administración de active directory
DESCRIPTION
Manual de administracion e instalacion de Active Directory en Windows Server 2003TRANSCRIPT
Instalación y configuración de redes. Instalación de Aplicaciones.
Integrantes: Mauricio Balcázar Guido Gutiérrez Rodrigo Medina Emilse Quintana Widen Gonzales Shigueiko Sakihama04 de noviembre de 2010Santa Cruz – Bolivia
1
ContenidoAdministración de Active Directory.......................................................................................................................4
Introducción.......................................................................................................................................................4
Requisitos previos..........................................................................................................................................4
Usar el complemento Dominios y confianzas de Active Directory...................................................................4
Iniciar el complemento Dominios y confianzas de Active Directory.............................................................4
Cambiar la funcionalidad de dominios y bosques.........................................................................................5
Usar el complemento Usuarios y equipos de Active Directory.........................................................................6
Reconocer objetos de Active Directory.........................................................................................................6
Unidades organizativas..................................................................................................................................7
Crear unidades organizativas de dominio en Windows Server 2003............................................................7
Crear una unidad organizativa.......................................................................................................................7
Modificar los atributos de una unidad organizativa.....................................................................................8
Ejemplo de creación de una UO.....................................................................................................................8
Agregar una unidad organizativa........................................................................................................................11
Crear una cuenta de usuario................................................................................................................................12
Mover una cuenta de usuario......................................................................................................................13
Crear un grupo.....................................................................................................................................................13
Publicar una carpeta compartida................................................................................................................14
Publicar una impresora................................................................................................................................15
Crear un objeto de equipo...................................................................................................................................17
Cambiar el nombre, mover y eliminar objetos............................................................................................17
Administrar objetos de equipo....................................................................................................................18
Grupos anidados..................................................................................................................................................19
Buscar objetos específicos...........................................................................................................................19
Filtrar una lista de objetos...........................................................................................................................20
Introducción a Directiva de grupo...................................................................................................................20
Objetos de directiva de grupo que existen de manera predeterminada........................................................21
Directiva de usuario y de equipo.....................................................................................................................21
Orden de aplicación.........................................................................................................................................21
Filtrar la directiva en función de la pertenencia a grupos de seguridad.........................................................22
Bloquear la herencia de directivas..................................................................................................................22
Aplicar la directiva desde arriba......................................................................................................................22
2
Administración de directivas de grupo............................................................................................................22
Utilizar la Directiva de grupo...........................................................................................................................22
Formas de abrir el Editor de objetos de directiva de grupo..............................................................................22
Directiva de grupo local...................................................................................................................................23
Permisos de directiva de grupo.......................................................................................................................24
Permisos predeterminados..............................................................................................................................24
Directiva para Microsoft Management Console...............................................................................................24
Delegar el control de la directiva de grupo.......................................................................................................24
Directiva de grupo e infraestructura de red....................................................................................................26
Características de Directiva de grupo que se pueden utilizar entre distintos bosques..............................26
Directiva de grupo en redes multiplataforma.............................................................................................27
Directiva de grupo en entornos replicados.................................................................................................28
Directiva de grupo con vínculos lentos........................................................................................................29
Directiva de grupo en sitios.........................................................................................................................29
Administrar la Directiva de grupo desde la línea de comandos......................................................................30
Gpresult........................................................................................................................................................30
Gpupdate.....................................................................................................................................................31
Formas nuevas de realizar tareas habituales..................................................................................................32
3
Administración de Active DirectoryIntroducciónEsta guía es una introducción a la administración del servicio Active Directory de Windows Server 2003. Las herramientas administrativas de Active Directory simplifican la administración del servicio de directorio. Puede utilizar las herramientas estándar o Microsoft Management Console (MMC) para crear herramientas personalizadas centradas en tareas de administración únicas. Puede combinar varias herramientas en una única consola. También puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas específicas.Las herramientas administrativas de Active Directory sólo se pueden utilizar desde un equipo con acceso a un dominio. Las siguientes herramientas administrativas de Active Directory están disponibles en el menú Herramientas administrativas:
• Usuarios y equipos de Active Directory• Dominios y confianzas de Active Directory• Sitios y servicios de Active Directory
También puede administrar Active Directory de forma remota desde un equipo que no sea un controlador de dominio, como un equipo que ejecute Windows XP Professional. Para ello, debe instalar el Paquete de herramientas de administración de Windows Server 2003.El complemento Esquema de Active Directory es una herramienta administrativa de Active Directory para administrar el esquema. No está disponible de forma predeterminada en el menú Herramientas administrativas y debe agregarse manualmente.Para los administradores avanzados y los especialistas de soporte técnico de redes, existen muchas herramientas de línea de comandos que pueden utilizar para configurar, administrar y solucionar problemas de Active Directory. También puede crear secuencias de comandos que utilicen las Interfaces de servicio de Active Directory (ADSI). En los discos de instalación del sistema operativo se incluyen varias secuencias de comandos de ejemplo.
Requisitos previos• Instalar Windows Server 2003 como un controlador de dominio.• Instalar una estación de trabajo Windows XP Professional y conectarla a un dominio.
Usar el complemento Dominios y confianzas de Active DirectoryEl complemento Dominios y confianzas de Active Directory proporciona una representación gráfica de todos los árboles de dominios que hay en el bosque. Al usar esta herramienta, un administrador puede administrar cada uno de los dominios del bosque, administrar relaciones de confianza entre dominios, configurar el modo de funcionamiento de cada dominio (modo nativo o mixto) y configurar los sufijos alternativos de Nombre principal del usuario (UPN) para el bosque.
Iniciar el complemento Dominios y confianzas de Active DirectoryPara iniciar el complemento1. En HQ-CON-DC-01, haga clic en el botón Inicio, seleccione todos los programas, herramientas
administrativas y a continuación, haga clic en Dominios y confianzas de Active Directory. Aparece el complemento Dominios y confianzas de Active Directory, como se muestra en la Figura 1.
Figura 1. Complemento Dominios y confianzas de Active Directory
4
El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fácil de usar para que los usuarios inicien sesión en Active Directory. El estilo del UPN se basa en el estándar RFC 822 de Internet, al que también se hace referencia como dirección de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el nombre DNS del primer dominio del primer árbol del bosque.
Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de sesión. También puede simplificar los nombres de inicio de sesión de usuario si utiliza un solo sufijo UPN para todos los usuarios. El sufijo UPN sólo se utiliza dentro del dominio de Windows Server 2003 y no es necesario que sea un nombre válido de dominio DNS.
Para agregar sufijos UPN adicionales1. Seleccione Dominios y confianzas de Active Directory en el panel superior izquierdo, haga clic con el botón
secundario del mouse (ratón) en él y, a continuación, haga clic en Propiedades.2. Especifique cualquier sufijo UPN alternativo en el cuadro Sufijos UPN alternativos y haga clic en Agregar.3. Haga clic en Aceptar para cerrar la ventana.
Cambiar la funcionalidad de dominios y bosquesLa funcionalidad de dominios y bosques, incluida en Active Directory de Windows Server 2003, proporciona un modo de habilitar las características de Active Directory para todo el dominio o todo el bosque dentro del entorno de red. Existen diferentes niveles de funcionalidad de dominios y de bosques, que dependen del entorno.
Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivel funcional está establecido en Windows Server 2003, estarán disponibles todas las características para todo el dominio y para todo el bosque. Cuando se incluyen controladores de dominio Windows NT® 4.0 o Windows 2000 en el dominio o bosque con controladores de dominio que ejecutan Windows Server 2003, sólo está disponible un subconjunto de las características de Active Directory para todo el dominio y todo el bosque.
El concepto de habilitar funciones adicionales de Active Directory existe en Windows 2000 con modos mixtos y nativos. Los dominios de modo mixto puede contener controladores de dominio de reserva Windows NT 4.0 y no pueden utilizar las características de grupos de seguridad universal, anidación de grupos ni historial de ID de seguridad (SID). Cuando el dominio está establecido en modo nativo, se pueden utilizar las características de grupos de seguridad universal, anidación de grupos e historial de SID. Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominio y bosque.
Advertencia: una vez elevado el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no podrán incluirse en el dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los controladores de dominio que ejecutan Windows 2000 Server no se podrán agregar a dicho dominio.
La funcionalidad de dominio habilita características que afectan a todo el dominio y sólo a ese dominio. Existen cuatro niveles funcionales de dominio: Windows 2000 mixto (opción predeterminada), Windows 2000 nativo, Windows Server 2003 versión provisional y Windows Server 2003. De forma predeterminada, los dominios operan en el nivel funcional Windows 2000 mixto.
Para elevar la funcionalidad del dominio1. Haga clic derecho en el objeto de dominio (en el ejemplo, contoso.com) y, a continuación, haga clic
en Elevar el nivel funcional del dominio.2. Seleccione un nivel funcional del dominio disponible, luego Windows Server 2003 y haga clic en Elevar.3. Haga clic en Aceptar en el mensaje de advertencia para elevar la funcionalidad del dominio. Haga clic de
nuevo en Aceptar para finalizar el proceso.4. Cierre la ventana Dominios y confianzas de Active Directory.
5
Usar el complemento Usuarios y equipos de Active DirectoryPara iniciar el complemento Usuarios y equipos de Active Directory1. Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y luego haga
clic en Usuarios y equipos de Active Directory.2. Expanda el dominio (en el ejemplo Contoso.com) haciendo clic en el signo +.
En la Figura 2 se muestran los componentes clave del complemento Usuarios y equipos de Active Directory.
Figura 2. Complemento Usuarios y equipos de Active Directory
Reconocer objetos de Active DirectoryLos objetos descritos en la tabla siguiente se crean durante la instalación de Active Directory.
Icono Carpeta Descripción
Dominio El nodo raíz del complemento representa el dominio que se va a administrar.
Equipos
Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio. Entre éstos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versión anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos.
Sistema Contiene información de sistemas y servicios de Active Directory.
Usuarios Contiene todos los usuarios del dominio. En una actualización, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario.
Se puede usar Active Directory para crear los siguientes objetos.Icono
Objeto Descripción
UsuarioUn objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesión en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso.
ContactoUn objeto de contacto es una cuenta que no tiene ningún permiso de seguridad. No se puede iniciar sesión como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrónico.
Equipo Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores con Windows NT, ésta es la cuenta de equipo.
Unidad organizativa
Las unidades organizativas se utilizan como contenedores para organizar de manera lógica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro.
Grupo Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administración de cantidades grandes de objetos.
Carpeta compartida
Una carpeta compartida es un recurso compartido de red que se ha publicado en el directorio.
Impresora Una impresora compartida es una impresora de red que se ha publicado en el
6
compartida directorio.Unidades organizativasLa unidad organizativa es un tipo de objeto de directorio muy útil incluido en los dominios. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios.Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos, en función de su modelo organizativo. Para obtener más información acerca de la configuración de Directiva de grupo, vea Directiva de grupo (pre-GPMC).Como se muestra en la ilustración, las unidades organizativas pueden contener otras unidades organizativas. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas permiten a disminuir el número de dominios necesarios en una red.Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o sólo para una de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio. Para obtener más información acerca de cómo delegar la autoridad administrativa
Crear unidades organizativas de dominio en Windows Server 2003Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Puede crear unidades organizativas que reflejen la estructura funcional o empresarial de su organización. Cada dominio puede implementar su propia jerarquía de unidad organizativa. Si su organización contiene varios dominios, puede crear en cada uno estructuras de unidad organizativa que sean independientes de las estructuras de los otros dominios.Una unidad organizativa es la unidad o ámbito más pequeño al que puede asignar valores de Directiva de grupo o delegar autoridad administrativa. Con las unidades organizativas puede crear en un dominio contenedores que representan las estructuras jerárquicas y lógicas de su organización. Puede hacerlo para facilitar la administración de la configuración y el uso de cuentas y recursos basándose en su modelo organizativo. Las unidades organizativas pueden contener usuarios, grupos, equipos, impresoras y carpetas compartidas, así como un número ilimitado de otras unidades organizativas, pero no pueden contener objetos de otros dominios.
NOTA: debe iniciar sesión como miembro del grupo Administradores de dominio o Administradores de organización, o debe tener la autoridad necesaria para realizar los procedimientos en este artículo.
Crear una unidad organizativa1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y
equipos de Active Directory.2. Siga uno de estos procedimientos:
7
o En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el objeto de dominio o en la unidad organizativa en la que quiere crear las unidades organizativas, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.
o Haga clic en el botón Crear un nuevo departamento en el contenedor actual.o En el árbol de la consola, haga clic con el botón secundario del mouse en el objeto de dominio
o en la unidad organizativa en la que quiere crear las unidades organizativas, seleccione Nuevo en el menú Acción y, a continuación, haga clic en Unidad organizativa.
3. En el cuadro Nombre, escriba un nombre para la nueva unidad organizativa y, después, haga clic en Aceptar. La nueva unidad organizativa que creó aparece en el árbol de consola. Ahora puede agregar otros objetos a la unidad organizativa, como usuarios, equipos, grupos y otras unidades organizativas.
Modificar los atributos de una unidad organizativa1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y
equipos de Active Directory.2. Expanda el objeto del dominio.3. Haga clic con el botón secundario del mouse en la unidad organizativa cuyos atributos desea modificar
y, a continuación, haga clic en Propiedades.4. Haga clic en la ficha correspondiente a las propiedades de la unidad organizativa que desea modificar y,
después, especifique las opciones deseadas.
Ejemplo de creación de una UOLo primero que vamos a hacer para crear las Unidades Organizativas deseadas en nuestro centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble clic sobre "Usuarios y Equipos de Active Directory".
En la pantalla que se muestra a continuación, sobre el Dominio "micentro.edu", pulsamos con el botón derecho del ratón y seleccionamos la opción "Nuevo" y posteriormente "Unidad organizativa".
8
Indicamos el nombre de la nueva U.O. a crear, tecleando "Profesores" en la caja de texto destinada a tal efecto.
Procederemos de igual manera para crear la U.O. correspondiente a los alumnos; tras ello en la pantalla de los "Usuarios y equipos de Active Directory" observaremos como han sido creadas las U.O. "Profesores" y "Alumnos".
Para finalizar, debemos incluir a los profesores del centro ("javier", "joaquin" y "miguel") en el contenedor correspondiente a la U.O. "Profesores"; para ello accedemos a la carpeta "Users" y seleccionamos los 3 usuarios profesores que previamente habíamos creado; con el botón derecho del ratón pulsamos sobre la selección efectuada y elegimos la opción "Mover".
9
En la ventana que se muestra especificamos que deseamos mover dichos usuarios a la U.O. "Profesores", y pulsamos sobre el botón "Aceptar".
Procederemos de igual modo con los alumnos "Bachiller" y "ESO", pero ahora a estos los incluiremos en la U.O. "Alumnos"; tras ello observaremos como en las U.O. "Profesores" y "Alumnos", se encuentran ubicados los usuarios correspondientes que hemos movido anteriormente.
Es MUY IMPORTANTE, que bloqueemos la herencia de directivas para el controlador de dominio "SERVIDOR", pues sino se aplicarán al servidor todas las directivas propias del dominio. Si accedemos a la U.O. "Domain Controllers", veremos nuestro equipo "SERVIDOR"; como está incluido en una U.O. bajo el dominio "micentro.edu", las directivas anteriores y las que posteriormente asociaremos de distribución de software, se le aplicarán exactamente igual que a cualquier estación de trabajo; para evitarlo pulsaremos con el botón derecho del ratón sobre la U.O. "Domain Controllers" y seleccionaremos la opción "Propiedades", y
10
posteriormente nos ubicamos sobre la pestaña "Directiva de Grupo", en la cual activaremos la casilla "Bloquear la herencia de directivas"; finalmente pulsaremos sobre el botón "Aceptar"
De este modo evitaremos que por defecto las directivas del dominio sean aplicadas a nuestro servidor Windows 2000, pero sí se apliquen a todos los equipos clientes de nuestro dominio.Agregar una unidad organizativaEste procedimiento crea una unidad organizativa adicional en el dominio ya creado. Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay límite de niveles de anidación.Estos pasos se basan en la estructura de Active Directory de infraestructura común. Si no ha creado esa estructura, agregue las unidades organizativas y los usuarios directamente bajo el dominio deseado (ej.: Contoso.com); es decir, donde se hace referencia a una unidad organizativa (ej.: Cuentas en el procedimiento, sustituya Contoso.com.
Para agregar una unidad organizativa1. Haga clic en el signo + situado junto a Cuentas para expandirlo.2. Haga clic con el botón secundario del mouse en Cuentas.3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construcción como el nombre de la nueva
unidad organizativa y, a continuación, haga clic en Aceptar.
Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes:• Unidad organizativa Ingeniería bajo Cuentas.• Unidad organizativa Fabricación bajo Cuentas.• Unidad organizativa Consumidor bajo la unidad organizativa Fabricación. (Para ello, haga clic con el botón
secundario del mouse en Fabricación, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.)
• Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricación. Haga clic en Fabricación para que su contenido se muestre en el panel de la derecha.
Al terminar, debería tener la jerarquía que aparece a continuación en la Figura 3.
11
Figura 3. Nuevas unidades organizativas
Crear una cuenta de usuarioEl siguiente procedimiento crea la cuenta de usuario Juan García en la unidad organizativa Construcción.Para crear una cuenta de usuario1. Haga clic con el botón secundario del mouse en la unidad organizativa Construcción, seleccione Nuevo y, a
continuación, haga clic en Usuario o Usuario nuevo en la barra de herramientas del complemento.2. Escriba la información del usuario que se muestra en la Figura 4.
Figura 4. Cuadro de diálogo Usuario nuevo3. Haga clic en Siguiente para continuar.4. Escriba pass#word1 en los cuadros Contraseña y Confirmar contraseña y, después, haga clic en Siguiente.
Nota: a menudo, el papel que desempeñan las contraseñas en la protección de la red de una organización se subestima y no se tiene en cuenta. Las contraseñas proporcionan el primer mecanismo de defensa contra el acceso no autorizado a la organización. La familia Windows Server 2003 dispone de una nueva característica que requiere contraseñas complejas para todas las cuentas de usuario de nueva creación. Para obtener información sobre esta característica, consulte la guía detallada de configuración de directivas de contraseña.
5. Haga clic en Finalizar para aceptar la confirmación en el siguiente cuadro de diálogo.
Para agregar información adicional sobre este usuario1. Seleccione Contruccion en el panel de la izquierda, haga clic derecho en el Usuario en el panel de la
derecha y luego haga clic en Propiedades.2. Agregue más información sobre el usuario en el cuadro de diálogo Propiedades en la ficha General como se
muestra en la Figura 5 y, a continuación, haga clic en Aceptar. Haga clic en cada ficha disponible y revise la información opcional del usuario que se puede definir.
12
Figura 5. Información adicional del usuario
Mover una cuenta de usuarioLos usuarios se pueden mover de una unidad organizativa a otra del mismo dominio o de un dominio distinto. Por ejemplo, en este procedimiento, Juan García se mueve de la división Construcción a la división Ingeniería.
Para mover un usuario de una unidad organizativa a otra1. Haga clic en la cuenta de usuario Juan García en el panel de la derecha, haga clic con el botón secundario
del mouse en ella y, después, haga clic en Mover.2. En la pantalla Mover, haga clic en el signo + situado junto a Cuentas para expandirlo, como se muestra en la
Figura 6.
Figura 6. Lista de unidades organizativas disponibles
3. Haga clic en la unidad organizativa Ingeniería y luego en Aceptar.
Crear un grupoPara crear un grupo
13
1. Haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería, haga clic en Nuevo y después en Grupo.
2. En el cuadro de diálogo Nuevo objeto – Grupo, escriba Herramientas para el nombre.3. Revise el tipo y el ámbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla
siguiente. Mantenga la configuración predeterminada y, a continuación, haga clic en Aceptar para crear el grupo Herramientas.
• El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, como archivos e impresoras. Tanto los grupos de seguridad como los de distribución se pueden utilizar para confeccionar listas de distribución de correo electrónico.
• El Ámbito de grupo determina la visibilidad del grupo y qué tipo de objetos puede contener el grupo.
Ámbito Visibilidad
Puede contener
Dominio local Dominio Grupos Usuario, Dominio local, Global o UniversalGlobal Bosque Grupos Usuarios o GlobalUniversal Bosque Grupos Usuarios, Global o Universal
Para agregar un usuario a un grupo1. Haga clic en la unidad organizativa Ingeniería en el panel de la izquierda.2. Haga clic con el botón secundario del mouse en el grupo Herramientas en el panel de la derecha y, a
continuación, haga clic en Propiedades.3. Haga clic en la ficha Miembros y luego en Agregar.4. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba Juan y, a continuación,
haga clic en Aceptar.
Figura 7. Agregar Juan García al grupo de seguridad Herramientas
5. En la pantalla Propiedades de herramientas, compruebe que Juan García es un miembro del grupo de seguridad Herramientas y, después, haga clic en Aceptar.
Publicar una carpeta compartidaPara que los usuarios puedan encontrar más fácilmente las carpetas compartidas, puede publicar información sobre dichas carpetas en Active Directory. Cualquier carpeta compartida en la red, incluida una carpeta de Sistema de archivos distribuido (DFS), se puede publicar en Active Directory. Cuando se crea un objeto de carpeta compartida en el directorio, la carpeta no se comparte automáticamente. Éste es un proceso que consta de dos pasos: en primer lugar se debe compartir la carpeta y después publicarla en Active Directory.Para compartir una carpeta1. Utilice el Explorador de Windows para crear una nueva carpeta llamada Especificaciones de ingeniería en
uno de los volúmenes del disco.2. En el Explorador de Windows, haga clic con el botón secundario del mouse en la carpeta Especificaciones
de ingeniería y, a continuación, haga clic en Propiedades. Haga clic en Compartir y después en Compartir esta carpeta.
14
3. En la pantalla Propiedades de especificaciones de ingeniería, escriba ES en el cuadro Nombre del recurso y, a continuación, haga clic en Aceptar. Cierre el Explorador de Windows cuando termine.
Nota: de forma predeterminada, el grupo integrado Todos tiene permisos en esta carpeta compartida. Puede cambiar el permiso predeterminado haciendo clic en el botón Permisos.
Para publicar la carpeta compartida en el directorio1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en
la unidad organizativa Ingeniería, seleccione Nuevo y, a continuación, haga clic en Carpeta compartida.2. En la pantalla Nuevo objeto – Carpeta compartida, escriba Especificaciones de ingeniería en el
cuadro Nombre.3. En el cuadro Ruta de acceso de red, escriba \\hq-con-dc-01.contoso.com\ES y haga clic en Aceptar.4. Haga clic con el botón secundario del mouse en Especificaciones de ingeniería y, después, haga clic
en Propiedades.5. Haga clic en Palabras clave. Para Valor nuevo, escriba especificaciones y, a continuación, haga clic
en Agregar para continuar. Haga clic dos veces en Aceptar para finalizar.Los usuarios ahora pueden buscar en Active Directory por nombre de recurso compartido o palabra clave para localizar este recurso compartido.
Para buscar una carpeta compartida1. En el complemento de MMC Usuarios y equipos de Active Directory, haga clic con el botón secundario
del mouse en Contoso y, a continuación, haga clic en Buscar.2. En la lista desplegable Buscar, haga clic en Carpetas compartidas. Escriba especificaciones en el cuadro de
texto Palabras clave y, después, haga clic en Buscar ahora.3. En Resultados de la búsqueda, haga clic con el botón secundario del mouse en Especificaciones
de ingeniería y, a continuación, haga clic en Abrir.
Figura 8. Buscar carpetas compartidas en Active DirectoryNota: cuando se rellene la carpeta compartida ES, su contenido estará disponible a los usuarios finales mediante búsquedas en el directorio. Los usuarios pueden asignar también este recurso compartido como una unidad de red.
4. Cierre el cuadro de diálogo Buscar carpetas compartidas.
Publicar una impresoraPuede publicar también información sobre impresoras compartidas en Active Directory. La información de las impresoras compartidas de Windows NT debe publicarse manualmente. La información de las impresoras compartidas de la familia Windows Server 2003 o de la familia Windows 2000 Server se publica
15
automáticamente en el directorio cuando se crea una impresora compartida. Utilice Usuarios y equipo de Active Directory para publicar manualmente información sobre impresoras compartidas.El subsistema de impresión propaga de forma automática al directorio los cambios realizados en los atributos de la impresora (ubicación, descripción, carga de papel. etc.).Nota: en esta sección se describen los pasos para configurar y publicar una impresora que imprime directamente en un archivo. Si desea utilizar una impresora basada en IP, LPT o USB, debe modificar los pasos de estos procedimientos.
Para agregar una nueva impresora1. Haga clic en el botón Inicio, en Impresoras y faxes y, después, haga doble clic en Agregar impresora.
Aparece el Asistente para agregar impresoras. Haga clic en Siguiente.2. Haga clic en Impresora local conectada a este equipo, desactive la casilla de verificación Detectar e instalar
mi impresora Plug and Play automáticamente y, a continuación, haga clic en Siguiente.3. En la lista desplegable Usar el puerto siguiente, haga clic en la opción ARCHIVO: (Imprimir a archivo) y
después en Siguiente.4. En el panel de resultados Fabricante, haga clic en Genérico. En el panel de resultados Impresoras, haga clic
en Genérico / sólo texto. Haga clic en Siguiente para continuar.5. En la página Dar un nombre a su impresora, cambie el nombre de la impresora por Imprimir a archivo y,
después, haga clic en Siguiente.6. En la página Compartir impresora, cambie el Nombre del recurso por ImpresoraArchivo y, a continuación,
haga clic en Siguiente.7. Para Ubicación en la página Ubicación y comentario, escriba Oficinas centrales – Edificio 4 – Oficina 2200.
Haga clic en Siguiente para continuar.8. Haga clic en Siguiente para imprimir una página de prueba y, después, haga clic en Finalizar para completar
la instalación.9. Cuando se le indique, escriba Impresión de prueba como nombre del archivo para la página de prueba de la
impresora. Cuando termine, haga clic en Aceptar.La impresora se publica automáticamente en Active Directory.
Para buscar una impresora en Active Directory1. En la pantalla Impresoras y faxes, haga doble clic en el icono Agregar impresora.2. Aparece el cuadro de diálogo Asistente para agregar impresoras. Haga clic en Siguiente para continuar.3. Haga clic en Una impresora de red y luego en Siguiente.4. Haga clic en Buscar una impresora en el directorio (opción predeterminada) y, después, haga clic
en Siguiente.5. Aparece el cuadro de diálogo Buscar impresoras. Haga clic en Buscar ahora para buscar todas las impresoras
publicadas en Active Directory. Si define opciones de búsqueda adicionales, puede limitar los resultados a las características disponibles o a la ubicación de la impresora.
Seguimiento de la ubicación de impresoras: utilice el seguimiento de la ubicación de impresoras para simplificar la búsqueda de impresoras. Cuando el seguimiento de la ubicación de impresoras está habilitado y el usuario hace clic en Buscar ahora, Active Directory muestra todas las impresoras que coinciden con la consulta del usuario que se encuentran en la ubicación del usuario. Los usuarios pueden cambiar el campo de ubicación haciendo clic en Examinar para buscar impresoras en otras ubicaciones. Para obtener más información sobre cómo configurar el seguimiento de la ubicación de impresoras, consulte el Centro de ayuda y soporte técnico de Windows Server 2003.
6. En Resultados de la búsqueda en la página Buscar Impresoras, haga doble clic en Imprimir a un archivo para instalar la impresora. Haga clic en Sí para definir esta impresora como la impresora predeterminada del sistema y, después, haga clic en Siguiente.
16
Figura 9. Buscar impresoras compartidas en Active Directory7. Haga clic en Finalizar para completar la instalación de la impresora.8. Cierre la ventana Impresoras y faxes.
Puede publicar impresoras compartidas por sistemas operativos distintos de Windows Server 2003, Windows 2000 o Windows XP en Active Directory. La manera más sencilla de hacerlo es utilizar la secuencia de comandos pubprn.vbs , aunque también se puede usar el complemento Usuarios y equipos de Active Directory. Esta secuencia de comandos publicará todas las impresoras compartidas en un servidor dado. Se encuentra en el directorio \winnt\system32.
Publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbsPara publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs1. Haga clic en el botón Inicio y luego en Ejecutar. Escriba cmd en el cuadro de texto y, después, haga clic
en Aceptar.2. Escriba cd \ windows\ system32 y presione ENTRAR.3. Escriba cscript pubprn.vbs prserv1 "LDAP://ou=cuentas,dc=contoso,dc=com" y, después,
presione ENTRAR.
Nota: este ejemplo publica todas las impresoras del servidor Prserv1 en la unidad organizativa Cuentas. La secuencia de comandos sólo copia el subconjunto siguiente de atributos de impresora, que incluyen la ubicación, el modelo, el comentario y la ruta de acceso UNC. Esta secuencia de comandos no funciona en Windows Server 2003; se proporciona como una herramienta manual para publicar impresoras en Active Directory únicamente desde servidores de impresión de bajo nivel.4. Cierre la ventana.
Publicar una impresora manualmente mediante el complemento Usuarios y equipos de Active Directory
1. Haga clic con el botón secundario del mouse en la unidad organizativa Mercadotecnia, haga clic en Nuevo y después en Impresora.
2. Aparece el cuadro de diálogo Nuevo objeto - Impresora. En el cuadro de texto, escriba la ruta de acceso de la impresora, como \\servidor\recurso compartido y, a continuación, haga clic en Siguiente.
Los usuarios finales podrán realizar operaciones perfectamente integradas desde las impresoras que se publican en el directorio, ya que pueden buscar impresoras, enviar trabajos a esas impresoras e instalar los controladores de impresora directamente desde el servidor.
Crear un objeto de equipoUn objeto de equipo se crea de forma automática cuando un equipo se une a un dominio. Si no desea otorgar a todos los usuarios la capacidad de agregar equipos al dominio, puede crear objetos de equipo antes de que el equipo se una a un dominio de forma manual o mediante secuencias de comandos.
17
Para agregar manualmente un equipo al dominio1. Haga clic con el botón secundario del mouse en la unidad organizativa Ingeniería, seleccione Nuevo y,
después, haga clic en Equipo.2. Para el nombre del equipo, escriba Heredado y, a continuación, haga clic en Siguiente.3. Si el equipo es un sistema administrado, puede especificar el GUID del sistema. En este ejemplo, deje
el GUID del sistema en blanco, haga clic en Siguiente y después enFinalizar.4. Para administrar este equipo desde el complemento Usuarios y equipos de Active Directory, haga clic con
el botón secundario del mouse en el objeto de equipo y, a continuación, haga clic en Administrar.De forma opcional, es posible seleccionar a qué usuarios se les permite unir un equipo al dominio. Esto permite que el administrador cree la cuenta de equipo y que otra persona con menos permisos instale el equipo y lo una al dominio.
Cambiar el nombre, mover y eliminar objetosSe puede cambiar el nombre y eliminar todos los objetos del directorio, y se puede mover la mayor parte de los objetos a contenedores distintos. En el siguiente procedimiento se amplía el ejemplo para crear un objeto de equipo.
Para mover el objeto de equipo Heredado a un contenedor diferente1. En la unidad organizativa Cuentas, haga clic en la unidad organizativa Ingeniería.2. Haga clic con el botón secundario del mouse en el objeto de equipo Heredado y, después, haga clic
en Mover.3. Expanda la unidad organizativa Recursos y, a continuación, haga clic para resaltar Servidores como se
muestra en la Figura 10.
Figura 10. Mover un objeto de equipo4. Haga clic en Aceptar para mover el equipo a la unidad organizativa Servidor dentro de la unidad
organizativa Recursos.
Administrar objetos de equipoLos objetos de equipo de Active Directory se pueden administrar directamente desde el complemento Usuarios y equipos de Active Directory. Administración de equipos es un componente que sirve para ver y controlar numerosos aspectos de la configuración del equipo. Administración de equipos combina varias utilidades de administración en un único árbol de consola, lo que proporciona un fácil acceso a las propiedades administrativas y herramientas de los equipos locales o remotos.Nota: en el siguiente ejemplo se asume que trabaja desde la consola HQ-CON-DC-01 y que HQ-CON-DC-02 se está ejecutando.
Administrar un equipo remotoPara administrar un equipo remoto
1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en contoso.com y, después, haga clic en Conectar con el dominio.
18
2. Haga clic en Examinar y luego en el signo + situado junto a contoso.com. Haga doble clic en vancouver.contoso.com y, a continuación, haga clic en Aceptar.
3. Expanda vancouver.contoso.com haciendo clic en el signo + y, después, haga clic en Controladores de dominio.
4. Haga clic con el botón secundario del mouse en HQ-CON-DC-02 y, después, haga clic en Administrar. El sistema se puede administrar ahora de forma remota, como se ilustra en la Figura 11.
Figura 11. Administrar un equipo de forma remota
5. Cierre la ventana Administración de equipos.
Grupos anidadosLos grupos anidados permiten proporcionar acceso a los recursos a toda la empresa o a todo el departamento con un mantenimiento mínimo. Colocar cada grupo de cuentas de equipo en un único grupo de recursos de toda la empresa no es una solución eficaz, ya que para ello es necesario crear y mantener un gran número de vínculos de pertenencia. Para utilizar grupos anidados, los administradores crean una serie de grupos de cuentas que representan las divisiones administrativas de la empresa.
Para crear un grupo anidado1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario
del mouse en vancouver.contoso.com y, después, haga clic en Conectar con el dominio.2. Haga clic en Examinar y luego en contoso.com. Haga clic dos veces en Aceptar para finalizar.3. Expanda contoso.com y, después, expanda la unidad organizativa Cuentas.4. Cree un nuevo grupo haciendo clic con el botón secundario del mouse en Ingeniería,
seleccionando Nuevo y haciendo clic en Grupo. Escriba Toda la ingeniería y, a continuación, haga clic en Aceptar.
5. Haga clic con el botón secundario del mouse en el grupo Toda la ingeniería y, después, haga clic en Propiedades.
6. Haga clic en la ficha Miembros y luego en Agregar.7. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Herramientas y, a continuación,
haga clic en Aceptar.8. Haga clic de nuevo en Aceptar. Se crea un grupo anidado.
Buscar objetos específicosEn una implementación de directorios de gran tamaño sería absurdo examinar una gran lista de objetos en busca de un único objeto. Suele ser más eficaz buscar objetos específicos que satisfagan determinados criterios. En el ejemplo siguiente, buscará todos los usuarios con un nombre de inicio de sesión que empiece por “J” en el dominio Contoso.Para buscar usuarios con un nombre de inicio de sesión que empiece por J1. Haga clic para seleccionar contoso.com. Haga clic con el botón secundario del mouse en contoso.com y,
después, haga clic en Buscar.
19
2. Haga clic en la ficha Opciones avanzadas. En la lista desplegable Campo, seleccione Usuario y, a continuación, haga clic en Nombre de inicio de sesión.
3. Escriba J para Valor y, después, haga clic en Agregar. Haga clic en Buscar ahora. Los resultados deben ser similares a los que se muestran en la Figura 12.
Figura 12. Uso de técnicas avanzadas de búsqueda en directorios4. Cierre la ventana Buscar usuarios, contactos y grupos.Filtrar una lista de objetosFiltrar la lista de objetos devueltos desde el directorio le permite administrar el directorio de forma más eficaz. La opción de filtrado permite restringir los tipos de objetos devueltos al complemento. Por ejemplo, puede elegir ver sólo usuarios y grupos, o es posible que desee crear un filtro más complejo. Si una unidad organizativa tiene más de un número especificado de objetos, la función de filtro permite restringir el número de objetos que se muestran en el panel de resultados. Se puede utilizar la función Filtrar para configurar esta opción.Para crear un filtro diseñado de forma que sólo se muestren los usuarios1. En el complemento Usuarios y equipos de Active Directory, haga clic en Ingeniería bajo la unidad
organizativa Cuentas.2. Haga clic en el menú Ver y luego en Opciones de filtro.3. Haga clic en el botón de opción Mostrar sólo los siguientes tipos de objetos, seleccione Usuarios y,
después, haga clic en Aceptar.4. Expanda Cuentas y, a continuación, haga clic en Ingeniería para comprobar los resultados del filtro.5. Quite el filtro. Introducción a Directiva de grupoLa configuración de Directiva de grupo define los distintos componentes del entorno de escritorio del usuario que tiene que un administrador del sistema necesita gestionar; por ejemplo, los programas que están disponibles para los usuarios, los programas que aparecen en el escritorio del usuario y las opciones del menú Inicio. Para crear una configuración de escritorio específica para un determinado grupo de usuarios, utilice el Editor de objetos de directiva de grupo. La configuración de Directiva de grupo que especifique se incluye en un objeto de directiva de grupo, que a su vez está asociado con objetos de Active Directory seleccionados (sitios, dominios o unidades organizativas).
La Directiva de grupo no se aplica sólo a los usuarios y a los equipos clientes, también se aplica a los servidores miembros, los controladores de dominio y otros equipos con Microsoft Windows 2000 que estén en el ámbito de administración. De modo predeterminado, la Directiva de grupo que se aplica a un dominio (es decir, que se aplica en el nivel de dominio, directamente sobre la raíz de Usuarios y equipos de Active Directory) afecta a todos los equipos y usuarios del dominio. Usuarios y equipos de Active Directory también proporciona una unidad organizativa Controladores de dominio integrada. Si guarda ahí sus cuentas de controlador de dominio,
20
puede utilizar el objeto de directiva de grupo Directiva predeterminada de controladores de dominio para administrar los controladores de dominio independientemente de otros equipos.
La Directiva de grupo incluye parámetros de directiva para Configuración de usuario, que afecta a los usuarios y para Configuración de equipo, que afecta a los equipos. Para obtener más información, consulte Configuración de usuario y Configuración del equipo.
Con Directiva de grupo puede hacer lo siguiente: Administrar la directiva basada en el Registro con las plantillas administrativas. La Directiva de grupo crea
un archivo con valores del Registro que se escriben en la parte Usuario o Equipo local de la base de datos del Registro. La configuración de perfil de usuario, que es específica de un usuario que inicia una sesión en una estación de trabajo o un servidor dados, se escribe en el Registro bajo HKEY_CURRENT_USER (HKCU) y la configuración específica de equipo se escribe bajo HKEY_LOCAL_MACHINE (HKLM). Para conocer los procedimientos, consulte Utilizar las plantillas administrativas. Para obtener detalles técnicos, vea la página sobre implementación de directivas basadas en el Registro en el sitio Web de Microsoft.
Asignar secuencias de comandos. Se incluyen secuencias de comandos tales como inicio, cierre, inicio de sesión y cierre de sesión del equipo. Para obtener más información, vea Utilizar secuencias de comandos para inicio, apagado, inicio de sesión y cierre de sesión.
Redirigir carpetas. Puede redirigir carpetas, como Mis documentos y Mis imágenes, desde la carpeta Documentos y Configuración del equipo local a ubicaciones de red. Para obtener más información acerca de Redirección de carpetas, vea Utilizar Redireccionamiento de carpetas.
Administrar aplicaciones. Con la Directiva de grupo puede asignar, publicar, actualizar o reparar aplicaciones mediante Instalación de software de Directiva de grupo. Para obtener más información, vea Utilizar Instalación de software de Directiva de grupo.
Especificar las opciones de seguridad. Para aprender cómo configurar las opciones de seguridad, consulte Configuración de seguridad.
Objetos de directiva de grupo que existen de manera predeterminadaTodos los equipos que ejecutan los sistemas operativos Windows 2000, Microsoft Windows XP Professional o Windows Server 2003 tienen almacenado localmente un objeto de directiva de grupo. Este objeto de directiva de grupo local contiene un subconjunto de los valores disponibles en objetos de directiva de grupo no locales. Para obtener más información, consulte Directiva de grupo local.
De manera predeterminada, al configurar Active Directory se crean dos objetos de directiva de grupo no locales: Directiva de dominio predeterminada está vinculada al dominio y afecta a todos los usuarios y equipos del
mismo (incluidos los equipos que son controladores de dominio) a través de la herencia de directivas. Para obtener más información, consulte Herencia de directivas.
Directiva predeterminada de controladores de dominio está vinculada a la unidad organizativa Controladores de dominio y generalmente sólo afecta a los controladores de dominio, ya que las cuentas de equipo de los mismos se almacenan exclusivamente en la unidad organizativa Controladores de dominio.
Precaución Si mueve un controlador de dominio fuera de la unidad organizativa Controladores de dominio, deja de aplicarse la
directiva predeterminada de Controladores de dominio. Si debe mantener un controlador de dominio en una unidad organizativa diferente, vincule la directiva predeterminada de Controladores de dominio a esa unidad organizativa.
Directiva de usuario y de equipoLa configuración de la directiva de usuario está ubicada en Configuración de usuario en la Directiva de grupo y se obtiene cuando el usuario inicia una sesión. La configuración de la directiva de equipo está ubicada en
21
Configuración de equipo y se obtiene al iniciar el equipo. Para obtener más información, consulte Configuración de usuario y Configuración del equipo.Los usuarios y los equipos son los únicos tipos de objetos de Active Directory que reciben directivas. Específicamente, la directiva no se aplica a los grupos de seguridad. En su lugar, por motivos de rendimiento, se utilizan grupos de seguridad para filtrar la directiva mediante una entrada de control de acceso (ACE) de Aplicar directiva de grupos, que se puede establecer en Permitir o Denegar, o dejar sin configurar. Para obtener más información, consulte Filtrar el ámbito de la Directiva de grupo según la pertenencia a los grupos de seguridad.
Orden de aplicaciónLas directivas se aplican en el orden siguiente:1. El objeto de directiva de grupo local único.2. Objetos de directiva de grupo del sitio, en el orden especificado por el administrador.3. Objetos de directiva de grupo del dominio, en el orden especificado por el administrador.4. Objetos de directiva de grupo de la unidad organizativa, de unidad organizativa mayor a menor (de principal
a secundaria), en el orden especificado por el administrador en el nivel de cada unidad organizativa.
De forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas con anterioridad cuando son incoherentes. Sin embargo, si no hay incoherencias en las directivas, tanto las anteriores como las posteriores contribuyen a la eficacia de las directivas. Para obtener más información, consulte Prioridad de la directiva de grupo.
Filtrar la directiva en función de la pertenencia a grupos de seguridadUna entrada ACE para un grupo de seguridad en un objeto de directiva de grupo puede establecerse como No configurada (no hay preferencia), Permitida o Denegada. Denegada tiene prioridad sobre Permitida. Para obtener más información, consulte Filtrar el ámbito de la Directiva de grupo según la pertenencia a los grupos de seguridad.
Bloquear la herencia de directivasLas directivas que normalmente se heredarían de sitios, dominios o unidades organizativas superiores se pueden bloquear en el nivel de sitio, dominio o unidad organizativa. Para obtener más información, consulte Bloquear la herencia de directivas.
Aplicar la directiva desde arribaPuede configurar directivas que de otro modo serían sobrescritas por directivas de unidades organizativas secundarias como No omitir en el nivel de objeto de directiva de grupo. Para obtener más información, consulte Evitar la suplantación de un objeto de directiva de grupo.Notas Las directivas que se han configurado como No omitir no se pueden bloquear. Las opciones No omitir y Bloquear deben utilizarse con moderación. El uso incontrolado de estas características
avanzadas complica la solución de problemas. Para ver sugerencias acerca del uso de Directiva de grupo, vea Solucionar problemas de la Directiva de grupo y Prácticas recomendadas para Directiva de grupo (anterior a GPMC).
Administración de directivas de grupoEl complemento Consola de administración de directivas de grupo proporciona una interfaz de usuario única para administrar directivas de grupo en una empresa. Consola de administración de directivas de grupo contiene un complemento de Microsoft Management Console (MMC) y un conjunto de interfaces de secuencias de comandos para administrar directivas de grupo. Antes de utilizar Consola de administración de directivas de grupo, vea Lista de comprobación: utilizar la
Consola de administración de directivas de grupo.
22
Para buscar formas de realizar realizar tareas habituales con Consola de administración de directivas de grupo, vea Formas nuevas de realizar tareas habituales mediante GPMC.
Utilizar la Directiva de grupoFormas de abrir el Editor de objetos de directiva de grupoPuede abrir el Editor de objetos de directiva de grupo de varias maneras, dependiendo de la acción que desee llevar a cabo y del objeto al que desee aplicar la Directiva de grupo.
Directiva de grupo aplicada a Haga esto
Equipo local En el Editor de objetos de directiva de grupo, modifique el objeto de directiva de grupo local, tal como se describe en Editar un objeto de directiva de grupo local.
Otro equipo Abra el objeto de directiva de grupo local que está almacenado en el equipo de red, tal como se describe en Abrir la Directiva de grupo como un complemento MMC y, a continuación, busque el equipo de red. Debe tener derechos administrativos en el equipo de red.
Sitio Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva de grupo desde Sitios y servicios de Active Directory y, a continuación, vincule un objeto de directiva de grupo al sitio deseado.
Dominio Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva de grupo desde Usuarios y equipos de Active Directory y, a continuación, vincule un objeto de directiva de grupo al dominio deseado.
Unidades organizativas Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva de grupo desde Usuarios y equipos de Active Directory y, a continuación, vincule un objeto de directiva de grupo a la unidad organizativa deseada. También puede vincular un objeto de directiva de grupo a una unidad organizativa que se encuentre en un nivel superior de la jerarquía de Active Directory. De esta forma, la unidad organizativa podrá heredar la configuración de la Directiva de grupo.
Objeto de directiva de grupo o conjunto de objetos de directiva de grupo existentes
Puede crear y guardar su propia consola Microsoft Management Console (MMC) personalizada. Para obtener más información, vea Microsoft Management Console.
También puede abrir el Editor de objetos de directiva de grupo si hace clic en Inicio, en Ejecutar y, a continuación, escribe un comando. O bien, puede abrir el Editor de objetos de directiva de grupo en el símbolo del sistema en una ventana de MS-DOS. La siguiente tabla contiene algunos ejemplos de cómo puede abrir el Editor de objetos de directiva de grupo desde la línea de comandos en diferentes situaciones.
Para modificar En la línea de comandos, utilice esta sintaxis de línea de comandos
El objeto nombreDeEsteEquipo gpedit.msc /gpcomputer:"nombreDeEsteEquipo"
El objeto nombreDeEsteEquipo (especificado en el estilo DNS) gpedit.msc /gpcomputer:"nombreDeEsteEquipo.dominio.com"
Objetos de directiva de grupo almacenadas en Active Directory
gpedit.msc/gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=WingTipToys,DC=com"Nota: El GUID del objeto de directiva de grupo descrito anteriormente es un ejemplo ficticio.
Directiva de grupo local
23
Cada equipo que ejecuta Windows 2000, Windows XP Professional, Windows XP 64-bit Edition (Itanium) o un sistema operativo Windows Server 2003 tiene exactamente un objeto de directiva de grupo local. En estos objetos, la configuración de la Directiva de grupo se almacena en equipos individuales tanto si forman parte de un entorno de Active Directory o de un entorno de red como si no.
Los objetos de directiva de grupo local contienen menos opciones de configuración que los objetos de directiva de grupo no local, especialmente en Configuración de seguridad. Los objetos de directiva de grupo local no admiten Re-direccionamiento de carpetas ni Instalación de software de Directiva de grupo.Debido a que los objetos de directiva de grupo asociados a sitios, dominios y unidades organizativas pueden sobrescribir la configuración del objeto de directiva de grupo local, éste es el menos influyente en un entorno de Active Directory. En un entorno que no sea de red (o en un entorno de red que no disponga de un controlador de dominio), la configuración del objeto de directiva de grupo local es más importante, ya que otros objetos de directiva de grupo no pueden sobrescribirla.
Para modificar el objeto de directiva de grupo local almacenado en el equipo local, utilice el complemento Editor de objetos de directiva de grupo.Si desea editar el objeto de directiva de grupo local almacenado en otro equipo de la red, abra la Directiva de grupo como un complemento de Microsoft Management Console (MMC) independiente y busque el objeto de directiva de grupo que desee.
El objeto de directiva de grupo local reside en raízDelSistema\System32\GroupPolicy.Los equipos con Windows NT 4.0 o versiones anteriores no tienen un objeto de directiva de grupo local y no reconocen la Directiva de grupo no local. Para obtener más información, vea Problemas de migración.
Permisos de directiva de grupoPermisos predeterminadosEn la siguiente tabla se describen los permisos predeterminados de los objetos de directiva de grupo.
Grupo de seguridad Configuración predeterminadaUsuarios autenticados Leer, Aplicar Directiva de grupo (AGP)Sistema local Control total (incluye AGP)Administradores de dominio Leer, Escribir, Crear secundario, Eliminar secundario, AGPAdministradores Leer, Escribir, Crear secundario, AGPPropietarios del creador de directiva de grupo Lectura, Escritura, AGP
De forma predeterminada, ningún administrador puede eliminar el objeto de directiva de grupo Directiva de dominio predeterminada. El propósito de esta restricción es evitar que se elimine accidentalmente este objeto de directiva de grupo, el cual contiene valores de configuración importantes que el dominio requiere. Si por algún motivo debe eliminarse la Directiva de dominio predeterminada, debe concederse explícitamente el permiso Eliminar al grupo correspondiente. Se trata de una entrada de control de acceso (ACE, Access Control Entry) avanzada del objeto de directiva de grupo.
Directiva para Microsoft Management ConsoleUno de los archivos de Plantillas administrativas, System.adm, contiene varios valores de Directiva de grupo que rigen el uso de Microsoft Management Console (MMC). Puede delegar derechos administrativos guardando las consolas configuradas anteriormente. Para obtener más información, vea Delegar el control de la directiva de grupo. Puede buscar los valores de configuración de directiva MMC en el Editor de objetos de directiva de grupo. A continuación, puede hacer doble clic en cada uno de los elementos para los que desea establecer una configuración administrativa de Directiva de grupo que rija el uso de los mismos en MMC.
24
Si desea delegar tareas relacionadas con la directiva a otras personas, incluidos usuarios que no sean administradores:Delegar el control de la directiva de grupo Delegar la modificación de objetos Directiva de grupo
Para delegar la modificación de objetos Directiva de grupo1. Abra el Editor de objetos de directiva de grupo.2. En el árbol de la consola, haga clic con el botón secundario del <i>mouse</i> (ratón) en el icono o en
el nombre del objeto de directiva de grupo y, a continuación, haga clic en Propiedades. 3. Realice una de las siguientes acciones:
Para agregar un usuario o un grupo de usuarios, haga clic en la ficha Seguridad y, después, en Agregar. Escriba el nombre del usuario o grupo de usuarios y, a continuación, haga clic en Aceptar.
Para conceder permisos de modificación de objetos de directiva de grupo a un grupo o usuario, en Permisos para usuarios autenticados, active las casillas de verificación correspondientes a los permisos que desea conceder. Al finalizar, haga clic en Aceptar.
Si no desea aplicar la directiva a un usuario o a un grupo de usuarios, en Permisos de usuarios autenticados, desactive la casilla de verificación Permitir de Aplicar Directiva de grupos. Al finalizar, haga clic en Aceptar.
Notas Para realizar este procedimiento, deberá iniciar la sesión como miembro del grupo Administradores de
dominio o del grupo Administradores de empresa. Para abrir el Editor de objetos de directiva de grupo, vea Temas relacionados.
Información acerca de diferencias funcionales Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo
instalado, de los permisos de la cuenta y de la configuración de los menús.
Delegar la creación de objetos Directiva de grupoPara delegar la creación de objetos Directiva de grupo
1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios.3. En la columna Nombre del panel de detalles, haga doble clic en Propietarios del creador de directivas
de grupo.4. En el cuadro de diálogo Propiedades de propietarios del creador de directivas de grupo, haga clic en
la fichaMiembros.5. Haga clic Agregar, escriba el nombre del usuario o grupo y, a continuación, haga clic en Aceptar.
Notas Para realizar este procedimiento, deberá iniciar la sesión como miembro del grupo Administradores de
dominio o del grupo Administradores de empresa. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic
enHerramientas administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active Directory.
De manera predeterminada, sólo los administradores del dominio, los administradores de empresa, los propietarios del creador de directivas de grupo y el sistema operativo pueden crear nuevos objetos de Directiva de grupo. Si el administrador del dominio desea que un grupo o un usuario que no sea administrador pueda crear objetos de Directiva de grupo, los puede agregar al grupo de seguridad Propietarios del creador de directivas de grupo. Cuando un usuario que no es administrador pero que forma parte del grupo Propietarios del creador de directivas de grupo crea un objeto de directiva de grupo, dicho usuario se convierte en el creador y propietario del objeto, por lo que puede modificarlo. Ser miembro del grupo Propietarios del creador de directivas de grupo otorga al usuario control total únicamente sobre los objetos de directiva de grupo que haya creado o los que se le delegan explícitamente. No ofrece al usuario que no es administrador ningún derecho adicional sobre otros objetos
25
de directiva de grupo para el dominio; no se concede a estos usuarios derechos sobre los objetos de directiva de grupo que no crearon.
Cuando un administrador crea un objeto de directiva de grupo, el grupo Administradores del dominio se convierte en el Creador propietario del objeto.
Si delega esta tarea en usuarios que no son administradores, debe considerar la posibilidad de delegar también la capacidad para administrar los vínculos de una unidad organizativa específica. Esto se debe a que, de modo predeterminado, los usuarios que no son administradores no pueden administrar vínculos, lo que les impide utilizar Usuarios y equipos de Active Directory para crear un objeto de directiva de grupo.Información acerca de diferencias funcionales
Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo instalado, de los permisos de la cuenta y de la configuración de los menús.
Delegar la vinculación de objetos Directiva de grupoPara delegar la vinculación de objetos Directiva de grupo1. Abra Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario del mouse (ratón) en la unidad organizativa en la que desea
delegar el derecho de vincular objetos directiva de grupo y, a continuación, haga clic en Delegar control.
3. En el Asistente para delegación de control, haga clic en Siguiente y, a continuación, haga clic en Agregar.
4. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, escriba el nombre del objeto que desea seleccionar y, a continuación, haga clic en Aceptar y en Siguiente.
5. En Delegar las siguientes tareas comunes de la página de tareas para delegar, active la casilla de verificaciónAdministrar vínculos de directiva de grupo y, a continuación, haga clic en Siguiente.
6. Haga clic en Finalizar.Notas Para realizar este procedimiento, deberá iniciar la sesión como miembro del grupo Administradores de
dominio o del grupo Administradores de empresa. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic
enHerramientas administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active Directory.
Para abrir el Editor de objetos de directiva de grupo, vea Temas relacionados.Información acerca de diferencias funcionales Es posible que el servidor funcione de forma distinta según la versión y la edición del sistema operativo
instalado, de los permisos de la cuenta y de la configuración de los menús.
Directiva de grupo e infraestructura de redCaracterísticas de Directiva de grupo que se pueden utilizar entre distintos bosques
La familia Windows Server 2003 presenta un conjunto eficaz de características nuevas que permiten autenticar y autorizar el acceso a recursos de bosques independientes en red. Si hay relaciones de confianza completa entre los bosques, puede administrar Directiva de grupo en la totalidad de Active Directory, independientemente del bosque; esto proporciona mayor flexibilidad, especialmente a las grandes organizaciones.A continuación se presenta una lista de características de Directiva de grupo compatibles entre bosques: Inicio de sesión interactivo
En la siguiente tabla se enumeran las tareas de inicio de sesión compatibles entre bosques.
Tarea¿Es compatible a través del dominio?
¿Es compatible entre dominios del mismo bosque?
¿Es compatible con el inicio de sesión interactivo entre bosques?
Aplicar directiva a un objeto de usuario Sí Sí Sí
Aplicar directiva a un objeto de equipo
Sí Sí Sí
26
Compatibilidad con el procesamiento de bucle invertido de Directiva de grupo
Sí Sí Sí
Para el inicio de sesión interactivo entre bosques con procesamiento de bucle invertido, se aplican los objetos de Directiva de grupo con bucle invertido, habilitados para combinar y reemplazar, entre bosques en el mismo modelo de inicio de sesión, como se especificó para el inicio de sesión interactivo. Inicio de sesión en la red
Las siguientes extensiones de Directiva de grupo son compatibles para el inicio de sesión en la red entre bosques:
Puntos de distribución de software que se encuentran en otro bosque Secuencias de comandos de inicio de sesión en un directorio de red compartido de otro
bosque. Perfiles de usuario móvil almacenados en un directorio de red compartido en otro bosque. Carpetas redirigidas que estén almacenadas en un recurso compartido de archivos en otro
bosque. Delegación
Es compatible la delegación entre bosques para administrar vínculos de Directiva de grupo. No son compatibles otras tareas como crear, eliminar o modificar objetos de Directiva de grupo entre bosques.
Directiva de grupo en redes multiplataformaMuchas redes incluyen equipos con diferentes sistemas operativos y versiones. Para permitir que los administradores tengan el mayor control posible, se puede aplicar Directiva de grupo y sus extensiones a equipos que ejecuten Windows 2000 Professional, Windows 2000 Server, Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003.
En los equipos cliente que ejecutan Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003, que funcionan en redes con Active Directory de Windows 2000, se aplican las siguientes características y limitaciones:
Optimización del inicio de sesión rápido. La familia Windows Server 2003 proporciona una característica de optimización del inicio de sesión rápido. Produce la aplicación asincrónica de la directiva cuando el equipo se inicia y cuando el usuario inicia la sesión. Esta característica se puede usar en equipos cliente que ejecutan Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003, que funcionan en cualquier entorno. Esta característica no está disponible para clientes Windows 2000.
Plantillas administrativas. La familia Windows Server 2003 admite todas las opciones de configuración de directivas del Registro disponibles en Windows 2000. Además, dispone de 212 opciones nuevas de configuración del Registro. Esas nuevas opciones de configuración del Registro sólo se aplican a equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Las opciones de configuración se omiten si se especifican para clientes Windows 2000. Puede implementar los nuevos archivos .adm proporcionados con Windows XP Professional o los sistemas operativos Windows Server 2003 desde Active Directory de Windows 2000.
Redireccionamiento de carpetas. La familia Windows Server 2003 contiene una nueva característica Redireccionamiento de carpetas con una interfaz de usuario simplificada. Puede configurar el redireccionamiento de carpetas para los equipos cliente que ejecuten Windows 2000, Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. En equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas
27
operativos Windows Server 2003, puede redirigir las carpetas a un directorio principal (HomeDir) o redirigir una carpeta de nuevo a un perfil local. Esas opciones no se pueden aplicar a clientes Windows 2000.
Perfiles móviles de usuario. Esta característica contiene nuevas opciones de configuración de directivas del Registro para impedir que se propaguen al servidor los cambios de los perfiles móviles de usuario, permitir únicamente perfiles de usuario local y agregar el grupo de seguridad Administradores a los perfiles móviles de usuario. Esas características sólo pueden aplicarse a equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Los usuarios pueden moverse entre equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003, o clientes Windows 2000, aunque sólo se utilizarán las directivas que se puedan aplicar a cada plataforma.
Seguridad. Con una directiva de restricción de software, puede identificar software en equipos cliente e impedir que se ejecute. El software puede identificarse por nombre de archivo, ruta de acceso, dirección URL y Hash MD5. Esta directiva debe configurarse en un objeto de directiva de grupo desde el complemento de configuración de seguridad de un equipo cliente que ejecuta Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Esta característica no es compatible con clientes Windows 2000.
Instalación del software de directiva de grupos. La familia de Windows Server 2003 contiene numerosas mejoras en la interfaz de usuario de la instalación de software de Directiva de grupo. Además, esta versión de Windows también admite la implementación de aplicaciones MSI de 32 bits en equipos cliente que ejecutan Windows XP 64-bit Edition (Itanium), versiones de 64 bits de Windows Server 2003, Enterprise Edition y versiones de 64 bits de Windows Server 2003, Datacenter Edition. No puede instalar aplicaciones de 64 bits en clientes de 32 bits. Aunque la Directiva de grupo proporciona una solución sólida para la instalación y distribución de software, la mejor solución para el diseño, distribución y administración de software de empresa es Microsoft Systems Management Server.
Filtrado WMI. Con filtros WMI, puede especificar una consulta basada en WMI para filtrar la aplicación de un objeto de directiva de grupo. Los filtros WMI se escriben en el lenguaje de consulta de WMI (WQL). Los filtros WMI sólo se aplican a equipos cliente que ejecutan Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Los filtros WMI asociados a un objeto de directiva de grupo serán omitidos por los clientes Windows 2000.
Directiva de grupo en entornos replicadosEn un dominio con varios controladores de dominio, la información de Active Directory tarda en propagarse de uno a otro. De manera predeterminada, los objetos de directiva de grupo se crean o editan únicamente en el controlador de dominio que contiene el testigo del maestro de operaciones para el emulador del controlador principal del dominio (PDC). Este testigo pasa de un controlador de dominio a otro con el tiempo, a medida que la información de Active Directory se replica para mantener sincronizados los controladores de dominio.Una unidad organizativa debe replicarse en el controlador de dominio que contiene el testigo antes de que el objeto de directiva de grupo creado allí pueda vincularse a ella, lo que permitirá que se aplique la configuración de la Directiva de grupo. Si utiliza Usuarios y equipos de Active Directory, puede crear una unidad organizativa en cualquier controlador de dominio. Estas consideraciones son más significativas si los vínculos dentro del dominio son lentos. Opciones que controlan la selección de un controlador de dominioSi hace clic en el nombre de objeto de directiva de grupo en el árbol de consola del Editor de objetos de Directiva de grupo, el menú Ver contiene un comando denominado Opciones de controlador de dominio (DC). Este comando abre el cuadro de diálogo Opciones para la selección de controladores de dominio,
28
donde puede especificar un controlador de dominio que se utilizará para editar la Directiva de grupo. Las opciones de este cuadro de diálogo son las siguientes: El que tiene el símbolo del maestro de operaciones para el emulador PDC: ésta es la opción
predeterminada y preferida, y la más adecuada desde el punto de vista de la seguridad de los datos. El que usan los complementos de Active Directory: esta opción utiliza el mismo controlador de
dominio que la utilidad desde la que se invocó el Editor de objetos de directiva de grupo, si la Directiva de grupo se inició de esta manera.
Usar cualquier controlador de dominio disponible: esta opción permite que el Editor de objetos de directiva de grupo elija cualquier controlador de dominio disponible. Se trata de la opción menos segura, ya que diferentes administradores podrían, en teoría, editar un objeto de Directiva de grupo simultáneamente, con resultados impredecibles. Por otro lado, cuando se utiliza esta opción, es más probable que se seleccione un controlador de dominio del sitio local. Si sólo un administrador puede administrar la Directiva de grupo de un dominio de grandes dimensiones con varios sitios, la mejora en el rendimiento podría merecer la pena.
Selección del controlador de dominio a través de la Directiva de grupoAdemás del comando Opciones DC, existe un parámetro de configuración de la Directiva de grupo para la selección de controladores de dominio. Forma parte de la plantilla administrativa System.adm que se carga en Editor de objetos de directiva de grupo de manera predeterminada. Puede buscar esta opción de configuración de Directiva de grupo en el Editor de objetos de directiva de grupo, en Configuración del usuario\Plantillas administrativas\Sistema\Directiva de grupo. En el panel de detalles, haga doble clic en Selección del controlador de dominio de la directiva de grupo y, a continuación, haga clic en la configuración adecuada de la lista.
Directiva de grupo con vínculos lentosSi el equipo es miembro del dominio al que el servidor de Enrutamiento y acceso remoto pertenece o en el que se confía, puede aplicar Directiva de grupo de forma remota. Esto es válido tanto si se inicia una sesión mediante Enrutamiento y acceso remoto, como si se hace con credenciales en caché y, después, se establece una conexión de Enrutamiento y acceso remoto.
La Directiva de grupo no se aplica a equipos que son miembros de un grupo de trabajo o de un dominio externo (un dominio que no contiene el equipo y no tiene una relación de confianza con el dominio del equipo). Aunque puede establecerse la conexión, el acceso a los recursos del dominio puede verse afectado desfavorablemente debido a que la seguridad de Protocolo Internet (IPSec) de ambos equipos no coincide.
De manera predeterminada, las directivas basadas en el Registro siempre se aplican y no es posible desactivarlas. La Configuración de seguridad también se aplica de manera predeterminada, pero los demás parámetros de configuración no se aplican. En todas las configuraciones, excepto en la del Registro, puede aplicarse o no el comportamiento predeterminado.
Una conexión de acceso remoto no es necesariamente un vínculo lento, así como una red de área local (LAN) no es necesariamente un vínculo rápido. De manera predeterminada, la rapidez o lentitud de un vínculo se basa en un ping de prueba al servidor. Si tarda menos de 2000 milisegundos (dos segundos), se considera un vínculo rápido. Si tarda más tiempo, se considera un vínculo lento. Puede establecer este valor mediante la opción de Directiva de grupo Tiempo de espera agotado de conexión de red a baja velocidad para los perfiles del usuario, que se encuentra en Configuración del equipo\Plantillas administrativas\Sistema\Perfiles de usuario.
En esta carpeta también aparecen otras muchas opciones de configuración de la Directiva de grupo relacionadas con vínculos lentos. Compruebe también la opción Detección de vínculo de baja velocidad de
29
la directiva de grupo, que se encuentra en Configuración del equipo\Plantillas administrativas\Sistema\Directiva de grupo.
Directiva de grupo en sitiosLos objetos de directiva de grupo aplicados a los objetos de sitio de Active Directory afectan a todos los equipos del sitio. La información de directorio se replica y se encuentra disponible en todos los controladores de dominio del sitio y para cualquier controlador de dominio de sitios para los que se haya establecido un vínculo. Por lo tanto, cualquier objeto de directiva de grupo vinculado a un sitio se aplicará a todos los equipos de dicho sitio, independientemente de qué dominio (del bosque) contenga los equipos.
Esto permite que varios dominios de un bosque reciban el mismo objeto de directiva de grupo (incluidas las directivas), aunque dicho objeto únicamente exista como entidad almacenada en un único dominio y deba leerse desde ese dominio cuando los clientes afectados lean su Directiva de grupo vinculada al sitio.
Si los dominios secundarios están configurados a través de los límites de la red de área extensa (WAN, <i>Wide Area Network</i>), la configuración del sitio debe tenerlo en cuenta. En caso contrario, los equipos del dominio secundario tendrán acceso a un objeto de directiva de grupo vinculado al sitio a través de un vínculo de WAN. Esto aumenta el tiempo de procesamiento de la Directiva de grupo.Nota. Generalmente, la Directiva de grupo no se aplica a sitios. Se suele aplicar a dominios y unidades organizativas.
Administrar la Directiva de grupo desde la línea de comandosAdemás de utilizar el Editor de objetos de directiva de grupo, puede utilizar herramientas de la línea de comandos para administrar Directiva de grupo. Por ejemplo, puede utilizar gpresult para ver qué directiva se está aplicando y para la solución de problemas. Puede utilizar gpupdate para actualizar inmediatamente la directiva y para especificar determinadas opciones en la línea de comandos.
Gpresult Muestra la configuración de Directiva de grupo y Conjunto resultante de directivas (RSOP, <i>Resultant Set of Policy</i>) para un usuario o un equipo.Sintaxis
Gpresult [/s equipo [/u dominio\usuario/p contraseña]][/user nombreDeUsuarioDeDestino][/scope {user | computer}][{/v | /z}]
Parámetros/sequipo
Especifica el nombre o la dirección IP de un equipo remoto. No utilice barras diagonales inversas. El valor predeterminado es el equipo local.
/udominio\usuarioEjecuta el comando con los permisos de cuenta del usuario especificado por usuario o dominio\usuario. La opción predeterminada son los permisos del usuario que inició la sesión actual en el equipo que emite el comando.
/pcontraseñaEspecifica la contraseña de la cuenta de usuario especificada en el parámetro /u.
/usernombreDeUsuarioDeDestinoEspecifica el nombre del usuario cuyos datos RSOP se van a mostrar.
/scope {user|computer}Muestra resultados de usuario (user) o equipo (computer). Los valores aceptados para el parámetro /scope son usero computer. Si se omite el parámetro /scope, el comando gpresult mostrará la configuración de user y computer.
/vEspecifica que se muestre información detallada de directiva en el resultado.
30
/zEspecifica que se muestre en el resultado toda la información disponible acerca de Directiva de grupo. Como este parámetro produce más información que el parámetro /v, redirija el resultado a un archivo de texto cuando lo utilice (por ejemplo, gpresult /z >directiva.txt).
/?Muestra Ayuda en el símbolo del sistema.
Notas Directiva de grupo es la herramienta administrativa principal para modificar y controlar cómo funcionarán los
programas, los recursos de red y el sistema operativo para los usuarios y equipos en una organización. En un entorno Active Directory, la directiva de grupo se aplica a usuarios o equipos en función de su pertenencia a sitios, dominios o unidades organizativas.
Como se pueden aplicar a un equipo o un usuario niveles de directivas que se superpongan, la característica Directiva de grupo genera un conjunto resultante de directivas al iniciar sesión. Gpresult muestra el conjunto resultante de directivas que se aplicaron en el equipo cuando el usuario especificado inició sesión.
EjemplosLos ejemplos siguientes muestran cómo se puede utilizar el comando gpresult:gpresult /user nombreDeUsuarioDeDestino /scope computergpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user nombreDeUsuarioDeDestino /scope USERgpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user nombreDeUsuarioDeDestino /z >directiva.txtgpresult /s srvmain /u maindom\hiropln /p p@ssW23
Dar formato a la leyendaFormato SignificadoCursiva Información que debe suministrar el usuarioNegrita Elementos que debe escribir el usuario exactamente como
se muestranPuntos suspensivos (...) Parámetro que se puede repetir varias veces en una línea
de comandosEntre corchetes ([]) Elementos opcionalesEntre llaves ({}); opciones separadas por barras verticales (|). Ejemplo: {par|impar}
Conjunto de opciones de las que el usuario debe elegir sólo una
Courier Font Código o resultado del programa
GpupdateActualiza las configuraciones de Directiva de grupo local y Directiva de grupo que están almacenadas en Active Directory, incluida la configuración de seguridad. Este comando sustituye la opción /refreshpolicy , ya obsoleta, del comando secedit.Sintaxis
gpupdate [/target:{computer | user}] [/force] [/wait:valor] [/logoff] [/boot]Parámetros
/target:{computer | user}Procesa sólo la configuración del equipo o la del usuario actual. De forma predeterminada, se procesan las configuraciones del equipo y las del usuario actual.
/forceOmite todas las optimizaciones de proceso y vuelve a aplicar todas las configuraciones.
/wait:valor
31
Número de segundos que el proceso de directivas espera para terminar. El valor predeterminado es 600 segundos. 0 significa sin esperar, y -1 significa esperar indefinidamente.
/logoffCierra la sesión después de completar la actualización. Esto es necesario para aquellas extensiones del cliente de Directiva de grupo que no se procesan en un ciclo de actualización en segundo plano, sino que se procesan cuando el usuario inicia una sesión, como Instalación de software de Directiva de grupo y Redirección de carpetas del usuario. Esta opción no tiene efecto si no se invocan extensiones que requieren que el usuario cierre la sesión.
/bootReinicia el equipo después de completar la actualización. Esto es necesario para aquellas extensiones del cliente de Directiva de grupo que no se procesan en un ciclo de actualización en segundo plano, sino que se procesan cuando el equipo se inicia, como Instalación de software de Directiva de grupo del equipo. Esta opción no tiene efecto si no se invocan extensiones que requieren el reinicio del equipo.
/? Muestra Ayuda en el símbolo del sistema.
EjemplosLos ejemplos siguientes muestran cómo se puede utilizar el comando gpupdate:gpupdategpupdate /target:computergpupdate /force /wait:100gpupdate /boot
Dar formato a la leyenda Formato SignificadoCursiva Información que debe suministrar el usuarioNegrita Elementos que debe escribir el usuario exactamente como se
muestranPuntos suspensivos (...) Parámetros que se pueden repetir varias veces en una línea de
comandos.Entre corchetes ([]) Elementos opcionalesEntre llaves ({}); opciones separadas por barras verticales (|). Ejemplo: {par|impar}
Conjunto de opciones de las que el usuario debe elegir sólo una
Courier Font Código o resultado del programa
Notas Gpupdate reemplaza al comando secedit /refreshpolicy de Windows 2000.
Formas nuevas de realizar tareas habitualesCon Windows NT 4.0 se presentó el Editor de directivas del sistema, que puede utilizarse para crear una directiva del sistema que controle las acciones del usuario y el entorno de trabajo, así como para exigir la configuración del sistema en todos los equipos que ejecuten Windows NT 4.0. Las opciones de configuración de las directivas definen los distintos componentes del entorno del escritorio, incluidas las aplicaciones disponibles para los usuarios, las aplicaciones que aparecen en sus escritorios y las opciones que se muestran en el menú Inicio.Directiva de grupo y sus extensiones, incluidas en Windows XP Professional, Windows XP 64-bit Edition (Itanium) y en la familia de servidores de Windows Server 2003, reemplazan muchas de las herramientas habituales de Windows NT 4.0.En la tabla siguiente se enumeran tareas comunes para configurar directivas. La interfaz de usuario que permite realizar estas tareas es diferente en esta versión de Windows de como era en Windows NT versión 4.0.
32
Nota No existen diferencias importantes en cuanto a la interfaz de usuario entre Windows 2000, Windows XP y la familia de
servidores de Windows Server 2003 para este componente.
Si desea En Windows NT 4.0 utilice En esta versión de Windows, utilice
Establecer directivas en los equipos y usuarios de un sitio No aplicable
Directiva de grupo, a la que se tiene acceso desde Sitios y servicios de Active Directory.
Establecer directivas en los equipos y usuarios de un dominio
Editor de directivas del sistema (Poledit.exe)
Directiva de grupo, a la que se tiene acceso desde Usuarios y equipos de Active Directory
Establecer directivas en los equipos y usuarios de una unidad organizativa
No aplicableDirectiva de grupo, a la que se tiene acceso desde Usuarios y equipos de Active Directory
Vincular un objeto de directiva de grupo a un sitio, dominio o unidad organizativa
No aplicableDirectiva de grupo, a la que se tiene acceso desde Usuarios y equipos de Active Directory
Utilizar grupos de seguridad para filtrar el alcance de la directiva No aplicable
Permisos de la ficha Seguridad del cuadro de diálogo de propiedades del objeto de Directiva de grupo.
Administrar software
Para un administrador, Systems Management Server. Para un usuario, Agregar o quitar programas en el Panel de control.
Systems Management Server y las tres herramientas de Mantenimiento e instalación de software de Directiva de grupo: Introducción a Instalación de software
de Directiva de grupo, una extensión del complemento Editor de objetos de directiva de grupo
Windows InstallerAgregar o quitar programas del Panel de
control
Crear una interfaz de usuario segura para editar el Registro
Plantillas administrativas de Windows NT 4.0 para el Editor de directivas del sistema
Plantillas administrativas para Directiva de grupoPara ver una explicación de cómo ha cambiado la función de archivos .adm en la familia de servidores de Windows Server 2003, vea Función de las plantillas administrativas.
Realizar tareas administrativas generales
Asistentes administrativos, Administrador de usuarios y Administrador de servidores
Complementos de Microsoft Management Console (MMC): Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Abrir el Editor de objetos de directiva de grupo y sus extensiones.
En la siguiente tabla se muestra una tarea común para configurar Redirección de carpetas en Directiva de grupo. La interfaz de usuario para realizar esta tarea es diferente en esta versión de Windows de la que había en Windows 2000. Para obtener más información acerca de los cambios adicionales en Directiva de grupo, vea Nuevas características de Directiva de grupo (anterior a GPMC).
33
Si desea En Windows 2000 utilice En esta versión de Windows, utilice
Redirigir una carpeta especial a un directorio de red compartido con una ruta de acceso de Convención de nomenclatura universal (UNC, Universal Naming Convention) personalizada para el usuario.
Una ruta de acceso UNC que incorpore NombreDeUsuario, por ejemplo: \\NombreDeServidor\NombreDeRecurso\NombreDeUsuario\Mis documentos
El cuadro de diálogo de propiedades de la carpeta especial, descrito en Redirigir carpetas especiales al directorio raíz.
34