Guía detallada de Administración avanzada de directivas de grupo de Microsoft 4.0

En esta guía paso a paso se muestran técnicas avanzadas para la administración de directiva de grupo que usan directiva de grupo Management Console (GPMC) y Microsoft Advanced directiva de grupo Management (AGPM). AGPM aumenta las capacidades del GPMC, proporcionando lo siguiente:

• Roles estándar para delegar permisos para administrar objetos de directiva de grupo (GPO) a varios administradores de directiva de grupo, además de la capacidad de delegar el acceso a gpo en el entorno de producción.

• Un archivo para permitir que los administradores de directiva de grupo creen y modifiquen GPO sin conexión antes de que los GPO se implementen en un entorno de producción.

• La capacidad de revertir a cualquier versión anterior de un GPO en el archivo y limitar el número de versiones almacenadas en el archivo.

• Funcionalidad de check-in y check-out para gpos para asegurarse de que los administradores de directiva de grupo no sobrescriban involuntariamente el trabajo de los demás.

• La capacidad de buscar GPO con atributos específicos y filtrar la lista de GPO que se muestran.

Introducción al escenario de AGPM

En este escenario, usará una cuenta de usuario independiente para cada rol de AGPM para demostrar cómo se pueden administrar directiva de grupo en un entorno que tiene varios administradores de directiva de grupo que tienen distintos niveles de permisos. En concreto, realizará las siguientes tareas:

• Con una cuenta que sea miembro del grupo Administradores de dominio, instale AGPM Server y asigne el rol de administrador de AGPM a una cuenta o grupo.

• Con las cuentas a las que asignará roles de AGPM, instale el cliente de AGPM.

• Con una cuenta que tenga el rol de administrador de AGPM, configure AGPM y delegue el acceso a los GPO mediante la asignación de roles a otras cuentas.

• Desde una cuenta que tenga el rol Editor, solicite que se cree un nuevo GPO que luego apruebe mediante una cuenta que tenga el rol Aprobador. Use la cuenta del editor para sacar el GPO del archivo, editarlo, comprobarlo en el archivo y, a continuación, solicitar la implementación.

• Con una cuenta que tenga el rol Aprobador, revise el GPO e impleméntela en el entorno de producción.

• Con una cuenta que tenga el rol Editor, cree una plantilla de GPO y úsela como punto de partida para crear un nuevo GPO.

• Con una cuenta que tenga el rol Aprobador, elimine y restaure un GPO.

Requisitos del servidor AGPM

AGPM Server 4.0 requiere Windows Server 2012 o Windows 10 y versiones posteriores y gpmc de herramientas de administración remota del servidor (RSAT). Se admiten versiones de 32 y 64 bits.

Antes de instalar AGPM Server, debe ser miembro del grupo Administradores de dominio y las siguientes características de Windows deben estar presentes a menos que se indique lo contrario:

• GPMC

  • Windows Server 2012 o posterior: si GPMC no está presente, AGPM lo instala automáticamente.

  • Windows 10 o posterior: debe instalar GPMC desde RSAT antes de instalar AGPM. Para obtener más información, vea Herramientas de administración remota del servidor (RSAT) para Windows.

AGPM Server requiere las siguientes características de Windows y se instalarán automáticamente si no están presentes:

• Activación de WCF; Activación no HTTP

• Servicio de activación de procesos de Windows

  • Modelo de proceso

  • El entorno de .NET

  • API de configuración

Requisitos de cliente de AGPM

AGPM Client 4.0 requiere Windows Server 2012 o Windows 10 y versiones posteriores y gpmc de RSAT. Se admiten versiones de 32 y 64 bits. El cliente AGPM se puede instalar en un equipo que ejecuta AGPM Server.

AgPM Client requiere las siguientes características de Windows y, a menos que se indique lo contrario, se instalan automáticamente si no están presentes:

• GPMC

  • Windows Server 2012 y versiones posteriores: si GPMC no está presente, AGPM lo instala automáticamente.

  • Windows 10 y versiones posteriores: debe instalar GPMC desde RSAT antes de instalar AGPM. Para obtener más información, vea Herramientas de administración remota del servidor (RSAT) para Windows.

Requisitos del escenario

Antes de comenzar este escenario, cree cuatro cuentas de usuario. Durante el escenario, asignará uno de los siguientes roles de AGPM a cada una de estas cuentas: Administrador de AGPM (control total), Aprobador, Editor y Revisor. Estas cuentas deben poder enviar y recibir mensajes de correo electrónico. Asigne el permiso Vincular GPO a las cuentas que tienen los roles Administrador, Aprobador y Editor de AGPM.

Nota

De forma predeterminada, el permiso Vincular GPO se asigna a los miembros de administradores de dominio y administradores de empresa. Para asignar el permiso Vincular GPO a usuarios o grupos adicionales (como cuentas que tienen los roles de administrador o aprobador de AGPM), seleccione el nodo para el dominio y, a continuación, seleccione la pestaña Delegación , seleccione Vincular GPO, seleccione Agregar y seleccione los usuarios o grupos a los que desea asignar el permiso.

Pasos para instalar y configurar AGPM

Debe completar los pasos siguientes para instalar y configurar AGPM.

Paso 1: Instalación del servidor AGPM

Paso 2: Instalación del cliente AGPM

Paso 3: Configurar una conexión del servidor AGPM

Paso 4: Configurar la notificación por correo electrónico

Paso 5: Delegar el acceso

Paso 1: Instalación del servidor AGPM

En este paso, instalará AGPM Server en el servidor miembro o controlador de dominio que ejecutará el servicio AGPM y configurará el archivo. Todas las operaciones de AGPM se administran a través de este servicio de Windows y se ejecutan con las credenciales del servicio. El archivo administrado por un servidor AGPM se puede hospedar en ese servidor o en otro servidor del mismo bosque.

Para instalar AGPM Server en el equipo que hospedará el servicio AGPM

1. Inicie sesión con una cuenta que sea miembro del grupo Administradores de dominio.

2. Inicie el CD de Microsoft Desktop Optimization Pack y siga las instrucciones de la pantalla para seleccionar Advanced directiva de grupo Management - Server (Administración avanzada de directiva de grupo : servidor).

3. En el cuadro de diálogo Bienvenida , seleccione Siguiente.

4. En el cuadro de diálogo Términos de licencia de software de Microsoft , acepte los términos y, a continuación, seleccione Siguiente.

5. En el cuadro de diálogo Ruta de acceso de la aplicación, seleccione una ubicación en la que instalar AGPM Server. El equipo en el que está instalado AGPM Server hospedará el servicio AGPM y administrará el archivo. Selecciona Siguiente.

6. En el cuadro de diálogo Ruta de acceso de archivo, seleccione una ubicación para el archivo en relación con el servidor AGPM. La ruta de acceso de archivo puede apuntar a una carpeta en el servidor AGPM o en otro lugar. Sin embargo, debe seleccionar una ubicación con espacio suficiente para almacenar todos los GPO y los datos del historial administrados por este servidor AGPM. Selecciona Siguiente.

7. En el cuadro de diálogo AgPM Service Account (Cuenta de servicio de AGPM ), seleccione una cuenta de servicio en la que se ejecuta el servicio AGPM y, a continuación, seleccione Siguiente.

   Esta cuenta debe ser miembro del grupo Administradores de dominio o, para una configuración con privilegios mínimos, los siguientes grupos en cada dominio administrado por el servidor AGPM:

   • Propietarios de directiva de grupo Creador

   • Operadores de copia de seguridad

   Esta cuenta debe ser miembro del grupo de administradores local en el equipo del servidor AGPM. Esto es necesario para controlar correctamente

   Además, esta cuenta requiere el permiso Control total para las carpetas siguientes:

   • La carpeta de archivo AGPM, para la que se concede automáticamente este permiso durante la instalación de AGPM Server si está instalado en una unidad local.

   • La carpeta temporal del sistema local, normalmente %windir%\temp.

8. En el cuadro de diálogo Propietario de archivo , seleccione una cuenta o grupo al que asigne el rol Administrador de AGPM (control total). Los administradores de AGPM pueden asignar roles y permisos de AGPM a otros administradores de directiva de grupo, de modo que más adelante pueda asignar el rol de administrador de AGPM a otros administradores de directiva de grupo. En este escenario, seleccione la cuenta que se va a atender en el rol de administrador de AGPM. Selecciona Siguiente.

9. En el cuadro de diálogo Configuración de puerto , escriba un puerto en el que el servicio AGPM debe escuchar. No desactive la casilla Agregar excepción de puerto al firewall a menos que configure manualmente las excepciones de puerto o use reglas para configurar las excepciones de puerto. Selecciona Siguiente.

10. En el cuadro de diálogo Idiomas , seleccione uno o varios idiomas de presentación para instalar para AGPM Server.

11. Seleccione Instalar y, a continuación, seleccione Finalizar para salir del Asistente para la instalación.

    Precaución
    No cambie la configuración del servicio AGPM a través de herramientas y serviciosadministrativos en el sistema operativo. Esto puede impedir que se inicie el servicio AGPM. Para obtener información sobre cómo cambiar la configuración del servicio, consulte Ayuda para advanced directiva de grupo Management.

Paso 2: Instalación del cliente AGPM

Cada administrador de directiva de grupo (cualquier persona que cree, edite, implemente, revise o elimine GPO) debe tener el cliente de AGPM instalado en los equipos que usan para administrar GPO. El nodo Control de cambios, que se usa para realizar muchas de las tareas de administración de GPO, aparece en la consola de administración de directiva de grupo solo si instala el cliente de AGPM. En este escenario, instalará el cliente AGPM en al menos un equipo. No es necesario instalar el cliente AGPM en los equipos de los usuarios finales que no realizan directiva de grupo administración.

Para instalar el cliente AGPM en el equipo de un administrador de directiva de grupo

1. Inicie el CD de Microsoft Desktop Optimization Pack y siga las instrucciones que aparecen en pantalla para seleccionar Advanced directiva de grupo Management - Client (Administración avanzada de directiva de grupo: cliente).

2. En el cuadro de diálogo Bienvenida , seleccione Siguiente.

3. En el cuadro de diálogo Términos de licencia de software de Microsoft , acepte los términos y, a continuación, seleccione Siguiente.

4. En el cuadro de diálogo Ruta de acceso de la aplicación, seleccione una ubicación en la que instalar el cliente AGPM. Selecciona Siguiente.

5. En el cuadro de diálogo Servidor AGPM , escriba el nombre DNS o la dirección IP del servidor AGPM y el puerto al que desea conectarse. El puerto predeterminado para el servicio AGPM es 4600. No desactive la casilla Permitir Microsoft Management Console a través del firewall a menos que configure manualmente las excepciones de puerto o use reglas para configurar las excepciones de puerto. Selecciona Siguiente.

6. En el cuadro de diálogo Idiomas , seleccione uno o varios idiomas para mostrar que se van a instalar para el cliente AGPM.

7. Seleccione Instalar y, a continuación, seleccione Finalizar para salir del Asistente para la instalación.

Paso 3: Configurar una conexión del servidor AGPM

AGPM almacena todas las versiones de cada objeto de directiva de grupo controlado (GPO), es decir, cada GPO para el que AGPM proporciona el control de cambios, en un archivo central. Esto permite a los administradores directiva de grupo ver y cambiar los GPO sin conexión sin afectar inmediatamente a la versión implementada de cada GPO.

En este paso, configurará una conexión de AGPM Server y se asegurará de que todos los administradores de directiva de grupo se conecten al mismo servidor AGPM. (Para obtener información sobre cómo configurar varios servidores AGPM, consulte Ayuda para advanced directiva de grupo Management).

Para configurar una conexión del servidor AGPM para todos los administradores de directiva de grupo

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de usuario que seleccionó como propietario de archivo. Este usuario tiene el rol de administrador de AGPM (control total).

2. Seleccione Inicio, seleccione Herramientas administrativas y, a continuación, seleccione Administración de directiva de grupo para abrir la GPMC.

3. Edite un GPO que se aplique a todos los administradores de directiva de grupo.

4. En la ventana editor de administración de directiva de grupo, seleccione dos opciones: Configuración de usuario, Directivas, Plantillas administrativas, Componentes de Windows y AGPM.

5. En el panel de detalles, seleccione doble AGPM: especifique el servidor AGPM predeterminado (todos los dominios).

6. En la ventana Propiedades , seleccione Habilitado y escriba el nombre DNS o la dirección IP y el puerto (por ejemplo, server.contoso.com:4600) para el servidor que hospeda el archivo. De forma predeterminada, el servicio AGPM usa el puerto 4600.

7. Seleccione Aceptar y, a continuación, cierre la ventana editor de administración de directiva de grupo. Cuando se actualiza directiva de grupo, la conexión del servidor AGPM se configura para cada administrador de directiva de grupo.

Paso 4: Configurar la notificación por correo electrónico

Como administrador de AGPM (control total), designa las direcciones de correo electrónico de los aprobadores y administradores de AGPM a los que se envía un mensaje de correo electrónico que contiene una solicitud cuando un editor intenta crear, implementar o eliminar un GPO. También determina el alias desde el que se envían estos mensajes.

Para configurar la notificación por correo electrónico para AGPM

1. En directiva de grupo Editor de administración, vaya a la carpeta Control de cambios.

2. En el panel de detalles, seleccione la pestaña Delegación de dominio .

3. En el campo Desde dirección de correo electrónico , escriba el alias de correo electrónico de AGPM desde el que se deben enviar las notificaciones.

4. En el campo Para dirección de correo electrónico , escriba la dirección de correo electrónico de la cuenta de usuario a la que tiene previsto asignar el rol Aprobador.

5. En el campo Servidor SMTP , escriba un servidor de correo SMTP válido.

6. En los campos Nombre de usuario y Contraseña , escriba las credenciales de un usuario que tenga acceso al servicio SMTP. Seleccione Aplicar.

Paso 5: Delegar el acceso

Como administrador de AGPM (control total), delega el acceso de nivel de dominio a los GPO y asigna roles a la cuenta de cada administrador de directiva de grupo.

Nota

También puede delegar el acceso en el nivel de GPO en lugar del nivel de dominio. Para obtener más información, consulte Ayuda para advanced directiva de grupo Management.

Importante

Debe restringir la pertenencia al grupo propietarios de creadores de directiva de grupo para que no se pueda usar para eludir la administración de AGPM del acceso a gpo. (En la consola de administración de directiva de grupo, seleccione directiva de grupo Objetos en el bosque y dominio en el que desea administrar gpo, seleccione Delegación y, a continuación, configure los valores para satisfacer las necesidades de su organización).

Para delegar el acceso a todos los GPO en un dominio

1. En la pestaña Delegación de dominio, seleccione el botón Agregar, seleccione la cuenta de usuario del administrador de directiva de grupo para que actúe como Aprobador y, a continuación, seleccione Aceptar.

2. En el cuadro de diálogo Agregar grupo o usuario , seleccione el rol Aprobador para asignar ese rol a la cuenta y, a continuación, seleccione Aceptar. (Este rol incluye el rol Revisor).

3. Seleccione el botón Agregar, seleccione la cuenta de usuario del administrador de directiva de grupo para que actúe como Editor y, a continuación, seleccione Aceptar.

4. En el cuadro de diálogo Agregar grupo o usuario , seleccione el rol Editor para asignar ese rol a la cuenta y, a continuación, seleccione Aceptar. (Este rol incluye el rol Revisor).

5. Seleccione el botón Agregar, seleccione la cuenta de usuario del administrador de directiva de grupo para que actúe como revisor y, a continuación, seleccione Aceptar.

6. En el cuadro de diálogo Agregar grupo o usuario , seleccione el rol Revisor para asignar solo ese rol a la cuenta.

Pasos para administrar GPO

Debe completar los pasos siguientes para crear, editar, revisar e implementar GPO mediante AGPM. Además, creará una plantilla, eliminará un GPO y restaurará un GPO eliminado.

Paso 1: Crear un GPO

Paso 2: Editar un GPO

Paso 3: Revisión e implementación de un GPO

Paso 4: Usar una plantilla para crear un GPO

Paso 5: Eliminación y restauración de un GPO

Paso 1: Crear un GPO

En un entorno que tiene varios administradores de directiva de grupo, aquellos con el rol Editor pueden solicitar la creación de nuevos GPO. Sin embargo, esa solicitud debe ser aprobada por alguien con el rol Aprobador.

En este paso, usará una cuenta que tenga el rol Editor para solicitar que se cree un nuevo GPO. Con una cuenta que tenga el rol Aprobador, aprobará esta solicitud para crear el GPO.

Para solicitar que se cree y administre un nuevo GPO a través de AGPM

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario a la que se le asigne el rol Editor en AGPM.

2. En el árbol directiva de grupo Consola de administración, seleccione Cambiar control en el bosque y dominio en el que desea administrar gpo.

3. Seleccione con el botón derecho el nodo Cambiar control y, a continuación, seleccione Nuevo GPO controlado.

4. En el cuadro de diálogo Nuevo GPO controlado :

   1. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el campo Cc .

   2. Escriba MyGPO como nombre del nuevo GPO.

   3. Escriba un comentario para el nuevo GPO.

   4. Seleccione Crear en directo para que el nuevo GPO se implemente en el entorno de producción inmediatamente después de su aprobación. Selecciona Enviar.

5. Cuando la ventana Progreso de AGPM indique que se ha completado el progreso general, seleccione Cerrar. El nuevo GPO se muestra en la pestaña Pendiente .

Para aprobar la solicitud pendiente para crear un GPO

1. En un equipo en el que haya instalado el cliente de AGPM, inicie sesión con una cuenta de usuario que tenga el rol aprobador en AGPM.

2. Abra la bandeja de entrada de correo electrónico de la cuenta y observe que ha recibido un mensaje de correo electrónico del alias AGPM con la solicitud del editor para crear un GPO.

3. En el árbol directiva de grupo Consola de administración, seleccione Cambiar control en el bosque y dominio en el que desea administrar gpo.

4. En la pestaña Contenido , seleccione la pestaña Pendiente para mostrar los GPO pendientes.

5. Seleccione MyGPO con el botón derecho y, a continuación, seleccione Aprobar.

6. Seleccione Sí para confirmar la aprobación y mover el GPO a la pestaña Controlado .

Paso 2: Editar un GPO

Puede usar GPO para configurar el equipo o el usuario e implementarlos en muchos equipos o usuarios. En este paso, usará una cuenta que tenga el rol Editor para desproteger un GPO del archivo, editar el GPO sin conexión, comprobar el GPO editado en el archivo y solicitar la implementación del GPO en el entorno de producción. En este escenario, configurará una configuración en el GPO para requerir que la contraseña tenga al menos ocho caracteres.

Para extraer el GPO del archivo para su edición

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario que tenga el rol Editor en AGPM.

2. En el árbol directiva de grupo Consola de administración, seleccione Cambiar control en el bosque y dominio en el que desea administrar gpo.

3. En la pestaña Contenido del panel de detalles, seleccione la pestaña Controlado para mostrar los GPO controlados.

4. Seleccione MyGPO con el botón derecho y, a continuación, seleccione Desteger.

5. Escriba un comentario que se mostrará en el historial del GPO mientras está desprotegido y, a continuación, seleccione Aceptar.

6. Cuando la ventana Progreso de AGPM indique que se ha completado el progreso general, seleccione Cerrar. En la pestaña Controlado , el estado del GPO se identifica como Desprotegido.

Para editar el GPO sin conexión y configurar la longitud mínima de la contraseña

1. En la pestaña Controlado, seleccione MyGPO con el botón derecho y, a continuación, seleccione Editar para abrir la ventana Editor de administración de directiva de grupo y cambiar una copia sin conexión del GPO. Para este escenario, configure la longitud mínima de la contraseña:

   1. En Configuración del equipo, seleccione dos opciones : Directivas, Configuración de Windows, Configuración de seguridad, Directivas de cuenta y Directiva de contraseña.

   2. En el panel de detalles, haga doble clic en Longitud mínima de contraseña.

   3. En la ventana de propiedades, active la casilla Definir esta configuración de directiva , establezca el número de caracteres en 8 y, a continuación, seleccione Aceptar.

2. Cierre la ventana Editor de administración de directiva de grupo.

Para comprobar el GPO en el archivo

1. En la pestaña Controlado, seleccione MyGPO con el botón derecho y, a continuación, seleccione Check In.

2. Escriba un comentario y, a continuación, seleccione Aceptar.

3. Cuando la ventana Progreso de AGPM indique que se ha completado el progreso general, seleccione Cerrar. En la pestaña Controlado , el estado del GPO se identifica como Protegido.

Para solicitar la implementación del GPO en el entorno de producción

1. En la pestaña Controlado , seleccione MyGPO con el botón derecho y, a continuación, seleccione Implementar.

2. Dado que esta cuenta no es un aprobador ni un administrador de AGPM, debe enviar una solicitud de implementación. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el campo Cc . Escriba un comentario que se mostrará en el historial del GPO y, a continuación, seleccione Enviar.

3. Cuando la ventana Progreso de AGPM indique que se ha completado el progreso general, seleccione Cerrar. MyGPO se muestra en la lista de GPO en la pestaña Pendiente .

Paso 3: Revisión e implementación de un GPO

En este paso, actuará como aprobador, creando informes y analizando la configuración y los cambios en la configuración del GPO para determinar si debe aprobarlos. Después de evaluar el GPO, lo implementa en el entorno de producción y vincula el GPO a un dominio o una unidad organizativa (UO). El GPO surte efecto cuando se actualice directiva de grupo para los equipos de ese dominio o unidad organizativa.

Para revisar la configuración en el GPO

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario a la que se le asigne el rol aprobador en AGPM. Cualquier administrador directiva de grupo con el rol Revisor, que se incluye en todos los demás roles, puede revisar la configuración de un GPO.

2. Abra la bandeja de entrada de correo electrónico de la cuenta y observe que ha recibido un mensaje de correo electrónico del alias AGPM con la solicitud de un editor para implementar un GPO.

3. En el árbol directiva de grupo Consola de administración, seleccione Cambiar control en el bosque y dominio en el que desea administrar gpo.

4. En la pestaña Contenido del panel de detalles, seleccione la pestaña Pendiente .

5. Haga doble clic en MyGPO para mostrar su historial.

6. Revise la configuración de la versión más reciente de MyGPO:

   1. En la ventana Historial , seleccione con el botón derecho la versión del GPO con la marca de tiempo más reciente, seleccione Configuración y, a continuación, seleccione Informe HTML para mostrar un resumen de la configuración del GPO.

   2. En el explorador web, seleccione Mostrar todo para mostrar toda la configuración del GPO. Cierra el explorador.

7. Compare la versión más reciente de MyGPO con la primera versión protegida con el archivo:

   1. En la ventana Historial , seleccione la versión del GPO con la marca de tiempo más reciente. Presione CTRL y, a continuación, seleccione la versión de GPO más antigua para la que la versión del equipo no \es *.

   2. Seleccione el botón Diferencias . La sección Directivas de cuenta/Directiva de contraseña está resaltada en verde y precedida por [+]. Esto indica que la configuración solo está configurada en la última versión del GPO.

   3. Seleccione Directivas de cuenta/Directiva de contraseña. La configuración Longitud mínima de contraseña también está resaltada en verde y precedida por [+], lo que indica que solo está configurada en la última versión del GPO.

   4. Cierre el explorador web.

Para implementar el GPO en el entorno de producción

1. En la pestaña Pendiente , seleccione MyGPO con el botón derecho y, a continuación, seleccione Aprobar.

2. Escriba un comentario para incluirlo en el historial del GPO.

3. Seleccione Sí. Cuando la ventana Progreso de AGPM indique que se ha completado el progreso general, seleccione Cerrar. El GPO se implementa en el entorno de producción.

Para vincular el GPO a un dominio o unidad organizativa

1. En GPMC, seleccione con el botón derecho el dominio o una unidad organizativa (OU) a la que quiera aplicar el GPO que configuró y, a continuación, seleccione Vincular un GPO existente.

2. En el cuadro de diálogo Seleccionar GPO , seleccione MyGPO y, a continuación, seleccione Aceptar.

Paso 4: Usar una plantilla para crear un GPO

En este paso, usará una cuenta que tenga el rol Editor para crear y usar una plantilla. Esa plantilla es una versión estática de un GPO para su uso como punto de partida para crear nuevos GPO. Aunque no puede editar una plantilla, puede crear un gpo basado en una plantilla. Las plantillas son útiles para crear rápidamente varios GPO que incluyen muchas de las mismas configuraciones de directiva.

Para crear una plantilla basada en un GPO existente

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario a la que se le asigne el rol Editor en AGPM.

2. En el árbol directiva de grupo Consola de administración, seleccione Cambiar control en el bosque y dominio en el que desea administrar gpo.

3. En la pestaña Contenido del panel de detalles, seleccione la pestaña Controlado .

4. Seleccione MyGPO con el botón derecho y, a continuación, seleccione Guardar como plantilla para crear una plantilla que incorpore toda la configuración actualmente en MyGPO.

5. Escriba MyTemplate como nombre de la plantilla y un comentario y, a continuación, seleccione Aceptar.

6. Cuando la ventana Progreso de AGPM indique que se ha completado el progreso general, seleccione Cerrar. La nueva plantilla aparece en la pestaña Plantillas .

Para solicitar que se cree y administre un nuevo GPO a través de AGPM

1. Seleccione la pestaña Controlado .

2. Seleccione con el botón derecho el nodo Cambiar control y, a continuación, seleccione Nuevo GPO controlado.

3. En el cuadro de diálogo Nuevo GPO controlado :

   1. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el campo Cc .

   2. Escriba MyOtherGPO como nombre del nuevo GPO.

   3. Escriba un comentario para el nuevo GPO.

   4. Seleccione Crear en directo para que el nuevo GPO se implemente en el entorno de producción inmediatamente después de su aprobación.

   5. En Desde plantilla de GPO, seleccione MyTemplate. Selecciona Enviar.

4. Cuando la ventana Progreso de AGPM indique que se ha completado el progreso general, seleccione Cerrar. El nuevo GPO se muestra en la pestaña Pendiente .

Use una cuenta a la que se le asigne el rol aprobador para aprobar la solicitud pendiente para crear el GPO como hizo en Paso 1: Crear un GPO. MyTemplate incorpora toda la configuración que ha configurado en MyGPO. Dado que MyOtherGPO se creó mediante MyTemplate, en un principio contiene toda la configuración que MyGPO contenía en el momento en que se creó MyTemplate. Para confirmarlo, genere un informe de diferencias para comparar MyOtherGPO con MyTemplate.

Para extraer el GPO del archivo para su edición

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario a la que se le asigne el rol Editor en AGPM.

2. Seleccione MyOtherGPO con el botón derecho y, a continuación, seleccione Desteger.

3. Escriba un comentario que se mostrará en el historial del GPO mientras está desprotegido y, a continuación, seleccione Aceptar.

4. Cuando la ventana Progreso de AGPM indique que se ha completado el progreso general, seleccione Cerrar. En la pestaña Controlado , el estado del GPO se identifica como Desprotegido.

Para editar el GPO sin conexión y configurar la duración del bloqueo de la cuenta

1. En la pestaña Controlado, seleccione MyOtherGPO con el botón derecho y, a continuación, seleccione Editar para abrir la ventana Editor de administración de directiva de grupo y cambiar una copia sin conexión del GPO. Para este escenario, configure la longitud mínima de la contraseña:

   1. En Configuración del equipo, seleccione dos opciones : Directivas, Configuración de Windows, Configuración de seguridad, Directivas de cuenta y Directiva de bloqueo de cuenta.

   2. En el panel de detalles, haga doble clic en Duración del bloqueo de cuenta.

   3. En la ventana de propiedades, active Definir esta configuración de directiva, establezca la duración en 30 minutos y, a continuación, seleccione Aceptar.

2. Cierre la ventana Editor de administración de directiva de grupo.

Compruebe MyOtherGPO en el archivo y solicite la implementación como lo hizo para MyGPO en Paso 2: Editar un GPO. Puede comparar MyOtherGPO con MyGPO o con MyTemplate mediante informes de diferencias. Cualquier cuenta que incluya el rol Revisor (Administrador de AGPM [Control total], Aprobador, Editor o Revisor) puede generar informes.

Para comparar un GPO con otro GPO y con una plantilla

1. Para comparar MyGPO y MyOtherGPO:

   1. En la pestaña Controlado , seleccione MyGPO. Presione CTRL y, a continuación, seleccione MyOtherGPO.

   2. Seleccione MyOtherGPO con el botón derecho, seleccione Diferencias y, a continuación, seleccione Informe HTML.

2. Para comparar MyOtherGPO y MyTemplate:

   1. En la pestaña Controlado , seleccione MyOtherGPO.

   2. Seleccione MyOtherGPO con el botón derecho, seleccione Diferencias y, a continuación, seleccione Plantilla.

   3. Seleccione MyTemplate y HTML Report y, a continuación, seleccione Aceptar.

Paso 5: Eliminación y restauración de un GPO

En este paso, actuará como aprobador para eliminar un GPO.

Para eliminar un GPO

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con una cuenta de usuario a la que se le asigne el rol aprobador.

2. En el árbol directiva de grupo Consola de administración, seleccione Cambiar control en el bosque y dominio en el que desea administrar gpo.

3. En la pestaña Contenido , seleccione la pestaña Controlado para mostrar los GPO controlados.

4. Seleccione MyGPO con el botón derecho y, a continuación, seleccione Eliminar. Seleccione Eliminar GPO de archivo y producción para eliminar la versión del archivo y la versión implementada del GPO en el entorno de producción.

5. Escriba un comentario que se mostrará en la pista de auditoría del GPO y, a continuación, seleccione Aceptar.

6. Cuando la ventana Progreso de AGPM indique que se ha completado el progreso general, seleccione Cerrar. El GPO se quita de la pestaña Controlado y se muestra en la pestaña Papelera de reciclaje , donde se puede restaurar o destruir.

En ocasiones, es posible que descubra después de eliminar un GPO que todavía se necesita. En este paso, actuará como aprobador para restaurar un GPO que se eliminó.

Para restaurar un GPO eliminado

1. En la pestaña Contenido , seleccione la pestaña Papelera de reciclaje para mostrar los GPO eliminados.

2. Seleccione MyGPO con el botón derecho y, a continuación, seleccione Restaurar.

3. Escriba un comentario que se mostrará en el historial del GPO y, a continuación, seleccione Aceptar.

4. Cuando la ventana Progreso de AGPM indique que se ha completado el progreso general, seleccione Cerrar. El GPO se quita de la pestaña Papelera de reciclaje y se muestra en la pestaña Controlado .

   Nota

   La restauración de un GPO en el archivo no lo vuelve a implementar automáticamente en el entorno de producción. Para devolver el GPO al entorno de producción, implemente el GPO como en Paso 3: Revisar e implementar un GPO.

Después de editar e implementar un GPO, es posible que descubra que los cambios recientes en el GPO están causando un problema. En este paso, actuará como aprobador para revertir a una versión anterior del GPO. Puede revertir a cualquier versión del historial del GPO. Puede usar comentarios y etiquetas para identificar las versiones correctas conocidas y cuándo se realizaron cambios específicos.

Para revertir a una versión anterior de un GPO

1. En la pestaña Contenido , seleccione la pestaña Controlado para mostrar los GPO controlados.

2. Haga doble clic en MyGPO para mostrar su historial.

3. Seleccione con el botón derecho la versión que se va a implementar, seleccione Implementar y, a continuación, seleccione Sí.

4. Cuando la ventana Progreso indique que se ha completado el progreso general, seleccione Cerrar. En la ventana Historial , seleccione Cerrar.

   Nota

   Para comprobar que la versión que se reimplementó es la versión prevista, examine un informe de diferencias para las dos versiones. En la ventana Historial del GPO, seleccione las dos versiones, haga clic con el botón derecho en ellas, seleccione Diferencia y, a continuación, seleccione Informe HTML o Informe XML.