Guía paso a paso de Advanced Group Policy

Management de Microsoft 4.0

Microsoft Corporation
Fecha de publicación: septiembre de 2009

Resumen
En esta guía paso a paso se describe un escenario de ejemplo para instalar Microsoft
Administración de directivas de grupos (AGPM) y realizar la administración de directivas de
grupo mediante Consola de administración de directivas de grupo (GPMC) y AGPM.
Copyright
La información contenida en este documento, incluidas las direcciones URL y otras referencias a
sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que se indique lo
contrario, las compañías, organizaciones, productos, nombres de dominio, direcciones de correo
electrónico, logotipos, personas, lugares y eventos utilizados en los ejemplos son ficticios. No se
pretende indicar ni debe deducirse ninguna asociación con compañías, organizaciones,
productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o
eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos
de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o
introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio
(ya sea electrónico, mecánico, por fotocopia, grabación, etc.) con ningún propósito, sin la previa
autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna
limitación a los derechos de propiedad industrial o intelectual.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y
otros derechos de propiedad intelectual sobre los contenidos de este documento. La entrega de
este documento no le otorga ninguna licencia sobre dichas patentes, marcas, derechos de autor
u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en el contrato
de licencia escrito de Microsoft.
(C) 2009 Microsoft Corporation. All rights reserved.
Microsoft, Windows y Windows Server son marcas registradas o marcas comerciales de
Microsoft Corporation en EE.UU. y en otros países.
Las demás marcas comerciales pertenecen a sus respectivos propietarios.
Contenido
Guía paso a paso de Advanced Group Policy Management de Microsoft 4.0 ............................... 5
Introducción al escenario de AGPM ......................................................................................... 5
Requisitos ................................................................................................................................ 6
Requisitos del servidor AGPM............................................................................................... 7
Requisitos del cliente AGPM ................................................................................................. 8
Requisitos del escenario ....................................................................................................... 8
Pasos para instalar y configurar AGPM .................................................................................... 9
Paso 1: Instalar el servidor AGPM......................................................................................... 9
Paso 2: Instalar el cliente AGPM ......................................................................................... 11
Paso 3: Configurar una conexión del servidor AGPM .......................................................... 11
Paso 4: Configurar notificaciones de correo electrónico ...................................................... 12
Paso 5: Delegar el acceso .................................................................................................. 12
Pasos para administrar GPO.................................................................................................. 13
Paso 1: Crear un GPO ........................................................................................................ 14
Paso 2: Editar un GPO ....................................................................................................... 15
Paso 3: Revisar e implementar un GPO .............................................................................. 16
Paso 4: Usar una plantilla para crear un GPO ..................................................................... 17
Paso 5: Eliminar y restaurar un GPO .................................................................................. 19
Guía paso a paso de Advanced Group Policy
Management de Microsoft 4.0
En esta guía paso a paso se demuestran técnicas avanzadas para la administración de
directivas de grupo usando la Consola de administración de directivas de grupo (GPMC) y
Microsoft Administración de directivas de grupos (AGPM). AGPM aumenta las capacidades de la
Consola, proporcionando:
 Funciones estándar para delegar los permisos con el fin de administrar los Objetos de
directiva de grupo (GPO) a varios administradores de directivas de grupo, así como la
capacidad de delegar el acceso a los GPO en el entorno de producción.
 Un archivo para que los administradores de directivas de grupo creen y modifiquen GPO sin
conexión antes de implementarlos en un entorno de producción.
 La capacidad de revertir a una versión anterior de un GPO en el archivo y limitar el número
de versiones almacenadas en el archivo.
 La capacidad de protección y desprotección de los GPO para asegurarse de que los
administradores de directivas de grupo no sobrescriben inadvertidamente el trabajo de los
demás.
 La capacidad de buscar GPO con atributos concretos y filtrar la lista de GPO que se
muestra.

Introducción al escenario de AGPM

Para este escenario, se utilizará una cuenta de usuario separada para cada función de AGPM
para mostrar cómo se puede administrar la directiva de grupo en un entorno con varios
administradores de directivas de grupo que tienen diferentes niveles de permisos.
Específicamente, se realizarán las siguientes tareas:
 Con una cuenta que sea miembro del grupo de administradores del dominio, instalar el
servidor AGPM y asignar la función Administrador de AGPM a una cuenta o grupo.
 Con cuentas a las que se asignarán las funciones de AGPM, instalar el cliente AGPM.
 Con una cuenta con la función Administrador de AGPM, configurar AGPM y delegar el
acceso a los GPO asignando funciones a otras cuentas.
 Desde una cuenta con la función Editor, solicitar que se cree un nuevo GPO y luego
aprobarlo con una cuenta que tenga la función Aprobador. Con la cuenta de editor,
desproteger el GPO del archivo, editar el GPO, proteger el GPO en el archivo y solicitar su
implementación.
 Con una cuenta con la función Aprobador, revisar el GPO e implementarlo en su entorno de
producción.

5
 Con una cuenta con la función Editor, crear una plantilla de GPO y usarla como un punto de
partida para crear un nuevo GPO.
 Con una cuenta con la función Aprobador, eliminar y restaurar un GPO.

Requisitos
Los equipos en los que desee instalar AGPM deben cumplir los siguientes requisitos y asimismo
debe crear cuentas para utilizarlas en este escenario.

Notas
Si tiene instalado AGPM 2.5 y está actualizando Windows Server® 2003 a Windows
Server 2008 R2 o Windows Server 2008, o Windows Vista® sin Service Pack a
Windows 7 o Windows Vista® con Service Pack 1 (SP1), debe actualizar el sistema
operativo para poder actualizar a AGPM 4.0.
Si tiene instalado AGPM 3.0, no tiene que actualizar el sistema operativo antes de
actualizar a AGPM 4.0
En un entorno mixto que incluya tanto los sistemas operativos más recientes como los
anteriores, hay algunas limitaciones en la funcionalidad, según se indica en la tabla siguiente.

6
Sistema operativo en el que se Sistema operativo en el que se Estado de la compatibilidad con
ejecuta AGPM Server 4.0 ejecuta AGPM Client 4.0 AGPM 4.0

Windows Server 2008 R2 o Windows Server 2008 R2 o Admitido

Windows 7 Windows 7

Windows Server 2008 R2 o Windows Server 2008 o Admitido, pero no se puede

Windows 7 Windows Vista con SP1 modificar la configuración de
directiva o los elementos de
preferencia que existan
únicamente en Windows
Server 2008 R2 o Windows 7

Windows Server 2008 o Windows Server 2008 R2 o No admitido

Windows Vista con SP1 Windows 7

Windows Server 2008 o Windows Server 2008 o Admitido, pero no se puede

Windows Vista con SP1
Windows Vista con SP1
notificar o modificar la
configuración de directiva o los
elementos de preferencia que
existan únicamente en
Windows Server 2008 R2 o
Windows 7

Requisitos del servidor AGPM

AGPM Server 4.0 requiere que estén instalados Windows Server 2008 R2, Windows
Server 2008, Windows 7 y GPMC de Herramientas de administración de servidor remoto
(RSAT), o Windows Vista con SP1 y GPMC de RSAT. Se admiten ambas versiones de 32 bits y
de 64 bits.
Antes de instalar el servidor AGPM, debe ser un miembro del grupo Admins. del dominio y deben
estar instaladas las siguientes funciones de Windows, a menos que se especifique lo contrario:
 GPMC
 Windows Server 2008 R2 o Windows Server 2008: Si GPMC no está presente, AGPM lo
instala automáticamente.
 Windows 7: debe instalar la GPMC de RSAT antes de instalar AGPM. Para obtener más
información, vea Herramientas de administración remota del servidor para Windows 7
(http://go.microsoft.com/fwlink/?LinkID=131280).
 Windows Vista con SP1: debe instalar la GPMC de RSAT antes de instalar AGPM. Para
obtener más información, vea Herramientas de administración remota del servidor para
Windows Vista con Service Pack 1 (http://go.microsoft.com/fwlink/?LinkID=116179).
 .NET Framework 3.5 o versiones posteriores

7
  Windows Server 2008 R2 o Windows 7: Si no está instalado .NET Framework 3.5 o una
versión posterior, AGPM instala automáticamente .NET Framework 3.5.
 Windows Server 2008 o Windows Vista con SP1: Debe instalar .NET Framework 3.5 o
una versión posterior antes de instalar AGPM.
El servidor AGPM requiere las funciones de Windows siguientes, que se instalarán
automáticamente si no están presentes:
 Activación WCF; activación no HTTP
 Servicio WAS (Windows Process Activation Service)
 Modelo de proceso
 Entorno de .NET
 API de configuración

Requisitos del cliente AGPM

AGPM Client 4.0 requiere que estén instalados Windows Server 2008 R2, Windows Server 2008,
Windows Server 2008 R2 y GPMC de RSAT, o Windows Vista con SP1 y GPMC de RSAT. Se
admiten ambas versiones de 32 bits y de 64 bits. El cliente AGPM se puede instalar en un equipo
que ejecuta el servidor AGPM.
El cliente AGPM requiere las siguientes funciones de Windows que, a menos que se indique lo
contrario, se instalarán automáticamente si no están presentes:
 GPMC
 Windows Server 2008 R2 o Windows Server 2008: Si GPMC no está presente, AGPM lo
instala automáticamente.
 Windows 7: debe instalar la GPMC de RSAT antes de instalar AGPM. Para obtener más
información, vea Herramientas de administración remota del servidor para Windows 7
(http://go.microsoft.com/fwlink/?LinkID=131280).
 Windows Vista con SP1: debe instalar la GPMC de RSAT antes de instalar AGPM. Para
obtener más información, vea Herramientas de administración remota del servidor para
Windows Vista con Service Pack 1 (http://go.microsoft.com/fwlink/?LinkID=116179).
 .NET Framework 3.0 o una versión posterior
 Windows Server 2008 R2 o Windows 7: Si .NET Framework 3.0 o una versión posterior
no está presente, AGPM instala automáticamente .NET Framework 3.5.
 Windows Server 2008 o Windows Vista con SP1: Si .NET Framework 3.0 o una versión
posterior no está presente, AGPM instala automáticamente .NET Framework 3.0.

Requisitos del escenario

Antes de comenzar este escenario, debe crear cuatro cuentas de usuario. Durante el escenario,
va a asignar una de las siguientes funciones de AGPM a cada una de estas cuentas:
Administrador AGPM (Control total), Aprobador, Editor y Revisor. Estas cuentas deben poder
enviar y recibir mensajes de correo electrónico. Asigne el permiso Vincular Objetos de

8
Directiva de Grupo a las cuentas con las funciones Administrador de AGPM, Aprobador y
(opcionalmente) Editor.

Nota
El permiso Vincular Objetos de Directiva de Grupo se asigna a los miembros de
administradores de dominio y administradores de organización. Para asignar el permiso
Vincular Objetos de Directiva de Grupo a usuarios o grupos adicionales (como
cuentas con las funciones Administrador de AGPM o Aprobador), haga clic en el nodo
del dominio y, a continuación, haga clic en la ficha Delegación, seleccione Vincular
Objetos de Directiva de Grupo, haga clic en Agregar y seleccione los usuarios o
grupos a los que desee asignar el permiso.

Pasos para instalar y configurar AGPM

Debe completar los pasos siguientes para instalar y configurar AGPM.
Paso 1: Instalar el servidor AGPM
Paso 2: Instalar el cliente AGPM
Paso 3: Configurar una conexión del servidor AGPM
Paso 4: Configurar notificaciones de correo electrónico
Paso 5: Delegar el acceso

Paso 1: Instalar el servidor AGPM

En este paso, va a instalar el servidor AGPM en el servidor miembro o controlador de dominio
que ejecutará el servicio AGPM y se configura el archivo. Todas las operaciones de AGPM están
administradas a través de este servicio Windows y se ejecutan con las credenciales del servicio.
El archivo administrado por un servidor AGPM se puede alojar en dicho servidor o en otro
servidor del mismo bosque.

Para instalar el servidor AGPM en el equipo que alojará el servicio AGPM

1. Inicie sesión con una cuenta que sea miembro del grupo de administradores de dominio.
2. Inicie el CD de Microsoft Desktop Optimization Pack y siga las instrucciones que
aparecen en pantalla para seleccionar Advanced Group Policy Management de
Microsoft: servidor.
3. En el cuadro de diálogo Bienvenida, haga clic en Siguiente.
4. En el cuadro de diálogo Términos de licencia del software de Microsoft, acepte los
términos y haga clic en Siguiente.
5. En el cuadro de diálogo Ruta de acceso de la aplicación, seleccione una ubicación en
donde instalar el servidor AGPM. El equipo en el que se instala el servidor AGPM alojará
el servicio AGPM y administrará el archivo. Haga clic en Siguiente.
6. En el cuadro de diálogo Ruta de acceso del archivo, seleccione una ubicación para el

9
 archivo en relación con el servidor AGPM. La ruta de acceso al archivo puede apuntar a
una carpeta en el servidor AGPM o en otro lugar. Sin embargo, debe seleccionar una
ubicación con espacio suficiente para almacenar todos los objetos de directiva de grupo
y los datos del historial administrados por este servidor AGPM. Haga clic en Siguiente.
7. En el cuadro de diálogo Cuenta de servicio AGPM, seleccione una cuenta de servicio
bajo la cual se ejecutará el servicio AGPM y, a continuación, haga clic en Siguiente.
Esta cuenta debe ser miembro del grupo Admins. del dominio o, en una configuración
con el mínimo privilegio, los grupos siguientes de cada dominio administrado por el
servidor AGPM:
 Propietarios del creador de directivas de grupo
 Operadores de copia de seguridad
Además, esta cuenta requiere el permiso Control total para las carpetas siguientes:
 La carpeta de archivo AGPM, para la que este permiso se concede automáticamente
durante la instalación del servidor AGPM si se instaló en una unidad local.
 La carpeta temporal del sistema local, por lo general, %windir%\temp.
8. En el cuadro de diálogo Propietario del archivo, seleccione una cuenta o grupo al que
asignó la función Administrador AGPM (Control total). Los Administradores de AGPM
pueden asignar las funciones y permisos de AGPM a otros administradores de directiva
de grupo, de modo que después se puede asignar la función de Administrador de AGPM
a otros administradores de directiva de grupo. Para este escenario, seleccione la cuenta
en la que va a operar la función Administrador de AGPM. Haga clic en Siguiente.
9. En el cuadro de diálogo Configuración de puerto, escriba el puerto en el que debería
escuchar el servicio AGPM. No desactive la casilla de verificación Agregar una
excepción de puerto al firewall a no ser que se configuren manualmente las
excepciones de puerto o se utilicen reglas para configurar las excepciones de puerto.
Haga clic en Siguiente.
10. En el cuadro de diálogo Idiomas, seleccione uno o más idiomas de visualización que se
instalarán para el servidor AGPM.
11. Haga clic en Instalar y, a continuación, haga clic en Finalizar para salir del Asistente
para la instalación.

Precaución
No cambie la configuración del servicio AGPM con las Herramientas
administrativas y Servicios del sistema operativo. Si lo hace, puede
impedir que se inicie el servicio AGPM. Para obtener más información sobre
cómo cambiar la configuración para el servicio, consulte la Ayuda de
Advanced Group Policy Management.

10
Paso 2: Instalar el cliente AGPM
Cada administrador de directivas de grupo (cualquiera que cree, edite, implemente, revise o
elimine objetos de directiva de grupo) debe tener instalado el cliente AGPM en los equipos que
utilicen para administrar los objetos de directiva de grupo. Para este escenario, instale el cliente
AGPM en al menos un equipo. No es preciso instalar el cliente AGPM en los equipos de los
usuarios finales que no realicen la administración de las directivas de grupo.

Para instalar el cliente AGPM en el equipo de un administrador de directivas de grupo

1. Inicie el CD de Microsoft Desktop Optimization Pack y siga las instrucciones que
aparecen en pantalla para seleccionar Advanced Group Policy Management: cliente.
2. En el cuadro de diálogo Bienvenida, haga clic en Siguiente.
3. En el cuadro de diálogo Términos de licencia del software de Microsoft, acepte los
términos y haga clic en Siguiente.
4. En el cuadro de diálogo Ruta de acceso de la aplicación, seleccione una ubicación en
donde instalar el cliente AGPM. Haga clic en Siguiente.
5. En el cuadro de diálogo Servidor AGPM, escriba el nombre DNS o la dirección IP del
servidor AGPM y el puerto al que desea conectarse. El puerto predeterminado para el
servicio AGPM es 4600. No desactive la casilla Permitir que la Consola de
administración de Microsoft atraviese el firewall a no ser que configure manualmente
las excepciones de puerto o use reglas para configurar las excepciones de puerto. Haga
clic en Siguiente.
6. En el cuadro de diálogo Idiomas, seleccione uno o más idiomas de visualización para la
instalación del cliente AGPM.
7. Haga clic en Instalar y, a continuación, haga clic en Finalizar para salir del Asistente
para la instalación.

Paso 3: Configurar una conexión del servidor AGPM

AGPM almacena todas las versiones de cada Objeto de directiva de grupo (GPO) controlado, es
decir, cada GPO para el que AGPM permite el control de cambios, en un archivo central. Esto
permite a los administradores de directivas de grupo ver y cambiar los GPO sin conexión sin
afectar de inmediato a la versión implementada de cada GPO.
En este paso, va a configurar una conexión de servidor AGPM y garantizará que todos los
administradores de directivas de grupo se conectan al mismo servidor AGPM. (Para obtener
información sobre cómo configurar varios servidores AGPM, consulte la Ayuda de Advanced
Group Policy Management).

Para configurar una conexión de servidor de AGPM para todos los administradores de
directivas de grupo
1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que haya seleccionado como propietario del archivo. Este usuario tiene la
11
 función de Administrador AGPM (Control total).
2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga
clic en Administración de directivas de grupo para abrir GPMC.
3. Edite un GPO que se aplique a todos los administradores de directivas de grupo.
4. En la ventana Editor de administración de directivas de grupo, haga doble clic en
Configuración de usuario, Directivas, Plantillas administrativas, Componentes de
Windows y AGPM.
5. En el panel de detalles, haga doble clic en AGPM: especificar servidor AGPM
predeterminado (todos los dominios).
6. En la ventana Propiedades, seleccione Habilitado y escriba el nombre DNS, la
dirección IP y el puerto (por ejemplo, server.contoso.com:4600) del servidor que
hospeda el archivo. De manera predeterminada, el servicio AGPM usa el puerto 4600.
7. Haga clic en Aceptar y, a continuación, cierre la ventana Editor de administración de
directivas de grupo. Cuando se actualiza la directiva de grupo, la conexión del servidor
AGPM se configura para cada administrador de directivas de grupo.

Paso 4: Configurar notificaciones de correo electrónico

Como Administrador AGPM (Control total), puede designar las direcciones de correo electrónico
de los aprobadores y Administradores de AGPM a las que se va a enviar un mensaje de correo
electrónico que contenga una solicitud cuando un editor intente crear, implementar o eliminar un
GPO. También puede determinar el alias desde el que se envían estos mensajes.

Para configurar notificaciones por correo electrónico para AGPM

1. En el panel de detalles, haga clic en la ficha Delegación de dominio.

2. En Desde dirección de correo electrónico, escriba el alias de correo electrónico de
AGPM desde el que se enviarán las notificaciones.
3. En el campo A dirección de correo electrónico, escriba la dirección de correo
electrónico de la cuenta de usuario a la que pretende asignar la función de aprobador.
4. En el campo Servidor SMTP, escriba un servidor de correo SMTP válido.
5. En los campos Nombre de usuario y Contraseña, escriba las credenciales de un
usuario con acceso al servicio SMTP. Haga clic en Aplicar.

Paso 5: Delegar el acceso

Como Administrador AGPM (Control total), puede delegar el acceso de nivel de dominio a los
objetos de directivas de grupo, asignando funciones a la cuenta de cada administrador de
directivas de grupo.

Nota

12
 También puede delegar el acceso en el nivel de GPO en lugar de en el nivel de dominio.
Para obtener más información, vea la Ayuda de Advanced Group Policy Management.

Importante
Debería restringir la pertenencia al grupo de Propietarios del creador de directivas de
grupo, para que no se pueda usar para sortear la administración de AGPM del acceso a
los GPO. (En la Consola de administración de directivas de grupo, haga clic en
Objetos de Directiva de Grupo del bosque y dominio en los que desea administrar los
objetos de directivas de grupo, haga clic en Delegación y, a continuación, configure los
valores para que cumplan con las necesidades de la organización.)

Para delegar el acceso a todos los GPO a través de un dominio

1. En la ficha Delegación de dominio, haga clic en el botón Agregar, seleccione la cuenta
de usuario del administrador de directivas de grupo para que opere como aprobador y, a
continuación, haga clic en Aceptar.
2. En el cuadro de diálogo Agregar grupo o usuario, seleccione la función Aprobador
para asignar dicha función a la cuenta y, a continuación, haga clic en Aceptar. (Esta
función incluye la función de revisor.)
3. Haga clic en el botón Agregar, seleccione la cuenta de usuario del administrador de
directivas de grupo para que opere como editor y, a continuación, haga clic en Aceptar.
4. En el cuadro de diálogo Agregar grupo o usuario, seleccione la función Editor para
asignar dicha función a la cuenta y, a continuación, haga clic en Aceptar. (Esta función
incluye la función de revisor.)
5. Haga clic en el botón Agregar, seleccione la cuenta de usuario del administrador de
directivas de grupo para que opere como revisor y, a continuación, haga clic en Aceptar.
6. En el cuadro de diálogo Agregar grupo o usuario, seleccione la función Revisor para
asignar sólo dicha función a la cuenta.

Pasos para administrar GPO

Debe completar los siguientes pasos para crear, editar, revisar e implementar objetos de
directivas de grupo con AGPM. Además, creará una plantilla, eliminará un GPO y restaurará un
objeto eliminado.
Paso 1: Crear un GPO
Paso 2: Editar un GPO
Paso 3: Revisar e implementar un GPO
Paso 4: Usar una plantilla para crear un GPO
Paso 5: Eliminar y restaurar un GPO

13
Paso 1: Crear un GPO
En un entorno con varios administradores de directivas de grupo, los que tienen la función Editor
puede solicitar la creación de nuevos GPO. Sin embargo, esa solicitud debe ser aprobada por
alguien que tenga la función Aprobador.
En este paso, va a usar una cuenta con la función Editor para solicitar la creación de un nuevo
GPO. Con una cuenta con la función Aprobador, debe aprobar esta solicitud para crear el GPO.

Para solicitar la creación de un nuevo GPO y administrarlo a través de AGPM

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que tenga asignada la función Editor en AGPM.
2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
3. Haga clic con el botón secundario en el nodo Cambiar control y, a continuación, haga
clic en Nuevo GPO controlado.
4. En el cuadro de diálogo Nuevo GPO controlado:
a. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el
campo CC.
b. Escriba MiGPO como nombre del nuevo GPO.
c. Escriba un comentario para el nuevo GPO.
d. Haga clic en Crear en vivo para que el nuevo GPO se implemente en el entorno de
producción inmediatamente después de la aprobación. Haga clic en Enviar.
5. Cuando la ventana Progreso de AGPM indique que el progreso general está completo,
haga clic en Cerrar. Se muestra el nuevo GPO en la ficha Pendiente.

Para aprobar la solicitud pendiente para crear un GPO

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que tenga asignada la función Aprobador en AGPM.
2. Abra la bandeja de entrada de correo electrónico de la cuenta y observe que ha recibido
un mensaje de correo electrónico desde el alias de AGPM con la solicitud del editor para
crear un GPO.
3. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
4. En la ficha Contenido, haga clic en la ficha Pendiente para mostrar los GPO
pendientes.
5. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Aprobar.
6. Haga clic en Sí para confirmar la aprobación y mover el GPO la ficha Controlado.

14
Paso 2: Editar un GPO
Los GPO se pueden utilizar para configurar los valores del equipo o del usuario e implementarlos
en varios equipos o usuarios. En este paso, va a utilizar una cuenta con la función Editor para
desproteger un GPO del archivo, editar el GPO sin conexión, proteger el GPO editado en el
archivo y solicitar la implementación del GPO en el entorno de producción. Para este escenario,
deberá configurar un valor en el GPO que requiera que la contraseña tenga al menos ocho
caracteres.

Para desproteger el GPO del archivo para su edición

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que tenga asignada la función Editor en AGPM.
2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
3. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado para
mostrar los GPO controlados.
4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en
Desproteger.
5. Escriba un comentario para mostrarlo en el historial del GPO mientras está desprotegido
y, a continuación, haga clic en Aceptar.
6. Cuando la ventana Progreso de AGPM indique que el progreso general está completo,
haga clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como
Desprotegido.

Para editar el GPO sin conexión y configurar la longitud mínima de la contraseña

1. En la ficha Controlado, haga clic con el botón secundario en MiGPO y, a continuación,

haga clic en Editar para abrir la ventana Editor de administración de directivas de
grupo y realizar cambios en una copia sin conexión del GPO. Para este escenario,
configure la longitud mínima de la contraseña:
a. En Configuración del equipo, haga doble clic en Directivas, Configuración de
Windows, Configuración de seguridad, Directivas de cuentas y Directiva de
contraseñas.
b. En el panel de detalles, haga doble clic en Longitud mínima de la contraseña.
c. En la ventana de propiedades, active la casilla de verificación Definir esta
configuración de directiva, establezca el número de caracteres en 8 y, a
continuación, haga clic en Aceptar.
2. Cierre la ventana Editor de administración de directivas de grupo.

Para proteger el GPO en el archivo

1. En la ficha Controlado, haga clic con el botón secundario en MiGPO y, a continuación,

15
 haga clic en Proteger.
2. Escriba un comentario y, a continuación, haga clic en Aceptar.
3. Cuando la ventana Progreso de AGPM indique que el progreso general está completo,
haga clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como
Protegido.

Para solicitar la implementación del GPO al entorno de producción

1. En la ficha Controlado, haga clic con el botón secundario en MiGPO y, a continuación,
haga clic en Implementar.
2. Como esta cuenta no es de un aprobador ni de un Administrador de AGPM, debe enviar
una solicitud de implementación. Para recibir una copia de la solicitud, escriba su
dirección de correo electrónico en el campo CC. Escriba un comentario para mostrarlo
en el historial del GPO y, a continuación, haga clic en Enviar.
3. Cuando la ventana Progreso de AGPM indique que el progreso general está completo,
haga clic en Cerrar. MiGPO se muestra en la lista de GPO en la ficha Pendiente.

Paso 3: Revisar e implementar un GPO

En este paso, va a actuar como aprobador, creando informes y analizando la configuración y los
cambios en la configuración en el GPO para determinar si debería aprobarlos. Después de
evaluar el GPO, impleméntelo en el entorno de producción y vincúlelo a un dominio o una unidad
organizativa (OU). El GPO entra en vigor cuando se actualiza la directiva de grupo en los
equipos de ese dominio o unidad organizativa.

Para revisar la configuración en el GPO

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que tenga asignada la función Aprobador en AGPM. Todos los administradores
de directivas de grupo con la función Revisor, incluida en las demás funciones, pueden
revisar la configuración de un GPO.
2. Abra la bandeja de entrada de correo electrónico de la cuenta y observe que ha recibido
un mensaje de correo electrónico del alias de AGPM con la solicitud del editor para
implementar un GPO.
3. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
4. En la ficha Contenido del panel de detalles, haga clic en la ficha Pendiente.
5. Haga doble clic en MiGPO para mostrar su historial.
6. Revise la configuración de la versión más reciente de MiGPO:
a. En la ventana Historial haga clic con el botón secundario en la versión de GPO con
la marca de tiempo más reciente, haga clic en Configuración y, a continuación,
haga clic en Informe HTML para mostrar un resumen de la configuración del GPO.

16
 b. En el explorador web, haga clic en mostrar todo para mostrar todas las
configuraciones del GPO. Cierre el navegador.
7. Compare la versión más reciente de MiGPO con la primera versión protegida en el
archivo:
a. En la ventana Historial, haga clic en la versión de GPO con la marca de hora más
reciente. Presione CTRL y haga clic en la versión de GPO más antigua para la que
la Versión de equipo no sea *.
b. Haga clic en el botón Diferencias. La sección Directivas de cuenta/Directiva de
contraseñas se resalta en verde y se precede de [+]. Esto indica que la opción está
configurada únicamente en la versión más reciente del GPO.
c. Haga clic en Directivas de cuentas/Directiva de contraseñas. La sección
Longitud mínima de la contraseña está también resaltada en verde y precedida
por un [+], que indica que este valor está configurado sólo en la última versión del
GPO.
d. Cierre el navegador web.

Para implementar el GPO en el entorno de producción

1. En la ficha Pendiente, haga clic con el botón secundario en MiGPO y, a continuación,
haga clic en Aprobar.
2. Escriba un comentario para incluirlo en el historial del GPO.
3. Haga clic en Sí. Cuando la ventana Progreso de AGPM indique que el progreso general
está completo, haga clic en Cerrar. El GPO se implementa en el entorno de producción.

Para enlazar el GPO a un dominio o unidad organizativa

1. En GPMC, haga clic con el botón secundario en el dominio o en una unidad organizativa
(OU) a la que se vaya a aplicar el GPO que ha configurado y, a continuación, haga clic
en Vincular un GPO existente.
2. En el cuadro de diálogo Seleccionar GPO, haga clic en MiGPO y, a continuación, haga
clic en Aceptar.

Paso 4: Usar una plantilla para crear un GPO

En este paso, va a usar una cuenta con la función Editor para crear y usar una plantilla. Esa
plantilla es una versión estática de un GPO para usarse como punto de partida en la creación de
nuevos GPO. Aunque no puede editar una plantilla, puede crear un GPO nuevo que se base en
ella. Las plantillas son útiles para la creación rápida de varios GPO que incluyen algunas de las
mismas opciones de directiva.

Para crear una plantilla basada en un GPO existente

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de

17
 usuario que tenga asignada la función Editor en AGPM.
2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
3. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado.
4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Guardar
como plantilla para crear una plantilla que incorpore toda la configuración actual de
MiGPO.
5. Escriba MiPlantilla como nombre para la plantilla y un comentario y, a continuación,
haga clic en Aceptar.
6. Cuando la ventana Progreso de AGPM indique que se ha completado, haga clic en
Cerrar. La nueva plantilla aparece en la ficha Plantillas.

Para solicitar la creación de un nuevo GPO y administrarlo a través de AGPM

1. Haga clic en la ficha Controlado.
2. Haga clic con el botón secundario en el nodo Cambiar control y, a continuación, haga
clic en Nuevo GPO controlado.
3. En el cuadro de diálogo Nuevo GPO controlado:
a. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el
campo CC.
b. Escriba MiOtroGPO como nombre del nuevo GPO.
c. Escriba un comentario para el nuevo GPO.
d. Haga clic en Crear en vivo para que el nuevo GPO se implemente en el entorno de
producción inmediatamente después de la aprobación.
e. En Desde plantilla GPO, seleccione MiPlantilla. Haga clic en Enviar.
4. Cuando la ventana Progreso de AGPM indique que el progreso general está completo,
haga clic en Cerrar. Se muestra el nuevo GPO en la ficha Pendiente.
Utilice la cuenta con la función Aprobador asignada para aprobar la solicitud pendiente con
objeto de crear el GPO, al igual que se hizo en el Paso 1: Crear un GPO. MiPlantilla incorpora
todos los valores que ha configurado en MiGPO. Como MiOtroGPO se ha creado con MiPlantilla,
primero contiene toda la configuración que contenía MiGPO cuando se creó MiPlantilla. Puede
confirmarlo generando un informe de diferencias para comparar MiOtroGPO con MiPlantilla.

Para desproteger el GPO del archivo para su edición

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que tenga asignada la función Editor en AGPM.
2. Haga clic con el botón secundario en MiOtroGPO y, a continuación, haga clic en
Desproteger.
3. Escriba un comentario para mostrarlo en el historial del GPO mientras está desprotegido

18
 y, a continuación, haga clic en Aceptar.
4. Cuando la ventana Progreso de AGPM indique que el progreso general está completo,
haga clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como
Desprotegido.

Para editar el GPO sin conexión y configurar la duración de bloqueo de la cuenta

1. En la ficha Controlado, haga clic con el botón secundario en MiOtroGPO y, a
continuación, haga clic en Editar para abrir la ventana Editor de administración de
directivas de grupo y realizar cambios en una copia sin conexión del GPO. Para este
escenario, configure la longitud mínima de la contraseña:
a. En Configuración del equipo, haga doble clic en Directivas, Configuración de
Windows, Configuración de seguridad, Directivas de cuentas y Directiva de
bloqueo de cuenta.
b. En el panel de detalles, haga doble clic en Duración del bloqueo de cuenta.
c. En la ventana de propiedades, active la casilla de verificación Definir esta
configuración de directiva, establezca la duración en 30 y, a continuación, haga
clic en Aceptar.
2. Cierre la ventana Editor de administración de directivas de grupo.
Proteja MiOtroGPO en el archivo y solicite la implementación al igual que hizo para MiGPO en el
Paso 2: Editar un GPO. Puede comparar MiOtroGPO con MiGPO o con MiPlantilla mediante
informes de diferencias. Cualquier cuenta que incluya la función de revisor (administrador de
AGPM [Control total], aprobador, editor o revisor) puede generar informes.

Para comparar un GPO con otro y con una plantilla

1. Para comparar MiGPO y MiOtroGPO:
a. En la ficha Controlado, haga clic en MiGPO. Presione CTRL y, a continuación, haga
clic en MiOtroGPO.
b. Haga clic con el botón secundario en MiOtroGPO, seleccione Diferencias y haga
clic en Informe HTML.
2. Para comparar MiOtroGPO y MiPlantilla:
a. En la ficha Controlado, haga clic en MiOtroGPO.
b. Haga clic con el botón secundario en MiOtroGPO, seleccione Diferencias y haga
clic en Plantilla.
c. Seleccione MiPlantilla e Informe HTML y, a continuación, haga clic en Aceptar.

Paso 5: Eliminar y restaurar un GPO

En este paso, va a desempeñar la función de aprobador para eliminar un GPO.

19
 Para eliminar un GPO

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que tenga asignada la función Aprobador.
2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
3. En la ficha Contenido, haga clic en la ficha Controlado para mostrar los GPO
controlados.
4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Eliminar.
Haga clic en Suprimir GPO del archivo y producción para eliminar tanto la versión del
archivo como la versión implementada del GPO en el entorno de producción.
5. Escriba un comentario para mostrarlo en la traza de auditoría del GPO y, a continuación,
haga clic en Aceptar.
6. Cuando la ventana Progreso de AGPM indique que se ha completado, haga clic en
Cerrar. El GPO se quita de la ficha Controlado y aparece en la ficha Papelera de
reciclaje, donde se puede restaurar o destruir.
Ocasionalmente, después de eliminar un GPO, puede descubrir que todavía es necesario. En
este paso, actúe como Aprobador para restaurar un GPO que se haya eliminado.

Para restaurar un GPO eliminado

1. En la ficha Contenido, haga clic en la ficha Papelera de reciclaje para mostrar los GPO
eliminados.
2. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Restaurar.
3. Escriba un comentario para mostrarlo en el historial del GPO y, a continuación, haga clic
en Aceptar.
4. Cuando la ventana Progreso de AGPM indique que se ha completado, haga clic en
Cerrar. El GPO se quita de la ficha Papelera de reciclaje y se muestra en la ficha
Controlado.

Nota
La restauración de un GPO al archivo no vuelve a implementarlo
automáticamente en el entorno de producción. Para devolver el GPO al
entorno de producción, implemente el GPO como se hizo en el Paso 3:
Revisar e implementar un GPO.

Después de editar y de implementar un GPO, puede descubrir que algunos cambios recientes en
el GPO están causando un problema. En este paso, actúa como aprobador para revertir a una
versión anterior del GPO. Puede revertir a cualquier versión del historial del GPO. Utilice
comentarios y etiquetas para identificar las versiones aptas conocidas y cuándo se han realizado
cambios específicos.

20
Para revertir a una versión anterior de GPO

1. En la ficha Contenido, haga clic en la ficha Controlado para mostrar los GPO
controlados.
2. Haga doble clic en MiGPO para mostrar su historial.
3. Haga clic con el botón secundario en la versión que se va a implementar, haga clic en
Implementar y, a continuación, haga clic en Sí.
4. Cuando la ventana Progreso indica que se ha completado, haga clic en Cerrar. En la
ventana Historial, haga clic en Cerrar.

Nota
A fin de comprobar que la versión que se ha vuelto a implementar coincide
con la versión que se pretendía, examine el informe de diferencias entre las
dos versiones. En la ventana Historial del GPO, seleccione las dos
versiones, haga clic en ellas con el botón secundario, seleccione Diferencia
y, a continuación, haga clic en Informe HTML o Informe XML.

21