Compartir a través de


Información general sobre las directivas de grupo

Las directivas de grupo permiten administrar la configuración y los parámetros de usuario y equipo en equipos con sistemas operativos Windows Server y Windows Client. Además de usar la directiva de grupo para definir configuraciones para grupos de usuarios y equipos cliente, también puede usar la directiva de grupo para ayudar a administrar equipos servidor mediante la configuración de muchas opciones operativas y de seguridad específicas del servidor.

¿Qué es una Directiva de grupo?

La directiva de grupo puede representar la configuración de directivas localmente en el sistema de archivos o en Servicios de dominio de Active Directory. Cuando se usa con Active Directory, la configuración de la directiva de grupo se incluye en un objeto de directiva de grupo (GPO). Un GPO es una colección virtual de configuración de directivas, permisos de seguridad y ámbito de administración (SOM) que se puede aplicar a usuarios y equipos de Active Directory. Un GPO tiene un nombre único, como un GUID. Los clientes evalúan la configuración de GPO mediante la naturaleza jerárquica de Active Directory.

La configuración de directivas se divide en la configuración de directivas que afecta a un equipo y a la configuración de directivas que afectan a un usuario. Las directivas relacionadas con el equipo especifican el comportamiento del sistema, la configuración de las aplicaciones, la configuración de seguridad, las aplicaciones asignadas y los scripts de inicio y apagado del equipo. Las directivas relacionadas con el usuario especifican el comportamiento del sistema, la configuración de las aplicaciones, la configuración de seguridad, las aplicaciones asignadas y publicadas, los scripts de inicio de sesión de usuario y cierre de sesión y la redirección de carpetas. La configuración del equipo invalida la configuración relacionada con el usuario.

Para crear una directiva de grupo, un administrador puede usar el Editor de directivas de grupo local (gpedit.msc), que puede ser una herramienta independiente, y la configuración almacenada localmente. Se recomienda usar el Editor de objetos de directivas de grupo como extensión de un complemento MMC relacionado con Active Directory. El Editor de objetos de directivas de grupo permite vincular los GPO a sitios, dominios y unidades organizativas (UO) de Active Directory seleccionados. La vinculación aplica la configuración de directiva en el GPO a los usuarios y equipos de esos objetos de Active Directory. Los GPO se almacenan tanto en Active Directory como en la carpeta SYSVOL de cada controlador de dominio.

Funcionamiento de la directiva de grupo

En el caso de los equipos, la directiva de grupo se aplica cuando se inicia el equipo. Para los usuarios, la directiva de grupo se aplica al iniciar la sesión. Este procesamiento inicial de la directiva también puede denominarse aplicación de directiva en primer plano.

La aplicación en primer plano de la directiva de grupo puede ser sincrónica o asincrónica. En modo sincrónico, el equipo no completa el inicio del sistema hasta que la directiva de equipo se aplica correctamente. El proceso de inicio de sesión de usuario no se completa hasta que la directiva de usuario se aplique correctamente. En modo asincrónico, si no hay cambios de directiva que requieran un procesamiento sincrónico, el equipo puede completar la secuencia de inicio antes de que se complete la aplicación de la directiva de equipo. El shell puede estar disponible para el usuario antes de que se complete la aplicación de la directiva de usuario. Después, el sistema aplica periódicamente la directiva de grupo (actualizaciones) en segundo plano. Durante una actualización, la configuración de directiva se aplica de forma asincrónica.

Para obtener más información sobre cómo funcionan las directivas de grupo, consulte Procesamiento de directivas de grupo.

Qué es una unidad organizativa (OU)

Una OU es el contenedor de Active Directory de nivel más bajo al que puede asignar la configuración de directiva de grupo. Normalmente, la mayoría de los GPO se asignan a nivel de OU, así que asegúrese de que su estructura de OU sea compatible con su estrategia de administración de clientes basada en directivas de grupo. También puede aplicar algunas opciones de configuración de directiva de grupo en el nivel de dominio, especialmente las directivas de contraseña. Algunas opciones de configuración de directiva se aplican en el nivel de sitio. Una estructura de OU bien diseñada que refleje la estructura administrativa de su organización y aproveche la herencia de GPO simplifica la aplicación de la directiva de grupo. Por ejemplo, una estructura de OU bien diseñada puede impedir la duplicación de determinados GPO para que pueda aplicar estos GPO a diferentes partes de la organización. Si es posible, cree unidades organizativas para delegar la autoridad administrativa y para ayudar a implementar la directiva de grupo.

El diseño de las unidades organizativas requiere los requisitos de equilibrio para delegar derechos administrativos independientemente de las necesidades de la directiva de grupo y la necesidad de delimitar el ámbito de la aplicación de la directiva de grupo. Puede crear unidades organizativas dentro de un dominio y delegar el control administrativo para unidades organizativas específicas para usuarios o grupos concretos. Si usa una estructura en la que las unidades organizativas contengan objetos homogéneos, como objetos de usuario o de equipo, pero no ambos, podrá deshabilitar fácilmente las secciones de un GPO que no se apliquen a un tipo concreto de objeto. Este enfoque para el diseño de unidades organizativas reduce la complejidad y mejora la velocidad a la que se aplica la directiva de grupo. Los GPO vinculados a las capas superiores de la estructura de unidades organizativas se heredan de forma predeterminada para las unidades organizativas de la capa inferior, lo que reduce la necesidad de duplicar un GPO o vincular un GPO a varios contenedores.