SENATI Capitulo £¥ Fundamentos sobre directivas de grupo En este capitulo trataremos: | Identiicara los componentes de las directivas de grupo '@ Aprendera a administrar directivas de grupo '@ Aprendera a utilizar el editor de directivas de grupo Introduccién: | Las directivas de grupo permiten al administrador de red, | gestionar el entomo sobre los usuarios y las computadoras de | Una ted, definiendo de esta forma el entorno de trabajo una sola vez. A través del presente capitulo se ha reunido | informacion disponible en diversos medios para brindar una idea general del trabajo basico con directivas de grupo. Programa Nacional de Informéitica 167a. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI Introducci6n a Administracién de directivas de grupo La Administracién de directivas de grupo incluye la Consola de administracién de directives de grupo (GPMC), la Microsoft Management Console que permite administrar el costo de las directivas de grupo de forma eficaz para su companiia. La Consola de administracién de directivas de grupo simplifica la administracién de la directiva de grupo basada en dominio al proporcionar una sola experiencia de administracién, edicién y generacion de informes de los aspectos centrales de la directiva de grupo. Puede considerar GPMC como un recurso de una sola parada para administrar sus necesidades de directiva de grupo. La Consola de administracion de directivas de grupo incluye: Una interfaz de usuario que aumenta la facilidad de uso de la directiva de grupo. Copia de seguridad y restauracién de los objetos de directiva de grupo (GPO). Importacién y exportacién, asi como copia y pegado de GPO y filtos Instrumental de administracion de Windows (WMI). ‘Administracién simplificada de la seguridad relacionada con la direotiva de grupo. Generacién de informes HTML para la configuracién de GPO y datos del Conjunto resultante de directivas (RSoP). Posibilidad de incluir comentarios basados en texto en los objetos de directiva de grupo y configuracién de la directiva basada en el Registro. Vistas fitradas de la configuracién de la directiva basada en el Registro en funcién de palabras clave dentro de! titulo, el texto de explicacién o los comentarios de la configuracién de la directiva. Objetos de directiva de grupo de inicio: colecciones portatiles de la configuracién de directiva basada en el Registro, que proporcionan puntos de cio para los GPO. Preferencias: veintiuna extensiones de directiva de grupo adicionales que le permiten administrar asignaciones de unidades, valores del Registro, usuarios ¥ grupos locales, servicios, archivos, carpetas y mas sin necesidad de aprender ningun lenguaje de scripting. Modificar objetos de varias directivas de grupo local Varias directivas de grupo local es una coleccién de objetos de directiva de grupo local (LGPO), disefiada para mejorar la administracién de los equipos que no forman parte de un dominio. Esta coleccién se compone de los siguientes LGPO: Directiva de equipo local. Este LGPO aplica la configuracién de directiva al equipo y alos usuarios que una sesi6n en el equipo. Es el mismo LGPO que se incluyé en versiones anteriores de Microsoft Windows. Directiva de grupo local de administradores. Este LGPO aplica la configuracién de directiva de usuario alos miembros del grupo Administradores. Directiva de grupo local de no administradores. Este LGPO aplica la configuracién de directiva de usuario a los usuarios que no pertenecen al grupo Administradores_ 168! Programa Nacional de informéticaCapitulo Xi: Fundamentos de directivas de grupo * Directiva de grupo local de usuarios. Este LGPO aplica la configuracién de directiva de usuario a un usuario local especifico. Para modificar objetos de varias directivas de grupo local 1. Abra Microsoft Management Console. 2. Haga clic en Archivo y, a continuacién, en Agregar 0 quitar complemento 3. Haga clic en el Editor de directivas de grupo local en la lista Complementos ibles y hage dlic en Agregar. en el botén Examinar del cuadro de didlogo Seleccionar un objeto de directiva de grupo. 5. Haga clic en la ficha Usuarios del cuadro de didlogo Buscar un objeto directiva de grupo. . Haga clic en el usuario o grupo en el que desee crear 0 modificar una directiva de grupo local. Haga clic en Aceptar, en Finalizar y, a continuacién, en Acoptar. 7. Busque y establezca una o varias configuraciones de directiva. » Consideraciones adicionales 1. En los controladores de dominio los objetos de varias directivas de grupo local (MLGPO) no estan disponibles. 2. La directiva de grupo local se procesa en el siguiente orden, en el que el LGPO final tiene prioridad sobre el resto: 41. Directiva de grupo local (también denominada directiva de equipo focal). 2. Directiva de grupo local de administradores 0 no administradores. 3. Directiva de grupo local de usuarios. Apertura del Editor de directivas de grupo local Puede abrir el Editor de directivas de grupo local mediante la linea de comandos 0 mediante Microsoft Management Console (MMC). Para abrir el Editor de directivas de grupo local desde Ia linea de comandos + Haga clic en Inicio, Todos los programas, Accesorios y Ejecutar. Escriba [Link] en el cuadro y haga alic en Aceptar o presione ENTRAR. Seacceneneenen pavers NSS aceon Be contgaacanaeeipe 1B cantgrace dee Programa Nacional de Informética "169a. gy Administracién y Mantenimiento de Windows Server 2008 SENATI Para abrir el Editor de directivas de grupo local como complemento de MMC Nota Si desea guardar una consola de! Editor de directivas de grupo local y elegir el objeto de directiva de grupo que se abre en ella desde la linea de comandos, active la casilla Permitir que cambie el enfoque de! complemento de directivas de grupo cuando se desde la linea de comandos en el cuadro de didlogo Seleccionar un objeto de directiva de grupo. 1. Abra MMC. Haga clic en Inicio; a continuacién, en el cuadro Iniciar busqueda, escriba mmc y presione ENTRAR. 2. Enel mend Archivo, haga clic en Agregar 0 quitar complemento. 3. Enel cuadro de didlogo Agregar o quitar complementos, haga clic en Editor de directivas de grupo local y, después, en Agregar. 4. Enel cuadro de didlogo Seleccionar un objeto de directiva de grupo, haga clic en Examinar. 5. Haga clic en Este equipo para modificar el objeto de directiva de grupo local, o en Usuarios para modificar los objetos de directiva de grupo local de administrador, no administrador 0 por usuario. 6. Haga clic en Finalizar, en Cerrar y, a continuacién, en Aceptar. El Editor de directivas de grupo local abre el objeto de directiva de grupo (GPO) para modificarlo_ Consola de administracién de directivas de grupo Consola de administracién de directivas de grupo (GPMC) es un complemento de scripts de Microsoft Management Console (MMC), que proporciona una tnica herramienta administrativa para administrar la directva de grupo en toda la organizacién. GPMC es la herramienta esténdar para administrar la directiva de grupo. Abrir GPMC Puede iniciar la Consola de administracién de directivas de grupo (GPMC) con uno de estos dos métodos. Para iniciar GPMC Realice una de estas acciones: > Presione la tecla del logotipo de Windows + R para abrir el cuadro de didlogo EJECUTAR. Escriba [Link] en el cuadro de texto y, después, haga clic en Aceptar o presione ENTRAR. > Haga clic en Inicio, Todos los programas, Accesorios y, después, en Ejecutar. Escriba [Link] en el cuadro de texto y, después, haga clic en Aceptar 0 presione ENTRAR. 170 Programa Nacional de informéticaCapitulo Xi: Fundamentos de directivas de grupo Senee — [penatindspe 7 ee el eters = 15S. 7 eons eS mance Ls a mn J i T Personalizar la interfaz de usuario de GPMC Puede personalizar la interfaz de usuario de la Consola de administracién de directivas de grupo (GPMC) mediante ios procedimientos que se describen en este tema. Para sonfigurcr las opciones de Ia interfaz de usuario En el meni Ver de GPMC, haga clic en Opciones. 2 Seleccione una 0 todas las fichas que se muestran a continuacién, de una en una, para personalizar aspectos especificos de la interfaz de usuario de GPMC: En la ficha Columnas: 1. Seleccione una tabla de la lista desplegable Ubicacién de la tabla. 2. En Colurnas mostradas en este orden, agregue una marca de verificacion junto a cada columna que debe mostrarse. 3. Seleccione una columna y utilice los botones Subir y Bajar para establecer el orden de las columnas. 4, Repita los pasos 2 a 3 para cada tabla de la lista desplegable Ubicacién de la tabla que dese cambiar y, a continuacién, haga clic en Aceptar. 5. La opcién Guardar orden y tamafio de columnas personalizados esté activada de forma predeterminada y convierte en permanentes las selecciones de orden y tamafio de las columnas. Desactive esta casilla sino desea mantener las selecciones. “ Programa Nacional de Informética vna. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI En la ficha Generacién de informes, elija una de las opciones siguientes: ‘+ Para especificar que GPMC debe utllizar los archivos .adm locales, seleccione Predeterminado. Si un archivo adm no se encuentra localmente, GPMC buscard en la carpeta de objetos de directiva de grupo (GPO) de la carpeta sysvol. + Para especificar una ubicacién personalizada que tenga prioridad sobre las ubicaciones predeterminadas, seleccione Personalizada e introduzca la ubicacién en la que se almacenan los archivos adm. Este procedimiento se aplica sélo a los archivos adm, no a los nuevos archivos ADMX, que se introdujeron en Windows Vista®. La ubicacién de archivos ADMX no se puede configurar. GPMC leera automaticamente los archivos ADMX del almacén focal o el almacén central basado en el domi En la ficha General, seleccione una de las opciones siguientes: + Para mostrar solamente bosques o dominios que tengan confianza bidireccional con el dominio del usuario, seleccione Habilitar deteccién de confianza. Esta configuracién esta activada de forma predeterminada. ‘+ Para mostrar nombres de controlador de nombres de dominio entre paréntesis después de cada dominio en GPMC, seleccione Mostrar controladores de dominio después de los nombres de dominio. «Para mostrar un cuadro de didlogo de confirmacién que distinga entre GPO y vinculos de GPO cada vez que se selecciona un GPO 0 vinculo de GPO en GPMC, seleccione Mostrar dialogo de confirmacién para distinguir entre los GPO y los vinculos de GPO. Esta configuracién esta activada de forma predeterminada. La Consola de administracién de directivas de grupo (GPMC) usa archivos con una extensién .adm, .admx y .adml para mostrar los nombres descriptivos de las configuraciones de directivas cuando genera informes HTML para GPO, Modelado de directivas de grupo y Resultados de directivas de grupo. Estas opciones permiten controlar la ubicacién en la que GPMC lee sélo archivos .adm. Si agrega o modifica un archivo .adm 0 ADMX en una ubicacion existente, debera reiniciar GPMC para que GPMC muestre el cambio realizado en el archivo adm o .admx al mostrar los informes HTML. GPMC nunca copia los archivos .adm 0 ADMX en la carpeta sysvol. Crear un objeto de directiva de grupo Para crear un objeto de directiva de grupo 1. Enel dtbol de Consola de administracién de directivas de grupo (GPMC), haga clic con el botén secundario en Objetos de directiva de grupo en el bosque y el dominio en el que desee crear un objeto de directiva de grupo (GPO). 2. Haga clic en Nuevo. 3. En el cuadro de didlogo Nuevo GPO, especifique un nombre para el nuevo GPO y, a continuacién, haga clic en Aceptar. iz Programa Nacional de Informeéticaow SeENATI Cuando se crea un GPO, dicho GPO no tiene ningiin efecto hasta que se vincula a un sitio, dominio 0 unidad organizativa. De manera predeterminada, solo los administradores de dominio, los administradores de organizacién y los miembros del grupo de propietarios del creador de grupo pueden crear objetos de directiva de grupo. Capitulo Xi: Fundamentos de directivas de grupo Editar un objeto de directiva de grupo Para editar un objeto de directiva de grupo 1. Enel atbol de Consola de administracién de directivas de grupo (GPMC), haga doble clic en Objetos de directiva de grupo en el bosque y el dominio que contienen el objeto de directiva de grupo (GPO) que desea editar. 2. Haga clic con el botén secundario en el GPO y, a continuacién, haga clic en Modificar. 3. Enel 4rbol de consola, modifique la configuracién como corresponda. EI GPO de Ia directiva de dominio predeterminado y el GPO de la directiva de controladores de dominio predeterminados son vitales para el buen funcionamiento de un dominio. Se recomienda no modificar e! GPO de la directiva de controladores de dominio predeterminados ni el GPO de la directiva de dominio predeterminado, excepto en los casos siguientes: Se requiere que la directiva de cuenta se configure en el GPO de dominio predeterminado. Si instala aplicaciones en controladores de dominio que requieren a modificacion de las configuraciones de derechos de usuario 0 de auditoria, las modificaciones deben llevarse a cabo en el GPO de directiva de controladores de dominio predeterminados. De manera predeterminada, sélo los administradores del dominio, los administradores de organizacion y los miembros de! grupo de propietarios del creador de directivas de grupo pueden editar GPO. Para modificar la configuraci6n de la directiva IPSec en un GPO, debe ser miembro del grupo de administradores de dominio. Para editar un GPO, también puede hacer clic con el botén secundario en el nombre del GPO en cualquier contenedor al que esté vinculado y, después, hacer clic en Modificar. Buscar un objeto de directiva de grupo Para buscar un objeto de directiva de grupo 1. Enel 4rbol de consola de Consola de administracién de directivas de grupo (GPMC), haga doble clic en el bosque que contiene el dominio donde desea buscar un objeto de directiva de grupo (GPO). Haga doble clic en Dominios, haga clic con el botén secundario en el dominio y, después, en Buscar. — Programa Nacional de Informética m7,a. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI 2 En el cuadro de didlogo Buscar objets de directiva de grupo, en el cuadro Buscar los GPO en este dominio, seleccione un dominio 0 Todos los dominios mostrados en este bosque. En el cuadro Elemento que se busca, seleccione el tipo de objeto en el que desea basar la bisqueda. Si selecciona Grupo de seguridad, aparece el cuadro de didlogo Seleccionar usuarios, equipos 0 grupos. Especifique el tipo de objeto apropiado, la ubicacién de! objeto y el nombre de objeto y, a continuacién, haga clic en Aceptar. Puede elegir Vinculos de GPO en el meni despiegable Elemento que se busca para buscar GPO desvinculados y GPO vinculados entre dominios. En el cuadro Condicién, seleccione la condicién que desea utilizar en la bisqueda. En el cuadro Valor, seleccione 0 especifique el valor que desea utilizar para filrar la basqueda y, a continuacién, haga clic en Agregar. Repita los pasos 4 y 5 hasta finalizar la definicién de todos los criterios de bisqueda y, a continuacién, haga clic en Buscar. Cuando se devuelvan los resultados de la busqueda, realice una de las acciones siguientes: © Para guardar los resultados de la bésqueda, haga clic en Guardar resultados y, a continuacién, en el cuadro de diélogo Guardar resultados de bisqueda de GPO, especifique e! nombre de archivo para los resultados guardados y haga clic en Guardar. © Para ir al GPO encontrado en la bisqueda, haga dobie clic en el GPO en la lista de resultados de la busqueda © Para borrar los resultados de la bisqueda, haga clic en Borrar. También puede abrir e! cuadro de didlogo de busqueda si hace clic con el botén secundario en un bosque y, a continuacion, hace clic en Buscar. En este caso, la busqueda de GPO en este cuadro de dominio se establece de forma predeterminada ‘en Todos los dominios mostrados en este bosque. Si se habilita una configuracién de directiva y a continuacién se quitan todas las configuraciones de directiva de esa extensién, puede que los resultados de las bisquedas sean falsos positives para determinados tipos de configuracién. Esto sucede porque la extension de! GPO aparece como activa, Agregar un dominio Después de realizar este procedimiento, puede ver y administrar un dominio de Active Directory existente con la Consola de administracién de directivas de grupo (GPMC). Para agregar un dominio en GPMC 1 En el arbol de consola de GPMC, haga doble clic en el bosque al que desea agregar un dominio, haga clic con el botén secundario en Dominios y, a continuacién, haga clic en Mostrar dominios. 174) Programa Nacional de Informeéticaow SeENATI Capitulo Xi: Fundamentos de directivas de grupo 2. Enel cuadro de didlogo Mostrar dominios, active la casilla que aparece junto a cada dominio que desee agregar a GPMC y, a continuacién, haga clic en Aceptar. Al agregar un dominio a GPMC no se crea un nuevo dominio en Active Directory. Los dominios siempre aparecen como interlocutores de otro, independientemente de su relacion real. Puede utilizar la funcién Agregar bosque para agregar dominios de confianza extemos. Especificar un controlador de dominio Para especificar un controlador de dominio. 1. Enel Stbol de consola de Consola de administracién de directivas de grupo (GPMC), realice una de las siguientes acciones: «= Sidesea especificar el controlador de dominio para un dominio, haga doble clic en el bosque que contiene el dominio de interés, haga doble clic en Dominios, haga clic con el botén secundario en el dominio de interés y, a continuacién, haga clic en Cambiar el controlador de dominio. + Sidesea especificar el controlador de dominio para un sitio, haga doble dic en el bosque que contiene los sitios de interés, haga clic con el botén secundario en Sitios y, a continuacién, haga clic en Cambiar el controlador de dominio. En la lista desplegable Buscar en este dominio del cuadro de dialogo Cambiar el controlador de dominio, seleccione el dominio en que reside el controlador de dominio. 2. Seleccione la opcién de controlador de dominio del cuadro de diélogo Cambiar el controlador de dominio y haga clic en Aceptar. Todas las operaciones realizadas en un dominio de los objetos de directiva de grupo, grupos de seguridad y unidades organizativas utilizan e! controlador de dominio que especificé para el dominio. Todas las operaciones realizad: dominio que especificé para los en los vinculos a sitios utilzan el controlador de Agregar un bosque Para agregar un bosque Puede especificar el nombre NetBIOS 0 el nombre DNS de cualquier dominio del bosque. Si especifica un nombre NetBIOS, debe confirmar que éste se corresponde con el nombre DNS de! dominio. 1. Enel étbol de consola de Consola de administracién de directivas de grupo (GPMC), haga clic con el botén secundario en Administracién de directivas de grupo y, a continuacién, haga clic en Agregar bosque. 2. Enel cuadro de didlogo Agregar bosque, escriba el nombre DNS 0 NetBIOS de cualquier dominio de! bosque y, a continuacién, haga cic en Aceptar. — Programa Nacional de Informiitica 75a. FBZ ncricitracén y Mantenimionto de Window Server 2008 SENATI Al agregar un bosque a GPMC no se crea un nuevo bosque en Active Directory. Los objetos de directiva de grupo no se pueden vincular fuera de un bosque. La consola GPMC admite la administracion de varios bosques desde la consola, cuando existe confianza entre el bosque de destino y el bosque del objeto de usuario. Puede utilizar la funcién Agregar bosque para agregar dominios de confianza extemos, aunque no haya establecido la confianza de bosque con todo el bosque. Sin ‘embargo, debe existir confianza entre el dominio que desea agregar y el dominio de su objeto de usuario. Agregar un sitio Para agregar un sitio 1. Enel étbol de consola de Consola de administracién de directivas de grupo (GPMC), haga doble clic en el bosque al que desea agregar un sitio, haga clic con el botén secundario en Sitios y, a continuacién, haga clic en Mostrar sitios. 2. Enel cuadro de didlogo Mostrar sitios, active la casilla que aparece junto a cada sitio que dese mostrar en el arbol de consola y, a continuacién, haga clic en Acepiar. Los sitios no aparecen en el érbol de consola a no ser que se agreguen de forma explicita, Ver, imprimir y guardar un informe de configuracién de Directiva de grupo Para ver, imprimir y guardar un informe de configuracién de Directiva de grupo 1. Enel étbol de consola de Consola de administracién de directivas de grupo (GPMC), haga doble clic en el bosque que contiene el dominio o unidad organizativa que contiene el objeto de directiva de grupo (GPO) con el que desea trabajar y, después, seleccione el GPO. Haga clic en la ficha Configuracién para ver los informes de GPMC. 3. Si desea imprimir 0 guardar el informe, haga clic con el botén secundario en el informe de configuracién del panel de resultados y realice una de las acoiones siguientes: © Seleccione Imprimir para imprimir el informe. © Seleccione Guardar informe para guardar el informe. nN Para personalizar la informacién que aparece en el informe, haga clic en Mostrar u Ocultar para ver exclusivamente los datos que desea ver o imprimir. Para ver la descripcién de una opcién en Plantillas administrativas, haga clic en el nombre de opcién en el informe. Desde GPMC no es posible utilizar el teclado para desplazarse por un informe HTML. Para desplazarse por un informe HTML, guarde el informe en un archivo y posteriormente utilice Microsoft Internet Explorer para verlo. 176. Programa Nacional de informéticaow SeENATI Copiar un objeto de directiva de grupo Puede copiar un objeto de directiva de grupo (GPO) con el método de arrastrar y colocar 0 con el método de hacer clic con e! botén secundario. Ambos métodos se describen en este tema. Capitulo Xi: Fundamentos de directivas de grupo Para copiar un objeto de directiva de grupo (método de arrastrar y colocar) 1. Enel étbol de consola de Consola de administracién de directivas de grupo (GPMC), haga clic en el objeto de directiva de grupo (GPO) que desee copiar. 2. Realice una de las acciones siguientes: © Para crear una copia del GPO en el mismo dominio que el GPO de origen, arrastre y coloque el GPO que desea copiar en Objetos de directiva de grupo, seleccione una opcién de permisos en Especificar permisos para el nuevo GPO y, después, haga clic en Aceptar. © Para crear una copia del GPO en un dominio diferente, haga doble clic en el dominio de destino y, después, arrastre y coloque el GPO que desea copiar en Objetos de directiva de grupo. Responda a todas las, preguntas en el asistente de copia entre dominios que aparece y, a continuacién, haga clic en Finalizar. Para copiar un objeto de directiva de grupo (método de hacer clic con el botén secundario) 1. Enel dtbol de consola de GPMC, haga clic con el botén secundario en el GPO que desea copiar y, después, haga clic en Copiar. 2. Realice una de las acciones siguientes: © Para crear una copia de! GPO en el mismo dominio del GPO de origen, haga clic con el botén secundario en Objetos de directivas de grupo, haga clic en Pegar, especifique los permisos para el nuevo GPO en el cuadro Copiar GPO y, a continuacién, haga clic en Aceptar. © Para crear una copia del GPO en un dominio diferente, haga doble clic en el dominio de destino, haga clic con el botén secundario en Objetos de directivas de grupo y, a continuacién, haga clic en Pegar. Responda a todas las preguntas en el asistente de copia entre dominios que aparece y, a continuacién, haga clic en Finalizar. ‘oner de privilegios para crear GPO en el dominio de destino para completar este procedimiento. Para realizar operaciones de copia en otro dominio, es posible que necesite especificar una tabla de migracion Importar la configuraci6n de un objeto de directiva de grupo Para importar la configuracién de un objeto de directiva de grupo 1. Enel tbo! de consola de Consola de administracién de directivas de grupo (GPMC), expanda e! nodo Objetos de directiva de grupo del bosque y el S Programa Nacional de Informiitica a7a. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI dominio que contienen el objeto de directiva de grupo (GPO) cuya configuracién desea importar. 2. Haga clic con el botén secundario y haga clic en Importar configuracién. 3. Siga las instrucciones de! Asistente para importar configuracién. Para llevar a cabo este procedimiento, debe tener permisos de edici6n en el objeto GPO en el que desea importar la configuracién. Para realizar operaciones de importacién en otro dominio 0 bosque, es posible que necesite especificar una tabla de migracién. Trabajar con tablas de migracién Las tablas de migracién se utilizan cuando se copia o importa un objeto de directiva de grupo (GPO) de un dominio o bosque a olfo. El principal problema al migrar objetos de directiva de grupo (GPO) entre dominios o bosques es que parte de la informacién del GPO es especifica del dominio o bosque donde esté definido el GPO. Al transferir el GPO a un nuevo dominio 0 bosque, puede que no siempre sea deseable o posible utilzar la misma configuracién. Puede utilizar una tabla de migracién para hacer referencia a usuarios, grupos, equipos y rutas UNC del GPO de origen con nuevos valores del GPO de destino. Para crear tablas de migracién, puede utilizar el Editor de tablas de migracién. + Rellenar automaticamente una tabla de migracién desde un objeto de directiva de grupo ‘+ Crear una tabla de migracion Vincular un objeto de directiva de grupo Para vincular un GPO 1. Enel érbol de consola de la Consola de administracién de directivas de grupo (GPMC), localice el si idad organizativa al que desea vincular tun objeto de directiva de grupo (GPO). 2. Realice una de las acciones siguientes: © Para vincular un GPO existente, haga clic con el botén secundario en el dominio o la unidad organizativa dentro del dominio y, a continuacién, haga clic en Vincular un GPO existente. En el cuadro de didlogo Seleccionar GPO, haga clic en el GPO que desea vincular y, a continuacién, en Aceptar. ©. Para vincular un nuevo GPO, haga clic con el botén secundario en un dominio o una unidad organizativa y, después, haga clic en Crear un GPO en este dominio y vincularlo aqui. En el cuadro Nombre, escriba un nombre para el nuevo GPO y, a continuacién, haga clic en Aceptar. Para vincular un GPO existente a un sitio, dominio o unidad organizativa, debe disponer del permiso Vincular objetos de directivas de grupo sobre ese sitio, dominio © unidad organizativa. De forma predeterminada, sélo los administradores de dominio y los administradores de organizacién tienen este privilegio para dominios y unidades organizativas. Los administradores de dominio y los administradores de organizacion del dominio raz del bosque disponen de este privilegio para los sitios. 178 Programa Nacional de informéticaCapitulo Xi: Fundamentos de directivas de grupo SENATI Para crear y vincular un GPO, debe disponer de permisos Vincular objetos de directivas de grupo sobre el dominio o unidad organizativa que desee, asi como de permiso para crear objetos de directivas de grupo en ese dominio. De forma predeterminada, solamente los administradores de dominio, los administradores de organizacién y los propietarios del creador de directivas de grupo disponen de permiso para crear GPO. La opcién Crear un GPO en este dominio y vincularlo aqui no esté disponible para los sitios. El administrador puede crear un GPO en cualquier dominio del bosque y, después, utilizar la opcién Vincular un GPO existente para vincularlo al sitio. Filtrar con grupos de seguridad Para filtrar con grupos de seguridad 1. Enel dtbol de consola de Consola de administracién de directivas de grupo (GPMC), expanda Objetos de directiva de grupo y haga clic en el objeto de directiva de grupo (GPO) al que desee aplicar el fitrado de seguridad. En el panel de resultados, en la ficha Ambito, haga clic en Agregar. 3. Escriba el nombre de objeto que desea seleccionar, escriba el nombre del usuario, grupo 0 equipo que desee agregar al fitro de seguridad. Haga clic en Aceptar. v Para garantizar que sdlo los miembros del grupo 0 los grupos que agregé en el paso 3 pueden recibir la configuracién de este GPO, deberé quitar Usuarios autenticados si este grupo aparece en la ficha Ambito. Haga clic en la ficha Ambito, seleccione este grupo y, después, haga clic en Quitar. Debe disponer de permisos Editar configuracién, eliminar, modificar seguridad sobre el GPO para realizar esos procedimientos. La configuracién de un GPO sélo se aplica a los usuarios y equipos que pertenecen al dominio 0 unidades organizativas a las que esta vinculado el GPO, y que se especifican o pertenecen a un grupo especificado en Filtrado de seguridad. Exigir un vinculo de objeto de directiva de grupo Para exigir un vinculo de objeto de directiva de grupo 1. Enel 4rbol de consola de Consola de administracién de directivas de grupo (GPMC), haga doble clic en el bosque que contiene el dominio, sitio 0 unidad organizativa que contiene el vinculo que desea exigir y, después, realice una de las acciones siguientes: © Para aplicar un vinculo de GPO en el nivel de dominio, haga doble clic en Dominios y, a continuacién, haga doble clic en el dominio que contiene el vinculo de GPO. © Para aplicar un vinculo de GPO en el nivel de unidad organizativa, haga doble clic en Dominios y, a continuacién, haga doble clic en la unidad organizativa que contiene el vinculo de GPO. © Para aplicar un vinculo de GPO en el nivel de sitio, haga doble clic en 8 y, @ continuacién, haga doble clic en el sitio que contiene el vinculo de GPO. Programa Nacional de Informiitica “19a. FBZ ncricitracén y Mantenimionto de Window Server 2008 SENATI 2. Haga clic con el botén secundario en el vinculo de GPO y, a continuacion, haga clic en Exigido para habilitar o deshabilitar la obligatoriedad del vinculo. Una marca de verificacion junto a Exigido indica que se exige el vinculo. Debe disponer de permisos Vincular objetos de directiva de grupo del dominio, sitio o unidad organizativa que contiene el vinculo de GPO para realizar este procedimiento. Para determinar si se exige un vinculo de GPO, también puede hacer clic en el vinculo de GPO y ver la informacién de la seocién Vinculos de la ficha Ambito. Deshabilitar la configuracién de usuario o del equipo en un objeto de directiva de grupo Para deshabilitar la configuracién de usuario o equipo en un objeto de directiva de grupo 1. Enel drbol de Consola de administracién de directivas de grupo (GPMC), haga doble clic en el bosque que contiene el dominio o unidad organizativa que contiene el objeto de directiva de grupo (GPO). Haga doble dlic en e! dominio o la unidad organizativa.. Haga ciic con e! botén secundario en el GPO que contiene la configuracion de usuario 0 equipo que desea deshabilitar, seleccione Estado de GPO y, a continuaci6n, realice el siguiente procedimiento: © Haga clic en Configuracién de usuario deshabilitada para deshabiltar la configuracién de usuario para el GPO. Haga clic en Configuracién de equipo deshabilitada para deshabilitar la configuracién de equipo para el GPO. 4, Una marca de verificacién al lado de Configuracion de usuario deshabilitada 0 Configuracién de equipo deshabilitada indica que la configuracién del usuario © del equipo esté deshabilitada. Debe tener permisos de Edicién en el GPO para realizar este procedimiento. El Estado de GPO también se puede modificar en la ficha Detalles del GPO. Deshabilitar un vinculo de objeto de directiva de grupo Para deshabilitar un vinculo de objeto de directiva de grupo 1. Enel étbol de consola de Consola de administracién de directivas de grupo (GPMC), haga doble clic para expandir el bosque que contiene el dominio, sitio 0 unidad organizativa que contiene el vinculo que desea deshabilitar y, en ‘© Haga clic con el botén secundario en el vinculo de GPO. Una marca de verificacion junto a Vinculo habilitado indica que el vinculo esta actualmente habilitado. © Haga clic en Vinculo habilitado para deshabilitar el vinculo. No se mostrara ninguna marca de verificacién cuando el vinculo se deshabilite. 1807 Programa Nacional de informéticaow SENATI Para completar este procedimiento, debe disponer del permiso Vincular objetos de directiva de grupo en el dominio, sitio o unidad organizativa. Para determinar si un vinculo de GPO esté habilitado, también puede hacer clic en el vinculo de GPO de la informacién de la seccién Vinculos de la ficha Ambito. Capitulo Xi: Fundamentos de directivas de grupo Bloquear herencia Puede bloquear la herencia de un dominio o unidad organizativa. Al bloquear la herencia se evita que el nivel secundario herede de forma automatica los objetos de directiva de grupo (GPO) que estén vinculados a unidades organizativas, dominios 0 sitios superiores. Para bloquear la herencia 1. En el atbol de consola de Consola de administracién de directivas de grupo (GPMC), haga doble clic en el bosque que contenga el dominio 0 unidad organizativa en el que desee bloquear la herencia de vinculos de GPO y, a continuacién, realice una de las acciones siguientes: Para bloquear la herencia de los vinculos de GPO de todo el dominio, haga doble clic en Dominios y, después, haga clic con el botén secundario en el dominio. © Para bloquear la herencia de una unidad organizativa, haga doble clic en Dominios, haga doble clic en el dominio que contenga la unidad organizativa y, después, haga clic con el botén secundario en la unidad organizativa 2. Haga clic en Bloquear herencia. Para completar este procedimiento, debe disponer del permiso Vincular objetos de directiva de grupo para el dominio o la unidad organizativa. Si un dominio 0 una unidad organizativa se configura para bloquear la herencia, aparecerd con un signo de exclamacién azul en el arbol de consola. Los vinculos de GPO que se aplican no se pueden bloquear desde el contenedor primario. Determinar el conjunto resultante de directivas Para determinar el conjunto resultante de directivas 1. Enel drbol de consola de Consola de administracién de directivas de grupo (GPMC), haga doble clic en el bosque en el que desea crear una consulta de resultados de directiva de grupo, haga clic con el botén secundario en. Resultados de directiva de grupo y, a continuacién, haga clic en Asistente para Resultados de directivas de grupo. 2. Enel Asistente para Resultados de directivas de grupo, haga clic en Siguiente y escriba la informacion comespondiente. 3. Después de terminar el asistente, haga alic en Finalizar. 4. Sidesea imprimir o guardar el informe, haga clic con el botén secundario en el forme de configuracién del panel de resultados y realice una de las acciones siguientes: SS Programa Nacional de Informiitica 181a. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI © Seleccione Imprimir para imprimir el informe. © Seleccione Guardar informe para guardar el informe. Para obtener acceso a los datos de Resultados de directivas de grupo para un usuario 0 un equipo, debe tener el permiso Leer para los datos de Resultados de directivas de grupo en el dominio o unidad organizativa que contiene el usuario o el equipo, 0 bien debe ser miembro de un grupo local de administradores en el equipo de destino. Para personalizar la informacién que aparece en el informe, haga clic en Mostrar u Ccultar para ver exclusivamente los datos que desea ver o imprimir. Desde GPMC no es posible utilizar el teclado para desplazarse por un informe HTML. Para desplazarse por un informe HTML, guarde el informe en un archivo y posteriormente utilice Internet Explorer para verlo. Si abre una consola guardada anteriormente y desea guardar un informe de Modelado de directivas de grupo 0 de Resultados de directivas de grupo en XML, \uelva a ejecutar el informe utilizando la opcién Volver a ejecutar consulta. Para ver un informe guardado en un explorador web, debe utilizar Microsoft Intemet Explorer® 6 0 posterior. Resultados de directiva de grupo s6lo es compatible con equipos que ejecuten Microsoft Windows XP y posteriores. Simular un conjunto resultante de directivas mediante Modelado de directivas de grupo Para simular un conjunto resultante de directivas mediante Modelado de directivas de grupo 1. Abra la Consola de administracién de directivas de grupo (GPMC). En el arbol de consola, haga doble dlic en el bosque en el que desea crear una consulta de Modelado de directivas de grupo, haga clic con el botén secundario en Modelado de directivas de grupo y posteriormente haga clic en el Asistente para Modelado de directivas de grupo. 2. Enel Asistente para Modelado de directivas de grupo, haga dlic en Siguiente y, después, escriba la informacién adecuada. 3. Alfinalizar, haga alic en Finalizar. 4. Sidesea imprimir 0 guardar el informe, haga clic con el botén secundario en el informe de configuracién de! panel de resuttados y realice una de las acciones siguientes: Seleccione Imprimir para imprimir el informe. © Seleccione Guardar informe pare guardar el informe. Para crear una consulta de Modelado de directivas de grupo, debe tener el permiso para realizar andlisis de Modelado de directivas de grupo en el dominio o la unidad organizativa que contiene los objetos en los cuales desea ejecutar la consulta. Modelado de directivas de grupo Unicamente esta disponible si al menos un controlador de dominio del bosque ejecuta Microsoft Windows Server 2003. 182 Programa Nacional de informéticaSENATI Capitulo Xi: Fundamentos de directivas de grupo Para personalizar la informacién que aparece en el informe, haga clic en Mostrar u cultar para ver exclusivamente los datos que desea ver o imprimir. Desde GPMG no es posible utilizar el teclado para desplazarse por un informe HTML. Para desplazarse por un informe HTML, guarde el informe en un archivo y posteriormente utlice Microsoft Internet Explorer para verlo. Si abre una consola guerdada anteriormente y desea guardar un informe de Modelado de directivas de grupo o de Resultados de directivas de grupo en XML, vuelva @ ejecutar el informe utilizando la opcién Volver a ejecutar consulta Para ver un informe guardado en un explorador web, debe utilizar Microsoft Internet Explorer 6 0 posterior. Delegar permisos para cular objetos de directiva de grupo Para delegar permisos para vincular objetos de directiva de grupo 1 en En el rbol de consola de Consola de administr (GPMC), realice una de las siguientes acciones: © Para delegar el permiso para vincular objetos de directiva de grupo (GPO) al dominio o a una unidad organizativa, haga clic en el dominio 0 la unidad organizativa. © Para delegar permisos para vincular los GPO a un sitio, haga clic en el sitio. En el panel de resultados, haga clic en la ficha Delegacién. En el cuadro de lista desplegable Permiso, seleccione Vincular objetos de directiva de grupo. Haga clic en Agregar. En el cuadro de diélogo Seleccionar usuarios, equipos o grupos, haga clic en Tipos de objetos, seleccione los tipos de objetos en los que desea delegar permisos para el dominio, sitio o unidad organizativa y, después, haga clic en ‘Aceptar. Haga clic en Ubicaciones, seleccione Todo el directorio, o bien el dominio o la unidad organizativa que contiene el objeto en el que desea delegar los permisos y, a continuacién, haga clic en Aceptar. En el cuadro Escriba el nombre de objeto a seleccionar, especifique el nombre del objeto en el que desea delegar los permisos mediante una de las siguientes acciones: © Siconoce el nombre, escribalo y haga clic en Aceptar. © Para buscar el nombre, haga clic en Opciones avanzadas, escriba los criterios de bisqueda, haga clic en Buscar ahora, escriba el nombre en el cuadro de lista, haga clic en Aceptar y vuelva a hacer clic en Aceptar. En el cuadro de didlogo Agregar grupo o usuario, en la lista desplegable Permisos, seleccione el nivel en el que desea que se apliquen los permisos para este grupo o usuario y, a continuacién, haga clic en Aceptar. in de directivas de grupo Para delegar permisos para vincular los GPO a un sitio, dominio o unidad organizativa, debe tener habilitada la opcién Modificar permisos en ellos. De manera Programa Nacional de Informiitica Nasa. JES) crrritracion y Mantonirtento de Windows Server 2008 SENATI predeterminada, sdlo los Administradores de dominio y los Administradores de empresa cuentan con este permiso. Los usuarios y grupos con permiso para vincular los GPO a sitios, dominios o unidades organizativas especificos pueden vincular GPO, cambiar el orden de los vinculos y configurar el bioqueo de herencia en dichos sitios, dominios 0 unidades organizativas. No puede quitar grupos y usuarios que heredan permisos de un contenedor principal. 1. Crea directivas para: a. Cambiar el fondo de todos los escritorios de los clientes b. Eliminar el acceso al panel de control de los clientes. [Link] la carpeta mis documentos a una carpeta de red. 2. Desarrolle fa siguiente actividad: Crear y configurar objetos de directiva de grupo (GPO) a. Haga clic en Inicio, seleccione Herramientas administrativas, haga clic con el botén secundario del mouse en Administracién de directivas de grupo y, a continuacién, haga clic en Ejecutar como. b. En el cuadro de didlogo Ejecutar como, haga clic en El siguiente usuario, escriba un nombre de usuario de SuDominio\Administrador con la contrasefia P@sswOrd y, a continuacién, haga clic en Aceptar. ©. Expanda Forest (Bosque), expanda Domains (Dominios), expanda su dominio, expanda Group Policy Objects (Objetos de directiva de grupo), haga clic con el botén secundario en Group Policy Objects (Objetos de direotiva de grupo) y, a continuacién, haga clic en Nuevo. d. Escriba EjercicioGPO como el nombre de su GPO y, a continuacién, haga olic en OK (Aceptar). e. Haga clic con el botén secundario en su nombre de dominio, haga clic en Link an Existing GPO (Vincular un GPO existente), haga clic en EjercicioGPO y, a continuacion, en OK (Aceptar). f Haga diic con el botén secundario en EjercicioGPO y, a continuacién, en Edit (Editar). g. En Editor de objetos de directiva de grupo, en Configuracion de usuario, expanda Plantilas administrativas y, a continuacion, haga clic en Ment Inicio y barra de tareas. h. Enel panel de detalles, haga doble clic en Quitar el mend Elecutar del meni Inicio, haga clic en Habilitada y, a continuacién, haga clic en Aceptar. i. Enel panel de detalles, haga doble clic en Quitar el comando Apagar e impedir el acceso al mismo, haga clic en Habilitada y, a continuacién, haga clic en Aceptar. j. Gierre el Editor de objetos de directiva de grupo. k. En Administracién de directivas de grupo, expanda y haga clic con el botén secundario en WMI Fitters (Filtros WMI) y, a continuacién, haga clic en New (Nuevo). |. Escriba EjercicioFiliro como el nombre det filtro WM, haga dic en Add (gregar), esciba una consulta adecuada para recuperar la informacién requerida, haga clic en OK (Aceptar)y, a continuacién, haga clic en Save 184) Programa Nacional de Informeética