Consola de administración de directivas de grupo

La Consola de administración de directivas de grupo (GPMC) proporciona una administración unificada de todos los aspectos de las directivas de grupo en varios bosques de una organización. La GPMC le permite administrar todos los objetos de directiva de grupo (GPO), los filtros de Instrumental de administración de Windows (WMI) y permisos relacionados con la directiva de grupo en la red. Piense en la GPMC como su punto de acceso principal a la directiva de grupo, con todas las herramientas de administración de directivas de grupo disponibles desde la interfaz de la GPMC.

La GPMC consta de un conjunto de interfaces que admiten scripts para administrar la directiva de grupo y una interfaz de usuario (UI) basada en MMC. La GPMC se incluye con Windows Server y las herramientas de administración remota del servidor.

La GPMC proporciona las prestaciones siguientes:

• Importar y exportar los GPO.
• Copiar y pegar los GPO.
• Realizar copia de seguridad y restaurar los GPO.
• Buscar los GPO existentes.
• Capacidades para informar.
• Modelado de directivas de grupo. Permite simular los datos del conjunto resultante de directivas (RsoP) para planificar implantaciones de directivas de grupo antes de implementarlas en el entorno de producción.
• Resultados de directivas de grupo. Permite ver la interacción del GPO y solucionar problemas de implementaciones de directivas de grupo.
• Compatibilidad con tablas de migración para facilitar la importación y copia del GPO entre dominios y bosques. Una tabla de migración es un archivo que asigna referencias a usuarios, grupos, equipos y rutas de acceso de la Convención de nomenclatura universal (UNC) en el GPO de origen a nuevos valores en el GPO de destino.
• Informes de configuración del GPO y datos de RSoP en informes HTML que puede guardar e imprimir.
• Interfaces que admiten scripts que permiten realizar todas las operaciones disponibles en la GPMC. No se pueden usar scripts para editar configuraciones de directivas individuales en un GPO.

Requisitos previos

Para usar la GPMC, debe cumplir los siguientes requisitos previos.

• Tener instalada la característica administración de directivas de grupo en un equipo que ejecuta Windows Server o un sistema operativo cliente de Windows.
• Disponer de permisos de configuración de edición, eliminación y modificación de seguridad en el GPO.
• Para vincular los GPO, necesita el permiso de modificación en ese sitio, dominio o unidad organizativa. De forma predeterminada, solo los Administradores de Dominio y los Administradores de Empresa tienen este permiso.
  • Los usuarios y grupos con permiso para vincular los GPO a un sitio, dominio o unidad organizativa específicos pueden vincular los GPO, cambiar el orden de los vínculos y establecer la herencia de bloques en ese sitio, dominio o unidad organizativa.

Creación de un GPO desvinculado

Para crear un GPO desvinculado, realice los siguientes pasos:

1. Para abrir la GPMC, seleccione Inicio, escriba Administración de directivas de grupo en el cuadro de búsqueda y, a continuación, seleccione Administración de directivas de grupo.
2. En el árbol de consola de GPMC, haga clic con el botón derecho en Objetos de directiva de grupo en el bosque y en el dominio donde desea crear un nuevo GPO desvinculado.
3. Seleccione Nuevo.
4. En el cuadro de diálogo Nuevo GPO, especifique un nombre para el GPO y, a continuación, seleccione Aceptar.

Editar un GPO existente

Para cambiar la configuración de directiva dentro de un GPO existente, siga estos pasos:

1. En el árbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y el dominio que contienen el GPO que desea editar.
2. Haga clic con el botón derecho en el GPO que desee editar y seleccione Editar.
3. En el árbol de consola del Editor de administración de directivas de grupo, expanda los elementos según sea necesario para localizar el elemento de directiva que contiene la configuración de directiva que desee modificar. Seleccione un elemento para ver la configuración de la directiva asociada en el panel de detalles.
4. En el panel de detalles, haga doble clic en los nombres de la configuración de directiva que desee editar.
5. En el cuadro de diálogo Propiedades, modifique la configuración de directiva según sea necesario y, a continuación, seleccione Aceptar.
6. Después de completar las modificaciones necesarias, cierre el Editor de administración de directivas de grupo.

Vinculación de un GPO

La forma principal de aplicar la configuración de directivas de un GPO a los usuarios y equipos es vincular el GPO a un contenedor de Active Directory. Los GPO se pueden vincular a tres tipos de contenedores en Active Directory: sitios, dominios y unidades organizativas (UO). Un GPO se puede vincular a varios contenedores de Active Directory.

Los GPO se almacenan por dominio. Por ejemplo, si vincula un GPO a una unidad organizativa, el GPO no se almacena en esa unidad organizativa. Un GPO es un objeto por dominio que puede vincularse en cualquier parte del bosque. La interfaz de usuario de la GPMC ayuda a aclarar la distinción entre los vínculos y los GPO reales.

En la GPMC, puede vincular un GPO existente a los contenedores de Active Directory mediante cualquiera de los métodos siguientes:

• Haga clic con el botón derecho en un sitio, un dominio o un elemento de unidad organizativa y, a continuación, seleccione Vincular un GPO existente. Este procedimiento requiere que el GPO ya exista en el dominio.
• Arrastre un GPO desde el elemento Objetos de directiva de grupo hasta la unidad organizativa a la que desee vincular el GPO. Esta funcionalidad de arrastrar y colocar solo funciona dentro del mismo dominio.

Cambio del orden de vínculo de GPO

Dentro de cada sitio, dominio y OU, el orden de vínculo controla el orden en que se aplican los GPO. Para cambiar la prioridad de un vínculo, puede cambiar el orden de los vínculos, moviendo cada vínculo hacia arriba o hacia abajo en la lista hasta el lugar apropiado. Los vínculos con el número más bajo tienen mayor prioridad para un determinado sitio, dominio o unidad organizativa.

Por ejemplo, querrá que el último GPO que haya agregado tenga la prioridad más alta. Puede ajustar el orden de vínculo del GPO a un orden de vínculo de 1 para que sea el más alto. Para cambiar el orden de los vínculos GPO de un sitio, un dominio o una unidad organizativa, use GPMC.

Desvincular un GPO de un sitio, un dominio o una unidad organizativa

Desvincular un GPO significa que el GPO vinculado ya no se aplica a la ubicación donde se vinculó originalmente. Para desvincular un GPO:

1. En el árbol de consola de GPMC, expanda Objetos de directiva de grupo en el bosque y el dominio que contienen el GPO que desee desvincular.
2. Seleccione el GPO que desea desvincular.
3. En el panel de detalles, seleccione la pestaña Ámbito.
4. En la sección Vínculos, haga clic con el botón derecho en el objeto de Active Directory con el vínculo que desee eliminar y, a continuación, seleccione Eliminar vínculos.

La eliminación de un vínculo a un GPO es diferente de eliminar un GPO. Si un vínculo de GPO sigue estando disponible. Otros vínculos de otros dominios a ese GPO también permanecen presentes. Al eliminar un GPO, se le pedirá que elimine el GPO y todos los vínculos a él en el dominio seleccionado. Al hacer el GPO y todos los vínculos, no se eliminan los vínculos al GPO de otros dominios. Asegúrese de quitar los vínculos al GPO en otros dominios antes de eliminar este GPO de este dominio.

Deshabilitar la configuración de usuario o la configuración de equipo en un GPO

Para crear un GPO que establezca únicamente parámetros de directiva relacionados con el usuario, deshabilite la configuración del equipo en el GPO. Al deshabilitar la configuración del equipo, se reduce ligeramente el tiempo de inicio del equipo porque no es necesario evaluar la configuración del equipo en el GPO. Si solo va a configurar las opciones de configuración de directiva relacionadas con los equipos, deshabilite la configuración de usuario en el GPO. Para deshabilitar la configuración de usuario o la configuración del equipo:

1. En el árbol de consola de la GPMC, expanda Objetos de directiva de grupo en el bosque y el dominio que contiene el GPO que incluye la configuración de directiva que desee deshabilitar.
2. Haga clic con el botón derecho en el GPO que contiene la configuración de directiva que desee deshabilitar.
3. En la lista de estado del GPO, seleccione una de las siguientes opciones:
   • Toda la configuración de directiva deshabilitada
   • Configuración del equipo deshabilitada
   • Habilitado (predeterminado)
   • Configuración del usuario deshabilitada

Contenido relacionado

• Procesamiento de directivas de grupo.
• Copia de seguridad, restauración, migración y copia de objetos de directiva de grupo (GPO)
• Modelado de directivas de grupo y resultados de directivas de grupo