Guía paso a paso de Administración avanzada de directivas de grupo de Microsoft 3.0

En esta guía paso a paso se describen las técnicas avanzadas para la administración de directivas de grupo usando la Consola de administración de directivas de grupo (GPMC) y Administración avanzada de directivas de grupo (AGPM) de Microsoft. AGPM aumenta las capacidades de la Consola, proporcionando:

• Funciones estándar para delegar los permisos con el fin de administrar los objetos de directiva de grupo (GPO) a varios administradores de directivas de grupo, así como la capacidad de delegar el acceso a los GPO en el entorno de producción.

• Un archivo para que los administradores de directivas de grupo creen y modifiquen GPO sin conexión antes de implementarlos en un entorno de producción.

• La capacidad de revertir a una versión anterior de un GPO en el archivo y limitar el número de versiones almacenadas en el archivo.

• Capacidad de protección/desprotección de los GPO para asegurar que los administradores de la directiva de grupo no sobrescriben inadvertidamente el trabajo de los otros.

Introducción al escenario de AGPM

Para este escenario, se utilizará una cuenta de usuario separada para cada función de AGPM para mostrar cómo se puede administrar la directiva de grupo en un entorno con varios administradores de directivas de grupo que tienen diferentes niveles de permisos. Específicamente, se realizarán las siguientes tareas:

• Con una cuenta que sea miembro del grupo de administradores del dominio, instalar el servidor AGPM y asignar la función de administrador de AGPM a una cuenta o grupo.

• Con cuentas a las que se asignarán las funciones de AGPM, instalar el cliente AGPM.

• Con una cuenta con la función de administrador de AGPM, configurar AGPM y delegar el acceso a los GPO asignando funciones a otras cuentas.

• Con una cuenta con la función de editor, solicitar la creación de un GPO, para aprobarlo luego con una cuenta con la función de aprobador. Con la cuenta de editor, desproteger el GPO del archivo, editar el GPO, proteger el GPO en el archivo y solicitar su implementación.

• Con una cuenta con la función de aprobador, revisar el GPO e implementarlo en su entorno de producción.

• Con una cuenta con la función de editor, crear una plantilla de GPO y usarla como un punto de partida para crear un nuevo GPO.

• Con una cuenta con función de aprobador, eliminar y restaurar un GPO.

Requisitos

Los equipos en los que desee instalar AGPM deben cumplir los siguientes requisitos y asimismo debe crear cuentas para utilizarlas en este escenario.

Nota

Si está instalado AGPM 2.5 y se está actualizando de Windows Server® 2003 a Windows Server 2008 o Windows Vista® sin Service Pack instalado a Windows Vista con Service Pack 1, debe actualizar el sistema operativo antes de poder actualizarse a AGPM 3.0.

Requisitos del servidor AGPM

Es necesario tener instalado Windows Server 2008 o Windows Vista con Service Pack 1 y la GPMC de las Herramientas de administración remota del servidor (RSAT) para el servidor AGPM 3.0. Se admiten ambas versiones de 32 bits y de 64 bits.

Antes de instalar el servidor AGPM, debe ser un miembro del grupo Admins. del dominio y deben estar instaladas las siguientes funciones de Windows, a menos que se especifique lo contrario:

• GPMC

  • Windows Server 2008: AGPM instala automáticamente la GPMC si ésta no está instalada.

  • Windows Vista: debe instalar la GPMC de RSAT antes de instalar AGPM. Para obtener más información, consultehttps://go.microsoft.com/fwlink/?LinkID=116179.

• .NET Framework 3,5

El servidor AGPM requiere las características de Windows siguientes, que se instalarán automáticamente si no están presentes:

• Activación WCF; activación no HTTP

• Servicio WAS (Windows Process Activation Service)

  • Modelo de proceso

  • Entorno de .NET

  • API de configuración

Requisitos del cliente AGPM

Es necesario tener instalado Windows Server 2008 o Windows Vista con Service Pack 1 y la GPMC de las Herramientas de administración remota del servidor (RSAT) para el cliente AGPM 3.0. Se admiten ambas versiones de 32 bits y de 64 bits. El cliente AGPM se puede instalar en un equipo que ejecuta el servidor AGPM.

El cliente AGPM requiere las siguientes características de Windows, que se instalarán automáticamente si no están presentes, a menos que se especifique lo contrario:

• GPMC

  • Windows Server 2008: AGPM instala automáticamente la GPMC si ésta no está instalada.

  • Windows Vista: debe instalar la GPMC de RSAT antes de instalar AGPM. Para obtener más información, consultehttps://go.microsoft.com/fwlink/?LinkID=116179.

• .NET Framework 3.0

Requisitos del escenario

Antes de comenzar este escenario, debe crear cuatro cuentas de usuario. Durante el escenario, va a asignar una de las siguientes funciones de AGPM a cada una de estas cuentas: Administrador de AGPM (Control total), Aprobador, Editor y Revisor. Estas cuentas deben poder enviar y recibir mensajes de correo electrónico. Asigne el permiso Vincular Objetos de directiva de grupo a las cuentas con las funciones de administrador de AGPM, aprobador y (opcionalmente) editor.

Nota

El permiso Vincular Objetos de directiva de grupo se asigna a los miembros de administradores de dominio y administradores de organización. Para asignar el permiso Vincular Objetos de directiva de grupo a usuarios o grupos adicionales (como cuentas con las funciones de administrador o aprobador de AGPM), haga clic en el nodo del dominio y, a continuación, haga clic en la ficha Delegación, seleccione Vincular Objetos de directiva de grupo, haga clic en Agregar y seleccione los usuarios o grupos a los que va a asignar el permiso.

Pasos para instalar y configurar AGPM

Debe completar los pasos siguientes para instalar y configurar AGPM.

Paso 1: Instalar el servidor AGPM

Paso 2: Instalar el cliente AGPM

Paso 3: Configurar una conexión del servidor AGPM

Paso 4: Configurar notificaciones de correo electrónico

Paso 5: Delegar el acceso

Paso 1: Instalar el servidor AGPM

En este paso, va a instalar el servidor AGPM en el servidor miembro o controlador de dominio que ejecutará el servicio AGPM y se configura el archivo. Todas las operaciones de AGPM están administradas a través de este servicio Windows y se ejecutan con las credenciales del servicio. El archivo administrado por un servidor AGPM se puede alojar en dicho servidor o en otro servidor del mismo bosque.

Para instalar el servidor AGPM en el equipo que alojará el servicio AGPM

1. Inicie sesión con una cuenta que sea miembro del grupo de administradores de dominio.

2. Inicie el CD de Microsoft Desktop Optimization Pack y siga las instrucciones que aparecen en pantalla para seleccionar Administración avanzada de directivas de grupo de Microsoft: servidor.

3. En el cuadro de diálogo Bienvenida, haga clic en Siguiente.

4. En el cuadro de diálogo Términos de licencia del software de Microsoft, acepte los términos y haga clic en Siguiente.

5. En el cuadro de diálogo Ruta de acceso de la aplicación, seleccione una ubicación en donde instalar el servidor AGPM. El equipo en el que se instala el servidor AGPM alojará el servicio AGPM y administrará el archivo. Haga clic en Siguiente.

6. En el cuadro de diálogo Ruta de acceso del archivo, seleccione una ubicación para el archivo relativo al servidor AGPM. La ruta de acceso del archivo puede indicar una carpeta en el servidor AGPM o cualquier otro lado, pero debería seleccionar una ubicación con espacio suficiente para almacenar todos los objetos de directiva de grupo y los datos del historial administrados por este servidor AGPM. Haga clic en Siguiente.

7. En el cuadro de diálogo Cuenta de servicio AGPM, seleccione una cuenta de servicio bajo la cual se ejecutará el servicio AGPM y, a continuación, haga clic en Siguiente.

8. En el cuadro de diálogo Propietario del archivo, seleccione una cuenta o grupo al que se asignará inicialmente la función de administrador de AGPM (Control total). Este administrador AGPM puede asignar funciones y permisos AGPM a otros administradores de directivas de grupo (incluyendo la función de administrador de AGPM). Para este escenario, seleccione la cuenta en la que va a operar la función de administrador de AGPM. Haga clic en Siguiente.

9. En el cuadro de diálogo Configuración de puerto, escriba el puerto en el que debería escuchar el servicio AGPM. No desactive la casilla de verificación Agregar una excepción de puerto al firewall a no ser que se configuren manualmente las excepciones de puerto o se utilicen reglas para configurar las excepciones de puerto. Haga clic en Siguiente.

10. En el cuadro de diálogo Idiomas, seleccione uno o más idiomas de visualización que se instalarán para el servidor AGPM.

11. Haga clic en Instalar y, a continuación, haga clic en Finalizar para salir del Asistente para la instalación.

    Advertencia

    No modifique la configuración del servicio AGPM con las Herramientas administrativas y Servicios del sistema operativo. Si lo hace, puede impedir que se inicie el servicio AGPM. Para obtener más información sobre cómo modificar la configuración para el servicio, consulte la Ayuda de Administración avanzada de directivas de grupo.

Paso 2: Instalar el cliente AGPM

Cada administrador de directivas de grupo (cualquiera que cree, edite, implemente, revise o elimine objetos de directiva de grupo) debe tener instalado el cliente AGPM en los equipos que utilicen para administrar los objetos de directiva de grupo. Para este escenario, instale el cliente AGPM en al menos un equipo. No es preciso instalar el cliente AGPM en los equipos de los usuarios finales que no realicen la administración de las directivas de grupo.

Para instalar el cliente AGPM en el equipo de un administrador de directivas de grupo

1. Inicie el CD de Microsoft Desktop Optimization Pack y siga las instrucciones que aparecen en pantalla para seleccionar Administración avanzada de directivas de grupo de Microsoft 3.0: cliente.

2. En el cuadro de diálogo Bienvenida, haga clic en Siguiente.

3. En el cuadro de diálogo Términos de licencia del software de Microsoft, acepte los términos y haga clic en Siguiente.

4. En el cuadro de diálogo Ruta de acceso de la aplicación, seleccione una ubicación en donde instalar el cliente AGPM. Haga clic en Siguiente.

5. En el cuadro de diálogo Servidor AGPM, escriba el nombre completo del equipo para el servidor AGPM y el puerto al que se va a conectar. El puerto predeterminado para el servicio AGPM es 4600. No desactive la casilla de verificación Permitir que la Consola de administración de Microsoft atraviese el firewall a no ser que configure manualmente las excepciones de puerto o use reglas para configurar las excepciones de puerto. Haga clic en Siguiente.

6. En el cuadro de diálogo Idiomas, seleccione uno o más idiomas de visualización para la instalación del cliente AGPM.

7. Haga clic en Instalar y, a continuación, haga clic en Finalizar para salir del Asistente para la instalación.

Paso 3: Configurar una conexión del servidor AGPM

AGPM almacena todas las versiones de cada objeto de directiva de grupo (GPO) controlado (un GPO para el que AGPM proporciona un control de cambios) en un archivo central, por tanto los administradores de directivas de grupo pueden ver y modificar objetos de directivas de grupo sin conexión y sin ejercer un impacto inmediato en la versión implementada de cada GPO.

En este paso, va a configurar una conexión de servidor AGPM y garantizará que todos los administradores de directivas de grupo se conectan al mismo servidor AGPM. (Para obtener información sobre cómo configurar varios servidores AGPM, consulte la Ayuda de Administración avanzada de directivas de grupo.)

Para configurar una conexión de servidor de AGPM para todos los administradores de directivas de grupo

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de usuario que haya seleccionado como propietario del archivo. Este usuario tiene la función de administrador de AGPM (Control total).

2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de directivas de grupo para abrir la Administración avanzada de directivas de grupo.

3. Edite un GPO que se aplique a todos los administradores de directivas de grupo.

4. En la ventana Editor de administración de directivas de grupo, haga doble clic en Configuración de usuario, Directivas, Plantillas administrativas, Componentes de Windows y AGPM.

5. En el panel de detalles, haga doble clic en AGPM: especificar servidor AGPM predeterminado (todos los dominios).

6. En la ventana Propiedades, seleccione Habilitado y escriba el nombre y el puerto del equipo completo (por ejemplo, server.contoso.com:4600) del servidor que aloja el archivo. De manera predeterminada, el servicio AGPM usa el puerto 4600.

7. Haga clic en Aceptar y, a continuación, cierre la ventana Editor de administración de directivas de grupo. Cuando se actualiza la directiva de grupo, la conexión del servidor AGPM se configura para cada administrador de directivas de grupo.

Paso 4: Configurar notificaciones de correo electrónico

Como administrador de AGPM (Control total), puede designar las direcciones de correo electrónico de los aprobadores y administradores de AGPM a las que se va a enviar un mensaje de correo electrónico con una solicitud cuando un editor intente crear, implementar o eliminar un objeto de directivas de grupo. También puede determinar el alias desde el que se envían estos mensajes.

Para configurar notificaciones de correo electrónico para AGPM

1. En el panel de detalles, haga clic en la ficha Delegación de dominio.

2. En Desde dirección de correo electrónico, escriba el alias de correo electrónico de AGPM desde el que se enviarán las notificaciones.

3. En el campo A dirección de correo electrónico, escriba la dirección de correo electrónico de la cuenta de usuario a la que pretende asignar la función de aprobador.

4. En el campo Servidor SMTP, escriba un servidor de correo SMTP válido.

5. En los campos Nombre de usuario y Contraseña, escriba las credenciales de un usuario con acceso al servicio SMTP. Haga clic en Aplicar.

Paso 5: Delegar el acceso

Como administrador de AGPM (Control total), puede delegar el acceso a nivel de dominio a los objetos de directivas de grupo, asignando funciones a la cuenta de cada administrador de directivas de grupo.

Nota

También puede delegar el acceso a nivel de GPO en lugar de a nivel de dominio. Para obtener información detallada, consulte la Ayuda de Administración avanzada de directivas de grupo.

Importante

Debería restringir la pertenencia al grupo de Propietarios del creador de directivas de grupo, para que no se pueda usar para sortear la administración de AGPM de acceder a los GPO. (En la Consola de administración de directivas de grupo, haga clic en Objetos de directiva de grupo del bosque y dominio en los que desea administrar los objetos de directivas de grupo, haga clic en Delegación y, a continuación, configure los valores para que cumplan con las necesidades de la organización.)

Para delegar el acceso a todos los GPO a través de un dominio

1. En la ficha Delegación de dominio, haga clic en el botón Agregar, seleccione la cuenta de usuario del administrador de directivas de grupo para que opere como aprobador y, a continuación, haga clic en Aceptar.

2. En el cuadro de diálogo Agregar grupo o usuario, seleccione la función Aprobador para asignar dicha función a la cuenta y, a continuación, haga clic en Aceptar. (Esta función incluye la función de revisor.)

3. Haga clic en el botón Agregar, seleccione la cuenta de usuario del administrador de directivas de grupo para que opere como editor y, a continuación, haga clic en Aceptar.

4. En el cuadro de diálogo Agregar grupo o usuario, seleccione la función Editor para asignar dicha función a la cuenta y, a continuación, haga clic en Aceptar. (Esta función incluye la función de revisor.)

5. Haga clic en el botón Agregar, seleccione la cuenta de usuario del administrador de directivas de grupo para que opere como revisor y, a continuación, haga clic en Aceptar.

6. En el cuadro de diálogo Agregar grupo o usuario, seleccione la función Revisor para asignar sólo dicha función a la cuenta.

Pasos para administrar GPO

Debe completar los siguientes pasos para crear, editar, revisar e implementar objetos de directivas de grupo con AGPM. Además, creará una plantilla, eliminará un GPO y restaurará un objeto eliminado.

Paso 1: Crear un GPO

Paso 2: Editar un GPO

Paso 3: Revisar e implementar un GPO

Paso 4: Usar una plantilla para crear un GPO

Paso 5: Eliminar y restaurar un GPO

Paso 1: Crear un GPO

En un entorno con varios administradores de directivas de grupo, los que cuentan con la función de editor pueden solicitar la creación de nuevos GPO, pero dicha solicitud debe ser aprobada por alguien que tenga la función de aprobador porque la creación de un nuevo GPO influye en el entorno de producción.

En este paso, va a usar una cuenta con la función de editor para solicitar la creación de un nuevo GPO. Con una cuenta con la función de aprobador, debe aprobar esta solicitud y completar la creación de un GPO.

Para solicitar la creación de un nuevo GPO administrado a través de AGPM

1. En un equipo en el que ha instalado el cliente AGPM, inicie sesión con la cuenta de usuario que tenga asignada la función de editor en AGPM.

2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar control en el bosque y dominio en el que desea administrar los GPO.

3. Haga clic con el botón secundario del mouse en el nodo Cambiar control y, a continuación, haga clic en Nuevo GPO controlado.

4. En el cuadro de diálogo Nuevo GPO controlado:

   1. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el campo CC.

   2. Escriba MiGPO como nombre del nuevo GPO.

   3. Escriba un comentario para el nuevo GPO.

   4. Haga clic en Crear en vivo para que el nuevo GPO se implemente en el entorno de producción inmediatamente después de la aprobación. Haga clic en Enviar.

5. Cuando la ventana Progreso de AGPM indique que el progreso general está completo, haga clic en Cerrar. Se muestra el nuevo GPO en la ficha Pendiente.

Para aprobar la solicitud pendiente para crear un GPO

1. En un equipo en el que ha instalado el cliente AGPM, inicie sesión con la cuenta de usuario que tenga asignada la función de aprobador en AGPM.

2. Abra la bandeja de entrada de correo electrónico de la cuenta y observe que ha recibido un mensaje de correo electrónico desde el alias de AGPM con la solicitud del editor para crear un GPO.

3. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar control en el bosque y dominio en el que desea administrar los GPO.

4. En la ficha Contenido, haga clic en la ficha Pendiente para mostrar los GPO pendientes.

5. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Aprobar.

6. Haga clic en Sí para confirmar la aprobación de la creación del GPO. El GPO se desplaza a la ficha Controlado.

Paso 2: Editar un GPO

Los GPO se pueden utilizar para configurar los valores del equipo o del usuario e implementarlos en varios equipos o usuarios. En este paso, va a utilizar una cuenta con la función de editor para desproteger un GPO del archivo, editar el GPO sin conexión, proteger el GPO editado en el archivo y solicitar la implementación del GPO en el entorno de producción. Para este escenario, deberá configurar un valor en el GPO que requiera que la contraseña tenga al menos ocho caracteres.

Para desproteger el GPO del archivo para su edición

1. En un equipo en el que ha instalado el cliente AGPM, inicie sesión con una cuenta de usuario que tenga asignada la función de editor en AGPM.

2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar control en el bosque y dominio en el que desea administrar los GPO.

3. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado para mostrar los GPO controlados.

4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Desproteger.

5. Escriba un comentario para mostrarlo en el historial del GPO mientras está desprotegido y, a continuación, haga clic en Aceptar.

6. Cuando la ventana Progreso de AGPM indique que el progreso general está completo, haga clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como Desprotegido.

Para editar el GPO sin conexión y configurar la longitud mínima de la contraseña

1. En la ficha Controlado, haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Editar para abrir la ventana Editor de administración de directivas de grupo y realizar cambios en una copia sin conexión del GPO. Para este escenario, configure la longitud mínima de la contraseña:

   1. En Configuración del equipo, haga doble clic en Directivas, Configuración de Windows, Configuración de seguridad, Directivas de cuentas y Directiva de contraseñas.

   2. En el panel de detalles, haga doble clic en Longitud mínima de la contraseña.

   3. En la ventana de propiedades, active la casilla de verificación Definir esta configuración de directiva, establezca el número de caracteres en 8 y, a continuación, haga clic en Aceptar.

2. Cierre la ventana Editor de administración de directivas de grupo.

Para proteger el GPO en el archivo

1. En la ficha Controlado, haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Proteger.

2. Escriba un comentario y, a continuación, haga clic en Aceptar.

3. Cuando la ventana Progreso de AGPM indique que el progreso general está completo, haga clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como Protegido.

Para solicitar la implementación del GPO al entorno de producción

1. En la ficha Controlado, haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Implementar.

2. Como esta cuenta no es un Aprobador ni Administrador de AGPM, debe enviar una solicitud de implementación. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el campo CC. Escriba un comentario para mostrarlo en el historial del GPO y, a continuación, haga clic en Enviar.

3. Cuando la ventana Progreso de AGPM indique que el progreso general está completo, haga clic en Cerrar. MiGPO se muestra en la lista de GPO en la ficha Pendiente.

Paso 3: Revisar e implementar un GPO

En este paso, va a actuar como aprobador, creando informes y analizando la configuración y los cambios en la configuración en el GPO para determinar si debería aprobarlos. Después de evaluar el GPO, lo implementa en el entorno de producción y lo vincula a un domino o a una unidad organizativa (OU) para que surta efecto cuando la directiva de grupos se actualice en los equipos de ese dominio u OU.

Para revisar la configuración en el GPO

1. En un equipo en el que ha instalado el cliente AGPM, inicie sesión con la cuenta de usuario que tenga asignada la función de aprobador en AGPM. (Todos los administradores de directivas de grupo con la función de revisor, incluida en las demás funciones, pueden revisar la configuración de un GPO.)

2. Abra la bandeja de entrada de correo electrónico de la cuenta y observe que ha recibido un mensaje de correo electrónico desde el alias de AGPM con la solicitud del editor para implementar un GPO.

3. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar control en el bosque y dominio en el que desea administrar los GPO.

4. En la ficha Contenido del panel de detalles, haga clic en la ficha Pendiente.

5. Haga doble clic en MiGPO para mostrar su historial.

6. Revise la configuración de la versión más reciente de MiGPO:

   1. En la ventana Historial haga clic con el botón secundario en la versión de GPO con la marca de hora más reciente, haga clic en Configuración y, a continuación, haga clic en Informe HTML para mostrar un resumen de la configuración del GPO.

   2. En el navegador web, haga clic en mostrar todo para mostrar todas las configuraciones del GPO. Cierre el navegador.

7. Compare la versión más reciente de MiGPO con la primera versión protegida en el archivo:

   1. En la ventana Historial, haga clic en la versión de GPO con la marca de hora más reciente. Presione CTRL y haga clic en la versión de GPO más antigua para la que la Versión de equipo no sea *.

   2. Haga clic en el botón Diferencias. La sección Directivas de cuentas/Directiva de contraseñas está resaltada en verde y precedida por un [+], que indica que este valor está configurado sólo en la última versión del GPO.

   3. Haga clic en Directivas de cuentas/Directiva de contraseñas. La sección Longitud mínima de la contraseña está también resaltada en verde y precedida por un [+], que indica que este valor está configurado sólo en la última versión del GPO.

   4. Cierre el navegador web.

Para implementar el GPO en el entorno de producción

1. En la ficha Pendiente, haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Aprobar.

2. Escriba un comentario para incluirlo en el historial del GPO.

3. Haga clic en Sí. Cuando la ventana Progreso de AGPM indique que el progreso general está completo, haga clic en Cerrar. El GPO se implementa en el entorno de producción.

Para enlazar el GPO a un dominio o unidad organizativa

1. En GPMC, haga clic con el botón secundario en el dominio o en una OU al que se va a aplicar el GPO que ha configurado y, a continuación, haga clic en Vincular un GPO existente.

2. En el cuadro de diálogo Seleccionar GPO, haga clic en MiGPO y, a continuación, haga clic en Aceptar.

Paso 4: Usar una plantilla para crear un GPO

En este paso, va a utilizar una cuenta con la función de editor para crear una plantilla (una versión estática y que no se puede editar de un GPO que se utiliza como punto de partida en la creación de nuevos GPO) y a continuación creará un nuevo GPO basado en dicha plantilla. Las plantillas son útiles para la creación rápida de varios GPO que incluyen algunos valores comunes.

Para crear una plantilla basada en un GPO existente

1. En un equipo en el que ha instalado el cliente AGPM, inicie sesión con una cuenta de usuario que tenga asignada la función de editor en AGPM.

2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar control en el bosque y dominio en el que desea administrar los GPO.

3. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado.

4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Guardar como plantilla para crear una plantilla que incorpore toda la configuración actual de MiGPO.

5. Escriba MiPlantilla como nombre de la plantilla y un comentario y, a continuación, haga clic en Aceptar.

6. Cuando la ventana Progreso de AGPM indique que el progreso general está completo, haga clic en Cerrar. La nueva plantilla aparece en la ficha Plantillas.

Para solicitar la creación de un nuevo GPO administrado a través de AGPM

1. Haga clic en la ficha Controlado.

2. Haga clic con el botón secundario del mouse en el nodo Cambiar control y, a continuación, haga clic en Nuevo GPO controlado.

3. En el cuadro de diálogo Nuevo GPO controlado:

   1. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el campo CC.

   2. Escriba MiOtroGPO como nombre del nuevo GPO.

   3. Escriba un comentario para el nuevo GPO.

   4. Haga clic en Crear en vivo para que el nuevo GPO se implemente en el entorno de producción inmediatamente después de la aprobación.

   5. En Desde plantilla GPO, seleccione MiPlantilla. Haga clic en Enviar.

4. Cuando la ventana Progreso de AGPM indique que el progreso general está completo, haga clic en Cerrar. Se muestra el nuevo GPO en la ficha Pendiente.

Utilice la cuenta con la función de aprobador asignada para aprobar la solicitud pendiente con objeto de crear el GPO, al igual que se hizo en el Paso 1: Crear un GPO. MiPlantilla incorpora todos los valores que ha configurado en MiGPO. Como MiOtroGPO se ha creado con MiPlantilla, contiene inicialmente toda la configuración que contenía MiGPO cuando se creó MiPlantilla. Puede confirmarlo generando un informe de diferencias para comparar MiOtroGPO con MiPlantilla.

Para desproteger el GPO del archivo para su edición

1. En un equipo en el que ha instalado el cliente AGPM, inicie sesión con una cuenta de usuario que tenga asignada la función de editor en AGPM.

2. Haga clic con el botón secundario en MiOtroGPO y, a continuación, haga clic en Desproteger.

3. Escriba un comentario para mostrarlo en el historial del GPO mientras está desprotegido y, a continuación, haga clic en Aceptar.

4. Cuando la ventana Progreso de AGPM indique que el progreso general está completo, haga clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como Desprotegido.

Para editar el GPO sin conexión y configurar la duración de bloqueo de la cuenta

1. En la ficha Controlado, haga clic con el botón secundario en MiOtroGPO y, a continuación, haga clic en Editar para abrir la ventana Editor de administración de directivas de grupo y realizar cambios en una copia sin conexión del GPO. Para este escenario, configure la longitud mínima de la contraseña:

   1. En Configuración del equipo, haga doble clic en Directivas, Configuración de Windows, Configuración de seguridad, Directivas de cuentas y Directiva de bloqueo de cuenta.

   2. En el panel de detalles, haga doble clic en Duración del bloqueo de cuenta.

   3. En la ventana de propiedades, active la casilla de verificación Definir esta configuración de directiva, establezca la duración en 30 y, a continuación, haga clic en Aceptar.

2. Cierre la ventana Editor de administración de directivas de grupo.

Proteja MiOtroGPO en el archivo y solicite la implementación al igual que hizo para MiGPO en el Paso 2: Editar un GPO. Puede comparar MiOtroGPO con MiGPO o con MiPlantilla mediante informes de diferencias. Cualquier cuenta que incluya la función de revisor (administrador de AGPM [Control total], aprobador, editor o revisor) puede generar informes.

Para comparar un GPO con otro y con una plantilla

1. Para comparar MiGPO y MiOtroGPO:

   1. En la ficha Controlado, haga clic en MiGPO. Presione CTRL y, a continuación, haga clic en MiOtroGPO.

   2. Haga clic con el botón secundario en MiOtroGPO, seleccione Diferencias y haga clic en Informe HTML.

2. Para comparar MiOtroGPO y MiPlantilla:

   1. En la ficha Controlado, haga clic en MiOtroGPO.

   2. Haga clic con el botón secundario en MiOtroGPO, seleccione Diferencias y haga clic en Plantilla.

   3. Seleccione MiPlantilla e Informe HTML y, a continuación, haga clic en Aceptar.

Paso 5: Eliminar y restaurar un GPO

En este paso, va a desempeñar la función de aprobador para eliminar un GPO.

Para eliminar un GPO

1. En un equipo en el que ha instalado el cliente AGPM, inicie sesión con la cuenta de usuario que tenga asignada la función de aprobador.

2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar control en el bosque y dominio en el que desea administrar los GPO.

3. En la ficha Contenido, haga clic en la ficha Controlado para mostrar los GPO controlados.

4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Eliminar. Haga clic en Suprimir GPO del archivo y producción para eliminar tanto la versión del archivo como la versión implementada del GPO en el entorno de producción.

5. Escriba un comentario para mostrarlo en la pista de auditoría del GPO y, a continuación, haga clic en Aceptar.

6. Cuando la ventana Progreso de AGPM indique que el progreso general está completo, haga clic en Cerrar. El GPO se elimina de la ficha Controlado y aparece en la ficha Papelera de reciclaje, donde se puede restaurar o destruir.

Ocasionalmente puede descubrir después de eliminar un GPO que todavía es necesario. En este paso, desempeñe la función de aprobador para restaurar un GPO que se ha eliminado.

Para restaurar un GPO eliminado

1. En la ficha Contenido, haga clic en la ficha Papelera de reciclaje para mostrar los GPO eliminados.

2. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Restaurar.

3. Escriba un comentario para mostrarlo en el historial del GPO y, a continuación, haga clic en Aceptar.

4. Cuando la ventana Progreso de AGPM indique que el progreso general está completo, haga clic en Cerrar. El GPO se elimina en la ficha Papelera de reciclaje y se muestra en la ficha Controlado.

   Nota

   La restauración de un GPO al archivo no vuelve a implementarlo automáticamente en el entorno de producción. Para devolver el GPO al entorno de producción, implemente el GPO como se hizo en el Paso 3: Revisar e implementar un GPO.

Después de editar y de implementar un GPO, puede descubrir que algunos cambios recientes en el GPO están causando un problema. En este paso, actúa como Aprobador para revertir a una versión anterior del GPO. Puede revertir a cualquier versión del historial del GPO. Utilice comentarios y etiquetas para identificar las versiones aptas conocidas y cuándo se han realizado cambios específicos.

Para revertir a una versión anterior de un GPO

1. En la ficha Contenido, haga clic en la ficha Controlado para mostrar los GPO controlados.

2. Haga doble clic en MiGPO para mostrar su historial.

3. Haga clic con el botón secundario en la versión que se va a implementar, haga clic en Implementar y, a continuación, haga clic en Sí.

4. Cuando la ventana Progreso indica que el progreso general se ha completado, haga clic en Cerrar. En la ventana Historial, haga clic en Cerrar.

   Nota

   A fin de comprobar que la versión que se ha vuelto a implementar coincide con la versión que se pretendía, examine el informe de diferencias entre las dos versiones. En la ventana Historial del GPO, seleccione las dos versiones, haga clic en ellas con el botón secundario, seleccione Diferencia y, a continuación, haga clic en Informe HTML o Informe XML.

-----
Puede obtener más información acerca de Microsoft Desktop Optimization Pack (MDOP) en la biblioteca de TechNet, en la sección de solución de problemas de TechNet Wiki, o bien a través de Facebook o Twitter.
-----