Consola de administración de directivas de grupo

La Consola de administración de directivas de grupo (GPMC) proporciona una administración unificada de todos los aspectos de la directiva de grupo en varios bosques de una organización. GpMC le permite administrar todos los objetos de directiva de grupo (GPO), filtros de Instrumental de administración de Windows (WMI) y permisos relacionados con la directiva de grupo en la red. Piense en gpMC como su punto de acceso principal a la directiva de grupo, con todas las herramientas de administración de directivas de grupo disponibles desde la interfaz GPMC.

La GPMC consta de un conjunto de interfaces scriptables para administrar la directiva de grupo y una interfaz de usuario (UI) basada en MMC. La GPMC se incluye con Windows Server y las herramientas de administración remota del servidor.

GpMC proporciona las siguientes funcionalidades:

• Importar y exportar los GPO.
• Copiar y pegar los GPO.
• Realizar copia de seguridad y restaurar los GPO.
• Busque los GPO existentes.
• Funcionalidades de informe.
• Modelado de directivas de grupo. Permite simular el conjunto resultante de datos de directiva (RsoP) para planear implementaciones de directivas de grupo antes de implementarlos en el entorno de producción.
• Resultados de directivas de grupo. Permite ver la interacción del GPO y solucionar problemas de implementaciones de directivas de grupo.
• Compatibilidad con tablas de migración para facilitar la importación y copia del GPO entre dominios y bosques. Una tabla de migración es un archivo que asigna las referencias de usuarios, grupos, equipos y rutas UNC (Convención de Nomenclatura Universal) en el GPO de origen a nuevos valores en el GPO de destino.
• Generación de informes de configuración de GPO y datos de RSoP en informes HTML que puede guardar e imprimir.
• Interfaces que admiten scripts que permiten todas las operaciones disponibles en gpMC. No puede usar scripts para editar la configuración de directiva individual en un GPO.

Prerrequisitos

Para usar la GPMC, debe completar los siguientes requisitos previos.

• Tener instalada la característica administración de directivas de grupo en un equipo que ejecuta Windows Server o un sistema operativo cliente de Windows.
• Contar con permisos para editar configuraciones, eliminar y modificar la seguridad en el GPO.
• Para vincular los GPO, necesita el permiso de modificación en ese sitio, dominio o unidad organizativa. De forma predeterminada, solo los administradores de dominio y los administradores de empresa tienen este permiso.
  • Los usuarios y grupos con permiso para vincular GPOs a un sitio, dominio o unidad organizativa específicos pueden vincular GPOs, cambiar el orden de vínculo y bloquear la herencia en ese sitio, dominio o unidad organizativa.

Creación de un GPO desvinculado

Para crear un GPO desvinculado, realice los pasos siguientes:

1. Para abrir gpMC, seleccione Inicio, escriba Administración de directivas de grupo en el cuadro de búsqueda y, a continuación, seleccione Administración de directivas de grupo.
2. En el árbol de la consola GPMC, haga clic con el botón derecho en Objetos de directiva de grupo en el bosque y dominio en el que desea crear un nuevo GPO desvinculado.
3. Seleccione Nuevo.
4. En el cuadro de diálogo Nuevo GPO, especifique un nombre para el nuevo GPO y, a continuación, seleccione Aceptar.

Edición de un GPO existente

Para cambiar la configuración de directiva dentro de un GPO existente, siga estos pasos:

1. En el árbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y el dominio que contienen el GPO que desea editar.
2. Haga clic con el botón derecho en el GPO que desea editar y, a continuación, seleccione Editar.
3. En el árbol de consola del Editor de administración de directivas de grupo, expanda los elementos según sea necesario para buscar el elemento de directiva que contiene la configuración de directiva que desea modificar. Seleccione un elemento para ver la configuración de directiva asociada en el panel de detalles.
4. En el panel de detalles, haga doble clic en los nombres de la configuración de directiva que desea editar.
5. En el cuadro de diálogo Propiedades, modifique la configuración de directiva según sea necesario y, a continuación, seleccione Aceptar.
6. Después de completar las modificaciones necesarias, cierre el Editor de administración de directivas de grupo.

Vincular un GPO

La forma principal de aplicar la configuración de directiva en un GPO a los usuarios y equipos es vincular el GPO a un contenedor de Active Directory. Los GPO se pueden vincular a tres tipos de contenedores en Active Directory: sitios, dominios y unidades organizativas (UO). Un GPO se puede vincular a varios contenedores de Active Directory.

Los GPO se almacenan por dominio. Por ejemplo, si vincula un GPO a una unidad organizativa, el GPO no se almacena en esa unidad organizativa. Un GPO es un objeto por dominio que puede vincularse en cualquier parte del bosque. La interfaz de usuario de la GPMC ayuda a aclarar la distinción entre los vínculos y los GPO reales.

En gpMC, puede vincular un GPO existente a contenedores de Active Directory mediante cualquiera de los métodos siguientes:

• Haga clic con el botón derecho en un sitio, un dominio o un elemento de unidad organizativa y, a continuación, seleccione Vincular un GPO existente. Este procedimiento requiere que el GPO ya exista en el dominio.
• Arrastre un GPO desde el elemento Objetos de directiva de grupo hasta la unidad organizativa a la que desee vincular el GPO. Esta funcionalidad de arrastrar y colocar solo funciona dentro del mismo dominio.

Cambio del orden de vínculo de GPO

Dentro de cada sitio, dominio y unidad organizativa, el orden de vínculo controla el orden en el que se aplican los GPO. Para cambiar la prioridad de un vínculo, puede cambiar el orden de vínculo, moviendo cada vínculo hacia arriba o hacia abajo en la lista a la ubicación adecuada. Los vínculos con el número más bajo tienen mayor prioridad para un sitio, un dominio o una unidad organizativa determinado.

Por ejemplo, desea que el último GPO que añadió tenga la precedencia más alta. Puede ajustar el orden de vínculo del GPO a un orden de vínculo de 1 para que sea el más alto. Para cambiar el orden de vínculo de los vínculos de GPO para un sitio, un dominio o una unidad organizativa, use la GPMC.

Desvincular un GPO de un sitio, un dominio o una unidad organizativa

Desvincular un GPO significa que el GPO vinculado ya no se aplica a la ubicación donde se vinculó originalmente. Para desvincular un GPO:

1. En el árbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y el dominio que contienen el GPO que desee desvincular.
2. Seleccione el GPO que desea desvincular.
3. En el panel de detalles, seleccione la pestaña Ámbito .
4. En la sección Vínculos, haga clic con el botón derecho en el objeto de Active Directory con el vínculo que desea eliminar y, a continuación, seleccione Eliminar vínculos.

La eliminación de un vínculo a un GPO es diferente de eliminar un GPO. Si un vínculo de GPO sigue estando disponible. Otros vínculos de otros dominios a ese GPO también permanecen presentes. Al eliminar un GPO, se le pedirá que elimine el GPO y todos los vínculos a él en el dominio seleccionado. Al hacer el GPO y todos los vínculos, no se eliminan los vínculos al GPO de otros dominios. Asegúrese de quitar vínculos al GPO en otros dominios antes de eliminar este GPO de este dominio.

Deshabilitar la configuración de usuario o la configuración del equipo en un GPO

Para crear un GPO que establezca únicamente la configuración de directivas relacionadas con el usuario, deshabilite la Configuración del equipo en el GPO. Al deshabilitar la configuración del equipo, se reduce ligeramente el tiempo de inicio del equipo porque no es necesario evaluar la configuración del equipo en el GPO. Si solo va a configurar las opciones de configuración de directiva relacionadas con los equipos, deshabilite la configuración de usuario en el GPO. Para deshabilitar la configuración de usuario o la configuración del equipo:

1. En el árbol de consola de la GPMC, expanda Objetos de directiva de grupo en el bosque y el dominio que contiene el GPO que incluye la configuración de directiva que desee deshabilitar.
2. Haga clic con el botón derecho en el GPO que contiene la configuración de directiva que desea deshabilitar.
3. En la lista Estado del GPO, seleccione una de las siguientes opciones:
   • Todas las configuraciones de políticas deshabilitadas
   • Opciones de configuración del equipo deshabilitadas
   • Habilitado (predeterminado)
   • Opciones de configuración de usuario deshabilitadas

Contenido relacionado

• Procesamiento de directivas de grupo
• Realización de copias de seguridad, restauración, migración y copia de los objetos de directiva de grupo (GPO)
• Modelado de directivas de grupo y resultados de la directiva de grupo