Guía detallada de uso de la Consola de administración de Directivas de grupo Publicado: septiembre 17, aaaa
En esta guía detallada se ofrecen instrucciones generales sobre cómo usar la Consola de administración de Directivas de grupo (GPMC) para poder utilizar objetos de Directiva de grupo en un entorno de Active Directory. En esta guía no se incluyen instrucciones sobre la implementación de los objetos de Directiva de grupo. En esta página Introducción Introducción Instalar y configurar GPMC Administrar objetos de Directiva de grupo Hacer una copia de seguridad, restaurar, copiar e importar objetos de Directiva de grupo Creación de modelos de objetos de Directiva de grupo Recursos adicionales
Introducción Guías detalladas
Las guías detalladas de desarrollo de Windows Server 2003 proporcionan experiencia práctica para muchas configuraciones de sistemas operativos. Las guías comienzan estableciendo una infraestructura de red común a través de la instalación de Windows Server 2003, la configuración de Active Directory®, la instalación de una estación de trabajo Windows XP Professional y, por último, la incorporación de esta estación de trabajo a un dominio. Las guías detalladas posteriores asumen que posee esta infraestructura de red común. Si no desea seguir esta infraestructura de red común, tendrá que efectuar las modificaciones pertinentes mientras utiliza estas guías. La infraestructura de red común requiere que se sigan las instrucciones de las guías siguientes.
• •
Parte I: Instalar Windows Server 2003 como un controlador de dominio Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un
dominio Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías detalladas adicionales. Tenga en cuenta que algunas guías detalladas pueden tener requisitos previos adicionales además de los requisitos de infraestructura de red común. Todos los requisitos adicionales se indicarán en la guía detallada específica.
Microsoft Virtual PC
Las guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio físico o mediante tecnologías de creación de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnología de máquina virtual permite a los usuarios ejecutar varios sistemas operativos simultáneamente en un único servidor físico. Virtual PC 2004 y Virtual Server 2005 están diseñados para aumentar la eficacia operativa de las pruebas
y desarrollo de software, la migración de aplicaciones heredadas y los escenarios de consolidación de servidores. En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarán en un entorno de laboratorio físico, aunque la mayoría de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas. La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y datos mencionados aquí son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o datos reales. Esta infraestructura común está concebida para su uso en una red privada. El nombre ficticio de la compañía y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura común no están registrados para su uso en Internet. No debe utilizar estos nombres en una red pública ni en Internet. El objetivo de la estructura del servicio Active Directory para esta infraestructura común es mostrar cómo funciona la administración de cambios y configuración de Windows Server 2003 con Active Directory. No se ha diseñado como un modelo para configurar Active Directory en una organización. Principio de la página
Introducción La Consola de administración de Directivas de grupo (GPMC) de Microsoft es una nueva herramienta para la administración de Directivas de grupo que ayuda a los administradores a administrar una empresa de forma más rentable al mejorar la capacidad de administración y aumentar la productividad. Consta del nuevo complemento Microsoft Management Console (MMC) y de un conjunto de interfaces programables mediante secuencias de comandos. GPMC simplifica la administración de la Directivas de grupo al proporcionar un único lugar para administrar aspectos esenciales de la Directiva de grupo. Atiende los requisitos principales de implementación de la Directiva de grupo exigidos por los clientes mediante las siguientes funciones.
• • •
Una interfaz de usuario (IU) que simplifica enormemente el uso de la Directiva de grupo.
• •
Administración simplificada de la seguridad relacionada con la Directiva de grupo.
•
Operaciones de copia de seguridad/restauración de objetos de Directiva de grupo. Operaciones de importar/exportar y copiar/pegar objetos de Directiva de grupo y filtros del Instrumental de administración de Windows (WMI). Informes HTML (Lenguaje de marcado de hipertexto) de la configuración de objetos de Directiva de grupo y datos del Conjunto resultante de directivas (RSoP). Secuencias de comandos de tareas relacionadas con directivas expuestas dentro de esta
herramienta (y no de la configuración de un objeto de Directiva de grupo). Hasta ahora, los administradores necesitaban utilizar varias herramientas de Microsoft para administrar la Directiva de grupo, como los complementos Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Conjunto resultante de directivas. GPMC integra las funciones de Directiva de grupo existentes en estas herramientas en una única consola unificada con nuevas capacidades. Una característica integrada en GPMC es la compatibilidad para administrar varios dominios y bosques, lo que permite a los administradores administrar la Directiva de grupo de toda la empresa. Los administradores tienen un control total sobre los bosques y dominios incluidos en GPMC, lo que permite mostrar únicamente las partes pertinentes de un entorno.
Nota: en esta guía detallada sólo se ofrecen instrucciones sobre el uso de GPMC para administrar objetos de Directiva de grupo. No se incluyen instrucciones sobre su configuración. Para obtener información sobre cómo configurar objetos de Directiva de grupo, consulte la Guía detallada de introducción al conjunto de características de Directiva de grupo.
Requisitos previos
• • • • • •
Parte 1: Instalar Windows Server 2003 como un controlador de dominio Guía detallada de configuración de controladores de dominio adicionales Guía detallada de administración de Active Directory Guía detallada de uso del Asistente para delegación de control Guía detallada de introducción al conjunto de características de Directiva de grupo Guía detallada de aplicación de directivas de contraseñas seguras Principio de la página
Instalar y configurar GPMC Instalar GPMC
La instalación de GPMC es un proceso simple que requiere la ejecución de un paquete de Windows Installer (.MSI). Para descargar la última versión, visite el sitio de Windows Server System para la administración de Directivas de grupo enhttp://www.microsoft.com/windowsserver2003/gpmc/default.mspx (en inglés). Para instalar la Consola de administración de Directivas de grupo 1.
En el servidor HQ-CON-DC-01, desplácese a la carpeta que contiene gpmc.msi, haga doble
2.
clic en el paquete gpmc.msi y, a continuación, haga clic en Siguiente. Haga clic en Acepto para aceptar el Contrato de licencia de usuario final (CLUF) y, a
continuación, haga clic en Siguiente. 3. Haga clic en Finalizar para completar la instalación de GPMC. Una vez finalizada la instalación, la ficha Directiva de grupo que aparecía en la página Propiedades de sitios, dominios y unidades organizativas de los complementos de Active Directory se actualiza con un vínculo directo a GPMC. La funcionalidad que existía anteriormente en la ficha Directiva de grupo ya no está disponible, puesto que todas las funciones para administrar la Directiva de grupo están disponibles en GPMC. Para abrir el complemento GPMC 1.
En el servidor HQ-CON-DC-01, haga clic en el botón Inicio, en Ejecutar, escriba GPMC.msc y, a continuación, haga clic enAceptar. Nota: puede utilizar también alguno de los métodos siguientes para ejecutar GPMC.
• •
Haga clic en el acceso directo Administración de directiva de grupo en la carpeta Herramientas administrativas en el menú Inicio o en el Panel de control. Crear una consola MMC personalizada: haga clic en el botón Inicio y en Ejecutar, escriba MMC y, a continuación, haga clic en Aceptar. Seleccione Archivo, haga clic en Agregar o quitar complemento y luego en Agregar. Haga clic para resaltar Administración de directiva de grupo, haga clic en Agregar, en Cerrar y después en Aceptar.
Configurar GPMC para varios bosques Se pueden agregar fácilmente varios bosques al árbol de la consola GPMC. De forma predeterminada, sólo se puede agregar un bosque a GPMC si existe una relación de confianza bidireccional con el bosque del usuario que ejecuta GPMC. Puede habilitar de manera opcional GPMC para que funcione sólo con una relación de confianza unidireccional o incluso sin que exista ninguna relación de confianza. La incorporación de un bosque adicional a GPMC se realiza resaltando Administración de directiva de grupo en la raíz del árbol, seleccionando Acción del
menú contextual y haciendo clic en AddForest. Como el entorno de ejemplo sólo contiene un bosque, la ejecución de estos pasos se escapa al alcance de esta guía detallada. Nota: si agrega bosques sin relación de confianza, algunas funciones no estarán disponibles. Por ejemplo, no estará disponible la característica de creación de modelos de Directiva de grupo y no será posible abrir el Editor de objetos de Directiva de grupo para los objetos de Directiva de grupo del bosque sin relación de confianza. El escenario de bosque sin relación de confianza sirve principalmente para habilitar la copia de objetos de Directiva de grupo entre bosques.
Administrar varios dominios simultáneamente
GPMC permite administrar varios dominios al mismo tiempo, con cada dominio agrupado por bosque en la consola. De forma predeterminada, sólo se muestra un dominio en GPMC. Cuando inicie por primera vez GPMC mediante el complemento preconfigurado (gpmc.msc) o una consola MMC personalizada, GPMC mostrará el dominio que contiene la cuenta de usuario utilizada para iniciar GPMC. Puede especificar dominios en cada uno de los bosques que desee administrar mediante GPMC agregando o quitando los dominios mostrados en la consola. Nota: puede agregar dominios con relaciones de confianza externas, aunque no mantenga una relación de confianza con todo el bosque. De forma predeterminada, debe haber una relación de confianza bidireccional entre el dominio que desea agregar y el dominio del objeto de usuario. También puede agregar dominios en una relación de confianza unidireccional deshabilitando la característica de detección de relaciones de confianza de GPMC, en el cuadro de diálogo Opciones del menú Ver. Para agregar dominios con relaciones de confianza externas, primero debe utilizar el cuadro de diálogo AddForest para agregar un dominio de un bosque que contenga los dominios con relaciones de confianza externas. Una vez agregado el bosque, puede agregar todos los dominios de ese bosque en los que se confíe haciendo clic con el botón secundario del mouse (ratón) en el nodo Dominios y haciendo clic en Show Domains. Para agregar el dominio secundario vancouver.contoso.com a la consola 1.
En la ventana Administración de directiva de grupo, haga clic en el signo más (+) situado junto a Bosque:contoso.compara expandir el árbol y, a continuación, haga clic en el signo
2.
más (+) situado junto a Dominios. Haga clic con el botón secundario del mouse en Dominios y, a continuación, haga clic
3.
en Show Domains. Active la casilla de verificación situada junto a vancouver.contoso.com como se muestra en la Figura 1 y, a continuación, haga clic en Aceptar.
Administrar objetos de Directiva de grupo Ver objetos de Directiva de grupo del dominio En cada dominio GPMC proporciona una vista basada en directivas de Active Directory y de los componentes asociados a la Directiva de grupo, como objetos de Directiva de grupo, filtros WMI y vínculos de objetos de Directiva de grupo. La vista de GPMC es similar a la vista del complemento de MMC Usuarios y equipos de Active Directory en la que se muestra la jerarquía de unidades organizativas. Sin embargo, GPMC difiere de este complemento porque en lugar de mostrar usuarios, equipos y grupos en las unidades organizativas, muestra los objetos de Directiva de grupo que están vinculados a cada contenedor, así como los propios objetos. En cada nodo de dominio de GPMC se muestran los siguientes elementos.
• • •
Todos los objetos de Directiva de grupo vinculados al dominio. Todas las unidades organizativas de nivel superior y una vista de árbol de las unidades organizativas anidadas y los objetos de Directiva de grupo vinculados a cada unidad organizativa. El contenedor Objetos de Directiva de grupo que muestra todos los objetos de Directiva de grupo del dominio.
•
El contenedor Filtros de WMI que muestra todos los filtros de WMI del dominio.
Para ver objetos de Directiva de grupo asociados a un contenedor determinado 1.
En el árbol Dominios, haga clic en el árbol contoso.com. Los objetos de Directiva de grupo asociados al contenedor (la raíz del dominio) aparecen como se muestra en la Figura 3. Este concepto se puede aplicar a cualquier contenedor de dominio.
Definir el ámbito de los objetos de Directiva de grupo
El valor de la Directiva de grupo sólo resulta visible cuando se aplican correctamente los objetos de Directiva de grupo a los contenedores de Active Directory que desea administrar. El proceso de determinar qué usuarios y equipos van a recibir la configuración de un objeto de Directiva de grupo recibe el nombre de “definir el ámbito del objeto de Directiva de grupo”. El ámbito de un objeto de Directiva de grupo se define a partir de tres factores.
•
Los sitios, los dominios o las unidades organizativas donde el objeto de Directiva de grupo está vinculado El mecanismo principal utilizado para aplicar la configuración de un objeto de Directiva de grupo a usuarios y equipos consiste en vincular el objeto a un sitio, dominio o unidad organizativa en Active Directory. La ubicación donde el objeto de Directiva de grupo está vinculado se denomina Ámbito de administración o SOM (también llamada SDOU en notas del producto anteriores). Hay tres tipos de SOM: sitios, dominios y unidades organizativas. Un objeto de Directiva de grupo puede estar vinculado a varios SOM y un SOM puede tener varios objetos de Directiva de grupo vinculados a él. Un objeto de Directiva de
•
grupo debe estar vinculado a un SOM para que se aplique. Los filtros de seguridad del objeto de Directiva de grupo De forma predeterminada, a todos los usuarios autenticados que se encuentran en el SOM (y sus nodos secundarios) en el que está vinculado un objeto de Directiva de grupo se les aplica la configuración del objeto de Directiva de grupo. Puede delimitar aún más qué usuarios y equipos recibirán la configuración de un objeto de Directiva de grupo administrando permisos para el objeto de Directiva de grupo. Esto proceso se denomina filtrado de seguridad. Para que un objeto de Directiva de grupo se aplique a un usuario o equipo, ese usuario o equipo debe tener los permisos Leer y Aplicar directiva de grupo sobre el objeto. De manera predeterminada, los objetos de Directiva de grupo tienen permisos que admiten que el grupo Usuarios autenticados tenga esos dos permisos. Así es como todos los usuarios autenticados reciben la configuración de un nuevo objeto de Directiva de grupo cuando está vinculado a un SOM (unidad organizativa, dominio o sitio). No obstante, estos permisos se pueden cambiar para limitar el ámbito del objeto de Directiva de grupo a un conjunto específico de usuarios grupos o equipos incluidos en el SOM
•
donde está vinculado. El filtro de WMI para el objeto de Directiva de grupo Los filtros de WMI permiten que los administradores determinen de forma dinámica el ámbito de los objetos de Directiva de grupo en función de sus atributos (disponibles en WMI) del equipo de destino. Un filtro de WMI consta de una o varias consultas contra el repositorio de WMI del equipo de destino que dan como resultado verdadero o falso. El filtro de WMI es un objeto independiente del objeto de Directiva de grupo en el directorio. Para aplicar un filtro de WMI a un objeto de Directiva de grupo, el filtro se vincula al objeto. Esto se muestra en la sección de filtros de WMI de la ficha Ámbito de un objeto de Directiva de grupo. Cada objeto de Directiva de grupo sólo puede tener un filtro de WMI, pero el mismo filtro de WMI puede estar vinculado a varios objetos de Directiva de grupo. Cuando un objeto de Directiva de grupo que está vinculado a un filtro de WMI se aplica al equipo de destino, el filtro se evalúa en dicho equipo. Si el filtro de WMI da como resultado falso, el objeto de Directiva de grupo no se aplica. Si da como resultado verdadero, el objeto de
Directiva de grupo se aplica. Para definir el ámbito del objeto Directiva de contraseñas del dominio incluido en la búsqueda anterior
1.
En el panel de resultados Search for Group Policy Objects, haga doble clic en Directiva de contraseñas del dominio y, a continuación, haga clic en Cerrar