Exportar (0) Imprimir
Expandir todo

Planificación de la directiva de grupo al usar Windows Intune

Actualizado: noviembre de 2013

Se aplica a: Windows Intune

Dado que algunas configuraciones administradas por Windows Intune también son administradas por una directiva de grupo, pueden producirse conflictos de aplicación de directivas en los equipos destinatarios de ambos sistemas. En este tema se describe los métodos recomendados para evitar conflictos de directivas.

Planificación de la implementación en empresas administradas mediante directivas de grupo

Windows Intune ofrece la funcionalidad de administración de directivas en el área de trabajo Directiva. La administración de directivas, tal y como se implementa en esta versión de Windows Intune, no está asociada a la directiva de grupo. Aunque los dos sistemas de administración de directivas tienen la misma finalidad, sus ámbitos de administración son distintos y funcionan de forma independiente en esta versión de Windows Intune.

Por lo general, la directiva de grupo a nivel de dominio tiene prioridad sobre la directiva de Windows Intune, a menos que un equipo cliente unido a un dominio no se pueda conectar al controlador de dominio. Si la conectividad con el controlador de dominio no está disponible, al equipo cliente se le aplica la directiva de Windows Intune.

ImportantImportante
Para asegurarse de que los equipos de Windows Intune reciben las actualizaciones aprobadas por el administrador en la Consola de administrador de Windows Intune, la siguiente configuración de directiva de grupos de Windows Server Update Services (WSUS), Especificar la ubicación del servicio Microsoft Update en la intranet no se aplica a los equipos registrados con Windows Intune.

Para evitar posibles conflictos de directivas por tener sistemas de administración de directivas que compiten entre sí, es recomendable que los administradores que implementen el software cliente de Windows Intune se aseguren de que los equipos cliente administrados por la directiva de Windows Intune no están recibiendo también instrucciones de la directiva de grupo para los mismos valores de configuración.

Las tres opciones de implementación siguientes pueden ayudarle a evitar problemas de administración de directivas en los equipos cliente que desea administrar mediante Windows Intune.

Opción 1: Aislar los equipos inscritos en servicios de la directiva de grupo moviéndolos a una nueva unidad organizativa

Si es posible, reestructure la jerarquía de la unidad organizativa (OU) para aislar los equipos inscritos en Windows Intune en una o más OU independientes que no puedan ser modificadas por las configuraciones de la directiva de grupo en conflicto. Esta organización de la jerarquía de las OU simplifica la administración de directivas al permitir que las OU de Windows Intune sean solo destinatarias de una configuración de directiva específica.

Antes de instalar el software cliente de Windows Intune en la empresa, cree o mueva los equipos cliente que desea administrar mediante Windows Intune a una unidad organizativa (OU) que cumpla las condiciones descritas en esta sección.

Para obtener más información sobre cómo crear una unidad organizativa en los controladores de dominio que ejecutan Windows Server 2003, vea Crear una nueva unidad organizativa en el sitio web de Microsoft. Para obtener más información sobre cómo crear una unidad organizativa en los controladores de dominio que ejecutan Windows Server 2008, vea Crear una nueva unidad organizativa en el sitio web de Microsoft.

Bloquee la herencia de directivas de grupo en las OU que contienen equipos inscritos en Windows Intune a los que no desea aplicar la configuración de la directiva de grupo. Luego, asegúrese de que la opción Exigir está deshabilitada para los objetos de directiva de grupo (GPO) de la OU o el dominio primario.

Para bloquear la herencia de directivas de grupo en una OU

  1. Abra la Consola de administración de directivas de grupo.

  2. En el árbol de la consola, expanda el bosque que contiene la unidad organizativa de los equipos cliente que desea administrar mediante Windows Intune.

  3. Expanda el dominio y, en su caso, los nodos subordinados adicionales para localizar la unidad organizativa.

  4. Haga clic con el botón secundario en la unidad organizativa y, a continuación, haga clic en Bloquear herencia.

Opción 2: Filtrar los objetos de directiva de grupo existentes para evitar conflictos con los equipos inscritos en el servicio

Identifique los objetos de directiva de grupo (GPO) cuya configuración pueda entrar en conflicto con Windows Intune y, a continuación, use para estos GPO cualquiera de los métodos de filtrado siguientes para restringirlos únicamente a los equipos que no se administran mediante Windows Intune.

  • Utilice filtros WMI. Los filtros WMI aplican selectivamente GPO a equipos que cumplen las condiciones de una consulta. Para aplicar un filtro WMI, implemente una instancia de clase WMI en todos los equipos de la empresa antes de inscribir ningún equipo en el servicio Windows Intune.

    Para aplicar filtros WMI a un GPO

    1. Cree un archivo de objeto de administración. Para ello, copie y pegue lo siguiente en un archivo de texto y, a continuación, guarde este archivo en una ubicación adecuada como WIT.mof. Este archivo contiene la instancia de clase WMI que deberá implementar en los equipos que desea inscribir en el servicio de Windows Intune.

      //Beginning of MOF file.
      #pragma classflags("forceupdate")
      #pragma namespace ("\\\\.\\Root")
      instance of __Namespace
      {
         Name = "WindowsIntune";
      };
      
      #pragma namespace ("\\\\.\\Root\\WindowsIntune")
      [ 
         Description("This class defines Windows Intune common properties")
      ]
      class WindowsIntune_ManagedNode
      {
         [ read, Description("This defines whether Windows Intune Policy is enabled"): DisableOverride ToSubClass ]
         boolean WindowsIntunePolicyEnabled;
         [ read, key, Description("This property defines the version." "Example: 1.0"): ToSubClass ]
         string Version;
      };
      
      instance of WindowsIntune_ManagedNode
      {
         Version = "1.0";
         WindowsIntunePolicyEnabled = 1;
      };
      
    2. Para implementar el archivo puede utilizar tanto una secuencia de comandos de inicio, como la directiva de grupo. A continuación se indica el comando de implementación de la secuencia de comandos de inicio. El comando MOFCOMP normalmente se encuentra en C:/Windows/System32/Wbem. La instancia de clase WMI debe ser implementada antes de inscribir cualquier equipo cliente en el servicio de Windows Intune.

      MOFCOMP <ruta al archivo MOF>\wit.mof

    3. Ejecute cualquiera de los siguientes comandos para crear los siguientes filtros WMI, en función de si el GPO que desea filtrar se aplica a equipos administrados mediante Windows Intune o a equipos que no se administran mediante Windows Intune.

      • Para GPO que se aplican a equipos no administrados mediante Windows Intune, utilice lo siguiente:

        Namespace:root\WindowsIntune
        Query:  SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=0
        
      • Para GPO que corresponden a equipos administrados mediante Windows Intune, utilice lo siguiente:

        Namespace:root\WindowsIntune
        Query:  SELECT WindowsIntunePolicyEnabled FROM WindowsIntune_ManagedNode WHERE WindowsIntunePolicyEnabled=1
        
    4. Edite el GPO en la Consola de administración de directivas de grupo para aplicar el filtro WMI que creó en el paso anterior.

      • Para los GPO que solo deberían aplicarse a equipos que desea administrar mediante Windows Intune, aplique el filtro WindowsIntunePolicyEnabled=1.

      • Para los GPO que solo deberían aplicarse a equipos que no desea administrar mediante Windows Intune, aplique el filtro WindowsIntunePolicyEnabled=0.

    Para obtener más información acerca de cómo aplicar filtros WMI en la directiva de grupo, vea Security Filtering, WMI Filtering, and Item-level Targeting in Group Policy Preferences (Filtrado de seguridad, filtrado WMI y destinatarios a nivel de elemento en las preferencias de directiva de grupo).

  • Utilice filtros de grupo de seguridad. La directiva de grupo le permite aplicar los GPO únicamente a aquellos grupos de seguridad especificados en el área Filtrado de seguridad de la Consola de administración de directivas de grupo para un GPO seleccionado. De forma predeterminada, los GPO se aplican a Usuarios autenticados. En el complemento Usuarios y equipos de Active Directory, cree un nuevo grupo de seguridad que contenga los equipos y cuentas de usuario que no desea administrar mediante Windows Intune. Por ejemplo, el nombre del grupo podría ser Fuera de Windows Intune. En la Consola de administración de directivas de grupo, en la ficha Delegación del GPO seleccionado, haga clic con el botón secundario en el nuevo grupo de seguridad para delegar los permisos Lectura y Aplicar directiva de grupos apropiados en los usuarios y equipos del grupo de seguridad. (Los permisos Aplicar directiva de grupos están disponibles en el cuadro de diálogo Avanzado). A continuación, aplique el nuevo filtro de grupo de seguridad a un GPO seleccionado y quite el filtro predeterminado Usuarios autenticados. El nuevo grupo de seguridad debe mantenerse inscrito en los cambios del servicio de Windows Intune.

Opción 3: Modificar objetos de directiva de grupo existentes para quitar configuraciones en conflicto

En lugar de aislar los equipos inscritos en Windows Intune, crear objetos de directiva de grupo (GPO) nuevos o filtrar los GPO, puede deshabilitar manualmente GPO específicos (o valores de GPO) que estén en conflicto con la configuración de la directiva de Windows Intune. Establezca los GPO que entrarán en conflicto con la configuración aplicada a los equipos administrados mediante Windows Intune en No configurado. A continuación, defina e implemente la directiva de Windows Intune para aquellos GPO que están establecidos en No configurado.

noteNota
Si administra los conflictos de directivas utilizando esta opción, los GPO se deben analizar y modificar con frecuencia para evitar conflictos de directivas.

Vea también

 
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft