Cómo crear el GPO de un controlador de dominio e importar la plantilla de directiva de línea de base de controlador de dominio de Exchange

Última modificación del tema: 2006-12-05

En este tema se explica cómo crear el objeto Directiva de grupo (GPO) de controlador de dominio e importar la plantilla de directiva de línea de base de controlador de dominio de Exchange en el GPO. Puede descargar la plantilla de directiva de línea de base de controlador de dominio de Exchange (Exchange_2003-DC_Incremental_V1_1.inf) en la Guía para reforzar la seguridad de Exchange Server 2003.

En la tabla siguiente se muestran las diferencias existentes entre la directiva de línea de base de controlador de dominio de Windows Server 2003 y de Exchange 2003. A continuación de la tabla se explica cada una de estas diferencias.

Diferencias entre las directivas de línea de base de controlador de dominio de Windows Server 2003 y de Exchange 2003

• Restricciones adicionales para conexiones anónimas
  La opción de restricción anónima en Exchange Server 2003 es distinta de la de Windows Server 2003 porque los clientes de Outlook 2000 y Outlook 2002 se ponen en contacto con el servidor de catálogo global de forma anónima para pedir información. Con las opciones definidas en la Guía de seguridad de Windows Server 2003, donde se restringen las consultas anónimas al servidor de catálogo global, los usuarios de Outlook 2000 y de Outlook 2002 no pueden enviar correo interno y deben utilizar direcciones externas. Sin embargo, como Outlook 2003 se autentica con el servidor de catálogo global, no es necesario relajar esta opción de seguridad en un entorno puro de Outlook 2003.

  Nota

  Para obtener más información al respecto, consulte en Microsoft Knowledge Base el artículo 309622, "XADM: Los clientes no pueden explorar la Lista global de direcciones después de aplicar la revisión Q299687 de seguridad de Windows 2000".

• Apagar el sistema inmediatamente si no se pueden registrar sucesos de seguridad
  Esta opción está deshabilitada porque es probable que los registros se llenen rápidamente con errores de inicio de sesión, por ejemplo por contraseñas mal escritas.

• Auditoría de sucesos de inicio de sesión de cuenta y Auditoría de sucesos de inicio de sesión
  Estas opciones se modifican debido al gran número de sucesos de inicio de sesión correctos que Exchange Server 2003 genera durante las operaciones normales. Si la auditoría de sucesos correctos está habilitada para los sucesos de inicio de sesión, el registro de seguridad se llenará rápidamente; por tanto, la directiva de línea de base de controlador de dominio de Exchange sólo registra los sucesos erróneos.

La implementación de la plantilla de directiva de línea de base de controlador de dominio de Exchange es más eficiente si importa el archivo Exchange 2003 DC Incremental.inf en la unidad organizativa Controlador de dominio desde la página de propiedades de Directiva de grupo.

Antes de empezar

La secuencia de las directivas en la ficha Directiva de grupo determina el orden en que se aplican las directivas; por tanto, es importante que ponga la directiva de línea de base de controlador de dominio de Exchange encima de la de Windows Server 2003.

Se recomienda encarecidamente que revise Reforzamiento de la seguridad de los servidores de Exchange 2003 antes de implementar el procedimiento siguiente.

Procedimiento

Para crear el GPO de controlador de dominio e importar la plantilla de directiva de línea de base de controlador de dominio de Exchange

1. En Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en Controladores de dominio y, después, haga clic en Propiedades.

2. En la ficha Directiva de grupo, haga clic en Nuevo para agregar un nuevo objeto de directiva de grupo.

3. Escriba Directiva DC de Exchange y presione ENTRAR.

4. Haga clic en Modificar. Se abrirá el Editor de objetos de directiva de grupo.

5. En el Editor de objetos de directiva de grupo, bajo Configuración del equipo, expanda Configuración de Windows, haga clic con el botón secundario del mouse en Configuración de seguridad y haga clic en Importar directiva.

   Nota

   Si Importar directiva no aparece en el menú, cierre el Editor de objetos de directiva de grupo y repita los pasos 4 y 5.

6. En Importar la directiva desde, vaya al directorio donde guardó las plantillas de seguridad de Directiva de grupo para Exchange y haga doble clic en Exchange 2003DC Incremental.inf.

7. Cierre el Editor de objetos de directiva de grupo y haga clic en Aceptar.

8. En Propiedades de Controladores de dominio, seleccione Directiva DC de Exchange, haga clic en Subir hasta que Directiva DC de Exchange esté al principio de la lista, haga clic en Aplicar y, después, haga clic en Aceptar.

9. Después de importar la directiva debe esperar a que termine la replicación a otros controladores de dominio o utilizar el complemento de MMC Sitios y servicios de Active Directory para forzar las replicaciones. La replicación garantiza que todos los controladores de dominio estarán actualizados con la directiva.

   Nota

   Aunque la replicación aplica la directiva, debe reiniciar los servidores para que las directivas surtan efecto.

10. En el registro de sucesos, para comprobar que la directiva se descargó correctamente, busque el siguiente suceso de Información de la aplicación: SceCli 1704. Después, compruebe que el servidor puede comunicarse con los demás controladores de dominio del dominio.

11. Reinicie todos los controladores de dominio, de uno en uno, para asegurarse de que se reinician correctamente y que las directivas han surtido efecto.