Introducción a la directiva de grupo para Office 2013
Se aplica a: Office 2013, Office 365 ProPlus
Última modificación del tema: 2016-12-16
Resumen: uso de las directivas de grupo para aplicar y habilitar las configuraciones de 2013.
Público: profesionales de TI
La directiva de grupo permite a los administradores aplicar configuraciones u opciones de directiva a usuarios y equipos en un entorno de servicio de directorio de Active Directory. Los administradores que planean usar la directiva de grupo para administrar aplicaciones de Office 2013 pueden revisar este artículo en el que se incluye una breve introducción a los conceptos relacionados con la directiva de grupo. Para más información sobre la directiva de grupo, vea el artículo de Windows Server sobre introducción a la directiva de grupo.
En este artículo:
Directiva de grupo local y basada en Active Directory
Procesamiento de directivas de grupo
Cambio del modo en el que la directiva de grupo procesa los GPO
Plantillas administrativas
Directivas verdaderas y preferencias de usuario
Herramientas de administración de directivas de grupo
Herramienta de personalización de Office y directiva de grupo
Directiva de grupo local y basada en Active Directory
La directiva de grupo es una infraestructura que se usa para proporcionar y aplicar una o más opciones de configuración deseadas o de directivas a un conjunto de usuarios y equipos identificados en un entorno de servicio de directorio de Active Directory (AD DS).
Las opciones de configuración de las directivas de grupo se encuentran en los objetos de directivas de grupos (GPO), que están vinculados a los contenedores de Active Directory seleccionados como sitios, dominios o unidades organizativas (OU). Cuando se crea un GPO, se almacena en el dominio. Cuando el GPO se vincula a un contenedor de Active Directory, como una unidad organizativa, el vínculo es un componente de ese contenedor de Active Directory. El vínculo no es un componente del GPO. Los destinos afectados evalúan las opciones de configuración de los GPO usando la naturaleza jerárquica de Active Directory. Por ejemplo, puede crear un GPO denominado Configuración de Office 2013 que contiene únicamente configuraciones para aplicaciones de Office 2013. Después, aplique ese GPO a un sitio específico, de modo que los usuarios que están en ese sitio reciban las configuraciones de Office 2013 especificadas en el GPO de la Configuración de Office 2013.
Cada equipo dispone de un GPO local que siempre se procesa, independientemente de si el equipo forma parte de un dominio o es un equipo independiente. Los GPO basados en dominios no pueden bloquear al GPO local. No obstante, tenga en cuenta que la configuración en los GPO del dominio siempre tiene prioridad, ya que se procesan después del GPO local.
Nota
Windows Vista, Windows 7 y Windows 8, Windows Server 2008 y Windows Server 2012 proporcionan compatibilidad con la administración de varios GPO locales en equipos independientes. Para más información, vea la guía paso a paso para administrar varios objetos de directiva de grupo locales (https://go.microsoft.com/fwlink/p/?LinkId=182215).
Si bien puede configurar objetos de directiva de grupo locales en equipos individuales, las máximas ventajas de la directiva de grupo se obtienen en una red basada en Windows Server 2003, Windows Server 2008 o Windows Server 2012- con Active Directory instalado.
Procesamiento de directivas de grupo
La directiva de grupo para equipos se aplica durante el inicio del equipo. La directiva de grupo para usuarios se aplica cuando los usuarios inician sesión. Además del procesamiento inicial de la directiva de grupo durante el inicio y el inicio de sesión, la directiva de grupo se aplica más tarde en segundo plano de forma periódica. Durante una actualización en segundo plano, una extensión de cliente vuelve a aplicar la configuración de directivas solo si detecta que se ha producido un cambio en el servidor en cualquiera de sus GPO o su lista de GPO. Para poder instalar el software o redireccionar la carpeta, el procesamiento de directiva de grupo solo se produce durante el inicio o el inicio de sesión de un equipo.
Las opciones de la configuración de directiva de grupo se procesan en el siguiente orden:
GPO local: cada equipo tiene un objeto de directiva de grupo que se almacena de manera local. Este GPO se procesa para la directiva de grupo del equipo y del usuario.
Sitio: los GPO vinculados al sitio al cual pertenece el equipo se procesan a continuación. El procesamiento se completa en el orden especificado por el administrador, en la ficha Objetos de directiva de grupo vinculados del sitio en la Consola de administración de directivas grupo (GPMC). El GPO con el orden de vínculos más bajo se procesa en último lugar y tiene la máxima prioridad. Para más información sobre el uso de GPMC, vea la sección Herramientas de administración de directivas de grupo más adelante en este artículo.
Dominio: los GPO vinculados al sitio al que pertenece el equipo se procesan en el orden especificado por el administrador, en la ficha Objetos de directiva de grupo vinculados del sitio en la Consola de administración de directivas grupo (GPMC). El GPO con el orden de vínculos más bajo se procesa en último lugar y tiene la máxima prioridad.
Unidades organizativas: los GPO vinculados a la unidad organizativa que estén más arriba en la jerarquía de Active Directory se procesan en primer lugar y luego se procesan los GPO que están vinculados a su unidad organizativa secundaria, y así sucesivamente. Los GPO vinculados a la unidad organizativa que contiene el usuario o equipo se procesan en último lugar.
El orden de procesamiento está sujeto a las siguientes condiciones:
Instrumental de administración de Windows (WMI) o el filtrado de seguridad aplicado a GPO.
Es posible exigir cualquier GPO basado en un dominio (no un GPO local) con la opción Exigir para que su configuración de directivas no pueda sobrescribirse. Debido a que un GPO exigido se procesa en último lugar, ninguna otra configuración puede sobrescribir la configuración de ese GPO. Si existe más de un GPO exigido, la misma configuración de cada GPO puede establecerse en un valor diferente. En ese caso, el orden de vínculos de los GPO determina qué GPO contiene la configuración final.
En cualquier dominio o unidad organizativa, la herencia de directivas de grupo puede designarse de forma selectiva como Bloquear herencia. Sin embargo, como los GPO exigidos siempre se aplican y no pueden bloquearse, el bloqueo de la herencia no impide la aplicación de la configuración de directivas desde los GPO exigidos.
Directivas heredadas
La configuración de directivas vigente para un usuario y equipo es el resultado de la combinación de GPO aplicados en un sitio, dominio o unidad organizativa. Cuando se aplican varios objetos de directiva de grupo a los usuarios y equipos de esos contenedores de Active Directory, se agrega la configuración de los GPO. Normalmente, la configuración implementada en los GPO vinculados a contenedores primarios de Active Directory la heredan contenedores secundarios y se combina con la configuración implementada en GPO vinculados a los contenedores secundarios. Si varios GPO intentan establecer una configuración de directivas con valores en conflicto, el objeto de directiva de grupo con la prioridad más alta establece la configuración. Los GPO que se procesan posteriormente tienen prioridad sobre los GPO que se procesan anteriormente.
Procesamiento sincrónico y asincrónico
Los procesos sincrónicos se pueden describir como una serie de procesos en los que un proceso debe finalizar su ejecución antes de que comience el siguiente. Los procesos asincrónicos se pueden ejecutar en distintos subprocesos simultáneamente, dado que su resultado es independiente de otros procesos. Los administradores pueden usar una configuración de directivas para cada GPO con el fin de cambiar el comportamiento predeterminado del procesamiento para que dicho procesamiento sea asincrónico en lugar de sincrónico.
En el procesamiento sincrónico, hay un límite de tiempo de 60 minutos para la finalización del procesamiento de cualquier directiva de grupo que se ejecute en el equipo cliente. A las extensiones de cliente que no hayan acabado de procesarse después de 60 minutos se les indicará que se detengan. En este caso, es posible que la configuración de directiva correspondiente no se aplique totalmente.
Característica para la optimización del inicio de sesión rápido
La característica para la optimización del inicio de sesión rápido se establece de forma predeterminada para los miembros del dominio y del grupo de trabajo. El resultado es la aplicación asincrónica de la directiva cuando se inicia el equipo y cuando el usuario inicia sesión. Esta aplicación de la directiva es similar a una actualización en segundo plano. Puede reducir el tiempo que tarda en aparecer el cuadro de diálogo de inicio de sesión y el tiempo que tarda en estar disponible el escritorio para el usuario.
Los administradores pueden deshabilitar la característica para la optimización del inicio de sesión rápido con la configuración de directivas Esperar siempre la detección de red al inicio del equipo y de sesión, a la que se obtiene acceso en el nodo Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión del Editor de objetos de directiva de grupo.
Procesamiento de vínculos de baja velocidad
Algunas extensiones de directiva de grupo no se procesan cuando la velocidad de conexión cae por debajo de los umbrales especificados. De manera predeterminada, la directiva de grupo considera que un vínculo es de baja velocidad si su velocidad es inferior a los 500 kilobits por segundo (Kbps).
Intervalo de actualización de la directiva de grupo
La directiva de grupo se procesa de manera predeterminada cada 90 minutos, con un retraso aleatorio de hasta 30 minutos, para un intervalo de actualización máximo total de hasta 120 minutos.
Después de editar la configuración de la directiva de seguridad, la configuración de directivas de los equipos de la unidad organizativa a la que está vinculado el objeto de directiva de grupo se procesa siguiendo el orden siguiente:
Cuando un equipo se reinicia.
Cada 90 minutos en una estación de trabajo o servidor y cada 5 minutos en un controlador de dominio.
Nota
Normalmente, la configuración de la directiva de seguridad que aporta la directiva de grupo también se aplica cada 16 horas (960 minutos), incluso si no ha cambiado ningún objeto de directiva de grupo.
Desencadenar una actualización de la directiva de grupo
Los cambios realizados en el objeto de directiva de grupo se deben replicar en primer lugar en el controlador de dominio correspondiente. Por lo tanto, es posible que los cambios en la configuración de la directiva de grupo no estén disponibles inmediatamente en los escritorios de los usuarios. En algunos casos, como en la aplicación de la configuración de la directiva de seguridad, puede que sea necesario aplicar la configuración de directivas inmediatamente.
Los administradores pueden desencadenar una actualización de la directiva manualmente desde un equipo local sin tener que esperar a la actualización automática en segundo plano. Para ello, pueden escribir gpupdate en la línea de comandos para actualizar la configuración de directiva de usuario o equipo. No se puede usar GPMC para desencadenar una actualización de la directiva.
El comando gpupdate activa una actualización de directiva en segundo plano en el equipo local desde el que se ejecuta el comando. El comando gpupdate se usa en entornos de Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 y Windows Server 2012.
La aplicación de la directiva de grupo no puede insertarse en los clientes a petición desde el servidor.
Cambio del modo en el que la directiva de grupo procesa los GPO
El método principal para especificar qué usuarios y equipos reciben la configuración de un GPO es el vínculo de GPO a sitios, dominios y unidades organizativas.
Puede cambiar el orden predeterminado en el que se procesan los GPO usando cualquiera de los siguientes métodos:
Cambiar el orden de vínculos.
Bloquear la herencia.
Exigir un vínculo de GPO.
Deshabilitar un vínculo de GPO.
Usar filtrado de seguridad.
Usar filtro de Instrumental de administración de Windows (WMI).
Usar procesamiento de bucle invertido.
Cambiar el orden de vínculos
El orden de vínculos de GPO en un sitio, dominio o unidad organizativa controla cuándo se aplican los vínculos. Los administradores pueden cambiar la prioridad de un vínculo cambiando el orden de los vínculos, es decir, subiendo o bajando cada vínculo en la lista hasta la ubicación adecuada. El vínculo con el mayor orden (1 es el orden más alto) tiene la prioridad más alta para un sitio, dominio o unidad organizativa.
Bloquear la herencia
El uso del bloqueo de la herencia para un dominio o unidad organizativa impide que el contenedor de Active Directory de nivel secundario herede automáticamente los GPO vinculados a dominios, unidades organizativas o sitios más altos.
Exigir un vínculo de GPO
Puede especificar que la configuración de un vínculo de GPO tenga prioridad sobre la configuración de cualquier objeto secundario estableciendo ese vínculo en Exigido. Los vínculos de GPO que se exigen no se pueden bloquear desde el contenedor principal. Si los GPO contienen opciones de configuración en conflicto y no se exigen desde un contenedor de nivel superior, la configuración de los vínculos de GPO en el contenedor primario de nivel superior se sobrescribe con la configuración de los GPO vinculados a unidades organizativas secundarias. Al exigirse, el vínculo de GPO principal siempre tiene prioridad. Normalmente, los vínculos de GPO no se exigen.
Deshabilitar un vínculo de GPO
Puede bloquear totalmente la aplicación de un GPO para un sitio, dominio o unidad organizativa deshabilitando el vínculo de GPO para ese dominio, sitio o unidad organizativa. Esto no deshabilita el GPO. Si el GPO está vinculado a otros sitios, dominios o unidades organizativas, seguirán procesando el GPO si sus vínculos están habilitados.
Usar filtrado de seguridad
Este método se usa para reducir el ámbito de un GPO para que el GPO se aplique solo a un grupo, usuario o equipo. El filtrado de seguridad no puede usarse de forma selectiva en diferentes opciones de configuración dentro de un GPO.
El GPO se aplica a un usuario o equipo solo si ese usuario o equipo tienen los permisos de lectura y aplicación de directiva de grupo (AGP) en el GPO, de manera explícita o eficaz, a través de la pertenencia a grupos. De manera predeterminada, todos los GPO tienen establecida la opción de lectura y aplicación de directiva de grupo en Permitido para el grupo de usuarios autenticados, que incluye usuarios y equipos. Así es como todos los usuarios autenticados reciben la configuración de un nuevo GPO cuando el GPO se aplica a una unidad organización, un dominio o un sitio.
De manera predeterminada, los administradores del dominio, los administradores de empresas y el sistema local poseen permisos de control total, sin la entrada de control de acceso (ACE) Aplicar directiva de grupo. Los administradores también son miembros del grupo de usuarios autenticados. Esto significa que, de forma predeterminada, los administradores reciben la configuración del GPO. Estos permisos se pueden cambiar para limitar el ámbito a un conjunto específico de usuarios, grupos o equipos dentro del sitio, dominio o unidad organizativa.
La Consola de administración de directivas de grupo (GPMC) administra estos permisos como una sola unidad y muestra el filtrado de seguridad para el objeto de directiva de grupo en la ficha Ámbito de GPO. En GPMC, los grupos, usuarios y equipos se pueden agregar o quitar como filtros de seguridad para cada GPO.
Uso del filtrado de Instrumental de administración de Windows
El filtrado de WMI se usa para filtrar la aplicación de un GPO mediante la asociación de una consulta del lenguaje de consultas WMI (WQL) a un objeto de directiva de grupo. Las consultas se pueden usar para consultar varios elementos en WMI. Si una consulta devuelve el valor verdadero para todos los elementos consultados, el GPO se aplica al usuario o equipo de destino.
Un GPO está vinculado a un filtro WMI y se aplica en un equipo de destino, y el filtro se evalúa en el equipo de destino. Si el filtro WMI se considera falso, no se aplica el GPO (excepto que el equipo cliente esté ejecutando Windows 2000, en cuyo caso se omite el filtro y siempre se aplica el GPO). Si el filtro WMI se considera verdadero, se aplica el GPO.
El filtro WMI es un objeto independiente del GPO en el directorio. Un filtro WMI debe estar vinculado a un GPO para que pueda aplicarse, y un filtro WMI y el GPO al que está vinculado deben estar en el mismo dominio. Los filtros WMI se almacenan solo en dominios. Cada GPO puede tener un solo filtro WMI. El mismo filtro WMI se puede vincular a varios GPO.
Nota
Instrumental de administración de Windows (WMI) es la implementación de Microsoft de la iniciativa de administración de empresas basadas en Internet que establece los estándares de la infraestructura de la administración y le permite combinar la información de diversos sistemas de administración de hardware y software. WMI expone datos de configuración de hardware como la CPU, la memoria, el espacio en disco y el fabricante, así como datos de configuración del software de Registro, los controladores, el sistema de archivos, Active Directory, el servicio Windows Installer, la configuración de redes y los datos de las aplicaciones. Los datos de un equipo de destino se pueden usar con fines administrativos, como el filtrado de objetos de directiva de grupo de WMI.
Usar procesamiento de bucle invertido
Use esta característica para asegurarse de que se aplique un conjunto de opciones de configuración de directivas consistente a cualquier usuario que inicie sesión en un equipo específico, sin importar la ubicación del usuario en Active Directory.
El procesamiento de bucle invertido es una opción de configuración de directivas de grupo avanzada que resulta útil en equipos de algunos entornos administrados muy de cerca, como servidores, quioscos, laboratorios, aulas y áreas de recepción. La definición del bucle invertido hace que la configuración de directivas Configuración del usuario de los GPO que se aplican al equipo se aplique a cada usuario que inicie sesión en ese equipo, en lugar de (en el modo Reemplazar) o además de (en el modo Combinar) la configuración Configuración del usuario del usuario.
Para definir el procesamiento de bucle invertido, puede usar la configuración de directivas Modo de procesamiento de bucle invertido de directiva de grupo del usuario, a la cual se puede obtener acceso en Configuración del equipo\Plantillas administrativas\Sistema\Directiva de grupo en el Editor de objetos de directiva de grupo.
Para usar la característica de procesamiento de bucle invertido, la cuenta del equipo y la cuenta del usuario deben estar en un dominio que ejecute Windows Server 2003, Windows Server 2008 o Windows Server 2012. El procesamiento de bucle invertido no funciona para equipos que se unen a un grupo de trabajo.
Plantillas administrativas
La extensión de plantillas administrativas de una directiva de grupo consiste en un complemento del servidor MMC que se usa para definir la configuración de directivas y una extensión del cliente que define las claves de Registro en equipos de destino. La directiva de plantillas administrativas también se denomina directiva basada en el Registro o directiva del Registro.
Archivos de plantillas administrativas
Los archivos de plantillas administrativas son archivos XML que se componen de una jerarquía de categorías y subcategorías para definir cómo se muestran las opciones por medio del Editor de objetos de directiva de grupo y GPMC. También indican las ubicaciones de Registro que se ven afectadas por la configuración de directivas, entre las que se incluyen los valores predeterminados (no configurados), habilitados o deshabilitados de la configuración de directivas. Las plantillas están disponibles en dos versiones de archivos: .admx y .adml. Los archivos .adml son las versiones en idiomas específicos de los archivos .admx. Use los archivos .admx y .adml en equipos que ejecuten Windows Vista, Windows 7, Windows 8, Windows Server 2008 o Windows Server 2012.
La funcionalidad de los archivos de plantilla administrativa es limitada. El objetivo de los archivos de plantilla .admx o .adml es el de habilitar una interfaz de usuario para definir la configuración de directivas. Los archivos de plantilla administrativa no contienen la configuración de directivas. La configuración de directivas está en los archivos Registry.pol que están ubicados en la carpeta Sysvol de los controladores de dominio.
El complemento de servidor Plantillas administrativas ofrece un nodo llamado Plantillas administrativas que aparece en el Editor de objetos de directiva de grupo en el nodo Configuración del equipo y el nodo Configuración del usuario. La configuración incluida en Configuración del equipo manipula la configuración del Registro del equipo. La configuración incluida en Configuración del usuario manipula la configuración del Registro de los usuarios. Aunque algunas opciones de la configuración de directiva necesitan elementos de interfaz de usuario sencillos tales como cuadros de texto para especificar valores, la mayoría de las opciones de la configuración de directiva solo contienen las siguientes:
Habilitado: se exige esta directiva. Algunas opciones de configuración de directivas proporcionan opciones adicionales que definen el comportamiento cuando se activa la directiva.
Deshabilitado: exige el comportamiento opuesto como el estado Habilitado para la mayoría de las opciones de configuración de directivas. Por ejemplo, si Habilitado exige el estado de una directiva a Desactivado, Deshabilitado exige el estado de la característica a Activado.
No configurado: esta directiva no se exige. Este es el estado predeterminado de la mayoría de las opciones.
Los archivos de plantilla administrativa se almacenan en las ubicaciones del equipo local, tal como se muestra en la siguiente tabla.
| Tipo de archivo | Carpeta |
|---|---|
.admx |
%systemroot%\PolicyDefinitions |
.adml |
%systemroot%\PolicyDefinitions\<carpeta específica de idioma, por ejemplo, en-us> |
También puede almacenar y usar archivos.admx y .adml desde un almacén central en las carpetas del controlador de dominio, tal como se muestra en la siguiente tabla.
| Tipo de archivo | Carpeta |
|---|---|
.admx |
%systemroot%\sysvol\domain\policies\PolicyDefinitions |
.adml |
%systemroot%\sysvol\domain\policies\PolicyDefinitions\<carpeta específica de idioma, por ejemplo, en-us> |
Para más información sobre el almacenamiento y uso de las plantillas desde un almacén central, vea la sección sobre directiva de grupo y sysvol en la guía de planeación e implementación de la directiva de grupo.
Archivos de plantillas administrativas para Office 2013
Los archivos de plantillas administrativas específicos para Office 2013 están disponibles como una descarga independiente y le permiten hacer lo siguiente:
Controlar puntos de entrada a Internet desde las aplicaciones de Office 2013.
Administrar la seguridad en las aplicaciones de Office 2013.
Ocultar opciones y opciones de configuración que no son necesarias para que los usuarios puedan llevar a cabo sus tareas y que podrían distraerlos o llevarlos a realizar llamadas innecesarias solicitando asistencia.
Crear una configuración estándar altamente administrada en los equipos de los usuarios.
Para descargar las plantillas administrativas de Office 2013, vea Archivos de plantilla administrativa de la directiva de grupo (ADMX/ADML) y archivos de la Herramienta de personalización de Office (OCT) de Office 2013.
Las plantillas administrativas de Office 2013 son las que se muestran en la siguiente tabla.
| Aplicación | Archivos de plantillas administrativas |
|---|---|
Access 2013 |
access15.admx, access15.adml |
Excel 2013 |
excel15.admx, excel15.adml |
InfoPath 2013 |
inf15.admx, inf15.adml |
Lync 2013 |
lync15.admx, lync15.adml |
Office 2013 |
office15.admx, office15.adml |
OneNote 2013 |
onent15.admx, onent15.adml |
Outlook 2013 |
outlk15.admx, outlk15.adml |
PowerPoint 2013 |
ppt15.admx, ppt15.adml |
Project 2013 |
proj15.admx, proj15.adml |
Publisher 2013 |
pub15.admx, pub15.adml |
SharePoint Designer 2013 |
spd15.admx, spd15.adml |
Visio 2013 |
visio15.admx, visio15.adml |
Word 2013 |
word15.admx, word15.adml |
.gif "Importante") Importante: |
|---|
Puede usar una directiva de grupo para administrar las siguientes versiones de Office 2013:
|
Directivas verdaderas y preferencias de usuario
La configuración de directivas de grupo que los administradores pueden administrar totalmente se denomina directivas verdaderas. Las opciones de configuración que establecen los usuarios (pero que reflejan el estado predeterminado del sistema operativo en el momento de la instalación) se denominan preferencias. Tanto las directivas verdaderas como las preferencias contienen información que cambia el Registro de los equipos de los usuarios.
Directivas verdaderas
Los valores del Registro de las directivas verdaderas se almacenan en las claves del Registro aprobadas para la directiva de grupo. Los usuarios no pueden cambiar ni deshabilitar estas opciones de configuración:
Para la configuración de directivas de equipo:
HKEY_LOCAL_MACHINE\Software\Policies (la ubicación preferida)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Para la configuración de directiva de usuario:
HKEY_CURRENT_USER\Software\Policies (la ubicación preferida)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Para Office 2013, las directivas verdaderas se almacenan en las siguientes ubicaciones del Registro.
Para la configuración de directivas de equipo:
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0
Para la configuración de directiva de usuario:
- HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\15.0
Preferencias
Las preferencias las establecen los usuarios o el sistema operativo en el momento de la instalación. Los valores del Registro que almacenan las preferencias se encuentran fuera de las claves de la directiva de grupo aprobadas. Los usuarios pueden cambiar sus preferencias.
Si establece la configuración de las preferencias con un objeto de directiva de grupo, no tiene restricciones de lista de control de acceso del sistema (SACL). Por lo tanto, los usuarios pueden cambiar estos valores en el Registro. Cuando el GPO queda fuera del ámbito (si se desvincula, deshabilita o se elimina el GPO), estos valores no se extraen del Registro.
Para ver las preferencias en el Editor de objetos de directiva de grupo, elija sucesivamente el nodo Plantillas administrativas, Ver y Filtrado y después desactive la casilla Mostrar solo valores de directiva que pueden administrarse totalmente.
Herramientas de administración de directivas de grupo
Los administradores usan las siguientes herramientas para administrar la directiva de grupo:
Consola de administración de directiva de grupo: administra la mayoría de las tareas de administración de directivas de grupo.
Editor de objetos de directiva de grupo: define las opciones de configuración de directivas en los GPO.
Consola de administración de directivas de grupo
La Consola de administración de directivas de grupo (GPMC) simplifica la administración de la directiva de grupo proporcionando una única herramienta para administrar aspectos básicos de la directiva de grupo, como los ámbitos, la delegación, el filtrado y la manipulación de la herencia de GPO. También se puede usar GPMC para realizar copias de seguridad (exportar), restaurar, importar y copiar GPO. Los administradores pueden usar GPMC para predecir cómo afectarán los GPO a la red y para determinar cómo los GPO han cambiado la configuración en un equipo o usuario. GMPC es la herramienta preferida para administrar la mayoría de las tareas de directiva de grupo en un entorno de dominio.
GPMC proporciona una vista de GPO, sitios, dominios y unidades organizativas en una empresa y puede usarse para administrar dominios de Windows Server 2003, Windows Server 2008, Windows Server 2012. Los administradores usan GPMC para realizar todas las tareas de administración de directiva de grupo, con la excepción de la definición de opciones de configuración de directivas individuales en objetos de directiva de grupo. Esto se realiza con el Editor de objetos de directiva de grupo, que puede abrir dentro de GPMC.
Los administradores usan GPMC para crear un GPO sin ninguna configuración inicial. Un administrador también puede crear un GPO y vincularlo a un contenedor de Active Directory al mismo tiempo. Para establecer opciones de configuración individuales dentro de un GPO, un administrador modifica el GPO con el Editor de objetos de directiva de grupo desde GPMC. El Editor de objetos de directiva de grupo se muestra con el GPO cargado.
Un administrador puede usar GPMC para vincular GPO a sitios, dominios o unidades organizativas en Active Directory. Los administradores deben vincular GPO para aplicar la configuración a los usuarios y equipos de los contenedores de Active Directory.
GPMC incluye las siguientes características del conjunto resultante de directivas (RSoP) que ofrece Windows:
Modelación de directivas de grupo. Simula qué opciones de configuración de directivas se aplican en circunstancias especificadas por un administrador. Los administradores pueden usar la modelación de directivas de grupo para simular los datos de RSoP que se aplicarían para una configuración existente o pueden analizar los efectos de cambios simulados e hipotéticos en su entorno de directorio..
Resultados de directivas de grupo. Representa los datos reales de la directiva que se aplican a un equipo y un usuario. Los datos se obtienen consultando en el equipo de destino y con la recuperación de los datos de RSoP que se aplicaron a ese equipo. La capacidad de resultados de directivas de grupo la proporciona el sistema operativo cliente y necesita Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 o Windows Server 2012.
Editor de objetos de directiva de grupo
El Editor de objetos de directiva de grupo es un complemento de MMC que se usa para definir las opciones de configuración de directivas en los GPO. El Editor de objetos de directiva de grupo se encuentra en gpedit.dll y se instala con los sistemas operativos: Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 y Windows Server 2012
Para configurar las opciones de configuración de directivas de grupo para un equipo local que no sea miembro de un dominio, use el Editor de objetos de directiva de grupo para administrar un GPO local (o varios GPO en equipos que ejecuten Windows Vista, Windows 7, Windows 8, Windows Server 2008 o Windows Server 2012). Para configurar las opciones de configuración directivas de grupo en un entorno de dominio, GPMC (que invoca al Editor de objetos de directiva de grupo) es la herramienta preferida para las tareas de administración de la directiva de grupo.
El Editor de objetos de directiva de grupo proporciona a los administradores una estructura de árbol jerárquica para definir opciones de configuración de directivas de grupo en los GPO, y consiste en los siguientes nodos principales:
Configuración de usuario: contiene opciones de configuración que se aplican a los usuarios cuando éstos inician sesión y actualizaciones periódicas en segundo plano.
Configuración de equipo: contiene opciones de configuración que se aplican a los equipos en el inicio y actualizaciones periódicas en segundo plano.
Los nodos principales se dividen a su vez en carpetas que contienen los distintos tipos de opciones de configuración de directivas que se pueden configurar. Entre estas carpetas se incluyen:
Configuración de software, que contiene opciones de configuración de instalación de software
Configuración de Windows, que contiene opciones de configuración de seguridad y opciones de configuración de directivas de scripts
Plantillas administrativas, que contiene opciones de configuración de directivas basadas en el Registro.
Requisitos del sistema para GPMC y el Editor de objetos de directiva de grupo
El Editor de objetos de directiva de grupo forma parte de GPMC y se invoca cuando edita un GPO. Puede ejecutar GPMC en Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server 2003, Windows Server 2008 y Windows Server 2012. Los requisitos varían en función del sistema operativo Windows de la siguiente manera:
GPMC forma parte del sistema operativo Windows Vista. Pero si instaló Service Pack 1 o Service Pack 2 en Windows Vista, GPMC se elimina. Para volver a instalarlo, instale las Herramientas de administración remota del servidor de Microsoft para Windows Vista.
GPMC se incluye con Windows Server 2008 y Windows Server 2012. No obstante, tenga en cuenta que esta característica not se instala junto con el sistema operativo. Use el Administrador del servidor para instalar GPMC. Para obtener información sobre la instalación de GPMC, vea el tema acerca de cómo instalar GPMC.
Para instalar GPMC en Windows 7, instale las Herramientas de administración remota del servidor para Windows 7.
Para instalar GPMC en Windows 8, instale las Herramientas de administración remota del servidor para Windows 8.
Para instalar GPMC en Windows XP o Windows Server 2003, instale la Consola de administración de directivas de grupo con Service Pack 1.
Para obtener más información acerca de cómo usar GPMC y el Editor de objetos de directiva de grupo, vea Exigir una configuración usando la directiva de grupo en Office 2010.
Herramienta de personalización de Office y directiva de grupo
Los administradores pueden usar la Herramienta de personalización de Office (OCT) o la directiva de grupo para personalizar las opciones de configuración del usuario para las aplicaciones de Office 2013.
Herramienta de personalización de Office: se usa para crear un archivo de personalización del programa de instalación (archivo .msp). Los administradores pueden usar OCT para personalizar características y configurar opciones de usuario. Los usuarios pueden cambiar la mayor parte de las opciones de configuración después de la instalación. Esto se debe a que OCT configura las opciones en partes del Registro públicamente accesibles, como HKEY_CURRENT_USER/Software/Microsoft/Office/15.0. Esta herramienta suele usarse en organizaciones que no administran las configuraciones de escritorio de forma centralizada. Para más información, vea Referencia de la herramienta de personalización de Office (OCT) para Office 2013.
Directiva de grupo: se usa para definir las opciones de configuración de directivas de Office 2013 incluidas en las plantillas administrativas. El sistema operativo exige esas opciones de configuración de directivas. En un entorno de Active Directory, los administradores pueden aplicar opciones de configuración de directivas en grupos de usuarios y equipos de un sitio, dominio o unidad organizativa a los que esté vinculado un GPO. La configuración de directivas verdaderas se escribe en las claves del Registro aprobadas para la directiva, y esta configuración tiene restricciones de SACL que impiden que los usuarios que no sean administradores la cambien. Los administradores pueden usar la directiva de grupo para crear configuraciones de escritorio con un alto nivel de administración. También pueden crear configuraciones con un bajo nivel de administración para satisfacer los requisitos empresariales y de seguridad de sus organizaciones. Para más información sobre la OCT, vea Referencia de la herramienta de personalización de Office (OCT) para Office 2013.
Consulte también
Planear la directiva de grupo para Office 2013
Usar Directiva de grupo para deshabilitar los elementos de la interfaz de usuario y las teclas de método abreviado en Office 2013
Archivos de plantilla administrativa de la directiva de grupo (ADMX/ADML) y archivos de la Herramienta de personalización de Office (OCT) de Office 2013
Directiva de grupo de Windows Server
Guía de planeación e implementación de directivas de grupo