Administracin de Active Directory

Instalacin y configuracin de redes. Instalacin de Aplicaciones. Integrantes: Mauricio Balczar Guido Gutirrez Rodrigo Medina Emilse Quintana Widen Gonzales Shigueiko Sakihama

04 de noviembre de 2010 Santa Cruz Bolivia

Contenido
Administracin de Active Directory ................................................................................................................... 4 Introduccin .................................................................................................................................................. 4 Requisitos previos ..................................................................................................................................... 4 Usar el complemento Dominios y confianzas de Active Directory ................................................................. 4 Iniciar el complemento Dominios y confianzas de Active Directory........................................................... 4 Cambiar la funcionalidad de dominios y bosques ...................................................................................... 5 Usar el complemento Usuarios y equipos de Active Directory ...................................................................... 6 Reconocer objetos de Active Directory ...................................................................................................... 6 Unidades organizativas.............................................................................................................................. 7 Crear unidades organizativas de dominio en Windows Server 2003.......................................................... 7 Crear una unidad organizativa ................................................................................................................... 7 Modificar los atributos de una unidad organizativa .................................................................................. 8 Ejemplo de creacin de una UO ................................................................................................................. 8 Agregar una unidad organizativa..................................................................................................................... 11 Crear una cuenta de usuario ........................................................................................................................... 12 Mover una cuenta de usuario .................................................................................................................. 13 Crear un grupo ................................................................................................................................................ 13 Publicar una carpeta compartida ............................................................................................................. 14 Publicar una impresora ............................................................................................................................ 15 Crear un objeto de equipo............................................................................................................................... 17 Cambiar el nombre, mover y eliminar objetos......................................................................................... 17 Administrar objetos de equipo ................................................................................................................ 18 Grupos anidados ............................................................................................................................................. 19 Buscar objetos especficos ....................................................................................................................... 19 Filtrar una lista de objetos ....................................................................................................................... 20 Introduccin a Directiva de grupo ............................................................................................................... 20 Objetos de directiva de grupo que existen de manera predeterminada...................................................... 21 Directiva de usuario y de equipo ................................................................................................................. 21 Orden de aplicacin..................................................................................................................................... 21 Filtrar la directiva en funcin de la pertenencia a grupos de seguridad....................................................... 22 Bloquear la herencia de directivas............................................................................................................... 22 Aplicar la directiva desde arriba .................................................................................................................. 22

Administracin de directivas de grupo ........................................................................................................ 22 Utilizar la Directiva de grupo ....................................................................................................................... 22 Formas de abrir el Editor de objetos de directiva de grupo ........................................................................... 22 Directiva de grupo local ............................................................................................................................... 23 Permisos de directiva de grupo ................................................................................................................... 24 Permisos predeterminados .......................................................................................................................... 24 Directiva para Microsoft Management Console ............................................................................................ 24 Delegar el control de la directiva de grupo ................................................................................................... 24 Directiva de grupo e infraestructura de red................................................................................................. 26 Caractersticas de Directiva de grupo que se pueden utilizar entre distintos bosques............................. 26 Directiva de grupo en redes multiplataforma .......................................................................................... 27 Directiva de grupo en entornos replicados .............................................................................................. 28 Directiva de grupo con vnculos lentos .................................................................................................... 29 Directiva de grupo en sitios ..................................................................................................................... 29 Administrar la Directiva de grupo desde la lnea de comandos ................................................................... 30 Gpresult ................................................................................................................................................... 30 Gpupdate................................................................................................................................................. 31 Formas nuevas de realizar tareas habituales ............................................................................................... 32

Administracin de Active Directory

Introduccin
Esta gua es una introduccin a la administracin del servicio Active Directory de Windows Server 2003. Las herramientas administrativas de Active Directory simplifican la administracin del servicio de directorio. Puede utilizar las herramientas estndar o Microsoft Management Console (MMC) para crear herramientas personalizadas centradas en tareas de administracin nicas. Puede combinar varias herramientas en una nica consola. Tambin puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas especficas. Las herramientas administrativas de Active Directory slo se pueden utilizar desde un equipo con acceso a un dominio. Las siguientes herramientas administrativas de Active Directory estn disponibles en el men Herramientas administrativas: Usuarios y equipos de Active Directory Dominios y confianzas de Active Directory Sitios y servicios de Active Directory Tambin puede administrar Active Directory de forma remota desde un equipo que no sea un controlador de dominio, como un equipo que ejecute Windows XP Professional. Para ello, debe instalar el Paquete de herramientas de administracin de Windows Server 2003. El complemento Esquema de Active Directory es una herramienta administrativa de Active Directory para administrar el esquema. No est disponible de forma predeterminada en el men Herramientas administrativas y debe agregarse manualmente. Para los administradores avanzados y los especialistas de soporte tcnico de redes, existen muchas herramientas de lnea de comandos que pueden utilizar para configurar, administrar y solucionar problemas de Active Directory. Tambin puede crear secuencias de comandos que utilicen las Interfaces de servicio de Active Directory (ADSI). En los discos de instalacin del sistema operativo se incluyen varias secuencias de comandos de ejemplo. Requisitos previos Instalar Windows Server 2003 como un controlador de dominio. Instalar una estacin de trabajo Windows XP Professional y conectarla a un dominio. Usar el complemento Dominios y confianzas de Active Directory El complemento Dominios y confianzas de Active Directory proporciona una representacin grfica de todos los rboles de dominios que hay en el bosque. Al usar esta herramienta, un administrador puede administrar cada uno de los dominios del bosque, administrar relaciones de confianza entre dominios, configurar el modo de funcionamiento de cada dominio (modo nativo o mixto) y configurar los sufijos alternativos de Nombre principal del usuario (UPN) para el bosque. Iniciar el complemento Dominios y confianzas de Active Directory Para iniciar el complemento 1. En HQ-CON-DC-01, haga clic en el botn Inicio, seleccione todos los programas, herramientas administrativas y a continuacin, haga clic en Dominios y confianzas de Active Directory. Aparece el complemento Dominios y confianzas de Active Directory, como se muestra en la Figura 1.

Figura 1. Complemento Dominios y confianzas de Active Directory

El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fcil de usar para que los usuarios inicien sesin en Active Directory. El estilo del UPN se basa en el estndar RFC 822 de Internet, al que tambin se hace referencia como direccin de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el nombre DNS del primer dominio del primer rbol del bosque. Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de sesin. Tambin puede simplificar los nombres de inicio de sesin de usuario si utiliza un solo sufijo UPN para todos los usuarios. El sufijo UPN slo se utiliza dentro del dominio de Windows Server 2003 y no es necesario que sea un nombre vlido de dominio DNS.

Para agregar sufijos UPN adicionales

1. Seleccione Dominios y confianzas de Active Directory en el panel superior izquierdo, haga clic con el botn secundario del mouse (ratn) en l y, a continuacin, haga clic en Propiedades. 2. Especifique cualquier sufijo UPN alternativo en el cuadro Sufijos UPN alternativos y haga clic en Agregar. 3. Haga clic en Aceptar para cerrar la ventana.

Cambiar la funcionalidad de dominios y bosques

La funcionalidad de dominios y bosques, incluida en Active Directory de Windows Server 2003, proporciona un modo de habilitar las caractersticas de Active Directory para todo el dominio o todo el bosque dentro del entorno de red. Existen diferentes niveles de funcionalidad de dominios y de bosques, que dependen del entorno. Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivel funcional est establecido en Windows Server 2003, estarn disponibles todas las caractersticas para todo el dominio y para todo el bosque. Cuando se incluyen controladores de dominio Windows NT 4.0 o Windows 2000 en el dominio o bosque con controladores de dominio que ejecutan Windows Server 2003, slo est disponible un subconjunto de las caractersticas de Active Directory para todo el dominio y todo el bosque. El concepto de habilitar funciones adicionales de Active Directory existe en Windows 2000 con modos mixtos y nativos. Los dominios de modo mixto puede contener controladores de dominio de reserva Windows NT 4.0 y no pueden utilizar las caractersticas de grupos de seguridad universal, anidacin de grupos ni historial de ID de seguridad (SID). Cuando el dominio est establecido en modo nativo, se pueden utilizar las caractersticas de grupos de seguridad universal, anidacin de grupos e historial de SID. Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominio y bosque.
Advertencia: una vez elevado el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no podrn incluirse en el dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los controladores de dominio que ejecutan Windows 2000 Server no se podrn agregar a dicho dominio.

La funcionalidad de dominio habilita caractersticas que afectan a todo el dominio y slo a ese dominio. Existen cuatro niveles funcionales de dominio: Windows 2000 mixto (opcin predeterminada), Windows 2000 nativo, Windows Server 2003 versin provisional y Windows Server 2003. De forma predeterminada, los dominios operan en el nivel funcional Windows 2000 mixto.

Para elevar la funcionalidad del dominio

1. Haga clic derecho en el objeto de dominio (en el ejemplo, contoso.com) y, a continuacin, haga clic en Elevar el nivel funcional del dominio. 2. Seleccione un nivel funcional del dominio disponible, luego Windows Server 2003 y haga clic en Elevar. 3. Haga clic en Aceptar en el mensaje de advertencia para elevar la funcionalidad del dominio. Haga clic de nuevo en Aceptar para finalizar el proceso. 4. Cierre la ventana Dominios y confianzas de Active Directory. 5

Usar el complemento Usuarios y equipos de Active Directory

Para iniciar el complemento Usuarios y equipos de Active Directory 1. Haga clic en el botn Inicio, seleccione Todos los programas, Herramientas administrativas y luego haga clic en Usuarios y equipos de Active Directory. 2. Expanda el dominio (en el ejemplo Contoso.com) haciendo clic en el signo +. En la Figura 2 se muestran los componentes clave del complemento Usuarios y equipos de Active Directory.

Figura 2. Complemento Usuarios y equipos de Active Directory

Reconocer objetos de Active Directory

Los objetos descritos en la tabla siguiente se crean durante la instalacin de Active Directory. Icono Carpeta Descripcin Dominio Equipos Sistema Usuarios El nodo raz del complemento representa el dominio que se va a administrar. Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio. Entre stos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versin anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos. Contiene informacin de sistemas y servicios de Active Directory. Contiene todos los usuarios del dominio. En una actualizacin, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario.

Se puede usar Active Directory para crear los siguientes objetos. Icono Objeto Descripcin Un objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesin en la red con estas credenciales y a los usuarios se les puede Usuario conceder permisos de acceso. Un objeto de contacto es una cuenta que no tiene ningn permiso de seguridad. No se puede iniciar sesin como contacto. Los contactos se suelen utilizar para representar a Contacto usuarios externos con fines relacionados con el correo electrnico. Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores Equipo con Windows NT, sta es la cuenta de equipo. Las unidades organizativas se utilizan como contenedores para organizar de manera Unidad lgica objetos de directorio tales como usuarios, grupos y equipos, de forma muy organizativa parecida a como se utilizan las carpetas para organizar archivos en el disco duro. Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la Grupo administracin de cantidades grandes de objetos. Carpeta Una carpeta compartida es un recurso compartido de red que se ha publicado en el compartida directorio. Impresora Una impresora compartida es una impresora de red que se ha publicado en el directorio. compartida

Unidades organizativas
La unidad organizativa es un tipo de objeto de directorio muy til incluido en los dominios. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios. Una unidad organizativa es el mbito o unidad ms pequea a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lgicas y jerrquicas existentes dentro de una organizacin. Esto permite administrar la configuracin y el uso de cuentas y recursos, en funcin de su modelo organizativo. Para obtener ms informacin acerca de la configuracin de Directiva de grupo, vea Directiva de grupo (pre-GPMC). Como se muestra en la ilustracin, las unidades organizativas pueden contener otras unidades organizativas. La jerarqua de contenedores se puede extender tanto como sea necesario para modelar la jerarqua de la organizacin dentro de un dominio. Las unidades organizativas permiten a disminuir el nmero de dominios necesarios en una red. Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamao. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o slo para una de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio. Para obtener ms informacin acerca de cmo delegar la autoridad administrativa

Crear unidades organizativas de dominio en Windows Server 2003

Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Puede crear unidades organizativas que reflejen la estructura funcional o empresarial de su organizacin. Cada dominio puede implementar su propia jerarqua de unidad organizativa. Si su organizacin contiene varios dominios, puede crear en cada uno estructuras de unidad organizativa que sean independientes de las estructuras de los otros dominios. Una unidad organizativa es la unidad o mbito ms pequeo al que puede asignar valores de Directiva de grupo o delegar autoridad administrativa. Con las unidades organizativas puede crear en un dominio contenedores que representan las estructuras jerrquicas y lgicas de su organizacin. Puede hacerlo para facilitar la administracin de la configuracin y el uso de cuentas y recursos basndose en su modelo organizativo. Las unidades organizativas pueden contener usuarios, grupos, equipos, impresoras y carpetas compartidas, as como un nmero ilimitado de otras unidades organizativas, pero no pueden contener objetos de otros dominios.
NOTA: debe iniciar sesin como miembro del grupo Administradores de dominio o Administradores de organizacin, o debe tener la autoridad necesaria para realizar los procedimientos en este artculo.

Crear una unidad organizativa

1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Usuarios y equipos de Active Directory. 2. Siga uno de estos procedimientos: o En el rbol de la consola, haga clic con el botn secundario del mouse (ratn) en el objeto de dominio o en la unidad organizativa en la que quiere crear las unidades organizativas, seleccione Nuevo y, a continuacin, haga clic en Unidad organizativa. o Haga clic en el botn Crear un nuevo departamento en el contenedor actual.

En el rbol de la consola, haga clic con el botn secundario del mouse en el objeto de dominio o en la unidad organizativa en la que quiere crear las unidades organizativas, seleccione Nuevo en el men Accin y, a continuacin, haga clic en Unidad organizativa. 3. En el cuadro Nombre, escriba un nombre para la nueva unidad organizativa y, despus, haga clic en Aceptar. La nueva unidad organizativa que cre aparece en el rbol de consola. Ahora puede agregar otros objetos a la unidad organizativa, como usuarios, equipos, grupos y otras unidades organizativas.
o

Modificar los atributos de una unidad organizativa

1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Usuarios y equipos de Active Directory. 2. Expanda el objeto del dominio. 3. Haga clic con el botn secundario del mouse en la unidad organizativa cuyos atributos desea modificar y, a continuacin, haga clic en Propiedades. 4. Haga clic en la ficha correspondiente a las propiedades de la unidad organizativa que desea modificar y, despus, especifique las opciones deseadas.

Ejemplo de creacin de una UO

Lo primero que vamos a hacer para crear las Unidades Organizativas deseadas en nuestro centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble clic sobre "Usuarios y Equipos de Active Directory".

En la pantalla que se muestra a continuacin, sobre el Dominio "micentro.edu", pulsamos con el botn derecho del ratn y seleccionamos la opcin "Nuevo" y posteriormente "Unidad organizativa".

Indicamos el nombre de la nueva U.O. a crear, tecleando "Profesores" en la caja de texto destinada a tal efecto.

Procederemos de igual manera para crear la U.O. correspondiente a los alumnos; tras ello en la pantalla de los "Usuarios y equipos de Active Directory" observaremos como han sido creadas las U.O. "Profesores" y "Alumnos".

Para finalizar, debemos incluir a los profesores del centro ("javier", "joaquin" y "miguel") en el contenedor correspondiente a la U.O. "Profesores"; para ello accedemos a la carpeta "Users" y seleccionamos los 3 usuarios profesores que previamente habamos creado; con el botn derecho del ratn pulsamos sobre la seleccin efectuada y elegimos la opcin "Mover".

En la ventana que se muestra especificamos que deseamos mover dichos usuarios a la U.O. "Profesores", y pulsamos sobre el botn "Aceptar".

Procederemos de igual modo con los alumnos "Bachiller" y "ESO", pero ahora a estos los incluiremos en la U.O. "Alumnos"; tras ello observaremos como en las U.O. "Profesores" y "Alumnos", se encuentran ubicados los usuarios correspondientes que hemos movido anteriormente.

Es MUY IMPORTANTE, que bloqueemos la herencia de directivas para el controlador de dominio "SERVIDOR", pues sino se aplicarn al servidor todas las directivas propias del dominio. Si accedemos a la U.O. "Domain Controllers", veremos nuestro equipo "SERVIDOR"; como est incluido en una U.O. bajo el dominio "micentro.edu", las directivas anteriores y las que posteriormente asociaremos de distribucin de software, se le aplicarn exactamente igual que a cualquier estacin de trabajo; para evitarlo pulsaremos con el botn derecho del ratn sobre la U.O. "Domain Controllers" y seleccionaremos la opcin "Propiedades", y posteriormente nos ubicamos sobre la pestaa "Directiva de Grupo", en la cual activaremos la casilla "Bloquear la herencia de directivas"; finalmente pulsaremos sobre el botn "Aceptar"

De este modo evitaremos que por defecto las directivas del dominio sean aplicadas a nuestro servidor Windows 2000, pero s se apliquen a todos los equipos clientes de nuestro dominio. 10

Agregar una unidad organizativa

Este procedimiento crea una unidad organizativa adicional en el dominio ya creado. Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay lmite de niveles de anidacin. Estos pasos se basan en la estructura de Active Directory de infraestructura comn. Si no ha creado esa estructura, agregue las unidades organizativas y los usuarios directamente bajo el dominio deseado (ej.: Contoso.com); es decir, donde se hace referencia a una unidad organizativa (ej.: Cuentas en el procedimiento, sustituya Contoso.com.

Para agregar una unidad organizativa

1. Haga clic en el signo + situado junto a Cuentas para expandirlo. 2. Haga clic con el botn secundario del mouse en Cuentas. 3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construccin como el nombre de la nueva unidad organizativa y, a continuacin, haga clic en Aceptar. Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes: Unidad organizativa Ingeniera bajo Cuentas. Unidad organizativa Fabricacin bajo Cuentas. Unidad organizativa Consumidor bajo la unidad organizativa Fabricacin. (Para ello, haga clic con el botn secundario del mouse en Fabricacin, seleccione Nuevo y, a continuacin, haga clic en Unidad organizativa.) Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricacin. Haga clic en Fabricacin para que su contenido se muestre en el panel de la derecha. Al terminar, debera tener la jerarqua que aparece a continuacin en la Figura 3.

Figura 3. Nuevas unidades organizativas

11

Crear una cuenta de usuario

El siguiente procedimiento crea la cuenta de usuario Juan Garca en la unidad organizativa Construccin.

Para crear una cuenta de usuario

1. Haga clic con el botn secundario del mouse en la unidad organizativa Construccin, seleccione Nuevo y, a continuacin, haga clic en Usuario o Usuario nuevo en la barra de herramientas del complemento. 2. Escriba la informacin del usuario que se muestra en la Figura 4.

Figura 4. Cuadro de dilogo Usuario nuevo

3. Haga clic en Siguiente para continuar. 4. Escriba pass#word1 en los cuadros Contrasea y Confirmar contrasea y, despus, haga clic en Siguiente.
Nota: a menudo, el papel que desempean las contraseas en la proteccin de la red de una organizacin se subestima y no se tiene en cuenta. Las contraseas proporcionan el primer mecanismo de defensa contra el acceso no autorizado a la organizacin. La familia Windows Server 2003 dispone de una nueva caracterstica que requiere contraseas complejas para todas las cuentas de usuario de nueva creacin. Para obtener informacin sobre esta caracterstica, consulte la gua detallada de configuracin de directivas de contrasea.

5. Haga clic en Finalizar para aceptar la confirmacin en el siguiente cuadro de dilogo.

Para agregar informacin adicional sobre este usuario

1. Seleccione Contruccion en el panel de la izquierda, haga clic derecho en el Usuario en el panel de la derecha y luego haga clic en Propiedades. 2. Agregue ms informacin sobre el usuario en el cuadro de dilogo Propiedades en la ficha General como se muestra en la Figura 5 y, a continuacin, haga clic en Aceptar. Haga clic en cada ficha disponible y revise la informacin opcional del usuario que se puede definir.

Figura 5. Informacin adicional del usuario

12

Mover una cuenta de usuario

Los usuarios se pueden mover de una unidad organizativa a otra del mismo dominio o de un dominio distinto. Por ejemplo, en este procedimiento, Juan Garca se mueve de la divisin Construccin a la divisin Ingeniera. Para mover un usuario de una unidad organizativa a otra 1. Haga clic en la cuenta de usuario Juan Garca en el panel de la derecha, haga clic con el botn secundario del mouse en ella y, despus, haga clic en Mover. 2. En la pantalla Mover, haga clic en el signo + situado junto a Cuentas para expandirlo, como se muestra en la Figura 6.

Figura 6. Lista de unidades organizativas disponibles

3. Haga clic en la unidad organizativa Ingeniera y luego en Aceptar.

Crear un grupo
Para crear un grupo
1. Haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, haga clic en Nuevo y despus en Grupo. 2. En el cuadro de dilogo Nuevo objeto Grupo, escriba Herramientas para el nombre. 3. Revise el tipo y el mbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla siguiente. Mantenga la configuracin predeterminada y, a continuacin, haga clic en Aceptar para crear el grupo Herramientas. El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, como archivos e impresoras. Tanto los grupos de seguridad como los de distribucin se pueden utilizar para confeccionar listas de distribucin de correo electrnico. El mbito de grupo determina la visibilidad del grupo y qu tipo de objetos puede contener el grupo. mbito Dominio local Global Universal Visibilidad Dominio Bosque Bosque Puede contener Grupos Usuario, Dominio local, Global o Universal Grupos Usuarios o Global Grupos Usuarios, Global o Universal

13

Para agregar un usuario a un grupo

1. Haga clic en la unidad organizativa Ingeniera en el panel de la izquierda. 2. Haga clic con el botn secundario del mouse en el grupo Herramientas en el panel de la derecha y, a continuacin, haga clic en Propiedades. 3. Haga clic en la ficha Miembros y luego en Agregar. 4. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba Juan y, a continuacin, haga clic en Aceptar.
Figura 7. Agregar Juan Garca al grupo de seguridad Herramientas

5. En la pantalla Propiedades de herramientas, compruebe que Juan Garca es un miembro del grupo de seguridad Herramientas y, despus, haga clic en Aceptar.

Publicar una carpeta compartida

Para que los usuarios puedan encontrar ms fcilmente las carpetas compartidas, puede publicar informacin sobre dichas carpetas en Active Directory. Cualquier carpeta compartida en la red, incluida una carpeta de Sistema de archivos distribuido (DFS), se puede publicar en Active Directory. Cuando se crea un objeto de carpeta compartida en el directorio, la carpeta no se comparte automticamente. ste es un proceso que consta de dos pasos: en primer lugar se debe compartir la carpeta y despus publicarla en Active Directory. Para compartir una carpeta 1. Utilice el Explorador de Windows para crear una nueva carpeta llamada Especificaciones de ingeniera en uno de los volmenes del disco. 2. En el Explorador de Windows, haga clic con el botn secundario del mouse en la carpeta Especificaciones de ingeniera y, a continuacin, haga clic en Propiedades. Haga clic en Compartir y despus en Compartir esta carpeta. 3. En la pantalla Propiedades de especificaciones de ingeniera, escriba ES en el cuadro Nombre del recurso y, a continuacin, haga clic en Aceptar. Cierre el Explorador de Windows cuando termine.
Nota: de forma predeterminada, el grupo integrado Todos tiene permisos en esta carpeta compartida. Puede cambiar el permiso predeterminado haciendo clic en el botn Permisos.

Para publicar la carpeta compartida en el directorio

1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, seleccione Nuevo y, a continuacin, haga clic en Carpeta compartida. 2. En la pantalla Nuevo objeto Carpeta compartida, escriba Especificaciones de ingeniera en el cuadro Nombre. 3. En el cuadro Ruta de acceso de red, escriba \\hq-con-dc-01.contoso.com\ES y haga clic en Aceptar. 4. Haga clic con el botn secundario del mouse en Especificaciones de ingeniera y, despus, haga clic en Propiedades. 5. Haga clic en Palabras clave. Para Valor nuevo, escriba especificaciones y, a continuacin, haga clic en Agregar para continuar. Haga clic dos veces en Aceptar para finalizar.
Los usuarios ahora pueden buscar en Active Directory por nombre de recurso compartido o palabra clave para localizar este recurso compartido.

14

Para buscar una carpeta compartida

1. En el complemento de MMC Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en Contoso y, a continuacin, haga clic en Buscar. 2. En la lista desplegable Buscar, haga clic en Carpetas compartidas. Escriba especificaciones en el cuadro de texto Palabras clave y, despus, haga clic en Buscar ahora. 3. En Resultados de la bsqueda, haga clic con el botn secundario del mouse en Especificaciones de ingeniera y, a continuacin, haga clic en Abrir.

Figura 8. Buscar carpetas compartidas en Active Directory Nota: cuando se rellene la carpeta compartida ES, su contenido estar disponible a los usuarios finales mediante bsquedas en el directorio. Los usuarios pueden asignar tambin este recurso compartido como una unidad de red.

4. Cierre el cuadro de dilogo Buscar carpetas compartidas.

Publicar una impresora

Puede publicar tambin informacin sobre impresoras compartidas en Active Directory. La informacin de las impresoras compartidas de Windows NT debe publicarse manualmente. La informacin de las impresoras compartidas de la familia Windows Server 2003 o de la familia Windows 2000 Server se publica automticamente en el directorio cuando se crea una impresora compartida. Utilice Usuarios y equipo de Active Directory para publicar manualmente informacin sobre impresoras compartidas. El subsistema de impresin propaga de forma automtica al directorio los cambios realizados en los atributos de la impresora (ubicacin, descripcin, carga de papel. etc.).
Nota: en esta seccin se describen los pasos para configurar y publicar una impresora que imprime directamente en un archivo. Si desea utilizar una impresora basada en IP, LPT o USB, debe modificar los pasos de estos procedimientos.

Para agregar una nueva impresora

1. Haga clic en el botn Inicio, en Impresoras y faxes y, despus, haga doble clic en Agregar impresora. Aparece el Asistente para agregar impresoras. Haga clic en Siguiente. 2. Haga clic en Impresora local conectada a este equipo, desactive la casilla de verificacin Detectar e instalar mi impresora Plug and Play automticamente y, a continuacin, haga clic en Siguiente. 3. En la lista desplegable Usar el puerto siguiente, haga clic en la opcin ARCHIVO: (Imprimir a archivo) y despus en Siguiente. 4. En el panel de resultados Fabricante, haga clic en Genrico. En el panel de resultados Impresoras, haga clic en Genrico / slo texto. Haga clic en Siguiente para continuar. 5. En la pgina Dar un nombre a su impresora, cambie el nombre de la impresora por Imprimir a archivo y, despus, haga clic en Siguiente.

15

6. En la pgina Compartir impresora, cambie el Nombre del recurso por ImpresoraArchivo y, a continuacin, haga clic en Siguiente. 7. Para Ubicacin en la pgina Ubicacin y comentario, escriba Oficinas centrales Edificio 4 Oficina 2200. Haga clic en Siguiente para continuar. 8. Haga clic en Siguiente para imprimir una pgina de prueba y, despus, haga clic en Finalizar para completar la instalacin. 9. Cuando se le indique, escriba Impresin de prueba como nombre del archivo para la pgina de prueba de la impresora. Cuando termine, haga clic en Aceptar. La impresora se publica automticamente en Active Directory.

Para buscar una impresora en Active Directory

1. 2. 3. 4. En la pantalla Impresoras y faxes, haga doble clic en el icono Agregar impresora. Aparece el cuadro de dilogo Asistente para agregar impresoras. Haga clic en Siguiente para continuar. Haga clic en Una impresora de red y luego en Siguiente. Haga clic en Buscar una impresora en el directorio (opcin predeterminada) y, despus, haga clic en Siguiente. 5. Aparece el cuadro de dilogo Buscar impresoras. Haga clic en Buscar ahora para buscar todas las impresoras publicadas en Active Directory. Si define opciones de bsqueda adicionales, puede limitar los resultados a las caractersticas disponibles o a la ubicacin de la impresora.
Seguimiento de la ubicacin de impresoras: utilice el seguimiento de la ubicacin de impresoras para simplificar la bsqueda de impresoras. Cuando el seguimiento de la ubicacin de impresoras est habilitado y el usuario hace clic en Buscar ahora, Active Directory muestra todas las impresoras que coinciden con la consulta del usuario que se encuentran en la ubicacin del usuario. Los usuarios pueden cambiar el campo de ubicacin haciendo clic en Examinar para buscar impresoras en otras ubicaciones. Para obtener ms informacin sobre cmo configurar el seguimiento de la ubicacin de impresoras, consulte el Centro de ayuda y soporte tcnico de Windows Server 2003.
6.

En Resultados de la bsqueda en la pgina Buscar Impresoras, haga doble clic en Imprimir a un archivo para instalar la impresora. Haga clic en S para definir esta impresora como la impresora predeterminada del sistema y, despus, haga clic en Siguiente.

Figura 9. Buscar impresoras compartidas en Active Directory

7. Haga clic en Finalizar para completar la instalacin de la impresora. 8. Cierre la ventana Impresoras y faxes.

16

Puede publicar impresoras compartidas por sistemas operativos distintos de Windows Server 2003, Windows 2000 o Windows XP en Active Directory. La manera ms sencilla de hacerlo es utilizar la secuencia de comandos pubprn.vbs , aunque tambin se puede usar el complemento Usuarios y equipos de Active Directory. Esta secuencia de comandos publicar todas las impresoras compartidas en un servidor dado. Se encuentra en el directorio \winnt\system32.

Publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs Para publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs 1. Haga clic en el botn Inicio y luego en Ejecutar. Escriba cmd en el cuadro de texto y, despus, haga clic en Aceptar. 2. Escriba cd \ windows\ system32 y presione ENTRAR. 3. Escriba cscript pubprn.vbs prserv1 "LDAP://ou=cuentas,dc=contoso,dc=com" y, despus, presione ENTRAR.
Nota: este ejemplo publica todas las impresoras del servidor Prserv1 en la unidad organizativa Cuentas. La secuencia de comandos slo copia el subconjunto siguiente de atributos de impresora, que incluyen la ubicacin, el modelo, el comentario y la ruta de acceso UNC. Esta secuencia de comandos no funciona en Windows Server 2003; se proporciona como una herramienta manual para publicar impresoras en Active Directory nicamente desde servidores de impresin de bajo nivel.

4. Cierre la ventana.

Publicar una impresora manualmente mediante el complemento Usuarios y equipos de Active Directory
1. Haga clic con el botn secundario del mouse en la unidad organizativa Mercadotecnia, haga clic en Nuevo y despus en Impresora. 2. Aparece el cuadro de dilogo Nuevo objeto - Impresora. En el cuadro de texto, escriba la ruta de acceso de la impresora, como \\servidor\recurso compartido y, a continuacin, haga clic en Siguiente. Los usuarios finales podrn realizar operaciones perfectamente integradas desde las impresoras que se publican en el directorio, ya que pueden buscar impresoras, enviar trabajos a esas impresoras e instalar los controladores de impresora directamente desde el servidor.

Crear un objeto de equipo

Un objeto de equipo se crea de forma automtica cuando un equipo se une a un dominio. Si no desea otorgar a todos los usuarios la capacidad de agregar equipos al dominio, puede crear objetos de equipo antes de que el equipo se una a un dominio de forma manual o mediante secuencias de comandos.

Para agregar manualmente un equipo al dominio

1. Haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, seleccione Nuevo y, despus, haga clic en Equipo. 2. Para el nombre del equipo, escriba Heredado y, a continuacin, haga clic en Siguiente. 3. Si el equipo es un sistema administrado, puede especificar el GUID del sistema. En este ejemplo, deje el GUID del sistema en blanco, haga clic en Siguiente y despus enFinalizar. 4. Para administrar este equipo desde el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en el objeto de equipo y, a continuacin, haga clic en Administrar. De forma opcional, es posible seleccionar a qu usuarios se les permite unir un equipo al dominio. Esto permite que el administrador cree la cuenta de equipo y que otra persona con menos permisos instale el equipo y lo una al dominio.

Cambiar el nombre, mover y eliminar objetos

Se puede cambiar el nombre y eliminar todos los objetos del directorio, y se puede mover la mayor parte de los objetos a contenedores distintos. En el siguiente procedimiento se ampla el ejemplo para crear un objeto de equipo.

17

Para mover el objeto de equipo Heredado a un contenedor diferente

1. En la unidad organizativa Cuentas, haga clic en la unidad organizativa Ingeniera. 2. Haga clic con el botn secundario del mouse en el objeto de equipo Heredado y, despus, haga clic en Mover. 3. Expanda la unidad organizativa Recursos y, a continuacin, haga clic para resaltar Servidores como se muestra en la Figura 10.

Figura 10. Mover un objeto de equipo

4. Haga clic en Aceptar para mover el equipo a la unidad organizativa Servidor dentro de la unidad organizativa Recursos. Administrar objetos de equipo Los objetos de equipo de Active Directory se pueden administrar directamente desde el complemento Usuarios y equipos de Active Directory. Administracin de equipos es un componente que sirve para ver y controlar numerosos aspectos de la configuracin del equipo. Administracin de equipos combina varias utilidades de administracin en un nico rbol de consola, lo que proporciona un fcil acceso a las propiedades administrativas y herramientas de los equipos locales o remotos.
Nota: en el siguiente ejemplo se asume que trabaja desde la consola HQ-CON-DC-01 y que HQ-CON-DC-02 se est ejecutando.

Administrar un equipo remoto

Para administrar un equipo remoto
1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en contoso.com y, despus, haga clic en Conectar con el dominio. 2. Haga clic en Examinar y luego en el signo + situado junto a contoso.com. Haga doble clic en vancouver.contoso.com y, a continuacin, haga clic en Aceptar. 3. Expanda vancouver.contoso.com haciendo clic en el signo + y, despus, haga clic en Controladores de dominio. 4. Haga clic con el botn secundario del mouse en HQ-CON-DC-02 y, despus, haga clic en Administrar. El sistema se puede administrar ahora de forma remota, como se ilustra en la Figura 11.
Figura 11. Administrar un equipo de forma remota

18

5. Cierre la ventana Administracin de equipos.

Grupos anidados
Los grupos anidados permiten proporcionar acceso a los recursos a toda la empresa o a todo el departamento con un mantenimiento mnimo. Colocar cada grupo de cuentas de equipo en un nico grupo de recursos de toda la empresa no es una solucin eficaz, ya que para ello es necesario crear y mantener un gran nmero de vnculos de pertenencia. Para utilizar grupos anidados, los administradores crean una serie de grupos de cuentas que representan las divisiones administrativas de la empresa.

Para crear un grupo anidado

1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en vancouver.contoso.com y, despus, haga clic en Conectar con el dominio. 2. Haga clic en Examinar y luego en contoso.com. Haga clic dos veces en Aceptar para finalizar. 3. Expanda contoso.com y, despus, expanda la unidad organizativa Cuentas. 4. Cree un nuevo grupo haciendo clic con el botn secundario del mouse en Ingeniera, seleccionando Nuevo y haciendo clic en Grupo. Escriba Toda la ingeniera y, a continuacin, haga clic en Aceptar. 5. Haga clic con el botn secundario del mouse en el grupo Toda la ingeniera y, despus, haga clic en Propiedades. 6. Haga clic en la ficha Miembros y luego en Agregar. 7. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Herramientas y, a continuacin, haga clic en Aceptar. 8. Haga clic de nuevo en Aceptar. Se crea un grupo anidado.

Buscar objetos especficos

En una implementacin de directorios de gran tamao sera absurdo examinar una gran lista de objetos en busca de un nico objeto. Suele ser ms eficaz buscar objetos especficos que satisfagan determinados criterios. En el ejemplo siguiente, buscar todos los usuarios con un nombre de inicio de sesin que empiece por J en el dominio Contoso.

Para buscar usuarios con un nombre de inicio de sesin que empiece por J
1. Haga clic para seleccionar contoso.com. Haga clic con el botn secundario del mouse en contoso.com y, despus, haga clic en Buscar. 2. Haga clic en la ficha Opciones avanzadas. En la lista desplegable Campo, seleccione Usuario y, a continuacin, haga clic en Nombre de inicio de sesin. 3. Escriba J para Valor y, despus, haga clic en Agregar. Haga clic en Buscar ahora. Los resultados deben ser similares a los que se muestran en la Figura 12.

Figura 12. Uso de tcnicas avanzadas de bsqueda en directorios

19

4. Cierre la ventana Buscar usuarios, contactos y grupos.

Filtrar una lista de objetos

Filtrar la lista de objetos devueltos desde el directorio le permite administrar el directorio de forma ms eficaz. La opcin de filtrado permite restringir los tipos de objetos devueltos al complemento. Por ejemplo, puede elegir ver slo usuarios y grupos, o es posible que desee crear un filtro ms complejo. Si una unidad organizativa tiene ms de un nmero especificado de objetos, la funcin de filtro permite restringir el nmero de objetos que se muestran en el panel de resultados. Se puede utilizar la funcin Filtrar para configurar esta opcin.

Para crear un filtro diseado de forma que slo se muestren los usuarios
1. En el complemento Usuarios y equipos de Active Directory, haga clic en Ingeniera bajo la unidad organizativa Cuentas. 2. Haga clic en el men Ver y luego en Opciones de filtro. 3. Haga clic en el botn de opcin Mostrar slo los siguientes tipos de objetos, seleccione Usuarios y, despus, haga clic en Aceptar. 4. Expanda Cuentas y, a continuacin, haga clic en Ingeniera para comprobar los resultados del filtro. 5. Quite el filtro.

Introduccin a Directiva de grupo

La configuracin de Directiva de grupo define los distintos componentes del entorno de escritorio del usuario que tiene que un administrador del sistema necesita gestionar; por ejemplo, los programas que estn disponibles para los usuarios, los programas que aparecen en el escritorio del usuario y las opciones del men Inicio. Para crear una configuracin de escritorio especfica para un determinado grupo de usuarios, utilice el Editor de objetos de directiva de grupo. La configuracin de Directiva de grupo que especifique se incluye en un objeto de directiva de grupo, que a su vez est asociado con objetos de Active Directory seleccionados (sitios, dominios o unidades organizativas). La Directiva de grupo no se aplica slo a los usuarios y a los equipos clientes, tambin se aplica a los servidores miembros, los controladores de dominio y otros equipos con Microsoft Windows 2000 que estn en el mbito de administracin. De modo predeterminado, la Directiva de grupo que se aplica a un dominio (es decir, que se aplica en el nivel de dominio, directamente sobre la raz de Usuarios y equipos de Active Directory) afecta a todos los equipos y usuarios del dominio. Usuarios y equipos de Active Directory tambin proporciona una unidad organizativa Controladores de dominio integrada. Si guarda ah sus cuentas de controlador de dominio, puede utilizar el objeto de directiva de grupo Directiva predeterminada de controladores de dominio para administrar los controladores de dominio independientemente de otros equipos. La Directiva de grupo incluye parmetros de directiva para Configuracin de usuario, que afecta a los usuarios y para Configuracin de equipo, que afecta a los equipos. Para obtener ms informacin, consulte Configuracin de usuario y Configuracin del equipo. Con Directiva de grupo puede hacer lo siguiente: y Administrar la directiva basada en el Registro con las plantillas administrativas. La Directiva de grupo crea un archivo con valores del Registro que se escriben en la parte Usuario o Equipo local de la base de datos del Registro. La configuracin de perfil de usuario, que es especfica de un usuario que inicia una sesin en una estacin de trabajo o un servidor dados, se escribe en el Registro bajo HKEY_CURRENT_USER (HKCU) y la configuracin especfica de equipo se escribe bajo HKEY_LOCAL_MACHINE (HKLM). Para conocer los procedimientos, consulte Utilizar las plantillas administrativas. Para obtener detalles tcnicos, vea la pgina sobre implementacin de directivas basadas en el Registro en el sitio Web de Microsoft. y Asignar secuencias de comandos. Se incluyen secuencias de comandos tales como inicio, cierre, inicio de sesin y cierre de sesin del equipo. Para obtener ms informacin, vea Utilizar secuencias de comandos para inicio, apagado, inicio de sesin y cierre de sesin.

20

y Redirigir carpetas. Puede redirigir carpetas, como Mis documentos y Mis imgenes, desde la carpeta

Documentos y Configuracin del equipo local a ubicaciones de red. Para obtener ms informacin acerca de Redireccin de carpetas, vea Utilizar Redireccionamiento de carpetas. y Administrar aplicaciones. Con la Directiva de grupo puede asignar, publicar, actualizar o reparar aplicaciones mediante Instalacin de software de Directiva de grupo. Para obtener ms informacin, vea Utilizar Instalacin de software de Directiva de grupo. y Especificar las opciones de seguridad. Para aprender cmo configurar las opciones de seguridad, consulte Configuracin de seguridad.

Objetos de directiva de grupo que existen de manera predeterminada

Todos los equipos que ejecutan los sistemas operativos Windows 2000, Microsoft Windows XP Professional o Windows Server 2003 tienen almacenado localmente un objeto de directiva de grupo. Este objeto de directiva de grupo local contiene un subconjunto de los valores disponibles en objetos de directiva de grupo no locales. Para obtener ms informacin, consulte Directiva de grupo local. De manera predeterminada, al configurar Active Directory se crean dos objetos de directiva de grupo no locales: y Directiva de dominio predeterminada est vinculada al dominio y afecta a todos los usuarios y equipos del mismo (incluidos los equipos que son controladores de dominio) a travs de la herencia de directivas. Para obtener ms informacin, consulte Herencia de directivas. y Directiva predeterminada de controladores de dominio est vinculada a la unidad organizativa Controladores de dominio y generalmente slo afecta a los controladores de dominio, ya que las cuentas de equipo de los mismos se almacenan exclusivamente en la unidad organizativa Controladores de dominio.
Precaucin y Si mueve un controlador de dominio fuera de la unidad organizativa Controladores de dominio, deja de aplicarse la directiva predeterminada de Controladores de dominio. Si debe mantener un controlador de dominio en una unidad organizativa diferente, vincule la directiva predeterminada de Controladores de dominio a esa unidad organizativa.

Directiva de usuario y de equipo

La configuracin de la directiva de usuario est ubicada en Configuracin de usuario en la Directiva de grupo y se obtiene cuando el usuario inicia una sesin. La configuracin de la directiva de equipo est ubicada en Configuracin de equipo y se obtiene al iniciar el equipo. Para obtener ms informacin, consulte Configuracin de usuario y Configuracin del equipo. Los usuarios y los equipos son los nicos tipos de objetos de Active Directory que reciben directivas. Especficamente, la directiva no se aplica a los grupos de seguridad. En su lugar, por motivos de rendimiento, se utilizan grupos de seguridad para filtrar la directiva mediante una entrada de control de acceso (ACE) de Aplicar directiva de grupos, que se puede establecer en Permitir o Denegar, o dejar sin configurar. Para obtener ms informacin, consulte Filtrar el mbito de la Directiva de grupo segn la pertenencia a los grupos de seguridad.

Orden de aplicacin
Las directivas se aplican en el orden siguiente: 1. El objeto de directiva de grupo local nico. 2. Objetos de directiva de grupo del sitio, en el orden especificado por el administrador. 3. Objetos de directiva de grupo del dominio, en el orden especificado por el administrador. 4. Objetos de directiva de grupo de la unidad organizativa, de unidad organizativa mayor a menor (de principal a secundaria), en el orden especificado por el administrador en el nivel de cada unidad organizativa. De forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas con anterioridad cuando son incoherentes. Sin embargo, si no hay incoherencias en las directivas, tanto las 21

anteriores como las posteriores contribuyen a la eficacia de las directivas. Para obtener ms informacin, consulte Prioridad de la directiva de grupo.

Filtrar la directiva en funcin de la pertenencia a grupos de seguridad

Una entrada ACE para un grupo de seguridad en un objeto de directiva de grupo puede establecerse como No configurada (no hay preferencia), Permitida o Denegada. Denegada tiene prioridad sobre Permitida. Para obtener ms informacin, consulte Filtrar el mbito de la Directiva de grupo segn la pertenencia a los grupos de seguridad.

Bloquear la herencia de directivas

Las directivas que normalmente se heredaran de sitios, dominios o unidades organizativas superiores se pueden bloquear en el nivel de sitio, dominio o unidad organizativa. Para obtener ms informacin, consulte Bloquear la herencia de directivas.

Aplicar la directiva desde arriba

Puede configurar directivas que de otro modo seran sobrescritas por directivas de unidades organizativas secundarias como No omitir en el nivel de objeto de directiva de grupo. Para obtener ms informacin, consulte Evitar la suplantacin de un objeto de directiva de grupo.
Notas y Las directivas que se han configurado como No omitir no se pueden bloquear. y Las opciones No omitir y Bloquear deben utilizarse con moderacin. El uso incontrolado de estas caractersticas avanzadas complica la solucin de problemas. Para ver sugerencias acerca del uso de Directiva de grupo, vea Solucionar problemas de la Directiva de grupo y Prcticas recomendadas para Directiva de grupo (anterior a GPMC).

Administracin de directivas de grupo

El complemento Consola de administracin de directivas de grupo proporciona una interfaz de usuario nica para administrar directivas de grupo en una empresa. Consola de administracin de directivas de grupo contiene un complemento de Microsoft Management Console (MMC) y un conjunto de interfaces de secuencias de comandos para administrar directivas de grupo. y Antes de utilizar Consola de administracin de directivas de grupo, vea Lista de comprobacin: utilizar la Consola de administracin de directivas de grupo. y Para buscar formas de realizar realizar tareas habituales con Consola de administracin de directivas de grupo, vea Formas nuevas de realizar tareas habituales mediante GPMC.

Utilizar la Directiva de grupo

Formas de abrir el Editor de objetos de directiva de grupo
Puede abrir el Editor de objetos de directiva de grupo de varias maneras, dependiendo de la accin que desee llevar a cabo y del objeto al que desee aplicar la Directiva de grupo.
Directiva de grupo aplicada a Equipo local Otro equipo Haga esto En el Editor de objetos de directiva de grupo, modifique el objeto de directiva de grupo local, tal como se describe en Editar un objeto de directiva de grupo local. Abra el objeto de directiva de grupo local que est almacenado en el equipo de red, tal como se describe en Abrir la Directiva de grupo como un complemento MMC y, a continuacin, busque el equipo de red. Debe tener derechos administrativos en el equipo de red. Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva de grupo desde Sitios y servicios de Active Directory y, a continuacin, vincule un objeto de

Sitio

22

directiva de grupo al sitio deseado. Dominio Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva de grupo desde Usuarios y equipos de Active Directory y, a continuacin, vincule un objeto de directiva de grupo al dominio deseado. Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva de grupo desde Usuarios y equipos de Active Directory y, a continuacin, vincule un objeto de directiva de grupo a la unidad organizativa deseada. Tambin puede vincular un objeto de directiva de grupo a una unidad organizativa que se encuentre en un nivel superior de la jerarqua de Active Directory. De esta forma, la unidad organizativa podr heredar la configuracin de la Directiva de grupo.

Unidades organizativas

Objeto de directiva de grupo Puede crear y guardar su propia consola Microsoft Management Console (MMC) o conjunto de objetos de personalizada. Para obtener ms informacin, vea Microsoft Management Console. directiva de grupo existentes

Tambin puede abrir el Editor de objetos de directiva de grupo si hace clic en Inicio, en Ejecutar y, a continuacin, escribe un comando. O bien, puede abrir el Editor de objetos de directiva de grupo en el smbolo del sistema en una ventana de MS-DOS. La siguiente tabla contiene algunos ejemplos de cmo puede abrir el Editor de objetos de directiva de grupo desde la lnea de comandos en diferentes situaciones.
Para modificar El objeto nombreDeEsteEquipo El objeto nombreDeEsteEquipo (especificado en el estilo DNS) Objetos de directiva de grupo almacenadas en Active Directory En la lnea de comandos, utilice esta sintaxis de lnea de comandos gpedit.msc /gpcomputer:"nombreDeEsteEquipo" gpedit.msc /gpcomputer:"nombreDeEsteEquipo.dominio.com" gpedit.msc/gpobject:"LDAP://CN={31B2F340-016D-11D2-945F00C04FB984F9},CN=Policies,CN=System,DC=WingTipToys,DC=com"
Nota: El GUID del objeto de directiva de grupo descrito anteriormente es un ejemplo ficticio.

Directiva de grupo local

Cada equipo que ejecuta Windows 2000, Windows XP Professional, Windows XP 64-bit Edition (Itanium) o un sistema operativo Windows Server 2003 tiene exactamente un objeto de directiva de grupo local. En estos objetos, la configuracin de la Directiva de grupo se almacena en equipos individuales tanto si forman parte de un entorno de Active Directory o de un entorno de red como si no. Los objetos de directiva de grupo local contienen menos opciones de configuracin que los objetos de directiva de grupo no local, especialmente en Configuracin de seguridad. Los objetos de directiva de grupo local no admiten Re-direccionamiento de carpetas ni Instalacin de software de Directiva de grupo. Debido a que los objetos de directiva de grupo asociados a sitios, dominios y unidades organizativas pueden sobrescribir la configuracin del objeto de directiva de grupo local, ste es el menos influyente en un entorno de Active Directory. En un entorno que no sea de red (o en un entorno de red que no disponga de un controlador de dominio), la configuracin del objeto de directiva de grupo local es ms importante, ya que otros objetos de directiva de grupo no pueden sobrescribirla. Para modificar el objeto de directiva de grupo local almacenado en el equipo local, utilice el complemento Editor de objetos de directiva de grupo.Si desea editar el objeto de directiva de grupo local almacenado en otro equipo de la red, abra la Directiva de grupo como un complemento de Microsoft Management Console (MMC) independiente y busque el objeto de directiva de grupo que desee.

23

El objeto de directiva de grupo local reside en razDelSistema\System32\GroupPolicy. Los equipos con Windows NT 4.0 o versiones anteriores no tienen un objeto de directiva de grupo local y no reconocen la Directiva de grupo no local. Para obtener ms informacin, vea Problemas de migracin.

Permisos de directiva de grupo

Permisos predeterminados
En la siguiente tabla se describen los permisos predeterminados de los objetos de directiva de grupo. Grupo de seguridad Usuarios autenticados Sistema local Administradores de dominio Administradores Propietarios del creador de directiva de grupo Configuracin predeterminada Leer, Aplicar Directiva de grupo (AGP) Control total (incluye AGP) Leer, Escribir, Crear secundario, Eliminar secundario, AGP Leer, Escribir, Crear secundario, AGP Lectura, Escritura, AGP

De forma predeterminada, ningn administrador puede eliminar el objeto de directiva de grupo Directiva de dominio predeterminada. El propsito de esta restriccin es evitar que se elimine accidentalmente este objeto de directiva de grupo, el cual contiene valores de configuracin importantes que el dominio requiere. Si por algn motivo debe eliminarse la Directiva de dominio predeterminada, debe concederse explcitamente el permiso Eliminar al grupo correspondiente. Se trata de una entrada de control de acceso (ACE, Access Control Entry) avanzada del objeto de directiva de grupo.

Directiva para Microsoft Management Console

Uno de los archivos de Plantillas administrativas, System.adm, contiene varios valores de Directiva de grupo que rigen el uso de Microsoft Management Console (MMC). Puede delegar derechos administrativos guardando las consolas configuradas anteriormente. Para obtener ms informacin, vea Delegar el control de la directiva de grupo. Puede buscar los valores de configuracin de directiva MMC en el Editor de objetos de directiva de grupo. A continuacin, puede hacer doble clic en cada uno de los elementos para los que desea establecer una configuracin administrativa de Directiva de grupo que rija el uso de los mismos en MMC. Si desea delegar tareas relacionadas con la directiva a otras personas, incluidos usuarios que no sean administradores:

Delegar el control de la directiva de grupo

y Delegar la modificacin de objetos Directiva de grupo  Para delegar la modificacin de objetos Directiva de grupo

1. Abra el Editor de objetos de directiva de grupo. 2. En el rbol de la consola, haga clic con el botn secundario del <i>mouse</i> (ratn) en el icono o en el nombre del objeto de directiva de grupo y, a continuacin, haga clic en Propiedades. 3. Realice una de las siguientes acciones: y Para agregar un usuario o un grupo de usuarios, haga clic en la ficha Seguridad y, despus, en Agregar. Escriba el nombre del usuario o grupo de usuarios y, a continuacin, haga clic en Aceptar. y Para conceder permisos de modificacin de objetos de directiva de grupo a un grupo o usuario, en Permisos para usuarios autenticados, active las casillas de verificacin correspondientes a los permisos que desea conceder. Al finalizar, haga clic en Aceptar. y Si no desea aplicar la directiva a un usuario o a un grupo de usuarios, en Permisos de usuarios autenticados, desactive la casilla de verificacin Permitir de Aplicar Directiva de grupos. Al finalizar, haga clic en Aceptar.

24

Notas y Para realizar este procedimiento, deber iniciar la sesin como miembro del grupo Administradores de dominio o del grupo Administradores de empresa. y Para abrir el Editor de objetos de directiva de grupo, vea Temas relacionados. Informacin acerca de diferencias funcionales y Es posible que el servidor funcione de forma distinta segn la versin y la edicin del sistema operativo instalado, de los permisos de la cuenta y de la configuracin de los mens.  Delegar la creacin de objetos Directiva de grupo

Para delegar la creacin de objetos Directiva de grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el rbol de la consola, haga clic en Usuarios. 3. En la columna Nombre del panel de detalles, haga doble clic en Propietarios del creador de directivas de grupo. 4. En el cuadro de dilogo Propiedades de propietarios del creador de directivas de grupo, haga clic en la fichaMiembros. 5. Haga clic Agregar, escriba el nombre del usuario o grupo y, a continuacin, haga clic en Aceptar.
Notas y Para realizar este procedimiento, deber iniciar la sesin como miembro del grupo Administradores de dominio o del grupo Administradores de empresa. y Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic enHerramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de Active Directory. y De manera predeterminada, slo los administradores del dominio, los administradores de empresa, los propietarios del creador de directivas de grupo y el sistema operativo pueden crear nuevos objetos de Directiva de grupo. Si el administrador del dominio desea que un grupo o un usuario que no sea administrador pueda crear objetos de Directiva de grupo, los puede agregar al grupo de seguridad Propietarios del creador de directivas de grupo. Cuando un usuario que no es administrador pero que forma parte del grupo Propietarios del creador de directivas de grupo crea un objeto de directiva de grupo, dicho usuario se convierte en el creador y propietario del objeto, por lo que puede modificarlo. Ser miembro del grupo Propietarios del creador de directivas de grupo otorga al usuario control total nicamente sobre los objetos de directiva de grupo que haya creado o los que se le delegan explcitamente. No ofrece al usuario que no es administrador ningn derecho adicional sobre otros objetos de directiva de grupo para el dominio; no se concede a estos usuarios derechos sobre los objetos de directiva de grupo que no crearon. y Cuando un administrador crea un objeto de directiva de grupo, el grupo Administradores del dominio se convierte en el Creador propietario del objeto. y Si delega esta tarea en usuarios que no son administradores, debe considerar la posibilidad de delegar tambin la capacidad para administrar los vnculos de una unidad organizativa especfica. Esto se debe a que, de modo predeterminado, los usuarios que no son administradores no pueden administrar vnculos, lo que les impide utilizar Usuarios y equipos de Active Directory para crear un objeto de directiva de grupo. Informacin acerca de diferencias funcionales y Es posible que el servidor funcione de forma distinta segn la versin y la edicin del sistema operativo instalado, de los permisos de la cuenta y de la configuracin de los mens.  Delegar la vinculacin de objetos Directiva de grupo

Para delegar la vinculacin de objetos Directiva de grupo 1. Abra Usuarios y equipos de Active Directory. 2. Haga clic con el botn secundario del mouse (ratn) en la unidad organizativa en la que desea delegar el derecho de vincular objetos directiva de grupo y, a continuacin, haga clic en Delegar control. 3. En el Asistente para delegacin de control, haga clic en Siguiente y, a continuacin, haga clic en Agregar.

25

4. En el cuadro de dilogo Seleccionar usuarios, equipos o grupos, escriba el nombre del objeto que desea seleccionar y, a continuacin, haga clic en Aceptar y en Siguiente. 5. En Delegar las siguientes tareas comunes de la pgina de tareas para delegar, active la casilla de verificacinAdministrar vnculos de directiva de grupo y, a continuacin, haga clic en Siguiente. 6. Haga clic en Finalizar.
Notas y Para realizar este procedimiento, deber iniciar la sesin como miembro del grupo Administradores de dominio o del grupo Administradores de empresa. y Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clic enHerramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de Active Directory. y Para abrir el Editor de objetos de directiva de grupo, vea Temas relacionados. Informacin acerca de diferencias funcionales y Es posible que el servidor funcione de forma distinta segn la versin y la edicin del sistema operativo instalado, de los permisos de la cuenta y de la configuracin de los mens.

Directiva de grupo e infraestructura de red

 Caractersticas de Directiva de grupo que se pueden utilizar entre distintos bosques
La familia Windows Server 2003 presenta un conjunto eficaz de caractersticas nuevas que permiten autenticar y autorizar el acceso a recursos de bosques independientes en red. Si hay relaciones de confianza completa entre los bosques, puede administrar Directiva de grupo en la totalidad de Active Directory, independientemente del bosque; esto proporciona mayor flexibilidad, especialmente a las grandes organizaciones. A continuacin se presenta una lista de caractersticas de Directiva de grupo compatibles entre bosques: y Inicio de sesin interactivo En la siguiente tabla se enumeran las tareas de inicio de sesin compatibles entre bosques.
Tarea Aplicar directiva a un objeto de usuario Aplicar directiva a un objeto de equipo Compatibilidad con el procesamiento de bucle invertido de Directiva de grupo Es compatible a travs del dominio? S S S Es compatible entre dominios del mismo bosque? S S S Es compatible con el inicio de sesin interactivo entre bosques? S S S

Para el inicio de sesin interactivo entre bosques con procesamiento de bucle invertido, se aplican los objetos de Directiva de grupo con bucle invertido, habilitados para combinar y reemplazar, entre bosques en el mismo modelo de inicio de sesin, como se especific para el inicio de sesin interactivo. y Inicio de sesin en la red Las siguientes extensiones de Directiva de grupo son compatibles para el inicio de sesin en la red entre bosques: y Puntos de distribucin de software que se encuentran en otro bosque y Secuencias de comandos de inicio de sesin en un directorio de red compartido de otro bosque. y Perfiles de usuario mvil almacenados en un directorio de red compartido en otro bosque. y Carpetas redirigidas que estn almacenadas en un recurso compartido de archivos en otro bosque.

26

Delegacin Es compatible la delegacin entre bosques para administrar vnculos de Directiva de grupo. No son compatibles otras tareas como crear, eliminar o modificar objetos de Directiva de grupo entre bosques.

 Directiva de grupo en redes multiplataforma

Muchas redes incluyen equipos con diferentes sistemas operativos y versiones. Para permitir que los administradores tengan el mayor control posible, se puede aplicar Directiva de grupo y sus extensiones a equipos que ejecuten Windows 2000 Professional, Windows 2000 Server, Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. En los equipos cliente que ejecutan Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003, que funcionan en redes con Active Directory de Windows 2000, se aplican las siguientes caractersticas y limitaciones:
y Optimizacin del inicio de sesin rpido. La familia Windows Server 2003 proporciona una caracterstica

de optimizacin del inicio de sesin rpido. Produce la aplicacin asincrnica de la directiva cuando el equipo se inicia y cuando el usuario inicia la sesin. Esta caracterstica se puede usar en equipos cliente que ejecutan Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003, que funcionan en cualquier entorno. Esta caracterstica no est disponible para clientes Windows 2000.
y Plantillas administrativas. La familia Windows Server 2003 admite todas las opciones de configuracin de

directivas del Registro disponibles en Windows 2000. Adems, dispone de 212 opciones nuevas de configuracin del Registro. Esas nuevas opciones de configuracin del Registro slo se aplican a equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Las opciones de configuracin se omiten si se especifican para clientes Windows 2000. Puede implementar los nuevos archivos .adm proporcionados con Windows XP Professional o los sistemas operativos Windows Server 2003 desde Active Directory de Windows 2000.
y Redireccionamiento de carpetas. La familia Windows Server 2003 contiene una nueva caracterstica

Redireccionamiento de carpetas con una interfaz de usuario simplificada. Puede configurar el redireccionamiento de carpetas para los equipos cliente que ejecuten Windows 2000, Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. En equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003, puede redirigir las carpetas a un directorio principal (HomeDir) o redirigir una carpeta de nuevo a un perfil local. Esas opciones no se pueden aplicar a clientes Windows 2000.
y Perfiles mviles de usuario. Esta caracterstica contiene nuevas opciones de configuracin de directivas del

Registro para impedir que se propaguen al servidor los cambios de los perfiles mviles de usuario, permitir nicamente perfiles de usuario local y agregar el grupo de seguridad Administradores a los perfiles mviles de usuario. Esas caractersticas slo pueden aplicarse a equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Los usuarios pueden moverse entre equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003, o clientes Windows 2000, aunque slo se utilizarn las directivas que se puedan aplicar a cada plataforma.
y Seguridad. Con una directiva de restriccin de software, puede identificar software en equipos cliente e

impedir que se ejecute. El software puede identificarse por nombre de archivo, ruta de acceso, direccin URL y Hash MD5. Esta directiva debe configurarse en un objeto de directiva de grupo desde el complemento de configuracin de seguridad de un equipo cliente que ejecuta Windows XP Professional, 27

Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Esta caracterstica no es compatible con clientes Windows 2000.
y Instalacin del software de directiva de grupos. La familia de Windows Server 2003 contiene numerosas

mejoras en la interfaz de usuario de la instalacin de software de Directiva de grupo. Adems, esta versin de Windows tambin admite la implementacin de aplicaciones MSI de 32 bits en equipos cliente que ejecutan Windows XP 64-bit Edition (Itanium), versiones de 64 bits de Windows Server 2003, Enterprise Edition y versiones de 64 bits de Windows Server 2003, Datacenter Edition. No puede instalar aplicaciones de 64 bits en clientes de 32 bits. Aunque la Directiva de grupo proporciona una solucin slida para la instalacin y distribucin de software, la mejor solucin para el diseo, distribucin y administracin de software de empresa es Microsoft Systems Management Server.
y Filtrado WMI. Con filtros WMI, puede especificar una consulta basada en WMI para filtrar la aplicacin de

un objeto de directiva de grupo. Los filtros WMI se escriben en el lenguaje de consulta de WMI (WQL). Los filtros WMI slo se aplican a equipos cliente que ejecutan Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server 2003. Los filtros WMI asociados a un objeto de directiva de grupo sern omitidos por los clientes Windows 2000.

 Directiva de grupo en entornos replicados

En un dominio con varios controladores de dominio, la informacin de Active Directory tarda en propagarse de uno a otro. De manera predeterminada, los objetos de directiva de grupo se crean o editan nicamente en el controlador de dominio que contiene el testigo del maestro de operaciones para el emulador del controlador principal del dominio (PDC). Este testigo pasa de un controlador de dominio a otro con el tiempo, a medida que la informacin de Active Directory se replica para mantener sincronizados los controladores de dominio. Una unidad organizativa debe replicarse en el controlador de dominio que contiene el testigo antes de que el objeto de directiva de grupo creado all pueda vincularse a ella, lo que permitir que se aplique la configuracin de la Directiva de grupo. Si utiliza Usuarios y equipos de Active Directory, puede crear una unidad organizativa en cualquier controlador de dominio. Estas consideraciones son ms significativas si los vnculos dentro del dominio son lentos. Opciones que controlan la seleccin de un controlador de dominio Si hace clic en el nombre de objeto de directiva de grupo en el rbol de consola del Editor de objetos de Directiva de grupo, el men Ver contiene un comando denominado Opciones de controlador de dominio (DC). Este comando abre el cuadro de dilogo Opciones para la seleccin de controladores de dominio, donde puede especificar un controlador de dominio que se utilizar para editar la Directiva de grupo. Las opciones de este cuadro de dilogo son las siguientes: y El que tiene el smbolo del maestro de operaciones para el emulador PDC: sta es la opcin predeterminada y preferida, y la ms adecuada desde el punto de vista de la seguridad de los datos. y El que usan los complementos de Active Directory: esta opcin utiliza el mismo controlador de dominio que la utilidad desde la que se invoc el Editor de objetos de directiva de grupo, si la Directiva de grupo se inici de esta manera. y Usar cualquier controlador de dominio disponible: esta opcin permite que el Editor de objetos de directiva de grupo elija cualquier controlador de dominio disponible. Se trata de la opcin menos segura, ya que diferentes administradores podran, en teora, editar un objeto de Directiva de grupo simultneamente, con resultados impredecibles. Por otro lado, cuando se utiliza esta opcin, es ms probable que se seleccione un controlador de dominio del sitio local. Si slo un administrador puede administrar la Directiva de grupo de un dominio de grandes dimensiones con varios sitios, la mejora en el rendimiento podra merecer la pena.

28

Seleccin del controlador de dominio a travs de la Directiva de grupo Adems del comando Opciones DC, existe un parmetro de configuracin de la Directiva de grupo para la seleccin de controladores de dominio. Forma parte de la plantilla administrativa System.adm que se carga en Editor de objetos de directiva de grupo de manera predeterminada. Puede buscar esta opcin de configuracin de Directiva de grupo en el Editor de objetos de directiva de grupo, en Configuracin del usuario\Plantillas administrativas\Sistema\Directiva de grupo. En el panel de detalles, haga doble clic en Seleccin del controlador de dominio de la directiva de grupo y, a continuacin, haga clic en la configuracin adecuada de la lista.

 Directiva de grupo con vnculos lentos

Si el equipo es miembro del dominio al que el servidor de Enrutamiento y acceso remoto pertenece o en el que se confa, puede aplicar Directiva de grupo de forma remota. Esto es vlido tanto si se inicia una sesin mediante Enrutamiento y acceso remoto, como si se hace con credenciales en cach y, despus, se establece una conexin de Enrutamiento y acceso remoto. La Directiva de grupo no se aplica a equipos que son miembros de un grupo de trabajo o de un dominio externo (un dominio que no contiene el equipo y no tiene una relacin de confianza con el dominio del equipo). Aunque puede establecerse la conexin, el acceso a los recursos del dominio puede verse afectado desfavorablemente debido a que la seguridad de Protocolo Internet (IPSec) de ambos equipos no coincide. De manera predeterminada, las directivas basadas en el Registro siempre se aplican y no es posible desactivarlas. La Configuracin de seguridad tambin se aplica de manera predeterminada, pero los dems parmetros de configuracin no se aplican. En todas las configuraciones, excepto en la del Registro, puede aplicarse o no el comportamiento predeterminado. Una conexin de acceso remoto no es necesariamente un vnculo lento, as como una red de rea local (LAN) no es necesariamente un vnculo rpido. De manera predeterminada, la rapidez o lentitud de un vnculo se basa en un ping de prueba al servidor. Si tarda menos de 2000 milisegundos (dos segundos), se considera un vnculo rpido. Si tarda ms tiempo, se considera un vnculo lento. Puede establecer este valor mediante la opcin de Directiva de grupo Tiempo de espera agotado de conexin de red a baja velocidad para los perfiles del usuario, que se encuentra en Configuracin del equipo\Plantillas administrativas\Sistema\Perfiles de usuario. En esta carpeta tambin aparecen otras muchas opciones de configuracin de la Directiva de grupo relacionadas con vnculos lentos. Compruebe tambin la opcin Deteccin de vnculo de baja velocidad de la directiva de grupo, que se encuentra en Configuracin del equipo\Plantillas administrativas\Sistema\Directiva de grupo.

 Directiva de grupo en sitios

Los objetos de directiva de grupo aplicados a los objetos de sitio de Active Directory afectan a todos los equipos del sitio. La informacin de directorio se replica y se encuentra disponible en todos los controladores de dominio del sitio y para cualquier controlador de dominio de sitios para los que se haya establecido un vnculo. Por lo tanto, cualquier objeto de directiva de grupo vinculado a un sitio se aplicar a todos los equipos de dicho sitio, independientemente de qu dominio (del bosque) contenga los equipos. Esto permite que varios dominios de un bosque reciban el mismo objeto de directiva de grupo (incluidas las directivas), aunque dicho objeto nicamente exista como entidad almacenada en un nico dominio y deba leerse desde ese dominio cuando los clientes afectados lean su Directiva de grupo vinculada al sitio. Si los dominios secundarios estn configurados a travs de los lmites de la red de rea extensa (WAN, <i>Wide Area Network</i>), la configuracin del sitio debe tenerlo en cuenta. En caso contrario, los equipos 29

del dominio secundario tendrn acceso a un objeto de directiva de grupo vinculado al sitio a travs de un vnculo de WAN. Esto aumenta el tiempo de procesamiento de la Directiva de grupo.
Nota. Generalmente, la Directiva de grupo no se aplica a sitios. Se suele aplicar a dominios y unidades organizativas.

Administrar la Directiva de grupo desde la lnea de comandos

Adems de utilizar el Editor de objetos de directiva de grupo, puede utilizar herramientas de la lnea de comandos para administrar Directiva de grupo. Por ejemplo, puede utilizar gpresult para ver qu directiva se est aplicando y para la solucin de problemas. Puede utilizar gpupdate para actualizar inmediatamente la directiva y para especificar determinadas opciones en la lnea de comandos.

Gpresult
Muestra la configuracin de Directiva de grupo y Conjunto resultante de directivas (RSOP, <i>Resultant Set of Policy</i>) para un usuario o un equipo. Sintaxis Gpresult [/s equipo [/u dominio\usuario/p contrasea]][/user nombreDeUsuarioDeDestino][/scope {user | computer}][{/v | /z}] Parmetros /sequipo Especifica el nombre o la direccin IP de un equipo remoto. No utilice barras diagonales inversas. El valor predeterminado es el equipo local. /udominio\usuario Ejecuta el comando con los permisos de cuenta del usuario especificado por usuario o dominio\usuario. La opcin predeterminada son los permisos del usuario que inici la sesin actual en el equipo que emite el comando. /pcontrasea Especifica la contrasea de la cuenta de usuario especificada en el parmetro /u. /usernombreDeUsuarioDeDestino Especifica el nombre del usuario cuyos datos RSOP se van a mostrar. /scope {user|computer} Muestra resultados de usuario (user) o equipo (computer). Los valores aceptados para el parmetro /scope son usero computer. Si se omite el parmetro /scope, el comando gpresult mostrar la configuracin de user y computer. /v Especifica que se muestre informacin detallada de directiva en el resultado. /z Especifica que se muestre en el resultado toda la informacin disponible acerca de Directiva de grupo. Como este parmetro produce ms informacin que el parmetro /v, redirija el resultado a un archivo de texto cuando lo utilice (por ejemplo, gpresult /z >directiva.txt). /? Muestra Ayuda en el smbolo del sistema.
Notas y Directiva de grupo es la herramienta administrativa principal para modificar y controlar cmo funcionarn los programas, los recursos de red y el sistema operativo para los usuarios y equipos en una organizacin. En un entorno Active Directory, la directiva de grupo se aplica a usuarios o equipos en funcin de su pertenencia a sitios, dominios o unidades organizativas. y Como se pueden aplicar a un equipo o un usuario niveles de directivas que se superpongan, la caracterstica Directiva de grupo genera un conjunto resultante de directivas al iniciar sesin. Gpresult muestra el conjunto resultante de directivas que se aplicaron en el equipo cuando el usuario especificado inici sesin.

30

Ejemplos Los ejemplos siguientes muestran cmo se puede utilizar el comando gpresult: gpresult /user nombreDeUsuarioDeDestino /scope computer gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user nombreDeUsuarioDeDestino /scope USER gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user nombreDeUsuarioDeDestino /z >directiva.txt gpresult /s srvmain /u maindom\hiropln /p p@ssW23 Dar formato a la leyenda Formato Cursiva Negrita

Significado Informacin que debe suministrar el usuario Elementos que debe escribir el usuario exactamente como se muestran Puntos suspensivos (...) Parmetro que se puede repetir varias veces en una lnea de comandos Entre corchetes ([]) Elementos opcionales Entre llaves ({}); opciones separadas por barras Conjunto de opciones de las que el usuario debe elegir slo verticales (|). Ejemplo: {par|impar} una Courier Font Cdigo o resultado del programa Gpupdate Actualiza las configuraciones de Directiva de grupo local y Directiva de grupo que estn almacenadas en Active Directory, incluida la configuracin de seguridad. Este comando sustituye la opcin /refreshpolicy , ya obsoleta, del comando secedit. Sintaxis gpupdate [/target:{computer | user}] [/force] [/wait:valor] [/logoff] [/boot] Parmetros /target:{computer | user} Procesa slo la configuracin del equipo o la del usuario actual. De forma predeterminada, se procesan las configuraciones del equipo y las del usuario actual. /force Omite todas las optimizaciones de proceso y vuelve a aplicar todas las configuraciones. /wait:valor Nmero de segundos que el proceso de directivas espera para terminar. El valor predeterminado es 600 segundos. 0 significa sin esperar, y -1 significa esperar indefinidamente. /logoff Cierra la sesin despus de completar la actualizacin. Esto es necesario para aquellas extensiones del cliente de Directiva de grupo que no se procesan en un ciclo de actualizacin en segundo plano, sino que se procesan cuando el usuario inicia una sesin, como Instalacin de software de Directiva de grupo y Redireccin de carpetas del usuario. Esta opcin no tiene efecto si no se invocan extensiones que requieren que el usuario cierre la sesin. /boot Reinicia el equipo despus de completar la actualizacin. Esto es necesario para aquellas extensiones del cliente de Directiva de grupo que no se procesan en un ciclo de actualizacin en segundo plano, sino que se procesan cuando el equipo se inicia, como Instalacin de software de Directiva de grupo del equipo. Esta opcin no tiene efecto si no se invocan extensiones que requieren el reinicio del equipo. /? Muestra Ayuda en el smbolo del sistema.

31

Ejemplos Los ejemplos siguientes muestran cmo se puede utilizar el comando gpupdate: gpupdate gpupdate /target:computer gpupdate /force /wait:100 gpupdate /boot Dar formato a la leyenda Formato Significado Cursiva Informacin que debe suministrar el usuario Negrita Elementos que debe escribir el usuario exactamente como se muestran Puntos suspensivos (...) Parmetros que se pueden repetir varias veces en una lnea de comandos. Entre corchetes ([]) Elementos opcionales Entre llaves ({}); opciones separadas por barras Conjunto de opciones de las que el usuario debe elegir slo una verticales (|). Ejemplo: {par|impar} Courier Font Cdigo o resultado del programa
Notas y Gpupdate reemplaza al comando secedit /refreshpolicy de Windows 2000.

Formas nuevas de realizar tareas habituales

Con Windows NT 4.0 se present el Editor de directivas del sistema, que puede utilizarse para crear una directiva del sistema que controle las acciones del usuario y el entorno de trabajo, as como para exigir la configuracin del sistema en todos los equipos que ejecuten Windows NT 4.0. Las opciones de configuracin de las directivas definen los distintos componentes del entorno del escritorio, incluidas las aplicaciones disponibles para los usuarios, las aplicaciones que aparecen en sus escritorios y las opciones que se muestran en el men Inicio. Directiva de grupo y sus extensiones, incluidas en Windows XP Professional, Windows XP 64-bit Edition (Itanium) y en la familia de servidores de Windows Server 2003, reemplazan muchas de las herramientas habituales de Windows NT 4.0. En la tabla siguiente se enumeran tareas comunes para configurar directivas. La interfaz de usuario que permite realizar estas tareas es diferente en esta versin de Windows de como era en Windows NT versin 4.0.
Nota No existen diferencias importantes en cuanto a la interfaz de usuario entre Windows 2000, Windows XP y la familia de servidores de Windows Server 2003 para este componente.

Si desea Establecer directivas en los equipos y usuarios de un sitio Establecer directivas en los equipos y usuarios de un dominio Establecer directivas en los equipos y usuarios de una unidad organizativa Vincular un objeto de directiva de

En Windows NT 4.0 utilice No aplicable

En esta versin de Windows, utilice Directiva de grupo, a la que se tiene acceso desde Sitios y servicios de Active Directory. Directiva de grupo, a la que se tiene acceso desde Usuarios y equipos de Active Directory Directiva de grupo, a la que se tiene acceso desde Usuarios y equipos de Active Directory Directiva de grupo, a la que se tiene

Editor de directivas del sistema (Poledit.exe)

No aplicable No aplicable

32

grupo a un sitio, dominio o unidad organizativa Utilizar grupos de seguridad para filtrar el alcance de la directiva No aplicable

acceso desde Usuarios y equipos de Active Directory Permisos de la ficha Seguridad del cuadro de dilogo de propiedades del objeto de Directiva de grupo.

Administrar software

Systems Management Server y las tres herramientas de Mantenimiento e instalacin de software de Directiva de grupo: Para un administrador, Systems y Introduccin a Instalacin de software Management Server. Para un de Directiva de grupo, una extensin del usuario, Agregar o quitar complemento Editor de objetos de programas en el Panel de control. directiva de grupo y Windows Installer y Agregar o quitar programas del Panel de control Plantillas administrativas para Directiva de grupo Para ver una explicacin de cmo ha cambiado la funcin de archivos .adm en la familia de servidores de Windows Server 2003, vea Funcin de las plantillas administrativas. Complementos de Microsoft Management Console (MMC): Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Abrir el Editor de objetos de directiva de grupo y sus extensiones.

Crear una interfaz de usuario segura para editar el Registro

Plantillas administrativas de Windows NT 4.0 para el Editor de directivas del sistema

Realizar tareas administrativas generales

Asistentes administrativos, Administrador de usuarios y Administrador de servidores

En la siguiente tabla se muestra una tarea comn para configurar Redireccin de carpetas en Directiva de grupo. La interfaz de usuario para realizar esta tarea es diferente en esta versin de Windows de la que haba en Windows 2000. Para obtener ms informacin acerca de los cambios adicionales en Directiva de grupo, vea Nuevas caractersticas de Directiva de grupo (anterior a GPMC).

Si desea Redirigir una carpeta especial a un directorio de red compartido con una ruta de acceso de Convencin de nomenclatura universal (UNC, Universal Naming Convention) personalizada para el usuario.

En Windows 2000 utilice Una ruta de acceso UNC que incorpore NombreDeUsuario, por ejemplo: \\NombreDeServidor\NombreDeRecurso \NombreDeUsuario\Mis documentos

En esta versin de Windows, utilice El cuadro de dilogo de propiedades de la carpeta especial, descrito en Redirigir carpetas especiales al directorio raz.

33