Académique Documents
Professionnel Documents
Culture Documents
Instalacin y configuracin de redes. Instalacin de Aplicaciones. Integrantes: Mauricio Balczar Guido Gutirrez Rodrigo Medina Emilse Quintana Widen Gonzales Shigueiko Sakihama
Contenido
Administracin de Active Directory ................................................................................................................... 4 Introduccin .................................................................................................................................................. 4 Requisitos previos ..................................................................................................................................... 4 Usar el complemento Dominios y confianzas de Active Directory ................................................................. 4 Iniciar el complemento Dominios y confianzas de Active Directory........................................................... 4 Cambiar la funcionalidad de dominios y bosques ...................................................................................... 5 Usar el complemento Usuarios y equipos de Active Directory ...................................................................... 6 Reconocer objetos de Active Directory ...................................................................................................... 6 Unidades organizativas.............................................................................................................................. 7 Crear unidades organizativas de dominio en Windows Server 2003.......................................................... 7 Crear una unidad organizativa ................................................................................................................... 7 Modificar los atributos de una unidad organizativa .................................................................................. 8 Ejemplo de creacin de una UO ................................................................................................................. 8 Agregar una unidad organizativa..................................................................................................................... 11 Crear una cuenta de usuario ........................................................................................................................... 12 Mover una cuenta de usuario .................................................................................................................. 13 Crear un grupo ................................................................................................................................................ 13 Publicar una carpeta compartida ............................................................................................................. 14 Publicar una impresora ............................................................................................................................ 15 Crear un objeto de equipo............................................................................................................................... 17 Cambiar el nombre, mover y eliminar objetos......................................................................................... 17 Administrar objetos de equipo ................................................................................................................ 18 Grupos anidados ............................................................................................................................................. 19 Buscar objetos especficos ....................................................................................................................... 19 Filtrar una lista de objetos ....................................................................................................................... 20 Introduccin a Directiva de grupo ............................................................................................................... 20 Objetos de directiva de grupo que existen de manera predeterminada...................................................... 21 Directiva de usuario y de equipo ................................................................................................................. 21 Orden de aplicacin..................................................................................................................................... 21 Filtrar la directiva en funcin de la pertenencia a grupos de seguridad....................................................... 22 Bloquear la herencia de directivas............................................................................................................... 22 Aplicar la directiva desde arriba .................................................................................................................. 22
Administracin de directivas de grupo ........................................................................................................ 22 Utilizar la Directiva de grupo ....................................................................................................................... 22 Formas de abrir el Editor de objetos de directiva de grupo ........................................................................... 22 Directiva de grupo local ............................................................................................................................... 23 Permisos de directiva de grupo ................................................................................................................... 24 Permisos predeterminados .......................................................................................................................... 24 Directiva para Microsoft Management Console ............................................................................................ 24 Delegar el control de la directiva de grupo ................................................................................................... 24 Directiva de grupo e infraestructura de red................................................................................................. 26 Caractersticas de Directiva de grupo que se pueden utilizar entre distintos bosques............................. 26 Directiva de grupo en redes multiplataforma .......................................................................................... 27 Directiva de grupo en entornos replicados .............................................................................................. 28 Directiva de grupo con vnculos lentos .................................................................................................... 29 Directiva de grupo en sitios ..................................................................................................................... 29 Administrar la Directiva de grupo desde la lnea de comandos ................................................................... 30 Gpresult ................................................................................................................................................... 30 Gpupdate................................................................................................................................................. 31 Formas nuevas de realizar tareas habituales ............................................................................................... 32
El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fcil de usar para que los usuarios inicien sesin en Active Directory. El estilo del UPN se basa en el estndar RFC 822 de Internet, al que tambin se hace referencia como direccin de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el nombre DNS del primer dominio del primer rbol del bosque. Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de sesin. Tambin puede simplificar los nombres de inicio de sesin de usuario si utiliza un solo sufijo UPN para todos los usuarios. El sufijo UPN slo se utiliza dentro del dominio de Windows Server 2003 y no es necesario que sea un nombre vlido de dominio DNS.
La funcionalidad de dominio habilita caractersticas que afectan a todo el dominio y slo a ese dominio. Existen cuatro niveles funcionales de dominio: Windows 2000 mixto (opcin predeterminada), Windows 2000 nativo, Windows Server 2003 versin provisional y Windows Server 2003. De forma predeterminada, los dominios operan en el nivel funcional Windows 2000 mixto.
Se puede usar Active Directory para crear los siguientes objetos. Icono Objeto Descripcin Un objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesin en la red con estas credenciales y a los usuarios se les puede Usuario conceder permisos de acceso. Un objeto de contacto es una cuenta que no tiene ningn permiso de seguridad. No se puede iniciar sesin como contacto. Los contactos se suelen utilizar para representar a Contacto usuarios externos con fines relacionados con el correo electrnico. Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores Equipo con Windows NT, sta es la cuenta de equipo. Las unidades organizativas se utilizan como contenedores para organizar de manera Unidad lgica objetos de directorio tales como usuarios, grupos y equipos, de forma muy organizativa parecida a como se utilizan las carpetas para organizar archivos en el disco duro. Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la Grupo administracin de cantidades grandes de objetos. Carpeta Una carpeta compartida es un recurso compartido de red que se ha publicado en el compartida directorio. Impresora Una impresora compartida es una impresora de red que se ha publicado en el directorio. compartida
Unidades organizativas
La unidad organizativa es un tipo de objeto de directorio muy til incluido en los dominios. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios. Una unidad organizativa es el mbito o unidad ms pequea a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lgicas y jerrquicas existentes dentro de una organizacin. Esto permite administrar la configuracin y el uso de cuentas y recursos, en funcin de su modelo organizativo. Para obtener ms informacin acerca de la configuracin de Directiva de grupo, vea Directiva de grupo (pre-GPMC). Como se muestra en la ilustracin, las unidades organizativas pueden contener otras unidades organizativas. La jerarqua de contenedores se puede extender tanto como sea necesario para modelar la jerarqua de la organizacin dentro de un dominio. Las unidades organizativas permiten a disminuir el nmero de dominios necesarios en una red. Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamao. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o slo para una de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio. Para obtener ms informacin acerca de cmo delegar la autoridad administrativa
En el rbol de la consola, haga clic con el botn secundario del mouse en el objeto de dominio o en la unidad organizativa en la que quiere crear las unidades organizativas, seleccione Nuevo en el men Accin y, a continuacin, haga clic en Unidad organizativa. 3. En el cuadro Nombre, escriba un nombre para la nueva unidad organizativa y, despus, haga clic en Aceptar. La nueva unidad organizativa que cre aparece en el rbol de consola. Ahora puede agregar otros objetos a la unidad organizativa, como usuarios, equipos, grupos y otras unidades organizativas.
o
En la pantalla que se muestra a continuacin, sobre el Dominio "micentro.edu", pulsamos con el botn derecho del ratn y seleccionamos la opcin "Nuevo" y posteriormente "Unidad organizativa".
Indicamos el nombre de la nueva U.O. a crear, tecleando "Profesores" en la caja de texto destinada a tal efecto.
Procederemos de igual manera para crear la U.O. correspondiente a los alumnos; tras ello en la pantalla de los "Usuarios y equipos de Active Directory" observaremos como han sido creadas las U.O. "Profesores" y "Alumnos".
Para finalizar, debemos incluir a los profesores del centro ("javier", "joaquin" y "miguel") en el contenedor correspondiente a la U.O. "Profesores"; para ello accedemos a la carpeta "Users" y seleccionamos los 3 usuarios profesores que previamente habamos creado; con el botn derecho del ratn pulsamos sobre la seleccin efectuada y elegimos la opcin "Mover".
En la ventana que se muestra especificamos que deseamos mover dichos usuarios a la U.O. "Profesores", y pulsamos sobre el botn "Aceptar".
Procederemos de igual modo con los alumnos "Bachiller" y "ESO", pero ahora a estos los incluiremos en la U.O. "Alumnos"; tras ello observaremos como en las U.O. "Profesores" y "Alumnos", se encuentran ubicados los usuarios correspondientes que hemos movido anteriormente.
Es MUY IMPORTANTE, que bloqueemos la herencia de directivas para el controlador de dominio "SERVIDOR", pues sino se aplicarn al servidor todas las directivas propias del dominio. Si accedemos a la U.O. "Domain Controllers", veremos nuestro equipo "SERVIDOR"; como est incluido en una U.O. bajo el dominio "micentro.edu", las directivas anteriores y las que posteriormente asociaremos de distribucin de software, se le aplicarn exactamente igual que a cualquier estacin de trabajo; para evitarlo pulsaremos con el botn derecho del ratn sobre la U.O. "Domain Controllers" y seleccionaremos la opcin "Propiedades", y posteriormente nos ubicamos sobre la pestaa "Directiva de Grupo", en la cual activaremos la casilla "Bloquear la herencia de directivas"; finalmente pulsaremos sobre el botn "Aceptar"
De este modo evitaremos que por defecto las directivas del dominio sean aplicadas a nuestro servidor Windows 2000, pero s se apliquen a todos los equipos clientes de nuestro dominio. 10
11
3. Haga clic en Siguiente para continuar. 4. Escriba pass#word1 en los cuadros Contrasea y Confirmar contrasea y, despus, haga clic en Siguiente.
Nota: a menudo, el papel que desempean las contraseas en la proteccin de la red de una organizacin se subestima y no se tiene en cuenta. Las contraseas proporcionan el primer mecanismo de defensa contra el acceso no autorizado a la organizacin. La familia Windows Server 2003 dispone de una nueva caracterstica que requiere contraseas complejas para todas las cuentas de usuario de nueva creacin. Para obtener informacin sobre esta caracterstica, consulte la gua detallada de configuracin de directivas de contrasea.
12
Crear un grupo
Para crear un grupo
1. Haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, haga clic en Nuevo y despus en Grupo. 2. En el cuadro de dilogo Nuevo objeto Grupo, escriba Herramientas para el nombre. 3. Revise el tipo y el mbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla siguiente. Mantenga la configuracin predeterminada y, a continuacin, haga clic en Aceptar para crear el grupo Herramientas. El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, como archivos e impresoras. Tanto los grupos de seguridad como los de distribucin se pueden utilizar para confeccionar listas de distribucin de correo electrnico. El mbito de grupo determina la visibilidad del grupo y qu tipo de objetos puede contener el grupo. mbito Dominio local Global Universal Visibilidad Dominio Bosque Bosque Puede contener Grupos Usuario, Dominio local, Global o Universal Grupos Usuarios o Global Grupos Usuarios, Global o Universal
13
5. En la pantalla Propiedades de herramientas, compruebe que Juan Garca es un miembro del grupo de seguridad Herramientas y, despus, haga clic en Aceptar.
14
Figura 8. Buscar carpetas compartidas en Active Directory Nota: cuando se rellene la carpeta compartida ES, su contenido estar disponible a los usuarios finales mediante bsquedas en el directorio. Los usuarios pueden asignar tambin este recurso compartido como una unidad de red.
15
6. En la pgina Compartir impresora, cambie el Nombre del recurso por ImpresoraArchivo y, a continuacin, haga clic en Siguiente. 7. Para Ubicacin en la pgina Ubicacin y comentario, escriba Oficinas centrales Edificio 4 Oficina 2200. Haga clic en Siguiente para continuar. 8. Haga clic en Siguiente para imprimir una pgina de prueba y, despus, haga clic en Finalizar para completar la instalacin. 9. Cuando se le indique, escriba Impresin de prueba como nombre del archivo para la pgina de prueba de la impresora. Cuando termine, haga clic en Aceptar. La impresora se publica automticamente en Active Directory.
En Resultados de la bsqueda en la pgina Buscar Impresoras, haga doble clic en Imprimir a un archivo para instalar la impresora. Haga clic en S para definir esta impresora como la impresora predeterminada del sistema y, despus, haga clic en Siguiente.
7. Haga clic en Finalizar para completar la instalacin de la impresora. 8. Cierre la ventana Impresoras y faxes.
16
Puede publicar impresoras compartidas por sistemas operativos distintos de Windows Server 2003, Windows 2000 o Windows XP en Active Directory. La manera ms sencilla de hacerlo es utilizar la secuencia de comandos pubprn.vbs , aunque tambin se puede usar el complemento Usuarios y equipos de Active Directory. Esta secuencia de comandos publicar todas las impresoras compartidas en un servidor dado. Se encuentra en el directorio \winnt\system32.
Publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs Para publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs 1. Haga clic en el botn Inicio y luego en Ejecutar. Escriba cmd en el cuadro de texto y, despus, haga clic en Aceptar. 2. Escriba cd \ windows\ system32 y presione ENTRAR. 3. Escriba cscript pubprn.vbs prserv1 "LDAP://ou=cuentas,dc=contoso,dc=com" y, despus, presione ENTRAR.
Nota: este ejemplo publica todas las impresoras del servidor Prserv1 en la unidad organizativa Cuentas. La secuencia de comandos slo copia el subconjunto siguiente de atributos de impresora, que incluyen la ubicacin, el modelo, el comentario y la ruta de acceso UNC. Esta secuencia de comandos no funciona en Windows Server 2003; se proporciona como una herramienta manual para publicar impresoras en Active Directory nicamente desde servidores de impresin de bajo nivel.
4. Cierre la ventana.
Publicar una impresora manualmente mediante el complemento Usuarios y equipos de Active Directory
1. Haga clic con el botn secundario del mouse en la unidad organizativa Mercadotecnia, haga clic en Nuevo y despus en Impresora. 2. Aparece el cuadro de dilogo Nuevo objeto - Impresora. En el cuadro de texto, escriba la ruta de acceso de la impresora, como \\servidor\recurso compartido y, a continuacin, haga clic en Siguiente. Los usuarios finales podrn realizar operaciones perfectamente integradas desde las impresoras que se publican en el directorio, ya que pueden buscar impresoras, enviar trabajos a esas impresoras e instalar los controladores de impresora directamente desde el servidor.
17
4. Haga clic en Aceptar para mover el equipo a la unidad organizativa Servidor dentro de la unidad organizativa Recursos. Administrar objetos de equipo Los objetos de equipo de Active Directory se pueden administrar directamente desde el complemento Usuarios y equipos de Active Directory. Administracin de equipos es un componente que sirve para ver y controlar numerosos aspectos de la configuracin del equipo. Administracin de equipos combina varias utilidades de administracin en un nico rbol de consola, lo que proporciona un fcil acceso a las propiedades administrativas y herramientas de los equipos locales o remotos.
Nota: en el siguiente ejemplo se asume que trabaja desde la consola HQ-CON-DC-01 y que HQ-CON-DC-02 se est ejecutando.
18
Grupos anidados
Los grupos anidados permiten proporcionar acceso a los recursos a toda la empresa o a todo el departamento con un mantenimiento mnimo. Colocar cada grupo de cuentas de equipo en un nico grupo de recursos de toda la empresa no es una solucin eficaz, ya que para ello es necesario crear y mantener un gran nmero de vnculos de pertenencia. Para utilizar grupos anidados, los administradores crean una serie de grupos de cuentas que representan las divisiones administrativas de la empresa.
Para buscar usuarios con un nombre de inicio de sesin que empiece por J
1. Haga clic para seleccionar contoso.com. Haga clic con el botn secundario del mouse en contoso.com y, despus, haga clic en Buscar. 2. Haga clic en la ficha Opciones avanzadas. En la lista desplegable Campo, seleccione Usuario y, a continuacin, haga clic en Nombre de inicio de sesin. 3. Escriba J para Valor y, despus, haga clic en Agregar. Haga clic en Buscar ahora. Los resultados deben ser similares a los que se muestran en la Figura 12.
19
Para crear un filtro diseado de forma que slo se muestren los usuarios
1. En el complemento Usuarios y equipos de Active Directory, haga clic en Ingeniera bajo la unidad organizativa Cuentas. 2. Haga clic en el men Ver y luego en Opciones de filtro. 3. Haga clic en el botn de opcin Mostrar slo los siguientes tipos de objetos, seleccione Usuarios y, despus, haga clic en Aceptar. 4. Expanda Cuentas y, a continuacin, haga clic en Ingeniera para comprobar los resultados del filtro. 5. Quite el filtro.
20
y Redirigir carpetas. Puede redirigir carpetas, como Mis documentos y Mis imgenes, desde la carpeta
Documentos y Configuracin del equipo local a ubicaciones de red. Para obtener ms informacin acerca de Redireccin de carpetas, vea Utilizar Redireccionamiento de carpetas. y Administrar aplicaciones. Con la Directiva de grupo puede asignar, publicar, actualizar o reparar aplicaciones mediante Instalacin de software de Directiva de grupo. Para obtener ms informacin, vea Utilizar Instalacin de software de Directiva de grupo. y Especificar las opciones de seguridad. Para aprender cmo configurar las opciones de seguridad, consulte Configuracin de seguridad.
Orden de aplicacin
Las directivas se aplican en el orden siguiente: 1. El objeto de directiva de grupo local nico. 2. Objetos de directiva de grupo del sitio, en el orden especificado por el administrador. 3. Objetos de directiva de grupo del dominio, en el orden especificado por el administrador. 4. Objetos de directiva de grupo de la unidad organizativa, de unidad organizativa mayor a menor (de principal a secundaria), en el orden especificado por el administrador en el nivel de cada unidad organizativa. De forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas con anterioridad cuando son incoherentes. Sin embargo, si no hay incoherencias en las directivas, tanto las 21
anteriores como las posteriores contribuyen a la eficacia de las directivas. Para obtener ms informacin, consulte Prioridad de la directiva de grupo.
Sitio
22
directiva de grupo al sitio deseado. Dominio Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva de grupo desde Usuarios y equipos de Active Directory y, a continuacin, vincule un objeto de directiva de grupo al dominio deseado. Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva de grupo desde Usuarios y equipos de Active Directory y, a continuacin, vincule un objeto de directiva de grupo a la unidad organizativa deseada. Tambin puede vincular un objeto de directiva de grupo a una unidad organizativa que se encuentre en un nivel superior de la jerarqua de Active Directory. De esta forma, la unidad organizativa podr heredar la configuracin de la Directiva de grupo.
Unidades organizativas
Objeto de directiva de grupo Puede crear y guardar su propia consola Microsoft Management Console (MMC) o conjunto de objetos de personalizada. Para obtener ms informacin, vea Microsoft Management Console. directiva de grupo existentes
Tambin puede abrir el Editor de objetos de directiva de grupo si hace clic en Inicio, en Ejecutar y, a continuacin, escribe un comando. O bien, puede abrir el Editor de objetos de directiva de grupo en el smbolo del sistema en una ventana de MS-DOS. La siguiente tabla contiene algunos ejemplos de cmo puede abrir el Editor de objetos de directiva de grupo desde la lnea de comandos en diferentes situaciones.
Para modificar El objeto nombreDeEsteEquipo El objeto nombreDeEsteEquipo (especificado en el estilo DNS) Objetos de directiva de grupo almacenadas en Active Directory En la lnea de comandos, utilice esta sintaxis de lnea de comandos gpedit.msc /gpcomputer:"nombreDeEsteEquipo" gpedit.msc /gpcomputer:"nombreDeEsteEquipo.dominio.com" gpedit.msc/gpobject:"LDAP://CN={31B2F340-016D-11D2-945F00C04FB984F9},CN=Policies,CN=System,DC=WingTipToys,DC=com"
Nota: El GUID del objeto de directiva de grupo descrito anteriormente es un ejemplo ficticio.
23
El objeto de directiva de grupo local reside en razDelSistema\System32\GroupPolicy. Los equipos con Windows NT 4.0 o versiones anteriores no tienen un objeto de directiva de grupo local y no reconocen la Directiva de grupo no local. Para obtener ms informacin, vea Problemas de migracin.
De forma predeterminada, ningn administrador puede eliminar el objeto de directiva de grupo Directiva de dominio predeterminada. El propsito de esta restriccin es evitar que se elimine accidentalmente este objeto de directiva de grupo, el cual contiene valores de configuracin importantes que el dominio requiere. Si por algn motivo debe eliminarse la Directiva de dominio predeterminada, debe concederse explcitamente el permiso Eliminar al grupo correspondiente. Se trata de una entrada de control de acceso (ACE, Access Control Entry) avanzada del objeto de directiva de grupo.
1. Abra el Editor de objetos de directiva de grupo. 2. En el rbol de la consola, haga clic con el botn secundario del <i>mouse</i> (ratn) en el icono o en el nombre del objeto de directiva de grupo y, a continuacin, haga clic en Propiedades. 3. Realice una de las siguientes acciones: y Para agregar un usuario o un grupo de usuarios, haga clic en la ficha Seguridad y, despus, en Agregar. Escriba el nombre del usuario o grupo de usuarios y, a continuacin, haga clic en Aceptar. y Para conceder permisos de modificacin de objetos de directiva de grupo a un grupo o usuario, en Permisos para usuarios autenticados, active las casillas de verificacin correspondientes a los permisos que desea conceder. Al finalizar, haga clic en Aceptar. y Si no desea aplicar la directiva a un usuario o a un grupo de usuarios, en Permisos de usuarios autenticados, desactive la casilla de verificacin Permitir de Aplicar Directiva de grupos. Al finalizar, haga clic en Aceptar.
24
Notas y Para realizar este procedimiento, deber iniciar la sesin como miembro del grupo Administradores de dominio o del grupo Administradores de empresa. y Para abrir el Editor de objetos de directiva de grupo, vea Temas relacionados. Informacin acerca de diferencias funcionales y Es posible que el servidor funcione de forma distinta segn la versin y la edicin del sistema operativo instalado, de los permisos de la cuenta y de la configuracin de los mens. Delegar la creacin de objetos Directiva de grupo
Para delegar la creacin de objetos Directiva de grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el rbol de la consola, haga clic en Usuarios. 3. En la columna Nombre del panel de detalles, haga doble clic en Propietarios del creador de directivas de grupo. 4. En el cuadro de dilogo Propiedades de propietarios del creador de directivas de grupo, haga clic en la fichaMiembros. 5. Haga clic Agregar, escriba el nombre del usuario o grupo y, a continuacin, haga clic en Aceptar.
Notas y Para realizar este procedimiento, deber iniciar la sesin como miembro del grupo Administradores de dominio o del grupo Administradores de empresa. y Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic enHerramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de Active Directory. y De manera predeterminada, slo los administradores del dominio, los administradores de empresa, los propietarios del creador de directivas de grupo y el sistema operativo pueden crear nuevos objetos de Directiva de grupo. Si el administrador del dominio desea que un grupo o un usuario que no sea administrador pueda crear objetos de Directiva de grupo, los puede agregar al grupo de seguridad Propietarios del creador de directivas de grupo. Cuando un usuario que no es administrador pero que forma parte del grupo Propietarios del creador de directivas de grupo crea un objeto de directiva de grupo, dicho usuario se convierte en el creador y propietario del objeto, por lo que puede modificarlo. Ser miembro del grupo Propietarios del creador de directivas de grupo otorga al usuario control total nicamente sobre los objetos de directiva de grupo que haya creado o los que se le delegan explcitamente. No ofrece al usuario que no es administrador ningn derecho adicional sobre otros objetos de directiva de grupo para el dominio; no se concede a estos usuarios derechos sobre los objetos de directiva de grupo que no crearon. y Cuando un administrador crea un objeto de directiva de grupo, el grupo Administradores del dominio se convierte en el Creador propietario del objeto. y Si delega esta tarea en usuarios que no son administradores, debe considerar la posibilidad de delegar tambin la capacidad para administrar los vnculos de una unidad organizativa especfica. Esto se debe a que, de modo predeterminado, los usuarios que no son administradores no pueden administrar vnculos, lo que les impide utilizar Usuarios y equipos de Active Directory para crear un objeto de directiva de grupo. Informacin acerca de diferencias funcionales y Es posible que el servidor funcione de forma distinta segn la versin y la edicin del sistema operativo instalado, de los permisos de la cuenta y de la configuracin de los mens. Delegar la vinculacin de objetos Directiva de grupo
Para delegar la vinculacin de objetos Directiva de grupo 1. Abra Usuarios y equipos de Active Directory. 2. Haga clic con el botn secundario del mouse (ratn) en la unidad organizativa en la que desea delegar el derecho de vincular objetos directiva de grupo y, a continuacin, haga clic en Delegar control. 3. En el Asistente para delegacin de control, haga clic en Siguiente y, a continuacin, haga clic en Agregar.
25
4. En el cuadro de dilogo Seleccionar usuarios, equipos o grupos, escriba el nombre del objeto que desea seleccionar y, a continuacin, haga clic en Aceptar y en Siguiente. 5. En Delegar las siguientes tareas comunes de la pgina de tareas para delegar, active la casilla de verificacinAdministrar vnculos de directiva de grupo y, a continuacin, haga clic en Siguiente. 6. Haga clic en Finalizar.
Notas y Para realizar este procedimiento, deber iniciar la sesin como miembro del grupo Administradores de dominio o del grupo Administradores de empresa. y Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic enHerramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de Active Directory. y Para abrir el Editor de objetos de directiva de grupo, vea Temas relacionados. Informacin acerca de diferencias funcionales y Es posible que el servidor funcione de forma distinta segn la versin y la edicin del sistema operativo instalado, de los permisos de la cuenta y de la configuracin de los mens.
Para el inicio de sesin interactivo entre bosques con procesamiento de bucle invertido, se aplican los objetos de Directiva de grupo con bucle invertido, habilitados para combinar y reemplazar, entre bosques en el mismo modelo de inicio de sesin, como se especific para el inicio de sesin interactivo. y Inicio de sesin en la red Las siguientes extensiones de Directiva de grupo son compatibles para el inicio de sesin en la red entre bosques: y Puntos de distribucin de software que se encuentran en otro bosque y Secuencias de comandos de inicio de sesin en un directorio de red compartido de otro bosque. y Perfiles de usuario mvil almacenados en un directorio de red compartido en otro bosque. y Carpetas redirigidas que estn almacenadas en un recurso compartido de archivos en otro bosque.
26
Delegacin Es compatible la delegacin entre bosques para administrar vnculos de Directiva de grupo. No son compatibles otras tareas como crear, eliminar o modificar objetos de Directiva de grupo entre bosques.
de optimizacin del inicio de sesin rpido. Produce la aplicacin asincrnica de la directiva cuando el equipo se inicia y cuando el usuario inicia la sesin. Esta caracterstica se puede usar en equipos cliente que ejecutan Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003, que funcionan en cualquier entorno. Esta caracterstica no est disponible para clientes Windows 2000.
y Plantillas administrativas. La familia Windows Server 2003 admite todas las opciones de configuracin de
directivas del Registro disponibles en Windows 2000. Adems, dispone de 212 opciones nuevas de configuracin del Registro. Esas nuevas opciones de configuracin del Registro slo se aplican a equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Las opciones de configuracin se omiten si se especifican para clientes Windows 2000. Puede implementar los nuevos archivos .adm proporcionados con Windows XP Professional o los sistemas operativos Windows Server 2003 desde Active Directory de Windows 2000.
y Redireccionamiento de carpetas. La familia Windows Server 2003 contiene una nueva caracterstica
Redireccionamiento de carpetas con una interfaz de usuario simplificada. Puede configurar el redireccionamiento de carpetas para los equipos cliente que ejecuten Windows 2000, Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. En equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003, puede redirigir las carpetas a un directorio principal (HomeDir) o redirigir una carpeta de nuevo a un perfil local. Esas opciones no se pueden aplicar a clientes Windows 2000.
y Perfiles mviles de usuario. Esta caracterstica contiene nuevas opciones de configuracin de directivas del
Registro para impedir que se propaguen al servidor los cambios de los perfiles mviles de usuario, permitir nicamente perfiles de usuario local y agregar el grupo de seguridad Administradores a los perfiles mviles de usuario. Esas caractersticas slo pueden aplicarse a equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Los usuarios pueden moverse entre equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003, o clientes Windows 2000, aunque slo se utilizarn las directivas que se puedan aplicar a cada plataforma.
y Seguridad. Con una directiva de restriccin de software, puede identificar software en equipos cliente e
impedir que se ejecute. El software puede identificarse por nombre de archivo, ruta de acceso, direccin URL y Hash MD5. Esta directiva debe configurarse en un objeto de directiva de grupo desde el complemento de configuracin de seguridad de un equipo cliente que ejecuta Windows XP Professional, 27
Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Esta caracterstica no es compatible con clientes Windows 2000.
y Instalacin del software de directiva de grupos. La familia de Windows Server 2003 contiene numerosas
mejoras en la interfaz de usuario de la instalacin de software de Directiva de grupo. Adems, esta versin de Windows tambin admite la implementacin de aplicaciones MSI de 32 bits en equipos cliente que ejecutan Windows XP 64-bit Edition (Itanium), versiones de 64 bits de Windows Server 2003, Enterprise Edition y versiones de 64 bits de Windows Server 2003, Datacenter Edition. No puede instalar aplicaciones de 64 bits en clientes de 32 bits. Aunque la Directiva de grupo proporciona una solucin slida para la instalacin y distribucin de software, la mejor solucin para el diseo, distribucin y administracin de software de empresa es Microsoft Systems Management Server.
y Filtrado WMI. Con filtros WMI, puede especificar una consulta basada en WMI para filtrar la aplicacin de
un objeto de directiva de grupo. Los filtros WMI se escriben en el lenguaje de consulta de WMI (WQL). Los filtros WMI slo se aplican a equipos cliente que ejecutan Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Los filtros WMI asociados a un objeto de directiva de grupo sern omitidos por los clientes Windows 2000.
28
Seleccin del controlador de dominio a travs de la Directiva de grupo Adems del comando Opciones DC, existe un parmetro de configuracin de la Directiva de grupo para la seleccin de controladores de dominio. Forma parte de la plantilla administrativa System.adm que se carga en Editor de objetos de directiva de grupo de manera predeterminada. Puede buscar esta opcin de configuracin de Directiva de grupo en el Editor de objetos de directiva de grupo, en Configuracin del usuario\Plantillas administrativas\Sistema\Directiva de grupo. En el panel de detalles, haga doble clic en Seleccin del controlador de dominio de la directiva de grupo y, a continuacin, haga clic en la configuracin adecuada de la lista.
del dominio secundario tendrn acceso a un objeto de directiva de grupo vinculado al sitio a travs de un vnculo de WAN. Esto aumenta el tiempo de procesamiento de la Directiva de grupo.
Nota. Generalmente, la Directiva de grupo no se aplica a sitios. Se suele aplicar a dominios y unidades organizativas.
Gpresult
Muestra la configuracin de Directiva de grupo y Conjunto resultante de directivas (RSOP, <i>Resultant Set of Policy</i>) para un usuario o un equipo. Sintaxis Gpresult [/s equipo [/u dominio\usuario/p contrasea]][/user nombreDeUsuarioDeDestino][/scope {user | computer}][{/v | /z}] Parmetros /sequipo Especifica el nombre o la direccin IP de un equipo remoto. No utilice barras diagonales inversas. El valor predeterminado es el equipo local. /udominio\usuario Ejecuta el comando con los permisos de cuenta del usuario especificado por usuario o dominio\usuario. La opcin predeterminada son los permisos del usuario que inici la sesin actual en el equipo que emite el comando. /pcontrasea Especifica la contrasea de la cuenta de usuario especificada en el parmetro /u. /usernombreDeUsuarioDeDestino Especifica el nombre del usuario cuyos datos RSOP se van a mostrar. /scope {user|computer} Muestra resultados de usuario (user) o equipo (computer). Los valores aceptados para el parmetro /scope son usero computer. Si se omite el parmetro /scope, el comando gpresult mostrar la configuracin de user y computer. /v Especifica que se muestre informacin detallada de directiva en el resultado. /z Especifica que se muestre en el resultado toda la informacin disponible acerca de Directiva de grupo. Como este parmetro produce ms informacin que el parmetro /v, redirija el resultado a un archivo de texto cuando lo utilice (por ejemplo, gpresult /z >directiva.txt). /? Muestra Ayuda en el smbolo del sistema.
Notas y Directiva de grupo es la herramienta administrativa principal para modificar y controlar cmo funcionarn los programas, los recursos de red y el sistema operativo para los usuarios y equipos en una organizacin. En un entorno Active Directory, la directiva de grupo se aplica a usuarios o equipos en funcin de su pertenencia a sitios, dominios o unidades organizativas. y Como se pueden aplicar a un equipo o un usuario niveles de directivas que se superpongan, la caracterstica Directiva de grupo genera un conjunto resultante de directivas al iniciar sesin. Gpresult muestra el conjunto resultante de directivas que se aplicaron en el equipo cuando el usuario especificado inici sesin.
30
Ejemplos Los ejemplos siguientes muestran cmo se puede utilizar el comando gpresult: gpresult /user nombreDeUsuarioDeDestino /scope computer gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user nombreDeUsuarioDeDestino /scope USER gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user nombreDeUsuarioDeDestino /z >directiva.txt gpresult /s srvmain /u maindom\hiropln /p p@ssW23 Dar formato a la leyenda Formato Cursiva Negrita
Significado Informacin que debe suministrar el usuario Elementos que debe escribir el usuario exactamente como se muestran Puntos suspensivos (...) Parmetro que se puede repetir varias veces en una lnea de comandos Entre corchetes ([]) Elementos opcionales Entre llaves ({}); opciones separadas por barras Conjunto de opciones de las que el usuario debe elegir slo verticales (|). Ejemplo: {par|impar} una Courier Font Cdigo o resultado del programa Gpupdate Actualiza las configuraciones de Directiva de grupo local y Directiva de grupo que estn almacenadas en Active Directory, incluida la configuracin de seguridad. Este comando sustituye la opcin /refreshpolicy , ya obsoleta, del comando secedit. Sintaxis gpupdate [/target:{computer | user}] [/force] [/wait:valor] [/logoff] [/boot] Parmetros /target:{computer | user} Procesa slo la configuracin del equipo o la del usuario actual. De forma predeterminada, se procesan las configuraciones del equipo y las del usuario actual. /force Omite todas las optimizaciones de proceso y vuelve a aplicar todas las configuraciones. /wait:valor Nmero de segundos que el proceso de directivas espera para terminar. El valor predeterminado es 600 segundos. 0 significa sin esperar, y -1 significa esperar indefinidamente. /logoff Cierra la sesin despus de completar la actualizacin. Esto es necesario para aquellas extensiones del cliente de Directiva de grupo que no se procesan en un ciclo de actualizacin en segundo plano, sino que se procesan cuando el usuario inicia una sesin, como Instalacin de software de Directiva de grupo y Redireccin de carpetas del usuario. Esta opcin no tiene efecto si no se invocan extensiones que requieren que el usuario cierre la sesin. /boot Reinicia el equipo despus de completar la actualizacin. Esto es necesario para aquellas extensiones del cliente de Directiva de grupo que no se procesan en un ciclo de actualizacin en segundo plano, sino que se procesan cuando el equipo se inicia, como Instalacin de software de Directiva de grupo del equipo. Esta opcin no tiene efecto si no se invocan extensiones que requieren el reinicio del equipo. /? Muestra Ayuda en el smbolo del sistema.
31
Ejemplos Los ejemplos siguientes muestran cmo se puede utilizar el comando gpupdate: gpupdate gpupdate /target:computer gpupdate /force /wait:100 gpupdate /boot Dar formato a la leyenda Formato Significado Cursiva Informacin que debe suministrar el usuario Negrita Elementos que debe escribir el usuario exactamente como se muestran Puntos suspensivos (...) Parmetros que se pueden repetir varias veces en una lnea de comandos. Entre corchetes ([]) Elementos opcionales Entre llaves ({}); opciones separadas por barras Conjunto de opciones de las que el usuario debe elegir slo una verticales (|). Ejemplo: {par|impar} Courier Font Cdigo o resultado del programa
Notas y Gpupdate reemplaza al comando secedit /refreshpolicy de Windows 2000.
Si desea Establecer directivas en los equipos y usuarios de un sitio Establecer directivas en los equipos y usuarios de un dominio Establecer directivas en los equipos y usuarios de una unidad organizativa Vincular un objeto de directiva de
En esta versin de Windows, utilice Directiva de grupo, a la que se tiene acceso desde Sitios y servicios de Active Directory. Directiva de grupo, a la que se tiene acceso desde Usuarios y equipos de Active Directory Directiva de grupo, a la que se tiene acceso desde Usuarios y equipos de Active Directory Directiva de grupo, a la que se tiene
No aplicable No aplicable
32
grupo a un sitio, dominio o unidad organizativa Utilizar grupos de seguridad para filtrar el alcance de la directiva No aplicable
acceso desde Usuarios y equipos de Active Directory Permisos de la ficha Seguridad del cuadro de dilogo de propiedades del objeto de Directiva de grupo.
Administrar software
Systems Management Server y las tres herramientas de Mantenimiento e instalacin de software de Directiva de grupo: Para un administrador, Systems y Introduccin a Instalacin de software Management Server. Para un de Directiva de grupo, una extensin del usuario, Agregar o quitar complemento Editor de objetos de programas en el Panel de control. directiva de grupo y Windows Installer y Agregar o quitar programas del Panel de control Plantillas administrativas para Directiva de grupo Para ver una explicacin de cmo ha cambiado la funcin de archivos .adm en la familia de servidores de Windows Server 2003, vea Funcin de las plantillas administrativas. Complementos de Microsoft Management Console (MMC): Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Abrir el Editor de objetos de directiva de grupo y sus extensiones.
En la siguiente tabla se muestra una tarea comn para configurar Redireccin de carpetas en Directiva de grupo. La interfaz de usuario para realizar esta tarea es diferente en esta versin de Windows de la que haba en Windows 2000. Para obtener ms informacin acerca de los cambios adicionales en Directiva de grupo, vea Nuevas caractersticas de Directiva de grupo (anterior a GPMC).
Si desea Redirigir una carpeta especial a un directorio de red compartido con una ruta de acceso de Convencin de nomenclatura universal (UNC, Universal Naming Convention) personalizada para el usuario.
En Windows 2000 utilice Una ruta de acceso UNC que incorpore NombreDeUsuario, por ejemplo: \\NombreDeServidor\NombreDeRecurso \NombreDeUsuario\Mis documentos
En esta versin de Windows, utilice El cuadro de dilogo de propiedades de la carpeta especial, descrito en Redirigir carpetas especiales al directorio raz.
33