupos o equipos incluidos en el SOM donde est vinculado.
El filtro de WMI para el objeto de Directiva de grupo Los filtros de WMI permiten que los administradores determinen de forma dinmica el mbito de los objetos de Directiva de grupo en funcin de sus atributos (disponibles en WMI) del equipo de destino. Un filtro de WMI consta de una o varias consultas contra el repositorio de WMI del equipo de destino que dan como resultado verdadero o falso. El filtro de WMI es un objeto independiente del objeto de Directiva de grupo en el directorio. Para aplicar un filtro de WMI a un objeto de Directiva de grupo, el filtro se vincula al objeto. Esto se muestra en la seccin de filtros de WMI de la ficha mbito de un objeto de Directiva de grupo. Cada objeto de Directiva de grupo slo puede tener un filtro de WMI, pero el mismo filtro de WMI puede estar vinculado a varios objetos de Directiva de grupo. Cuando un objeto de Directiva de grupo que est vinculado a un filtro de WMI se aplica al equipo de destino, el filtro se evala en dicho equipo. Si el filtro de WMI da como resultado falso, el objeto de Directiva de grupo no se aplica. Si da como resultado verdadero, el objeto de Directiva de grupo se aplica.
Para definir el mbito del objeto Directiva de contraseas del dominio incluido en la bsqueda anterior 1. En el panel de resultados Search for Group Policy Objects, haga doble clic en Directiva de contraseas del dominio y, a continuacin, haga clic en Cerrar. Nota: cuando se cierra el cuadro de dilogo Search for Group Policy Objects, el foco pasa al objeto de Directiva de grupo anteriormente seleccionado en GPMC. Aparecer la pgina GPO Scope, que se muestra en la Figura 5.
Figura 5. Definir el mbito de un objeto de Directiva de grupo
Para ver las directivas que aplica un objeto de Directiva de grupo 1. En el panel de resultados Directiva de contraseas del dominio, haga clic en la ficha Configuracin y luego en Show All. Aparecer un resumen de todas las opciones de directiva definidas, como se muestra en la Figura 6. Las opciones no definidas no se muestran.
8 de 16
08/08/2011 09:02 a.m.
Figura 6. Ver la configuracin del objeto de Directiva de grupo
Herencia y orden de los vnculos de las directivas de objetos de Directiva de grupo

En la ficha Group Policy Inheritance para un contenedor dado se muestran todos los objetos de Directiva de grupo (salvo aqullos vinculados a sitios) que heredan la configuracin de los contenedores principales. En la columna de prioridad de esta ficha se muestra la prioridad general de todos los vnculos que se aplican a objetos de ese contenedor, teniendo en cuenta el atributo Orden de vnculos y Obligatoriedad de cada vnculo, as como el valor de Bloquear la herencia. Para ver la herencia de directivas en un contenedor 1. En la ventana Administracin de directiva de grupo, bajo el rbol contoso.com, expanda la unidad organizativa Cuentas y, a continuacin, haga clic en la unidad organizativa Oficinas centrales, como se muestra en la Figura 7.
Figura 7. Herencia de Directivas de grupo Ver la imagen a tamao completo
Si varios objetos de Directiva de grupo estn vinculado al mismo contenedor y tienen opciones
9 de 16
08/08/2011 09:02 a.m.
en comn, debe haber un mecanismo que reconcilie la configuracin. Este comportamiento se controla mediante el orden de vnculos. Cuanto menor sea el nmero de orden de un vnculo, ms prioridad tendr. La informacin sobre los vnculos de un contenedor determinado se muestra en la ficha Linked Group Policy Objects del contenedor. En este panel se indica si el vnculo es obligatorio, si est habilitado, el estado del objeto de Directiva de grupo, si se aplica un filtro de WMI, cundo se ha modificado y el contenedor de dominio donde est almacenado. Los administradores o usuarios que tengan permisos delegados para vincular objetos de Directiva de grupo al contenedor pueden cambiar el orden de los vnculos resaltando un vnculo de objeto de Directiva de grupo y utilizando las teclas de direccin arriba y abajo para subir o bajar el vnculo en la lista. Para cambiar el orden de los vnculos de directiva en un contenedor 1. En la pantalla Oficinas centrales, haga clic en Linked Group Policy Objects. 2. En la columna GPO, haga clic en Directivas vinculadas y, despus, haga clic en la flecha arriba situada justo a la izquierda de la columna Orden de vnculos. Cuando termine, el orden de vinculacin de los objetos de Directiva de grupo bajo la unidad organizativa Oficinas centrales aparecer como se muestra en la Figura 8.
Figura 8. Orden de vnculos del objeto de Directiva de grupo Ver la imagen a tamao completo
Hacer una copia de seguridad, restaurar, copiar e importar objetos de Directiva de grupo
Hacer una copia de seguridad de un objeto de Directiva de grupo
Cuando se hace una copia de seguridad de un objeto de Directiva de grupo se copian los datos del objeto en el sistema de archivos. La funcin de copia de seguridad sirve tambin como utilidad de exportacin para los objetos de Directiva de grupo. Se puede utilizar una copia de seguridad de un objeto de Directiva de grupo para restablecerlo al estado de copia de seguridad o para importar la configuracin de la copia de seguridad a otro objeto de Directiva de grupo. Al hacer una copia de seguridad de un objeto de Directiva de grupo se guarda en el sistema de archivos toda la informacin almacenada en el interior del objeto. Esta informacin es la siguiente:
El identificador nico global (GUID) del objeto de Directiva de grupo y la configuracin del objeto en el dominio La lista de control de acceso discrecional (DACL) del objeto de Directiva de grupo El vnculo del filtro de WMI, si hay alguno, pero no el filtro en s Los vnculos a directivas de seguridad IP, si existe alguno
10 de 16
08/08/2011 09:02 a.m.
El informe XML (Lenguaje de marcado extensible) de la configuracin del objeto de Directiva de grupo, que se puede consultar como HTML desde GPMC La marca de fecha y hora de la copia de seguridad La descripcin especificada por el usuario de la copia de seguridad
Al hacer una copia de seguridad de un objeto de Directiva de grupo slo se guardan los datos almacenados dentro del objeto. Los datos almacenados fuera del objeto son los siguientes:
Los vnculos a un sitio, dominio o unidad organizativa Los filtros de WMI La directiva de seguridad IP
Estos datos no estn disponibles cuando se restaura la copia de seguridad al objeto de Directiva de grupo original o cuando se importa a un nuevo objeto. Para hacer una copia de seguridad del objeto Directiva de contraseas del dominio 1. En la ventana Administracin de directiva de grupo, bajo el rbol contoso.com, haga clic en la carpeta Objetos de Directiva de grupo. 2. En la carpeta Objetos de Directiva de grupo, haga clic con el botn secundario del mouse en el objeto de Directiva de grupo Directiva de contraseas del dominio y, a continuacin, haga clic en Back Up. 3. En el cuadro de dilogo Back Up Group Policy Object, escriba c:\windows para Ubicacin, escriba Copia de seguridad de la directiva de contraseas del dominio para Descripcin y, despus, haga clic en Back Up. 4. Una vez realizada la copia de seguridad, haga clic en Aceptar para continuar.
Administrar copias de seguridad

En la misma ubicacin del sistema de archivos se pueden almacenar varias copias de seguridad del mismo o de otro objeto de Directiva de grupo. Cada copia de seguridad se identifica mediante un identificador de copia de seguridad exclusivo. El grupo de copias de seguridad de una ubicacin del sistema de archivos determinada se puede administrar con el cuadro de dilogo Manage Backups de GPMC o mediante interfaces programables con secuencias de comandos. El cuadro de dilogo Manage Backups est disponible haciendo clic con el botn secundario del mouse en el nodo Dominio o en el nodo Objetos de Directiva de grupo de un determinado dominio. Cuando se abre Manage Backups desde el nodo Objetos de Directiva de grupo, la vista se filtra automticamente para que slo aparezcan las copias de seguridad de los objetos de Directiva de grupo de ese dominio. Cuando se abre desde el nodo Dominio, en el cuadro de dilogo Manage Backups se muestran todas las copias de seguridad, sean del dominio que sean. Para administrar las copias de seguridad de objetos de Directiva de grupo disponibles 1. En la ventana Administracin de directiva de grupo, bajo el rbol contoso.com, haga clic con el botn secundario del mouse en la carpeta Objetos de Directiva de grupo y, a continuacin, haga clic en Manage Backups. La ventana Manage Backups debe tener un aspecto similar al de la Figura 9.
11 de 16
08/08/2011 09:02 a.m.
Figura 9. Administrar copias de seguridad
2. En la ventana Manage Backups, haga clic para resaltar la Copia de seguridad de la directiva de contraseas del dominio creada anteriormente y, despus, haga clic en Ver configuracin. 3. Revise la informacin detallada sobre el objeto de Directiva de grupo y, a continuacin, cierre Internet Explorer.
Restaurar una copia de seguridad

Cuando se restaura un objeto de Directiva de grupo se vuelve a crear el objeto a partir de los datos incluidos en la copia de seguridad. Una operacin de restauracin se puede utilizar en las siguientes circunstancias: se ha hecho una copia de seguridad del objeto de Directiva de grupo pero se ha eliminado, o el objeto de Directiva de grupo est activo pero desea restablecerlo a un estado anterior conocido. Una operacin de restauracin reemplaza los siguientes componentes de un objeto de Directiva de grupo.
La configuracin del objeto La lista DACL del objeto Los vnculos de filtro de WMI (pero no los propios filtros)
La operacin de restauracin no restaura objetos que no forman parte del objeto de Directiva de grupo. Estos objetos incluyen vnculos a un sitio, dominio o unidad organizativa, filtros de WMI y directivas IPSec. Para restaurar el objeto Directiva de contraseas del dominio 1. En la ventana Manage Backups, haga clic en Restore. 2. Cuando se le indique, haga clic en Aceptar para restaurar la copia de seguridad seleccionada. 3. Haga clic en Aceptar cuando termine la restauracin del objeto de Directiva de grupo. 4. En el cuadro de dilogo Manage Backups, haga clic en Cerrar.
Copiar un objeto de Directiva de grupo

La operacin de copia permite transferir la configuracin de un objeto de Directiva de grupo existente en Active Directory a un nuevo objeto de Directiva de grupo. El nuevo objeto de Directiva de grupo creado durante la operacin de copia recibe un nuevo GUID y est desvinculado. Puede utilizar una operacin de copia para transferir la configuracin a un nuevo objeto de Directiva de grupo del mismo dominio, de otro dominio del mismo bosque o de un dominio de otro bosque. Como la operacin de copia utiliza un objeto de Directiva de grupo existente en Active Directory como su origen, se requiere una relacin de confianza entre los dominios de origen y de destino. Las operaciones de copia sirven para mover la Directiva de
12 de 16
08/08/2011 09:02 a.m.
grupo de un entorno de produccin a otro. Se utilizan tambin para migrar una Directiva de grupo que se ha probado en un dominio o bosque de prueba a un entorno de produccin, siempre que exista una relacin de confianza entre los dominios de origen y de destino. Para copiar un objeto de Directiva de grupo 1. En el rbol contoso.com de la carpeta Objetos de Directiva de grupo, haga clic con el botn secundario del mouse en el objeto de Directiva de grupo Directivas de usuario forzadas y, despus, haga clic en Copiar. 2. Haga clic en el signo ms (+) situado junto a vancouver.contoso.com para expandir el dominio y, despus, haga clic en el signo ms (+) situado junto a Objetos de Directiva de grupo para expandir el rbol. 3. Haga clic con el botn secundario del mouse en Objetos de Directiva de grupo y, a continuacin, haga clic en Pegar. 4. En Cross-Domain Copying Wizard, haga clic en Siguiente para continuar. 5. En la pantalla Specify Permissions, seleccione Use the default permissions for new GPOs (opcin predeterminada) como se muestra en la Figura 10 y, a continuacin, haga clic en Siguiente.
Figura 10. Asistente para copiar entre dominios
6. Una vez analizado el objeto de Directiva de grupo original, haga clic en Siguiente para continuar. 7. En la pantalla Completing the Cross-Domain Copying Wizard, confirme la configuracin y, a continuacin, haga clic en Finalizar. 8. Cuando termine la operacin de copia, haga clic en Aceptar. Nota: el objeto de Directiva de grupo Directivas de usuario forzadas se ha copiado al dominio vancouver.contoso.com, pero no se ha desvinculado del contenedor. Para vincular el objeto Directivas de usuario forzadas a la raz de vancouver.contoso.com 1. Haga clic con el botn secundario del mouse en vancouver.contoso.com, haga clic en Link an Existing GPO, haga clic para resaltar Directivas de usuario forzadas y, a continuacin, haga clic en Aceptar.
Importar un objeto de Directiva de grupo

La operacin de importacin transfiere la configuracin a un objeto de Directiva de grupo existente en Active Directory mediante un objeto de Directiva de grupo de copia de seguridad en la ubicacin del sistema de archivos como origen. Las operaciones de importacin sirven para transferir la configuracin de un objeto de Directiva de grupo a otro en el mismo dominio, en otro dominio del mismo bosque o en un dominio de un bosque diferente. La operacin de importacin siempre aplica la configuracin de la copia de seguridad a un objeto de Directiva de grupo existente. Borra cualquier configuracin que exista previamente en el objeto de Directiva de grupo de destino. La importacin no requiere una relacin de confianza entre el dominio de
13 de 16
08/08/2011 09:02 a.m.
origen y el de destino; por tanto, sirve para transferir la configuracin entre bosques y dominios que no tiene relaciones de confianza. La importacin de la configuracin a un objeto de Directiva de grupo no afecta a sus DACL, vnculos en sitios, dominios o unidades organizativas a ese objeto o vnculos a un filtro de WMI. Para importar la Directiva de contraseas del dominio de contoso.com a la de vancouver.contoso.com 1. En la ventana Administracin de directiva de grupo, haga clic con el botn secundario del mouse en vancouver.contoso.com y, despus, haga clic en Create and Link a GPO here. 2. En el cuadro de dilogo New GPO, escriba Directiva de contraseas del dominio para Nombre y, a continuacin, haga clic en Aceptar. 3. En Objetos de Directiva de grupo del rbol vancouver.contoso.com, haga clic con el botn secundario del mouse en el objeto de Directiva de grupo Directiva de contraseas del dominio y, despus, haga clic en Importar configuracin. 4. En Import Settings Wizard, haga clic en Siguiente para continuar. 5. En la pantalla Backup GPO, haga clic en Siguiente para continuar sin realizar una copia de seguridad, ya que el objeto de Directiva de grupo no tiene actualmente definiciones de directiva. 6. Acepte la carpeta de copia de seguridad predeterminada, c:\windows, y, a continuacin, haga clic en Siguiente para continuar. 7. Como la Directiva de contraseas del dominio es la nica copia de seguridad actual, est seleccionada de forma predeterminada. Haga clic en Siguiente para empezar a importar la configuracin de este objeto de Directiva de grupo. 8. Haga clic en Siguiente cuando se analicen los principales de seguridad del objeto de Directiva de grupo y, despus, haga clic en Finalizar. 9. Cuando concluya el Import Settings Wizard, haga clic en Aceptar. Para comprobar la Directiva de contraseas del dominio de vancouver.contoso.com 1. En Objetos de Directiva de grupo del rbol vancouver.contoso.com, haga clic en el objeto de Directiva de grupo Directiva de contraseas del dominio y, despus, haga clic en Show All en el panel de resultados. La configuracin debe ser idntica a la que se muestra en la Figura 11.
Figura 11. Directiva de contraseas del dominio de vancouver.contoso.com Ver la imagen a tamao completo
14 de 16
08/08/2011 09:02 a.m.
Creacin de modelos de objetos de Directiva de grupo

Modelos de Directiva de grupo
Los modelos de Directiva de grupo son una simulacin de lo que ocurrira en circunstancias especificadas por un administrador. Requiere que exista al menos un controlador de dominio que ejecute Windows Server 2003, ya que esta simulacin se ejecuta mediante un servicio que se ejecuta en un controlador de dominio con Windows Server 2003. Con los modelos de Directiva de grupo, puede simular los datos de RSoP que se aplicaran a una configuracin existente, o puede realizar anlisis condicionales simulando cambios hipotticos en el entorno de directorio y calculando el RSoP de esa configuracin hipottica. Por ejemplo, puede simular cambios en la pertenencia a grupos de seguridad, o cambios en la ubicacin del objeto de usuario o equipo en Active Directory. Fuera de GPMC, los modelos de Directiva de grupo reciben el nombre de RSoP - modo de planeamiento. Para simular el efecto de objetos de Directiva de grupo 1. En la ventana Administracin de directiva de grupo, haga clic en el signo menos (-) situado junto a Dominios para contraer el rbol. 2. En el rbol Bosque: contoso.com, haga clic con el botn secundario del mouse en Group Policy Modeling y, a continuacin, haga clic en Group Policy Modeling Wizard. 3. En la pantalla Group Policy Modeling Wizard, haga clic en Siguiente. 4. En la pantalla Domain Controller Selection, deje la configuracin predeterminada y haga clic en Siguiente. 5. En la pantalla Seleccin de equipo y usuario, bajo Informacin de usuario, haga clic en Usuario. Haga clic en Examinar, escriba Christine bajo Enter object name to select y, a continuacin, haga clic en Aceptar. Active la casilla de verificacin Ir directamente a la ltima pgina de este asistente sin recoger ms informacin y, despus, haga clic en Siguiente. La configuracin debe ser similar a la que se muestra en la Figura 12.
Figura 12. Asistente para crear modelos de Directiva de grupo
6. En la pantalla Resumen de las selecciones, haga clic en Siguiente para iniciar la simulacin. 7. Haga clic en Finalizar. El panel de la derecha contendr los resultados de la simulacin.
Recursos adicionales
Para obtener ms informacin, consulte los siguientes recursos:
Descargar la Consola de administracin de Directivas de grupo con el Service Pack 1 en http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272DD3CBFC81887&displaylang=en (en ingls)
15 de 16
08/08/2011 09:02 a.m.
Notas del producto Administrar la Directiva de grupo con GPMC en http://www.microsoft.com /windowsserver2003/gpmc/gpmcwp.mspx (en ingls) Para obtener la informacin ms reciente sobre Windows Server 2003, visite el sitio Web de Windows Server 2003 en http://www.microsoft.com/windowsserver2003
Administre su perfil 2011 Microsoft Corporation. Todos los derechos reservados. Pngase en contacto con nosotros | Aviso Legal | Marcas registradas | Privacidad
16 de 16
08/08/2011 09:02 a.m.

Usar La Consola de Administración de Directivas de Grupo (GPMC) en Un Entorno de Active Directory de Windows Server 2003

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Usar La Consola de Administración de Directivas de Grupo (GPMC) en Un Entorno de Active Directory de Windows Server 2003

Uploaded by

Copyright:

Available Formats

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Haga clic aqu para instalar Silverlight

Latinoamrica Cambiar | Todos los sitios de Microsoft

| Suscrbase | Descarga | Contctenos | Simplified

Gua detallada de uso de la Consola de administracin de Directivas de grupo

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Instalar y configurar GPMC

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Configurar GPMC para varios bosques

Administrar varios dominios simultneamente

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Figura 1. Mostrar dominios

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Figura 2. Cambiar controladores de dominio

Administrar objetos de Directiva de grupo

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Buscar objetos de Directiva de grupo

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Figura 4. Bsqueda de objetos de Directiva de grupo basada en criterios

Definir el mbito de los objetos de Directiva de grupo

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Figura 5. Definir el mbito de un objeto de Directiva de grupo

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Figura 6. Ver la configuracin del objeto de Directiva de grupo

Herencia y orden de los vnculos de las directivas de objetos de Directiva de grupo

Figura 7. Herencia de Directivas de grupo Ver la imagen a tamao completo

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Administrar copias de seguridad

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Figura 9. Administrar copias de seguridad

Restaurar una copia de seguridad

Copiar un objeto de Directiva de grupo

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Figura 10. Asistente para copiar entre dominios

Importar un objeto de Directiva de grupo

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

Creacin de modelos de objetos de Directiva de grupo

Figura 12. Asistente para crear modelos de Directiva de grupo

08/08/2011 09:02 a.m.

Usar la Consola de administracin de Directivas de grupo (GPMC) en u...

08/08/2011 09:02 a.m.

You might also like