Академический Документы
Профессиональный Документы
Культура Документы
2. Objetivos
Analizar los componentes de una directiva de grupo.
Implementar preferencias y GPO de inicio.
Uso de delegaciones a nivel de directivas de grupo.
Tratamiento y filtrado a nivel de GPO.
Implementar un almacn central.
Introduccin
Una directiva de grupo permite implantar parmetros de configuracin en un conjunto de
equipos. La gestin se realiza de forma centralizada en el controlador de dominio.
El GPT (Group Policy Template) contiene los parmetros de seguridad, los scripts y los
parmetros vinculados al registro. Soporta los archivos adm o admx. Este contenedor se
encuentra en la carpeta Sysvol.
El GPC (Group Policy Container) se almacena en la base de datos de Active Directory. Cada
contenedor se identifica mediante un GUID. Este ltimo identifica de forma unvoca al
objeto en AD DS. El GPC define atributos tales como el vnculo o el nmero de versin.
Podemos encontrar el mismo GUID en la carpeta SYSVOL de los diferentes controladores
de dominio.
Durante la actualizacin de las directivas en el equipo (cada 90 a 120 minutos),
las extensiones del lado cliente (CSE) recuperan los parmetros y los aplican si ha
habido una modificacin. El nmero de versin permite identificar esta modificacin. En
efecto, el nmero almacenado en el archivo gtp.ini (SYSVOL\GUIDGPO\gpt.ini) se
incrementa con cada cambio o parmetro agregado.
Los parmetros de Internet Explorer deben ser comunes en todas las reas de la
empresa.
Aunque la base es comn a todas las directivas o todas las reas de la empresa, es posible
aadir parmetros adicionales en la directiva. Esto permite responder por ejemplo a una
problemtica especfica de una de las reas.
La creacin se efecta desde la consola Administracin de directivas de grupo
(GPMC). Es posible crear la carpeta de objetos GPO de inicio, que contiene un conjunto
de directivas predefinidas.
Podemos modificar estas directivas o crear nuevas.
Despus de crear la carpeta, las nuevas directivas se encuentran en la carpeta SYSVOL.
Al igual que para con las dems directivas, una parte se almacena en el GPC, y la otra en
el GPT.
Administradores de dominio
Administradores de empresas
CREATOR OWNER
Sistema local
Los miembros del grupo Usuarios autentificados poseen por su parte permisos de lectura y
aplicacin de la directiva de grupo.
Solo los creadores propietarios (CREATOR OWNER) o los diferentes administradores
(dominio, empresa) tienen la posibilidad de crear directivas de grupo. Para delegar este
permiso
en un
usuario,
debemos
agregarlo
en
la
pestaa Delegacin del
contenedor Objetos de directiva de grupo.
Para vincular una GPO a un contenedor, el usuario o el grupo debe estar ubicado en el
contenedor deseado.
Es necesaria utilizar archivos RSAT, el usuario no tiene la posibilidad de conectarse a un
controlador de dominio.
Sitios
Dominios
Unidades organizativas
Encontramos los mismos parmetros en la parte de usuario. Sin embargo existe una
excepcin relativa a los parmetros de seguridad. Estos ltimos se aplican cada 16 horas
sea cual sea el intervalo configurado.
Para forzar el refresco,
cmdlet Invoke-Gpupdate.
debemos
utilizar
el
comando gpupdate
/force o
el
A partir de Windows Server 2012, podemos forzar el refresco de las actualizaciones desde
la consola GPMC. Haciendo clic con el botn derecho en una unidad organizativa, un
administrador tiene acceso a la opcin Actualizacin de directiva de grupo.
Las cuentas de equipo deben estar presentes, en caso contrario se muestra un mensaje de
error.
Se abre una ventana que muestra al administrador el resultado de la operacin.
Al realizar esta operacin, la mayora de los equipos estaban desconectados, esto explica el
gran nmero de errores.
est libre de consecuencias, porque vuelve prioritaria a cualquier GPO que reciba esta
opcin y puede anular el bloqueo de la herencia.
almacn central consiste en desplazar el conjunto de los archivos utilizados por las
plantillas administrativas a la carpeta SYSVOL.
El almacn central se detecta, automticamente, al abrir la consola Editor de
administracin de directivas de grupo. De esta forma, sea cual sea la versin del
sistema operativo, los archivos utilizados son siempre idnticos. Adicionalmente esta
funcionalidad hace que el uso de las plantillas administrativas sea ms fcil, pues ya no es
necesario copiar los archivos ADMX y ADML personalizados. La copia en la
carpeta SYSVOL permite una replicacin a todos los controladores de dominio.
Para crear el almacn central, bastar con desplazar la carpeta PolicyDefinitions a la
carpetaC:\Windows\SYSVOL\sysvol\{Domain Name}\Policies\.
Los archivos ADML deben copiarse, tambin, a la carpeta, la siguiente pantalla muestra los
archivos ADMX as como los archivos de idioma almacenados en la carpeta es-ES.
a nivel
del
de las
equipo
HKLM\Software\Policies
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies
HKCU\Software\Policies
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
Comentado: este parmetro del filtro es idntico al anterior, filtra sin embargo por
los comentarios dejados en la directiva.
mostrar
solo
los
parmetros
que
estn
La segunda seccin permite filtrar por palabra clave mientras que la tercera y ltima filtra
por aplicacin o plataforma (Windows Server 2003, Internet Explorer 10).
Marcando la casilla Habilitar filtros de palabra clave e introduciendo Ejecutar en el
campo, solo se muestran los parmetros que contengan la palabra Ejecutar.
La bsqueda de los parmetros es ms simple y rpida.
Haga clic con el botn derecho en Objetos de directiva de grupo y luego, en el men
contextual, haga clic en Nuevo.
En el campo Nombre, introduzca Parmetros de puesto cliente y luego haga clic en
Aceptar.
Aparece la nueva directiva, pero no est vinculada.
Haga clic con el botn derecho en Editar.
En la consola Editor de administracin de directivas de grupo, despliegue el nodo
Configuracin de usuario y luego Plantillas administrativas.
Despliegue el nodo Componentes de Windows y luego haga clic en Internet Explorer.
doble
clic
en
el
parmetro Impedir
administracin
del
filtro
haga
clic
en Opciones
Internet y
luego
en
la
Haga clic con el botn derecho en el objeto que se acaba de crear y luego haga clic
en Editar.
Solo estn presentes las plantillas administrativas.
Despliegue
los
nodos Configuracin
administrativas,Componentes de Windows y
Windows 8.
del
luego Agregar
equipo, Plantillas
caractersticas a
Haga clic en Aceptar y efecte un doble clic en la directiva Test GPO inicio.
Empleando la pestaa mbito, podemos ver que el campo Ubicacin est vaco. La
directiva no est de momento vinculada a ningn contenedor.
4. Implementacin de preferencias
Objetivo: Creacin de una GPO que contenga las preferencias y su aplicacin en el equipo.
Mquinas virtuales utilizadas: AD1 y CL8-01.
Arranque el equipo AD1 y abra una sesin como administrador.
Inicie la consola Administracin de directivas de grupo y luego despliegue los nodos
Bosque: Formacion.local, Dominios y finalmente Formacion.local.
Haga clic con el botn derecho en Objetos de directiva de grupo, a continuacin, en el
men contextual, haga clic en Nuevo.
En el campo Nombre,
en Aceptar.
introduzca Configuracin
preferencias y
luego
haga
clic
Haga clic con el botn derecho en el objeto que se acaba de crear y luego haga clic
en Editar.
Despliegue el nodo Configuracin de usuario, Preferencias y luego haga clic en
Configuracin de Windows.
Haga doble clic en Carpetas y a continuacin, en el panel central, haga clic con el botn
derecho y seleccione Nuevo y luego Carpeta.
En
la
lista
desplegable Accin,
introduzca C:\Conta2013 en Ruta de acceso.
seleccione Crear y
luego
Haga clic en Configuracin del panel de control y luego haga clic con el botn derecho
en Configuracin Internet.
En el men contextual, seleccione Nuevo y luego Internet Explorer 10.
En Pgina principal, introduzca www.nibonnet.fr y luego pulse [F6] para validar la
modificacin.
introduzca
la