Exportar (0) Imprimir
Expandir todo

Implementación de la directiva de grupo con Windows Vista

Se aplica a: Windows Server 2008,Windows Vista

Con la llegada de Windows® Vista™, la directiva de grupo se puede usar para administrar de forma centralizada un número mayor de características y comportamientos de componentes que en Microsoft® Windows Server™ 2003. El número de opciones de configuración de la directiva de grupo ha aumentado de aproximadamente 1.800 en Windows Server 2003 Service Pack 1 a unas 2.500 en Windows Vista y Windows Server® 2008. Así, se dispone de más de 700 nuevas directivas para ayudar a administrar escritorios, seguridad y demás aspectos relacionados con la administración de la red. Este documento le ayudará a elegir entre las características nuevas y actualizadas disponibles en Windows Vista y proporciona algunos procedimientos recomendados para implementar la directiva de grupo.

Introducción a la directiva de grupo

La directiva de grupo permite trabajar con mayor eficacia, ya que habilita la administración centralizada de los escritorios. La administración centralizada de los escritorios puede reducir el costo total de propiedad (TCO). La pérdida de productividad del usuario final es uno de los valores más importantes cuando se mide el TCO en un entorno de equipos distribuidos. Los elementos siguientes contribuyen a la pérdida de productividad del usuario final:

  • Errores de usuario: por ejemplo, modificar los archivos del sistema, que hace que los equipos dejen de funcionar.

  • Complejidad: el escritorio contiene aplicaciones y características no esenciales que confunden a algunos usuarios o requieren un aprendizaje adicional.

  • Aplicaciones no aprobadas: aplicaciones que se obtienen por correo electrónico, se descargan o se transfieren desde medios extraíbles y pueden comprometer la red corporativa.

La directiva de grupo ayuda a reducir la pérdida de productividad, ya que permite definir configuraciones de directiva y acciones permitidas para usuarios y equipos. Mediante la combinación de configuraciones de directiva es posible obtener escritorios adaptados a una responsabilidad laboral y nivel de experiencia específicos.

La directiva de grupo no sólo se aplica a usuarios y equipos cliente, sino que se aplica también a servidores miembro, controladores de dominio y cualquier otro equipo Microsoft Windows en el ámbito de administración. De manera predeterminada, la directiva de grupo que se aplica a un dominio (es decir, en el nivel de dominio, justo por encima de la raíz de Usuarios y equipos de Active Directory) afecta a todos los equipos y usuarios del dominio.

Usuarios y equipos de Active Directory proporciona también la unidad organizativa Controladores de dominio. Si se guardan allí las cuentas de controlador de dominio, se puede usar el objeto de directiva de grupo Directiva predeterminada de controladores de dominio para administrar los controladores de dominio de manera independiente de otros equipos. Ampliando la base establecida en Windows Server 2003 y Windows XP, la directiva de grupo se ha mejorado mediante mayor cobertura de la configuración y las extensiones de directiva, mejor reconocimiento de redes y confiabilidad, y una administración más sencilla.

Definición de la directiva de grupo

La directiva de grupo se usa para definir disposiciones de grupos de usuarios y equipos específicos mediante la creación de configuraciones de directiva de grupo. La configuración se especifica a través del Editor de objetos de directiva de grupo (conocido formalmente como GPedit) y se guarda en un objeto de directiva de grupo (GPO) que, a su vez, se vincula a contenedores de Active Directory, como sitios, dominios o unidades organizativas. De esta forma, la configuración de la directiva de grupo se aplica a los usuarios y equipos de esos contenedores de Active Directory. Se puede configurar el entorno de trabajo de los usuarios una vez y dejar que el sistema aplique las directivas definidas.

Con este método, la directiva de grupo aplica las configuraciones de directiva a los usuarios y equipos de esos contenedores de Active Directory. Se puede configurar el entorno de trabajo de los usuarios una vez y dejar que Windows Vista aplique las configuraciones de directiva que se han definido.

Funcionalidad de la directiva de grupo

Se crean configuraciones de directiva específicas para determinar el comportamiento de Windows y mantener a los usuarios y equipos seguros. En las secciones siguientes se describen las características clave de la directiva de grupo.

Configuración de directiva basada en el Registro

La implementación de configuraciones de directiva basadas en el Registro es la forma más común de configuración de directiva en Windows. Para definir configuraciones de directiva basadas en el Registro para las aplicaciones y para Windows, se puede usar el Editor de objetos de directiva de grupo. Por ejemplo, se puede habilitar una configuración de directiva que agregue el comando Ejecutar al menú Inicio de todos los usuarios afectados en Windows Vista.

Configuración de seguridad

La directiva de grupo proporciona opciones para establecer la seguridad de los usuarios y equipos en el ámbito de un GPO. Se pueden especificar opciones de configuración de la seguridad para el equipo local, para el dominio y para la red. Si se desea una mayor protección, se pueden aplicar directivas de restricción de software que impidan a los usuarios ejecutar archivos en función de criterios de ruta de acceso, zona URL, hash o editor. Es posible aplicar excepciones a este nivel de seguridad predeterminado mediante la creación de reglas para determinado software.

Configuración de directivas de restricción de software

Para defenderse de virus, aplicaciones no deseadas y ataques en equipos que ejecutan Windows XP y Windows Server 2003, la directiva de grupo incluye nueva configuración para las directivas de restricción de software. Ahora se pueden usar configuraciones de directiva para identificar el software que se ejecuta en un dominio y controlar sus posibilidades de ejecutarse.

Distribución de software

Con la directiva de grupo se puede administrar la instalación, actualización y desinstalación de aplicaciones de manera centralizada. Dado que las organizaciones pueden implementar y administrar configuraciones de escritorio personalizadas, reducen el gasto que supone ofrecer soporte técnico a los usuarios de manera individualizada. El software se puede asignar a usuarios o equipos (distribución de software obligatoria) o se puede publicar para los usuarios (lo que les da la opción de instalar el software a través de Agregar o quitar programas en el Panel de control). Los usuarios obtienen la flexibilidad que necesitan para realizar su trabajo sin perder tiempo configurando el sistema ellos mismos.

La directiva de grupo se puede usar para implementar paquetes aprobados. Por ejemplo, en un entorno de escritorio altamente administrado donde los usuarios no tienen permiso para instalar aplicaciones, el servicio de Windows Installer realizará la instalación en su lugar. Además, en el caso de las estaciones de trabajo altamente administradas, Windows Installer se integra con la configuración de directiva de restricción de software implementada a través de la directiva de grupo para limitar las instalaciones nuevas a una lista de software admitido.

Scripts de equipo y usuario

Se pueden usar scripts para automatizar tareas al iniciar y cerrar el equipo y cuando el usuario inicie o cierre sesión. Se admite cualquier lenguaje compatible con Windows Script Host, incluidos VBScript, JavaScript o PERL, y los archivos por lotes tipo MS-DOS® (.bat y .cmd).

Redireccionamiento de carpetas

El redireccionamiento de carpetas permite redirigir carpetas de usuario importantes, como la carpeta Documentos y la carpeta Usuarios, a una ubicación del servidor. Permite administrar estas carpetas de forma centralizada, así como realizar copias de seguridad de las mismas y restaurarlas en nombre de los usuarios.

Mantenimiento de Internet Explorer

Se puede administrar y personalizar la configuración de Microsoft Internet Explorer en equipos que admiten la directiva de grupo. El Editor de objetos de directiva de grupo incluye el nodo Mantenimiento para Internet Explorer, que se usa para editar las zonas de seguridad, la configuración de privacidad y otros parámetros de Internet Explorer en equipos que ejecutan Windows 2000 y versiones posteriores.

Novedades de la directiva de grupo de Windows Vista

En Windows Vista las mejoras de la directiva de grupo perfeccionan significativamente la capacidad de planear, organizar, poner en funcionamiento, administrar, solucionar problemas y notificar sobre las implementaciones de la directiva de grupo. En esta sección se describen algunas de las características nuevas más importantes de la directiva de grupo.

Integración de la Consola de administración de directivas de grupo

Consola de administración de directivas de grupo (GPMC) es un complemento de scripts de Microsoft Management Console (MMC), que proporciona una única herramienta administrativa para administrar la directiva de grupo en toda la organización. Inicialmente, la Consola de administración de directivas de grupo se facilitaba como un componente independiente que se podía descargar para Microsoft Windows® XP y Windows Server 2003. Ahora se integra directamente en el sistema operativo y es la herramienta estándar para administrar la directiva de grupo junto con el Editor de objetos de directiva de grupo.

Implementación de la configuración de la administración de energía

Se ha habilitado para la directiva de grupo toda la configuración de la administración de energía, lo cual supone ahorros de costos potencialmente significativos. El control de la configuración de energía a través de la directiva de grupo podría ahorrar a las organizaciones una importante suma de dinero. Puede modificar opciones de energía específicas a través de cada opción de la Directiva de grupo o crear un plan de energía personalizado que se pueda implementar a través de la Directiva de grupo.

Restricción del acceso a los dispositivos

Se puede limitar de manera centralizada los dispositivos que se instalan en equipos de la organización. A partir de ahora podrá crear configuraciones de directiva para controlar el acceso a dispositivos tales como unidades USB, CR-RW, DVD-RW y otros medios extraíbles.

Mejoras de la configuración de seguridad

La configuración de directiva de grupo para Firewall de Windows e IPsec se combinan en la extensión Firewall de Windows con seguridad avanzada para aprovechar las ventajas de ambas tecnologías, al tiempo que se elimina la necesidad de crear y mantener funcionalidad duplicada. Algunos escenarios admitidos por esta configuración de directiva combinada de Firewall de Windows e IPsec son las comunicaciones seguras entre servidores en Internet, la limitación del acceso a los recursos de un dominio según las relaciones de confianza o el mantenimiento de un equipo, y la protección de la comunicación de datos en un servidor específico para cumplir los requisitos reglamentarios sobre la privacidad y seguridad de los datos.

Administración ampliada de la configuración de Internet Explorer

La configuración de la directiva de grupo de Internet Explorer se puede abrir y editar sin el riesgo de modificar accidentalmente el estado de la configuración de la directiva con la configuración de la estación de trabajo administrativa. Este cambio sustituye el comportamiento anterior según el cual algunas configuraciones de directiva de Internet Explorer cambiarían en función de la configuración de directiva habilitada en la estación de trabajo administrativa usada para ver la configuración.

Asignación de impresoras según la ubicación

La posibilidad de asignar impresoras por ubicación en la organización o por ubicación geográfica es una característica nueva de Windows Vista. Cuando los usuarios móviles se desplazan a otra ubicación, la Directiva de grupo puede actualizar sus impresoras para la nueva ubicación. Los usuarios móviles que vuelvan a sus ubicaciones originales verás sus impresoras predeterminadas habituales.

Delegación de la instalación de controladores de impresora en los usuarios

Ahora puede delegar en los usuarios la capacidad de instalar controladores de impresora a través de la directiva de grupo. Esta característica ayuda a mantener la seguridad mediante la limitación de la distribución de credenciales administrativas.

Resumen de la configuración nueva o ampliada de la directiva de grupo

Dispone de una tabla donde se resumen las categorías nuevas o ampliadas de la configuración de la directiva de grupo en http://go.microsoft.com/fwlink/?LinkId=54020 (en inglés).

Ámbito de las herramientas de directiva de grupo

Editor de objetos de directiva de grupo

El Editor de objetos de directiva de grupo es un complemento de Microsoft Management Console (MMC) que se usa para configurar y modificar la configuración de la directiva de grupo en un solo objeto de directiva de grupo (GPO).

Cada sistema operativo Windows Vista tiene uno o varios objetos de directiva de grupo local (LGPO). La configuración de directiva se aplica al LGPO manualmente con el Editor de objetos de directiva de grupo o a través de scripts. Los LGPO contienen menos opciones de configuración de directiva que los GPO de dominio, especialmente en lo que respecta a la configuración de seguridad. Los LGPO no admiten Redireccionamiento de carpetas, Servicios de instalación remota ni la directiva de grupo de Instalación de software cuando están configurados como equipos cliente independientes, pero se pueden usar para proporcionar un entorno operativo seguro en esos equipos.

Por otra parte, los administradores necesitan poder modificar rápidamente la configuración de directiva de grupo para varios usuarios y equipos en un entorno de red. El Editor de objetos de directiva de grupo presenta una estructura en árbol jerárquica para definir la configuración de la directiva de grupo en un GPO. Después, el GPO se puede vincular a sitios, dominios y unidades organizativas (OU) que contengan objetos de usuario o equipo. Consulte la figura 1.

El Editor de objetos de directiva de grupo consta de dos secciones principales: Configuración de usuario, que contiene la configuración que se aplica a los usuarios (en el inicio de sesión y en actualizaciones periódicas en segundo plano), y Configuración del equipo, que contiene la configuración que se aplica a los equipos (en el inicio y en actualizaciones periódicas en segundo plano). Estas secciones se subdividen en los distintos tipos de directivas que se pueden establecer, como Plantillas administrativas, Seguridad o Redireccionamiento de carpetas.

Para trabajar de manera eficaz, debe tener acceso inmediato a la información sobre la función y el propósito de cada una de las opciones de configuración de directiva. En el caso de la configuración de directiva de Plantillas administrativas, el Editor de objetos de directiva de grupo proporciona información sobre cada opción de configuración de directiva directamente en la vista web de la consola. Esta información se denomina texto explicativo. El texto explicativo muestra los requisitos del sistema operativo, define la configuración de directiva e incluye cualquier detalle concreto sobre el efecto que puede tener habilitar, deshabilitar o no definir la configuración de directiva.

Consola de administración de directivas de grupo (GPMC)

La Consola de administración de directivas de grupo (GPMC) es una completa herramienta para la administración de las directivas de grupo. GPMC se incluye con el sistema operativo Windows Vista.

Group Policy Management Console

GPMC integra la funcionalidad de directiva de grupo existente de las páginas de propiedades de las herramientas administrativas de Active Directory en una única consola unificada dedicada a tareas de administración de directivas de grupo. GPMC también amplía la funcionalidad de administración con características nuevas. Se seguirán usando las herramientas administrativas de Active Directory para administrar Active Directory, pero GPMC sustituye la funcionalidad de administración de directivas de grupo de esas herramientas por la suya propia. Consulte la figura 2.

noteNota
La herramienta Consola de administración de directivas de grupo (GPMC) está disponible en dos versiones.

  1. GPMC (versión 1.0) ha estado disponible para la descarga desde 2003 y se diseñó para configurar la directiva de grupo en un entorno con Windows Server 2003 y Windows XP.

  2. GPMC (versión 2.0) está integrada en Windows Vista y se diseñó para configurar la directiva de grupo en todos los entornos Windows.

ImportantImportante
No descargue ni use la versión más antigua de GPMC (v 1.0) en Windows Vista porque no es compatible con este sistema operativo.

Administración de escritorios en un entorno mixto

Administración de directivas de grupo en Vista

Microsoft Windows Vista presenta un nuevo formato para definir una configuración de directiva basada en el Registro. Las configuraciones de directiva basadas en el Registro (situadas bajo la categoría Plantillas administrativas del Editor de objetos de directiva de grupo) se definen por medio de un formato de archivo XML basado en estándares conocido como archivo ADMX. Los nuevos archivos ADMX sustituyen a los archivos ADM, que usaban un lenguaje de marcado propio. Una de las principales ventajas de los archivos ADMX es su compatibilidad con entornos multilingües, que no se implementan fácilmente con los archivos ADM. Las herramientas de directiva de grupo (Editor de objetos de directiva de grupo y Consola de administración de directivas de grupo) se mantienen prácticamente invariables, con la excepción de que pueden leer los nuevos archivos ADMX. En la mayoría de los casos no advertirá la presencia de los archivos ADMX en las tareas diarias de administración de las directivas de grupo.

En algunas circunstancias, es necesario saber cómo se estructuran los archivos ADMX y dónde se almacenan. Las herramientas de directiva de grupo que se incluyen con Windows Vista o Windows Server 2008 reconocen los archivos ADMX y ADM. Las herramientas de directiva de grupo que se incluyen con Windows Server 2003 y versiones anteriores de Windows sólo reconocen los archivos ADM.

A diferencia de los archivos ADM, los archivos ADMX no se almacenan en GPO individuales. Las empresas basadas en dominios tienen la opción de crear una ubicación central donde almacenar los archivos ADMX que esté accesible para quien tenga permiso para crear o editar objetos de directiva de grupo. Las herramientas de directiva de grupo seguirán reconociendo los archivos ADM personalizados que estén asociados a GPO existentes, pero omitirán los archivos ADM que hayan sido reemplazados por archivos ADMX: System.adm, Inetres.adm, Conf.adm, Wmplayer.adm y Wuau.adm.

El Editor de objetos de directiva de grupo lee y muestra automáticamente la configuración de directiva de plantillas administrativas a partir de los archivos ADMX que están almacenados localmente o en el almacén central de ADMX opcional. El Editor de objetos de directiva de grupo mostrará automáticamente la configuración de directiva de plantillas administrativas definida en los archivos ADM personalizados almacenados en el GPO. Todavía se pueden agregar o quitar archivos ADM personalizados en un GPO con la opción de menú Agregar o quitar plantillas. Todas las configuraciones de directiva de grupo que se encuentren en los archivos ADM entregados con Windows Server 2003, Windows XP y Windows 2000 estarán también disponibles en los archivos ADMX de Windows Vista y Windows Server 2008.

Implicaciones de los archivos ADMX en entornos de escritorio mixtos

Si es administrador de una organización con un entorno de escritorio mixto donde se ejecuta Windows Vista, Windows XP y Windows 2000, debe conocer la nueva configuración de la directiva de grupo. La configuración de directiva de grupo de Windows Vista sólo funciona en Windows Vista y no se tiene en cuenta en versiones anteriores de Windows.

  • La nueva configuración de directiva basada en Windows Vista o Windows Server 2008 se puede administrar únicamente en equipos administrativos basados en Windows Vista o Windows Server 2008 que ejecuten el Editor de objetos de directiva de grupo o la Consola de administración de directivas de grupo. Esta configuración de directiva se define sólo en los archivos ADMX y no se expone en las versiones de estas herramientas para Windows Server 2003, Windows XP o Windows 2000. Los administradores tendrán que usar el Editor de objetos de directiva de grupo en un equipo administrativo basado en Windows Vista o Windows Server 2008 para configurar la nueva configuración de directiva de grupo basada en Windows Vista.

  • El Editor de objetos de directiva de grupo en equipos con Windows Server 2003, Windows XP o Windows 2000 no mostrará correctamente la nueva configuración de directiva de plantillas administrativas de Windows Vista que se puede habilitar o deshabilitar en un GPO. En lugar de ello, los valores del Registro asociados a esta configuración de directiva aparecerán en "Configuración adicional del Registro" en el Editor de objetos de directiva de grupo.

  • La versión para Windows Vista del Editor de objetos de directiva de grupo y la Consola de administración de directivas de grupo se puede usar para administrar todos los sistemas operativos que admiten el uso de la directiva de grupo (Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP y Windows 2000).

  • La configuración de directiva de plantillas administrativas que existe actualmente en los archivos ADM de Windows Server 2003, Windows XP y Windows 2000 se puede definir en todos los sistemas operativos que admiten la directiva de grupo (Windows Vista, Windows Server 2003, Windows XP y Windows 2000).

  • La versión para Windows Vista del Editor de objetos de directiva de grupo y la Consola de administración de directivas de grupo admite la interoperabilidad con las versiones de estas herramientas para Windows Server 2003 y Windows XP. Por ejemplo, el Editor de objetos de directiva de grupo y GPMC usarán los archivos ADM personalizados que se almacenan en los GPO en Windows Vista, Windows Server 2008, Windows Server 2003 y Windows XP. Consulte la tabla 1.

La versión para Windows Vista del Editor de objetos de directiva de grupo admite la interoperabilidad con las versiones del Editor de objetos de directiva de grupo para Windows Server 2000. Por ejemplo, el Editor de objetos de directiva de grupo usará los archivos ADM personalizados almacenados en los GPO en Windows Vista, Windows Server 2008 y Windows 2000 (GPMC no se ejecuta en Windows 2000).

En sistemas operativos anteriores, siempre que se creaba un objeto de directiva de grupo (GPO), todos los archivos de plantillas administrativas (archivos ADM) predeterminados se almacenaban en el GPO. El costo de almacenamiento aproximado fue de 4 MB por GPO. El tráfico de replicación aumenta al máximo durante los eventos que provocan cambios en todos los GPO, como la modificación de permisos en los GPO durante una actualización de un dominio de Windows 2000 a un dominio de Windows Server 2003. Esta situación hace que se repliquen al mismo tiempo todos los archivos ADM entre los GPO, lo que puede afectar a la disponibilidad y al rendimiento del ancho de banda de red.

En Windows Vista y Windows Server 2008 este proceso se reemplaza con un almacén central en SYSVOL que contiene los nuevos archivos ADMX. A diferencia de lo que sucedía en las versiones anteriores de Windows, cada uno de los GPO creados en Windows Vista no contiene archivos ADMX. Este cambio implica una menor replicación de datos frente al servicio de replicación DFS, que es más eficaz.

Siempre y cuando todos los administradores de directiva de grupo usen el cliente de Windows Vista, los GPO nuevos no contendrán archivos ADM o ADMX. El resultado de este cambio es un ahorro de aproximadamente 4 MB por GPO. Después de actualizar la empresa para que use el nuevo servicio DFS, la información contenida en el GPO se replica mediante el servicio de replicación DFS, que sólo copia las diferencias en el GPO. Estos dos cambios reducen enormemente la cantidad de almacenamiento y ancho de banda de red necesarios después de que el administrador de la directiva de grupo cambie un GPO.

Tabla 1 Comportamiento de la GPMC de Windows Vista y la GPMC descargable

Comportamiento GPMC de Windows Vista GPMC descargable

Puede administrar Windows Server 2003, Windows XP y Windows 2000

Puede administrar Windows Vista y Windows Server 2008

No

Compatibilidad multilingüe

No

Puede leer archivos ADM personalizados

Ubicación predeterminada de los archivos

Local

GPO

Puede usar el almacén central

No

Evita la duplicación de archivos en el GPO (SYSVOL inflado)

No

Opción de agregar archivos específicos del GPO (Agregar o quitar plantillas)

Sólo archivos ADM

Sólo archivos ADM

Comparaciones de archivos

Número de versión

Marca de tiempo

Procedimientos recomendados

Recomendaciones de implementación

Windows Vista aporta al entorno Windows más de 800 opciones de configuración de directiva de grupo nuevas. En esta sección se proporciona la información necesaria para aplicar la configuración de directiva de grupo de Windows XP a Windows Vista, se explican conceptos básicos de administración y se describen los procedimientos recomendados para administrar la directiva de seguridad.

 

Recomendaciones de implementación
  1. Actualice las estaciones de trabajo de los administradores de directiva de grupo a Windows Vista. A partir de ahora, todas las tareas de administración de la directiva de grupo se realizarán en equipos que ejecutan Windows Vista.                                                                                                              

  2. (Opcional) Cree un almacén central en SYSVOL para cada controlador de dominio principal (PDC) de Active Directory cuando los administradores administren la directiva de grupo con Windows Vista. Llene el almacén central de cada PDC con archivos ADMX/ADML desde la estación de trabajo con Windows Vista del administrador de la directiva de grupo. Lea la guía paso a paso para administrar los archivos ADMX de la directiva de grupo en http://go.microsoft.com/fwlink/?LinkId=75124 (en inglés).

  3. Cree nuevos GPO (o actualice los existentes) para incluir la nueva configuración de directiva de grupo de Windows Vista que desee usar.

    Nota Puede vincular estos GPO a la OU que contendrá las nuevas estaciones de trabajo con Windows Vista unidas al dominio.

    Nota Es posible que en algunos casos excepcionales deba ampliar el esquema de AD para dar cabida a la nueva configuración.

  4. Implemente las estaciones de trabajo con Windows Vista según el proyecto de implementación.

    Nota Los GPO nuevos o actualizados se aplicarán a las estaciones de trabajo con Windows Vista según corresponda.                                                                                                         

Creación de un almacén central

El almacén central es una estructura de carpetas creada en el directorio SYSVOL en los controladores de dominio de cada dominio. Debe crear el almacén central una sola vez en un único controlador de dominio de cada dominio de la organización. Después, el Servicio de replicación de archivos se encargará de replicar el almacén central en todos los controladores de dominio. Recomendamos que cree el almacén central en el controlador de dominio que desempeñe la función de FSMO de emulador de controlador de dominio principal porque la Consola de administración de directivas de grupo y el Editor de objetos de directiva de grupo se conectan al controlador de dominio principal de manera predeterminada.

El almacén central se compone de una carpeta raíz que contiene todos los archivos ADMX independientes del idioma y subcarpetas que contienen los archivos de recursos ADMX específicos del idioma.

noteNota
Cuando no hay un almacén central, el Editor de objetos de directiva de grupo lee las versiones locales de los archivos ADMX que usa el GPO local en el equipo administrativo con Windows Vista. Para realizar este procedimiento, debe ser miembro del grupo Administradores de dominio de Active Directory.

Para crear un almacén central
  1. Cree la carpeta raíz del almacén central %systemroot%\sysvol\domain\policies\PolicyDefinitions en el controlador de dominio.

  2. Cree una subcarpeta de %systemroot%\sysvol\domain\policies\PolicyDefinitions para cada idioma que vayan a usar los administradores de directiva de grupo. Cada subcarpeta se designará con el nombre ISO del idioma o la referencia cultural. Para obtener una lista con los nombres ISO de los idiomas o referencias culturales, consulte el artículo donde se enumeran los identificadores de configuración regional válidos (en inglés). Por ejemplo, si desea crear una subcarpeta para inglés de Estados Unidos, use: %systemroot%\sysvol\domain\policies\PolicyDefinitions\EN-US.

Inclusión de archivos ADMX en el almacén central

No existe ninguna interfaz de usuario para llenar el almacén central en Windows Vista. El procedimiento siguiente muestra cómo llenar el almacén central mediante el uso de sintaxis de línea de comandos desde el controlador de dominio.

Para llenar el almacén central
  1. Abra una ventana de comandos: haga clic en Inicio, en Ejecutar, escriba cmd y, a continuación, presione ENTRAR.

  2. Para copiar todos los archivos ADMX (.admx) independientes del idioma desde la estación de trabajo administrativa con Windows Vista hasta el almacén central del controlador de dominio con el comando Copy, escriba:

    copy %systemroot%\PolicyDefinitions\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\

  3. Para copiar todos los archivos de recursos ADMX específicos del idioma (.adml) desde la estación de trabajo administrativa con Windows Vista hasta el almacén central del controlador de dominio con el comando Copy, escriba:

    copy %systemroot%\PolicyDefinitions\[ReferenciaCulturalMUI]\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\[ReferenciaCulturalMUI]\

Por ejemplo, para copiar todos los archivos .adml para inglés de Estados Unidos, escriba lo siguiente:

copy %systemroot%\PolicyDefinitions\EN-US\* %logonserver%\sysvol\%userdnsdomain%\policies\PolicyDefinitions\EN-US\

Explorer view of Central Store

Descarga de nuevos esquemas

Windows Vista admite mejoras que se pueden establecer a través de la configuración de la directiva de grupo, y los controladores de dominio que ejecutan Windows Server 2008 admiten esa configuración. Para admitir estas mejoras en entornos de servicio de Active Directory formados por controladores de dominio que ejecutan Windows Server 2003 o Windows Server 2003 R2, es necesario ampliar el esquema de Active Directory. Para obtener toda la información necesaria sobre las extensiones de esquema de Active Directory para las mejoras de la directiva de grupo de red cableada e inalámbrica de Windows Vista, consulte http://go.microsoft.com/fwlink/?LinkId=70195 (en inglés).

noteNota
Sólo es necesario ampliar el esquema si se requieren las mejoras de la directiva de grupo de red cableada e inalámbrica o las mejoras de la directiva de grupo BitLocker.

En lo que respecta a los cambios de esquema para BitLocker, consulte la guía de configuración de Active Directory para la copia de seguridad de BitLocker y TPM en el kit de implementación de Active Directory para BitLocker.

Procedimientos recomendados adicionales

Antes de comenzar la implantación de la configuración de la directiva de grupo de Windows Vista, no olvide leer estas instrucciones y la documentación de Windows Vista, ya que obtendrá información básica sobre la configuración de la directiva de grupo.

  • Using GPMC to back up and restore domain-based Group Policy objects

    Las copias de seguridad guardadas con la GPMC de Windows Vista (versión 2.0) no son compatibles con la versión descargable de la GPMC (versión 1.0). Además, la versión de GMPC que se descarga no realiza la copia de seguridad de todas las opciones de configuración de la directiva de grupo de Windows Vista que están incluidas en un objeto de directiva de grupo. Para obtener resultados óptimos, use la GPMC de Windows Vista (versión 2.0) para realizar copias de seguridad de todos los objetos de directiva de grupo y para restaurarlos.

  • Guías paso a paso de Windows Vista para profesionales de TI (en inglés)

    Estas guías paso a paso ayudarán a los profesionales de TI en la implementación de Windows Vista o la migración a Windows Vista. En ellas se proporciona información detallada sobre cómo controlar la instalación de dispositivos mediante el uso de Instalación y administración de dispositivos (DMI) y cómo administrar los archivos ADMX.

  • Laboratorios virtuales de TechNet: Windows Vista

    Estos laboratorios están pensados para profesionales de TI responsables de la administración de estaciones de trabajo con Windows Vista en un dominio de Active Directory. Estos laboratorios exploran las opciones de configuración nuevas y ampliadas de la directiva de grupo.

  • Implementación de escenarios de administración de escritorio comunes con la Consola de administración de directivas de grupo

    Este paquete incluye una serie de objetos de directiva de grupo (GPO) que ilustran algunos escenarios de escritorio comunes. Entre otros, se incluyen el escenario Menor grado de administración, Móvil y Quiosco.

Scripts de GPMC

La Consola de administración de directivas de grupo incluye una serie de interfaces de scripting para automatizar muchas tareas de administración de GPO comunes. Por medio de estas interfaces de scripting se puede administrar el entorno de la directiva de grupo y, por ejemplo, generar informes sobre la configuración de los objetos de directiva de grupo, crear y copiar objetos de directiva de grupo y buscar objetos de directiva de grupo desvinculados. Windows Vista no incluye scripts. Para obtener más información acerca de los scripts de GPMC, consulte http://go.microsoft.com/fwlink/?linkid=31191 (en inglés).

Aspectos relacionados con el uso de distintos idiomas

En Windows Vista, la configuración de Plantillas administrativas se divide en recursos independientes del idioma (archivos .admx) y recursos específicos del idioma (archivos .adml), que están disponibles para todos los administradores de directiva de grupo. Estos archivos permiten que las herramientas de la directiva de grupo ajusten su UI en función del idioma configurado del administrador. Para agregar un nuevo idioma a un conjunto de definiciones de directiva es necesario garantizar que el archivo de recursos específico del idioma esté disponible.

Supongamos, por ejemplo, que un administrador de directiva de grupo crea un objeto de directiva de grupo (GPO) en una estación de trabajo administrativa con Windows Vista que está configurada para inglés. Guarda el GPO y lo vincula al dominio implementado entre límites geográficos. Un compañero de París examina el mismo dominio con GPMC y selecciona el GPO creado en inglés. Puede ver y editar la configuración de directivas en francés. El administrador de la directiva de grupo original que creó este GPO verá toda la configuración en su idioma nativo, inglés, incluidos los cambios del administrador francés.

Cambios en la directiva de grupo tras la migración o actualización a Windows Vista

Después de migrar o actualizar a Windows Vista, la directiva de grupo se vuelve a aplicar como si fuese una instalación limpia. En el caso de los clientes de un dominio de Windows, la directiva de grupo se aplicará como si el equipo se acabase de unir al dominio o como si el usuario hubiese iniciado sesión por primera vez. Cada extensión migrará su configuración de directiva o la aplicará la primera vez que se aplique la directiva de grupo en el dominio. Después de la actualización, el motor de directiva de grupo procesará la configuración de directiva como si se tratase de una instalación limpia, regenerará todos los datos RSoP y configurará todos sus valores almacenados en caché. En la tabla siguiente se proporcionan los detalles de la actualización o migración específicos de cada componente.

 

Componente Comportamiento de la actualización Comportamiento de la migración

Motor de directiva de grupo (GP)

Se migran las claves y los valores de preferencias relacionados con el motor central de GP (como la velocidad de vínculo).

No se migra.

RSoP

Después de la actualización, no se requiere la migración de los datos RSoP, ya que toda la configuración de directiva se volverá a aplicar durante el primer reinicio.

No se migra.

GPO local

  • El GPO local se migra.

  • El grupo MLGPO se migra.

  • El MLGPO de usuario se migra.

    Nota Al actualizar distintas SKU de Windows Vista, se migran los datos de MLGPO.

  • El GPO local se migra.

  • El grupo MLGPO se migra.

Extensiones de cliente

Las extensiones de cliente conservan los datos de registro en el Registro. Las claves de Registro de las extensiones se encuentran en

HKLM\Software\

Microsoft\Windows NT\

CurrentVersion\Winlogon\

GPExtensions

Nota Cada extensión de cliente actualiza su propia información.

No se migra.

Plantillas ADM

  • Los archivos ADM entregados previamente se reemplazan con archivos ADMX.

  • Los archivos ADM personalizados se conservan durante la actualización.

No se migra.

Configuración de directiva basada en el Registro

  • Se migra toda la configuración de directiva y todos los valores que se encuentren bajo la clave del Registro Software\Policy.

  • No se migra la configuración de preferencias.

  • Toda la configuración de directiva se vuelve a aplicar desde el dominio en el primer reinicio que tenga lugar después del primer inicio de sesión.

No se migra.

Instalación de software

  • Todas las aplicaciones que se instalen a través de la directiva de grupo se migran automáticamente.

  • Todos los archivos situados en %windir%\system32 \appmgmt se migran automáticamente.

  • Todos los valores y claves se migran bajo:

    • HKLM|HKCU Software \Microsoft\Windows \CurrentVersion\ Group Policy\Appmgmt

    • Valor ‘appmgmtdebuglevel’ bajo HKLM\Software\ Microsoft\Windows NT \CurrentVersion\ Diagnostics

No se migra.

GPMC y GPEdit

  • Las versiones anteriores de GPMC se desinstalan.

    • La carpeta de scripts se conserva después de la actualización, así como los scripts de GPMC instalados con la versión anterior de GPMC.

  • Se migrarán los siguientes datos de configuración de GPMC:

    • La información almacenada directamente en el archivo de la consola (msc), como el último dominio o bosque conectado.

    • Las preferencias y las claves del Registro en la herramienta (ubicación de la carpeta Backup, opciones de archivo ADM, etc.).

  • Para GPEdit, se migran las claves de preferencias, como el nombre del GPO predeterminado.

No se migra.

noteNota
Para ver una lista con las claves del Registro que se desplazan en la migración, consulte el Apéndice B.

Comprobación de la configuración de la directiva de grupo: conjunto resultante de directivas (RSoP)

Toda la información de procesamiento de la directiva de grupo se recopila y almacena en una base de datos de administración de objetos Common Information Model (CIMOM) en el equipo local. Después, las herramientas pueden tener acceso a esta información (como la lista, el contenido y el registro de los detalles de procesamiento de cada GPO) por medio del Instrumental de administración de Windows.

En modo de registro (Resultados de directivas de grupo), el conjunto resultante de directivas (RSoP) consulta la base de datos CIMOM del equipo de destino, recibe información acerca de las directivas y la muestra en la GPMC. En modo de planeación (Modelado de directivas de grupo), RSoP simula la aplicación de directivas mediante el servicio GPDAS (Group Policy Directory Access Service) en un controlador de dominio. GPDAS simula la aplicación de los GPO y los pasa a las extensiones de cliente virtuales en el controlador de dominio. Los resultados de esta simulación se almacenan en una base de datos CIMOM local en el controlador de dominio antes de que la información se devuelva y se muestre en la GPMC.

RSoP con GPMC

Un administrador usa la Consola de administración de directivas de grupo (GPMC) para administrar la directiva de grupo en un entorno de Active Directory. GPMC ofrece al administrador una vista persistente del entorno de la directiva de grupo en la red, incluidos los GPO, vínculos a GPO, sitios, dominios y unidades organizativas (OU) del bosque seleccionado. Con GPMC, un administrador puede realizar todas las tareas administrativas que antes sólo estaban disponibles en la ficha Directiva de grupo de las herramientas administrativas de Active Directory.

La Consola de administración de directivas de grupo también se puede usar para generar datos de RSoP que predicen el efecto acumulado de los GPO en la red o informan del efecto acumulado de los GPO en un usuario o equipo determinado. Además, el administrador puede usar la GPMC para realizar operaciones de GPO que antes no eran posibles, como hacer una copia de seguridad de un GPO y restaurarlo, copiar un GPO e incluso migrar un GPO a otro bosque. La lectura o generación de informes HTML o XML con la configuración de GPO también es posible mediante el uso de scripts WMI.

Existen ciertas limitaciones en el uso de la GPMC, ya que no puede recuperar el RSoP para objetos de varias directivas de grupo local (MLGPO) y los informes de GPMC no muestran el Firewall de Windows con la configuración de seguridad avanzada.

Comprobación de la configuración de directiva de grupo real que está actualmente en vigor

El complemento Conjunto resultante de directivas (RSoP) es una herramienta de Microsoft Management Console (MMC). Los administradores usan el complemento RSoP para notificar y planear el efecto acumulado de los objetos de directiva de grupo. Aunque el complemento RSoP se puede usar para notificar y planear el efecto de la directiva de grupo, la mayor parte de su funcionalidad se ha incluido en la Consola de administración de directivas de grupo (GPMC), que proporciona una mejor experiencia para los administradores de red. El complemento RSoP tiene limitaciones, ya que no notifica toda la configuración (como sucede, por ejemplo, con muchas de las nuevas opciones de configuración de Windows Vista) y no puede recuperar el conjunto resultante de directivas de un equipo remoto. Microsoft no recomienda el uso del complemento RSoP, aunque sigue estando disponible en Windows Vista para recopilar datos del conjunto resultante de directivas de extensiones de directiva de grupo de terceros.

Los informes de GPMC son la herramienta recomendada para determinar si la directiva se aplica a un usuario o a un equipo. Sin embargo, GPMC no funciona con los MLGPO. Aunque no se pueden usar los informes de GPMC para los MLGPO, esta información se puede ver en el registro funcional de la directiva de grupo.

Uso de la configuración de Windows Vista

Funcionamiento incorrecto de los scripts de la directiva de grupo debido al Control de cuentas de usuario

El principal objetivo del Control de cuentas de usuario (UAC) es reducir la superficie expuesta a ataques del sistema operativo. Para ello, requiere que todos los usuarios funcionen en modo de usuario estándar. Esta limitación minimiza la capacidad de los usuarios para realizar cambios que puedan desestabilizar los equipos o exponer inadvertidamente la red a virus a través de software malintencionado no detectado (malware) que haya infectado el equipo.

Con UAC se puede ejecutar la mayoría de las aplicaciones, componentes y procesos con privilegios limitados, pero existe "potencial de elevación" para tareas administrativas y funciones de aplicación específicas. Windows lo logra por medio del uso de dos tokens de acceso para cada usuario: tokens de acceso limitado y elevado. Los tokens de acceso identifican al usuario, sus grupos y sus privilegios. El sistema usa los tokens de acceso para controlar el acceso a los objetos asegurables y la capacidad del usuario de realizar varias operaciones relacionadas con el sistema en el equipo local.

Un token elevado, para un administrador local, incluye y habilita todos los privilegios administrativos. UAC requiere que los administradores locales usen su token elevado cuando intentan realizar una tarea sólo de sistema o administrativa. Un token limitado, para un administrador local, incluye todos los privilegios administrativos, pero están deshabilitados. De esta forma, Windows puede ver al usuario administrativo y al usuario normal, con la opción de elevar sus privilegios.

De manera predeterminada, todos los usuarios que inician sesión en Windows Vista usan su token completo para procesar la directiva de grupo y los scripts de inicio de sesión. Sin embargo, usan el token de usuario limitado para cargar el escritorio y todos los procesos posteriores. Los tokens limitados y elevados no administrativos son prácticamente idénticos en lo que respecta a privilegios y grupos. Por consiguiente, un proceso iniciado con un token de usuario limitado no administrativo puede ver los procesos iniciados con un token elevado no administrativo. Windows permite este comportamiento porque la aplicación que ve no requiere ningún tipo de elevación para ver el proceso iniciado con el token elevado.

En Windows se procesa de la misma forma a un administrador que inicia sesión localmente. La directiva de grupo y los scripts de inicio de sesión se procesan con el token de usuario elevado, pero los procesos de escritorio y posteriores usan el token limitado. Sin embargo, existe una diferencia de privilegios entre el token de usuario limitado y elevado. Por lo tanto, Windows restringe a los procesos iniciados con un token limitado la posibilidad de compartir información con los procesos iniciados con el token elevado.

UAC puede hacer que parezca que los scripts de inicio de sesión de directiva de grupo funcionan incorrectamente. Tomemos como ejemplo un entorno de dominio que contiene un objeto de directiva de grupo que incluye un script de inicio de sesión para asignar unidades de red. Un usuario no administrativo inicia sesión en el dominio desde un equipo con Windows Vista. Una vez que Windows Vista carga el escritorio, el usuario no administrativo inicia el Explorador de Windows. El usuario ve las unidades asignadas. En el mismo entorno, un usuario administrativo inicia sesión en el dominio desde un equipo con Windows Vista. Una vez que Windows Vista carga el escritorio, el usuario administrativo inicia el Explorador de Windows. El usuario no ve las unidades asignadas.

Cuando el usuario administrativo inicia sesión, Windows procesa los scripts de inicio de sesión con el token elevado. El script en realidad funciona y asigna la unidad, pero Windows bloquea la presentación de las unidades de red asignadas porque el escritorio usa el token limitado, mientras que las unidades se asignaron con el token elevado.

Para solucionar este problema, los usuarios administrativos deben asignar las unidades de red con el token de usuario limitado. Para ello, se usa el script launchapp.wsf que se muestra en el Apéndice A, que funciona mediante la programación de los comandos con el Programador de tareas. El Programador de tareas ejecuta el script con el token administrativo completo, por lo que permite al Explorador de Windows, a otros procesos con token limitado y al proceso con token elevado ver las unidades de red asignadas.

Para configurar launchapp.wsf de manera que se posponga la ejecución de un script de inicio de sesión
  1. Copie el script de inicio de sesión y el script launchapp.wsf en un recurso compartido de red.

  2. Inicie la Consola de administración de directivas de grupo (GPMC). En GPMC, haga clic con el botón secundario en el objeto de directiva de grupo que desea modificar y, a continuación, haga clic en Editar.

  3. En el nodo Configuración de usuario, expanda Configuración de Windows y, después, haga clic en Scripts.

  4. Haga clic con el botón secundario en Inicio de sesión y, a continuación, haga clic en Propiedades.

  5. En el cuadro de diálogo Propiedades de Inicio de sesión, haga clic en Agregar.

  6. En el cuadro Nombre del script, escriba launchapp.wsf.

  7. En el cuadro Parámetros de script, escriba la ruta de acceso completa y el nombre de logon.bat.

Configuring launchapp.wsf

No se puede detener el servicio de la directiva de grupo

En Windows Vista, la directiva de grupo se ha excluido del proceso Winlogon y se ejecuta como un servicio aparte. El cliente de la directiva de grupo es el responsable de aplicar la configuración definida por los administradores para el equipo y los usuarios a través del componente Directiva de grupo. En el complemento Servicios no están disponibles las opciones para iniciar, detener, pausar y reanudar el cliente de la directiva de grupo. El motivo es que, si el servicio del cliente se detiene o deshabilita, no se puede aplicar la configuración, y las aplicaciones y los componentes no se podrán administrar a través de la directiva de grupo. Los componentes o las aplicaciones que dependen del componente Directiva de grupo podrían dejar de ser funcionales si el servicio del cliente se detiene o deshabilita.

Configuración de directiva que requiere reiniciar el equipo o iniciar sesión

Cuando se habilitan las opciones de configuración de directiva de grupo basadas en el Registro que se mencionan en esta sección, es necesario reiniciar el equipo o iniciar sesión. En la lista de esta sección se muestra el nombre de la opción de configuración de la directiva de grupo seguido de su función.

Inicio de sesión
  • No permitir animaciones de ventanas: esta configuración de directiva controla la apariencia de las animaciones de ventana, como las que se observan al restaurar, minimizar y maximizar las ventanas.

  • No permitir la composición de escritorio: esta configuración de directiva controla cómo se representan algunos gráficos y facilita otras características, como Flip, Flip3D y las vistas en miniatura de la barra de tareas.

  • No permitir la invocación de Flip3D: esta configuración de directiva deshabilita el cambiador de ventanas 3D.

  • Especificar un color predeterminado: esta configuración de directiva controla el color predeterminado de los marcos de las ventanas cuando el usuario no especifica un color.

  • No permitir cambios de color: esta configuración de directiva controla la posibilidad de cambiar el color de los marcos de las ventanas.

  • Mensajes de estado detallados frente a normales: esta configuración de directiva indica al sistema que muestre mensajes de estado muy detallados.

  • Establecer acción para el momento de expiración de las horas de inicio de sesión: Esta configuración de directiva controla qué acción se realizará cuando expiren las horas de inicio de sesión del usuario conectado.

  • Establecer acción para el momento de expiración de las horas de inicio de sesión: Esta configuración de directiva controla qué acción se realizará cuando expiren las horas de inicio de sesión del usuario conectado. Entre las acciones, se incluyen bloquear la estación de trabajo, desconectar al usuario o cerrar la sesión del usuario completamente.

  • Informar cuando el servidor de inicio de sesión no está disponible durante el inicio de sesión del usuario: esta directiva controla si el usuario que ha iniciado sesión debe recibir una notificación si no se pudo establecer contacto con el servidor de inicio de sesión durante proceso y el inicio de sesión del usuario se ha llevado a cabo con la información de cuenta almacenada previamente.

  • Interfaz de usuario personalizada: esta configuración de directiva especifica una interfaz de usuario alternativa.

Reinicio
  • Desactivar la entrada táctil de Tablet PC: esta configuración de directiva desactiva la entrada táctil, que permite al usuario interactuar con su equipo usando el dedo.

  • Desactivar Windows Defender: esta configuración de directiva desactiva la protección en tiempo real de Windows Defender, lo que significa que no se programan más análisis.

  • Desactivar interfaz de apagado remoto heredada: esta configuración de directiva controla la interfaz de apagado remoto heredada (canalización con nombre). La canalización remota es necesaria para apagar este sistema desde un sistema remoto con Windows Server 2003 o Windows XP.

Interoperabilidad del redireccionamiento de carpetas

Windows Vista ofrece numerosas ventajas cuando se combina con los perfiles de usuario móviles y el redireccionamiento de carpetas. El redireccionamiento de los datos de usuario a una ubicación de red central reduce el tamaño del perfil de usuario, hace que los datos de usuario estén disponibles inmediatamente y mejora el rendimiento de las operaciones de inicio de sesión y cierre de sesión de usuario mediante la transferencia de un número menor de datos. La combinación del redireccionamiento de carpetas y los perfiles de usuario móviles permite al usuario compartir datos móviles entre equipos con Windows Vista y Windows XP.

Los equipos que ejecutan Windows Vista no pueden leer los perfiles de usuario móviles creados en Windows XP. Esto plantea un problema para los usuarios que tienen un perfil de usuario móvil pero requieren movilidad desde equipos con Windows Vista y Windows XP. El redireccionamiento de carpetas de Windows Vista lo hace posible.

El redireccionamiento de carpetas permite redirigir todas las carpetas conocidas que se incluyen en un perfil de usuario de Windows Vista. Esta posibilidad permite compartir una carpeta del perfil de usuario de Windows XP con una carpeta del perfil de Windows Vista. Por ejemplo, se puede compartir la carpeta Favoritos entre Windows Vista y Windows XP. La carpeta Favoritos se redirige en Windows Vista a la misma ubicación donde Windows XP sincroniza la carpeta Favoritos del perfil de usuario móvil.

Use el escenario 3 que se incluye en las siguientes notas del producto para crear una o varias directivas de redireccionamiento de carpetas con el fin de permitir que los usuarios compartan datos de usuario móvil con Windows Vista y Windows XP. La ruta de acceso al recurso compartido de las notas del producto es la ruta de acceso a la carpeta de usuario móvil del usuario.

Para obtener más información, consulte: http://go.microsoft.com/fwlink/?LinkId=73435 (en inglés).

Protección de acceso a redes y Reconocimiento de ubicación de red

Protección de acceso a redes (NAP) es una plataforma de aplicación de directivas de Windows Vista, Windows Server 2008 (versión beta en proceso de pruebas) y Windows XP que permite mejorar la protección de los activos de la red al imponer el cumplimiento de los requisitos de mantenimiento del sistema (por ejemplo, garantizar que el cliente tiene instaladas las últimas actualizaciones del sistema operativo y software antivirus). Con NAP se pueden crear directivas de mantenimiento personalizadas para validar el estado del equipo antes de permitir el acceso o la comunicación, actualizar automáticamente los equipos que admitan actualizaciones para garantizar que siguen cumpliendo los requisitos y, opcionalmente, confinar los equipos que no cumplan los requisitos a una red restringida hasta que los cumplan.

Cuando un equipo cliente intenta tener acceso a la red, debe presentar el estado de mantenimiento del sistema. Si un equipo cliente no puede demostrar que cumple la directiva de mantenimiento del sistema, su acceso a la red quedará limitado a un segmento de red restringido que contiene recursos de servidor de manera que se puedan solucionar los problemas de incumplimiento de requisitos. Una vez instaladas las actualizaciones, el equipo cliente vuelve a solicitar el acceso a la red. Si cumple los requisitos, se le concede un acceso ilimitado.

Tenga presente que NAP no es una solución de seguridad. Se ha diseñado para ayudar a impedir que los equipos con configuraciones no seguras se conecten a una red, no para proteger las redes de usuarios malintencionados que tienen conjuntos de credenciales válidos y equipos que satisfacen los requisitos de mantenimiento actuales.

En el equipo cliente, la característica Reconocimiento de ubicación de red (NLA) permite al sistema recibir notificaciones cuando se establece la conectividad con el controlador de dominio y el servicio de la directiva de grupo determina si se debe aplicar la configuración de la directiva para ese evento. Sin embargo, NLA no reconoce la transición de un entorno en cuarentena (es decir, un entorno NAP) a un entorno corporativo, por lo que NLA no proporcionará a la directiva de grupo notificaciones acerca de la red cuando el equipo salga de la cuarentena.

Como NLA no proporciona notificaciones sobre la correcta conectividad de la red después de la cuarentena, se puede usar la siguiente solución. El componente NAP registra un evento en los archivos de registro. El administrador necesita escribir un script que detecte este evento, que llame a gpupdate para garantizar que la directiva de grupo se actualiza durante una conexión VPN correcta.

Gracias al uso de NLA, Windows Vista ofrece una mejor respuesta a los cambios de la red y desaparece el retardo de hasta 90 minutos para que la directiva de grupo se actualice. Si se omite el ciclo de aplicación de la configuración de directiva anterior (o genera un error), la directiva de grupo lo vuelve a intentar cuando esté disponible la conexión de red con el controlador de dominio. Se trata de una mejora fundamental respecto a versiones anteriores de la directiva de grupo, ya que se elimina su dependencia de ICMP.

Administración de características de Windows Vista mediante la directiva de grupo

Windows Vista tiene muchas características nuevas que se pueden administrar con la directiva de grupo, incluidas la administración de energía, la instalación y el uso de dispositivos, y la configuración de seguridad. A continuación, se presenta una lista de guías paso a paso que le ayudarán a configurarlas.

Lista de configuraciones de directiva

La hoja de cálculo a la que se hace referencia en el vínculo siguiente muestra las configuraciones de directiva correspondientes a las configuraciones de usuarios y equipos incluidas en los archivos de plantillas administrativas (admx/adml) que se proporcionan con Windows Vista RC1. Las configuraciones de directiva que se incluyen en esta hoja de cálculo son aplicables a Windows Vista RC1, Microsoft Windows Server 2003, Windows XP Professional y Windows 2000. Estos archivos se usan para exponer las configuraciones de directiva cuando se editan los objetos de directiva de grupo (GPO) mediante el Editor de objetos de directiva de grupo (también denominado GPEdit).

http://go.microsoft.com/fwlink/?linkid=54020 (en inglés)

Solución de problemas de la directiva de grupo

Para solucionar los problemas de la directiva de grupo, es preciso conocer las interacciones que tienen lugar entre la directiva de grupo y sus tecnologías complementarias (como el servicio de directorio Microsoft® Active Directory® y el Servicio de replicación de archivos [FRS]), y las maneras en que se administran, implementan y aplican los propios objetos de directiva de grupo. Cuando las conozca, podrá usar herramientas específicas para encontrar respuestas que le ayuden a identificar y solucionar los problemas.

La infraestructura de la directiva de grupo ha cambiado significativamente en Windows Vista. El procesamiento de la directiva de grupo ya no tiene lugar dentro del proceso Winlogon, sino que se hospeda como un servicio propio. Además, el motor de directiva de grupo ya no se basa en el registro de seguimiento de userenv.dll. Como consecuencia, ya no hay un archivo de registro userenv.

La mayor parte de las soluciones de problemas de directiva de grupo en versiones anteriores de Windows se basaban en la habilitación del registro en el componente userenv.dll. Se creaba un archivo de registro denominado userenv.log en la carpeta %WINDIR%\Debug\Usermode. Este archivo de registro contenía instrucciones de seguimiento de funciones con datos auxiliares. Además, las funciones de carga y descarga de perfiles compartían este archivo de registro, lo que en ocasiones dificultaba su diagnóstico. Este archivo de registro, que se usaba con el conjunto resultante de directivas de Microsoft Management Console (RSoP MMC), era la principal forma de diagnosticar y solucionar los problemas de directiva de grupo.

En Windows Vista, la directiva de grupo se trata como un componente propio con un nuevo servicio de directiva de grupo, un servicio independiente que se ejecuta bajo el proceso Svchost con la finalidad de leer y aplicar la directiva de grupo. El nuevo servicio incluye cambios en la notificación de eventos. Los mensajes de eventos de directiva de grupo, que antes aparecían en el registro de aplicación, ahora aparecen en el registro del sistema. El visor de eventos muestra estos nuevos mensajes con un origen de evento Microsoft-Windows-GroupPolicy. El registro funcional de la directiva de grupo sustituye al anterior registro userenv. El registro de eventos operativos proporciona mensajes de eventos mejorados, específicos del procesamiento de la directiva de grupo.

Para obtener más sugerencias para solucionar problemas, consulte la guía de solución de problemas de directiva de grupo de Windows Vista, en:

http://go.microsoft.com/fwlink/?LinkId=74139 (en inglés)

Vínculos relacionados

Apéndice A: Launchapp.wsf

<job>

<script language="VBScript">

'---------------------------------------------------------

' Este ejemplo inicia la aplicación como un usuario interactivo.

'---------------------------------------------------------

' Constante que especifica un desencadenador de registro.

const TriggerTypeRegistration = 7

' Constante que especifica una acción ejecutable.

const ActionTypeExecutable = 0

' Constante que especifica el marcador en RegisterTaskDefinition.

const FlagTaskCreate = 2

' Constante que especifica una acción ejecutable.

const LogonTypeInteractive = 3

If WScript.Arguments.Length <> 1 Then

WScript.Echo "Usage: cscript launchapp.wsf <AppPath>"

WScript.Quit

End If

strAppPath = WScript.Arguments(0)

'********************************************************

' Crear el objeto TaskService.

'********************************************************

Set service = CreateObject("Schedule.Service")

call service.Connect()

strTaskName = "Iniciar aplicación como usuario interactivo"

'********************************************************

' Obtener una carpeta en la que crear una definición de tarea.

'********************************************************

Dim rootFolder

Set rootFolder = service.GetFolder("\")

' Eliminar la tarea si ya está presente.

On Error Resume Next

call rootFolder.DeleteTask(strTaskName, 0)

Err.Clear

'********************************************************

' Crear la nueva tarea.

'********************************************************

Dim taskDefinition

Set taskDefinition = service.NewTask(0)

'********************************************************

' Crear un desencadenador de registro.

'********************************************************

Dim triggers

Set triggers = taskDefinition.Triggers

Dim trigger

Set trigger = triggers.Create(TriggerTypeRegistration)

'***********************************************************

' Crear la acción que la tarea ejecutará.

'***********************************************************

' Agregar una acción a la tarea. La acción ejecuta la aplicación.

Dim Action

Set Action = taskDefinition.Actions.Create( ActionTypeExecutable )

Action.Path = strAppPath

WScript.Echo "Definición de tarea creada. En breve se enviará la tarea..."

'***********************************************************

' Registrar (crear) la tarea.

'***********************************************************

call rootFolder.RegisterTaskDefinition( _

strTaskName, taskDefinition, FlagTaskCreate, _

,, LogonTypeInteractive)

WScript.Echo "Tarea enviada."

</script>

</job>

Apéndice B: Lista de claves del Registro, valores y archivos que se mueven con la migración

Después de migrar a Windows Vista, la directiva de grupo se vuelve a aplicar como si fuese una instalación limpia. En el caso de los clientes de un dominio de Windows, la directiva de grupo se aplicará como si el equipo se acabase de unir al dominio; esto también sucede con las extensiones de cliente. Cada extensión migrará su configuración o la aplicará la primera vez que se aplique la directiva de grupo en el dominio. Después de la actualización, el motor de directiva de grupo procesará la configuración de directiva como si se tratase de una instalación limpia, regenerará todos los datos RSoP y configurará todos sus valores almacenados en caché. La lista siguiente contiene las claves del Registro que Windows Vista migra.

GPedit

            <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Editor\* [*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GPEditDebugLevel]</pattern>

GPBase

            <pattern type="File">%windir%\system32\GroupPolicy\*[*]</pattern>

            <pattern type="File">%windir%\system32\GroupPolicyUsers\*[*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideStartupScripts]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideShutdownScripts]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RunStartupScriptSync]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GpNetworkStartTimeoutPolicyValue]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DenyUsersFromMachGP]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DisableBkGndGroupPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [SyncForegroundPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DisableLGPOProcessing]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [DenyRsopToInteractiveUser]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RSoPGarbageCollectionInterval]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GroupPolicyMinTransferRate]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [WaitForNetwork]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [UserenvDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RsopDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gpsvcDebugLevel]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [RunDiagnosticLoggingGlobal]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [RunDiagnosticLoggingGroupPolicy]</pattern>

            <pattern type="Registry">HKLM\Software\Policies\* [*]</pattern>

            <pattern type="Registry">HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\* [*]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideLogonScripts]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [HideLogoffScripts]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [RunLogonScriptSync]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon [GroupPolicyMinTransferRate]</pattern>

            <pattern type="Registry">HKCU\Software\Policies\* [*]</pattern>

            <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\* [*]</pattern>

GPMC

            <pattern type="Registry">HKCU\Software\Microsoft\Group Policy Management Console\* [*]</pattern>

          <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gpmgmttracelevel]</pattern>

          <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [gprsoptracelevel]</pattern>

Instalación de software

           <pattern type="File">%windir%\system32\appmgmt\*[*]</pattern>

    <pattern type="Registry">HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\Appmgmt\* [*]</pattern>

           <pattern type="Registry">HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics [appmgmtdebuglevel]</pattern>

           <pattern type="Registry">HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\Appmgmt\* [*]</pattern>

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft