Compartir a través de


Introducción a la directiva de grupo (2007 Office system)

Actualizado: marzo de 2007

Se aplica a: Office Resource Kit

 

Última modificación del tema: 2015-03-09

La directiva de grupo es una infraestructura que los administradores pueden utilizar para implementar configuraciones informáticas específicas para usuarios y equipos. Las opciones de configuración de directiva también se pueden aplicar a los servidores miembro y controladores de dominio dentro del ámbito de un bosque de Active Directory. Los administradores utilizan la directiva de grupo para definir configuraciones una sola vez y, a continuación, confían en el sistema operativo para aplicar ese estado.

Las opciones de configuración de la directiva de grupo está incluidas en objetos de directiva de grupo (GPO), que están vinculados a contenedores seleccionados del servicio de directorio Active Directory: sitios, dominios o unidades organizativas (OU). Los destinos afectados son los que evalúan la configuración dentro de los GPO mediante el uso de la naturaleza jerárquica de Active Directory.

La infraestructura de la directiva de grupo consta de un motor de directiva de grupo y varias extensiones individuales. Estas extensiones se utilizan para configurar las opciones de configuración de la directiva de grupo, ya sea mediante la modificación del Registro a través de la extensión Plantillas administrativas, o estableciendo las opciones de la directiva de grupo para la configuración de seguridad, la instalación de software, la redirección de carpetas, el mantenimiento de Internet Explorer, la configuración de redes inalámbricas y otras áreas.

Cada extensión de la directiva de grupo consta de dos extensiones:

  • Una extensión de servidor del complemento Microsoft Console Management (MMC) del Editor de objetos de directiva de grupo, que se usa para definir y establecer la configuración de directiva aplicada a los equipos cliente.

  • Una extensión de cliente a la que llama el motor de la directiva de grupo para aplicar la configuración de directiva.

La configuración de directiva del sistema de 2007 Microsoft Office system se incluye en los archivos de plantillas administrativas (.adm). Para obtener más información, vea la sección Extensión de plantillas administrativas.

Las secciones siguientes proporcionan información general sobre conceptos de la directiva de grupo. Para obtener información más detallada, vea la referencia técnica sobre directivas de grupo (en inglés) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0xC0A) (en inglés) en el sitio de Microsoft TechNet.

En este tema

Directiva de grupo local y basada en Active Directory

Procesamiento de directivas de grupo

Aplicación de directivas de grupo

Identificación de la aplicación de objetos de directiva de grupo

Extensión de plantillas administrativas

Preferencias de usuario y directivas verdaderas

Herramientas de administración de directivas de grupo

Herramienta de personalización de Office y directiva de grupo

Directiva de grupo local y basada en Active Directory

Cada equipo dispone de un GPO local que siempre se procesa, independientemente de si el equipo forma parte de un dominio o es un equipo independiente. El GPO local no puede ser bloqueado por los GPO basados en dominios. Sin embargo, la configuración en los GPO del dominio siempre tiene prioridad, ya que se procesan después del GPO local.

Aunque puede configurar objetos de directiva de grupo locales en equipos individuales, las máximas ventajas de la directiva de grupo se obtienen en una red basada en Windows 2000 o Windows Server 2003 con Active Directory instalado.

Los administradores pueden implementar la configuración de directiva de grupo de una manera tan amplia o restrictiva como sea necesario para su organización. Para ello, los administradores vinculan los GPO a sitios, dominios y unidades organizativas. Los vínculos a los GPO afectan a los usuarios y equipos de la siguiente manera:

  • Los GPO vinculados a un sitio se aplican a todos los usuarios y equipos del sitio.

  • Los GPO vinculados a un dominio se aplican directamente a todos los usuarios y equipos del dominio y por herencia a todos los usuarios y equipos de las unidades organizativas secundarias. La directiva de grupo no se hereda a través de dominios.

  • Los GPO vinculados a una unidad organizativa se aplican directamente a todos los usuarios y equipos de la unidad organizativa y por herencia a todos los usuarios y equipos de las unidades organizativas secundarias.

Cuando se crea un GPO, se almacena en el dominio. Cuando el GPO se vincula a un contenedor de Active Directory, como una unidad organizativa, el vínculo es un componente de ese contenedor de Active Directory. El vínculo no es un componente del GPO.

Los administradores deben tener privilegios para la creación de un GPO. De manera predeterminada, sólo los administradores de dominio, los administradores de empresas y los miembros del grupo de propietarios de creadores de directivas de grupo pueden crear objetos de directiva de grupo. Debe tener permisos de edición sobre el objeto de directiva de grupo que desea editar.

Para obtener información más detallada acerca de la infraestructura de directiva de grupo, vea el documento sobre la colección de directivas de grupo (en inglés) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0xC0A) (en inglés) en el sitio de Microsoft TechNet.

Los sistemas operativos Windows Vista y Windows Server® 2008 incorporan nuevas funciones para administrar GPO locales que ofrecen a los administradores de equipos independientes la capacidad de aplicar varios objetos de directiva de grupo a los usuarios de equipos independientes.

Varios GPO locales: cambios en Windows Vista y Windows Server 2008

Windows Vista y Windows Server 2008 ofrecen soporte para administrar varios GPO locales en equipos independientes. Esta capacidad resulta útil para la administración de entornos en los que es necesaria la informática compartida en un solo equipo, tales como bibliotecas o salas de informática. Puede asignar varios GPO locales a usuarios locales o grupos integrados.

En un entorno de grupo de trabajo, cada equipo mantiene su propia configuración de directiva. Esta característica funciona con la directiva de grupo basada en dominio, o se puede deshabilitar mediante una opción de configuración de la directiva de grupo.

Los administradores pueden utilizar varios GPO locales para hacer lo siguiente:

  • Aplicar diferentes niveles de directivas de grupo locales a los usuarios locales en un equipo independiente. Esta capacidad es ideal para entornos informáticos compartidos donde la administración basada en dominio no está disponible.

  • Administrar directivas de grupo en función de grupos de administradores y usuarios que no sean administradores. Por ejemplo, si los administradores desean configurar los equipos en una sala de informática para configurar un entorno seguro, pueden crear opciones de configuración de directiva altamente administradas para grupos de usuarios y opciones de configuración de directiva escasamente administradas para cuentas de administradores integradas. Esto obvia la necesidad para los administradores locales de deshabilitar o quitar de un modo explícito la configuración de directiva de grupo que interfiera con su capacidad de administrar la estación de trabajo antes de que realicen tareas administrativas. Los administradores de Windows Vista también pueden desactivar la configuración de directiva de grupo local sin habilitar de forma explícita una directiva de grupo basada en el dominio.

Los administradores de dominio pueden deshabilitar el procesamiento de objetos de directiva de grupo en clientes que ejecuten Windows Vista habilitando para ello la configuración de directiva Desactivar el procesamiento de objetos de directiva de grupo local en un objeto de directiva de grupo de dominio. A esta configuración se obtiene acceso en Configuración del equipo\Plantillas administrativas\Sistema\Directiva de grupo.

Windows Vista ofrece tres capas de objetos de directiva de grupo local: directiva de grupo local, directiva de grupo de administradores y no administradores, y directiva de grupo local específica del usuario. Estas capas de objetos de directiva de grupo locales se procesan de acuerdo con el siguiente orden:

  • Directiva de grupo local

  • Directiva de grupo de administradores y no administradores

  • Directiva de grupo local específica del usuario

Para obtener información detallada acerca del uso de la característica de varios GPO locales en Windows Vista, vea la guía paso a paso para administrar varios objetos de directiva de grupo locales (en inglés) en el sitio web de Microsoft TechNet.

Procesamiento de directivas de grupo

El GPO local se procesa en primer lugar y la unidad organizativa a la que pertenece el equipo o el usuario (aquella de la que sea miembro directo) se procesa en último lugar. Las opciones de la configuración de directiva de grupo se procesan en el siguiente orden:

  • GPO local. Cada equipo tiene un objeto de directiva de grupo que se almacena de manera local. Este GPO se procesa para la directiva de grupo del equipo y del usuario.

  • Sitio. Los GPO vinculados al sitio al que pertenece el equipo se procesan a continuación. El procesamiento se realiza en el orden especificado por el administrador, en la ficha Objetos de directiva de grupo vinculados del sitio en la Consola de administración de directivas grupo (GPMC). El GPO con el orden de vínculos más bajo se procesa en último lugar y tiene la máxima prioridad. Para obtener información acerca de la Consola de administración de directivas de grupo, vea la sección Herramientas de administración de directivas de grupo.

  • Dominio. Los diversos GPO vinculados al dominio se procesan en el orden especificado por el administrador, en la ficha Objetos de directiva de grupo vinculados del sitio en la Consola de administración de directivas grupo (GPMC). El GPO con el orden de vínculos más bajo se procesa en último lugar y tiene la máxima prioridad.

  • Unidades organizativas. Los GPO vinculados a la unidad organizativa que esté más arriba en la jerarquía de Active Directory se procesan en primer lugar y, a continuación, se procesan los GPO que están vinculados a su unidad organizativa secundaria, y así sucesivamente. Los GPO vinculados a la unidad organizativa que contiene el usuario o equipo se procesan en último lugar.

El orden de procesamiento está sujeto a las siguientes condiciones:

  • Instrumental de administración de Windows (WMI) o el filtrado de seguridad aplicado a GPO.

  • Es posible exigir cualquier GPO basado en un dominio (no un GPO local) mediante el uso de la opción Exigir para que su configuración de directiva no pueda sobrescribirse. Debido a que un GPO exigido se procesa en último lugar, ninguna otra configuración puede sobrescribir la configuración de ese GPO. Si hay más de un GPO exigido, la misma configuración de cada GPO puede establecerse en un valor diferente. En ese caso, el orden de vínculos de los GPO determina qué GPO contiene la configuración final.

  • En cualquier dominio o unidad organizativa, la herencia de directivas de grupo puede designarse de forma selectiva como Bloquear herencia. Sin embargo, como los GPO exigidos siempre se aplican y no pueden bloquearse, el bloqueo de la herencia no impide la aplicación de la configuración de directiva desde los GPO exigidos.

Directivas heredadas

La configuración de directiva en vigor para un usuario y equipo es el resultado de la combinación de GPO aplicados en un sitio, dominio o unidad organizativa. Cuando se aplican varios objetos de directiva de grupo a los usuarios y equipos de esos contenedores de Active Directory, se agrega la configuración de los GPO. De forma predeterminada, la configuración implementada en los GPO vinculados a contenedores de más alto nivel (contenedores primarios) de Active Directory la heredan contenedores secundarios y se combina con la configuración implementada en GPO vinculados a los contenedores secundarios. Si varios GPO intentan establecer una configuración de directiva con valores en conflicto, el objeto de directiva de grupo con la prioridad más alta establece la configuración. Los GPO que se procesan posteriormente tienen prioridad sobre los GPO que se procesan anteriormente.

Aplicación de directivas de grupo

La directiva de grupo para equipos se aplica durante el inicio del equipo. La directiva de grupo para usuarios se aplica cuando los usuarios inician sesión. Además del procesamiento inicial de la directiva de grupo durante el inicio y el inicio de sesión, la directiva de grupo se aplica posteriormente en segundo plano de forma periódica. Durante una actualización en segundo plano, una extensión de cliente vuelve a aplicar la configuración de directiva sólo si detecta que se ha producido un cambio en el servidor en cualquiera de sus GPO o su lista de GPO.

Para la instalación de software y la redirección de carpetas, el procesamiento de la directiva de grupo se produce sólo durante el inicio del equipo o el inicio de sesión del usuario.

Procesamiento sincrónico y asincrónico

Los procesos sincrónicos se pueden describir como una serie de procesos en los que un proceso debe finalizar su ejecución antes de que comience el siguiente. Los procesos asincrónicos se pueden ejecutar en distintos subprocesos simultáneamente dado que su resultado es independiente de otros procesos. Los administradores pueden utilizar una configuración de directiva para cada GPO con el fin de cambiar el comportamiento predeterminado del procesamiento para que dicho procesamiento sea asincrónico en lugar de sincrónico.

En el procesamiento sincrónico, hay un límite de tiempo de 60 minutos para la finalización del procesamiento de cualquier directiva de grupo que se ejecute en el equipo cliente. A las extensiones de cliente que no hayan acabado de procesarse después de 60 minutos se les indicará que se detengan. En este caso, es posible que la configuración de directiva correspondiente no se aplique totalmente.

Característica para la optimización del inicio de sesión rápido

La característica para la optimización del inicio de sesión rápido se establece de forma predeterminada para los miembros del dominio y del grupo de trabajo. El resultado es la aplicación asincrónica de la directiva cuando se inicia el equipo y cuando el usuario inicia sesión. Esta aplicación de la directiva es similar a una actualización en segundo plano. Puede reducir la cantidad de tiempo que tarda en aparecer el cuadro de diálogo de inicio de sesión, así como la cantidad de tiempo que tarda en estar disponible el escritorio para el usuario.

[!NOTA] La optimización del inicio de sesión no se habilita y las directivas se procesan de forma sincrónica cuando el usuario inicia sesión por primera vez, el usuario tiene un perfil móvil, el usuario tiene un directorio particular y el usuario posee un script de inicio de sesión especificado en el objeto de usuario. La instalación de software de directiva de grupo y la redirección de carpetas requieren una aplicación sincrónica de la directiva. Bajo estas condiciones, el inicio del equipo puede seguir siendo asincrónico. Sin embargo, puesto que el inicio de sesión es sincrónico, éste no presenta optimización.
Los equipos cliente que ejecutan los sistemas operativos Windows XP Professional, Windows XP edición de 64 bits (Itanium) y Windows Server 2003 admiten la optimización para el inicio de sesión rápido en cualquier entorno de dominio.
Para servidores, el procesamiento de inicio y de inicio de sesión siempre se comporta como si esta opción de directiva estuviese habilitada.

Los administradores pueden deshabilitar la característica para la optimización del inicio de sesión rápido con la configuración de directiva Esperar siempre la detección de red al inicio del equipo y de sesión, a la que se tiene acceso en el nodo Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión del Editor de objetos de directiva de grupo. Cuando se habilita esta configuración de directiva, los inicios de sesión se realizan de la misma manera que en los clientes de Windows 2000. Esto significa que Windows XP espera a que la red esté completamente inicializada antes de que los usuarios inicien la sesión. La directiva de grupo se aplica de forma sincrónica en primer plano.

Procesamiento de vínculos de baja velocidad

Algunas extensiones de directiva de grupo no se procesan cuando la velocidad de conexión cae por debajo de los umbrales especificados. De manera predeterminada, la directiva de grupo considera que un vínculo es de baja velocidad si su velocidad es inferior a los 500 kilobits por segundo (Kbps).

Las opciones de configuración predeterminadas para el procesamiento de la directiva de grupo a través de vínculos de baja velocidad se describen a continuación.

Opción Valor predeterminado

Configuración de seguridad

Activada (no se puede desactivar)

Seguridad IP

Activada

EFS

Activada

Directivas de restricción de software

Activada

Inalámbrica

Activada

Plantillas administrativas

Activada (no se puede desactivar)

Instalación de software

Desactivada

Scripts

Desactivada

Redirección de carpetas

Desactivada

Mantenimiento de IE

Activada

Los administradores pueden utilizar una configuración de directiva para invalidar la configuración predeterminada. Para especificar la configuración con el fin de detectar vínculos de baja velocidad de la directiva de grupo para los equipos, use la configuración de directiva Detección de vínculo de baja velocidad de la directiva de grupo en el nodo Configuración del equipo\Plantillas administrativas\Sistema\Directiva de grupo del Editor de objetos de directiva de grupo.

Para establecer esta opción para los usuarios, utilice la configuración de directiva Detección de vínculo de baja velocidad de la directiva de grupo incluida en Configuración del equipo\Plantillas administrativas\Sistema\Directiva de grupo.

Para obtener más información acerca de la administración de vínculos de baja velocidad de la directiva de grupo, vea el documento sobre cómo especificar la directiva de grupo para la detección de vínculos lentos (en inglés) (https://go.microsoft.com/fwlink/?linkid=80435\&clcid=0xC0A) (en inglés) en el sitio de Microsoft TechNet.

Intervalo de actualización de la directiva de grupo

La directiva de grupo se procesa de manera predeterminada cada 90 minutos, con un retraso aleatorio de hasta 30 minutos, para un intervalo de actualización máximo total de hasta 120 minutos.

Para la configuración de seguridad, una vez que ha modificado las directivas de configuración de seguridad, la configuración de directiva de actualiza en los equipos de la unidad organizativa a la que está vinculado el objeto de directiva de grupo:

  • Cuando un equipo se reinicia.

  • Cada 90 minutos en una estación de trabajo o servidor y cada 5 minutos en un controlador de dominio.

  • De forma predeterminada, la configuración de la directiva de seguridad que aporta la directiva de grupo también se aplica cada 16 horas (960 minutos), incluso si no ha cambiado ningún objeto de directiva de grupo.

Desencadenar una actualización de la directiva de grupo

Los cambios realizados en el objeto de directiva de grupo se deben replicar en primer lugar en el controlador de dominio correspondiente; por lo tanto, es posible que los cambios en la configuración de la directiva de grupo no estén disponibles inmediatamente en los escritorios de los usuarios. En algunos casos, como en la aplicación de la configuración de la directiva de seguridad, puede que sea necesario aplicar la configuración de directiva inmediatamente.

Los administradores pueden desencadenar una actualización de la directiva manualmente desde un equipo local sin tener que esperar a la actualización automática en segundo plano. Para ello, los administradores pueden escribir gpupdate en la línea de comandos para actualizar la configuración de directiva de usuario o equipo. No puede usar GPMC para desencadenar una actualización de la directiva.

El comando gpupdate desencadena una actualización de directiva en segundo plano en el equipo local desde el que se ejecuta el comando. El comando gpupdate se utiliza en entornos de Windows Server 2003 y Windows XP.

La aplicación de la directiva de grupo no puede insertarse en los clientes a petición desde el servidor.

Para obtener más información acerca de cómo usar gpupdate, vea el documento sobre cómo actualizar la configuración de directiva de grupo con GPUpdate.exe (https://go.microsoft.com/fwlink/?linkid=80461\&clcid=0xC0A) en el sitio web de Microsoft TechNet.

Identificación de la aplicación de objetos de directiva de grupo

El método principal para especificar qué usuarios y equipos reciben la configuración de un GPO es el vínculo de GPO a sitios, dominios y unidades organizativas.

Puede cambiar el orden predeterminado en el que se procesan los GPO cambiando el orden de los vínculos, bloqueando la herencia de directivas, exigiendo un vínculo de GPO (anteriormente denominado sin invalidación) y deshabilitando un vínculo de GPO.

Los administradores pueden utilizar el filtrado de seguridad y el filtrado WMI para modificar el conjunto de usuarios y equipos al que se va a aplicar un GPO.

Los administradores también pueden utilizar la característica de procesamiento de bucle invertido para asegurarse de que se aplique el mismo conjunto de opciones de configuración de directiva a cualquier usuario que inicie sesión en un equipo específico.

Cambio del orden de procesamiento de los GPO

Los administradores pueden utilizar uno de los siguientes métodos para cambiar el orden en que se procesan los GPO:

  • Cambiar el orden de vínculos. El orden de vínculos de GPO en un sitio, dominio o unidad organizativa controla cuándo se aplican los vínculos. Los administradores pueden cambiar la prioridad de un vínculo cambiando el orden de los vínculos, subiendo o bajando cada vínculo en la lista hasta la ubicación adecuada. El vínculo con el mayor orden (1 es el orden más alto) tiene la prioridad más alta para un sitio, dominio o unidad organizativa.

  • Bloquear la herencia. El uso del bloqueo de la herencia para un dominio o unidad organizativa impide que el contenedor de Active Directory de nivel secundario herede automáticamente los GPO vinculados a dominios, unidades organizativas o sitios más altos. Los contenedores de nivel secundario heredan de manera predeterminada todos los GPO del nivel principal. Sin embargo, a veces resulta útil bloquear la herencia.

  • Exigir un vínculo de GPO. Los administradores pueden especificar que la configuración de un vínculo de GPO tenga prioridad sobre la configuración de cualquier objeto secundario estableciendo ese vínculo en Exigido. Los vínculos de GPO que se exigen no se pueden bloquear desde el contenedor principal. Si los GPO contienen opciones de configuración en conflicto y no se exigen desde un contenedor de nivel superior, la configuración de los vínculos de GPO en el contenedor primario de nivel superior se sobrescribe con la configuración de los GPO vinculados a unidades organizativas secundarias. Al exigirse, el vínculo de GPO principal siempre tiene prioridad. Los vínculos de GPO no se exigen de manera predeterminada.

  • Deshabilitar un vínculo de GPO. De forma predeterminada, el procesamiento está habilitado para todos los vínculos de GPO. Puede bloquear totalmente la aplicación de un GPO para un sitio, dominio o unidad organizativa deshabilitando el vínculo de GPO para ese dominio, sitio o unidad organizativa. Esto no deshabilita el GPO. Si el GPO está vinculado a otros sitios, dominios o unidades organizativas, seguirán procesando el GPO si sus vínculos están habilitados.

Filtrado de seguridad

Este método se utiliza para especificar que sólo entidades de seguridad específicas incluidas en un contenedor donde esté vinculado el GPO apliquen este último. Los administradores pueden utilizar el filtrado de seguridad para reducir el ámbito de un GPO para que el GPO se aplique sólo a un grupo, usuario o equipo. El filtrado de seguridad no puede utilizarse de forma selectiva en diferentes opciones de configuración dentro de un GPO.

El GPO se aplica a un usuario o equipo sólo si ese usuario o equipo tienen los permisos de lectura y aplicación de directiva de grupo (AGP) en el GPO, bien de manera explícita o a través de la pertenencia a grupos. De manera predeterminada, todos los GPO tienen establecida la opción de lectura y AGP en Permitido para el grupo de usuarios autenticados, que incluye usuarios y equipos. Así es como todos los usuarios autenticados reciben la configuración de un nuevo GPO cuando el GPO se aplica a una unidad organización, un dominio o un sitio.

De manera predeterminada, los administradores del dominio, los administradores de empresas y el sistema local poseen permisos de control total, sin la entrada de control de acceso (ACE) Aplicar directiva de grupo. Los administradores son también miembros del grupo de usuarios autenticados. Esto significa que, de forma predeterminada, los administradores reciben la configuración del GPO. Estos permisos se pueden cambiar para limitar el ámbito a un conjunto específico de usuarios, grupos o equipos dentro del sitio, dominio o unidad organizativa.

La Consola de administración de directivas de grupo (GPMC) administra estos permisos como una sola unidad y muestra el filtrado de seguridad para el objeto de directiva de grupo en la ficha Ámbito de GPO. En GPMC, los grupos, usuarios y equipos se pueden agregar o quitar como filtros de seguridad para cada GPO. Para obtener información acerca de GPMC, vea la sección Herramientas de administración de directivas de grupo.

Filtrado de Instrumental de administración de Windows

Instrumental de administración de Windows (WMI) es la implementación de Microsoft de la iniciativa del sector de la administración de empresas basadas en Internet que establece los estándares de la infraestructura de la administración y proporciona una manera de combinar la información de diversos sistemas de administración de hardware y software. WMI expone datos de configuración de hardware como la CPU, la memoria, el espacio en disco y el fabricante, así como datos de configuración del software del Registro, los controladores, el sistema operativo, Active Directory, el servicio Windows Installer, la configuración de redes y los datos de las aplicaciones. Los datos de un equipo de destino se pueden utilizar con fines administrativos, como el filtrado de objetos de directiva de grupo de WMI.

El filtrado de WMI se utiliza para filtrar la aplicación de un GPO mediante la asociación de una consulta del lenguaje de consultas WMI (WQL) a un objeto de directiva de grupo. Las consultas se pueden utilizar para consultar varios elementos en WMI. Si una consulta devuelve el valor verdadero para todos los elementos consultados, el GPO se aplica al usuario o equipo de destino.

Un GPO está vinculado a un filtro WMI y se aplica en un equipo de destino, y el filtro se evalúa en el equipo de destino. Si el filtro WMI se considera falso, no se aplica el GPO (salvo si el equipo cliente está ejecutando Windows 2000, en cuyo caso se omite el filtro y siempre se aplica el GPO). Si el filtro WMI se considera verdadero, se aplica el GPO.

El filtro WMI es un objeto independiente del GPO en el directorio. Un filtro WMI debe estar vinculado a un GPO para que pueda aplicarse, y un filtro WMI y el GPO al que está vinculado deben estar en el mismo dominio. Los filtros WMI se almacenan sólo en dominios. Cada GPO puede tener un solo filtro WMI. El mismo filtro WMI se puede vincular a varios GPO.

Procesamiento de bucle invertido

El procesamiento de bucle invertido es una opción de configuración de directiva de grupo avanzada que resulta útil en equipos de algunos entornos administrados muy de cerca, como servidores, quioscos, laboratorios, aulas y áreas de recepción. Establecer el bucle invertido hace que la configuración de directiva Configuración del usuario de los GPO que se aplican al equipo se aplique a cada usuario que inicie sesión en ese equipo, en lugar de (en el modo Reemplazar) o además de (en el o Combinar) la configuración Configuración del usuario del usuario. Los administradores pueden usar esta característica para asegurarse de que se aplique un conjunto coherente de opciones de directiva a cualquier usuario que inicie sesión en un equipo concreto independientemente de la ubicación del usuario en Active Directory.

Para establecer el procesamiento de bucle invertido, los administradores pueden utilizar la configuración de directiva Modo de procesamiento de bucle invertido de la directiva de grupo de usuario, a la que se tiene acceso en Configuración del equipo\Plantillas administrativas\Sistema\Directiva de grupo del Editor de objetos de directiva de grupo.

Para utilizar la característica de procesamiento de bucle invertido, tanto la cuenta del usuario como la cuenta del equipo deben estar en un dominio de Windows 2000 o posterior. El bucle invertido no funciona en equipos que forman parte de un grupo de trabajo.

Para obtener más información acerca de cómo identificar la aplicación de los GPO, vea el documento sobre cómo controlar el ámbito de los objetos de directiva de grupo con GPMC (https://go.microsoft.com/fwlink/?linkid=80462\&clcid=0xC0A) en el sitio de Microsoft TechNet.

Extensión de plantillas administrativas

La extensión de plantillas administrativas de la directiva de grupo consta de un complemento de servidor de MMC usado para establecer la configuración de la directiva y una extensión de cliente que establece las claves del Registro en los equipos de destino. La directiva de plantillas administrativas también se denomina directiva basada en el Registro o directiva del Registro.

La configuración de directiva de 2007 Microsoft Office system se incluye en los archivos de plantillas administrativas, que pueden descargarse desde la página de plantillas administrativas (ADM) de 2007 Office system (https://go.microsoft.com/fwlink/?linkid=78161\&clcid=0xC0A) del Centro de descarga de Microsoft.

Archivos de plantillas administrativas

Los archivos de plantillas administrativas (.adm) son archivos Unicode que constan de una jerarquía de categorías y subcategorías que definen cómo se muestran las opciones a través del Editor de objetos de directiva de grupo y GPMC. También indican las ubicaciones del Registro donde deben realizarse cambios si se realiza una selección, especifican opciones o restricciones (en valores) asociadas con la selección y, en algunos casos, indican un valor predeterminado que se utilizará si se activa una selección.

La funcionalidad de los archivos .adm es limitada. El fin de los archivos .adm es habilitar una interfaz de usuario para establecer la configuración de directiva. Los archivos .adm no contienen la configuración de directiva. La configuración de directiva se incluye en los archivos registry.pol situados en la carpeta Sysvol de los controladores de dominio.

El complemento de servidor Plantillas administrativas ofrece un nodo llamado Plantillas administrativas que aparece en el Editor de objetos de directiva de grupo en el nodo Configuración del equipo y el nodo Configuración del usuario. La configuración incluida en Configuración del equipo manipula la configuración del Registro del equipo. La configuración incluida en Configuración del usuario manipula la configuración del Registro de los usuarios. Aunque algunas opciones de la configuración de directiva requieren elementos de interfaz de usuario sencillos tales como cuadros de texto para especificar valores, la mayoría de las opciones de la configuración de directiva sólo contienen las siguientes:

  • Habilitado: la directiva se aplica. Algunas opciones de configuración de directiva proporcionan opciones adicionales que definen el comportamiento cuando se activa la directiva.

  • Deshabilitado: aplica el comportamiento opuesto al estado Habilitado para la mayoría de las opciones de la configuración de directiva. Por ejemplo, si Habilitado desactiva el estado de una característica, Deshabilitado activa el estado de la característica.

  • Sin configurar: la directiva no se aplica. El valor predeterminado es Sin configurar para la mayoría de las opciones de configuración.

Archivos de plantillas administrativas para 2007 Office system

Los siguientes archivos de plantillas administrativas están disponibles para la 2007 Office System:

  • office12.adm: componentes de Office compartidos

  • access12.adm: Microsoft Office Access 2007

  • cpao12.adm: Asistente de impresión de calendarios para Microsoft Office Outlook 2007

  • excel12.adm: Microsoft Office Excel 2007

  • groove12.adm: Microsoft Office Groove 2007

  • ic12.adm: Microsoft Office InterConnect 2007

  • inf12.adm: Microsoft Office InfoPath 2007

  • onent12.adm: Microsoft Office OneNote 2007

  • outlk12.adm: Microsoft Office Outlook 2007

  • ppt12.adm: Microsoft Office PowerPoint 2007

  • proj12.adm: Microsoft Office Project 2007

  • pub12.adm: Microsoft Office Publisher 2007

  • spd12.adm: Microsoft Office SharePoint Designer 2007

  • visio12.adm: Microsoft Office Visio 2007

  • word12.adm: Microsoft Office Word 2007

Los administradores pueden utilizar la configuración de directiva de la 2007 Office System para tareas como las siguientes:

  • Administrar la configuración de seguridad para las aplicaciones de la 2007 Office System

  • Impedir conexiones a Internet desde las aplicaciones de la 2007 Office System

  • Ocultar o deshabilitar opciones de configuración de la interfaz de usuario de la 2007 Office System que puedan resultar confusas para los usuarios o innecesarias para el trabajo de los usuarios

  • Crear configuraciones estándar altamente administradas o menos restringidas de los equipos de los usuarios

  • Establecer opciones para guardar archivos predeterminadas para las aplicaciones de la 2007 Office System con el fin de preparar la migración desde versiones anteriores de Office

Por ejemplo, los administradores pueden utilizar la directiva de grupo para deshabilitar, habilitar o establecer la mayor parte de las opciones de configuración que controlan la interfaz de usuario de Office, como:

  • Comandos de menú

  • Teclas de método abreviado

  • Configuración de cuadros de diálogo de opciones

La gran mayoría de las opciones de configuración de la directiva de grupo disponibles para la 2007 Office System ofrecen un alto grado de flexibilidad. Los administradores pueden crear configuraciones altamente o escasamente administradas, en función de los requisitos específicos del negocio y de los problemas de seguridad de sus organizaciones.

Para descargar los archivos de plantillas administrativas de la 2007 Office System, vea Plantillas administrativas (ADM) de 2007 Office System en el Centro de descarga de Microsoft.

También puede descargar el archivo de plantilla administrativa (ADM) de convertidores de formatos XML abiertos de 2007 Microsoft Office System del Centro de descarga de Microsoft. Los administradores pueden usar esta plantilla para modificar el comportamiento predeterminado de los convertidores de formatos XML abiertos de Microsoft Office Word, Excel y PowerPoint 2007.

Los administradores pueden modificar archivos de plantillas administrativas de Microsoft Office 2003 y Microsoft Office XP para establecer las opciones predeterminadas disponibles para Guardar como en el menú Archivo e incluir así los formatos de archivo XML abiertos de los programas de 2007 Office system. Para obtener más información, vea el artículo 932127 de Knowledge Base acerca de cómo modificar un archivo de directiva existente de Office (archivo ADM) para Office 2003 y Office XP para establecer el formato de archivo predeterminado para Guardar como de forma que incluya los nuevos formatos de archivo XML abiertos de los programas de 2007 Microsoft Office (sitio web de Knowledge Base (KB) del soporte técnico de Microsoft).

Para obtener más información acerca de las plantillas administrativas, vea la referencia técnica de la extensión de plantillas administrativas (en inglés) (https://go.microsoft.com/fwlink/?linkid=56088\&clcid=0xC0A) (en inglés).

Windows Vista y Windows Server 2008 disponen de un nuevo formato XML para los archivos de plantillas administrativas, tal como se explica en la siguiente sección.

Archivos de plantillas administrativas: cambios en Windows Vista y Windows Server 2008

Los archivos de plantillas administrativas se incorporaron por primera vez en Windows NT 4.0 y usaban un formato de archivo único denominado archivos .adm. En los sistemas operativos Windows Vista y Windows Server 2008, estos archivos son sustituidos por los archivos ADMX, que utilizan un formato de archivo basado en XML para mostrar la configuración de directiva basada en el Registro. Estos nuevos archivos de plantillas administrativas facilitan la administración de la configuración de directiva basada en el Registro de Windows Vista y Windows Server 2008. La configuración de directiva incluida en los archivos ADM de Office 2007 y ADMX es la misma.

Los nuevos archivos ADMX y ADML reemplazan los archivos .adm anteriores y se dividen en archivos de recursos independientes del idioma (ADMX) y específicos del idioma (ADML). Estos nuevos tipos de archivo permiten a las herramientas de directiva de grupo ajustar la interfaz de usuario de acuerdo con el idioma configurado del administrador.

El Editor de objetos de directiva de grupo y la Consola de administración de directivas de grupo siguen reconociendo los archivos .adm anteriores que pueda tener en su entorno actual. Los archivos .adm personalizados (o archivos .adm que no se proporcionan de forma predeterminada en el sistema operativo) de un objeto de directiva de grupo los utiliza el Editor de objetos de directiva de grupo y la Consola de administración de directivas de grupo. Las herramientas no reconocen archivos .adm anteriores que se incluyeron de forma predeterminada en el sistema operativo, como System.adm y Inetres.adm.

Los administradores pueden administrar la configuración de directiva de grupo que afecta a Windows Vista y los sistemas operativos anteriores desde una estación de trabajo que ejecute Windows Vista. Los archivos ADMX sólo se admiten en el sistema operativo Windows Vista. Copiar archivos ADMX en sistemas operativos anteriores no tiene ningún efecto.

[!NOTA] Los administradores pueden convertir los archivos ADM al formato ADMX mediante la herramienta de migración ADMX. Esta herramienta proporciona un editor ADMX con una interfaz gráfica de usuario para crear y editar plantillas administrativas. Para obtener más información, vea el documento sobre la herramienta de migración ADMX (en inglés) (https://go.microsoft.com/fwlink/?linkid=77409&clcid=0xC0A) (en inglés).

Almacenamiento de archivos ADMX y ADML en Windows Vista

El almacén central es una carpeta creada en la carpeta SYSVOL de un controlador de dominio de Active Directory. Esta carpeta proporciona una ubicación de almacenamiento única y centralizada para los archivos ADMX y ADML del dominio. Los administradores pueden crear un almacén central en un controlador de dominio que ejecute Windows Server 2003 R2, Windows Server 2003 SP1 o Windows 2000 Server. La creación del almacén central no requiere Windows Server 2008.

Para obtener más información acerca de la administración de archivos ADMX en Vista, vea la guía paso a paso acerca de la administración de archivos ADMX de directiva de grupo (en inglés), los requisitos para la edición de objetos de directiva de grupo mediante el uso de archivos ADMX (en inglés) y el escenario 2 sobre la edición de GPO basados en dominios mediante el uso de archivos ADMX (en inglés) en el sitio web de Microsoft TechNet.

Preferencias de usuario y directivas verdaderas

La configuración de directiva de grupo que los administradores pueden administrar totalmente se denomina directivas verdaderas. Las opciones de configuración que establecen los usuarios o que reflejan el estado predeterminado del sistema operativo en el momento de la instalación se denominan preferencias. Tanto las directivas verdaderas como las preferencias contienen información que modifica el Registro de los equipos de los usuarios. Hay distinciones importantes entre las directivas verdaderas y las preferencias. La configuración de las directivas verdaderas tiene prioridad sobre la configuración de las preferencias.

Los valores del Registro de las directivas verdaderas se almacenan en las claves del Registro aprobadas para la directiva de grupo. Los usuarios no pueden cambiar ni deshabilitar estas opciones de configuración:

Para la configuración de directivas de equipo:

  • HKEY_LOCAL_MACHINE\Software\Policies (la ubicación preferida)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Para la configuración de directiva de usuario:

  • HKEY_CURRENT_USER\Software\Policies (la ubicación preferida)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Las preferencias las establecen los usuarios o el sistema operativo en el momento de la instalación. Los valores del Registro que almacenan las preferencias se encuentran fuera de las claves de la directiva de grupo aprobadas que se muestran en la tabla anterior. Los usuarios pueden cambiar sus preferencias.

Los administradores pueden escribir un archivo .adm que establezca valores del Registro fuera de los árboles del Registro de la directiva de grupo aprobados. En este caso, este método sólo garantiza que una clave del Registro o un valor se establece de un modo específico. Con este enfoque, el administrador establece la configuración de las preferencias en lugar de la configuración de las directivas verdaderas y marca el Registro con esta configuración. Esto significa que la configuración se conserva en el Registro, incluso si se deshabilita o elimina la configuración de preferencias.

Si establece la configuración de las preferencias mediante el uso de un objeto de directiva de grupo de esta manera, los GPO que cree no tienen restricciones de lista de control de acceso (ACL). Por lo tanto, los usuarios pueden cambiar estos valores en el Registro. Cuando el GPO queda fuera del ámbito (si se desvincula, deshabilita o se elimina el GPO), estos valores no se quitan del Registro.

Por el contrario, las opciones de configuración de directivas verdaderas del Registro tienen restricciones de ACL para impedir que los usuarios cambien la configuración. Los valores de directiva se quitan cuando el GPO que establece los valores queda fuera de ámbito. Por este motivo, las directivas verdaderas se consideran opciones de configuración de directiva que pueden ser totalmente administradas. De forma predeterminada, el Editor de objetos de directiva de grupo sólo muestra la configuración de directiva que puede ser totalmente administrada.

Para ver las preferencias en el Editor de objetos de directiva de grupo, haga clic en el nodo Plantillas administrativas, haga clic en Ver, haga clic en Filtrado y, a continuación, desactive la casilla Mostrar sólo valores de directiva que pueden administrarse totalmente.

Las opciones de configuración de directivas verdaderas tiene prioridad sobre las preferencias; sin embargo, no sobrescriben ni modifican las claves del Registro utilizadas por las preferencias. Si se ha implementado una opción de configuración de directiva que entra en conflicto con una opción de configuración de preferencia, la opción de configuración de directiva tiene prioridad sobre la preferencia. Si están presentes tanto una directiva como una preferencia, la preferencia se restaura correctamente si se quita o deshabilita la directiva. Las opciones de configuración de preferencias se conservan en el Registro hasta que las revierta una configuración de directiva que las contrarreste o se modifique el Registro.

En la tabla siguiente se resumen los efectos de la configuración de directiva y las preferencias.

Directiva de grupo presente Preferencia presente Comportamiento resultante

No

No

Predeterminado

No

La configuración de preferencia configura el comportamiento.

No

La configuración de directiva configura el comportamiento.

La configuración de directiva configura el comportamiento. La configuración de preferencia se omite.

En el caso de 2007 Office system, todas las opciones de configuración de directiva específicas del usuario se almacenan en la subclave HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0. Las directivas específicas del equipo se almacenan en la subclave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\12.0. De forma predeterminada, se bloquean ambas subclaves de directiva para impedir que los usuarios las modifiquen.

Herramientas de administración de directivas de grupo

Los administradores utilizan las siguientes herramientas para administrar la directiva de grupo: los complementos Consola de administración de directivas de grupo (GPMC) y Microsoft Management Console (MMC) del Editor de objetos de directiva de grupo. Los administradores usan la Consola de administración de directivas de grupo para administrar la mayoría de tareas de administración de directiva de grupo. El Editor de objetos de directiva de grupo se utiliza para establecer la configuración de directiva en los objetos de directiva de grupo.

Consola de administración de directivas de grupo

GPMC simplifica la administración de la directiva de grupo al proporcionar una única herramienta para administrar aspectos básicos de la directiva de grupo, tales como los ámbitos, la delegación, el filtrado y la manipulación de la herencia de GPO. También se puede utilizar GPMC para realizar copias de seguridad (exportar), restaurar, importar y copiar GPO. Los administradores pueden utilizar GPMC para predecir cómo afectarán los GPO a la red y para determinar cómo los GPO han cambiado la configuración en un equipo o usuario. GMPC es la herramienta preferida para administrar la mayoría de tareas de directiva de grupo en un entorno de dominio.

GPMC proporciona una vista de GPO, sitios, dominios y unidades organizativas en una empresa y puede utilizarse para administrar dominios de Windows Server 2003 o Windows 2000. Los administradores utilizan GPMC para realizar todas las tareas de administración de directiva de grupo, con la excepción del establecimiento de opciones de configuración de directiva individuales en objetos de directiva de grupo. Esto se realiza con el Editor de objetos de directiva de grupo. GPMC invoca al Editor de objetos de directiva de grupo y esta herramienta se puede utilizar desde GPMC.

Los administradores utilizan GPMC para crear un GPO sin ninguna configuración inicial. Un administrador también puede crear un GPO y vincularlo a un contenedor de Active Directory al mismo tiempo. Para establecer opciones de configuración individuales dentro de un GPO, un administrador modifica el GPO desde GPMC. El Editor de objetos de directiva de grupo se muestra con el GPO cargado.

Un administrador puede utilizar GPMC para vincular GPO a sitios, dominios o unidades organizativas en Active Directory. Los administradores deben vincular GPO para aplicar la configuración a los usuarios y equipos de los contenedores de Active Directory.

GPMC incluye las siguientes características del conjunto resultante de directivas (RSoP) que ofrece Windows:

  • Modelación de directivas de grupo. Simula qué configuración de directiva se aplica en circunstancias especificadas por un administrador. Los administradores pueden usar la modelación de directivas de grupo para simular los datos de RSoP que se aplicarían para una configuración existente o pueden analizar los efectos de cambios simulados e hipotéticos en su entorno de directorio. Para modelar directivas de grupo se requiere que haya al menos un controlador de dominio que ejecute Windows Server 2003, ya que esta simulación la realiza un servicio que se ejecuta en un controlador de dominio que ejecuta Windows Server 3003. Para obtener más información, vea el documento sobre modelos de directiva de grupo (en inglés) (https://go.microsoft.com/fwlink/?linkid=82672\&clcid=0xC0A) (en inglés) en el sitio web de Microsoft TechNet.

  • Resultados de directivas de grupo. Representa los datos reales de la directiva que se aplican a un equipo y un usuario. Los datos se obtienen mediante una consulta en el equipo de destino y la recuperación de los datos de RSoP que se aplicaron a ese equipo. La capacidad de Resultados de directivas de grupo la proporciona el sistema operativo cliente y requiere Windows XP, Windows Server 2003 o versiones posteriores del sistema operativo. Para obtener más información, vea el documento sobre resultados de directiva de grupo (en inglés) (https://go.microsoft.com/fwlink/?linkid=82673\&clcid=0xC0A) (en inglés) en el sitio web de Microsoft TechNet.

GPMC originalmente se proporcionó como un componente de descarga independiente para Microsoft Windows Server 2003 y Windows XP. Para descargar GPMC, vea la página para descargar la consola de administración de directiva de grupo (GPMC) (https://go.microsoft.com/fwlink/?linkid=58541\&clcid=0xC0A) en el sitio web del Centro de descarga de Microsoft.

En Windows Vista y Windows Server 2008, GPMC está integrada directamente en el sistema operativo y es la herramienta estándar para administrar tareas de directiva de grupo junto con el Editor de objetos de directiva de grupo.

Para obtener más información acerca de GPMC, vea la guía paso a paso para usar la consola de administración de directiva de grupo (en inglés) (https://go.microsoft.com/fwlink/?linkid=75196\&clcid=0xC0A) (en inglés) en el sitio web de Microsoft TechNet.

Editor de objetos de directiva de grupo

El Editor de objetos de directiva de grupo es un complemento de MMC que se utiliza para establecer la configuración de directiva en los objetos de directiva de grupo. El Editor de objetos de directiva de grupo se encuentra en gpedit.dll y se instala con los sistemas operativos Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

En los equipos que ejecutan Windows 2000, Windows XP con el Paquete de herramientas de administración de Windows Server 2003 instalado y Windows Server 2003, puede tener acceso al Editor de objetos de directiva de grupo desde los complementos Usuarios y equipos de Active Directory y Sitios y servicios de Active Directory.

Para establecer la configuración de directiva de grupo para un equipo local que no es miembro de un dominio, utilice el Editor de objetos de directiva de grupo para administrar un GPO local (o varios GPO en equipos que ejecuten Windows Vista o Windows Server 2008). Para establecer opciones de configuración de directiva de grupo en un entorno de dominio, GPMC, que invoca al Editor de objetos de directiva de grupo, es la herramienta preferida para las tareas de administración de la directiva de grupo.

El Editor de objetos de directiva de grupo proporciona a los administradores una estructura de árbol jerárquica para establecer opciones de configuración de directiva de grupo en GPO. A continuación, estos GPO se pueden vincular a sitios, dominios y unidades organizativas que contengan objetos de equipo o usuario.

El Editor de objetos de directiva de grupo consta de dos nodos principales: Configuración del usuario, que contiene las opciones de configuración que se aplican a los usuarios durante el inicio de sesión y la actualización periódica en segundo plano, y Configuración del equipo, que contiene las opciones de configuración que se aplican a los equipos durante el inicio y la actualización periódica en segundo plano. Los nodos principales se dividen a su vez en carpetas que contienen los distintos tipos de configuración de directiva que se pueden establecer. Entre estas carpetas se incluyen:

  • Configuración de software, que contiene opciones de configuración de instalación de software

  • Configuración de Windows, que contiene opciones de configuración de seguridad y opciones de configuración de directiva de scripts

  • Plantillas administrativas, que contiene opciones de configuración de directiva basadas en el Registro

Para obtener más información acerca del Editor de objetos de directiva de grupo, vea el documento sobre directiva de grupo (anterior a GPMC) (https://go.microsoft.com/fwlink/?linkid=72742\&clcid=0xC0A) en el sitio web de Windows Server 2003 de Microsoft TechNet.

Herramienta de personalización de Office y directiva de grupo

Los administradores pueden utilizar dos herramientas para personalizar configuraciones de usuario para las aplicaciones de la 2007 Office System: Herramienta de personalización de Office (OCT) y directiva de grupo. Aunque ambas herramientas sirven para establecer opciones de configuración de usuario, tienen diferencias importantes.

  • La Herramienta de personalización de Office se utiliza para crear un archivo de personalización del programa de instalación (archivo MSP). Los administradores pueden utilizar OCT para personalizar las características y establecer las opciones de configuración del usuario. Los usuarios pueden modificar la mayor parte de las opciones de configuración después de la instalación. Esto se debe a que OCT establece las opciones de configuración en partes del Registro públicamente accesibles, como HKEY_CURRENT_USER/SOFTWARE/MICROSOFT/Office/12.0. Esta herramienta suele utilizarse en organizaciones que no administran las configuraciones de escritorio de forma centralizada. Para obtener más información, vea Herramienta de personalización de Office en 2007 Office system.

  • La directiva de grupo se utiliza para establecer las opciones de configuración de directiva de la 2007 Office System incluidas en las plantillas administrativas, y el sistema operativo aplica esas opciones de configuración de directiva. En un entorno de Active Directory, los administradores pueden aplicar opciones de configuración de directiva en grupos de usuarios y equipos de un sitio, dominio o unidad organizativa a los que esté vinculado un GPO. La configuración de directivas verdaderas se escribe en las claves del Registro aprobadas para la directiva, y esta configuración tiene restricciones de ACL que impiden que los usuarios que no sean administradores puedan cambiarla. Los administradores pueden utilizar la directiva de grupo para crear configuraciones de escritorio con un alto grado de administración. También pueden crear configuraciones escasamente administradas para satisfacer los requisitos empresariales y de seguridad de sus organizaciones.

Descarga de este libro

En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en el documento de información del kit de recursos de Office.