Información técnica de AGPM

  • Artículo

Microsoft Administración avanzada de directivas de grupo (AGPM) es una aplicación cliente/servidor. El servidor AGPM almacena Objetos de directiva de grupo (GPO) sin conexión en el archivo que AGPM crea en el sistema de archivos del servidor. Los administradores de directivas de grupo usan el complemento AGPM de Consola de administración de directivas de grupo (GPMC) para trabajar con GPO en el servidor que hospeda el archivo. Los administradores de directivas de grupo pueden mejorar su eficacia si conocen las partes de AGPM y los elementos relacionados, el modo de almacenar GPO en el sistema de archivos y cómo controlan los permisos las acciones disponibles para cada usuario.

Terminología

A continuación se explican los términos básicos de AGPM.

  • **Cliente AGPM:**equipo que ejecuta el complemento AGPM de Consola de administración de directivas de grupo (GPMC) y desde donde los administradores de directivas de grupo administran GPO.

  • Complemento AGPM: componente de software de AGPM instalado en los clientes de AGPM con el objeto de que puedan administrar GPO.

  • Servidor AGPM: servidor que ejecuta el servicio AGPM y administra un archivo. Cada servidor AGPM puede administrar únicamente un archivo, pero un servidor AGPM puede administrar datos de archivo de varios dominios en un archivo. Un archivo se puede hospedar en un equipo que no sea un servidor AGPM.

  • Servicio AGPM: componente de software de AGPM que se ejecuta en un servidor AGPM como un servicio. El servicio administra los GPO del archivo y del entorno de producción de ese bosque.

  • Archivo: en AGPM, un almacén central que contiene los GPO controlados que administra el servidor AGPM asociado, además del historial de cada uno de esos GPO. Esto incluye todas las versiones controladas anteriores de cada GPO. Un archivo se compone de un archivo de índice de archivo y de datos de archivo asociados que pueden incluir datos para los GPO de varios dominios. Un archivo se puede hospedar en un equipo que no sea un servidor AGPM.

  • GPO controlados: un GPO que está administrando AGPM. AGPM administra el historial y los permisos de los GPO controlados que almacena en el archivo.

  • GPO no controlados: un GPO del entorno de producción de un dominio que no está administrado por AGPM.

AGPM instala, crea e afecta en lo siguiente

En un servidor AGPM, el programa de instalación de AGPM instala el servicio AGPM. AGPM no altera el servicio de directorio de Active Directory® ni el esquema. De forma predeterminada, los archivos de programa del servidor AGPM se instalan en %Archivos de programa%\Microsoft\AGPM\Server. Puede instalar el servicio AGPM en un controlador de dominio si fuese necesario; no obstante, se recomienda que instale el servicio AGPM Service en un servidor miembro.

En un cliente AGPM, el programa de instalación de AGPM instala el complemento AGPM agregando una carpeta Control de cambios a cada dominio que aparece en la GPMC. De forma predeterminada, los archivos de programa del cliente AGPM se instalan en %Archivos de programa%\Microsoft\AGPM\Client.

En la Tabla 1 se describen los dos elementos que AGPM instala o crea, y las partes del sistema operativo que afectan al funcionamiento de AGPM.

Tabla 1: elementos instalados, creados o que se ven afectados por AGPM

Elemento Descripción

Servicio AGPM

El servicio AGPM se ejecuta en el servidor AGPM. El servicio administra el archivo, que contiene los GPO sin conexión y los GPO controlados del entorno de producción. La configuración predeterminada del servicio AGPM es la siguiente:

  • Nombre del servicio: servicio AGPM

  • Nombre para mostrar: servicio AGPM

  • Ruta no ejecutable: %Archivos de programa%\Microsoft\AGPM\Server\Agpm.exe

  • Inicio: Automático

  • Iniciar sesión como: cuenta de servicio AGPM especificada durante la instalación del servidor AGPM, que se puede cambiar mediante la opción Programas y características del Panel de control.

Archivo AGPM

De forma predeterminada, AGPM crea el archivo en %ProgramData%\Microsoft\AGPM en el servidor AGPM. El archivo proporciona almacenamiento para los GPO sin conexión y puede almacenar varias versiones de cada GPO. Los cambios que AGPM realiza a los GPO en el archivo no afectan al entorno de producción hasta que un Administrador de AGPM o un Aprobador implementa el GPO en el entorno de producción y vincula el GPO a una unidad organizativa (OU).

Firewall de Windows

Durante la instalación, AGPM habilita una regla de Windows Firewall de entrada que permite al cliente AGPM comunicarse con el servidor AGPM. La regla de Windows Firewall predeterminada es la siguiente:

  • Nombre: servicio AGPM

  • Acción: permitir la conexión

  • Programas: todos los programas que cumplen las condiciones especificadas

  • Tipo de protocolo: TCP

  • Puerto local: 4600

  • Puerto remoto: todos los puertos

  • Dirección IP local: cualquiera

  • Dirección IP remota: cualquiera

Servidor de correo electrónico

AGPM usa el Protocolo simple de transferencia de correo (SMTP) para enviar solicitudes de correo electrónico a las direcciones configuradas en la ficha Delegación de dominio tab. Por ejemplo, cuando un Editor solicita que se cree un GPO nuevo, AGPM se lo notifica a todas las direcciones de correo electrónico especificadas en la ficha Delegación de dominio.

Complemento AGPM

El complemento AGPM de la GPMC se ejecuta en los clientes AGPM y lo usan los administradores de directivas de grupo para administrar GPO. El complemento aparece en la GPMC como una carpeta Control de cambios en cada dominio.

Referencias adicionales

Para obtener más información acerca de los archivos que instala AGPM, consulte Planning Guide for AGPM.

Archivo

De forma predeterminada, el proceso de instalación del servidor AGPM crea el archivo en el disco duro local del servidor AGPM en %ProgramData%\Microsoft\AGPM. No obstante, puede cambiar la ruta durante la instalación e incluso crear el archivo en un servidor que no sea el servidor AGPM.

El archivo contiene una subcarpeta por cada versión de cada GPO que contiene el archivo. El nombre de cada subcarpeta es un identificador único global (GUID) que identifica una versión del GPO.

El archivo gpostate.xml registra el estado de cada GPO en el archivo. El archivo es un manifiesto que describe el contenido del archivo. Por ejemplo, un GPO puede tener varias versiones y cada versión se encuentra en su propia subcarpeta en el archivo. El archivo gpostate.xml indica qué subcarpetas contienen diferentes versiones de un único GPO. Además, las plantillas de GPO tienen subcarpetas en el archivo, aunque gpostate.xml indica que son plantillas y no GPO controlados. Asimismo, cuando los administradores de directivas de grupo eliminan GPO, AGPM cambia sus estados en el archivo gpostate.xml para indicar que están en la Papelera de reciclaje pero no llega a quitar las subcarpetas de GPO del archivo.

Advertencia

No modifique manualmente gpostate.xml ni los GPO que contiene el archivo. Esta información se proporciona solamente para comprender mejor el archivo AGPM. En su lugar, use el complemento AGPM para cambiar GPO.

Cuando AGPM crea el archivo, proporciona Control total a SISTEMA, Administradores y a la Cuenta de servicio AGPM (especificada en el programa de instalación del servidor AGPM). Cambiar permisos usando la interfaz de usuario de AGPM en el complemento AGPM no altera los permisos del archivo, porque la Cuenta de servicio AGPM realiza todas las operaciones en nombre del usuario que ha iniciado sesión.

Referencias adicionales

Para obtener información acerca del modo de hacer una copia de seguridad del archivo, restaurar el archivo a partir de una copia de seguridad o mover el servidor AGPM y el archivo, consulte la sección "Performing AGPM Administrator Tasks" de Operations Guide for AGPM.

Roles y permisos

Los roles simplifican la delegación. En vez de asignar permisos detallados a administradores de directivas de grupo, Administradores de AGPM puede asignar uno de los cuatro roles a administradores de directivas de grupo para permitirles realizar trabajos relacionados con dicho rol:

  • Administrador de AGPM: Los administradores de directivas de grupo que tengan asignado el rol Administrador de AGPM (Control total) pueden realizar cualquier tarea en AGPM. Los Administradores de AGPM pueden configurar opciones de todo el dominio y delegar permisos a otros administradores de directivas de grupo.

  • Aprobador: Los administradores de directivas de grupo que tengan asignado el rol Aprobador pueden implementar GPO en un entorno de producción de un dominio. Los Aprobadores también pueden crear y delegar GPO y aprobar o rechazar solicitudes de los Editores. Los Aprobadores pueden ver la lista de GPO de un dominio, ver la configuración de directiva en los GPO y crear y ver informes de la configuración de directiva de un GPO. No pueden modificar la configuración de directiva de GPO a menos que también tengan asignado el rol Editor.

  • Editor: Los administradores de directivas de grupo que tengan asignado el rol Editor pueden ver la lista de GPO de un dominio, ver la configuración de directiva en los GPO, modificar la configuración de directiva en GPO, y crear y ver informes de la configuración de directiva de un GPO. A menos que también tengan asignado el rol Aprobador, los Editores no pueden crear, implementar ni eliminar GPO. No obstante, pueden solicitar que se creen, implementen o eliminen GPO.

  • Revisor: Los administradores de directivas de grupo que tengan asignado el rol Revisor pueden ver la lista de GPO de un dominio y crear y ver informes de la configuración de directiva de un GPO. No pueden modificar la configuración de directiva de GPO a menos que también tengan asignado el rol Editor.

AGPM ofrece a los Administradores de AGPM la flexibilidad de configurar permisos a un nivel más detallado que los roles mediante el complemento AGPM. En la Tabla 2 se describen estos permisos y se indican los permisos concedidos a cada rol de manera predeterminada.

Permiso Descripción Administrador de AGPM Aprobador Editor Revisor

Control total

Dispone de todos los permisos.

Crear GPO

Crear GPO en un dominio.

Mostrar contenido

Enumerar los GPO de un dominio.

Leer configuración

Leer la configuración de directiva de un GPO.

Editar configuración

Cambiar la configuración de directiva de un GPO.

Eliminar GPO

Eliminar un GPO.

Modificar seguridad

Delegar el acceso a nivel de dominio, delegar el acceso a un único GPO y delegar el acceso al entorno de producción.

Implementar GPO

Implementar un GPO desde el archivo al entorno de producción.

Crear plantilla

Crear una plantilla de GPO en AGPM.##########

Modificar opciones

Configurar una notificación de correo electrónico de AGPM y limitar las versiones de GPO almacenadas en el archivo.

Exportar GPO

Exportar un GPO a un archivo.

Importar GPO

Importar un GPO desde un archivo.

Nota

Los permisos Exportar GPO e Importar GPO no están disponibles en AGPM 3.0 ni 2.5.

La capacidad de delegar el acceso a los GPO en el entorno de producción de un dominio y la capacidad de limitar el número de versiones de GPO almacenadas no están disponibles en AGPM 2.5.

Referencias adicionales

Para obtener información sobre qué tareas pueden llevar a cabo los administradores de directivas de grupo que tienen asignado un rol determinado o sobre qué permisos se necesitan para realizar una tarea concreta, consulte Operations Guide for AGPM.

-----
Puede obtener más información acerca de Microsoft Desktop Optimization Pack (MDOP) en la biblioteca de TechNet, en la sección de solución de problemas de TechNet Wiki, o bien a través de Facebook o Twitter.
-----