Introducción Al Conjunto de Características de Directiva de Grupo

Haga clic aqu para instalar Silverlight Latinoamrica Cambiar | Todos los sitios de Microsoft
Buscar en Microsoft.com:
Home | Suscrbase | Downloads | Contctenos | MSN
Bsqueda

Bsqueda Avanzada
TechNet Ir
Comunidad
Suscripcin Technet
Entrenamiento
Webcasts
Seguridad
Recursos
Medianas Empresas
Servidores
Office
Sistemas Operativos
Beta Central
Evaluacin de Software
Home TechNet de tu pas
Desarrollador
Negocios

Gua detallada de introduccin al conjunto de caractersticas de Directiva de grupo
Publicado: septiembre 17, aaaa
En esta gua detallada se ofrece una breve introduccin a la Directiva de grupo y se muestra cmo utilizar el complemento Directiva de grupo para
especificar opciones de directiva para grupos de usuarios y equipos.
En esta pgina
Introduccin
Guas detalladas
Las guas detalladas de desarrollo de Microsoft Windows Server 2003 proporcionan experiencia prctica para muchas configuraciones de sistemas
operativos. Las guas comienzan estableciendo una infraestructura de red comn a travs de la instalacin de Windows Server 2003, la
configuracin de Active Directory
, la instalacin de una estacin de trabajo Windows XP Professional y, por ltimo, la incorporacin de esta
estacin de trabajo a un dominio. Las guas detalladas posteriores asumen que posee esta infraestructura de red comn. Si no desea seguir esta
infraestructura de red comn, tendr que efectuar las modificaciones pertinentes mientras utiliza estas guas.
La infraestructura de red comn requiere que se sigan las instrucciones de las guas siguientes.
Una vez configurada la infraestructura de red comn, pueden utilizarse todas las guas detalladas adicionales. Tenga en cuenta que algunas guas
detalladas pueden tener requisitos previos adicionales adems de los requisitos de infraestructura de red comn. Todos los requisitos adicionales
se indicarn en la gua detallada especfica.
Microsoft Virtual PC
Las guas detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio fsico o mediante tecnologas de
creacin de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnologa de mquina virtual permite a los
usuarios ejecutar varios sistemas operativos simultneamente en un nico servidor fsico. Virtual PC 2004 y Virtual Server 2005 estn diseados
para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migracin de aplicaciones heredadas y los escenarios de
consolidacin de servidores.
En las guas detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarn en un entorno de laboratorio
fsico, aunque la mayora de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicacin de los conceptos proporcionados en estas guas detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compaas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y datos
mencionados aqu son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, nombres de dominio,
direcciones de correo electrnico, logotipos, personas, lugares o datos reales.
Esta infraestructura comn est concebida para su uso en una red privada. El nombre ficticio de la compaa y el nombre DNS (Servicio de
nombres de dominio) utilizados en la infraestructura comn no estn registrados para su uso en Internet. No debe utilizar estos nombres en una
red pblica ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura comn es mostrar cmo funciona la administracin de cambios y
configuracin de Windows Server 2003 con Active Directory. No se ha diseado como un modelo para configurar Active Directory en una
organizacin.
Principio de la pgina
Introduccin
La configuracin de la Directiva de grupo define los distintos componentes del entorno de escritorio del usuario que un administrador del sistema
necesita administrar, como los programas que estn disponibles a los usuarios, los que aparecen en el escritorio del usuario y las opciones del
men Inicio. Las opciones de Directiva de grupo que especifique se incluyen en un objeto de Directiva de grupo que, a su vez, se asocia a los
objetos de Active Directory seleccionados: sitios, dominios o unidades organizativas.
La Directiva de grupo no slo se aplica a los usuarios y a los equipos cliente, sino tambin a los servidores miembro, a los controladores de
dominio y a cualquier otro equipo Windows Server 2003 dentro del mbito de administracin. De forma predeterminada, la Directiva de grupo que
se aplica a un dominio (es decir, la que se aplica en el nivel de dominio justo encima de la raz de Usuarios y equipos de Active Directory) afecta a
todos los equipos y usuarios del dominio. Usuarios y equipos de Active Directory proporciona tambin una unidad organizativa integrada llamada
Controladores de dominio. Si almacena aqu sus cuentas de controlador de dominio, puede utilizar el objeto de Directiva de grupo Directiva
predeterminada de controladores de dominio para administrar los controladores de dominio independientemente de los dems equipos.
Los objetos de Directiva de grupo se vinculan a los contenedores de sitio, dominio y unidad organizativa en Active Directory. El orden de prioridad
predeterminado sigue el orden jerrquico de Active Directory: primero los sitios, luego los dominios y despus cada unidad organizativa. Un
objeto de Directiva de grupo puede estar asociado a varios contenedores de Active Directory, o varios contenedores pueden estar vinculados a un
nico objeto de Directiva de grupo.
Un objeto de Directiva de grupo se puede utilizar para filtrar objetos en funcin de su pertenencia a grupos de seguridad, lo que permite a los
administradores administrar los equipos y usuarios de una manera centralizada o descentralizada. Para ello, los administradores pueden utilizar
filtros basados en grupos de seguridad que definan el mbito de administracin de la Directiva de grupo, de forma que se pueda aplicar
centralmente en el nivel de dominio. Tambin se puede aplicar de una manera descentralizada en el nivel de unidad organizativa y volverse a
filtrar por grupos de seguridad. Los administradores pueden utilizar grupos de seguridad en la Directiva de grupo para:
Para la administracin de la configuracin de Directiva de grupo existen varias herramientas administrativas, entre las que se incluyen:
Introduccin
Introduccin
La Directiva de grupo y Microsoft Management Console
Apndice
Recursos adicionales
Parte I: Instalar Windows Server 2003 como un controlador de dominio
Parte II: Instalar una estacin de trabajo Windows XP Professional y conectarla a un dominio
Filtrar el mbito de un objeto de Directiva de grupo. De esta forma, se definen los grupos de usuarios y equipos que resultan afectados por un
objeto de Directiva de grupo.
Delegar el control de un objeto de Directiva de grupo. Hay dos aspectos relacionados con la administracin y delegacin de la Directiva de
grupo: administrar los vnculos de Directiva de grupo y administrar quin puede crear y modificar objetos de Directiva de grupo.
El complemento Microsoft Management Console (MMC) del Editor de objetos de Directiva de grupo
Ir
Page 1 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpf...
La Directiva de grupo incluye opciones de directiva para Configuracin de usuario, que afectan a los usuarios, y para Configuracin del equipo,
que afectan a los equipos.
Con la Directiva de grupo, puede hacer lo siguiente:
En este documento se ofrece una breve introduccin a la Directiva de grupo y se muestra cmo utilizar el complemento Directiva de grupo para
especificar opciones de directiva para grupos de usuarios y equipos.
Requisitos previos
Requisitos de esta gua
Nota: en este documento no se describen todos los escenarios posibles de la Directiva de grupo. Este conjunto de instrucciones debe utilizarse
para empezar a entender cmo funciona la Directiva de grupo y cmo puede ser utilizada por una organizacin para reducir sus costos de
administracin de IT. Otras caractersticas de Windows Server 2003, como Configuracin de seguridad e Instalacin y mantenimiento de software,
se basan en la Directiva de grupo. Para obtener una lista completa de los documentos disponibles, consulte el sitio Web Directiva de grupo en
Windows Server 2003 (en ingls).
La Directiva de grupo y Microsoft Management Console
La Directiva de grupo est directamente integrada con las herramientas de administracin de Active Directory mediante el mecanismo de
extensin del complemento MMC. Los complementos de Active Directory definen el mbito de administracin de la Directiva de grupo. La forma
habitual de tener acceso a la Directiva de grupo es utilizar el complemento Usuarios y equipos de Active Directory para establecer el mbito de
administracin en el dominio y en las unidades organizativas. Tambin puede utilizar el complemento Sitios y servicios de Active Directory para
establecer el mbito de administracin en un sitio. Estas dos herramientas estn disponibles en el grupo de programas Herramientas
administrativas; la extensin del complemento Directiva de grupo est habilitada en ambas herramientas. Tambin puede crear una consola MMC
personalizada, como se describe en la siguiente seccin.
Configurar una consola personalizada
En los ejemplos de este documento se utiliza la consola MMC personalizada que puede crear mediante los procedimientos descritos en esta
seccin. Para poder realizar los dems procedimientos de este documento, necesita crear esta consola personalizada.
Para configurar una consola personalizada
El complemento MMC predeterminado disponible en Windows Server 2003 y el que se utiliza en esta gua detallada.
La Consola de administracin de Directivas de grupo (GPMC) con el Service Pack 1
GPMC es una ampliacin del Editor de objetos de Directiva de grupo que simplifica la administracin de la Directiva de grupo, de modo que
resulte ms fcil comprender, implementar, administrar y resolver problemas de las implementaciones de Directiva de grupo. GPMC permite
tambin la automatizacin de operaciones de Directiva de grupo mediante secuencias de comandos. Para obtener ms informacin, consulte
la Gua detallada de uso de la Consola de administracin de Directivas de grupo.
Extensiones de otros fabricantes, que contengan otra configuracin de directivas
Administrar directivas basadas en el Registro con Plantillas administrativas. La Directiva de grupo crea un archivo que contiene opciones del
Registro que se escriben en la parte Usuario o Mquina local de la base de datos del Registro.
Asignar secuencias de comandos, como inicio y cierre del equipo o inicio y cierre de sesin.
Redirigir carpetas. Puede redirigir carpetas, como Mis documentos y Mis Imgenes, de la carpeta Documents and Settings del equipo local a
ubicaciones de red.
Administrar aplicaciones. Puede asignar, publicar, actualizar o reparar aplicaciones mediante la instalacin de software de Directiva de grupo.
Especificar opciones de seguridad.
Parte 1: Instalar Windows Server 2003 como un controlador de dominio
Gua detallada de administracin de Active Directory

1. Inicie sesin en HQ-CON-DC-01 como administrator@contoso.com.
2. Haga clic en el botn Inicio y en Ejecutar, escriba mmc y, a continuacin, haga clic en Aceptar.
3. En la ventana Consola1, haga clic en Archivo y luego en Agregar o quitar complemento.
4. En el cuadro de dilogo Agregar o quitar complemento, haga clic en Agregar.
5. En el cuadro de dilogo Agregar un complemento independiente, en el cuadro de lista Complementos independientes disponibles,
haga clic en Usuarios y equipos de Active Directory y luego en Agregar.
6. Haga doble clic en el complemento Sitios y servicios de Active Directory en el cuadro de lista Complementos independientes
disponibles.
7. Desplcese hacia abajo y, a continuacin, haga doble clic en Editor de objetos de directiva de grupo.
8. En el cuadro de dilogo Seleccionar un objeto de directiva de grupo, asegrese de que Equipo local est seleccionado bajo Objeto
de directiva de grupo. Haga clic en Finalizar y luego en Cerrar.
9. En el cuadro de dilogo Agregar o quitar complemento, haga clic en la ficha Extensiones. Compruebe que la casilla de verificacin
Agregar todas las extensiones est activada para cada una de las extensiones principales agregadas a la consola MMC (estn
seleccionadas de forma predeterminada). Haga clic en Aceptar.
Para guardar los cambios realizados en la consola
1. En la consola MMC, haga clic en Archivo y luego en Guardar.
2. En el cuadro de dilogo Guardar como, en el cuadro de texto Nombre de archivo, escriba GPWalkThrough y, a continuacin, haga clic
en Guardar. La consola debe ser similar a la que se muestra en la Figura 1.
Obtener acceso a la Directiva de grupo
Para tener acceso a la Directiva de grupo puede utilizar las herramientas de Active Directory adecuadas siempre que el mbito est establecido en
un sitio, dominio o unidad organizativa.
Para abrir la Directiva de grupo desde Sitios y servicios de Active Directory
Figura 1. Consola MMC de Directiva de grupo
1. En la consola MMC GPWalkthrough, en el rbol de la consola, haga clic en el signo ms (+) situado junto a Sitios y servicios de Active
Directory.
2. En el rbol de la consola, haga clic en el signo ms (+) situado junto a Sitios y, despus, haga clic con el botn secundario del mouse
(ratn) en Nombre-predeterminado-primer-sitio.
3. Haga clic en Propiedades y luego en la ficha Directiva de grupo.
4. Haga clic en Cancelar.
Para abrir la Directiva de grupo desde Usuarios y equipos de Active Directory
1. En el rbol de la consola MMC GPWalkthrough, haga clic en el signo ms (+) situado junto a Usuarios y equipos de Active Directory.
2. En el rbol de la consola, haga clic con el botn secundario del mouse en contoso.com para tener acceso a la Directiva de grupo.
4. Haga clic en Cancelar.
Para tener acceso a la Directiva de grupo aplicable a un equipo especfico (o al equipo local), debe cargar el complemento Directiva de grupo en el
espacio de nombres de la consola MMC dirigido al equipo especfico (o al equipo local). Esto se debe a dos motivos principales:
Crear un objeto de Directiva de grupo
La configuracin de Directiva de grupo se incluye en objetos de Directiva de grupo que se vinculan de forma individual a objetos de Active
Directory seleccionados, como sitios, dominios o unidades organizativas.
Para crear y vincular un nuevo objeto de Directiva de grupo a la unidad organizativa Oficinas centrales
Los sitios, los dominios y las unidades organizativas pueden tener varios objetos de Directiva de grupo vinculados; estos objetos requieren una
pgina de propiedades intermedia para poder administrarlos.
Un objeto de Directiva de grupo para un equipo especfico se almacena en ese equipo y no en Active Directory.
1. En la consola MMC GPWalkThrough, expanda contoso.com bajo Usuarios y equipos de Active Directory.
2. Haga clic en el signo ms (+) situado junto a Cuentas para expandir el rbol.
3. Haga clic con el botn secundario del mouse en Oficinas centrales y, a continuacin, haga clic en Propiedades.
4. En la pgina Propiedades de Oficinas centrales, haga clic en la ficha Directiva de grupo.
5. Haga clic en Nuevo, escriba Directiva de OC y, despus, presione ENTRAR. Aparecer la pgina Propiedades de Oficinas centrales
que se muestra en la Figura 2.
Figura 2. Nuevo objeto de Directiva de grupo
vinculado a la unidad organizativa Oficinas centrales
Los pasos anteriores muestran cmo crear y vincular automticamente un objeto de Directiva de grupo a un contenedor de Active Directory: la
unidad organizativa Oficinas centrales. Sin embargo, el objeto de Directiva de grupo no repercutir directamente en los usuarios o equipos hasta
que se definan algunas opciones. En la siguiente seccin se explica cmo modificar la configuracin del objeto de Directiva de grupo Directiva de
OC.
Se pueden crear o vincular varios objetos de Directiva de grupo bajo cualquier contenedor de Active Directory. Si hay varios objetos de Directiva
de grupo asociados a un contenedor de Active Directory, debe asegurarse de que dichos objetos estn correctamente ordenados. Los objetos de
Directiva de grupo de la lista con la prioridad ms alta se procesan en ltimo lugar. (Esto es lo que les otorga una prioridad ms alta.)
Los objetos de Directiva de grupo son objetos: pueden tener mens contextuales para poder ver sus propiedades. Puede utilizar los mens
contextuales para obtener y modificar informacin general sobre un objeto de Directiva de grupo. Esta informacin incluye Listas de control de
acceso discrecional (DACL) e indica el otro sitio, el otro dominio o las otras unidades organizativas a las que est vinculado el objeto.
Recomendacin: puede refinar an ms un objeto de Directiva de grupo a travs de la pertenencia de usuarios o equipos a grupos de seguridad
definiendo listas DACL basadas en esa pertenencia. Para obtener informacin sobre cmo usar las listas DACL, consulte la seccin Filtros de
grupos de seguridad.
Administrar la Directiva de grupo
Para administrar la Directiva de grupo
Modificar un objeto de Directiva de grupo
Puede utilizar la consola personalizada GPWalkThrough creada anteriormente para modificar un objeto de Directiva de grupo.
Para modificar el objeto de Directiva de grupo Directiva de OC
Obtenga acceso al men contextual de un sitio, un dominio o una unidad organizativa.
Seleccione Propiedades y, despus, haga clic en la ficha Directiva de grupo. Aparecer la pgina Propiedades de Directiva de grupo.
Observe lo siguiente en la pgina Propiedades de Directiva de grupo.
En esta pgina se muestran todos los objetos de Directiva de grupo que estn asociados a la unidad organizativa, dominio o sitio
actualmente seleccionado. Los vnculos son objetos: tienen un men contextual al que puede tener acceso haciendo clic con el botn
secundario del mouse en el objeto. (Al hacer clic con el botn secundario del mouse en el espacio en blanco se muestra un men contextual
para crear un nuevo vnculo, agregar un vnculo o actualizar la lista.)
En esta pgina se muestra tambin una lista de objetos de Directiva de grupo ordenados, con el objeto con la prioridad ms alta al principio
de la lista. Puede cambiar el orden de la lista seleccionando un objeto de Directiva de grupo y utilizando las teclas de direccin Arriba o
Abajo.
Para asociar (vincular) un objeto de Directiva de grupo, haga clic en el botn Agregar.
Para modificar un objeto de Directiva de grupo existente en la lista, seleccinelo y, a continuacin, haga clic en el botn Editar o haga doble
clic en el objeto. Se iniciar el Editor de objetos de Directiva de grupo, donde podr modificar el objeto de Directiva de grupo. Para obtener
ms informacin sobre cmo modificar objetos de Directiva de grupo, consulte Modificar un objeto de Directiva de grupo.
Para eliminar permanentemente un objeto de Directiva de grupo de la lista, seleccinelo y, despus, haga clic en el botn Eliminar. Cuando
se le indique, seleccione Quitar el vnculo y eliminar el objeto de directiva de grupo permanentemente. Tenga cuidado al eliminar un
objeto de Directiva de grupo ya que podra estar asociado a otro sitio, dominio o unidad organizativa. Si slo desea quitar la asociacin del
objeto de Directiva de grupo con el contenedor actual, seleccione el objeto de la lista de vnculos, haga clic en Eliminar y, despus, cuando
se le indique, seleccione Quitar el vnculo de la lista.
Para averiguar qu otros sitios, dominios o unidades organizativas estn asociados a un objeto de Directiva de grupo determinado, haga clic
con el botn secundario del mouse en el objeto, seleccione Propiedades en el men contextual y, a continuacin, haga clic en la ficha
Vnculos de la pgina Propiedades del objeto de Directiva de grupo. Haga clic en Buscar ahora para recuperar la lista de vnculos
actuales de este objeto de Directiva de grupo.
Puede definir la opcin No reemplazar haciendo clic con el botn secundario del mouse en el objeto de Directiva de grupo. Esta opcin
marca el objeto de Directiva de grupo seleccionado para que sus directivas no puedan ser reemplazadas por otro objeto de Directiva de
grupo.
Nota: puede habilitar la opcin No reemplazar en varios objetos de Directiva de grupo. Todos los objetos de Directiva de grupo marcados
como No reemplazar tendrn prioridad sobre los que no estn marcados con esta opcin. De los marcados como No reemplazar, los que
tienen la prioridad ms alta se aplicarn despus de los dems objetos de Directiva de grupo marcados con esta opcin.
Puede definir el objeto de Directiva de grupo como Deshabilitado haciendo clic con el botn secundario del mouse en l, con lo que
deshabilitar (desactivar) el objeto de Directiva de grupo sin quitarlo de la lista.
Nota: tambin es posible deshabilitar slo la parte Usuario o Equipo del objeto de Directiva de grupo. Para ello, haga clic con el botn
secundario del mouse en el objeto de Directiva de grupo, haga clic en Propiedades y, a continuacin, en la ficha General, haga clic en
Deshabilitar los parmetros de configuracin del equipo o Deshabilitar los parmetros de configuracin de usuario.
En la pgina de propiedades de Directiva de grupo del contenedor de Active Directory, puede definir Bloquear la herencia de directivas
para invalidar todos los objetos de Directiva de grupo que se encuentran en la parte superior de la jerarqua. Sin embargo, no puede
bloquear ningn objeto de Directiva de grupo de aplicacin forzosa mediante la casilla de verificacin No reemplazar; estos objetos de
Directiva de grupo siempre se aplican.
Nota: las opciones de directiva incluidas en el objeto de Directiva de grupo local que no se reemplazan especficamente por opciones de
directiva basadas en dominio siempre se aplican. Bloquear la herencia de directivas no quitar la directiva local en ningn nivel.
1. En la consola MMC GPWalkThrough, haga doble clic en el objeto de Directiva de grupo Directiva de OC (o resltelo y, despus, haga clic
en Editar). Se abrir el Editor de objetos de Directiva de grupo para modificar la Directiva de OC. Debe tener un aspecto similar al de la
Figura 3.
Figura 3. Directiva de OC
Ver la imagen a tamao completo
2. Cierre el Editor de objetos de Directiva de grupo para la Directiva OC.
Agregar o examinar un objeto de Directiva de grupo
Para agregar un objeto de Directiva de grupo
1. En la pgina Propiedades de Oficinas centrales, en la ficha Directiva de grupo, haga clic en Agregar. En el cuadro de dilogo
Agregar un vnculo de objeto de directiva de grupo se muestran los objetos de Directiva de grupo actualmente asociados a
dominios/unidades organizativas o sitios, o todos los objetos de Directiva de grupo existentes en la estructura de Active Directory. En la
Figura 4 se ilustra este cuadro de dilogo.
Figura 4. Agregar un vnculo de objeto de Directiva de grupo
Revise los siguientes componentes del cuadro de dilogo Agregar un vnculo de objeto de directiva de grupo y, a continuacin, cierre el
cuadro de dilogo.
Nota: puede haber dos o ms objetos de Directiva de grupo con el mismo nombre. sta es una decisin de diseo, ya que los objetos de
Directiva de grupo se almacenan en realidad como identificadores nicos globales (GUID). El nombre que se muestra es en realidad un nombre
descriptivo almacenado en Active Directory.
Directivas basadas en el Registro
La interfaz de usuario para las directivas basadas en el Registro est disponible a travs de los archivos de Plantilla administrativa (.adm).
Estos archivos describen la interfaz de usuario que se muestra en el nodo Plantillas administrativas del complemento Directiva de grupo. Son
archivos con un formato compatible con los archivos .adm utilizados por la herramienta Editor de Directiva de grupo (Poledit.exe) de Microsoft
Windows NT
4.0. En Windows Server 2003 se han ampliado las opciones disponibles en las directivas basadas en el Registro.

Nota: aunque es posible agregar cualquier archivo .adm a un objeto de Directiva de grupo, si utiliza un archivo .adm de una versin anterior de
Windows, es bastante improbable que las claves del Registro surtan efecto en Windows Server 2003.
De forma predeterminada, slo se muestran las opciones de directiva definidas en los archivos .adm cargados que existen en los rboles de
Directiva de grupo aprobados; estas opciones reciben el nombre de directivas reales. Esto significa que el complemento Directiva de grupo no
muestra los elementos descritos en el archivo .adm que establecen claves del Registro fuera de los rboles de la Directiva de grupo; estos
elementos se conocen como preferencias de Directiva de grupo. Las preferencias se indican mediante un icono rojo para distinguirlas de las
directivas reales, que se indican mediante un icono azul. Los rboles de Directiva de grupo aprobados son:
Nota: no se recomienda en absoluto prescindir de las directivas en la infraestructura de Directiva de grupo debido al comportamiento persistente
de las opciones del Registro anteriormente mencionado. Para definir directivas de Registro en Windows NT 4.0 y clientes Windows 95 y Windows
98, utilice la herramienta Editor de directivas del sistema de Windows NT 4.0, Poledit.exe.
De manera predeterminada, los archivos conf.adm, inetres.adm, system.adm, wmplayer.adm y wuau.adm se cargan y estn disponibles para su
configuracin, como se muestra en la Figura 5.
El cuadro desplegable Buscar en permite desplazarse por toda la estructura de Active Directory para buscar un objeto de Directiva de grupo.
Cuando cambie el valor de este cuadro, los objetos de Directiva de grupo y todos los objetos secundarios se mostrarn en el panel de
resultados.
En la ficha Dominios y OUs, el cuadro de lista contiene las unidades organizativas secundarias y los objetos de Directiva de grupo para la
unidad organizativa o el dominio actualmente seleccionado. Para desplazarse por la jerarqua, haga doble clic en una unidad organizativa
secundaria o utilice el botn de la barra de herramientas Subir un nivel.
En la ficha Sitios, se muestran todos los objetos de Directiva de grupo asociados al sitio seleccionado. Utilice la lista desplegable para
seleccionar otro sitio. No hay jerarqua de sitios.
En la ficha Todos se muestra una lista plana de todos los objetos de Directiva de grupo almacenados en el dominio seleccionado. Esto es til
para seleccionar un objeto de Directiva de grupo que conoce por el nombre, en lugar de por su asociacin actual. ste es el nico sitio donde se
puede crear un objeto de Directiva de grupo que no est vinculado a un sitio, dominio o unidad organizativa.
Para crear un objeto de Directiva de grupo desvinculado en la ficha Todos, seleccione el botn Crear nuevo objeto de directiva de grupo de
la barra de herramientas o haga clic con el botn secundario del mouse en el espacio en blanco y, despus, haga clic en Nuevo. Asigne un
nombre al nuevo objeto de Directiva de grupo, haga clic en Entrar y luego en Cancelar (no haga clic en Aceptar. Si hace clic en Aceptar
vincular el nuevo objeto de directiva de grupo al sitio, dominio o unidad organizativa actual). Al hacer clic en Cancelar se crea un objeto de
Directiva de grupo desvinculado.
Para asociar un objeto de Directiva de grupo al dominio o unidad organizativa actualmente seleccionado, haga doble clic en el objeto de
Directiva de grupo que desee.
\Software\Policies
\Software\Microsoft\Windows\CurrentVersion\Policies
Los archivos .adm predeterminados ofrecen las siguientes opciones de configuracin.
Agregar plantillas administrativas
Las plantillas administrativas (archivos .adm) contienen una jerarqua de categoras y subcategoras que definen en conjunto cmo se organizan
las opciones en la interfaz de usuario de Directiva de grupo.
Para agregar una plantilla administrativa (archivos .adm)
Figura 5. Configuracin de usuario
Conf.adm: configuracin de NetMeeting
Inetres.adm: configuracin de Internet Explorer.
System.adm: configuracin del sistema operativo
wmplayer.adm: configuracin del Reproductor de Windows Media
wuau.adm: configuracin de Windows Update

1. En la pgina Propiedades de Oficinas centrales, haga doble clic en el objeto de Directiva de grupo Directiva de OC.
2. En Configuracin de usuario o Configuracin del equipo, haga clic con el botn secundario del mouse en Plantillas administrativas
y, a continuacin, haga clic en Agregar o quitar plantillas. Se mostrar una lista de los archivos de plantilla que se encuentran activos
para este contenedor de Active Directory.
3. Haga clic en Agregar. Aparecer una lista de los archivos .adm disponibles en el directorio %razsistema%\inf del equipo donde se ejecuta
la Directiva de grupo. Puede elegir un archivo .adm de otra ubicacin. Una vez seleccionado, el archivo .adm estar disponible para su
configuracin dentro del objeto de Directiva de grupo.
4. Haga clic en Cancelar y luego en Cerrar. (No se van a agregar plantillas administrativas en estos ejercicios.)
Configurar plantillas administrativas
Los pasos siguientes proporcionan un ejemplo simple de cmo utilizar las plantillas administrativas para quitar el comando Ejecutar del escritorio
de un usuario. Debe estar familiarizado con las opciones disponibles proporcionadas en las plantillas administrativas. En otras guas detalladas de
esta serie se utilizarn las opciones disponibles en las plantillas administrativas.
Para definir opciones basadas en el Registro mediante plantillas administrativas
1. En el Editor de objetos de Directiva de grupo para el objeto de Directiva de grupo Directiva de OC, haga clic en el signo ms (+)
situado junto a Plantillas administrativas en el nodo Configuracin de usuario.
2. Haga clic en Men Inicio y barra de tareas. Observe que en el panel de detalles se muestran todas las directivas como No
configuradas.
3. En el panel de la derecha, haga doble clic en la directiva Quitar el men Ejecutar del men Inicio.
4. En el cuadro de dilogo Quitar el men Ejecutar del men Inicio, haga clic en Habilitada (como se muestra en la Figura 6). Haga clic
en Aceptar para finalizar.
Figura 6. Quitar el men Ejecutar del men Inicio
Observe los botones Valor anterior y Valor siguiente del cuadro de dilogo. Puede utilizar estos botones para desplazarse por el panel de
detalles y definir el estado de otras directivas. Tambin puede dejar el cuadro de dilogo abierto y hacer clic en otra directiva en el panel de
detalles del complemento Directiva de grupo. Cuando el panel de detalles tiene el foco, puede utilizar las teclas de direccin Arriba y Abajo del
teclado y presionar ENTRAR para desplazarse rpidamente por las opciones (o la ficha Explicacin) de cada directiva del nodo seleccionado.
Observe el cambio del estado a Habilitada en la columna Configuracin del panel de detalles. Este cambio es inmediato; se ha guardado en el
objeto de Directiva de grupo. Si se encuentra en un entorno de controlador de dominio replicado, esta accin define un indicador que activa un
ciclo de replicacin.
Si inicia sesin en una estacin de trabajo del dominio contoso.com con un usuario de la unidad organizativa Oficinas centrales, observar que
se ha quitado el men Ejecutar.
Nota: en este punto tal vez desee probar otras directivas disponibles. Lea el texto de la ficha Explicacin para obtener informacin sobre cada
directiva.
Implementar secuencias de comandos a travs de objetos de Directiva de grupo
Puede definir una configuracin de objeto de Directiva de grupo que ejecute secuencias de comandos cuando los usuarios inicien o cierren sesin
o cuando se inicie o se cierre el sistema. Todas las secuencias de comandos estn habilitadas para Windows Scripting Host. Por tanto, pueden
incluir secuencias de comandos Java o Microsoft Visual Basic
, as como archivos .bat y .cmd.

Crear una secuencia de comandos de inicio de sesin
Nota: en este procedimiento se utiliza la secuencia de comandos welcome.js descrita en el Apndice. Cree una carpeta Elementos incluidos y,
despus, cree el archivo welcome.js en la carpeta Elementos incluidos copiando la secuencia de comandos del Apndice de esta gua.
Para definir una configuracin de Directiva de grupo de secuencia de comandos de inicio de sesin
1. Cierre el Editor de objetos de Directiva de grupo para la Directiva de OC.
2. En el cuadro de dilogo Propiedades de Oficinas centrales, haga clic en Cerrar.
3. En la consola GPWalkthrough, haga clic con el botn secundario del mouse en el dominio contoso.com, haga clic en Propiedades y
luego en la ficha Directiva de grupo.
4. En la pgina de propiedades de Directiva de grupo, seleccione el objeto de Directiva de grupo Directiva predeterminada de dominio
de la lista Vnculos de objetos de directiva de grupo y, a continuacin, haga clic en Editar para abrir el complemento Editor de
objetos de Directiva de grupo.
5. En el complemento Directiva de grupo, bajo Configuracin de usuario, haga clic en el signo ms (+) situado junto a Configuracin de
Windows y, despus, haga clic en el nodo Secuencias de comandos (inicio de sesin/cierre de sesin).
6. En el panel de detalles, haga doble clic en Inicio de sesin.
En el cuadro de dilogo Propiedades de inicio de sesin se muestra la lista de secuencias de comandos que se ejecutan cuando un
usuario designado inicia sesin. sta es una lista ordenada, en la que la secuencia de comandos que se ejecuta primero aparece al
principio de la lista. Puede cambiar el orden seleccionando una secuencia de comandos y utilizando las teclas de direccin Arriba o
Abajo.
Para agregar una nueva secuencia de comandos a la lista, haga clic en el botn Agregar. Aparecer el cuadro de dilogo Agregar un
archivo de comandos. Desde este cuadro de dilogo podr buscar el nombre de un archivo de comandos existente en el objeto de
Directiva de grupo actual o buscarlo en otra ubicacin y seleccionarlo para utilizarlo en este objeto de Directiva de grupo. El archivo de
comandos debe estar accesible al usuario cuando inicie sesin o, de lo contrario, no se ejecutar. Las secuencias de comandos del objeto
de Directiva de grupo actual estn disponibles automticamente para el usuario. Para crear un nuevo archivo de comandos, haga clic con
el botn secundario del mouse en el espacio en blanco, seleccione Nuevo y, despus, seleccione un nuevo archivo.
Para modificar el nombre o los parmetros de un archivo de comandos existente en la lista, seleccinelo y, a continuacin, haga clic en el
botn Editar. Este botn no permite modificar la secuencia de comandos. Para modificarla, utilice el botn Mostrar archivos. Para quitar
un archivo de comandos de la lista, seleccinelo y, despus, haga clic en Quitar.
El botn Mostrar archivos muestra una vista en el Explorador de Windows de los archivos de comandos para el objeto de Directiva de
grupo. Desde ah tendr un acceso rpido a estos archivos o a la ubicacin para copiar archivos auxiliares si son necesarios para los
archivos de comandos. Si cambia el nombre de un archivo de comandos desde esta ubicacin, debe utilizar tambin el botn Editar para
cambiar el nombre del archivo, o la secuencia de comandos no podr ejecutarse.
Nota: si las opciones de presentacin de esta carpeta estn establecidas en Ocultar las extensiones de archivo para tipos de archivo
desconocidos, puede que el archivo tenga una extensin no deseada que impida que se ejecute.
7. Haga clic en el botn Inicio, en Todos los programas, en Accesorios y luego en Explorador de Windows. Desplcese al archivo
welcome2000.js del directorio Elementos incluidos, haga clic con el botn secundario del mouse en el archivo y, despus, haga clic en
Copiar.
8. Cierre el Explorador de Windows.
9. En el cuadro de dilogo Propiedades de inicio de sesin, haga clic en el botn Mostrar archivos y pegue el archivo de comandos
welcome.js en la ubicacin de archivos predeterminada. Debe aparecer una ventana similar a la de la Figura 7.
Figura 7. Archivo de comandos Welcome.js incluido en la directiva predeterminada del
dominio
Ver la imagen a tamao completo
10. Cierre la ventana que contiene welcome.js.
11. En el cuadro de dilogo Propiedades de inicio de sesin, haga clic en Agregar.
12. En el cuadro de dilogo Agregar un archivo de comandos, haga clic en Examinar. En el cuadro de dilogo Examinar, haga doble clic
en el archivo welcome.js.
13. En el cuadro de dilogo Agregar un archivo de comandos, haga clic en Aceptar (no se necesitan parmetros de secuencia de
comandos) y vuelva a hacer clic en Aceptar.
14. Cierre el Editor de objetos de Directiva de grupo.
15. En la pgina Propiedades de contoso.com, haga clic en Cancelar.
Esta secuencia de comandos estar disponible inmediatamente para cualquier miembro de contoso.com ya que se ha definido dentro de la
directiva predeterminada del dominio. Puede iniciar sesin en una estacin de trabajo cliente para comprobar que la secuencia de comandos se
ejecuta cuando un usuario inicia sesin.
Definir una secuencia de comandos de cierre de sesin, de inicio del equipo o de cierre del equipo
Puede utilizar el mismo procedimiento descrito en la seccin Crear una secuencia de comandos de inicio de sesin para configurar secuencias de
comandos que se ejecuten cuando un usuario cierre sesin o cuando se inicie o se cierre un equipo. Para las secuencias de comandos de cierre de
sesin, debe seleccionar Cierre de sesin en el paso 6 de la seccin Crear una secuencia comandos de inicio de sesin. Para las secuencias de
comandos de inicio o cierre del equipo, cambie a Configuracin del equipo Configuracin de Windows Archivos de comandos
(inicio/apagado) en el Editor de objetos de Directiva de grupo.
Otras consideraciones sobre las secuencias de comandos
De manera predeterminada, los archivos de comandos de Directiva de grupo que se ejecutan en una ventana de comandos (como los
archivos .bat o .cmd) se ejecutan de forma oculta, y los archivos de comandos heredados (los definidos en el objeto de usuario) estn visibles, de
forma predeterminada, cuando se procesan, si bien existe una opcin de Directiva de grupo que permite cambiar la visibilidad. La directiva para
los usuarios se llama Ejecutar secuencias de comandos de manera visible o Mostrar las instrucciones de los archivos de comandos de
cierre de sesin, y se encuentra en el nodo Configuracin de usuario\Plantillas administrativas, bajo System\Scripts. Para los equipos,
la directiva es Hacer visible las instrucciones en los archivos de comandos de inicio y Hacer visible las instrucciones en los archivos
de comandos de cierre, y se encuentra en el nodo Configuracin del equipo\Plantillas administrativas, bajo System\Scripts.
Filtros de grupos de seguridad
Puede ajustar el efecto que tendr un objeto de Directiva de grupo en los usuarios o equipos definiendo el modo en que este objeto se aplica a los
grupos de seguridad. Para ello, utilice la ficha Seguridad en la pgina Propiedades de un objeto de Directiva de grupo con el fin de definir listas
DACL. Las listas DACL se utilizan principalmente por motivos de rendimiento, pero esta caracterstica ofrece una gran flexibilidad para el diseo e
implementacin de objetos de Directiva de grupo y las directivas que contienen.
De forma predeterminada, los objetos de Directiva de grupo afectan a todos los usuarios y equipos incluidos en la unidad organizativa, dominio o
sitio vinculado. Mediante las listas DACL, se puede modificar el efecto de un objeto de Directiva de grupo de forma que excluya o incluya a los
miembros de cualquier grupo de seguridad.
Para filtrar la aplicacin de objetos de Directiva de grupo en funcin de su pertenencia a grupos de seguridad
1. En la consola GPWalkthrough, bajo la unidad organizativa Cuentas, haga clic con el botn secundario del mouse en la unidad
organizativa Oficinas centrales y, despus, haga clic en Propiedades.
2. En el cuadro de dilogo Propiedades de Oficinas centrales, haga clic en la ficha Directiva de grupo.
3. Haga clic con el botn secundario del mouse en el objeto de Directiva de grupo Directiva de OC en la lista Vnculos de objetos de
directiva de grupo y, a continuacin, seleccione Propiedades del men contextual.
4. En la pgina Propiedades, haga clic en la ficha Seguridad.
5. En la pgina de propiedades Seguridad, haga clic en Agregar.
6. En el cuadro de dilogo Seleccionar usuarios, equipos y grupos, escriba Administracin en Escriba los nombres de objeto que
desea seleccionar y, a continuacin, haga clic en Aceptar.
7. En la ficha Seguridad de la pgina Propiedades de Directiva de OC, seleccione el grupo Administracin y observe los permisos.
Nota: de manera predeterminada, slo la entrada de control de acceso (ACE) Leer est establecida en Permitir para el grupo
Administracin. Esto significa que a los miembros del grupo Administracin no se les aplica este objeto de Directiva de grupo salvo que
tambin sean miembros de otro grupo (de forma predeterminada tambin son Usuarios autenticados) que tenga la entrada de control de
acceso Aplicar directiva de grupos seleccionada.
Por el momento, este objeto de Directiva de grupo se aplica a todos los miembros del grupo Usuarios autenticados, incluidos los miembros
del grupo de seguridad Administracin, como se ilustra en la Figura 8.
Figura 8. Usuarios autenticados
Para configurar el objeto de Directiva de grupo para que se aplique nicamente a los miembros del grupo Administracin
1. Active la casilla de verificacin Permitir de la entrada de control de acceso Aplicar directiva de grupos para el grupo Administracin.
2. Desactive la casilla de verificacin Permitir de la entrada de control de acceso Aplicar directiva de grupos para el grupo Usuarios
autenticados.
Nota: al cambiar las entradas de control de acceso que se aplican a diferentes grupos, los administradores pueden personalizar el modo
en que el objeto de Directiva de grupo afecta a los usuarios o equipos que estn sujetos a dicho objeto. Para poder efectuar modificaciones
se requiere acceso de escritura; las entradas de control de acceso Leer y Permitir directiva de grupos son necesarias para que una directiva
se aplique al grupo.
Para denegar la aplicacin de un objeto de Directiva de grupo a los miembros del grupo Administracin
Nota: utilice la entrada de control de acceso Denegar con precaucin. Un valor de entrada de control de acceso Denegar para un grupo tiene
prioridad sobre cualquier valor Permitir otorgado a un usuario o equipo debido a la pertenencia a otro grupo. Para obtener ms informacin sobre
esta interaccin, consulte la Ayuda en pantalla de Windows 2000 Server y busque Grupo de seguridad.
1. Desactive la casilla de verificacin Permitir y active la casilla de verificacin Denegar de la entrada de control de acceso Aplicar
directiva de grupos para el grupo Administracin.
2. Active la casilla de verificacin Permitir de la entrada de control de acceso Aplicar directiva de grupos para el grupo Usuarios
autenticados.
En la Figura 9 se muestra un ejemplo de configuracin de seguridad que permite que este objeto de Directiva de grupo afecte a todos los
miembros, salvo a los del grupo Administracin, para los que se ha denegado explcitamente el permiso al objeto de Directiva de grupo. Si
un miembro del grupo Administracin fuera tambin miembro de un grupo con el valor Permitir explcito para la entrada de control de
acceso Aplicar directiva de grupos, el valor Denegar tendra prioridad y el objeto de Directiva de grupo no afectara al usuario.
Figura 9. Denegar la asignacin de un objeto de Directiva de
grupo en funcin de la pertenencia a grupos
3. Haga clic en Aceptar y luego en S para confirmar el mensaje de advertencia sobre utilizar listas de control de acceso Denegar.
4. Haga clic en Aceptar para cerrar la pgina Propiedades de Oficinas centrales.
Este procedimiento puede sufrir las siguientes variaciones:
Nota: puede utilizar estos mismos tipos de opciones de seguridad con las secuencias de comandos de inicio de sesin que configur en la seccin
anterior. Puede definir una secuencia de comandos que se ejecute nicamente para los miembros de un determinado grupo u para todos los
miembros salvo para los de un grupo especfico.
Los filtros de grupos de seguridad tienen dos funciones: la primera es modificar los grupos que resultan afectados por un objeto de Directiva de
grupo determinado, y la segunda es delegar el grupo de administradores que puede modificar el contenido del objeto de Directiva de grupo
restringiendo el Control total a un conjunto limitado de administradores (por grupo). sta es una prctica recomendada porque limita la
posibilidad de que varios administradores realicen cambios al mismo tiempo.
Herencia de directivas
En general, la Directiva de grupo se transmite de los contenedores principales a los secundarios dentro de un dominio. La Directiva de grupo no se
hereda a los dominios secundarios desde los principales. Si asigna una opcin de Directiva de grupo especfica a un contenedor principal de alto
nivel, dicha opcin se aplica a todos los contenedores que se encuentran debajo del principal, incluidos los objetos de usuario y equipo de cada
uno de los contenedores. Sin embargo, si especifica explcitamente una opcin de Directiva de grupo para un contenedor secundario, dicha opcin
sustituye a la opcin del contenedor principal.
Si una unidad organizativa principal tiene opciones de directiva que no estn configuradas, la unidad organizativa secundaria no hereda estas
opciones. Las opciones de directiva que estn deshabilitadas se heredan deshabilitadas. Asimismo, si una opcin de directiva est configurada
(habilitada o deshabilitada) para una unidad organizativa principal, y la misma opcin de directiva no est configurada para una unidad
organizativa secundaria, esta unidad hereda la opcin de directiva habilitada o deshabilitada de la principal.
Si una opcin de directiva que se aplica a una unidad organizativa principal y otra que se aplica a una unidad organizativa secundaria son
compatibles, la unidad organizativa secundaria hereda la opcin de directiva principal, y la opcin de la unidad organizativa secundaria tambin se
aplica.
Si una opcin de directiva configurada para una unidad organizativa principal es incompatible con la misma opcin de directiva configurada para
una unidad organizativa secundaria (porque la opcin est habilitada en un caso y deshabilitada en el otro), la unidad organizativa secundaria no
hereda la opcin de directiva de la unidad organizativa principal. Se aplica la opcin de directiva de la unidad organizativa secundaria.
Bloquear la herencia y No reemplazar
La opcin Bloquear la herencia de directivas bloquea los objetos de Directiva de grupo que se aplican en el nivel superior de la jerarqua de sitios,
dominios y unidades organizativas de Active Directory. No bloquea los objetos de Directiva de grupo si tienen la opcin No reemplazar habilitada.
La opcin Bloquear la herencia de directiva slo se define en sitios, dominios y unidades organizativas, pero no en objetos de Directiva de grupo
individuales. Estas opciones proporcionan un control exhaustivo sobre las reglas de herencia predeterminadas.
Se pueden agregar objetos de Directiva de grupo adicionales con conjuntos diferentes de directivas y hacer que se apliquen nicamente a
grupos distintos del grupo Administracin.
Se puede crear otro grupo que incluya miembros de los grupos existentes y utilizar esos grupos como filtros para un objeto de Directiva de
grupo.
En la siguiente seccin configurar un objeto de Directiva de grupo en la unidad organizativa Cuentas, que se aplica de manera predeterminada a
los usuarios (y equipos) de todos los objetos secundarios de dicha unidad organizativa. A continuacin, establecer otro objeto de Directiva de
grupo en la unidad organizativa Cuentas y lo definir como No reemplazar. Estas opciones se aplicarn a todos los objetos secundarios aunque
entren en conflicto con otras opciones aplicadas mediante un objeto de Directiva de grupo. Despus utilizar la caracterstica Bloquear la
herencia para impedir que las directivas de grupo definidas en el sitio, dominio o unidad organizativa principal (en este caso, la unidad
organizativa Cuentas) se apliquen a la unidad organizativa Produccin.
Para crear nuevos objetos de Directiva de grupo
1. En la consola MMC GPWalkthrough, bajo contoso.com, haga clic con el botn secundario del mouse en la unidad organizativa Cuentas.
3. Haga clic en Nuevo, escriba Directivas predeterminadas de usuario para el nombre del objeto de Directiva de grupo y, despus,
presione ENTRAR.
4. Haga clic otra vez en Nuevo, escriba Directivas de usuario forzadas para el nombre del objeto de Directiva de grupo y, despus,
presione ENTRAR.
5. Haga clic en el objeto de Directiva de grupo Directivas de usuario forzadas y, a continuacin, haga clic en el botn Arriba para moverlo
al principio de la lista.
Nota: el objeto de Directiva de grupo Directivas de usuario forzadas debe tener la prioridad ms alta. Tenga en cuenta que este paso slo
sirve para demostrar la funcionalidad del botn Arriba; un objeto de Directiva de grupo de aplicacin forzosa siempre tiene prioridad sobre
los que no son de aplicacin forzosa.
6. Seleccione la opcin No reemplazar para el objeto de Directiva de grupo Directivas de usuario forzadas haciendo doble clic en la columna
No reemplazar o mediante el botn Opciones. Debe aparecer la pgina Propiedades de Cuentas, como se ilustra en la Figura 10.
Figura 10. Directivas de usuario forzadas con No
reemplazar
Para habilitar opciones en los objetos de Directiva de grupo Directivas de usuario forzadas y Directivas predeterminadas de usuario
1. En la pgina Propiedades de Cuentas, haga doble clic en el objeto de Directiva de grupo Directivas de usuario forzadas.
2. En el Editor de objetos de Directiva de grupo, bajo Configuracin de usuario, expanda Plantillas administrativas.
3. Expanda Sistema y, a continuacin, haga clic en Opciones de Ctrl+Alt+Supr.
4. En el panel de detalles, haga doble clic en la directiva Quitar Administrador de tareas, haga clic en Habilitada en el cuadro de dilogo
Quitar Administrador de tareas y, a continuacin, haga clic en Aceptar. Para obtener ms informacin sobre la directiva, haga clic en
la ficha Explicacin. El valor es ahora Habilitada, como se muestra en la Figura 11.
Figura 11. Deshabilitar el uso del Administrador de tareas
5. Haga clic en Archivo y luego en Salir para cerrar el Editor de objetos de Directiva de grupo.
6. En el cuadro de dilogo Propiedades de Cuentas, en la ficha Directiva de grupo, haga doble clic en el objeto de Directiva de grupo
Directivas predeterminadas de usuario en la lista Vnculos de objetos de directiva de grupo.
7. En el Editor de objetos de Directiva de grupo, bajo Configuracin de usuario, expanda Plantillas administrativas, expanda
Escritorio y, a continuacin, haga clic en Active Desktop.
8. En el panel de detalles, haga doble clic en la directiva Deshabilitar Active Desktop.
9. Haga clic en Habilitada, en Aceptar y luego otra vez en Aceptar.
Al iniciar sesin en una estacin de trabajo cliente como usuario bajo la unidad organizativa Cuentas, incluidas las unidades organizativas
secundarias, se aplicarn los objetos de Directiva de grupo Directivas predeterminadas de usuario y Directivas de usuario forzadas. Se
Page 10 of 14 Introduccin al conjunto de caractersticas de Directiva de grupo en Windows Serv...
deshabilitar el Administrador de tareas y Active Desktop.
Mejorar el rendimiento de los objetos de Directiva de grupo
Como estos objetos de Directiva de grupo se utilizan nicamente para la configuracin de usuario, se puede deshabilitar la parte correspondiente
a los equipos de estos objetos. Al deshabilitar las opciones de configuracin de equipo se reduce el tiempo de inicio del equipo de destino, ya que
no es necesario evaluar los objetos de Directiva de grupo de equipo.
Si no hay equipos en la unidad organizativa Cuentas, ni en sus unidades organizativas secundarias, no se obtendr un beneficio inmediato al
deshabilitar la parte correspondiente a los equipos del objeto de Directiva de grupo. Sin embargo, dado que estos objetos de Directiva de grupo se
pueden vincular ms adelante a un contenedor diferente que puede incluir equipos, tal vez considere conveniente deshabilitar la parte
correspondiente a los equipos de estos objetos de Directiva de grupo.
Para deshabilitar la parte correspondiente a los equipos de un objeto de Directiva de grupo
1. En el cuadro de dilogo Propiedades de Cuentas, haga clic con el botn secundario del mouse en el objeto de Directiva de grupo
Directivas de usuario forzadas y, a continuacin, seleccione Propiedades.
2. En el cuadro de dilogo Propiedades de Directivas de usuario forzadas, haga clic en la ficha General (opcin predeterminada) y,
despus, active la casilla de verificacin Deshabilitar los parmetros de configuracin del equipo. En el cuadro de dilogo Confirmar
deshabilitar, haga clic en S y luego en Aceptar para finalizar.
Observe que la pgina de propiedades General incluye dos casillas de verificacin para deshabilitar una parte del objeto de Directiva de
grupo.
3. Repita los pasos 1 y 2 para el objeto de Directiva de grupo Directivas predeterminadas de usuario.
Bloquear la herencia
Puede bloquear la herencia para que un objeto de Directiva de grupo no herede la directiva de otro objeto de Directiva de grupo de la jerarqua.
En el ejemplo siguiente se muestra cmo bloquear la herencia para que slo las opciones de las Directivas de usuario forzadas afecten a los
usuarios de esta unidad organizativa.
Para bloquear la herencia de la Directiva de grupo para la unidad organizativa Produccin
1. En el cuadro de dilogo Propiedades de Cuentas, haga clic en Cerrar.
2. En la unidad organizativa Cuentas en la consola GPWalkThrough, haga clic con el botn secundario del mouse en la unidad organizativa
Produccin, seleccione Propiedades en el men contextual y, a continuacin, haga clic en la ficha Directiva de grupo.
3. Active la casilla de verificacin Bloquear la herencia de directivas y, despus, haga clic en Aceptar.
Para comprobar que las opciones heredadas estn bloqueadas, inicie sesin como usuario en la unidad organizativa Produccin. Observe que
Active Desktop est disponible, pero el Administrador de tareas sigue deshabilitado ya que el objeto de Directiva de grupo que lo deshabilita est
establecido en No reemplazar en la unidad organizativa principal.
Vincular un objeto de Directiva de grupo a varios sitios, dominios y unidades organizativas
En esta seccin se explica cmo vincular un objeto de Directiva de grupo a varios contenedores (sitios, dominios o unidades organizativas) en
Active Directory. Segn la configuracin exacta de las unidades organizativas, puede utilizar otros mtodos para obtener efectos de Directiva de
grupo similares; puede utilizar, por ejemplo, filtros de grupos de seguridad o bloquear la herencia. En algunos casos, sin embargo, estos mtodos
no producen los efectos deseados. Utilice el mtodo siguiente siempre que tenga que definir explcitamente qu sitios, dominios o unidades
organizativas necesitan el mismo conjunto de directivas.
Para vincular un objeto de Directiva de grupo a varios sitios, dominios y unidades organizativas
Oficinas centrales, seleccione Propiedades en el men contextual y, a continuacin, haga clic en la ficha Directiva de grupo.
2. En el cuadro de dilogo Propiedades de Oficinas centrales, en la ficha Directiva de grupo, haga clic en Nuevo para crear un nuevo
objeto de Directiva de grupo llamado Directivas vinculadas.
3. Seleccione el objeto de Directiva de grupo Directivas vinculadas y, a continuacin, haga clic en Editar.
4. En el Editor de objetos de Directiva de grupo, bajo Configuracin de usuario, expanda Plantillas administrativas, haga clic en
Panel de control y luego en Mostrar.
5. En el panel de detalles, haga doble clic en la directiva Impedir cambios en el papel tapiz y, a continuacin, haga clic en Habilitada.
Haga clic en Aceptar para continuar.
7. En la pgina Propiedades de Oficinas centrales, haga clic en Cerrar.
Produccin, haga clic en Propiedades en el men contextual y, a continuacin, haga clic en la ficha Directiva de grupo en el cuadro
de dilogo Propiedades de Produccin.
9. Haga clic en Agregar o haga clic con el botn secundario del mouse en el rea en blanco de la lista Vnculos de objetos de directiva
de grupo y seleccione Agregar en el men contextual.
10. En el cuadro de dilogo Agregar un vnculo de objeto de directiva de grupo, haga clic en la flecha abajo en el cuadro Buscar en y
seleccione la unidad organizativa Cuentas.contoso.com.
11. Haga doble clic en la unidad organizativa Oficinas centrales.Cuentas.contoso.com en la lista Dominios, unidades organizativas y
objetos de directiva de grupo vinculados.
12. Haga clic en el objeto de Directiva de grupo Directivas vinculadas y, a continuacin, haga clic en Aceptar.
13. Haga clic en Aceptar para finalizar.
Acaba de vincular un nico objeto de Directiva de grupo a dos unidades organizativas. Los cambios realizados en el objeto de Directiva de grupo
en cualquiera de las ubicaciones provocan un cambio en ambas unidades organizativas.
Procesamiento de bucle invertido
El bucle invertido es una alternativa al mtodo predeterminado de obtener la lista ordenada de objetos de Directiva de grupo cuyas opciones de
Configuracin de usuario afectan a un usuario. De forma predeterminada, la configuracin de un usuario proviene de una lista de objetos de
Directiva de grupo que depende de la ubicacin del usuario en Active Directory. La lista ordenada abarca desde los objetos de Directiva de grupo
vinculados a sitios a los vinculados a dominios y a los vinculados a unidades organizativas, y la herencia se determina por la ubicacin del usuario
en Active Directory con el orden especificado por el administrador en cada nivel.
Un bucle invertido se puede establecer en No configurado, Habilitado o Deshabilitado, como cualquier otra opcin de Directiva de grupo. En el
estado Habilitado, el bucle invertido se puede establecer en Combinar o Reemplazar.
Bucle invertido con Reemplazar La lista de objetos de Directiva de grupo para el usuario se sustituye en su totalidad por la lista de objetos
de Directiva de grupo obtenida para el equipo al iniciarse. Las opciones de Configuracin de usuario de esta lista se aplican al usuario.
Bucle invertido con Combinar La lista de objetos de Directiva de grupo es una lista concatenada. Los objetos de Directiva de grupo
Para habilitar el procesamiento de bucle invertido
predeterminados para los equipos se agregan a los objetos de Directiva de grupo predeterminados para los usuarios, y el usuario obtiene las
opciones de Configuracin de usuario de la lista concatenada. Tenga en cuenta que la lista de objetos de Directiva de grupo que se obtiene para
el equipo se aplica despus y, por tanto, tiene prioridad si existe un conflicto con las opciones de la lista del usuario.
1. Expanda la unidad organizativa Recursos en la consola GPWalkThrough, haga clic con el botn secundario del mouse en la unidad
organizativa Escritorio, haga clic en Propiedades en el men contextual y, a continuacin, haga clic en la ficha Directiva de grupo en el
cuadro de dilogo Propiedades de Escritorio.
2. Haga clic en Nuevo para crear un objeto de Directiva de grupo llamado Directivas de bucle invertido.
3. Seleccione el objeto de Directiva de grupo Directivas de bucle invertido y, a continuacin, haga clic en Editar.
4. En el Editor de objetos de Directiva de grupo, en el nodo Configuracin del equipo, expanda Plantillas administrativas, expanda
Sistema y, a continuacin, haga clic en Directiva de grupo.
5. En el panel de detalles, haga doble clic en la directiva Modo de procesamiento de bucle invertido de la directiva de grupo de
usuario.
6. Haga clic en Habilitado en el cuadro de dilogo Modo de procesamiento de bucle invertido de la directiva de grupo de usuario,
seleccione Reemplazar (opcin predeterminada) en la lista desplegable Modo y, a continuacin, haga clic en Aceptar.
En la siguiente seccin se definen opciones restrictivas para los entornos Men Inicio y barra de taras y Escritorio del usuario que podran
aplicarse a un escenario Quiosco. Para desplazarse de forma eficaz por las directivas, utilice los botones de exploracin Valor siguiente de los
cuadros de dilogo de directivas.
Para definir un entorno restrictivo del Men Inicio y barra de tareas
1. En el Editor de objetos de Directiva de grupo, bajo el nodo Configuracin de usuario, expanda Plantillas administrativas y, a
continuacin, haga clic en Men Inicio y barra de tareas.
2. En cada uno de los cuadros de dilogo de directivas siguientes, establezca el estado de las directivas como se indica en la tabla.
Contenedor Directiva Configuracin
Men Inicio y barra de
tareas.
Quitar las carpetas de usuario del men Inicio Habilitada
tareas.
Quitar vnculos y accesos a Windows Update Habilitada
tareas.
Quitar grupos de programas comunes del men Inicio Habilitada
tareas.
Quitar el icono Mis documentos del men Inicio Habilitada
tareas.
Quitar el men Documentos del men Inicio Habilitada
tareas.
Quitar programas del men Configuracin Habilitada
tareas.
Quitar Conexiones de red del men Inicio Habilitada
tareas.
Quitar el men Favoritos del men Inicio Habilitada
tareas.
Quitar el men Buscar del men Inicio Habilitada
tareas.
Quitar el men Ayuda del men Inicio Habilitada
tareas.
Quitar el men Ejecutar del men Inicio Habilitada
tareas.
Quitar el icono Mis imgenes del men Inicio Habilitada
tareas.
Quitar el icono Mi msica del men Inicio Habilitada
tareas.
Quitar el icono Mis sitios de red del men Inicio Habilitada
tareas.
Agregar cierre de sesin al men Inicio Habilitada
tareas.
Quitar cierre de sesin del men Inicio No configurada
tareas.
Quitar el comando Apagar e impedir el acceso al mismo Habilitada
tareas.
Quitar los mens contextuales para arrastrar y colocar del men Inicio Habilitada
tareas.
Impedir cambios en la configuracin de la barra de tareas y del men Inicio Habilitada
tareas.
Quitar el acceso a los mens contextuales en la barra de tareas Habilitada
tareas.
No guardar historial de documentos abiertos recientemente Habilitada
tareas.
Borrar historial de los documentos abiertos recientemente al salir Habilitada
tareas.
Desactivar mens personalizados Habilitada
tareas.
Desactivar seguimiento del usuario Habilitada
Men Inicio y barra de Agregar la casilla de verificacin "Ejecutar en espacio de memoria No configurada
tareas. separado" al cuadro de dilogo Ejecutar
tareas.
No utilizar el mtodo basado en bsqueda al resolver accesos directos del
shell
No configurada
tareas.
No utilizar el mtodo basado en seguimiento al resolver accesos directos
del shell
No configurada
tareas.
Poner en gris los accesos directos del men Inicio de los programas no
disponibles del Instalador de Windows
No configurada
tareas.
Impedir el agrupamiento de los elementos de la barra de tareas Habilitada
tareas.
Desactivar limpieza de rea de notificacin No configurada
tareas.
Bloquear la barra de tareas Habilitada
tareas.
Forzar men Inicio clsico No configurada
tareas.
Quitar globos de sugerencias de los elementos del men Inicio Habilitada
tareas.
Quitar del men Inicio la lista de programas agregados Habilitada
tareas.
Quitar del men Inicio la lista de programas de uso frecuente No configurada
tareas.
Quitar del men Inicio la lista Todos los programas No configurada
tareas.
Quitar el botn "Desacoplar equipo" del men Inicio Habilitada
tareas.
Quitar del men Inicio el nombre de usuario Habilitada
tareas.
Quitar el reloj del rea de notificacin del sistema No configurada
tareas.
Ocultar el rea de notificacin No configurada
tareas.
No mostrar ninguna barra de herramientas personalizada en la barra de
tareas
Habilitada
tareas.
Quitar del men Inicio Configurar acceso y programas predeterminados Habilitada
Para definir un entorno restrictivo de Escritorio
1. En el Editor de objetos de Directiva de grupo, bajo Configuracin de usuario y Plantillas administrativas, haga clic en Escritorio.
2. En cada uno de los cuadros de dilogo de directivas siguientes, establezca el estado de las directivas como se indica en la tabla.
Contenedor Directiva Configuracin
Escritorio Ocultar y deshabilitar todos los iconos del escritorio No configurada
Escritorio Quitar del escritorio el icono Mis documentos Habilitada
Escritorio Quitar del escritorio el icono Mi PC Habilitada
Escritorio Quitar del escritorio el icono de Papelera de reciclaje Habilitada
Escritorio Quitar el elemento Propiedades del men contextual de Mis documentos Habilitada
Escritorio Quitar el elemento Propiedades del men contextual de Mi PC Habilitada
Escritorio Quitar Propiedades del men contextual de Papelera de reciclaje Habilitada
Escritorio Ocultar el icono Mis sitios de red del escritorio Habilitada
Escritorio Ocultar el icono de Internet Explorer en el escritorio No configurada
Escritorio No agregar recursos compartidos de documentos abiertos recientemente a
Mis sitios de red
Habilitada
Escritorio Prohibir al usuario cambiar la ruta a Mis documentos Habilitada
Escritorio Impedir la adicin, arrastre, colocacin y cierre de las barras de
herramientas de la Barra de tareas
No configurada
Escritorio Prohibir el ajuste de las barras de herramientas del escritorio Habilitada
Escritorio No guardar la configuracin al salir Habilitada
Escritorio Quitar el Asistente para limpieza de escritorio Habilitada
3. Una vez configuradas todas las directivas, haga clic en Aceptar.
4. En el Editor de objetos de Directiva de grupo, desplcese al nodo Active Desktop bajo Configuracin de usuario\Plantillas
administrativas\Escritorios, establezca la directiva Deshabilitar Active Desktop en Habilitada y, a continuacin, haga clic en
Aceptar.
5. En el Editor de objetos de Directiva de grupo, desplcese al nodo Panel de control bajo Configuracin de usuario\Plantillas
administrativas y a continuacin, haga clic en el nodo Agregar o quitar programas. Haga doble clic en la directiva Deshabilitar
Agregar o quitar programas, establzcala en Habilitada y, a continuacin, haga clic en Aceptar.
6. En el Editor de objetos de Directiva de grupo, desplcese al nodo Panel de control bajo Configuracin de usuario\Plantillas
administrativas y a continuacin, haga clic en el nodo Pantalla. Haga doble clic en la directiva Quitar el elemento Pantalla en Panel
de control, establzcala en Habilitada y, a continuacin, haga clic en Aceptar.
7. En el Editor de objetos de Directiva de grupo, haga clic en Archivo y luego en Salir.

8. En el cuadro de dilogo Propiedades de Escritorios, haga clic en Aceptar.
Los usuarios que inicien sesin en los equipos de la unidad organizativa Escritorio no tendrn las directivas que se les aplicaran normalmente;
en su lugar, tendrn las directivas de usuario definidas en el objeto de Directiva de grupo Directivas de bucle invertido. Puede emplear los
procedimientos descritos en la seccin Filtros de grupos de seguridad para restringir este comportamiento a grupos especficos de equipos creando
un grupo de seguridad y denegando despus la aplicacin de objetos de Directiva de grupo a dicho grupo.
Apndice
Secuencia de comandos de ejemplo Welcome.js
// Script Sample for Windows Scripting Host
//
// Define constant values.
//
var MB_ICONINFORMATION= 0x40;
var MB_ICONQUESTION = 0x20;
var MB_ICONYESNO= 0x04
var IDYES = 6;
var IDTIMEOUT = -1;

var POPUP_WAIT= 5; // close popup after 5 seconds.

//
// Create ActiveX Controls
//
var Shell = WScript.CreateObject("WScript.Shell")
var Env = Shell.Environment("PROCESS")

//
// Set greeting message.
//
var strTitle = "Sample Login Script";

var strMsg = "Welcome \"" + Env("UserName")
strMsg += "\" to the \"" + Env("UserDomain") + "\" domain\r\n\r\n"

Shell.Popup(strMsg, POPUP_WAIT, strTitle, MB_ICONINFORMATION);

//
// Launch Internet Explorer if user wants.
//
strMsg = "Do you want to visit the Windows Server 2003 web site?";
var strURL;

strURL = "http://www.microsoft.com/windowsserversystem/default.mspx";

var intAnswer = Shell.Popup(strMsg,
POPUP_WAIT,
strTitle,
MB_ICONQUESTION | MB_ICONYESNO );

if (intAnswer == IDYES) {
Shell.Run(strURL);

}
Recursos adicionales
Para obtener ms informacin, consulte los siguientes recursos:

Directiva de grupo en http://www.microsoft.com/technet/grouppolicy/ (en ingls)
Consola de administracin de Directivas de grupo con el Service Pack 1 en http://www.microsoft.com/downloads/details.aspx?

FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en (en ingls)
Windows Scripting en http://msdn.microsoft.com/library/default.asp?url=/nhp/default.asp?contentid=28001169 (en ingls)
Para obtener la informacin ms reciente sobre Windows Server 2003, visite el sitio Web de Windows Server 2003 en
http://www.microsoft.com/windowsserver2003

Versin para impresora Enviar esta pgina Agregar a Favoritos
Administre su perfil
2008 Microsoft Corporation. Todos los derechos reservados. Pngase en contacto con nosotros | Aviso Legal | Marcas registradas | Privacidad

Introducción Al Conjunto de Características de Directiva de Grupo

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Introducción Al Conjunto de Características de Directiva de Grupo

Caricato da

Copyright:

Formati disponibili

Haga clic aqu para instalar Silverlight Latinoamrica Cambiar | Todos los sitios de Microsoft

Parte I: Instalar Windows Server 2003 como un controlador de dominio

La Consola de administracin de Directivas de grupo (GPMC) con el Service Pack 1

Extensiones de otros fabricantes, que contengan otra configuracin de directivas

Especificar opciones de seguridad.

Parte 1: Instalar Windows Server 2003 como un controlador de dominio

Gua detallada de administracin de Active Directory

Obtenga acceso al men contextual de un sitio, un dominio o una unidad organizativa.

Conf.adm: configuracin de NetMeeting

Inetres.adm: configuracin de Internet Explorer.

System.adm: configuracin del sistema operativo

wmplayer.adm: configuracin del Reproductor de Windows Media

wuau.adm: configuracin de Windows Update

, as como archivos .bat y .cmd.

Directiva de grupo en http://www.microsoft.com/technet/grouppolicy/ (en ingls)

Consola de administracin de Directivas de grupo con el Service Pack 1 en http://www.microsoft.com/downloads/details.aspx?

Windows Scripting en http://msdn.microsoft.com/library/default.asp?url=/nhp/default.asp?contentid=28001169 (en ingls)

Potrebbero piacerti anche