Share via

Guía detallada de Administración avanzada de directivas de grupo 2.5

  • Artículo

En esta guía paso a paso se muestran técnicas avanzadas para la administración de directiva de grupo mediante directiva de grupo Management Console (GPMC) y Microsoft Advanced directiva de grupo Management (AGPM). AGPM aumenta las capacidades del GPMC, proporcionando lo siguiente:

  • Roles estándar para delegar permisos para administrar objetos de directiva de grupo (GPO) a varios administradores de directiva de grupo.

  • Un archivo para permitir directiva de grupo administradores crear y modificar GPO sin conexión antes de implementarlos en un entorno de producción.

  • La capacidad de revertir a cualquier versión anterior de un GPO.

  • Funcionalidad de check-in/check-out para GPO para asegurarse de que los administradores de directiva de grupo no sobrescriban accidentalmente el trabajo de los demás.

Introducción al escenario de AGPM

En este escenario, usará una cuenta de usuario independiente para cada rol de AGPM para demostrar cómo se pueden administrar directiva de grupo en un entorno con varios administradores de directiva de grupo que tienen distintos niveles de permisos. En concreto, realizará las siguientes tareas:

  • Con una cuenta que sea miembro del grupo Administradores de dominio, instale AGPM Server y asigne el rol de administrador de AGPM a una cuenta o grupo.

  • Con las cuentas a las que asignará roles de AGPM, instale el cliente de AGPM.

  • Con una cuenta con el rol de administrador de AGPM, configure AGPM y delegue el acceso a gpo mediante la asignación de roles a otras cuentas.

  • Con una cuenta con el rol Editor, solicite la creación de un GPO, que luego apruebe mediante una cuenta con el rol Aprobador. Con la cuenta del editor, compruebe el GPO fuera del archivo, edite el GPO, compruebe el GPO en el archivo y solicite la implementación.

  • Con una cuenta con el rol Aprobador, revise el GPO e impleméntela en el entorno de producción.

  • Con una cuenta con el rol Editor, cree una plantilla de GPO y úsela como punto de partida para crear un nuevo GPO.

  • Con una cuenta con el rol Aprobador, elimine y restaure un GPO.

proceso de desarrollo de objetos de directiva de grupo.

Requisitos

Los equipos en los que desea instalar AGPM deben cumplir los siguientes requisitos y debe crear cuentas para su uso en este escenario.

Requisitos del servidor AGPM

AGPM Server 2.5 requiere Windows Vista® (versión de 32 bits) sin ningún Service Pack instalado o Windows Server® 2003 (versión de 32 bits), así como GPMC. Además, debe ser miembro del grupo Administradores de dominio para instalar AGPM Server.

Debe instalar AGPM Server en un servidor miembro o controlador de dominio con la versión más reciente de GPMC que esté disponible y compatible con AGPM. AGPM usa GPMC para realizar copias de seguridad y restaurar GPO, y las versiones más recientes de GPMC proporcionan una configuración de directiva adicional que no está disponible en versiones anteriores. Si la versión del GPMC en el servidor AGPM es anterior a la versión de los equipos que los administradores usan para administrar directiva de grupo, el servidor AGPM no podrá almacenar esa configuración de directiva no disponible en la versión anterior de GPMC.

En concreto, si el servidor AGPM Server ejecuta Windows Server 2003 y la versión de GPMC que lo acompañó, y los equipos de los administradores de directiva de grupo ejecutan Windows Vista y la versión de GPMC que lo acompañó, puede administrar la mayoría de la configuración de directiva. Sin embargo, la configuración de directiva de GPMC en Windows Vista que no está disponible en gpmc en Windows Server 2003, como las relacionadas con el redireccionamiento de carpetas, las redes inalámbricas (IEEE 802.11) y las impresoras implementadas, no se puede almacenar en el servidor AGPM, aunque los administradores puedan configurarlas mediante AGPM en sus equipos.

Si debe instalar AGPM Server en un equipo con una versión anterior de GPMC que los administradores de directiva de grupo están ejecutando, consulte la Referencia de configuración de directiva de grupo para obtener más información sobre qué configuración de directiva está disponible con qué sistemas operativos. Para descargar la referencia de configuración de directiva de grupo, consulte https://go.microsoft.com/fwlink/?LinkID=106147.

Nota Los archivos no se pueden migrar desde un servidor AGPM o un servidor GPOVault que ejecuta Windows Server 2003 a un servidor AGPM Server que ejecuta Windows Vista.

Para Windows Server 2003, si GPOVault Server está instalado en el equipo en el que desea instalar AGPM Server, se recomienda que no desinstale GPOVault Server antes de comenzar la instalación. La instalación de AGPM Server desinstalará GPOVault Server y transferirá automáticamente los datos de archivo de GPOVault existentes a un archivo AGPM.

Requisitos de cliente de AGPM

AgPM Client 2.5 requiere Windows Vista (versión de 32 bits) sin ningún Service Pack instalado o Windows Server 2003 (versión de 32 bits), así como GPMC. El cliente AGPM se puede instalar en un equipo que ejecuta AGPM Server.

Requisitos del escenario

Antes de comenzar este escenario, cree cuatro cuentas de usuario. Durante el escenario, asignará uno de los siguientes roles de AGPM a cada una de estas cuentas: Administrador de AGPM (control total), Aprobador, Editor y Revisor. Estas cuentas deben poder enviar y recibir mensajes de correo electrónico. Asigne el permiso Vincular GPO a las cuentas con los roles Administrador de AGPM, Aprobador y (opcionalmente) Editor.

Nota El permiso Vincular GPO se asigna a los miembros de Administradores de dominio y Administradores de empresa de forma predeterminada. Para asignar el permiso Vincular GPO a usuarios o grupos adicionales (como cuentas con los roles de administrador o aprobador de AGPM), haga clic en el nodo del dominio y, a continuación, haga clic en la pestaña Delegación , seleccione Vincular GPO, haga clic en Agregar y seleccione los usuarios o grupos a los que asignar el permiso.

En este escenario, se realizan acciones con cuentas diferentes. Puede iniciar sesión con cada cuenta como se indica o puede usar el comando Ejecutar como para iniciar GPMC con la cuenta indicada.

Nota Para usar el comando Ejecutar como con GPMC en Windows Server 2003, haga clic en Inicio, seleccione Herramientas administrativas, haga clic con el botón derecho en Administración de directiva de grupo y haga clic en Ejecutar como. Haga clic en El siguiente usuario y escriba las credenciales de una cuenta.

Para usar el comando Ejecutar como con GPMC en Windows Vista, haga clic en el botón Inicio , seleccione Ejecutar y escriba runas /user:DomainName\UserName"mmc %windir%\system32\gpmc.msc" y haga clic en Aceptar. Escriba la contraseña de la cuenta cuando se le solicite.

Pasos para instalar y configurar AGPM

Debe completar los pasos siguientes para instalar y configurar AGPM.

Paso 1: Instalación del servidor AGPM

Paso 2: Instalación del cliente AGPM

Paso 3: Configurar una conexión del servidor AGPM

Paso 4: Configurar la notificación por correo electrónico

Paso 5: Delegar el acceso

Paso 1: Instalación del servidor AGPM

En este paso, instalará AGPM Server en el servidor miembro o controlador de dominio que ejecutará el servicio AGPM y configurará el archivo. Todas las operaciones de AGPM se administran a través de este servicio de Windows y se ejecutan con las credenciales del servicio. El archivo administrado por un servidor AGPM se puede hospedar en ese servidor o en otro servidor del mismo bosque.

Para instalar AGPM Server en el equipo que hospedará el servicio AGPM

  1. Inicie sesión con una cuenta que sea miembro del grupo Administradores de dominio.

  2. Inicie el CD de Microsoft Desktop Optimization Pack y siga las instrucciones de la pantalla para seleccionar Advanced directiva de grupo Management - Server (Administración avanzada de directiva de grupo : servidor).

  3. En el cuadro de diálogo Bienvenida , haga clic en Siguiente.

  4. En el cuadro de diálogo Términos de licencia de software de Microsoft , acepte los términos y haga clic en Siguiente.

  5. En el cuadro de diálogo Ruta de acceso de la aplicación, seleccione una ubicación en la que instalar AGPM Server. El equipo en el que está instalado AGPM Server hospedará el servicio AGPM y administrará el archivo. Haz clic en Siguiente.

  6. En el cuadro de diálogo Ruta de acceso de archivo, seleccione una ubicación para el archivo en relación con el servidor AGPM. La ruta de acceso de archivo puede apuntar a una carpeta en el servidor AGPM o en otro lugar, pero debe seleccionar una ubicación con espacio suficiente para almacenar todos los GPO y los datos del historial administrados por este servidor AGPM. Haz clic en Siguiente.

  7. En el cuadro de diálogo AgPM Service Account (Cuenta de servicio de AGPM ), seleccione una cuenta de servicio en la que se ejecutará el servicio AGPM y, a continuación, haga clic en Siguiente.

  8. En el cuadro de diálogo Propietario de archivo , seleccione una cuenta o grupo al que asignar inicialmente el rol Administrador de AGPM (control total). Este administrador de AGPM puede asignar roles y permisos de AGPM a otros administradores de directiva de grupo (incluido el rol de administrador de AGPM). En este escenario, seleccione la cuenta que se va a atender en el rol de administrador de AGPM. Haz clic en Siguiente.

  9. Haga clic en Instalary, a continuación, haga clic en Finalizar para salir del Asistente para instalación.

    Precaución No modifique la configuración del servicio AGPM a través de herramientas y serviciosadministrativos en el sistema operativo. Si lo hace, puede impedir que se inicie el servicio AGPM. Para obtener información sobre cómo modificar la configuración del servicio, consulte Ayuda para advanced directiva de grupo Management.

Paso 2: Instalación del cliente AGPM

Cada administrador de directiva de grupo (cualquiera que cree, edite, implemente, revise o elimine GPO) debe tener el cliente de AGPM instalado en los equipos que usan para administrar GPO. En este escenario, instalará el cliente AGPM en al menos un equipo. No es necesario instalar el cliente AGPM en los equipos de los usuarios finales que no realizan directiva de grupo administración.

Para instalar el cliente AGPM en el equipo de un administrador de directiva de grupo

  1. Inicie el CD de Microsoft Desktop Optimization Pack y siga las instrucciones que aparecen en pantalla para seleccionar Advanced directiva de grupo Management - Client (Administración avanzada de directiva de grupo: cliente).

  2. En el cuadro de diálogo Bienvenida , haga clic en Siguiente.

  3. En el cuadro de diálogo Términos de licencia de software de Microsoft , acepte los términos y haga clic en Siguiente.

  4. En el cuadro de diálogo Ruta de acceso de la aplicación, seleccione una ubicación en la que instalar el cliente AGPM. Haz clic en Siguiente.

  5. En el cuadro de diálogo Servidor AGPM , escriba el nombre de equipo completo y el puerto del servidor AGPM al que se va a conectar. El puerto predeterminado para el servicio AGPM es 4600. Haz clic en Siguiente.

  6. Haga clic en Instalary, a continuación, haga clic en Finalizar para salir del Asistente para instalación.

Paso 3: Configurar una conexión del servidor AGPM

AGPM almacena todas las versiones de cada objeto de directiva de grupo controlado (GPO) (un GPO para el que AGPM proporciona control de cambios) en un archivo central, por lo que directiva de grupo administradores pueden ver y modificar GPO sin conexión sin afectar inmediatamente a la versión implementada de cada GPO.

En este paso, configurará una conexión de AGPM Server y se asegurará de que todos los administradores de directiva de grupo se conecten al mismo servidor AGPM. (Para obtener información sobre cómo configurar varios servidores AGPM, consulte La Ayuda para advanced directiva de grupo Management).

Para configurar una conexión del servidor AGPM para todos los administradores de directiva de grupo

  1. En un equipo en el que haya instalado el cliente de AGPM, inicie sesión con la cuenta de usuario que seleccionó como propietario de archivo. Este usuario tiene el rol de administrador de AGPM (control total).

  2. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Administración de directiva de grupo para abrir la consola de administración de directiva de grupo (GPMC).

  3. En el árbol directiva de grupo Consola de administración, edite un GPO que se aplique a todos los administradores de directiva de grupo.

  4. En la ventana directiva de grupo Editor de objetos, haga clic en Configuración de usuario, Plantillas administrativas y Componentes de Windows.

  5. Si AGPM no aparece en Componentes de Windows:

    1. Haga clic con el botón derecho en Plantillas administrativas y seleccione Agregar o quitar plantillas.

    2. Haga clic en Agregar, seleccione agpm.admx o agpm.adm, haga clic en Abriry, a continuación, haga clic en Cerrar.

  6. En Componentes de Windows, haga doble clic en AGPM.

  7. En el panel de detalles, haga doble clic en AGPM Server (todos los dominios).

  8. En la ventana Propiedades del servidor AGPM (todos los dominios), seleccione Habilitado y escriba el nombre de equipo completo y el puerto (por ejemplo, server.contoso.com:4600) para el servidor que hospeda el archivo. El puerto utilizado por el servicio AGPM es el puerto 4600.

  9. Haga clic en Aceptar y, a continuación, cierre la ventana editor de objetos directiva de grupo. Cuando se actualiza directiva de grupo, la conexión del servidor AGPM se configura para cada administrador de directiva de grupo.

Paso 4: Configurar la notificación por correo electrónico

Como administrador de AGPM (control total), designa las direcciones de correo electrónico de los aprobadores y administradores de AGPM a los que se envía un mensaje de correo electrónico que contiene una solicitud cuando un editor intenta crear, implementar o eliminar un GPO. También determina el alias desde el que se envían estos mensajes.

Para configurar la notificación por correo electrónico para AGPM

  1. En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.

  2. En el panel de detalles, haga clic en la pestaña Delegación de dominio .

  3. En el campo Desde , escriba el alias de correo electrónico para AGPM desde el que se deben enviar las notificaciones.

  4. En el campo Para , escriba la dirección de correo electrónico de la cuenta de usuario a la que pretende asignar el rol Aprobador.

  5. En el campo Servidor SMTP , escriba un servidor de correo SMTP válido.

  6. En los campos Nombre de usuario y Contraseña , escriba las credenciales de un usuario con acceso al servicio SMTP.

  7. Haz clic en Apply.

Paso 5: Delegar el acceso

Como administrador de AGPM (control total), delega el acceso de nivel de dominio a los GPO y asigna roles a la cuenta de cada administrador de directiva de grupo.

Nota También puede delegar el acceso en el nivel de GPO en lugar del nivel de dominio. Para obtener más información, consulte Ayuda para Advanced directiva de grupo Management.

Importante Debe restringir la pertenencia al grupo propietarios de creadores de directiva de grupo, por lo que no se puede usar para eludir la administración de AGPM del acceso a gpo. (En la consola de administración de directiva de grupo, haga clic en directiva de grupo Objetos en el bosque y dominio en el que desea administrar gpo, haga clic en Delegación y, a continuación, configure los valores para satisfacer las necesidades de su organización).

Para delegar el acceso a todos los GPO en un dominio

  1. En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.

  2. En la pestaña Delegación de dominio , haga clic en el botón Opciones avanzadas .

  3. En el cuadro de diálogo Permisos :

    1. Haga clic en la cuenta de usuario de un administrador de directiva de grupo y, a continuación, active la casilla Aprobador para asignar ese rol a la cuenta. Desactive la casilla Editor . (Este rol incluye el rol Revisor).

    2. Haga clic en la cuenta de usuario de otro administrador de directiva de grupo y, a continuación, active la casilla Editor para asignar ese rol a la cuenta. (Este rol incluye el rol Revisor).

    3. Haga clic en una tercera cuenta y, a continuación, active la casilla Revisor para asignar solo el rol Revisor a la cuenta de ese administrador de directiva de grupo. Desactive la casilla Editor .

    4. Haga clic en el botón Opciones avanzadas .

  4. En el cuadro de diálogo Configuración de seguridad avanzada :

    1. Seleccione un administrador de directiva de grupo y, a continuación, haga clic en Editar.

    2. En Aplicar en, seleccione Este objeto y objetos anidados y, a continuación, haga clic en Aceptar en el cuadro de diálogo Entrada de permiso.

    3. Repita la operación para cada administrador de directiva de grupo.

  5. En el cuadro de diálogo Configuración de seguridad avanzada , haga clic en Aceptar.

  6. En el cuadro de diálogo Permisos , haga clic en Aceptar.

Pasos para administrar GPO

Debe completar los pasos siguientes para crear, editar, revisar e implementar GPO mediante AGPM. Además, creará una plantilla, eliminará un GPO y restaurará un GPO eliminado.

Paso 1: Crear un GPO

Paso 2: Editar un GPO

Paso 3: Revisión e implementación de un GPO

Paso 4: Usar una plantilla para crear un GPO

Paso 5: Eliminación y restauración de un GPO

Paso 1: Crear un GPO

En un entorno con varios administradores de directiva de grupo, aquellos con el rol Editor tienen la capacidad de solicitar la creación de nuevos GPO, pero esa solicitud debe ser aprobada por alguien con el rol Aprobador porque la creación de un nuevo GPO afecta al entorno de producción.

En este paso, usará una cuenta con el rol Editor para solicitar la creación de un nuevo GPO. Con una cuenta con el rol Aprobador, se aprueba esta solicitud y se completa la creación de un GPO.

Para solicitar la creación de un nuevo GPO administrado a través de AGPM

  1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario a la que se haya asignado el rol Editor en AGPM.

  2. En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.

  3. Haga clic con el botón derecho en el nodo Cambiar control y, a continuación, haga clic en Nuevo GPO controlado.

  4. En el cuadro de diálogo Nuevo GPO controlado :

    1. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el campo Cc .

    2. Escriba MyGPO como nombre del nuevo GPO.

    3. Escriba un comentario para el nuevo GPO.

    4. Haga clic en Crear en directo para que el nuevo GPO se implemente en el entorno de producción inmediatamente después de la aprobación.

    5. Haz clic en Enviar.

  5. Cuando la ventana Progreso de AGPM indique que el progreso general se ha completado, haga clic en Cerrar. El nuevo GPO se muestra en la pestaña Pendiente .

Para aprobar la solicitud pendiente para crear un GPO

  1. En un equipo en el que haya instalado el cliente de AGPM, inicie sesión con una cuenta de usuario a la que se haya asignado el rol aprobador en AGPM.

  2. Abra la bandeja de entrada de correo electrónico de la cuenta y tenga en cuenta que ha recibido un mensaje de correo electrónico del alias AGPM con la solicitud del editor para crear un GPO.

  3. En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.

  4. En la pestaña Contenido , haga clic en la pestaña Pendiente para mostrar los GPO pendientes.

  5. Haga clic con el botón derecho en MyGPO y, a continuación, haga clic en Aprobar.

  6. Haga clic en para confirmar la aprobación de la creación del GPO. El GPO se mueve a la pestaña Controlado .

Paso 2: Editar un GPO

Puede usar GPO para configurar el equipo o el usuario e implementarlos en muchos equipos o usuarios. En este paso, usará una cuenta con el rol Editor para desproteger un GPO del archivo, editar el GPO sin conexión, comprobar el GPO editado en el archivo y solicitar la implementación del GPO en el entorno de producción. En este escenario, configurará una configuración en el GPO para requerir que la contraseña tenga al menos ocho caracteres de longitud.

Para extraer el GPO del archivo para su edición

  1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario a la que se haya asignado el rol Editor en AGPM.

  2. En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.

  3. En la pestaña Contenido del panel de detalles, haga clic en la pestaña Controlado para mostrar los GPO controlados.

  4. Haga clic con el botón derecho en MyGPO y, a continuación, haga clic en Desteger.

  5. Escriba un comentario que se mostrará en el historial del GPO mientras está desprotegido y, a continuación, haga clic en Aceptar.

  6. Cuando la ventana Progreso de AGPM indique que el progreso general se ha completado, haga clic en Cerrar. En la pestaña Controlado , el estado del GPO se identifica como Desprotegido.

Para editar el GPO sin conexión y configurar la longitud mínima de la contraseña

  1. En la pestaña Controlado, haga clic con el botón derecho en MyGPO y, a continuación, haga clic en Editar para abrir la ventana editor de objetos directiva de grupo y realizar cambios en una copia sin conexión del GPO. En este escenario, configure la longitud mínima de la contraseña:

    1. En Configuración del equipo, haga doble clic en Configuración de Windows, haga doble clic en Configuración de seguridad, haga doble clic en Directivas de cuenta y haga doble clic en Directiva de contraseña.

    2. En el panel de detalles, haga doble clic en Longitud mínima de contraseña.

    3. En la ventana de propiedades, active la casilla Definir esta configuración de directiva , establezca el número de caracteres en 8 y, a continuación, haga clic en Aceptar.

  2. Cierre la ventana editor de objetos directiva de grupo.

Para comprobar el GPO en el archivo

  1. En la pestaña Controlado , haga clic con el botón derecho en MyGPO y, a continuación, haga clic en Proteger.

  2. Escriba un comentario y, a continuación, haga clic en Aceptar.

  3. Cuando la ventana Progreso de AGPM indique que el progreso general se ha completado, haga clic en Cerrar. En la pestaña Controlado , el estado del GPO se identifica como Protegido.

Para solicitar la implementación del GPO en el entorno de producción

  1. En la pestaña Controlado , haga clic con el botón derecho en MyGPO y, a continuación, haga clic en Implementar.

  2. Dado que esta cuenta no es un aprobador ni un administrador de AGPM, debe enviar una solicitud de implementación. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el campo Cc . Escriba un comentario que se mostrará en el historial del GPO y, a continuación, haga clic en Enviar.

  3. Cuando la ventana Progreso de AGPM indique que el progreso general se ha completado, haga clic en Cerrar. MyGPO se muestra en la lista de GPO en la pestaña Pendiente .

Paso 3: Revisión e implementación de un GPO

En este paso, actuará como aprobador, creando informes y analizando la configuración y los cambios en la configuración del GPO para determinar si debe aprobarlos. Después de evaluar el GPO, lo implementa en el entorno de producción y lo vincula a un dominio o una unidad organizativa (OU) para que surta efecto cuando se actualice directiva de grupo para los equipos de ese dominio o unidad organizativa.

Para revisar la configuración en el GPO

  1. En un equipo en el que haya instalado el cliente de AGPM, inicie sesión con una cuenta de usuario a la que se haya asignado el rol aprobador en AGPM. (Cualquier administrador directiva de grupo con el rol Revisor, que se incluye en todos los demás roles, puede revisar la configuración de un GPO).

  2. Abra la bandeja de entrada de correo electrónico de la cuenta y tenga en cuenta que ha recibido un mensaje de correo electrónico del alias AGPM con la solicitud de un editor para implementar un GPO.

  3. En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.

  4. En la pestaña Contenido del panel de detalles, haga clic en la pestaña Pendiente .

  5. Haga doble clic en MyGPO para mostrar su historial.

  6. Revise la configuración de la versión más reciente de MyGPO:

    1. En la ventana Historial , haga clic con el botón derecho en la versión del GPO con la marca de tiempo más reciente, haga clic en Configuracióny, a continuación, haga clic en Informe HTML para mostrar un resumen de la configuración del GPO.

    2. En el explorador web, haga clic en Mostrar todo para mostrar toda la configuración del GPO.

    3. Cierra el explorador.

  7. Compare la versión más reciente de MyGPO con la primera versión protegida con el archivo:

    1. En la ventana Historial , haga clic en la versión del GPO con la marca de tiempo más reciente. Presione CTRL y haga clic en la versión de GPO más antigua que tenga el estado Desprotegido.

    2. Haga clic en el botón Diferencias . La sección Directivas de cuenta/Directiva de contraseña está resaltada en verde y precedida por [+], lo que indica que esta configuración solo está configurada en la última versión del GPO.

    3. Haga clic en Directivas de cuenta/Directiva de contraseña. La configuración Longitud mínima de contraseña también está resaltada en verde y precedida por [+], lo que indica que solo está configurada en la última versión del GPO.

    4. Cierre el explorador web.

Para implementar el GPO en el entorno de producción

  1. En la pestaña Pendiente , haga clic con el botón derecho en MyGPO y, a continuación, haga clic en Aprobar.

  2. Escriba un comentario para incluirlo en el historial del GPO.

  3. Haz clic en . Cuando la ventana Progreso de AGPM indique que el progreso general se ha completado, haga clic en Cerrar. El GPO se implementa en el entorno de producción.

Para vincular el GPO a un dominio o unidad organizativa

  1. En GPMC, haga clic con el botón derecho en el dominio o una unidad organizativa a la que aplicar el GPO que configuró y, a continuación, haga clic en Vincular un GPO existente.

  2. En el cuadro de diálogo Seleccionar GPO , haga clic en MyGPO y, a continuación, haga clic en Aceptar.

Paso 4: Usar una plantilla para crear un GPO

En este paso, usará una cuenta con el rol Editor para crear una plantilla (una versión estática y no modificable de un GPO para usarla como punto de partida para crear nuevos GPO) y, a continuación, crear un nuevo GPO basado en esa plantilla. Las plantillas son útiles para crear rápidamente varios GPO que incluyen muchos de los mismos valores.

Para crear una plantilla basada en un GPO existente

  1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario a la que se haya asignado el rol Editor en AGPM.

  2. En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.

  3. En la pestaña Contenido del panel de detalles, haga clic en la pestaña Controlado .

  4. Haga clic con el botón derecho en MyGPO y, a continuación, haga clic en Guardar como plantilla para crear una plantilla que incorpore toda la configuración actualmente en MyGPO.

  5. Escriba MyTemplate como nombre de la plantilla y un comentario y, a continuación, haga clic en Aceptar.

  6. Cuando la ventana Progreso de AGPM indique que el progreso general se ha completado, haga clic en Cerrar. La nueva plantilla aparece en la pestaña Plantillas .

Para solicitar la creación de un nuevo GPO administrado a través de AGPM

  1. Haga clic en la pestaña Controlado .

  2. Haga clic con el botón derecho en el nodo Cambiar control y, a continuación, haga clic en Nuevo GPO controlado.

  3. En el cuadro de diálogo Nuevo GPO controlado :

    1. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el campo Cc .

    2. Escriba MyOtherGPO como nombre del nuevo GPO.

    3. Escriba un comentario para el nuevo GPO.

    4. Haga clic en Crear en directo para que el nuevo GPO se implemente en el entorno de producción inmediatamente después de la aprobación.

    5. En Desde plantilla de GPO, seleccione MyTemplate.

    6. Haz clic en Enviar.

  4. Cuando la ventana Progreso de AGPM indique que el progreso general se ha completado, haga clic en Cerrar. El nuevo GPO se muestra en la pestaña Pendiente .

Use una cuenta a la que se haya asignado el rol de Aprobador para aprobar la solicitud pendiente para crear el GPO como hizo en Paso 1: Crear un GPO. MyTemplate incorpora todas las opciones que ha configurado en MyGPO. Dado que MyOtherGPO se creó mediante MyTemplate, inicialmente contiene toda la configuración que MyGPO contenía en el momento en que se creó MyTemplate. Para confirmarlo, genere un informe de diferencias para comparar MyOtherGPO con MyTemplate.

Para extraer el GPO del archivo para su edición

  1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario a la que se haya asignado el rol Editor en AGPM.

  2. Haga clic con el botón derecho en MyOtherGPO y, a continuación, haga clic en Desteger.

  3. Escriba un comentario que se mostrará en el historial del GPO mientras está desprotegido y, a continuación, haga clic en Aceptar.

  4. Cuando la ventana Progreso de AGPM indique que el progreso general se ha completado, haga clic en Cerrar. En la pestaña Controlado , el estado del GPO se identifica como Desprotegido.

Para editar el GPO sin conexión y configurar la duración del bloqueo de la cuenta

  1. En la pestaña Controlado, haga clic con el botón derecho en MyOtherGPO y, a continuación, haga clic en Editar para abrir la ventana Editor de objetos directiva de grupo y realizar cambios en una copia sin conexión del GPO. En este escenario, configure la longitud mínima de la contraseña:

    1. En Configuración del equipo, haga doble clic en Configuración de Windows, haga doble clic en Configuración de seguridad, haga doble clic en Directivas de cuenta y haga doble clic en Directiva de bloqueo de cuenta.

    2. En el panel de detalles, haga doble clic en Duración del bloqueo de cuenta.

    3. En la ventana de propiedades, active Definir esta configuración de directiva, establezca la duración en 30 minutos y, a continuación, haga clic en Aceptar.

  2. Cierre la ventana editor de objetos directiva de grupo.

Compruebe MyOtherGPO en el archivo y solicite la implementación como lo hizo para MyGPO en Paso 2: Editar un GPO. Puede comparar MyOtherGPO con MyGPO o con MyTemplate mediante informes de diferencias. Cualquier cuenta que incluya el rol Revisor (Administrador de AGPM [Control total], Aprobador, Editor o Revisor) puede generar informes.

Para comparar un GPO con otro GPO y con una plantilla

  1. Para comparar MyGPO y MyOtherGPO:

    1. En la pestaña Controlado , haga clic en MyGPO. Presione CTRL y, a continuación, haga clic en MyOtherGPO.

    2. Haga clic con el botón derecho en MyOtherGPO, seleccione Diferencias y haga clic en Informe HTML.

  2. Para comparar MyOtherGPO y MyTemplate:

    1. En la pestaña Controlado , haga clic en MyOtherGPO.

    2. Haga clic con el botón derecho en MyOtherGPO, seleccione Diferencias y haga clic en Plantilla.

    3. Seleccione MyTemplate y HTML Report y, a continuación, haga clic en Aceptar.

Paso 5: Eliminación y restauración de un GPO

En este paso, actuará como aprobador para eliminar un GPO.

Para eliminar un GPO

  1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario a la que se haya asignado el rol aprobador.

  2. En el árbol directiva de grupo Consola de administración, haga clic en Cambiar control en el bosque y dominio en el que desea administrar gpo.

  3. En la pestaña Contenido , haga clic en la pestaña Controlado para mostrar los GPO controlados.

  4. Haga clic con el botón derecho en MyGPO y, a continuación, haga clic en Eliminar. Haga clic en Eliminar GPO del archivo y la producción para eliminar tanto la versión del archivo como la versión implementada del GPO en el entorno de producción.

  5. Escriba un comentario que se mostrará en la pista de auditoría del GPO y, a continuación, haga clic en Aceptar.

  6. Cuando la ventana Progreso de AGPM indique que el progreso general se ha completado, haga clic en Cerrar. El GPO se quita de la pestaña Controlado y se muestra en la pestaña Papelera de reciclaje , donde se puede restaurar o destruir.

En ocasiones, puede detectar después de eliminar un GPO que todavía es necesario. En este paso, actuará como aprobador para restaurar un GPO que se ha eliminado.

Para restaurar un GPO eliminado

  1. En la pestaña Contenido , haga clic en la pestaña Papelera de reciclaje para mostrar los GPO eliminados.

  2. Haga clic con el botón derecho en MyGPO y, a continuación, haga clic en Restaurar.

  3. Escriba un comentario que se mostrará en el historial del GPO y, a continuación, haga clic en Aceptar.

  4. Cuando la ventana Progreso de AGPM indique que el progreso general se ha completado, haga clic en Cerrar. El GPO se quita de la pestaña Papelera de reciclaje y se muestra en la pestaña Controlado .

    Nota La restauración de un GPO en el archivo no lo vuelve a implementar automáticamente en el entorno de producción. Para devolver el GPO al entorno de producción, implemente el GPO como en Paso 3: Revisar e implementar un GPO.

Después de editar e implementar un GPO, es posible que descubra que los cambios recientes en el GPO están causando un problema. En este paso, actuará como aprobador para revertir a una versión anterior del GPO. Puede revertir a cualquier versión del historial del GPO. Puede usar comentarios y etiquetas para identificar las versiones correctas conocidas y cuándo se realizaron cambios específicos.

Para revertir a una versión anterior de un GPO

  1. En la pestaña Contenido , haga clic en la pestaña Controlado para mostrar los GPO controlados.

  2. Haga doble clic en MyGPO para mostrar su historial.

  3. Haga clic con el botón derecho en la versión que se va a implementar, haga clic en Implementary, a continuación, haga clic en .

  4. Cuando la ventana Progreso indique que se ha completado el progreso general, haga clic en Cerrar. En la ventana Historial , haga clic en Cerrar.

    Nota Para comprobar que la versión que se ha vuelto a implementar es la versión prevista, examine un informe de diferencias para las dos versiones. En la ventana Historial del GPO, seleccione las dos versiones, haga clic con el botón derecho en ellas, seleccione Diferencia y, a continuación, haga clic en Informe HTML o Informe XML.