Administrar la configuración de las directivas de seguridad
En este artículo se describen los distintos métodos para administrar la configuración de directiva de seguridad en un dispositivo local o en toda una organización de tamaño pequeño o mediano.
La configuración de directiva de seguridad debe usarse como parte de la implementación de seguridad general para ayudar a proteger los controladores de dominio, los servidores, los dispositivos cliente y otros recursos de la organización.
Las directivas de configuración de seguridad son reglas que se pueden configurar en un dispositivo o en varios dispositivos con el fin de proteger los recursos de un dispositivo o red. La extensión de configuración de seguridad del complemento Editor de directivas de grupo local (Gpedit.msc) te permite definir las configuraciones de seguridad como parte de un objeto de directiva de grupo (GPO). Los GPO están vinculados a contenedores de Active Directory como sitios, dominios y unidades organizativas; además, permiten a los administradores gestionar configuraciones de seguridad para varios equipos desde cualquier dispositivo unido al dominio.
La configuración de seguridad puede controlar:
La autenticación de usuario para una red o dispositivo.
Los recursos a los que los usuarios pueden tener acceso.
La opción de registrar las acciones de un usuario o grupo en el registro de eventos.
La pertenencia a un grupo.
Para obtener información sobre cada opción, incluidas las descripciones, los valores predeterminados y las consideraciones sobre administración y seguridad, consulta la Referencia de Configuración de las directivas de seguridad.
Para administrar las configuraciones de seguridad para varios equipos, puedes usar una de las siguientes opciones:
Editar la configuración de seguridad específica de un GPO.
Usa el complemento de plantillas de seguridad para crear una plantilla de seguridad que contenga las directivas de seguridad que quieres aplicar y, a continuación, importa la plantilla de seguridad en un objeto de directiva de grupo. Una plantilla de seguridad es un archivo que representa una configuración de seguridad que se puede importar a un GPO o aplicar a un dispositivo local, o bien se puede usar para analizar la seguridad.
¿Qué ha cambiado en la manera de administrar la configuración?
Con el tiempo, se han incorporado nuevas formas de administrar la configuración de directiva de seguridad, que incluyen características nuevas del sistema operativo y la adición de nuevas opciones de configuración. La siguiente tabla muestra los diferentes medios a través de los que se puede administrar la configuración de directiva.
| Herramienta o característica | Descripción y uso |
|---|---|
Complemento de directiva de seguridad |
Secpol.msc Complemento de MMC diseñado para administrar únicamente la configuración de directiva de seguridad. |
Herramienta de línea de comandos del editor de seguridad |
Secedit.exe Configura y analiza la seguridad del sistema al comparar la configuración actual con las plantillas de seguridad especificadas. |
Security Compliance Manager |
Descarga de herramientas Un acelerador de soluciones que te ayudará a planear, implementar, operar y administrar las líneas de base de seguridad para sistemas operativos de cliente y servidor de Windows, así como aplicaciones de Microsoft. |
Asistente de configuración de seguridad |
Scw.exe SCW es una herramienta basada en roles disponible únicamente en servidores: puedes usarla para crear una directiva que habilite los servicios, las reglas de firewall y las opciones de configuración necesarias para que un servidor seleccionado realice funciones específicas. |
Herramienta Administrador de configuración de seguridad |
Este conjunto de herramientas te permite crear, aplicar y editar la seguridad de tu dispositivo local, la unidad organizativa o el dominio. |
Directiva de grupo |
Gpmc.msc y Gpedit.msc La Consola de administración de directivas de grupo usa el editor de objetos de directiva de grupo para exponer las opciones de seguridad local, que pueden incorporarse entonces en objetos de directiva de grupo para su distribución en todo el dominio. El Editor de directivas de grupo local realiza funciones similares en el dispositivo local. |
Directivas de restricción de software Consulta Administer Software Restriction Policies. |
Gpedit.msc Directivas de restricción de software (SRP) es una característica de directiva de grupo que identifica los programas de software que se ejecutan en los equipos de un dominio y controla la capacidad de esos programas para ejecutarse. |
AppLocker Consulta Administrar AppLocker. |
Gpedit.msc Impide que el software malintencionado (malware) y las aplicaciones no admitidas afecten a los equipos del entorno y evita que los usuarios de la organización instalen y usen aplicaciones no autorizadas. |
Uso del complemento Directiva de seguridad local
El complemento de Directiva de seguridad local (Secpol.msc) restringe la vista de objetos de directiva local a las características y las directivas siguientes:
Directivas de cuenta
Directivas locales
Firewall de Windows con seguridad avanzada
Directivas de Administrador de listas de redes
Directivas de clave pública
Directivas de restricción de software
Directivas de control de aplicaciones
Directivas de seguridad IP en el equipo local
Configuración de directivas de auditoría avanzada
Es posible que se sobrescriban directivas establecidas localmente si el equipo está unido al dominio.
El complemento de directiva de seguridad local es parte del conjunto de herramientas del Administrador de configuración de seguridad. Para obtener información acerca de otras herramientas en este conjunto de herramientas, consulta Trabajar con el Administrador de configuración de seguridad en este tema.
Uso de la herramienta de línea de comandos secedit
La herramienta de línea de comandos secedit funciona con plantillas de seguridad y proporciona seis funciones principales:
El parámetro Configure te ayuda a resolver discrepancias de seguridad entre dispositivos mediante la aplicación de la plantilla de seguridad correcta en el servidor errante.
El parámetro Analyze compara la configuración de seguridad del servidor con la plantilla seleccionada.
El parámetro Import te permite crear una base de datos a partir de una plantilla existente. La herramienta Configuración y análisis de seguridad también hace esto.
El parámetro Export permite exportar la configuración de una base de datos a una plantilla de configuración de seguridad.
El parámetro Validate permite validar la sintaxis de todas o algunas de las líneas de texto que creaste o agregaste a una plantilla de seguridad. Esto garantiza que si la plantilla no puede aplicar la sintaxis, la plantilla no será el problema.
El parámetro Generate Rollback guarda la configuración actual de seguridad actual del servidor en una plantilla de seguridad para que pueda usarse para restaurar la mayor parte de la configuración de seguridad del servidor a un estado conocido. Las excepciones son que, cuando se aplica, la plantilla de reversión no cambiará las entradas de lista de control de acceso en los archivos o entradas del Registro que la plantilla más recientemente aplicada cambió.
Uso de Security Compliance Manager
Security Compliance Manager es una herramienta descargable que te ayuda a planear, implementar, operar y administrar las líneas de base de seguridad para sistemas operativos de cliente y servidor de Windows y aplicaciones de Microsoft. Contiene una base de datos completa de configuración de seguridad recomendada, métodos para personalizar las líneas de base y la opción de implementar dicha configuración en varios formatos, incluido XLS, GPO, paquetes de administración de configuración deseada (DCM) o Protocolo de automatización de contenido de seguridad (SCAP). Security Compliance Manager se usa para exportar la configuración básica del entorno para automatizar la implementación de la línea de base de seguridad y el proceso de verificación del cumplimiento.
.gif "Mt634177.wedge(es-es,VS.85).gif")
Administrar directivas de seguridad mediante Security Compliance Manager
Descarga la versión más reciente. Puedes encontrar más información en el blog Microsoft Security Guidance.
Leer la documentación relevante de las líneas de base de seguridad que se incluye en esta herramienta.
Descargar e importar las líneas de base de seguridad relevantes. Los pasos del proceso de instalación que debes seguir durante la selección de la línea de base.
Abre la Ayuda y sigue las instrucciones sobre cómo personalizar, comparar o combinar las líneas de base de seguridad antes de implementar dichas líneas de base.
Uso del Asistente para configuración de seguridad
El Asistente para configuración de seguridad (SCW) te guiará por el proceso de creación, edición, aplicación o reversión de una directiva de seguridad. Una directiva de seguridad creada con SCW es un archivo .xml que, cuando se aplica, configura servicios, seguridad de red, valores del registro específico y directiva de auditoría. SCW es una herramienta basada en roles: puedes usarla para crear una directiva que habilite los servicios, las reglas de firewall y las opciones de configuración necesarias para que un servidor seleccionado realice funciones específicas. Por ejemplo, un servidor podría ser un servidor de archivos, un servidor de impresión o un controlador de dominio.
A continuación se describen las consideraciones para usar SCW:
SCW deshabilita los servicios innecesarios y proporciona Firewall de Windows compatible con seguridad avanzada.
Las directivas de seguridad que se crean con SCW no son lo mismo que las plantillas de seguridad, que son archivos con una extensión .inf. Las plantillas de seguridad contienen más opciones de configuración de seguridad de los que se pueden establecer con SCW. Sin embargo, es posible incluir una plantilla de seguridad en un archivo de directiva de seguridad SCW.
Puedes implementar las directivas de seguridad que creas con SCW mediante la directiva de grupo.
SCW no instala o desinstala las características necesarias para que el servidor realice una función. Puedes instalar características específicas del rol de servidor mediante el Administrador del servidor.
SCW detecta dependencias del rol de servidor. Si seleccionas un rol de servidor, se seleccionan automáticamente los roles de servidor dependientes.
Todas las aplicaciones que usan el protocolo IP y los puertos deben ejecutarse en el servidor al ejecutar SCW.
En algunos casos, debes estar conectado a Internet para usar los vínculos de la ayuda de SCW.
Nota
SCW está disponible únicamente en Windows Server y solo se aplica a las instalaciones de servidor.
Se puede acceder a SCW a través del Administrador del servidor o ejecutando scw.exe. El asistente te guiará a través de la configuración de seguridad del servidor para:
Crear una directiva de seguridad que se pueda aplicar a cualquier servidor de la red.
Editar una directiva de seguridad existente.
Aplicar una directiva de seguridad existente.
Revertir la última directiva de seguridad aplicada.
El Asistente para directivas de seguridad configura los servicios y la seguridad de red basada en el rol del servidor, además de la configuración de la auditoría y el registro.
Para obtener más información sobre SCW, incluidos los procedimientos, consulta el Asistente para configuración de seguridad.
Trabajar con el Administrador de configuración de seguridad
El conjunto de herramientas del Administrador de configuración de seguridad te permite crear, aplicar y editar la seguridad de tu dispositivo local, unidad organizativa o dominio.
Para obtener información sobre cómo usar el Administrador de configuración de seguridad, consulta el Administrador de configuración de seguridad.
La siguiente tabla enumera las características del Administrador de configuración de seguridad.
| Herramientas del Administrador de configuración de seguridad | Descripción |
|---|---|
Configuración y análisis de seguridad |
Define una directiva de seguridad en una plantilla. Estas plantillas se pueden aplicar a la directiva de grupo o a tu equipo local. |
Plantillas de seguridad |
Define una directiva de seguridad en una plantilla. Estas plantillas se pueden aplicar a la directiva de grupo o a tu equipo local. |
Extensión de la configuración de seguridad a la directiva de grupo |
Edita la configuración de seguridad individual de un dominio, un sitio o una unidad organizativa. |
Directiva de seguridad local |
Edita la configuración de seguridad individual en el equipo local. |
Secedit |
Automatiza las tareas de configuración de seguridad en un símbolo del sistema. |
Configuración y análisis de seguridad
Configuración y análisis de seguridad es un complemento de MMC para analizar y configurar la seguridad de un sistema local.
Análisis de seguridad
El estado del sistema operativo y las aplicaciones de un dispositivo es dinámico. Por ejemplo, puede que tengas que cambiar temporalmente los niveles de seguridad para poder resolver inmediatamente un problema de red o de administración. Sin embargo, este cambio puede ser a menudo irreversible. Esto significa que tal vez un equipo ya no pueda cumplir con los requisitos de seguridad de la empresa.
El análisis periódico permite que realices un seguimiento y garantices un nivel suficiente de seguridad en cada equipo como parte de un programa de administración de riesgo para la empresa. Puede ajustar los niveles de seguridad y, lo más importante, detectar cualquier error de seguridad que pueda producirse en el sistema a lo largo del tiempo.
Configuración y análisis de seguridad te permite revisar rápidamente los resultados de un análisis de seguridad. Ofrece recomendaciones a lo largo de la configuración del sistema actual y usa marcas visuales o comentarios para resaltar las áreas en las que la configuración actual no coincida con el nivel de seguridad propuesto. Configuración y análisis de seguridad también ofrece la posibilidad de resolver cualquier discrepancia que revele el análisis.
Configuración de seguridad
Configuración y análisis de seguridad también sirve para configurar directamente la seguridad del sistema local. Mediante el uso de bases de datos personales, puede importar plantillas de seguridad que se hayan creado con plantillas de seguridad y aplica estas plantillas al equipo local. De este modo se configura inmediatamente la seguridad del sistema con los niveles especificados en la plantilla.
Plantillas de seguridad
Con el complemento de plantillas de seguridad para Microsoft Management Console, puedes crear una directiva de seguridad para tu dispositivo o red. Es un único punto de entrada en el que se puede tener en cuenta toda la gama de seguridad del sistema. El complemento de plantillas de seguridad no introduce nuevos parámetros de seguridad, simplemente organiza todos los atributos de seguridad existentes en un solo lugar para facilitar la administración de la seguridad.
La importación de una plantilla de seguridad a un objeto de directiva de grupo facilita la administración del dominio mediante la configuración de la seguridad de un dominio o unidad organizativa a la vez.
Para aplicar una plantilla de seguridad en tu dispositivo local, puedes usar Configuración y análisis de seguridad o la herramienta de línea de comandos secedit.
Pueden usarse plantillas de seguridad para definir:
Directivas de cuenta
Directiva de contraseñas
Directiva de bloqueo de cuenta
Directiva Kerberos
Directivas locales
Directiva de auditoría
Asignación de derechos de usuario
Opciones de seguridad
Registro de eventos: configuración de la aplicación, el sistema y el registro de eventos de seguridad
Grupos restringidos: pertenencia a grupos relativos a la seguridad
Servicios del sistema: inicio y permisos para los servicios del sistema
Registro: permisos para claves del Registro
Sistema de archivos: permisos para archivos y carpetas
Cada plantilla se guarda como un archivo .inf basado en texto. Esto te permite copiar, pegar, importar o exportar algunos o todos los atributos de la plantilla. Con las excepciones de la seguridad de protocolo de Internet y las directivas de clave pública, todos los atributos de seguridad pueden incluirse en una plantilla de seguridad.
Extensión de la configuración de seguridad a la directiva de grupo
Las unidades organizativas, los dominios y los sitios están vinculados a objetos de directiva de grupo. La herramienta de configuración de seguridad te permite cambiar la configuración de seguridad del objeto de directiva de grupo, afectando a su vez a varios equipos. Con la configuración de seguridad, puedes modificar la configuración de seguridad de muchos dispositivos, según el objeto de directiva de grupo que modifique, desde un único dispositivo unido a un dominio.
La configuración de seguridad o las directivas de seguridad son reglas que se configuran en un dispositivo o en varios dispositivos para proteger los recursos de un dispositivo o red. La configuración de seguridad puede controlar:
Cómo se autentican los usuarios en una red o dispositivo.
Lo que los usuarios de los recursos están autorizados a usar.
Si se registran o no acciones de un usuario o grupo en el registro de eventos.
Pertenencia a grupo.
Puedes cambiar la configuración de seguridad en varios equipos de dos maneras:
Crea una directiva de seguridad mediante una plantilla de seguridad con Plantillas de seguridad y luego importa la plantilla a través de la configuración de seguridad a un objeto de directiva de grupo.
Cambia algunas opciones de configuración seleccionadas con configuración de seguridad.
Directiva de seguridad local
Una directiva de seguridad es una combinación de opciones de configuración de seguridad que afectan a la seguridad de un dispositivo. Puedes usar la directiva de seguridad para modificar las directivas de cuenta y las directivas locales en el dispositivo local.
Con la directiva de seguridad local puedes controlar:
Quién tiene acceso al dispositivo.
Lo que los usuarios de los recursos tienen autorización para usar en el dispositivo.
Si se registran o no acciones de un usuario o grupo en el registro de eventos.
Si el dispositivo local está unido a un dominio, estás sujeto a la obtención de una directiva de seguridad de la directiva del dominio o de la directiva de cualquier unidad organizativa de la que seas miembro. Si recibes una directiva desde más de un origen, se resuelven los conflictos en el siguiente orden de prioridad.
Directiva de unidad organizativa
Directiva de dominio
Directiva de sitio
Directiva de equipo local
Si modificas la configuración de seguridad en el dispositivo local mediante la directiva de seguridad local, estás modificando directamente la configuración del dispositivo. Por lo tanto, la configuración surte efecto inmediatamente, pero solo de forma temporal. La configuración permanecerá realmente en vigor en el dispositivo local hasta la próxima actualización de la configuración de seguridad de la directiva de grupo, cuando la configuración de seguridad que se recibe de la directiva de grupo invalide la configuración local ahí donde haya conflictos.
Uso del Administrador de configuración de seguridad
Para obtener información sobre cómo usar el Administrador de configuración de seguridad, consulta el Administrador de configuración de seguridad: cómo.... Esta sección contiene información de este tema sobre:
Aplicar la configuración de seguridad
Importar y exportar plantillas de seguridad
Analizar la seguridad y ver los resultados
Resolver discrepancias de seguridad
Automatizar tareas de configuración de seguridad
Aplicar la configuración de seguridad
Una vez que hayas modificado la configuración de seguridad, la configuración se actualiza en los equipos de la unidad organizativa vinculada a tu objeto de directiva de grupo:
Cuando un dispositivo se reinicia, se actualizará la configuración en ese dispositivo.
Para forzar que un dispositivo actualice la configuración de seguridad, así como todas las configuraciones de directiva de grupo, usa gpupdate.exe.
Prioridad de una directiva cuando más de una directiva se aplica a un equipo
Para la configuración de seguridad que se define con más de una directiva, se observa el siguiente orden de prioridad:
Directiva de unidad organizativa
Directiva de dominio
Directiva de sitio
Directiva de equipo local
Por ejemplo, en una estación de trabajo que se ha unido a un dominio, la configuración de seguridad local se reemplazará por la directiva del dominio ahí donde haya un conflicto. De igual modo, si la misma estación de trabajo es miembro de una unidad organizativa, la configuración aplicada desde la directiva de la unidad organizativa reemplazará tanto el dominio como la configuración local. Si la estación de trabajo es miembro de más de una unidad organizativa, la unidad organizativa que contiene inmediatamente la estación de trabajo tiene el orden de prioridad más alto.
Nota
Usa gpresult.exe para averiguar qué directivas se aplican a un dispositivo y en qué orden.
Para las cuentas de dominio, solo puede haber una directiva de cuenta que incluya las directivas de contraseñas, las directivas de bloqueo de cuenta y las directivas Kerberos.
Persistencia en la configuración de seguridad
La configuración de seguridad puede seguir existiendo aunque ya no se defina una configuración en la directiva que originalmente la aplicó.
La persistencia en la configuración de seguridad se produce cuando:
La configuración no se ha definido previamente para el dispositivo.
La configuración es para un objeto de registro.
La configuración es para un objeto del sistema de archivos.
Todas las configuraciones que se aplican a través de la directiva local o de un objeto de directiva de grupo se almacenan en una base de datos local en el dispositivo. Siempre que se modifica una configuración de seguridad, el equipo guarda el valor de configuración de seguridad en la base de datos local, que conserva un historial de todas las opciones de configuración que se han aplicado al dispositivo. Si una directiva define en primer lugar una configuración de seguridad y después deja de definir esta configuración, la configuración toma el valor anterior de la base de datos. Si no existe un valor anterior en la base de datos, la configuración no revierte a nada y permanece definida tal cual. A este comportamiento se le denomina a veces "tattooing".
La configuración del registro y el archivo mantendrá los valores aplicados a través de la directiva hasta que se establezca esa configuración a otros valores.
Filtrado de configuración de seguridad en función de la pertenencia a grupos
También puedes decidir qué usuarios o grupos tendrán o no un objeto de directiva de grupo aplicado a ellos con independencia del equipo en el que hayan iniciado sesión denegándoles el permiso de aplicación de la directiva de grupo o el permiso de lectura en ese objeto de directiva de grupo. Ambos permisos son necesarios para aplicar la directiva de grupo.
Importar y exportar plantillas de seguridad
Configuración y análisis de seguridad proporciona la capacidad de importar y exportar plantillas de seguridad hacia o desde una base de datos.
Si has realizado cambios en la base de datos de análisis, puedes guardar dicha configuración exportándola a una plantilla. La característica de exportación ofrece la posibilidad de guardar la configuración de la base de datos de análisis como un nuevo archivo de plantilla. Este archivo de plantilla puede usarse a continuación para analizar o configurar un sistema, o se puede importar a un objeto de directiva de grupo.
Analizar la seguridad y ver los resultados
Configuración y análisis de seguridad realiza análisis de seguridad comparando el estado actual de la seguridad del sistema con una base de datos de análisis. Durante la creación, la base de datos de análisis usa al menos una plantilla de seguridad. Si decides importar más de una plantilla de seguridad, la base de datos combinará las distintas plantillas y creará una plantilla compuesta. Resuelve los conflictos en orden de importación; la última plantilla importada tiene prioridad.
Configuración y análisis de seguridad muestra los resultados del análisis por área de seguridad, con marcas visuales para indicar problemas. Muestra las opciones de configuración básica y del sistema actual para cada atributo de seguridad en las áreas de seguridad. Para cambiar la configuración de la base de datos de análisis, haz clic con el botón secundario en la entrada y, a continuación, haz clic en Propiedades.
| Marca visual | Significado |
|---|---|
X roja |
La entrada está definida en la base de datos de análisis y en el sistema, pero los valores de configuración de seguridad no coinciden. |
Marca de verificación verde |
La entrada está definida en la base de datos de análisis y en el sistema, y los valores coinciden. |
Signo de interrogación |
La entrada no está definida en la base de datos de análisis y, por lo tanto, no se ha analizado. Si no se analiza una entrada, es posible que no se haya definido en la base de datos de análisis o que el usuario que ejecuta el análisis no tenga permisos suficientes para realizar un análisis en un objeto o área específicos. |
Signo de exclamación |
Este elemento se define en la base de datos de análisis, pero no existe en el sistema real. Por ejemplo, puede haber un grupo restringido que se define en la base de datos de análisis, pero que no exista realmente en el sistema analizado. |
Sin resaltar |
El elemento no está definido en la base de datos de análisis o en el sistema. |
Si eliges aceptar la configuración actual, el valor correspondiente en la configuración básica se modifica para que coincida con ella. Si cambias la configuración para que coincida con la configuración básica del sistema, el cambio se reflejará al configurar el sistema con Configuración y análisis de seguridad.
Para evitar marcar de forma continua la configuración que has investigado y determinado como razonable, puedes modificar la configuración básica. Los cambios se realizan en una copia de la plantilla.
Resolver discrepancias de seguridad
Puedes resolver discrepancias entre la base de datos de análisis y la configuración del sistema de las siguientes formas:
Aceptando o cambiando algunos o todos los valores que están marcados o no incluidos en la configuración, si determinas que los niveles de seguridad del sistema local son válidos debido al contexto (o rol) del equipo. Estos valores de atributo se actualizan a continuación en la base de datos y se aplican al sistema al hacer clic en Configurar el equipo ahora.
Configurando el sistema a los valores de base de datos de análisis si determinas que el sistema no cumple con los niveles de seguridad válidos.
Importando una plantilla más adecuada para el rol de ese equipo a la base de datos como la nueva configuración básica y aplicándola al sistema.
Se han realizado cambios en la base de datos de análisis en la plantilla almacenada en la base de datos, no en el archivo de plantilla de seguridad. El archivo de plantilla de seguridad solo se modificará si vuelves a las plantillas de seguridad y modificas esa plantilla o exportas la configuración almacenada en el mismo archivo de plantilla.
Deberías usar Configurar el equipo ahora únicamente para modificar las áreas de seguridad que no estén afectadas por la configuración de directiva de grupo, como la seguridad de archivos locales y carpetas, claves del registro y servicios del sistema. De lo contrario, al aplicar la configuración de directiva de grupo, tendrá preferencia sobre la configuración local, como las directivas de cuenta. En general, no uses Configurar el equipo ahora al analizar la seguridad de los clientes basados en dominio, puesto que tendrás que configurar cada cliente individualmente. En este caso, debes volver a las plantillas de seguridad, modificar la plantilla y volver a aplicarla al objeto de directiva de grupo apropiado.
Automatizar tareas de configuración de seguridad
Al llamar a la herramienta secedit.exe en un símbolo del sistema desde un archivo por lotes o un programador de tareas automático, puedes usarlo para crear y aplicar plantillas automáticamente, así como para analizar la seguridad del sistema. También puedes ejecutarlo dinámicamente desde un símbolo del sistema.
Secedit.exe es útil cuando tienes varios dispositivos en los que debe analizarse o configurarse la seguridad y necesitas realizar estas tareas fuera del horario de trabajo.
Trabajar con herramientas de directiva de grupo
La directiva de grupo es una infraestructura que te permite especificar configuraciones administradas para usuarios y equipos a través de la configuración de directiva de grupo y las preferencias de directiva de grupo. Para la configuración de directiva de grupo que afecta a solo un dispositivo local o usuario, puedes usar el Editor de directivas de grupo local. Puedes administrar la configuración de directiva de grupo y las preferencias de directiva de grupo en un entorno de Servicios de dominio de Active Directory (AD DS) a través de la Consola de administración de directivas de grupo (GPMC). Las herramientas de administración de directiva de grupo también se incluyen en el paquete de herramientas de administración remota del servidor para proporcionar una forma de administrar la configuración de directiva de grupo desde el escritorio.