11 GPO Directivas de Grupo

Requisitos previos y objetivos

1. Requisitos previos
Tener conocimientos sobre el funcionamiento de una directiva de grupo.

2. Objetivos
Analizar los componentes de una directiva de grupo.
Implementar preferencias y GPO de inicio.
Uso de delegaciones a nivel de directivas de grupo.
Tratamiento y filtrado a nivel de GPO.
Implementar un almacn central.

Introduccin
Una directiva de grupo permite implantar parmetros de configuracin en un conjunto de
equipos. La gestin se realiza de forma centralizada en el controlador de dominio.

Informacin general de las directivas de grupo

Para controlar el entorno de los puestos de trabajo, el administrador puede implementar
directivas de grupo.

1. Los componentes de una directiva de grupo

Una GPO (Group Policy Object - Directiva de grupo) contiene uno o ms parmetros para
los usuarios y equipos del dominio o puesto local. Estas directivas se almacenan
en SYSVOL y se gestionan mediante la consola Administracin de directivas de
grupo (GPMC). La consolaEditor de administracin de directivas de grupo permite
editar la directiva y modificar los diferentes parmetros. Las GPO estn vinculadas a un
contenedor de Active Directory (Unidad organizativa, UO), para que cada objeto contenido
en esta OU reciba la directiva de grupo. Es posible configurar varios miles de parmetros,
sin embargo, cada nueva versin aporta un lote de parmetros. A diferencia de cierto
nmero de parmetros, muchos de ellos no son compatibles con las versiones ms
antiguas. En este caso, el equipo que recibe la directiva de grupo ignora el parmetro. Si
un administrador vincula a un equipo con sistema operativo Windows. XP una directiva de
grupo que contiene estas preferencias, estas no se aplican si las CSE (Extensiones del lado
cliente) no estn instaladas. Estas CSE se encuentran en el sistema operativo Microsoft y
tienen la responsabilidad de aplicar los parmetros recibidos por una directiva de grupo.
Existen tantas extensiones del lado cliente como tipos de parmetros.

Una directiva de grupo contiene dos tipos de configuracin:

Configuracin de usuario: modificacin de la clave HKEY_Current_User.

Configuracin del equipo: modificacin de la clave HKEY_Local_Machine.

En estos dos tipos de configuracin, se puede emplear tres categoras de parmetros:

Configuracin de software: contiene la informacin acerca del software que se

puede implementar.

Configuracin de Windows: podemos configurar los parmetros de seguridad y

scripts para los usuarios y equipos.

Plantillas administrativas: se incluyen miles de parmetros. Estos permiten

configurar el registro para personalizar el entorno del usuario (bloquear algunos
mens...). Pueden crearse y utilizarse plantillas personalizadas, adicionalmente es
posible descargar desde Internet paquetes de plantillas (por ejemplo, de Office).

El nodo Preferencias de la consola proporciona los parmetros suplementarios para la

configuracin del entorno. Este punto se aborda con detalle ms adelante.

2. Directiva de grupo local mltiple

Con los sistemas operativos anteriores a Windows Vista, solo era posible configurar una
directiva de grupo local. sta se aplica al conjunto de usuarios que se conectan al equipo
en local. Esta caracterstica se ha mejorado con Windows Vista y permite en adelante la
creacin de varias directivas de grupo locales. Es ms fcil aplicar configuraciones
diferentes a varios usuarios.
Es posible crear tres tipos de directivas:

Equipo local: contiene los parmetros de usuarios y equipos.

Administradores o No administradores: contiene los parmetros de usuario

exclusivamente, este tipo de directiva pueden crearla los Administradores (se aplica
al conjunto de miembros del grupo de administradores locales) o los Noadministradores (se aplica al conjunto de usuarios locales).

Usuario especfico: la directiva se aplica solamente al usuario seleccionado.

El tratamiento de la directiva de grupo local puede deshabilitarse empleando una GPO de

dominio.

3. Almacenamiento de los diferentes componentes de una GPO

Las directivas de grupo se almacenan en dos contenedores:

El GPT (Group Policy Template) contiene los parmetros de seguridad, los scripts y los
parmetros vinculados al registro. Soporta los archivos adm o admx. Este contenedor se
encuentra en la carpeta Sysvol.
El GPC (Group Policy Container) se almacena en la base de datos de Active Directory. Cada
contenedor se identifica mediante un GUID. Este ltimo identifica de forma unvoca al
objeto en AD DS. El GPC define atributos tales como el vnculo o el nmero de versin.
Podemos encontrar el mismo GUID en la carpeta SYSVOL de los diferentes controladores
de dominio.
Durante la actualizacin de las directivas en el equipo (cada 90 a 120 minutos),
las extensiones del lado cliente (CSE) recuperan los parmetros y los aplican si ha
habido una modificacin. El nmero de versin permite identificar esta modificacin. En
efecto, el nmero almacenado en el archivo gtp.ini (SYSVOL\GUIDGPO\gpt.ini) se
incrementa con cada cambio o parmetro agregado.

4. Las preferencias en las directivas de grupo

Aparecidas con Windows Server 2008, las preferencias permiten incluir ms de 20
extensiones de directiva de grupo. Esta funcionalidad permite la reduccin de los scripts
empleados por el inicio de sesin (conexin de unidad de red...).
Para utilizar las preferencias en Windows XP es preciso descargar e instalar las extensiones
del lado cliente.
Las preferencias se aplican a un usuario o equipo, adicionalmente los parmetros no son
obligatorios. Cualquier usuario puede entonces cambiar la configuracin hecha por el
administrador. Gestionados directamente desde la consola Administracin de directivas
de grupo, tambin es posible cambiar los parmetros desde un puesto de trabajo o
servidor miembro empleando los archivos RSAT (Remote Server Administration Tool).
Al igual que para las directivas, la aplicacin de las preferencias se efecta al arrancar, al
apagar el equipo o a intervalos de entre 90 y 120 minutos. Por defecto los parmetros
configurados en las preferencias no se eliminan del equipo cuando la directiva ya no se
aplica al equipo o al usuario. Sin embargo, se puede modificar este comportamiento.
La asignacin de las preferencias a los puestos cliente se efecta de una forma ms fina
que usando una directiva de grupo. En efecto, podemos atribuir las preferencias a los
equipos en funcin del sistema operativo... Esta funcionalidad es configurable solamente en
las directivas de dominio.
Entre los parmetros configurables en las preferencias, podemos encontrar:

Asignacin de una unidad de red o de una impresora

Creacin de un acceso directo

Configuracin de opciones de alimentacin

Configuracin de opciones de Internet Explorer

5. Nociones de las GPO de inicio

Los objetos GPO de inicio permiten crear plantillas de directivas de grupo. Al crear una
nueva GPO, sta puede crearse a partir de un objeto GPO de inicio. De esta forma la
nueva directiva recupera el conjunto de parmetros configurados. Esta caracterstica
permite la misma configuracin bsica para el conjunto de las directivas de grupo.
Los nicos parmetros que pueden estar contenidos en este tipo de objeto son los
contenidos en las plantillas administrativas de usuario y equipo.
Estas GPO de inicio pueden exportarse a un archivo con la extensin cab (archivo
Cabinet). De esta forma realizamos la distribucin y carga de estos archivos en otro sitio.
Esta operacin de distribucin es posible porque estos archivos son independientes del
bosque o dominio en el que se crean.
Esta caracterstica puede emplearse en varios casos:

Los parmetros de Internet Explorer deben ser comunes en todas las reas de la
empresa.

Uno o varios parmetros deben aplicarse a todos los porttiles de x sitios de la

empresa.

Aunque la base es comn a todas las directivas o todas las reas de la empresa, es posible
aadir parmetros adicionales en la directiva. Esto permite responder por ejemplo a una
problemtica especfica de una de las reas.
La creacin se efecta desde la consola Administracin de directivas de grupo
(GPMC). Es posible crear la carpeta de objetos GPO de inicio, que contiene un conjunto
de directivas predefinidas.
Podemos modificar estas directivas o crear nuevas.
Despus de crear la carpeta, las nuevas directivas se encuentran en la carpeta SYSVOL.
Al igual que para con las dems directivas, una parte se almacena en el GPC, y la otra en
el GPT.

6. Implementacin de una delegacin a nivel de GPO

Todos los administradores tienen la posibilidad de implementar delegaciones. Esta accin
provee a los usuarios la posibilidad de administrar las directivas de grupo. La gestin y
creacin de directivas, la creacin de filtros WMI... son tambin acciones que puede realizar
un usuario al que se ha delegado la administracin.
Los siguientes usuarios y grupos poseen por defecto permisos completos para administrar
las diferentes directivas de grupo:

Administradores de dominio

Administradores de empresas

CREATOR OWNER

Sistema local

Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y
aplicacin de la directiva de grupo.
Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores
(dominio, empresa) tienen la posibilidad de crear directivas de grupo. Para delegar este
permiso
en un
usuario,
debemos
agregarlo
en
la
pestaa Delegacin del
contenedor Objetos de directiva de grupo.

Para vincular una GPO a un contenedor, el usuario o el grupo debe estar ubicado en el
contenedor deseado.
Es necesaria utilizar archivos RSAT, el usuario no tiene la posibilidad de conectarse a un
controlador de dominio.

Tratamiento de directivas de grupo

Las directivas de grupo se vinculan a un contenedor, a partir de entonces la aplicacin se
realiza en un orden estricto.

1. Los vnculos de una directiva de grupo

Despus de la etapa de creacin y de prueba, debemos unir la directiva a su contenedor
definitivo. Esta unin consiste en efectuar un vnculo entre la GPO y uno o ms
contenedores. Tres tipos de contenedores pueden recibir directivas de grupo:

Sitios

Dominios

Unidades organizativas

La directiva de grupo la recibe el conjunto de objetos del contenedor y sus

subcontenedores. Podemos limitar la aplicacin de la configuracin a un nmero restringido
de usuario o de equipos, reemplazando el grupo Usuarios autentificados por un grupo de
seguridad creado previamente.
Es posible deshabilitar el vnculo. Esta operacin implica la eliminacin de las
modificaciones aportadas por la directiva de grupo. El entorno del usuario puede verse
modificado, lo cual puede impactar en la productividad.
Es imposible aplicar un vnculo directamente a un usuario, grupo o equipo. La unidad
organizativa es el ltimo objeto al que se puede efectuar un vnculo.

2. La aplicacin de una directiva de grupo

Los parmetros contenidos en la Configuracin del equipo se aplican al iniciar el equipo
y luego siguiendo un intervalo de tiempo de entre 90 y 120 minutos. Los scripts de inicio se
ejecutan solamente al arrancar el equipo. Los controladores de dominio ejecutan una
actualizacin de su configuracin cada 5 minutos.
A diferencia de los parmetros del equipo, los parmetros en la parte del usuario se aplican
durante el inicio de sesin del usuario. El intervalo de tiempo es, sin embargo, idntico. Los
scripts se ejecutan durante el inicio de sesin.
En ciertos casos (redireccin de carpeta...), la aplicacin del parmetro solo se ejecuta
durante el primer inicio de sesin. El usuario est obligado a cerrar y reiniciar la sesin.
Esto se debe a que se utilizan los identificadores puestos en cach para abrir la sesin ms
rpidamente. Los parmetros se vuelven a aplicar mientras el usuario cuente con una
sesin abierta. Es posible modificar el intervalo de configuracin, para ello debemos
modificar
el
parmetro
presente
en
el
nodo
Configuracin
del
equipo - Directivas - Plantillas administrativas - Sistema - Directiva de grupo.

Encontramos los mismos parmetros en la parte de usuario. Sin embargo existe una
excepcin relativa a los parmetros de seguridad. Estos ltimos se aplican cada 16 horas
sea cual sea el intervalo configurado.
Para forzar el refresco,
cmdlet Invoke-Gpupdate.

debemos

utilizar

el

comando gpupdate

/force o

el

A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde
la consola GPMC. Haciendo clic con el botn derecho en una unidad organizativa, un
administrador tiene acceso a la opcin Actualizacin de directiva de grupo.
Las cuentas de equipo deben estar presentes, en caso contrario se muestra un mensaje de
error.
Se abre una ventana que muestra al administrador el resultado de la operacin.
Al realizar esta operacin, la mayora de los equipos estaban desconectados, esto explica el
gran nmero de errores.

3. Orden de aplicacin de una directiva de grupo

Las directivas de grupo se aplican al equipo en funcin de un orden estricto. La primera
directiva que se aplica al puesto es la directiva local (si existe una directiva presente). A
continuacin, se recuperan y aplican las GPO de dominio, siendo la primera la GPO del sitio
AD. Se recuperan entonces Default Domain Policy y cualquier otra directiva ubicada en la
raz del dominio, por ltimo, se aplican las ubicadas en una OU o sub OU.
El vnculo no puede hacerse directamente en una entidad de seguridad (grupo o usuario),
se debe vincular a un contenedor (OU, dominio...). En caso de conflicto entre un parmetro
de dos directivas diferentes, tiene precedencia la ltima aplicada. Para modificar este orden
de prioridad, es posible bloquear la herencia o aplicar una directiva. Esta ltima opcin no

est libre de consecuencias, porque vuelve prioritaria a cualquier GPO que reciba esta
opcin y puede anular el bloqueo de la herencia.

4. Las directivas predeterminadas

Durante la creacin de un dominio Active Directory, se crean automticamente dos
directivas: la Default Domain Policy y la Default Domain Controllers Policy.
La Default Domain Policy est vinculada a la raz del dominio, lo que permite aplicarla al
conjunto de usuario y equipos del dominio por herencia. Ella contiene la poltica de
seguridad predeterminada (parmetros de contrasea, bloqueo...). Si se deben aplicar
otros parmetros al conjunto de objetos del dominio, es preferible crear una nueva
directiva y luego vincularla a la raz del dominio.
La Default Domain Controllers Policy est vinculada a la unidad organizativa Domain
Controllers, de modo que solamente la reciben los controladores de dominio. sta permite
configurar el sistema de auditora y asignar permisos suplementarios (abrir una sesin en
un controlador de dominio...).

5. Los filtros de seguridad

Una GPO se aplica de forma predeterminada al conjunto de usuarios y equipos del
contenedor y sub contenedores. Ciertas directivas (instalacin de software...) necesitan, sin
embargo, que se implemente un filtro un poco ms estricto.
El permiso de acceso por defecto es Usuarios autentificados, que permite asegurar que
el conjunto de usuarios y equipos autentificados por un controlador de dominio pueden leer
y aplicar la GPO.
Se pueden configurar permisos ms granulares configurando la ACL (Access Control List).
Esto hace que sea mucho ms fcil filtrar a las personas que pueden recibir y aplicar la
configuracin. Para acceder a esta lista de control de acceso, haga clic en el
botn Opciones avanzadas en la pestaa Delegacin.
Se muestra la lista de control de acceso, que permite desplegar autorizaciones mucho ms
granulares.
Tenga cuidado de no abusar del permiso Denegar, que es prioritario.

Despliegue de un almacn central

Las plantillas administrativas contenidas en la consola Editor de administracin de
directivas de grupo estn contenidas en la carpeta PolicyDefinitions de cada servidor.
Para utilizar una carpeta nica para todos los servidores, debemos desplegar un almacn
central.

1. Presentacin del almacn central

El almacn central permite a los diferentes controladores de dominio basarse en archivos
ADMX/ADML contenidos en un punto central, llamado Almacn Central. La creacin de un

almacn central consiste en desplazar el conjunto de los archivos utilizados por las
plantillas administrativas a la carpeta SYSVOL.
El almacn central se detecta, automticamente, al abrir la consola Editor de
administracin de directivas de grupo. De esta forma, sea cual sea la versin del
sistema operativo, los archivos utilizados son siempre idnticos. Adicionalmente esta
funcionalidad hace que el uso de las plantillas administrativas sea ms fcil, pues ya no es
necesario copiar los archivos ADMX y ADML personalizados. La copia en la
carpeta SYSVOL permite una replicacin a todos los controladores de dominio.
Para crear el almacn central, bastar con desplazar la carpeta PolicyDefinitions a la
carpetaC:\Windows\SYSVOL\sysvol\{Domain Name}\Policies\.
Los archivos ADML deben copiarse, tambin, a la carpeta, la siguiente pantalla muestra los
archivos ADMX as como los archivos de idioma almacenados en la carpeta es-ES.

2. Las plantillas administrativas

Las plantillas administrativas se basan en archivos XML. El archivo ADMX contiene la clave
a modificar y el valor a configurar para los estados Habilitado o Deshabilitado. Este tipo de
archivo es neutro a nivel de idioma, puede utilizarse en sistemas operativos en ingls,
espaol
El archivo ADML permite generar la interfaz de usuario. Contiene todos los textos que se
mostrarn en esta interfaz (texto de ayuda...). A diferencia del formato ADM, la creacin
de un archivo personalizado es muy simple, sin embargo es necesario estar familiarizado
con el lenguaje XML.
Los diferentes parmetros se escriben en la base del registro
clavesHKEY_LOCAL_MACHINE para
la
configuracin
y HKEY_CURRENT_USER para la configuracin del usuario.

a nivel
del

de las
equipo

Ejemplo de un archivo ADMX

Se asocia un archivo ADML a este archivo ADMX.
Ejemplo de un archivo ADML
Las plantillas administrativas permiten responder a la mayora de las necesidades de
personalizacin del entorno de usuario. Cada parmetro contenido en el archivo ADMX est
vinculado a un parmetro en el registro.

3. Parmetros administrados y no administrados

Existen dos tipos de parmetros en una directiva de grupo: los parmetros administrados y
los no administrados. La mayora de los parmetros tienen estado administrado. As,
cuando la cuenta de usuario o equipo no siga formando parte del mbito de la directiva de
grupo, los parmetros contenidos en la misma sern eliminados. El valor predeterminado
configurado por el sistema operativo tomar el lugar del parmetro configurado en la GPO.
De forma inversa, los parmetros no administrados modifican el registro y no se eliminan,
aunque la cuenta deje de formar parte del mbito de la directiva de grupo.

Con los parmetros administrados, el usuario no tiene la posibilidad de modificar los

parmetros. Los cambios se realizan en zonas especficas del registro, donde solo los
administradores tienen acceso:

HKLM\Software\Policies

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies

HKCU\Software\Policies

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies

En cambio, los parmetros no administrados son persistentes, modifican de forma

permanente el registro. De forma tal que, si la directiva no se sigue aplicando, el parmetro
sigue configurado.
Para invertir el proceso, habr que modificar la directiva para indicar el estado opuesto al
que se encuentra configurado. Algunos parmetros contenidos en las preferencias son
parmetros no administrados.

4. Utilizacin de los filtros en las plantillas administrativas

Las plantillas administrativas contienen multitud de parmetros configurables. Para facilitar
la bsqueda, Microsoft ha implementado a partir de Windows Server 2008 una
funcionalidad de filtrado.
Es posible buscar los parmetros que corresponden a una palabra clave o mostrar
solamente aquellos configurados. Esta funcionalidad se activa desde la consola Editor de
administracin de directivas de grupo. El men contextual de las plantillas
administrativas (accesible haciendo clic con el botn derecho) permite acceder a la
opcin Opciones de filtro.
La ventana contiene varias secciones. La primera de ellas est compuesta por tres listas
desplegables:

Administrado: permite determinar si el parmetro filtrado es un parmetro

administrado o no administrado.

Configurado: tambin es posible

configurados en la directiva de grupo.

Comentado: este parmetro del filtro es idntico al anterior, filtra sin embargo por
los comentarios dejados en la directiva.

mostrar

solo

los

parmetros

que

estn

La segunda seccin permite filtrar por palabra clave mientras que la tercera y ltima filtra
por aplicacin o plataforma (Windows Server 2003, Internet Explorer 10).
Marcando la casilla Habilitar filtros de palabra clave e introduciendo Ejecutar en el
campo, solo se muestran los parmetros que contengan la palabra Ejecutar.
La bsqueda de los parmetros es ms simple y rpida.

Talleres: Implementacin de directivas de grupo

Los talleres permiten poner en prctica las diferentes funcionalidades estudiadas (GPO de
inicio, preferencias...).

1. Implementar un almacn central

Objetivo: Puesta en marcha de la funcionalidad almacn central para el dominio
Formacion.local.
Mquina virtual utilizada: AD1.
Inicie el explorador de Windows, haga clic en Equipo y luego haga doble clic en Disco
local (C:).
Haga doble clic en Windows y luego copie la carpeta PolicyDefinitions.

Haga doble clic en la carpeta SYSVOL ubicada en la carpeta Windows.

Abra las carpetas domain y Policies y luego pegue la carpeta PolicyDefinitions.

Inicie la consola Administracin de directivas de grupo.

Despliegue los nodos Bosque, Dominios y luego Formacion.local.
Haga clic con el botn derecho en Defaut Domain Policy y seleccione Editar.
Haga doble clic en Directivas.
Las plantillas administrativas se han recuperado correctamente del almacn central.
Los archivos ADMX y ADML se replicarn, ahora, en el conjunto de controladores de
dominio.

2. Creacin de una directiva de grupo

Objetivo: Implementar una directiva de grupo para configurar un equipo cliente que
ejecuta Windows 8.
Mquinas virtuales utilizadas: AD1, CL8-01.
Arranque el equipo AD1 y abra una sesin como administrador.
Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos
Bosque: Formacion.local, Dominios y finalmente Formacion.local.

Haga clic con el botn derecho en Objetos de directiva de grupo y luego, en el men
contextual, haga clic en Nuevo.
En el campo Nombre, introduzca Parmetros de puesto cliente y luego haga clic en
Aceptar.
Aparece la nueva directiva, pero no est vinculada.
Haga clic con el botn derecho en Editar.
En la consola Editor de administracin de directivas de grupo, despliegue el nodo
Configuracin de usuario y luego Plantillas administrativas.
Despliegue el nodo Componentes de Windows y luego haga clic en Internet Explorer.

Haga clic en el parmetro Deshabilitar la configuracin de la pgina Opciones

avanzadas.
Marque el botn Habilitada y luego haga clic en Aceptar.

Esta vez haga

SmartScreen.

doble

clic

en

el

parmetro Impedir

administracin

del

filtro

Haga clic en el botn Habilitada y luego, en la lista desplegable Seleccionar modo de

filtro Smart-Screen, seleccione Activado.

Haga clic en Aceptar y luego cierre la ventana Editor de administracin de directivas

de grupo.
Haga clic con el botn derecho en la unidad organizativa Formacion y luego, en el men
contextual, seleccione Vincular una GPO existente.
Seleccione Parmetros de Puesto cliente y luego haga clic en Aceptar.

La directiva de grupo est ahora vinculada a la OU.

Verifique la presencia de la cuenta del equipo CL8-01 y del usuario Alumno 1 en la
OUFormacion.

Inicie el equipo CL8-01 y abra una sesin como Alumno 1.

Si el equipo ya est arrancado, ejecute el comando gpupdate /force.

Inicie Internet Explorer, y luego pulse la tecla [Alt] para mostrar el men.
Haga clic en Herramientas y luego en Filtro SmartScreen, verifique que la opcin
Desactivar el filtro SmartScreen est deshabilitada.
En el men Herramientas,
pestaa Opciones avanzadas.

haga

clic

en Opciones

Internet y

luego

en

la

Todos los parmetros deben estar deshabilitados.

La directiva de grupo se ha aplicado correctamente.

3. Creacin de una GPO de inicio

Objetivo: Crear una GPO de inicio que podr utilizarse como base para todas las dems
directivas.
Mquina virtual utilizada: AD1.
Arranque el equipo AD1 y abra una sesin como administrador.
Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos
Bosque: Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botn derecho en GPO de inicio y luego, en el men contextual, haga clic
en Nuevo.
En el campo Nombre, introduzca Ejemplo GPO de inicio y luego haga clic en Aceptar.

Haga clic con el botn derecho en el objeto que se acaba de crear y luego haga clic
en Editar.
Solo estn presentes las plantillas administrativas.
Despliegue
los
nodos Configuracin
administrativas,Componentes de Windows y
Windows 8.

del
luego Agregar

Haga doble clic en el parmetro Impedir que el asistente se ejecute.

equipo, Plantillas
caractersticas a

Marque el botn Habilitada y luego haga clic en Aceptar.

Efecte la misma operacin para el parmetro Configuracin Usuario - Plantillas

administrativas - Active Desktop - Active Desktop.

Cierre el Editor de objetos de directiva de grupo y luego, en la consola Administracin

de directivas de grupo, haga clic en Objetos de directiva de grupo.
Haga clic con el botn derecho en el contenedor y luego haga clic en Nuevo.
Introduzca Test GPO inicio en el campo Nombre y luego, en la lista desplegable,
seleccione la directiva que acabamos de crear.

Haga clic en Aceptar y efecte un doble clic en la directiva Test GPO inicio.
Empleando la pestaa mbito, podemos ver que el campo Ubicacin est vaco. La
directiva no est de momento vinculada a ningn contenedor.

Haga clic en la pestaa Configuracin y luego en el vnculo Mostrar todo.

Se encuentran todos los parmetros configurados para el objeto GPO de inicio.

4. Implementacin de preferencias
Objetivo: Creacin de una GPO que contenga las preferencias y su aplicacin en el equipo.
Mquinas virtuales utilizadas: AD1 y CL8-01.
Arranque el equipo AD1 y abra una sesin como administrador.
Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos
Bosque: Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botn derecho en Objetos de directiva de grupo, a continuacin, en el
men contextual, haga clic en Nuevo.
En el campo Nombre,
en Aceptar.

introduzca Configuracin

preferencias y

luego

haga

clic

Haga clic con el botn derecho en el objeto que se acaba de crear y luego haga clic
en Editar.
Despliegue el nodo Configuracin de usuario, Preferencias y luego haga clic en
Configuracin de Windows.
Haga doble clic en Carpetas y a continuacin, en el panel central, haga clic con el botn
derecho y seleccione Nuevo y luego Carpeta.
En
la
lista
desplegable Accin,
introduzca C:\Conta2013 en Ruta de acceso.

seleccione Crear y

luego

Seleccione la pestaa Comunes y luego marque Destinatarios de nivel de elemento.

Haga clic en el botn Destinatarios.

En la lista Nuevo elemento, seleccione Sistema operativo.

En la lista desplegable Producto, seleccione Windows 8.
Se despliega un filtro, la regla se aplica solamente a los equipos que ejecutan Windows 8.
Haga clic dos veces en Aceptar para validar las modificaciones.

Haga clic en Configuracin del panel de control y luego haga clic con el botn derecho
en Configuracin Internet.
En el men contextual, seleccione Nuevo y luego Internet Explorer 10.
En Pgina principal, introduzca www.nibonnet.fr y luego pulse [F6] para validar la
modificacin.

La lnea en el campo se torna verde. Sin la validacin de la tecla [F6], el parmetro no

estar actualizado.
Marque la opcin Eliminar el historial de exploracin al salir.

Haga clic en la pestaa Conexiones y luego en el botn Configuracin de LAN.

Marque la casilla Usar servidor proxy para la LAN y luego

direccin192.168.1.200 y el puerto 8080 en los campos adecuados.

introduzca

la

Recuerde validar con la tecla [F6].

Haga clic dos veces en Aceptar y luego cierre la ventana Editor de administracin de
directivas de grupo.
Haga clic con el botn derecho en la unidad organizativa Formacion y luego, en el men
contextual, seleccione Vincular un GPO existente.
Seleccione Parmetros de Puesto cliente y luego haga clic en Aceptar.
En el equipo CL8-01, abra una sesin como Alumno1 y luego inicie un smbolo del sistema
e introduzca el comando gpupdate /force.
Inicie el Explorador de Windows y luego acceda a la particin C:. La carpeta se ha creado
correctamente.
Inicie Internet Explorer y luego acceda a las Opciones de Internet.
La pgina principal se ha configurado correctamente, as como la opcin Eliminar el
historial de exploracin al salir.
Seleccione la pestaa Conexiones y luego haga clic en el botn Configuracin de LAN.
La configuracin se ha efectuado correctamente.

Validacin de conocimientos: preguntas/respuestas

1. Preguntas
Puede validar los conocimientos adquiridos respondiendo a las siguientes preguntas.
1Cuntas directivas de grupo locales podemos implantar en un puesto Windows
8?
2Cmo se llaman las dos consolas utilizadas para administrar las directivas de
grupo?
3Qu claves del registro se modifican al utilizar la Configuracin de usuario y la
Configuracin del equipo?
4Dnde se almacenan los diferentes componentes de la GPO y cmo se replican?
5Qu es una extensin de lado del cliente?

6Es posible aplicar las preferencias de directivas de grupo en un equipo con

Windows XP?
7Cul es el objetivo de una GPO de inicio?
8Cul es el orden de aplicacin de una GPO?
9En qu momento se aplica una directiva de grupo?
10Es posible forzar una actualizacin desde la consola GPMC?
11Cules son las directivas de grupo predeterminadas?
12En qu consiste el filtrado de seguridad?
13Cmo creamos un almacn central?
14Cmo est compuesta una plantilla administrativa?