Guía detallada de uso de la Consola de administración de

Directivas de grupo
Publicado: septiembre 17, aaaa
En esta guía detallada se ofrecen instrucciones generales sobre cómo usar la Consola de
administración de Directivas de grupo (GPMC) para poder utilizar objetos de Directiva de grupo en
un entorno de Active Directory. En esta guía no se incluyen instrucciones sobre la implementación
de los objetos de Directiva de grupo.
En esta página
Introducción

Introducción

Instalar y configurar GPMC

Administrar objetos de Directiva de grupo

Hacer una copia de seguridad, restaurar, copiar e importar objetos de Directiva de

grupo

Creación de modelos de objetos de Directiva de grupo

Recursos adicionales

Introducción
Guías detalladas
Las guías detalladas de desarrollo de Windows Server 2003 proporcionan experiencia práctica para
muchas configuraciones de sistemas operativos. Las guías comienzan estableciendo una
infraestructura de red común a través de la instalación de Windows Server 2003, la configuración
de Active Directory®, la instalación de una estación de trabajo Windows XP Professional y, por
último, la incorporación de esta estación de trabajo a un dominio. Las guías detalladas posteriores
asumen que posee esta infraestructura de red común. Si no desea seguir esta infraestructura de
red común, tendrá que efectuar las modificaciones pertinentes mientras utiliza estas guías.
La infraestructura de red común requiere que se sigan las instrucciones de las guías siguientes.

• Parte I: Instalar Windows Server 2003 como un controlador de dominio

Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un
•
dominio
Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías detalladas
adicionales. Tenga en cuenta que algunas guías detalladas pueden tener requisitos previos
adicionales además de los requisitos de infraestructura de red común. Todos los requisitos
adicionales se indicarán en la guía detallada específica.

Microsoft Virtual PC
Las guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno
de laboratorio físico o mediante tecnologías de creación de entornos virtuales como Microsoft
Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnología de máquina virtual permite a los
usuarios ejecutar varios sistemas operativos simultáneamente en un único servidor físico. Virtual
PC 2004 y Virtual Server 2005 están diseñados para aumentar la eficacia operativa de las pruebas
y desarrollo de software, la migración de aplicaciones heredadas y los escenarios de consolidación
de servidores.
En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas las
configuraciones se realizarán en un entorno de laboratorio físico, aunque la mayoría de ellas se
pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno virtual se
escapa al alcance de este documento.

Notas importantes
Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico,
logotipos, personas, lugares y datos mencionados aquí son ficticios. No se pretende indicar, ni
debe deducirse ninguna asociación con compañías, organizaciones, nombres de dominio,
direcciones de correo electrónico, logotipos, personas, lugares o datos reales.
Esta infraestructura común está concebida para su uso en una red privada. El nombre ficticio de la
compañía y el nombre DNS (Sistema de nombres de dominio) utilizados en la infraestructura
común no están registrados para su uso en Internet. No debe utilizar estos nombres en una red
pública ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura común es
mostrar cómo funciona la administración de cambios y configuración de Windows Server 2003 con
Active Directory. No se ha diseñado como un modelo para configurar Active Directory en una
organización.
Principio de la página
Introducción
La Consola de administración de Directivas de grupo (GPMC) de Microsoft es una nueva
herramienta para la administración de Directivas de grupo que ayuda a los administradores a
administrar una empresa de forma más rentable al mejorar la capacidad de administración y
aumentar la productividad. Consta del nuevo complemento Microsoft Management Console (MMC)
y de un conjunto de interfaces programables mediante secuencias de comandos.
GPMC simplifica la administración de la Directivas de grupo al proporcionar un único lugar para
administrar aspectos esenciales de la Directiva de grupo. Atiende los requisitos principales de
implementación de la Directiva de grupo exigidos por los clientes mediante las siguientes
funciones.

• Una interfaz de usuario (IU) que simplifica enormemente el uso de la Directiva de grupo.

• Operaciones de copia de seguridad/restauración de objetos de Directiva de grupo.

Operaciones de importar/exportar y copiar/pegar objetos de Directiva de grupo y filtros del
•
Instrumental de administración de Windows (WMI).
• Administración simplificada de la seguridad relacionada con la Directiva de grupo.
Informes HTML (Lenguaje de marcado de hipertexto) de la configuración de objetos de Directiva
•
de grupo y datos del Conjunto resultante de directivas (RSoP).
Secuencias de comandos de tareas relacionadas con directivas expuestas dentro de esta
•
herramienta (y no de la configuración de un objeto de Directiva de grupo).
Hasta ahora, los administradores necesitaban utilizar varias herramientas de Microsoft para
administrar la Directiva de grupo, como los complementos Usuarios y equipos de Active Directory,
Sitios y servicios de Active Directory y Conjunto resultante de directivas. GPMC integra las
funciones de Directiva de grupo existentes en estas herramientas en una única consola unificada
con nuevas capacidades.
Una característica integrada en GPMC es la compatibilidad para administrar varios dominios y
bosques, lo que permite a los administradores administrar la Directiva de grupo de toda la
empresa. Los administradores tienen un control total sobre los bosques y dominios incluidos en
GPMC, lo que permite mostrar únicamente las partes pertinentes de un entorno.
Nota: en esta guía detallada sólo se ofrecen instrucciones sobre el uso de GPMC para administrar
objetos de Directiva de grupo. No se incluyen instrucciones sobre su configuración. Para obtener
información sobre cómo configurar objetos de Directiva de grupo, consulte la Guía detallada de
introducción al conjunto de características de Directiva de grupo.

Requisitos previos
• Parte 1: Instalar Windows Server 2003 como un controlador de dominio

• Guía detallada de configuración de controladores de dominio adicionales

• Guía detallada de administración de Active Directory

• Guía detallada de uso del Asistente para delegación de control

Guía detallada de introducción al conjunto de características de Directiva de
•
grupo
• Guía detallada de aplicación de directivas de contraseñas seguras
Principio de la página
Instalar y configurar GPMC
Instalar GPMC
La instalación de GPMC es un proceso simple que requiere la ejecución de un paquete de Windows
Installer (.MSI). Para descargar la última versión, visite el sitio de Windows Server System para la
administración de Directivas de grupo
enhttp://www.microsoft.com/windowsserver2003/gpmc/default.mspx (en inglés).
Para instalar la Consola de administración de Directivas de grupo
1. En el servidor HQ-CON-DC-01, desplácese a la carpeta que contiene gpmc.msi, haga doble
clic en el paquete gpmc.msi y, a continuación, haga clic en Siguiente.
2. Haga clic en Acepto para aceptar el Contrato de licencia de usuario final (CLUF) y, a
continuación, haga clic en Siguiente.
3. Haga clic en Finalizar para completar la instalación de GPMC.
Una vez finalizada la instalación, la ficha Directiva de grupo que aparecía en la página Propiedades
de sitios, dominios y unidades organizativas de los complementos de Active Directory se actualiza
con un vínculo directo a GPMC. La funcionalidad que existía anteriormente en la ficha Directiva de
grupo ya no está disponible, puesto que todas las funciones para administrar la Directiva de grupo
están disponibles en GPMC.
Para abrir el complemento GPMC
1. En el servidor HQ-CON-DC-01, haga clic en el botón Inicio, en Ejecutar,
escriba GPMC.msc y, a continuación, haga clic enAceptar.
Nota: puede utilizar también alguno de los métodos siguientes para ejecutar GPMC.
Haga clic en el acceso directo Administración de directiva de grupo en la
•
carpeta Herramientas administrativas en el menú Inicio o en el Panel de control.
Crear una consola MMC personalizada: haga clic en el botón Inicio y en Ejecutar,
•
escriba MMC y, a continuación, haga clic en Aceptar. Seleccione Archivo, haga clic
en Agregar o quitar complemento y luego en Agregar. Haga clic para
resaltar Administración de directiva de grupo, haga clic en Agregar, en Cerrar y
después en Aceptar.

Configurar GPMC para varios bosques

Se pueden agregar fácilmente varios bosques al árbol de la consola GPMC. De forma
predeterminada, sólo se puede agregar un bosque a GPMC si existe una relación de confianza
bidireccional con el bosque del usuario que ejecuta GPMC. Puede habilitar de manera opcional
GPMC para que funcione sólo con una relación de confianza unidireccional o incluso sin que exista
ninguna relación de confianza. La incorporación de un bosque adicional a GPMC se realiza
resaltando Administración de directiva de grupo en la raíz del árbol, seleccionando Acción del
menú contextual y haciendo clic en AddForest. Como el entorno de ejemplo sólo contiene un
bosque, la ejecución de estos pasos se escapa al alcance de esta guía detallada.
Nota: si agrega bosques sin relación de confianza, algunas funciones no estarán disponibles. Por
ejemplo, no estará disponible la característica de creación de modelos de Directiva de grupo y no
será posible abrir el Editor de objetos de Directiva de grupo para los objetos de Directiva de grupo
del bosque sin relación de confianza. El escenario de bosque sin relación de confianza sirve
principalmente para habilitar la copia de objetos de Directiva de grupo entre bosques.

Administrar varios dominios simultáneamente

GPMC permite administrar varios dominios al mismo tiempo, con cada dominio agrupado por
bosque en la consola. De forma predeterminada, sólo se muestra un dominio en GPMC. Cuando
inicie por primera vez GPMC mediante el complemento preconfigurado (gpmc.msc) o una consola
MMC personalizada, GPMC mostrará el dominio que contiene la cuenta de usuario utilizada para
iniciar GPMC. Puede especificar dominios en cada uno de los bosques que desee administrar
mediante GPMC agregando o quitando los dominios mostrados en la consola.
Nota: puede agregar dominios con relaciones de confianza externas, aunque no mantenga una
relación de confianza con todo el bosque. De forma predeterminada, debe haber una relación de
confianza bidireccional entre el dominio que desea agregar y el dominio del objeto de usuario.
También puede agregar dominios en una relación de confianza unidireccional deshabilitando la
característica de detección de relaciones de confianza de GPMC, en el cuadro de
diálogo Opciones del menú Ver. Para agregar dominios con relaciones de confianza externas,
primero debe utilizar el cuadro de diálogo AddForest para agregar un dominio de un bosque que
contenga los dominios con relaciones de confianza externas. Una vez agregado el bosque, puede
agregar todos los dominios de ese bosque en los que se confíe haciendo clic con el botón
secundario del mouse (ratón) en el nodo Dominios y haciendo clic en Show Domains.
Para agregar el dominio secundario vancouver.contoso.com a la consola
1. En la ventana Administración de directiva de grupo, haga clic en el signo más (+) situado
junto a Bosque:contoso.compara expandir el árbol y, a continuación, haga clic en el signo
más (+) situado junto a Dominios.
2. Haga clic con el botón secundario del mouse en Dominios y, a continuación, haga clic
en Show Domains.
3. Active la casilla de verificación situada junto a vancouver.contoso.com como se muestra en
la Figura 1 y, a continuación, haga clic en Aceptar.

Administrar objetos de Directiva de grupo

Ver objetos de Directiva de grupo del dominio
En cada dominio GPMC proporciona una vista basada en directivas de Active Directory y de los
componentes asociados a la Directiva de grupo, como objetos de Directiva de grupo, filtros WMI y
vínculos de objetos de Directiva de grupo. La vista de GPMC es similar a la vista del complemento
de MMC Usuarios y equipos de Active Directory en la que se muestra la jerarquía de unidades
organizativas. Sin embargo, GPMC difiere de este complemento porque en lugar de mostrar
usuarios, equipos y grupos en las unidades organizativas, muestra los objetos de Directiva de
grupo que están vinculados a cada contenedor, así como los propios objetos.
En cada nodo de dominio de GPMC se muestran los siguientes elementos.

• Todos los objetos de Directiva de grupo vinculados al dominio.

Todas las unidades organizativas de nivel superior y una vista de árbol de las unidades
•
organizativas anidadas y los objetos de Directiva de grupo vinculados a cada unidad
organizativa.
El contenedor Objetos de Directiva de grupo que muestra todos los objetos de Directiva de
•
grupo del dominio.
• El contenedor Filtros de WMI que muestra todos los filtros de WMI del dominio.
Para ver objetos de Directiva de grupo asociados a un contenedor determinado
1. En el árbol Dominios, haga clic en el árbol contoso.com. Los objetos de Directiva de grupo
asociados al contenedor (la raíz del dominio) aparecen como se muestra en la Figura 3. Este
concepto se puede aplicar a cualquier contenedor de dominio.

Definir el ámbito de los objetos de Directiva de grupo

El valor de la Directiva de grupo sólo resulta visible cuando se aplican correctamente los objetos
de Directiva de grupo a los contenedores de Active Directory que desea administrar. El proceso de
determinar qué usuarios y equipos van a recibir la configuración de un objeto de Directiva de
grupo recibe el nombre de “definir el ámbito del objeto de Directiva de grupo”. El ámbito de un
objeto de Directiva de grupo se define a partir de tres factores.
Los sitios, los dominios o las unidades organizativas donde el objeto de Directiva de
•
grupo está vinculado El mecanismo principal utilizado para aplicar la configuración de un
objeto de Directiva de grupo a usuarios y equipos consiste en vincular el objeto a un sitio,
dominio o unidad organizativa en Active Directory. La ubicación donde el objeto de Directiva de
grupo está vinculado se denomina Ámbito de administración o SOM (también llamada SDOU en
notas del producto anteriores). Hay tres tipos de SOM: sitios, dominios y unidades
organizativas. Un objeto de Directiva de grupo puede estar vinculado a varios SOM y un SOM
puede tener varios objetos de Directiva de grupo vinculados a él. Un objeto de Directiva de
grupo debe estar vinculado a un SOM para que se aplique.
Los filtros de seguridad del objeto de Directiva de grupo De forma predeterminada, a
•
todos los usuarios autenticados que se encuentran en el SOM (y sus nodos secundarios) en el
que está vinculado un objeto de Directiva de grupo se les aplica la configuración del objeto de
Directiva de grupo. Puede delimitar aún más qué usuarios y equipos recibirán la configuración
de un objeto de Directiva de grupo administrando permisos para el objeto de Directiva de
grupo. Esto proceso se denomina filtrado de seguridad. Para que un objeto de Directiva de
grupo se aplique a un usuario o equipo, ese usuario o equipo debe tener los permisos Leer y
Aplicar directiva de grupo sobre el objeto. De manera predeterminada, los objetos de Directiva
de grupo tienen permisos que admiten que el grupo Usuarios autenticados tenga esos dos
permisos. Así es como todos los usuarios autenticados reciben la configuración de un nuevo
objeto de Directiva de grupo cuando está vinculado a un SOM (unidad organizativa, dominio o
sitio). No obstante, estos permisos se pueden cambiar para limitar el ámbito del objeto de
Directiva de grupo a un conjunto específico de usuarios grupos o equipos incluidos en el SOM
donde está vinculado.
El filtro de WMI para el objeto de Directiva de grupo Los filtros de WMI permiten que los
•
administradores determinen de forma dinámica el ámbito de los objetos de Directiva de grupo
en función de sus atributos (disponibles en WMI) del equipo de destino. Un filtro de WMI consta
de una o varias consultas contra el repositorio de WMI del equipo de destino que dan como
resultado verdadero o falso. El filtro de WMI es un objeto independiente del objeto de Directiva
de grupo en el directorio. Para aplicar un filtro de WMI a un objeto de Directiva de grupo, el
filtro se vincula al objeto. Esto se muestra en la sección de filtros de WMI de la ficha Ámbito de
un objeto de Directiva de grupo. Cada objeto de Directiva de grupo sólo puede tener un filtro de
WMI, pero el mismo filtro de WMI puede estar vinculado a varios objetos de Directiva de grupo.
Cuando un objeto de Directiva de grupo que está vinculado a un filtro de WMI se aplica al
equipo de destino, el filtro se evalúa en dicho equipo. Si el filtro de WMI da como resultado
falso, el objeto de Directiva de grupo no se aplica. Si da como resultado verdadero, el objeto de
Directiva de grupo se aplica.
Para definir el ámbito del objeto Directiva de contraseñas del dominio incluido en la
búsqueda anterior
1. En el panel de resultados Search for Group Policy Objects, haga doble clic en Directiva de
contraseñas del dominio y, a continuación, haga clic en Cerrar