Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Buscar en Microsoft.com:
Home | Suscrbase | Downloads | Contctenos | MSN
Bsqueda
Bsqueda Avanzada
TechNet Ir
Comunidad
Suscripcin Technet
Entrenamiento
Webcasts
Seguridad
Recursos
Medianas Empresas
Servidores
Office
Sistemas Operativos
Beta Central
Evaluacin de Software
Home TechNet de tu pas
Desarrollador
Negocios
Gua detallada de introduccin al conjunto de caractersticas de Directiva de grupo
Publicado: septiembre 17, aaaa
En esta gua detallada se ofrece una breve introduccin a la Directiva de grupo y se muestra cmo utilizar el complemento Directiva de grupo para
especificar opciones de directiva para grupos de usuarios y equipos.
En esta pgina
Introduccin
Guas detalladas
Las guas detalladas de desarrollo de Microsoft Windows Server 2003 proporcionan experiencia prctica para muchas configuraciones de sistemas
operativos. Las guas comienzan estableciendo una infraestructura de red comn a travs de la instalacin de Windows Server 2003, la
configuracin de Active Directory
, la instalacin de una estacin de trabajo Windows XP Professional y, por ltimo, la incorporacin de esta
estacin de trabajo a un dominio. Las guas detalladas posteriores asumen que posee esta infraestructura de red comn. Si no desea seguir esta
infraestructura de red comn, tendr que efectuar las modificaciones pertinentes mientras utiliza estas guas.
La infraestructura de red comn requiere que se sigan las instrucciones de las guas siguientes.
Una vez configurada la infraestructura de red comn, pueden utilizarse todas las guas detalladas adicionales. Tenga en cuenta que algunas guas
detalladas pueden tener requisitos previos adicionales adems de los requisitos de infraestructura de red comn. Todos los requisitos adicionales
se indicarn en la gua detallada especfica.
Microsoft Virtual PC
Las guas detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio fsico o mediante tecnologas de
creacin de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnologa de mquina virtual permite a los
usuarios ejecutar varios sistemas operativos simultneamente en un nico servidor fsico. Virtual PC 2004 y Virtual Server 2005 estn diseados
para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migracin de aplicaciones heredadas y los escenarios de
consolidacin de servidores.
En las guas detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarn en un entorno de laboratorio
fsico, aunque la mayora de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicacin de los conceptos proporcionados en estas guas detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compaas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y datos
mencionados aqu son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, nombres de dominio,
direcciones de correo electrnico, logotipos, personas, lugares o datos reales.
Esta infraestructura comn est concebida para su uso en una red privada. El nombre ficticio de la compaa y el nombre DNS (Servicio de
nombres de dominio) utilizados en la infraestructura comn no estn registrados para su uso en Internet. No debe utilizar estos nombres en una
red pblica ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura comn es mostrar cmo funciona la administracin de cambios y
configuracin de Windows Server 2003 con Active Directory. No se ha diseado como un modelo para configurar Active Directory en una
organizacin.
Principio de la pgina
Introduccin
La configuracin de la Directiva de grupo define los distintos componentes del entorno de escritorio del usuario que un administrador del sistema
necesita administrar, como los programas que estn disponibles a los usuarios, los que aparecen en el escritorio del usuario y las opciones del
men Inicio. Las opciones de Directiva de grupo que especifique se incluyen en un objeto de Directiva de grupo que, a su vez, se asocia a los
objetos de Active Directory seleccionados: sitios, dominios o unidades organizativas.
La Directiva de grupo no slo se aplica a los usuarios y a los equipos cliente, sino tambin a los servidores miembro, a los controladores de
dominio y a cualquier otro equipo Windows Server 2003 dentro del mbito de administracin. De forma predeterminada, la Directiva de grupo que
se aplica a un dominio (es decir, la que se aplica en el nivel de dominio justo encima de la raz de Usuarios y equipos de Active Directory) afecta a
todos los equipos y usuarios del dominio. Usuarios y equipos de Active Directory proporciona tambin una unidad organizativa integrada llamada
Controladores de dominio. Si almacena aqu sus cuentas de controlador de dominio, puede utilizar el objeto de Directiva de grupo Directiva
predeterminada de controladores de dominio para administrar los controladores de dominio independientemente de los dems equipos.
Los objetos de Directiva de grupo se vinculan a los contenedores de sitio, dominio y unidad organizativa en Active Directory. El orden de prioridad
predeterminado sigue el orden jerrquico de Active Directory: primero los sitios, luego los dominios y despus cada unidad organizativa. Un
objeto de Directiva de grupo puede estar asociado a varios contenedores de Active Directory, o varios contenedores pueden estar vinculados a un
nico objeto de Directiva de grupo.
Un objeto de Directiva de grupo se puede utilizar para filtrar objetos en funcin de su pertenencia a grupos de seguridad, lo que permite a los
administradores administrar los equipos y usuarios de una manera centralizada o descentralizada. Para ello, los administradores pueden utilizar
filtros basados en grupos de seguridad que definan el mbito de administracin de la Directiva de grupo, de forma que se pueda aplicar
centralmente en el nivel de dominio. Tambin se puede aplicar de una manera descentralizada en el nivel de unidad organizativa y volverse a
filtrar por grupos de seguridad. Los administradores pueden utilizar grupos de seguridad en la Directiva de grupo para:
Para la administracin de la configuracin de Directiva de grupo existen varias herramientas administrativas, entre las que se incluyen:
Introduccin
Introduccin
La Directiva de grupo y Microsoft Management Console
Apndice
Recursos adicionales
Parte II: Instalar una estacin de trabajo Windows XP Professional y conectarla a un dominio
Filtrar el mbito de un objeto de Directiva de grupo. De esta forma, se definen los grupos de usuarios y equipos que resultan afectados por un
objeto de Directiva de grupo.
Delegar el control de un objeto de Directiva de grupo. Hay dos aspectos relacionados con la administracin y delegacin de la Directiva de
grupo: administrar los vnculos de Directiva de grupo y administrar quin puede crear y modificar objetos de Directiva de grupo.
El complemento Microsoft Management Console (MMC) del Editor de objetos de Directiva de grupo
Ir
Page 1 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...
La Directiva de grupo incluye opciones de directiva para Configuracin de usuario, que afectan a los usuarios, y para Configuracin del equipo,
que afectan a los equipos.
Con la Directiva de grupo, puede hacer lo siguiente:
En este documento se ofrece una breve introduccin a la Directiva de grupo y se muestra cmo utilizar el complemento Directiva de grupo para
especificar opciones de directiva para grupos de usuarios y equipos.
Requisitos previos
Requisitos de esta gua
Nota: en este documento no se describen todos los escenarios posibles de la Directiva de grupo. Este conjunto de instrucciones debe utilizarse
para empezar a entender cmo funciona la Directiva de grupo y cmo puede ser utilizada por una organizacin para reducir sus costos de
administracin de IT. Otras caractersticas de Windows Server 2003, como Configuracin de seguridad e Instalacin y mantenimiento de software,
se basan en la Directiva de grupo. Para obtener una lista completa de los documentos disponibles, consulte el sitio Web Directiva de grupo en
Windows Server 2003 (en ingls).
Principio de la pgina
La Directiva de grupo y Microsoft Management Console
La Directiva de grupo est directamente integrada con las herramientas de administracin de Active Directory mediante el mecanismo de
extensin del complemento MMC. Los complementos de Active Directory definen el mbito de administracin de la Directiva de grupo. La forma
habitual de tener acceso a la Directiva de grupo es utilizar el complemento Usuarios y equipos de Active Directory para establecer el mbito de
administracin en el dominio y en las unidades organizativas. Tambin puede utilizar el complemento Sitios y servicios de Active Directory para
establecer el mbito de administracin en un sitio. Estas dos herramientas estn disponibles en el grupo de programas Herramientas
administrativas; la extensin del complemento Directiva de grupo est habilitada en ambas herramientas. Tambin puede crear una consola MMC
personalizada, como se describe en la siguiente seccin.
Configurar una consola personalizada
En los ejemplos de este documento se utiliza la consola MMC personalizada que puede crear mediante los procedimientos descritos en esta
seccin. Para poder realizar los dems procedimientos de este documento, necesita crear esta consola personalizada.
Para configurar una consola personalizada
El complemento MMC predeterminado disponible en Windows Server 2003 y el que se utiliza en esta gua detallada.
GPMC es una ampliacin del Editor de objetos de Directiva de grupo que simplifica la administracin de la Directiva de grupo, de modo que
resulte ms fcil comprender, implementar, administrar y resolver problemas de las implementaciones de Directiva de grupo. GPMC permite
tambin la automatizacin de operaciones de Directiva de grupo mediante secuencias de comandos. Para obtener ms informacin, consulte
la Gua detallada de uso de la Consola de administracin de Directivas de grupo.
Administrar directivas basadas en el Registro con Plantillas administrativas. La Directiva de grupo crea un archivo que contiene opciones del
Registro que se escriben en la parte Usuario o Mquina local de la base de datos del Registro.
Asignar secuencias de comandos, como inicio y cierre del equipo o inicio y cierre de sesin.
Redirigir carpetas. Puede redirigir carpetas, como Mis documentos y Mis Imgenes, de la carpeta Documents and Settings del equipo local a
ubicaciones de red.
Administrar aplicaciones. Puede asignar, publicar, actualizar o reparar aplicaciones mediante la instalacin de software de Directiva de grupo.
Los sitios, los dominios y las unidades organizativas pueden tener varios objetos de Directiva de grupo vinculados; estos objetos requieren una
pgina de propiedades intermedia para poder administrarlos.
Un objeto de Directiva de grupo para un equipo especfico se almacena en ese equipo y no en Active Directory.
1. En la consola MMC GPWalkThrough, expanda contoso.com bajo Usuarios y equipos de Active Directory.
2. Haga clic en el signo ms (+) situado junto a Cuentas para expandir el rbol.
3. Haga clic con el botn secundario del mouse en Oficinas centrales y, a continuacin, haga clic en Propiedades.
4. En la pgina Propiedades de Oficinas centrales, haga clic en la ficha Directiva de grupo.
5. Haga clic en Nuevo, escriba Directiva de OC y, despus, presione ENTRAR. Aparecer la pgina Propiedades de Oficinas centrales
que se muestra en la Figura 2.
Figura 2. Nuevo objeto de Directiva de grupo
vinculado a la unidad organizativa Oficinas centrales
Los pasos anteriores muestran cmo crear y vincular automticamente un objeto de Directiva de grupo a un contenedor de Active Directory: la
unidad organizativa Oficinas centrales. Sin embargo, el objeto de Directiva de grupo no repercutir directamente en los usuarios o equipos hasta
que se definan algunas opciones. En la siguiente seccin se explica cmo modificar la configuracin del objeto de Directiva de grupo Directiva de
Page 3 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...
OC.
Se pueden crear o vincular varios objetos de Directiva de grupo bajo cualquier contenedor de Active Directory. Si hay varios objetos de Directiva
de grupo asociados a un contenedor de Active Directory, debe asegurarse de que dichos objetos estn correctamente ordenados. Los objetos de
Directiva de grupo de la lista con la prioridad ms alta se procesan en ltimo lugar. (Esto es lo que les otorga una prioridad ms alta.)
Los objetos de Directiva de grupo son objetos: pueden tener mens contextuales para poder ver sus propiedades. Puede utilizar los mens
contextuales para obtener y modificar informacin general sobre un objeto de Directiva de grupo. Esta informacin incluye Listas de control de
acceso discrecional (DACL) e indica el otro sitio, el otro dominio o las otras unidades organizativas a las que est vinculado el objeto.
Recomendacin: puede refinar an ms un objeto de Directiva de grupo a travs de la pertenencia de usuarios o equipos a grupos de seguridad
definiendo listas DACL basadas en esa pertenencia. Para obtener informacin sobre cmo usar las listas DACL, consulte la seccin Filtros de
grupos de seguridad.
Administrar la Directiva de grupo
Para administrar la Directiva de grupo
Modificar un objeto de Directiva de grupo
Puede utilizar la consola personalizada GPWalkThrough creada anteriormente para modificar un objeto de Directiva de grupo.
Para modificar el objeto de Directiva de grupo Directiva de OC
Seleccione Propiedades y, despus, haga clic en la ficha Directiva de grupo. Aparecer la pgina Propiedades de Directiva de grupo.
Observe lo siguiente en la pgina Propiedades de Directiva de grupo.
En esta pgina se muestran todos los objetos de Directiva de grupo que estn asociados a la unidad organizativa, dominio o sitio
actualmente seleccionado. Los vnculos son objetos: tienen un men contextual al que puede tener acceso haciendo clic con el botn
secundario del mouse en el objeto. (Al hacer clic con el botn secundario del mouse en el espacio en blanco se muestra un men contextual
para crear un nuevo vnculo, agregar un vnculo o actualizar la lista.)
En esta pgina se muestra tambin una lista de objetos de Directiva de grupo ordenados, con el objeto con la prioridad ms alta al principio
de la lista. Puede cambiar el orden de la lista seleccionando un objeto de Directiva de grupo y utilizando las teclas de direccin Arriba o
Abajo.
Para asociar (vincular) un objeto de Directiva de grupo, haga clic en el botn Agregar.
Para modificar un objeto de Directiva de grupo existente en la lista, seleccinelo y, a continuacin, haga clic en el botn Editar o haga doble
clic en el objeto. Se iniciar el Editor de objetos de Directiva de grupo, donde podr modificar el objeto de Directiva de grupo. Para obtener
ms informacin sobre cmo modificar objetos de Directiva de grupo, consulte Modificar un objeto de Directiva de grupo.
Para eliminar permanentemente un objeto de Directiva de grupo de la lista, seleccinelo y, despus, haga clic en el botn Eliminar. Cuando
se le indique, seleccione Quitar el vnculo y eliminar el objeto de directiva de grupo permanentemente. Tenga cuidado al eliminar un
objeto de Directiva de grupo ya que podra estar asociado a otro sitio, dominio o unidad organizativa. Si slo desea quitar la asociacin del
objeto de Directiva de grupo con el contenedor actual, seleccione el objeto de la lista de vnculos, haga clic en Eliminar y, despus, cuando
se le indique, seleccione Quitar el vnculo de la lista.
Para averiguar qu otros sitios, dominios o unidades organizativas estn asociados a un objeto de Directiva de grupo determinado, haga clic
con el botn secundario del mouse en el objeto, seleccione Propiedades en el men contextual y, a continuacin, haga clic en la ficha
Vnculos de la pgina Propiedades del objeto de Directiva de grupo. Haga clic en Buscar ahora para recuperar la lista de vnculos
actuales de este objeto de Directiva de grupo.
Puede definir la opcin No reemplazar haciendo clic con el botn secundario del mouse en el objeto de Directiva de grupo. Esta opcin
marca el objeto de Directiva de grupo seleccionado para que sus directivas no puedan ser reemplazadas por otro objeto de Directiva de
grupo.
Nota: puede habilitar la opcin No reemplazar en varios objetos de Directiva de grupo. Todos los objetos de Directiva de grupo marcados
como No reemplazar tendrn prioridad sobre los que no estn marcados con esta opcin. De los marcados como No reemplazar, los que
tienen la prioridad ms alta se aplicarn despus de los dems objetos de Directiva de grupo marcados con esta opcin.
Puede definir el objeto de Directiva de grupo como Deshabilitado haciendo clic con el botn secundario del mouse en l, con lo que
deshabilitar (desactivar) el objeto de Directiva de grupo sin quitarlo de la lista.
Nota: tambin es posible deshabilitar slo la parte Usuario o Equipo del objeto de Directiva de grupo. Para ello, haga clic con el botn
secundario del mouse en el objeto de Directiva de grupo, haga clic en Propiedades y, a continuacin, en la ficha General, haga clic en
Deshabilitar los parmetros de configuracin del equipo o Deshabilitar los parmetros de configuracin de usuario.
En la pgina de propiedades de Directiva de grupo del contenedor de Active Directory, puede definir Bloquear la herencia de directivas
para invalidar todos los objetos de Directiva de grupo que se encuentran en la parte superior de la jerarqua. Sin embargo, no puede
bloquear ningn objeto de Directiva de grupo de aplicacin forzosa mediante la casilla de verificacin No reemplazar; estos objetos de
Directiva de grupo siempre se aplican.
Nota: las opciones de directiva incluidas en el objeto de Directiva de grupo local que no se reemplazan especficamente por opciones de
directiva basadas en dominio siempre se aplican. Bloquear la herencia de directivas no quitar la directiva local en ningn nivel.
1. En la consola MMC GPWalkThrough, haga doble clic en el objeto de Directiva de grupo Directiva de OC (o resltelo y, despus, haga clic
en Editar). Se abrir el Editor de objetos de Directiva de grupo para modificar la Directiva de OC. Debe tener un aspecto similar al de la
Figura 3.
Page 4 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...
Figura 3. Directiva de OC
Ver la imagen a tamao completo
2. Cierre el Editor de objetos de Directiva de grupo para la Directiva OC.
Agregar o examinar un objeto de Directiva de grupo
Para agregar un objeto de Directiva de grupo
1. En la pgina Propiedades de Oficinas centrales, en la ficha Directiva de grupo, haga clic en Agregar. En el cuadro de dilogo
Agregar un vnculo de objeto de directiva de grupo se muestran los objetos de Directiva de grupo actualmente asociados a
dominios/unidades organizativas o sitios, o todos los objetos de Directiva de grupo existentes en la estructura de Active Directory. En la
Figura 4 se ilustra este cuadro de dilogo.
Figura 4. Agregar un vnculo de objeto de Directiva de grupo
Revise los siguientes componentes del cuadro de dilogo Agregar un vnculo de objeto de directiva de grupo y, a continuacin, cierre el
cuadro de dilogo.
Nota: puede haber dos o ms objetos de Directiva de grupo con el mismo nombre. sta es una decisin de diseo, ya que los objetos de
Directiva de grupo se almacenan en realidad como identificadores nicos globales (GUID). El nombre que se muestra es en realidad un nombre
descriptivo almacenado en Active Directory.
Directivas basadas en el Registro
La interfaz de usuario para las directivas basadas en el Registro est disponible a travs de los archivos de Plantilla administrativa (.adm).
Estos archivos describen la interfaz de usuario que se muestra en el nodo Plantillas administrativas del complemento Directiva de grupo. Son
archivos con un formato compatible con los archivos .adm utilizados por la herramienta Editor de Directiva de grupo (Poledit.exe) de Microsoft
Windows NT
4.0. En Windows Server 2003 se han ampliado las opciones disponibles en las directivas basadas en el Registro.
Nota: aunque es posible agregar cualquier archivo .adm a un objeto de Directiva de grupo, si utiliza un archivo .adm de una versin anterior de
Windows, es bastante improbable que las claves del Registro surtan efecto en Windows Server 2003.
De forma predeterminada, slo se muestran las opciones de directiva definidas en los archivos .adm cargados que existen en los rboles de
Directiva de grupo aprobados; estas opciones reciben el nombre de directivas reales. Esto significa que el complemento Directiva de grupo no
muestra los elementos descritos en el archivo .adm que establecen claves del Registro fuera de los rboles de la Directiva de grupo; estos
elementos se conocen como preferencias de Directiva de grupo. Las preferencias se indican mediante un icono rojo para distinguirlas de las
directivas reales, que se indican mediante un icono azul. Los rboles de Directiva de grupo aprobados son:
Nota: no se recomienda en absoluto prescindir de las directivas en la infraestructura de Directiva de grupo debido al comportamiento persistente
de las opciones del Registro anteriormente mencionado. Para definir directivas de Registro en Windows NT 4.0 y clientes Windows 95 y Windows
98, utilice la herramienta Editor de directivas del sistema de Windows NT 4.0, Poledit.exe.
De manera predeterminada, los archivos conf.adm, inetres.adm, system.adm, wmplayer.adm y wuau.adm se cargan y estn disponibles para su
configuracin, como se muestra en la Figura 5.
El cuadro desplegable Buscar en permite desplazarse por toda la estructura de Active Directory para buscar un objeto de Directiva de grupo.
Cuando cambie el valor de este cuadro, los objetos de Directiva de grupo y todos los objetos secundarios se mostrarn en el panel de
resultados.
En la ficha Dominios y OUs, el cuadro de lista contiene las unidades organizativas secundarias y los objetos de Directiva de grupo para la
unidad organizativa o el dominio actualmente seleccionado. Para desplazarse por la jerarqua, haga doble clic en una unidad organizativa
secundaria o utilice el botn de la barra de herramientas Subir un nivel.
En la ficha Sitios, se muestran todos los objetos de Directiva de grupo asociados al sitio seleccionado. Utilice la lista desplegable para
seleccionar otro sitio. No hay jerarqua de sitios.
En la ficha Todos se muestra una lista plana de todos los objetos de Directiva de grupo almacenados en el dominio seleccionado. Esto es til
para seleccionar un objeto de Directiva de grupo que conoce por el nombre, en lugar de por su asociacin actual. ste es el nico sitio donde se
puede crear un objeto de Directiva de grupo que no est vinculado a un sitio, dominio o unidad organizativa.
Para crear un objeto de Directiva de grupo desvinculado en la ficha Todos, seleccione el botn Crear nuevo objeto de directiva de grupo de
la barra de herramientas o haga clic con el botn secundario del mouse en el espacio en blanco y, despus, haga clic en Nuevo. Asigne un
nombre al nuevo objeto de Directiva de grupo, haga clic en Entrar y luego en Cancelar (no haga clic en Aceptar. Si hace clic en Aceptar
vincular el nuevo objeto de directiva de grupo al sitio, dominio o unidad organizativa actual). Al hacer clic en Cancelar se crea un objeto de
Directiva de grupo desvinculado.
Para asociar un objeto de Directiva de grupo al dominio o unidad organizativa actualmente seleccionado, haga doble clic en el objeto de
Directiva de grupo que desee.
\Software\Policies
\Software\Microsoft\Windows\CurrentVersion\Policies
Page 5 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...
Los archivos .adm predeterminados ofrecen las siguientes opciones de configuracin.
Agregar plantillas administrativas
Las plantillas administrativas (archivos .adm) contienen una jerarqua de categoras y subcategoras que definen en conjunto cmo se organizan
las opciones en la interfaz de usuario de Directiva de grupo.
Para agregar una plantilla administrativa (archivos .adm)
Figura 5. Configuracin de usuario
Se pueden agregar objetos de Directiva de grupo adicionales con conjuntos diferentes de directivas y hacer que se apliquen nicamente a
grupos distintos del grupo Administracin.
Se puede crear otro grupo que incluya miembros de los grupos existentes y utilizar esos grupos como filtros para un objeto de Directiva de
grupo.
Page 9 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...
En la siguiente seccin configurar un objeto de Directiva de grupo en la unidad organizativa Cuentas, que se aplica de manera predeterminada a
los usuarios (y equipos) de todos los objetos secundarios de dicha unidad organizativa. A continuacin, establecer otro objeto de Directiva de
grupo en la unidad organizativa Cuentas y lo definir como No reemplazar. Estas opciones se aplicarn a todos los objetos secundarios aunque
entren en conflicto con otras opciones aplicadas mediante un objeto de Directiva de grupo. Despus utilizar la caracterstica Bloquear la
herencia para impedir que las directivas de grupo definidas en el sitio, dominio o unidad organizativa principal (en este caso, la unidad
organizativa Cuentas) se apliquen a la unidad organizativa Produccin.
Para crear nuevos objetos de Directiva de grupo
1. En la consola MMC GPWalkthrough, bajo contoso.com, haga clic con el botn secundario del mouse en la unidad organizativa Cuentas.
2. Haga clic en Propiedades y luego en la ficha Directiva de grupo.
3. Haga clic en Nuevo, escriba Directivas predeterminadas de usuario para el nombre del objeto de Directiva de grupo y, despus,
presione ENTRAR.
4. Haga clic otra vez en Nuevo, escriba Directivas de usuario forzadas para el nombre del objeto de Directiva de grupo y, despus,
presione ENTRAR.
5. Haga clic en el objeto de Directiva de grupo Directivas de usuario forzadas y, a continuacin, haga clic en el botn Arriba para moverlo
al principio de la lista.
Nota: el objeto de Directiva de grupo Directivas de usuario forzadas debe tener la prioridad ms alta. Tenga en cuenta que este paso slo
sirve para demostrar la funcionalidad del botn Arriba; un objeto de Directiva de grupo de aplicacin forzosa siempre tiene prioridad sobre
los que no son de aplicacin forzosa.
6. Seleccione la opcin No reemplazar para el objeto de Directiva de grupo Directivas de usuario forzadas haciendo doble clic en la columna
No reemplazar o mediante el botn Opciones. Debe aparecer la pgina Propiedades de Cuentas, como se ilustra en la Figura 10.
Figura 10. Directivas de usuario forzadas con No
reemplazar
Para habilitar opciones en los objetos de Directiva de grupo Directivas de usuario forzadas y Directivas predeterminadas de usuario
1. En la pgina Propiedades de Cuentas, haga doble clic en el objeto de Directiva de grupo Directivas de usuario forzadas.
2. En el Editor de objetos de Directiva de grupo, bajo Configuracin de usuario, expanda Plantillas administrativas.
3. Expanda Sistema y, a continuacin, haga clic en Opciones de Ctrl+Alt+Supr.
4. En el panel de detalles, haga doble clic en la directiva Quitar Administrador de tareas, haga clic en Habilitada en el cuadro de dilogo
Quitar Administrador de tareas y, a continuacin, haga clic en Aceptar. Para obtener ms informacin sobre la directiva, haga clic en
la ficha Explicacin. El valor es ahora Habilitada, como se muestra en la Figura 11.
Figura 11. Deshabilitar el uso del Administrador de tareas
5. Haga clic en Archivo y luego en Salir para cerrar el Editor de objetos de Directiva de grupo.
6. En el cuadro de dilogo Propiedades de Cuentas, en la ficha Directiva de grupo, haga doble clic en el objeto de Directiva de grupo
Directivas predeterminadas de usuario en la lista Vnculos de objetos de directiva de grupo.
7. En el Editor de objetos de Directiva de grupo, bajo Configuracin de usuario, expanda Plantillas administrativas, expanda
Escritorio y, a continuacin, haga clic en Active Desktop.
8. En el panel de detalles, haga doble clic en la directiva Deshabilitar Active Desktop.
9. Haga clic en Habilitada, en Aceptar y luego otra vez en Aceptar.
10. Haga clic en Archivo y luego en Salir para cerrar el Editor de objetos de Directiva de grupo.
Al iniciar sesin en una estacin de trabajo cliente como usuario bajo la unidad organizativa Cuentas, incluidas las unidades organizativas
secundarias, se aplicarn los objetos de Directiva de grupo Directivas predeterminadas de usuario y Directivas de usuario forzadas. Se
Page 10 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Serv...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...
deshabilitar el Administrador de tareas y Active Desktop.
Mejorar el rendimiento de los objetos de Directiva de grupo
Como estos objetos de Directiva de grupo se utilizan nicamente para la configuracin de usuario, se puede deshabilitar la parte correspondiente
a los equipos de estos objetos. Al deshabilitar las opciones de configuracin de equipo se reduce el tiempo de inicio del equipo de destino, ya que
no es necesario evaluar los objetos de Directiva de grupo de equipo.
Si no hay equipos en la unidad organizativa Cuentas, ni en sus unidades organizativas secundarias, no se obtendr un beneficio inmediato al
deshabilitar la parte correspondiente a los equipos del objeto de Directiva de grupo. Sin embargo, dado que estos objetos de Directiva de grupo se
pueden vincular ms adelante a un contenedor diferente que puede incluir equipos, tal vez considere conveniente deshabilitar la parte
correspondiente a los equipos de estos objetos de Directiva de grupo.
Para deshabilitar la parte correspondiente a los equipos de un objeto de Directiva de grupo
1. En el cuadro de dilogo Propiedades de Cuentas, haga clic con el botn secundario del mouse en el objeto de Directiva de grupo
Directivas de usuario forzadas y, a continuacin, seleccione Propiedades.
2. En el cuadro de dilogo Propiedades de Directivas de usuario forzadas, haga clic en la ficha General (opcin predeterminada) y,
despus, active la casilla de verificacin Deshabilitar los parmetros de configuracin del equipo. En el cuadro de dilogo Confirmar
deshabilitar, haga clic en S y luego en Aceptar para finalizar.
Observe que la pgina de propiedades General incluye dos casillas de verificacin para deshabilitar una parte del objeto de Directiva de
grupo.
3. Repita los pasos 1 y 2 para el objeto de Directiva de grupo Directivas predeterminadas de usuario.
Bloquear la herencia
Puede bloquear la herencia para que un objeto de Directiva de grupo no herede la directiva de otro objeto de Directiva de grupo de la jerarqua.
En el ejemplo siguiente se muestra cmo bloquear la herencia para que slo las opciones de las Directivas de usuario forzadas afecten a los
usuarios de esta unidad organizativa.
Para bloquear la herencia de la Directiva de grupo para la unidad organizativa Produccin
1. En el cuadro de dilogo Propiedades de Cuentas, haga clic en Cerrar.
2. En la unidad organizativa Cuentas en la consola GPWalkThrough, haga clic con el botn secundario del mouse en la unidad organizativa
Produccin, seleccione Propiedades en el men contextual y, a continuacin, haga clic en la ficha Directiva de grupo.
3. Active la casilla de verificacin Bloquear la herencia de directivas y, despus, haga clic en Aceptar.
Para comprobar que las opciones heredadas estn bloqueadas, inicie sesin como usuario en la unidad organizativa Produccin. Observe que
Active Desktop est disponible, pero el Administrador de tareas sigue deshabilitado ya que el objeto de Directiva de grupo que lo deshabilita est
establecido en No reemplazar en la unidad organizativa principal.
Vincular un objeto de Directiva de grupo a varios sitios, dominios y unidades organizativas
En esta seccin se explica cmo vincular un objeto de Directiva de grupo a varios contenedores (sitios, dominios o unidades organizativas) en
Active Directory. Segn la configuracin exacta de las unidades organizativas, puede utilizar otros mtodos para obtener efectos de Directiva de
grupo similares; puede utilizar, por ejemplo, filtros de grupos de seguridad o bloquear la herencia. En algunos casos, sin embargo, estos mtodos
no producen los efectos deseados. Utilice el mtodo siguiente siempre que tenga que definir explcitamente qu sitios, dominios o unidades
organizativas necesitan el mismo conjunto de directivas.
Para vincular un objeto de Directiva de grupo a varios sitios, dominios y unidades organizativas
1. En la unidad organizativa Cuentas en la consola GPWalkThrough, haga clic con el botn secundario del mouse en la unidad organizativa
Oficinas centrales, seleccione Propiedades en el men contextual y, a continuacin, haga clic en la ficha Directiva de grupo.
2. En el cuadro de dilogo Propiedades de Oficinas centrales, en la ficha Directiva de grupo, haga clic en Nuevo para crear un nuevo
objeto de Directiva de grupo llamado Directivas vinculadas.
3. Seleccione el objeto de Directiva de grupo Directivas vinculadas y, a continuacin, haga clic en Editar.
4. En el Editor de objetos de Directiva de grupo, bajo Configuracin de usuario, expanda Plantillas administrativas, haga clic en
Panel de control y luego en Mostrar.
5. En el panel de detalles, haga doble clic en la directiva Impedir cambios en el papel tapiz y, a continuacin, haga clic en Habilitada.
Haga clic en Aceptar para continuar.
6. Haga clic en Archivo y luego en Salir para cerrar el Editor de objetos de Directiva de grupo.
7. En la pgina Propiedades de Oficinas centrales, haga clic en Cerrar.
8. En la unidad organizativa Cuentas en la consola GPWalkThrough, haga clic con el botn secundario del mouse en la unidad organizativa
Produccin, haga clic en Propiedades en el men contextual y, a continuacin, haga clic en la ficha Directiva de grupo en el cuadro
de dilogo Propiedades de Produccin.
9. Haga clic en Agregar o haga clic con el botn secundario del mouse en el rea en blanco de la lista Vnculos de objetos de directiva
de grupo y seleccione Agregar en el men contextual.
10. En el cuadro de dilogo Agregar un vnculo de objeto de directiva de grupo, haga clic en la flecha abajo en el cuadro Buscar en y
seleccione la unidad organizativa Cuentas.contoso.com.
11. Haga doble clic en la unidad organizativa Oficinas centrales.Cuentas.contoso.com en la lista Dominios, unidades organizativas y
objetos de directiva de grupo vinculados.
12. Haga clic en el objeto de Directiva de grupo Directivas vinculadas y, a continuacin, haga clic en Aceptar.
13. Haga clic en Aceptar para finalizar.
Acaba de vincular un nico objeto de Directiva de grupo a dos unidades organizativas. Los cambios realizados en el objeto de Directiva de grupo
en cualquiera de las ubicaciones provocan un cambio en ambas unidades organizativas.
Procesamiento de bucle invertido
El bucle invertido es una alternativa al mtodo predeterminado de obtener la lista ordenada de objetos de Directiva de grupo cuyas opciones de
Configuracin de usuario afectan a un usuario. De forma predeterminada, la configuracin de un usuario proviene de una lista de objetos de
Directiva de grupo que depende de la ubicacin del usuario en Active Directory. La lista ordenada abarca desde los objetos de Directiva de grupo
vinculados a sitios a los vinculados a dominios y a los vinculados a unidades organizativas, y la herencia se determina por la ubicacin del usuario
en Active Directory con el orden especificado por el administrador en cada nivel.
Un bucle invertido se puede establecer en No configurado, Habilitado o Deshabilitado, como cualquier otra opcin de Directiva de grupo. En el
estado Habilitado, el bucle invertido se puede establecer en Combinar o Reemplazar.
Bucle invertido con Reemplazar La lista de objetos de Directiva de grupo para el usuario se sustituye en su totalidad por la lista de objetos
de Directiva de grupo obtenida para el equipo al iniciarse. Las opciones de Configuracin de usuario de esta lista se aplican al usuario.
Bucle invertido con Combinar La lista de objetos de Directiva de grupo es una lista concatenada. Los objetos de Directiva de grupo
Page 11 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Serv...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...
Para habilitar el procesamiento de bucle invertido
predeterminados para los equipos se agregan a los objetos de Directiva de grupo predeterminados para los usuarios, y el usuario obtiene las
opciones de Configuracin de usuario de la lista concatenada. Tenga en cuenta que la lista de objetos de Directiva de grupo que se obtiene para
el equipo se aplica despus y, por tanto, tiene prioridad si existe un conflicto con las opciones de la lista del usuario.
1. Expanda la unidad organizativa Recursos en la consola GPWalkThrough, haga clic con el botn secundario del mouse en la unidad
organizativa Escritorio, haga clic en Propiedades en el men contextual y, a continuacin, haga clic en la ficha Directiva de grupo en el
cuadro de dilogo Propiedades de Escritorio.
2. Haga clic en Nuevo para crear un objeto de Directiva de grupo llamado Directivas de bucle invertido.
3. Seleccione el objeto de Directiva de grupo Directivas de bucle invertido y, a continuacin, haga clic en Editar.
4. En el Editor de objetos de Directiva de grupo, en el nodo Configuracin del equipo, expanda Plantillas administrativas, expanda
Sistema y, a continuacin, haga clic en Directiva de grupo.
5. En el panel de detalles, haga doble clic en la directiva Modo de procesamiento de bucle invertido de la directiva de grupo de
usuario.
6. Haga clic en Habilitado en el cuadro de dilogo Modo de procesamiento de bucle invertido de la directiva de grupo de usuario,
seleccione Reemplazar (opcin predeterminada) en la lista desplegable Modo y, a continuacin, haga clic en Aceptar.
En la siguiente seccin se definen opciones restrictivas para los entornos Men Inicio y barra de taras y Escritorio del usuario que podran
aplicarse a un escenario Quiosco. Para desplazarse de forma eficaz por las directivas, utilice los botones de exploracin Valor siguiente de los
cuadros de dilogo de directivas.
Para definir un entorno restrictivo del Men Inicio y barra de tareas
1. En el Editor de objetos de Directiva de grupo, bajo el nodo Configuracin de usuario, expanda Plantillas administrativas y, a
continuacin, haga clic en Men Inicio y barra de tareas.
2. En cada uno de los cuadros de dilogo de directivas siguientes, establezca el estado de las directivas como se indica en la tabla.
Contenedor Directiva Configuracin
Men Inicio y barra de
tareas.
Quitar las carpetas de usuario del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar vnculos y accesos a Windows Update Habilitada
Men Inicio y barra de
tareas.
Quitar grupos de programas comunes del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar el icono Mis documentos del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar el men Documentos del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar programas del men Configuracin Habilitada
Men Inicio y barra de
tareas.
Quitar Conexiones de red del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar el men Favoritos del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar el men Buscar del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar el men Ayuda del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar el men Ejecutar del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar el icono Mis imgenes del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar el icono Mi msica del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar el icono Mis sitios de red del men Inicio Habilitada
Men Inicio y barra de
tareas.
Agregar cierre de sesin al men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar cierre de sesin del men Inicio No configurada
Men Inicio y barra de
tareas.
Quitar el comando Apagar e impedir el acceso al mismo Habilitada
Men Inicio y barra de
tareas.
Quitar los mens contextuales para arrastrar y colocar del men Inicio Habilitada
Men Inicio y barra de
tareas.
Impedir cambios en la configuracin de la barra de tareas y del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar el acceso a los mens contextuales en la barra de tareas Habilitada
Men Inicio y barra de
tareas.
No guardar historial de documentos abiertos recientemente Habilitada
Men Inicio y barra de
tareas.
Borrar historial de los documentos abiertos recientemente al salir Habilitada
Men Inicio y barra de
tareas.
Desactivar mens personalizados Habilitada
Men Inicio y barra de
tareas.
Desactivar seguimiento del usuario Habilitada
Men Inicio y barra de Agregar la casilla de verificacin "Ejecutar en espacio de memoria No configurada
Page 12 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Serv...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...
tareas. separado" al cuadro de dilogo Ejecutar
Men Inicio y barra de
tareas.
No utilizar el mtodo basado en bsqueda al resolver accesos directos del
shell
No configurada
Men Inicio y barra de
tareas.
No utilizar el mtodo basado en seguimiento al resolver accesos directos
del shell
No configurada
Men Inicio y barra de
tareas.
Poner en gris los accesos directos del men Inicio de los programas no
disponibles del Instalador de Windows
No configurada
Men Inicio y barra de
tareas.
Impedir el agrupamiento de los elementos de la barra de tareas Habilitada
Men Inicio y barra de
tareas.
Desactivar limpieza de rea de notificacin No configurada
Men Inicio y barra de
tareas.
Bloquear la barra de tareas Habilitada
Men Inicio y barra de
tareas.
Forzar men Inicio clsico No configurada
Men Inicio y barra de
tareas.
Quitar globos de sugerencias de los elementos del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar del men Inicio la lista de programas agregados Habilitada
Men Inicio y barra de
tareas.
Quitar del men Inicio la lista de programas de uso frecuente No configurada
Men Inicio y barra de
tareas.
Quitar del men Inicio la lista Todos los programas No configurada
Men Inicio y barra de
tareas.
Quitar el botn "Desacoplar equipo" del men Inicio Habilitada
Men Inicio y barra de
tareas.
Quitar del men Inicio el nombre de usuario Habilitada
Men Inicio y barra de
tareas.
Quitar el reloj del rea de notificacin del sistema No configurada
Men Inicio y barra de
tareas.
Ocultar el rea de notificacin No configurada
Men Inicio y barra de
tareas.
No mostrar ninguna barra de herramientas personalizada en la barra de
tareas
Habilitada
Men Inicio y barra de
tareas.
Quitar del men Inicio Configurar acceso y programas predeterminados Habilitada
Para definir un entorno restrictivo de Escritorio
1. En el Editor de objetos de Directiva de grupo, bajo Configuracin de usuario y Plantillas administrativas, haga clic en Escritorio.
2. En cada uno de los cuadros de dilogo de directivas siguientes, establezca el estado de las directivas como se indica en la tabla.
Contenedor Directiva Configuracin
Escritorio Ocultar y deshabilitar todos los iconos del escritorio No configurada
Escritorio Quitar del escritorio el icono Mis documentos Habilitada
Escritorio Quitar del escritorio el icono Mi PC Habilitada
Escritorio Quitar del escritorio el icono de Papelera de reciclaje Habilitada
Escritorio Quitar el elemento Propiedades del men contextual de Mis documentos Habilitada
Escritorio Quitar el elemento Propiedades del men contextual de Mi PC Habilitada
Escritorio Quitar Propiedades del men contextual de Papelera de reciclaje Habilitada
Escritorio Ocultar el icono Mis sitios de red del escritorio Habilitada
Escritorio Ocultar el icono de Internet Explorer en el escritorio No configurada
Escritorio No agregar recursos compartidos de documentos abiertos recientemente a
Mis sitios de red
Habilitada
Escritorio Prohibir al usuario cambiar la ruta a Mis documentos Habilitada
Escritorio Impedir la adicin, arrastre, colocacin y cierre de las barras de
herramientas de la Barra de tareas
No configurada
Escritorio Prohibir el ajuste de las barras de herramientas del escritorio Habilitada
Escritorio No guardar la configuracin al salir Habilitada
Escritorio Quitar el Asistente para limpieza de escritorio Habilitada
3. Una vez configuradas todas las directivas, haga clic en Aceptar.
4. En el Editor de objetos de Directiva de grupo, desplcese al nodo Active Desktop bajo Configuracin de usuario\Plantillas
administrativas\Escritorios, establezca la directiva Deshabilitar Active Desktop en Habilitada y, a continuacin, haga clic en
Aceptar.
5. En el Editor de objetos de Directiva de grupo, desplcese al nodo Panel de control bajo Configuracin de usuario\Plantillas
administrativas y a continuacin, haga clic en el nodo Agregar o quitar programas. Haga doble clic en la directiva Deshabilitar
Agregar o quitar programas, establzcala en Habilitada y, a continuacin, haga clic en Aceptar.
6. En el Editor de objetos de Directiva de grupo, desplcese al nodo Panel de control bajo Configuracin de usuario\Plantillas
administrativas y a continuacin, haga clic en el nodo Pantalla. Haga doble clic en la directiva Quitar el elemento Pantalla en Panel
de control, establzcala en Habilitada y, a continuacin, haga clic en Aceptar.
7. En el Editor de objetos de Directiva de grupo, haga clic en Archivo y luego en Salir.
Page 13 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Serv...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...
8. En el cuadro de dilogo Propiedades de Escritorios, haga clic en Aceptar.
Los usuarios que inicien sesin en los equipos de la unidad organizativa Escritorio no tendrn las directivas que se les aplicaran normalmente;
en su lugar, tendrn las directivas de usuario definidas en el objeto de Directiva de grupo Directivas de bucle invertido. Puede emplear los
procedimientos descritos en la seccin Filtros de grupos de seguridad para restringir este comportamiento a grupos especficos de equipos creando
un grupo de seguridad y denegando despus la aplicacin de objetos de Directiva de grupo a dicho grupo.
Principio de la pgina
Apndice
Secuencia de comandos de ejemplo Welcome.js
// Script Sample for Windows Scripting Host
//
// Define constant values.
//
var MB_ICONINFORMATION= 0x40;
var MB_ICONQUESTION = 0x20;
var MB_ICONYESNO= 0x04
var IDYES = 6;
var IDTIMEOUT = -1;
var POPUP_WAIT= 5; // close popup after 5 seconds.
//
// Create ActiveX Controls
//
var Shell = WScript.CreateObject("WScript.Shell")
var Env = Shell.Environment("PROCESS")
//
// Set greeting message.
//
var strTitle = "Sample Login Script";
var strMsg = "Welcome \"" + Env("UserName")
strMsg += "\" to the \"" + Env("UserDomain") + "\" domain\r\n\r\n"
Shell.Popup(strMsg, POPUP_WAIT, strTitle, MB_ICONINFORMATION);
//
// Launch Internet Explorer if user wants.
//
strMsg = "Do you want to visit the Windows Server 2003 web site?";
var strURL;
strURL = "http://www.microsoft.com/windowsserversystem/default.mspx";
var intAnswer = Shell.Popup(strMsg,
POPUP_WAIT,
strTitle,
MB_ICONQUESTION | MB_ICONYESNO );
if (intAnswer == IDYES) {
Shell.Run(strURL);
}
Principio de la pgina
Recursos adicionales
Para obtener ms informacin, consulte los siguientes recursos:
Para obtener la informacin ms reciente sobre Windows Server 2003, visite el sitio Web de Windows Server 2003 en
http://www.microsoft.com/windowsserver2003
Principio de la pgina
Versin para impresora Enviar esta pgina Agregar a Favoritos
Administre su perfil
2008 Microsoft Corporation. Todos los derechos reservados. Pngase en contacto con nosotros | Aviso Legal | Marcas registradas | Privacidad
Page 14 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Serv...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...