Directiva de grupo para principiantes

Actualizado: abril de 2011

Se aplica a: Windows 7

Si es usted un profesional de TI que no ha usado nunca una directiva de grupo para controlar las configuraciones de los equipos, estas notas del producto son para usted. La directiva de grupo es la forma esencial en que la mayoría de las organizaciones configuran sus equipos. Es lo suficientemente flexible para satisfacer los escenarios más complejos; no obstante, las características esenciales son fáciles de usar en escenarios simples, que son los más comunes.

Este documento de notas del producto es una introducción a la directiva de grupo. Primero proporciona una visión general de lo que puede realizar con la directiva de grupo y, después, describe conceptos básicos que debe saber. Por ejemplo, ¿qué es un objeto de directiva de grupo (GPO)? ¿Qué significa herencia? Estas notas del producto ofrecen instrucciones paso a paso, con multitud de capturas de pantalla, para la realización de las tareas más comunes de la directiva de grupo.

noteNota
Esta guía está destinada a principiantes que no conocen la directiva de grupo. Siempre que es posible, utiliza un lenguaje sencillo para describir conceptos de la directiva de grupo. Los usuarios profesionales de la directiva de grupo deberían consultar la guía de planeación e implementación de directivas de grupo en TechNet, donde encontrarán información más detallada técnicamente.

Para obtener una versión descargable de este documento, vea la página sobre la directiva de grupo para principiantes en el Centro de descargas de Microsoft.

Información general de directiva de grupo

La directiva de grupo es simplemente la forma más sencilla de alcanzar y configurar opciones de usuario y de equipo en redes basadas en Servicios de dominio de Active Directory (AD DS). Si su empresa no utiliza la directiva de grupo, se está perdiendo una gran oportunidad de reducir costes, controlar configuraciones, mantener a los usuarios productivos y felices, y mejorar la seguridad. Piense en la directiva de grupo como una forma de "tocar uno, configurar muchos".

Los requisitos para usar la directiva de grupo y las instrucciones de este documento de notas del producto son claros y precisos:

  • La red debe basarse en AD DS (es decir, al menos un servidor debe tener instalado el rol AD DS). Para obtener más información acerca de AD DS, vea el tema de introducción a los Servicios de dominio de Active Directory en TechNet.

  • Los equipos que desee administrar deben estar unidos al dominio, y los usuarios que desee administrar deben usar credenciales de dominio para iniciar sesión en sus equipos.

  • Debe tener permiso para editar la directiva de grupo en el dominio.

Aunque estas notas del producto se centran en el uso de la directiva de grupo en AD DS, también puede configurar la directiva de grupo localmente en cada equipo. Esta capacidad es estupenda en escenarios excepcionales o equipos de grupo de trabajo, pero no se recomienda el uso de la directiva de grupo local en redes de empresa basadas en AD DS. El motivo es simple: la directiva de grupo basada en dominio centraliza la administración, de forma que puede tocar muchos equipos desde un mismo lugar. La directiva de grupo local requiere que toque cada equipo, lo que no es un escenario ideal en un entorno de gran tamaño. Para obtener más información acerca de la configuración de la directiva de grupo local, vea el artículo sobre el editor de directivas de grupo local en TechNet.

Windows 7 utiliza la configuración de la directiva que definió mediante el uso de la directiva de grupo. En la mayoría de los casos, deshabilita la interfaz de usuario para dicha configuración. Además, debido a que Windows 7 almacena las opciones de configuración de la directiva de grupo en ubicaciones seguras del Registro, las cuentas de usuario estándar no pueden cambiar dichas opciones. Por ello, si toca un valor una vez, puede configurar y aplicar dicho valor en muchos equipos. Cuando un valor ya no es aplicable a un equipo o usuario, la directiva de grupo elimina el valor de la directiva: restaura el valor original y habilita su interfaz de usuario. La funcionalidad es bastante sorprendente y extremadamente potente.

noteNota
Las cuentas de usuario estándar son cuentas de usuario que pertenecen al grupo de usuarios local y no al grupo de administradores local. Tienen una capacidad limitada de configurar el sistema. Windows 7 admite las cuentas de usuario estándar mejor que versiones anteriores de Windows. Permite que estas cuentas cambien la zona horaria, instalen impresoras, reparen conexiones de red, etc. La implementación de cuentas de usuario estándar es una buena práctica. Y es tan simple como no agregar cuentas de usuario al grupo de administradores local. Windows 7 agrega automáticamente el grupo Usuarios del dominio al grupo Usuarios local cuando une el equipo al dominio.

Conceptos esenciales de la directiva de grupo

Puede administrar todos los aspectos de la directiva de grupo mediante la Consola de administración de directivas de grupo (GPMC). La figura 1 muestra la GPMC y este documento de notas del producto se referirá a esta figura muchas veces mientras le va mostrando conceptos importantes de la directiva de grupo.

Captura de pantalla

Figura 1. Consola de administración de directivas de grupo

GPMC se abre desde el menú Inicio. Haga clic en Inicio, Todos los programas, Herramientas administrativas, Administración de directivas de grupo. También puede hacer clic en Inicio, escribir Administración de directivas de grupo y, luego, hacer clic en Administración de directivas de grupo en la sección Programas del menú Inicio. Windows Server 2008 y Windows Server 2008 R2 incluyen GPMC cuando ejecutan el rol AD DS. Si no, puede instalar GPMC en Windows Server 2008, Windows Server 2008 R2 o Windows 7 tal como se describe en la sección “Instalación de GPMC en Windows 7”, más adelante en este documento.

Objetos de directiva de grupo

Los GPO contienen configuraciones de directiva. Puede pensar en un GPO como en un documento de directiva que aplica sus opciones de configuración a los equipos y a los usuarios sobre los que ejerce control. Si un GPO es un documento de directiva, GPMC es como el Explorador de Windows. GPMC se utiliza para crear, mover y eliminar los GPO de la misma forma que el Explorador de Windows se utiliza para crear, mover y eliminar archivos.

En GPMC, verá todos los GPO del dominio en la carpeta de objetos de directiva de grupo. En la figura 1, el número 1 muestra tres GPO para el dominio corp.contoso.com. Estos GPO son:

  • Accounting Security (Seguridad de cuentas). Se trata de un GPO personalizado creado específicamente para Contoso, Ltd.

  • Default Domain Controller Policy (Directiva predeterminada de controladores de dominio). La instalación del rol de servidor AD DS crea esta directiva de forma predeterminada. Contiene opciones de configuración de directiva que se aplican específicamente a controladores de dominio.

  • Default Domain Policy (Directiva predeterminada de dominios). La instalación del rol de servidor AD DS crea esta directiva de forma predeterminada. Contiene las opciones de configuración de directiva que se aplican a todos los equipos y usuarios del dominio.

Vínculos de directiva de grupo

En el nivel superior de AD DS se encuentran los sitios y los dominios. Las implementaciones simples tendrán un solo sitio y un solo dominio. Dentro de un dominio, puede crear unidades organizativas (OU). Las OU son como carpetas en el Explorador de Windows. En lugar de contener archivos y subcarpetas, contienen equipos, usuarios y otros objetos.

Por ejemplo, en la figura 1 verá una OU llamada Departments (Departamentos). Debajo de esta unidad organizativa de Departments, verá cuatro subcarpetas: Accounting (Finanzas), Engineering (Ingeniería), Management (Administración) y Marketing. Se trata de OU secundarias. Aparte de la OU Domain Controllers (Controladores de dominio) que ve en esta figura 1, nada más en esta figura es una OU.

¿Qué tiene esto que ver con los vínculos de la directiva de grupo? Los GPO en la carpeta de objetos de directiva de grupo no tienen ningún impacto, a no ser que los vincule a un sitio, un dominio o una OU. Cuando vincula un GPO a un contenedor, la directiva de grupo aplica la configuración del GPO a los equipos y usuarios en ese contenedor. En la figura 1, el número 1 señala dos GPO vinculados a unidades organizativas:

  • El primer GPO se llama Default Domain Policy (Directiva predeterminada de dominios) y está vinculado al dominio corp.contoso.com. Este GPO se aplica a cada equipo y usuario en el dominio.

  • El segundo GPO se llama Accounting Security (Seguridad de cuentas) y está vinculado a la OU llamada Accounting (Finanzas). Este GPO se aplica a cada equipo y usuario en la OU de Accounting.

En GPMC, puede crear los GPO en la carpeta de objetos de directiva de grupo y, a continuación, vincularlos (dos pasos). También puede crear y vincular un GPO en un paso. En la mayoría de los casos, simplemente creará y vinculará un GPO en un solo paso, que se describe más adelante en este documento, en la sección "Creación de un GPO".

Herencia de directiva de grupo

Tal y como se sugirió en la sección anterior, cuando vincule un GPO a un dominio, el GPO se aplicará a los equipos y usuarios en cada OU y OU secundaria del dominio. De forma similar, cuando vincule un GPO a una OU, el GPO se aplicará a los equipos y usuarios en cada OU secundaria. Este concepto se conoce como herencia.

Por ejemplo, si crea un GPO llamado Windows Firewall Settings (Configuración de Firewall de Windows) y lo vincula al dominio corp.contoso.com en la figura 1, la configuración en dicho GPO se aplicará a todas las OU que ve en la figura: Departments, Accounting, Engineering, Management, Marketing y Domain Controllers. Si en lugar de eso, vincula el GPO a la OU Departments, la configuración en el GPO se aplicará solamente a las OU Departments, Accounting, Engineering, Management y Marketing. No se aplicará a todo el dominio o a la OU Domain Controllers. Si bajamos un nivel y vinculamos el mismo GPO a la OU Accounting en la figura 1, la configuración en el GPO se aplicará solamente a la OU Accounting, ya que no tiene ninguna OU secundaria. En GPMC, puede ver los GPO que hereda un contenedor si hace clic en la pestaña Group Policy Inheritance (Herencia de directivas de grupo) (número 1 en la figura 2).

Captura de pantalla

Figura 2. Herencia y precedencia de directivas de grupo

¿Qué ocurriría si varios GPO tuvieran la misma configuración? Aquí es donde el orden de precedencia entra en juego. En general, el orden en que la directiva de grupo aplica los GPO determina la precedencia. El orden es sitio, dominio, OU y OU secundarias. Como resultado, los GPO en las OU secundarias tienen una mayor precedencia que los GPO vinculados a las OU principales, que tienen una mayor precedencia que los GPO vinculados al dominio, que tienen una mayor precedencia que los GPO vinculados al sitio. Una manera sencilla de pensar en esto es que la directiva de grupo aplica los GPO de arriba abajo y va sobrescribiendo las opciones de configuración. En escenarios más avanzados, no obstante, se puede invalidar el orden de precedencia.

También puede tener (dentro de una sola OU) varios GPO con la misma configuración. Como antes, el orden en que la directiva de grupo aplica los GPO determina el orden de precedencia. En la figura 2, verá dos GPO vinculados al dominio corp.contoso.com: Windows Firewall Settings (Configuración de Firewall de Windows) y Default Domain Policy (Directiva predeterminada de dominios). La directiva de grupo aplica los GPO con un orden de vínculo inferior después de aplicar los GPO con un orden de vínculo mayor. En este caso, se aplicará Windows Firewall Settings después de Default Domain Policy. Recuerde que un orden de vínculo de 1 es primera prioridad y un orden de vínculo de 2 es segunda prioridad. Para cambiar el orden de vínculo de un contenedor, haga clic en las flechas arriba y abajo tal como muestra el número 2 en la figura 2.

noteNota
Ya se habrá dado cuenta de que la directiva de grupo es una herramienta muy versátil. Sin embargo, la directiva de grupo ofrece la oportunidad de realizar cosas demasiado complicadas. En entornos simples, como laboratorios o pequeñas empresas, no hay nada malo en vincular todos los GPO al dominio. Hágalo de forma sencilla. Debe haber una justificación para la complicación. En la figura 1, si deseaba crear un GPO y vincularlo solamente a las OU Engineering y Marketing, la justificación sería que el GPO contendría opciones de configuración aplicables solamente a esos dos departamentos y no deberían aplicarse a ningún otro. Si no tiene esta justificación, no complique las cosas y vincule el GPO una vez al dominio.

Configuración de directiva de grupo

En este punto, ya tiene información acerca de los GPO. Ya sabe que GPMC es para los GPO y las OU como el Explorador de Windows es para los archivos y las carpetas. Los GPO son documentos de directivas. En algún momento, no obstante, tendrá que editar uno de esos documentos y el editor que usará es el Editor de administración de directivas de grupo (GPME), que muestra la figura 3. Para abrir un GPO en GPME, haga clic con el botón secundario en GPMC y luego haga clic en Editar. Cuando acabe, simplemente cierre la ventana. GPME guarda los cambios automáticamente, por lo que no es necesario que guarde.

Captura de pantalla

Figura 3. Editor de administración de directivas de grupo

En la figura 3, los números 1 y 2 señalan Computer Configuration (Configuración del equipo) y User Configuration (Configuración de usuario) respectivamente. La carpeta de configuración del equipo contiene las opciones de configuración para aplicar a los equipos, sin tener en cuenta los usuarios que se conectan a ellos. Estas opciones suelen ser opciones de seguridad y del sistema que configuran y controlan el equipo. La carpeta de configuración de usuario contiene las opciones de configuración para aplicar a los usuarios, sin tener en cuenta los equipos que usen. Estos valores suelen afectar la experiencia del usuario.

Dentro de las carpetas de configuración del equipo y de configuración de usuario, verá dos subcarpetas (números 3 y 4 en la figura 3):

  • Policies (Directivas). Esta carpeta contiene opciones de configuración de directiva que aplica la directiva de grupo.

  • Preferences (Preferencias). Esta carpeta contiene opciones de preferencia que puede usar para cambiar casi cualquier opción del Registro (configuración, archivo, carpeta, etc.). Mediante el uso de estas opciones de preferencia, puede configurar aplicaciones y características de Windows que no reconozca la directiva de grupo. Por ejemplo, puede crear una opción de preferencia que configure un valor del Registro para una aplicación de terceros, que elimine la carpeta Imágenes de muestra de los perfiles de usuario o que configure un archivo .ini. También puede elegir si la directiva de grupo aplica cada opción de preferencia o no. No obstante, las cuentas de usuario estándar pueden cambiar la mayoría de las opciones de preferencia que defina en la carpeta de configuración de usuario entre actualizaciones de la directiva de grupo. Para obtener más información acerca de las opciones de preferencia, lea el artículo sobre preferencias de directiva de grupo.

Cuando aprende a usar la directiva de grupo por primera vez, la mayoría de las opciones que configura estarán en las carpetas de Administrative Templates (Plantillas administrativas). Se trata de configuraciones de directiva basadas en el Registro que implementa la directiva de grupo. Son diferentes de otras configuraciones de directiva por dos motivos. Primero, la directiva de grupo almacena estas opciones en ubicaciones específicas del Registro, llamadas ramas de directivas, que las cuentas de usuario estándar no pueden cambiar. Las características y aplicaciones de Windows que no reconoce la directiva de grupo buscan estas opciones en el Registro. Si las encuentran, usarán estas configuraciones de directiva en lugar de las configuraciones habituales. A menudo también deshabilitan la interfaz de usuario de dichas opciones.

Segundo, los archivos de plantillas administrativas, con la extensión .admx, definen plantillas para estas opciones de configuración. Estas plantillas no solo definen el lugar del Registro al que van las configuraciones de directiva, sino que también describen cómo solicitarlas en GPME. En la opción de directiva de grupo que muestra la figura 4, por ejemplo, un archivo de plantilla administrativa define el texto de ayuda, las opciones disponibles, los sistemas operativos compatibles, etc.

Captura de pantalla

Figura 4. Configuración de directiva de grupo

Cuando modifica una opción de configuración de directiva, suele enfrentarse a las opciones indicadas por los números 1 al 3 en la figura 4. En general, si hace clic en:

  • Enabled (Habilitado) escribe la configuración de directiva en el Registro con un valor que la habilita.

  • Disabled (Deshabilitado) escribe la configuración de directiva en el Registro con un valor que la deshabilita.

  • Not Configured (No configurado) deja la configuración de directiva sin definir. La directiva de grupo no escribe la configuración de directiva en el Registro, por lo que no existe un impacto en los equipos o los usuarios.

No se puede generalizar sobre lo que significa habilitado y deshabilitado en todas las configuraciones de directiva. Normalmente podrá leer el texto de ayuda, mostrado en el número 5, para determinar exactamente el significado de esas opciones. Debe poner especial atención en leer el nombre de la configuración de directiva. Por ejemplo, algunas configuraciones de directiva dicen "Activar característica X", mientras que otras dicen "Desactivar característica Y", por lo que las opciones de habilitado y deshabilitado tienen significados diferentes en cada caso. Hasta que se sienta cómodo con esto, asegúrese de leer el texto de ayuda de las configuraciones de directiva que configure.

Algunas configuraciones de directiva tienen opciones adicionales que puede configurar. El número 4 en la figura 4 muestra las opciones disponibles para la configuración de directiva de intervalo de actualización de la directiva de grupo. En la mayoría de los casos, los valores predeterminados coinciden con los valores predeterminados de Windows. Asimismo, el texto de ayuda suele dar información detallada acerca de las opciones que puede configurar.

Actualización de la directiva de grupo

Tal como vio en la sección anterior, los GPO contienen valores de configuración de equipo y de usuario. La directiva de grupo se aplica a:

  • La configuración del equipo cuando se inicia Windows

  • La configuración del usuario una vez que inicia sesión en el equipo

La directiva de grupo también actualiza los GPO de forma regular, y se asegura de aplicar los GPO nuevos y cambiados sin esperar a que el equipo se reinicie o el usuario cierre sesión. El periodo de tiempo entre estas actualizaciones se llama intervalo de actualización de la directiva de grupo y el valor predeterminado es de 90 minutos con un poco de azar para evitar que todos los equipos se actualicen al mismo tiempo. Si cambia un GPO en mitad del día, la directiva de grupo aplicará los cambios en unos 90 minutos. No tiene que esperar al final del día, cuando los usuarios han cerrado sesión o han reiniciado sus equipos. En escenarios avanzados, puede cambiar el intervalo de actualización predeterminado.

noteNota
Puede actualizar manualmente la directiva de grupo en cualquier momento con el comando Gpupdate.exe. Por ejemplo, una vez actualizado un GPO, es posible que desee actualizar la directiva de grupo en un equipo para poder probar los cambios sin necesidad de esperar al intervalo de actualización de la directiva de grupo. Para obtener instrucciones paso a paso, vea la sección "Actualización de clientes", más adelante en este documento.

Tareas esenciales de la directiva de grupo

Ya conoce los conceptos esenciales de la directiva de grupo. Ya sabe que un GPO es como un documento que contiene configuraciones de directiva. Sabe que los GPO se administran con GPMC y se modifican con GPME.

También sabe que los GPO se vinculan a unidades organizativas (OU), dominios y sitios de AD DS para aplicar las configuraciones de esos GPO a dichos contenedores. Los dominios, las OU y las OU secundarias heredan las configuraciones de sus valores principales, pero las configuraciones duplicadas en los GPO vinculados a OU secundarias tienen precedencia sobre las mismas configuraciones en los GPO vinculados a OU principales, que, a su vez, tienen precedencia sobre los GPO vinculados al dominio, y así sucesivamente.

También sabe que dentro de un sitio, un dominio o una OU, el orden de vínculos determina el orden de precedencia (cuanto menor sea el número, mayor será la precedencia). Por último, tiene un conocimiento básico de cómo editar los GPO y los tipos de configuraciones que contienen.

Ahora que conoce los conceptos esenciales, está preparado para conocer las tareas esenciales. En esta sección se describe cómo crear, editar y eliminar los GPO. También se describen muchas otras tareas. Para cada tarea, encontrará una explicación de su objetivo e instrucciones paso a paso con capturas de pantalla de cada paso.

noteNota
Una característica de Microsoft Desktop Optimization Pack (MDOP) llamada Administración avanzada de directivas de grupo (AGPM) amplía la directiva de grupo con nuevas capacidades, como la edición sin conexión, el control de versiones y la delegación basada en roles. Cualquier organización se puede beneficiar del uso de AGPM en la administración de la directiva de grupo. Para obtener más información acerca de AGPM, vea el sitio sobre la mejora de la directiva de grupo a través de la administración de cambios.

Creación de un GPO

Un GPO se crea mediante GPMC. Existen dos formas de crear un GPO:

  • Crear y vincular un GPO en un paso.

  • Crear un GPO en la carpeta de objetos de directiva de grupo y, luego, vincularlo al dominio o unidad organizativa.

Las instrucciones de esta sección describen cómo crear y vincular un GPO en un solo paso.

Puede comenzar con un GPO vacío, que es lo que describen las instrucciones, o utilizar un GPO de inicio. Los GPO de inicio constituyen un tema avanzado del que puede obtener más información en el artículo sobre trabajo con GPO de inicio.

Para crear y vincular un GPO en el domino o una OU

 

1

En GPMC, haga clic con el botón secundario en el dominio o la OU donde desee crear y vincular un GPO. Luego, haga clic en Create a GPO in this domain, and Link it here (Crear un GPO en este dominio y vincularlo aquí).

Captura de pantalla

2

En el cuadro Name (Nombre) del cuadro de diálogo New GPO (Nuevo GPO), escriba un nombre descriptivo para el GPO y haga clic en OK (Aceptar).

Captura de pantalla

Edición de un GPO

En GPMC, puede abrir los GPO en GPME para editarlos dentro de cualquier contenedor. Para ver todos los GPO, independientemente de dónde se vinculen, utilice la carpeta de objetos de directiva de grupo, donde podrá editarlos.

Para editar un GPO en el dominio, una OU o la carpeta de objetos de directiva de grupo

 

1

En el panel izquierdo de GPMC, haga clic en Group Policy objects (Objetos de directiva de grupo) para mostrar todos los GPO del dominio en el panel derecho. También puede hacer clic en el dominio o cualquier OU para mostrar los GPO de ese contenedor en el panel derecho.

Captura de pantalla

2

En el panel derecho de GPMC, haga clic con el botón secundario en el GPO que desee editar y haga clic en Edit (Editar) para abrir el GPO en GPME.

Captura de pantalla

3

En GPME, modifique las configuraciones de directiva de grupo que desee cambiar y cierre la ventana del editor cuando haya acabado. No es necesario que guarde los cambios, ya que GPME los guarda automáticamente.

Captura de pantalla

Vinculación de un GPO

Si crea y vincula los GPO en un paso, no tendrá que vincularlos manualmente al dominio o unidades organizativas. No obstante, si crea un GPO en la carpeta de objetos de directiva de grupo o desvincula un GPO y quiere restaurarlo, tendrá que vincular manualmente el GPO. La forma más sencilla de vincular un GPO es arrastrarlo desde la carpeta de objetos de directiva de grupo y soltarlo en el dominio o la OU donde desee vincularlo.

Para vincular un GPO a un dominio o unidad organizativa

 

1

En GPMC, haga clic con el botón secundario en el domino o la OU donde desee vincular el GPO y, a continuación, haga clic en Link an Existing GPO (Vincular un GPO existente).

Captura de pantalla

2

En el cuadro de diálogo Select GPO (Seleccionar GPO), haga clic en el GPO que desee vincular al dominio o la OU y, a continuación, haga clic en OK (Aceptar).

Captura de pantalla

Desvinculación de un GPO

Un GPO se desvincula cuando ya no desea aplicarlo al dominio o la OU (o sus OU secundarias). Podrá restaurar el vínculo más tarde, tal como se describe en la sección “Vinculación de un GPO”.

Al desvincular un GPO de un dominio o una OU no se elimina el GPO. Solo se elimina el vínculo. Una vez desvinculado un GPO, aún podrá encontrarlo en la carpeta de objetos de directiva de grupo en GPMC.

Para desvincular un GPO de un dominio o unidad organizativa

 

1

En GPMC, haga clic en el dominio o la OU que contiene el GPO que desee desvincular.

Captura de pantalla

2

Haga clic con el botón secundario en el GPO que desee desvincular del dominio o de una OU y, a continuación, haga clic en Delete (Eliminar).

Captura de pantalla

3

En el cuadro de diálogo Group Policy Management (Administración de directivas de grupo), haga clic en OK (Aceptar).

Captura de pantalla

Eliminación de un GPO

Eliminar un GPO no es lo mismo que desvincularlo de un dominio o una OU. Los GPO se eliminan en la carpeta de objetos de directiva de grupo. Al hacerlo se están eliminando los vínculos y el GPO.

noteNota
Considere la opción de hacer una copia de seguridad del GPO antes de eliminarlo. La sección “Copia de seguridad de un GPO” describe cómo hacerlo. La sección “Restauración de un GPO” describe como restaurarlo a partir de la copia de seguridad.

Para eliminar un GPO de la carpeta de objetos de directiva de grupo

 

1

En GPMC, haga clic en la carpeta Group Policy objects (Objetos de directiva de grupo).

Captura de pantalla

2

En el panel derecho de GPMC, haga clic con el botón secundario en el GPO que desee eliminar y, a continuación, haga clic en Delete (Eliminar).

Captura de pantalla

3

En el cuadro de diálogo Group Policy Management (Administración de directivas de grupo), haga clic en Yes (Sí) para confirmar que desea eliminar el GPO y sus vínculos.

Captura de pantalla

4

En el cuadro de diálogo Delete (Eliminar), confirme que se ha eliminado correctamente y haga clic en OK (Aceptar).

Captura de pantalla

Actualización de clientes

Mientras edita, prueba o soluciona problemas de los GPO, no es necesario que espere al intervalo de actualización de la directiva de grupo (90 minutos de forma predeterminada). Puede actualizar manualmente la directiva de grupo en cualquier equipo cliente mediante la ejecución de Gpupdate.exe. Gpupdate.exe admite muchas opciones de la línea de comandos, de las que podrá obtener información si escribe gpupdate.exe /? en una ventana del símbolo del sistema. Sin embargo, en la mayoría de los casos puede seguir las instrucciones de esta sección para actualizar la directiva de grupo.

Para actualizar manualmente una directiva de grupo con Gpupdate.exe

 

1

Haga clic en Inicio, escriba cmd y presione Entrar para abrir una ventana del símbolo del sistema.

Captura de pantalla

2

En el símbolo del sistema, escriba gpupdate y presione Entrar. Gpupdate.exe actualizará cualquier configuración cambiada. Puede forzar a Gpupdate.exe para que actualice todas las configuraciones, hayan cambiado recientemente o no. Para ello, escriba gpupdate /force y presione Entrar.

Captura de pantalla

Copia de seguridad de un GPO

La copia de seguridad de archivos importantes es una buena práctica, y los GPO no son una excepción. Si por error cambia o elimina accidentalmente un GPO, podrá restaurarlo rápidamente a partir de una copia de seguridad. Mediante GPMC, podrá hacer una copia de seguridad de los GPO en cualquier ubicación.

Para hacer una copia de seguridad de un GPO en una carpeta

 

1

En GPMC, haga clic en la carpeta Group Policy objects (Objetos de directiva de grupo).

Captura de pantalla

2

Haga clic con el botón secundario en el GPO del que desee hacer la copia de seguridad y, a continuación, haga clic en Back Up (Hacer copia de seguridad).

Captura de pantalla

3

En el cuadro Location (Ubicación) del cuadro de diálogo Back Up Group Policy object (Copia de seguridad de objeto de directiva de grupo), escriba la ruta de acceso de la carpeta donde desee crear la copia de seguridad del GPO. Puede hacer clic en Browse (Examinar) para elegir una carpeta. Además, en el cuadro Description (Descripción), escriba una breve descripción del GPO y haga clic en Back Up (Hacer copia de seguridad).

Captura de pantalla

4

En el cuadro de diálogo Backup (Copia de seguridad), confirme los resultados y haga clic en OK (Aceptar).

Captura de pantalla

Restauración de un GPO

Mediante GPMC, puede restaurar cualquier versión anterior de un GPO del que tenga copia de seguridad. Las instrucciones de esta sección describen cómo restaurar uno o varios GPO desde una carpeta de copia de seguridad.

Para restaurar un GPO del que se ha hecho copia de seguridad

 

1

En GPMC, haga clic en la carpeta Group Policy objects (Objetos de directiva de grupo) para ver los GPO del dominio.

Captura de pantalla

2

Haga clic con el botón secundario en la carpeta Group Policy objects (Objetos de directiva de grupo) y, a continuación, haga clic en Manage Backups (Administrar copias de seguridad).

Captura de pantalla

3

En la lista Backup location (Ubicación de la copia de seguridad) del cuadro de diálogo Manage Backups (Administrar copias de seguridad), haga clic en una ubicación de copia de seguridad que haya usado anteriormente. Puede hacer clic en Browse (Examinar) para elegir una carpeta que contenga copias de seguridad de GPO.

Captura de pantalla

4

En la lista Backed up GPOs (Objetos de directiva de grupo con copia de seguridad), elija uno o varios GPO que desee restaurar y haga clic en Restore (Restaurar). Si ve varias versiones de cada GPO y solo desea ver las copias de seguridad más recientes de cada GPO, active la casilla Show only the latest version of each GPO (Mostrar solo la versión más reciente de cada GPO).

Captura de pantalla

5

En el cuadro de diálogo Restore (Restaurar), confirme que la operación se ha realizado correctamente y haga clic en OK (Aceptar).

Captura de pantalla

Instalación de GPMC en Windows 7

Windows Server 2008 y Windows Server 2008 R2 incluyen GPMC cuando ejecutan el rol AD DS. Si no, puede instalar GPMC en Windows Server 2008, Windows Server 2008 R2 o Windows 7. Para instalar GPMC, descargue las Herramientas de administración remota del servidor para Windows 7 con Service Pack 1 (SP1) e instale cualquiera de los siguientes archivos en su equipo:

  1. Windows6.1-KB958830-x64-RefreshPkg.msu. Instale este paquete en equipos x64, incluidos aquellos que ejecuten Windows Server 2008 R2.

  2. Windows6.1-KB958830-x86-RefreshPkg.msu. Instale este paquete en equipos x86.

Si instala la actualización, solo se agrega la característica a Windows. También debe activar la característica Herramientas de administración de directivas de grupo mediante Programas y características, en el Panel de control. Las instrucciones de esta sección describen cómo instalar la actualización y cómo habilitar las Herramientas de administración de directivas de grupo.

Para instalar las Herramientas de administración de directivas de grupo para Windows 7 con SP1

 

1

Ejecute cualquiera de los siguientes archivos que descargó antes:

  1. Windows6.1-KB958830-x64-RefreshPkg.msu

  2. Windows6.1-KB958830-x86-RefreshPkg.msu

Luego haga clic en Yes (Sí) para instalar la actualización.

Captura de pantalla

2

En la página Read these license terms (1 of 1) (Lea los siguientes términos de licencia (1 de 1)), revise los términos de licencia y, si acepta, haga clic en I Accept (Acepto).

Captura de pantalla

3

En la página Installation complete (Instalación completada), haga clic en Close (Cerrar).

Captura de pantalla

Para activar la característica Herramientas de administración de directivas de grupo

 

1

Haga clic en Inicio, escriba características de windows y haga clic en Turn Windows features on or off (Activar o desactivar las características de Windows) en la sección de Control Panel (Panel de control) del menú Inicio.

Captura de pantalla

2

En el cuadro de diálogo Windows Features (Características de Windows), active la casilla Group Policy Management Tools (Herramientas de administración de directivas de grupo) y haga clic en OK (Aceptar). Group Policy Management Tools (Herramientas de administración de directivas de grupo) está debajo de Remote Service Administration Tools, Feature Administration Tools (Herramientas de administración remota del servidor, Herramientas de administración de características).

Captura de pantalla

Conclusión

Ha recorrido un largo camino. Ha aprendido conceptos de la directiva de grupo importantes, como GPO, vínculo, herencia, etc. También ha aprendido a usar GPMC y GPME para realizar tareas esenciales como la creación, edición y eliminación de GPO.

Cuando esté listo para saber más acerca de la directiva de grupo y aumentar sus capacidades, Microsoft pone a su disposición multitud de recursos. Primero, en la página de recursos de la directiva de grupo, en TechCenter de Windows Server, encontrará todo el contenido técnico relacionado con la directiva de grupo. Se proporcionan numerosas guías de inicio y vídeos. Para obtener información de directiva de grupo específica de Windows 7, visite la zona de seguridad y control en el cliente Windows.

Adiciones de comunidad

AGREGAR
Mostrar: