Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Microsoft Corporation
Fecha de publicación: septiembre de 2009
Resumen
En esta guía paso a paso se describe un escenario de ejemplo para instalar Microsoft
Administración de directivas de grupos (AGPM) y realizar la administración de directivas de
grupo mediante Consola de administración de directivas de grupo (GPMC) y AGPM.
Copyright
La información contenida en este documento, incluidas las direcciones URL y otras referencias a
sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que se indique lo
contrario, las compañías, organizaciones, productos, nombres de dominio, direcciones de correo
electrónico, logotipos, personas, lugares y eventos utilizados en los ejemplos son ficticios. No se
pretende indicar ni debe deducirse ninguna asociación con compañías, organizaciones,
productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o
eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos
de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o
introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio
(ya sea electrónico, mecánico, por fotocopia, grabación, etc.) con ningún propósito, sin la previa
autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna
limitación a los derechos de propiedad industrial o intelectual.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y
otros derechos de propiedad intelectual sobre los contenidos de este documento. La entrega de
este documento no le otorga ninguna licencia sobre dichas patentes, marcas, derechos de autor
u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en el contrato
de licencia escrito de Microsoft.
(C) 2009 Microsoft Corporation. All rights reserved.
Microsoft, Windows y Windows Server son marcas registradas o marcas comerciales de
Microsoft Corporation en EE.UU. y en otros países.
Las demás marcas comerciales pertenecen a sus respectivos propietarios.
Contenido
Guía paso a paso de Advanced Group Policy Management de Microsoft 4.0 ............................... 5
Introducción al escenario de AGPM ......................................................................................... 5
Requisitos ................................................................................................................................ 6
Requisitos del servidor AGPM............................................................................................... 7
Requisitos del cliente AGPM ................................................................................................. 8
Requisitos del escenario ....................................................................................................... 8
Pasos para instalar y configurar AGPM .................................................................................... 9
Paso 1: Instalar el servidor AGPM......................................................................................... 9
Paso 2: Instalar el cliente AGPM ......................................................................................... 11
Paso 3: Configurar una conexión del servidor AGPM .......................................................... 11
Paso 4: Configurar notificaciones de correo electrónico ...................................................... 12
Paso 5: Delegar el acceso .................................................................................................. 12
Pasos para administrar GPO.................................................................................................. 13
Paso 1: Crear un GPO ........................................................................................................ 14
Paso 2: Editar un GPO ....................................................................................................... 15
Paso 3: Revisar e implementar un GPO .............................................................................. 16
Paso 4: Usar una plantilla para crear un GPO ..................................................................... 17
Paso 5: Eliminar y restaurar un GPO .................................................................................. 19
Guía paso a paso de Advanced Group Policy
Management de Microsoft 4.0
En esta guía paso a paso se demuestran técnicas avanzadas para la administración de
directivas de grupo usando la Consola de administración de directivas de grupo (GPMC) y
Microsoft Administración de directivas de grupos (AGPM). AGPM aumenta las capacidades de la
Consola, proporcionando:
Funciones estándar para delegar los permisos con el fin de administrar los Objetos de
directiva de grupo (GPO) a varios administradores de directivas de grupo, así como la
capacidad de delegar el acceso a los GPO en el entorno de producción.
Un archivo para que los administradores de directivas de grupo creen y modifiquen GPO sin
conexión antes de implementarlos en un entorno de producción.
La capacidad de revertir a una versión anterior de un GPO en el archivo y limitar el número
de versiones almacenadas en el archivo.
La capacidad de protección y desprotección de los GPO para asegurarse de que los
administradores de directivas de grupo no sobrescriben inadvertidamente el trabajo de los
demás.
La capacidad de buscar GPO con atributos concretos y filtrar la lista de GPO que se
muestra.
5
Con una cuenta con la función Editor, crear una plantilla de GPO y usarla como un punto de
partida para crear un nuevo GPO.
Con una cuenta con la función Aprobador, eliminar y restaurar un GPO.
Requisitos
Los equipos en los que desee instalar AGPM deben cumplir los siguientes requisitos y asimismo
debe crear cuentas para utilizarlas en este escenario.
Notas
Si tiene instalado AGPM 2.5 y está actualizando Windows Server® 2003 a Windows
Server 2008 R2 o Windows Server 2008, o Windows Vista® sin Service Pack a
Windows 7 o Windows Vista® con Service Pack 1 (SP1), debe actualizar el sistema
operativo para poder actualizar a AGPM 4.0.
Si tiene instalado AGPM 3.0, no tiene que actualizar el sistema operativo antes de
actualizar a AGPM 4.0
En un entorno mixto que incluya tanto los sistemas operativos más recientes como los
anteriores, hay algunas limitaciones en la funcionalidad, según se indica en la tabla siguiente.
6
Sistema operativo en el que se Sistema operativo en el que se Estado de la compatibilidad con
ejecuta AGPM Server 4.0 ejecuta AGPM Client 4.0 AGPM 4.0
7
Windows Server 2008 R2 o Windows 7: Si no está instalado .NET Framework 3.5 o una
versión posterior, AGPM instala automáticamente .NET Framework 3.5.
Windows Server 2008 o Windows Vista con SP1: Debe instalar .NET Framework 3.5 o
una versión posterior antes de instalar AGPM.
El servidor AGPM requiere las funciones de Windows siguientes, que se instalarán
automáticamente si no están presentes:
Activación WCF; activación no HTTP
Servicio WAS (Windows Process Activation Service)
Modelo de proceso
Entorno de .NET
API de configuración
8
Directiva de Grupo a las cuentas con las funciones Administrador de AGPM, Aprobador y
(opcionalmente) Editor.
Nota
El permiso Vincular Objetos de Directiva de Grupo se asigna a los miembros de
administradores de dominio y administradores de organización. Para asignar el permiso
Vincular Objetos de Directiva de Grupo a usuarios o grupos adicionales (como
cuentas con las funciones Administrador de AGPM o Aprobador), haga clic en el nodo
del dominio y, a continuación, haga clic en la ficha Delegación, seleccione Vincular
Objetos de Directiva de Grupo, haga clic en Agregar y seleccione los usuarios o
grupos a los que desee asignar el permiso.
9
archivo en relación con el servidor AGPM. La ruta de acceso al archivo puede apuntar a
una carpeta en el servidor AGPM o en otro lugar. Sin embargo, debe seleccionar una
ubicación con espacio suficiente para almacenar todos los objetos de directiva de grupo
y los datos del historial administrados por este servidor AGPM. Haga clic en Siguiente.
7. En el cuadro de diálogo Cuenta de servicio AGPM, seleccione una cuenta de servicio
bajo la cual se ejecutará el servicio AGPM y, a continuación, haga clic en Siguiente.
Esta cuenta debe ser miembro del grupo Admins. del dominio o, en una configuración
con el mínimo privilegio, los grupos siguientes de cada dominio administrado por el
servidor AGPM:
Propietarios del creador de directivas de grupo
Operadores de copia de seguridad
Además, esta cuenta requiere el permiso Control total para las carpetas siguientes:
La carpeta de archivo AGPM, para la que este permiso se concede automáticamente
durante la instalación del servidor AGPM si se instaló en una unidad local.
La carpeta temporal del sistema local, por lo general, %windir%\temp.
8. En el cuadro de diálogo Propietario del archivo, seleccione una cuenta o grupo al que
asignó la función Administrador AGPM (Control total). Los Administradores de AGPM
pueden asignar las funciones y permisos de AGPM a otros administradores de directiva
de grupo, de modo que después se puede asignar la función de Administrador de AGPM
a otros administradores de directiva de grupo. Para este escenario, seleccione la cuenta
en la que va a operar la función Administrador de AGPM. Haga clic en Siguiente.
9. En el cuadro de diálogo Configuración de puerto, escriba el puerto en el que debería
escuchar el servicio AGPM. No desactive la casilla de verificación Agregar una
excepción de puerto al firewall a no ser que se configuren manualmente las
excepciones de puerto o se utilicen reglas para configurar las excepciones de puerto.
Haga clic en Siguiente.
10. En el cuadro de diálogo Idiomas, seleccione uno o más idiomas de visualización que se
instalarán para el servidor AGPM.
11. Haga clic en Instalar y, a continuación, haga clic en Finalizar para salir del Asistente
para la instalación.
Precaución
No cambie la configuración del servicio AGPM con las Herramientas
administrativas y Servicios del sistema operativo. Si lo hace, puede
impedir que se inicie el servicio AGPM. Para obtener más información sobre
cómo cambiar la configuración para el servicio, consulte la Ayuda de
Advanced Group Policy Management.
10
Paso 2: Instalar el cliente AGPM
Cada administrador de directivas de grupo (cualquiera que cree, edite, implemente, revise o
elimine objetos de directiva de grupo) debe tener instalado el cliente AGPM en los equipos que
utilicen para administrar los objetos de directiva de grupo. Para este escenario, instale el cliente
AGPM en al menos un equipo. No es preciso instalar el cliente AGPM en los equipos de los
usuarios finales que no realicen la administración de las directivas de grupo.
Para configurar una conexión de servidor de AGPM para todos los administradores de
directivas de grupo
1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que haya seleccionado como propietario del archivo. Este usuario tiene la
11
función de Administrador AGPM (Control total).
2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga
clic en Administración de directivas de grupo para abrir GPMC.
3. Edite un GPO que se aplique a todos los administradores de directivas de grupo.
4. En la ventana Editor de administración de directivas de grupo, haga doble clic en
Configuración de usuario, Directivas, Plantillas administrativas, Componentes de
Windows y AGPM.
5. En el panel de detalles, haga doble clic en AGPM: especificar servidor AGPM
predeterminado (todos los dominios).
6. En la ventana Propiedades, seleccione Habilitado y escriba el nombre DNS, la
dirección IP y el puerto (por ejemplo, server.contoso.com:4600) del servidor que
hospeda el archivo. De manera predeterminada, el servicio AGPM usa el puerto 4600.
7. Haga clic en Aceptar y, a continuación, cierre la ventana Editor de administración de
directivas de grupo. Cuando se actualiza la directiva de grupo, la conexión del servidor
AGPM se configura para cada administrador de directivas de grupo.
Nota
12
También puede delegar el acceso en el nivel de GPO en lugar de en el nivel de dominio.
Para obtener más información, vea la Ayuda de Advanced Group Policy Management.
Importante
Debería restringir la pertenencia al grupo de Propietarios del creador de directivas de
grupo, para que no se pueda usar para sortear la administración de AGPM del acceso a
los GPO. (En la Consola de administración de directivas de grupo, haga clic en
Objetos de Directiva de Grupo del bosque y dominio en los que desea administrar los
objetos de directivas de grupo, haga clic en Delegación y, a continuación, configure los
valores para que cumplan con las necesidades de la organización.)
13
Paso 1: Crear un GPO
En un entorno con varios administradores de directivas de grupo, los que tienen la función Editor
puede solicitar la creación de nuevos GPO. Sin embargo, esa solicitud debe ser aprobada por
alguien que tenga la función Aprobador.
En este paso, va a usar una cuenta con la función Editor para solicitar la creación de un nuevo
GPO. Con una cuenta con la función Aprobador, debe aprobar esta solicitud para crear el GPO.
1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que tenga asignada la función Aprobador en AGPM.
2. Abra la bandeja de entrada de correo electrónico de la cuenta y observe que ha recibido
un mensaje de correo electrónico desde el alias de AGPM con la solicitud del editor para
crear un GPO.
3. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
4. En la ficha Contenido, haga clic en la ficha Pendiente para mostrar los GPO
pendientes.
5. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Aprobar.
6. Haga clic en Sí para confirmar la aprobación y mover el GPO la ficha Controlado.
14
Paso 2: Editar un GPO
Los GPO se pueden utilizar para configurar los valores del equipo o del usuario e implementarlos
en varios equipos o usuarios. En este paso, va a utilizar una cuenta con la función Editor para
desproteger un GPO del archivo, editar el GPO sin conexión, proteger el GPO editado en el
archivo y solicitar la implementación del GPO en el entorno de producción. Para este escenario,
deberá configurar un valor en el GPO que requiera que la contraseña tenga al menos ocho
caracteres.
1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que tenga asignada la función Editor en AGPM.
2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
3. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado para
mostrar los GPO controlados.
4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en
Desproteger.
5. Escriba un comentario para mostrarlo en el historial del GPO mientras está desprotegido
y, a continuación, haga clic en Aceptar.
6. Cuando la ventana Progreso de AGPM indique que el progreso general está completo,
haga clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como
Desprotegido.
15
haga clic en Proteger.
2. Escriba un comentario y, a continuación, haga clic en Aceptar.
3. Cuando la ventana Progreso de AGPM indique que el progreso general está completo,
haga clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como
Protegido.
1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que tenga asignada la función Aprobador en AGPM. Todos los administradores
de directivas de grupo con la función Revisor, incluida en las demás funciones, pueden
revisar la configuración de un GPO.
2. Abra la bandeja de entrada de correo electrónico de la cuenta y observe que ha recibido
un mensaje de correo electrónico del alias de AGPM con la solicitud del editor para
implementar un GPO.
3. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
4. En la ficha Contenido del panel de detalles, haga clic en la ficha Pendiente.
5. Haga doble clic en MiGPO para mostrar su historial.
6. Revise la configuración de la versión más reciente de MiGPO:
a. En la ventana Historial haga clic con el botón secundario en la versión de GPO con
la marca de tiempo más reciente, haga clic en Configuración y, a continuación,
haga clic en Informe HTML para mostrar un resumen de la configuración del GPO.
16
b. En el explorador web, haga clic en mostrar todo para mostrar todas las
configuraciones del GPO. Cierre el navegador.
7. Compare la versión más reciente de MiGPO con la primera versión protegida en el
archivo:
a. En la ventana Historial, haga clic en la versión de GPO con la marca de hora más
reciente. Presione CTRL y haga clic en la versión de GPO más antigua para la que
la Versión de equipo no sea *.
b. Haga clic en el botón Diferencias. La sección Directivas de cuenta/Directiva de
contraseñas se resalta en verde y se precede de [+]. Esto indica que la opción está
configurada únicamente en la versión más reciente del GPO.
c. Haga clic en Directivas de cuentas/Directiva de contraseñas. La sección
Longitud mínima de la contraseña está también resaltada en verde y precedida
por un [+], que indica que este valor está configurado sólo en la última versión del
GPO.
d. Cierre el navegador web.
1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
17
usuario que tenga asignada la función Editor en AGPM.
2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
3. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado.
4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Guardar
como plantilla para crear una plantilla que incorpore toda la configuración actual de
MiGPO.
5. Escriba MiPlantilla como nombre para la plantilla y un comentario y, a continuación,
haga clic en Aceptar.
6. Cuando la ventana Progreso de AGPM indique que se ha completado, haga clic en
Cerrar. La nueva plantilla aparece en la ficha Plantillas.
18
y, a continuación, haga clic en Aceptar.
4. Cuando la ventana Progreso de AGPM indique que el progreso general está completo,
haga clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como
Desprotegido.
19
Para eliminar un GPO
1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de
usuario que tenga asignada la función Aprobador.
2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar
control en el bosque y dominio en el que desea administrar los GPO.
3. En la ficha Contenido, haga clic en la ficha Controlado para mostrar los GPO
controlados.
4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Eliminar.
Haga clic en Suprimir GPO del archivo y producción para eliminar tanto la versión del
archivo como la versión implementada del GPO en el entorno de producción.
5. Escriba un comentario para mostrarlo en la traza de auditoría del GPO y, a continuación,
haga clic en Aceptar.
6. Cuando la ventana Progreso de AGPM indique que se ha completado, haga clic en
Cerrar. El GPO se quita de la ficha Controlado y aparece en la ficha Papelera de
reciclaje, donde se puede restaurar o destruir.
Ocasionalmente, después de eliminar un GPO, puede descubrir que todavía es necesario. En
este paso, actúe como Aprobador para restaurar un GPO que se haya eliminado.
1. En la ficha Contenido, haga clic en la ficha Papelera de reciclaje para mostrar los GPO
eliminados.
2. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Restaurar.
3. Escriba un comentario para mostrarlo en el historial del GPO y, a continuación, haga clic
en Aceptar.
4. Cuando la ventana Progreso de AGPM indique que se ha completado, haga clic en
Cerrar. El GPO se quita de la ficha Papelera de reciclaje y se muestra en la ficha
Controlado.
Nota
La restauración de un GPO al archivo no vuelve a implementarlo
automáticamente en el entorno de producción. Para devolver el GPO al
entorno de producción, implemente el GPO como se hizo en el Paso 3:
Revisar e implementar un GPO.
Después de editar y de implementar un GPO, puede descubrir que algunos cambios recientes en
el GPO están causando un problema. En este paso, actúa como aprobador para revertir a una
versión anterior del GPO. Puede revertir a cualquier versión del historial del GPO. Utilice
comentarios y etiquetas para identificar las versiones aptas conocidas y cuándo se han realizado
cambios específicos.
20
Para revertir a una versión anterior de GPO
1. En la ficha Contenido, haga clic en la ficha Controlado para mostrar los GPO
controlados.
2. Haga doble clic en MiGPO para mostrar su historial.
3. Haga clic con el botón secundario en la versión que se va a implementar, haga clic en
Implementar y, a continuación, haga clic en Sí.
4. Cuando la ventana Progreso indica que se ha completado, haga clic en Cerrar. En la
ventana Historial, haga clic en Cerrar.
Nota
A fin de comprobar que la versión que se ha vuelto a implementar coincide
con la versión que se pretendía, examine el informe de diferencias entre las
dos versiones. En la ventana Historial del GPO, seleccione las dos
versiones, haga clic en ellas con el botón secundario, seleccione Diferencia
y, a continuación, haga clic en Informe HTML o Informe XML.
21