Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Implementación de escenarios de administración de escritorio comunes con la Consola de administración de directivas de grupo

Publicado: mayo 3, aaaa
**
**

En estas notas del producto se describen seis escenarios en los que se utiliza la directiva de grupo para administrar los entornos de escritorio de los usuarios. Este documento es un complemento a un conjunto de escenarios de objeto de directiva de grupo (GPO) preconfigurados que se pueden descargar desde esta página. Estos escenarios de GPO pueden servir como punto de partida para desarrollar una configuración que se adapte a su entorno, e ilustran las características que se pueden administrar mediante la directiva de grupo. Estas notas del producto incluyen cobertura de Windows Server 2003 y de la Consola de administración de directivas de grupo (GPMC).

En esta página
IntroducciónIntroducción
Descripción y uso de los escenariosDescripción y uso de los escenarios
Implementar los escenariosImplementar los escenarios
Configurar características específicasConfigurar características específicas
Cambiar de un escenario a otroCambiar de un escenario a otro
Ampliación de los escenariosAmpliación de los escenarios
Apéndice A: Configuración de directivas para los escenarios de los objetos de directiva de grupoApéndice A: Configuración de directivas para los escenarios de los objetos de directiva de grupo
Apéndice B: Ejecutar CommonScenarios.msiApéndice B: Ejecutar CommonScenarios.msi

Introducción

Información general sobre la directiva de grupo

Las tecnologías de administración de IntelliMirror® permiten administrar los cambios y la configuración basados en Active Directory de las opciones de usuarios y equipos en equipos que ejecutan un componente de las familias de sistemas operativos Microsoft® Windows® Server 2003 o Microsoft Windows® 2000 o el sistema operativo Microsoft® Windows® XP Professional. La directiva de grupo proporciona la infraestructura de IntelliMirror que permite configurar la directiva basada en el Registro, la seguridad, la instalación de software, las secuencias de comandos, el redireccionamiento de carpetas, los servicios de instalación remota y el mantenimiento de Internet Explorer.

La configuración de directiva de grupo que cree se incluye en un objeto de directiva de grupo (GPO). Al vincular un GPO a contenedores de servicio de Active Directory seleccionados (sitios, dominios y unidades organizativas), puede aplicar esa configuración a los usuarios y equipos incluidos en dichos contenedores. La herencia y la prioridad de la directiva de grupo determinan dónde y cómo vincular los objetos de directiva de grupo. De forma predeterminada, las opciones definidas en los GPO vinculados a los niveles superiores de los contenedores de Active Directory (sitios, dominios y unidades organizativas) las heredan todos los contenedores de niveles inferiores, si bien esta herencia no se produce entre los dominios. Como los GPO de nivel inferior se aplican en último lugar, éstos sobrescriben los GPO de nivel superior y pueden proporcionar unidades organizativas de nivel inferior con un conjunto diferente de opciones de directiva de grupo.

Para administrar los objetos de directiva de grupo, se utiliza la Consola de administración de directivas de grupo (GPMC) o sus interfaces de secuencia de comandos. GPMC es una nueva herramienta que se publicó cuando se lanzó Windows Server 2003. No obstante, es importante tener en cuenta que GPMC es una herramienta muy eficaz para administrar la directiva de grupo en los dominios de Windows 2000 y que, salvo para algunas nuevas características, no es necesario disponer de Windows Server 2003 en el entorno.

Se asume que el lector de estas notas del producto conoce los principios básicos de la directiva de grupo.

Acerca de los escenarios comunes de escritorio

La directiva de grupo es una tecnología altamente funcional y flexible que proporciona la capacidad de administrar de forma eficaz un gran número de cuentas de equipo y usuario mediante un modelo "uno a varios" centralizado. Esta flexibilidad puede conllevar un alto grado de complejidad. Por ejemplo, la directiva de grupo en Windows Server 2003 permite casi 1.000 opciones configurables. Esto en principio puede parecer una tarea desalentadora: ¿cómo evalúa el administrador la importancia relativa de estas opciones, y qué características habilitadas por la directiva de grupo debe considerar a la hora de desarrollar una solución?

Este documento sobre escenarios comunes de escritorio proporciona un conjunto estructurado, probado y coherente de objetos de directiva de grupo preconfigurados junto con documentación asociada, con el fin de limar los obstáculos iniciales que se puedan encontrar los encargados de evaluar la directiva de grupo.

Los escenarios descritos en estas notas del producto proporcionan un buen punto de partida para empezar a evaluar y a comprender la directiva de grupo. Mediante la implementación de estos escenarios en un entorno de prueba, debe ser capaz de:

Comprender fácilmente el alcance de la directiva de grupo y determinar cómo utilizar un amplio número de opciones.

Enumerar algunas de las soluciones importantes habilitadas por la directiva de grupo.

Adquirir familiaridad con algunas de las nuevas funciones incluidas con GPMC, en concreto con las operaciones de copia de seguridad e importación de los objetos de directiva de grupo y los informes de directiva de grupo.

Sacar conclusiones sobre cómo implementar la directiva de grupo en el entorno de producción.

Nota: el enfoque seguido en estas notas del producto varía considerablemente del utilizado en versiones anteriormente publicadas. Estas diferencias reflejan fundamentalmente las nuevas características disponibles en GPMC y se describen exhaustivamente más adelante en este documento.

Cómo utilizar los escenarios comunes de escritorio

Los objetos de directiva de grupo proporcionados en estas notas del producto se crearon mediante la utilidad de copia de seguridad de GPMC. Esta nueva herramienta proporciona un punto de entrada único para la administración de la directiva de grupo en un entorno y puede administrar tanto dominios de Windows 2000 como de Windows Server 2003. Puede descargar la Consola de administración de directivas de grupo (GPMC) del sitio Web de Microsoft (http://go.microsoft.com/fwlink/?linkid=12946). Puede importar estos objetos de directiva de grupo en su entorno como un paso inicial para implementar los escenarios comunes. Los detalles de cada escenario se describen en este documento y están ampliamente documentados en una hoja de cálculo, así como en informes basados en HTML generados mediante la utilidad de informes de directiva de grupo de GPMC para cada uno de los objetos de directiva de grupo.

En muchos casos, un escenario puede proporcionar una configuración específica de equipos y usuarios similar a la que necesita para su entorno de producción y, por tanto, no tendrá que realizar cambios importantes. En otras ocasiones, puede ser necesario modificar sustancialmente los objetos de directiva de grupo proporcionados para asegurarse de que se adecuan a los objetivos del negocio.

Los objetos de directiva de grupo se pueden implementar y validar en un entorno de prueba, modificarse (cuando sea necesario) para ajustarlos a las necesidades específicas y, después de la comprobación pertinente, copiarse o importarse a un entorno de producción.

El simple hecho de importar los objetos de directiva de grupo del escenario en el dominio no tiene efecto inmediato en los equipos o usuarios. Para que las cuentas de destino resulten afectadas, estos objetos se deben vincular a un ámbito de administración adecuado (un sitio, dominio o unidad organizativa que desee administrar mediante estos objetos). Esto significa que el lector con recursos de pruebas limitados puede optar por importar los objetos de directiva de grupo a un entorno de producción y, antes de aplicarlos a un conjunto de cuentas de equipo o usuario, vincularlos a un ámbito de administración que tenga un número de cuentas más limitado y crear, de esta forma, un programa piloto controlado y eficaz. Una vez desarrollado el programa piloto y tras probar los cambios necesarios, se pueden vincular los objetos de directiva de grupo a ámbitos de administración más amplios. Este enfoque resulta más eficaz cuando los equipos y los usuarios se administran a través de unidades organizativas, y en estas notas del producto se asume que éste es el mecanismo utilizado, salvo que se indique lo contrario.

Información general sobre los escenarios

A continuación, se describen los escenarios junto con ejemplos típicos.

Menor grado de administración

Utilice este escenario para usuarios avanzados o desarrolladores que requieran un gran control sobre su equipo. También puede utilizar este escenario en una organización donde los escritorios con una administración estricta no sean adecuados para los usuarios o donde se deleguen casi todas las tareas de administración de escritorios. Junto con los demás escenarios, el escenario Menor grado de administración proporciona un alto grado de seguridad y permite un modelo de uso coherente, ventajas ambas que pueden ser beneficiosas incluso allí donde no sean adecuados los escritorios con administración estricta.

El escenario Menor grado de administración se caracteriza por lo siguiente:

Es el menos administrado de todos los escenarios.

Permite a los usuarios personalizar la mayor parte de la configuración que les concierne a ellos, pero impide que realicen cambios que puedan dañar el sistema.

Incluye opciones que reducen los costos de soporte técnico y el tiempo de inactividad del usuario.

Admite entornos de trabajo no asignados, lo que implica que los usuarios pueden utilizar cualquier equipo y tener acceso a todos sus recursos, aplicaciones y datos como si trabajaran en su propio equipo. Esta característica simplifica además los escenarios de copia de seguridad de archivos, ya que los archivos de los usuarios se almacenan en su totalidad en servidores de archivos designados.

Normalmente, dispone de un conjunto central de aplicaciones asignado al usuario o equipo, que siempre está disponible. Los usuarios pueden instalar también aplicaciones publicadas por ellos, si así lo deciden.

Móvil

El escenario Móvil se aplica a los equipos móviles o portátiles y a sus usuarios. En este escenario se presta particular atención al usuario desconectado que tiene que trabajar frecuentemente sin estar conectado y que de vez en cuando sincroniza su equipo con la red corporativa.

El escenario Móvil se caracteriza por lo siguiente:

Pueden utilizarlo aquellos usuarios que se encuentran fuera de la oficina la mayor parte del tiempo, que se conectan con una velocidad baja mediante acceso telefónico, pero que de vez en cuando también necesitan conectarse mediante vínculos de red de alta velocidad.

Pueden utilizarlo también los usuarios que ocasionalmente trabajan fuera de la oficina y que se conectan mediante acceso remoto o vínculos de redes remotos.

Permite a los usuarios tener un acceso continuado a sus datos y opciones de configuración independientemente de si el equipo está conectado o desconectado de la red.

Admite parcialmente la característica de entornos de trabajo no asignados (aunque puede admitirla en su totalidad de forma opcional) para facilitar la copia de seguridad centralizada de los datos y para permitir que los usuarios tengan acceso a datos importantes y a la configuración desde otros equipos.

Permite a los usuarios desconectarse de la red sin cerrar la sesión ni apagar el equipo.

Multiusuario

Utilice este escenario el centro de cálculo de una universidad o en una biblioteca donde los usuarios puedan guardar algunas personalizaciones, como las preferencias de papel tapiz y combinación de colores del escritorio, pero no puedan cambiar la configuración del hardware o de las conexiones.

El escenario Multiusuario se caracteriza por lo siguiente:

Permite la personalización básica del entorno de escritorio. Los usuarios pueden guardar las configuraciones de escritorio, pero no puede personalizar la configuración de red, del hardware ni del sistema.

Admite la característica de entornos de trabajo no asignados; los usuarios pueden iniciar sesión en cualquier equipo y recuperar sus datos y su configuración. Cuando abandonan el equipo, no se conserva el estado almacenado en caché.

Los usuarios tienen acceso de escritura restringido al equipo local y sólo pueden escribir datos en sus perfiles de usuario y en las carpetas redirigidas.

Tiene instalado un conjunto de aplicaciones que siempre están disponibles (aplicaciones asignadas), además de aplicaciones que pueden instalar y quitar según sea necesario (aplicaciones publicadas).

Es muy seguro.

Estación de aplicaciones

El escenario Estación de aplicaciones se utiliza cuando se requieren configuraciones muy restringidas con un número reducido de aplicaciones. Utilice este escenario en aplicaciones verticales, como mercadotecnia, procesamiento de reclamaciones y préstamos y escenarios de servicios a clientes.

El escenario Estación de aplicaciones se caracteriza por lo siguiente:

Permite una personalización mínima por parte del usuario.

Permite a los usuarios tener acceso a número pequeño de aplicaciones adecuadas a su puesto de trabajo.

No permite que los usuarios agreguen ni quiten aplicaciones.

Admite la característica de entornos de trabajo no asignados.

Proporciona un escritorio simplificado y un menú Inicio.

Los usuarios tienen acceso de escritura restringido al equipo local y sólo pueden escribir datos en sus perfiles de usuario y en las carpetas redirigidas.

Es muy seguro.

Estación de tareas

Utilice el escenario Estación de tareas cuando necesite un equipo dedicado que ejecute una sola aplicación, como una terminal de entrada de pedidos de una planta de fabricación o de un centro de llamadas.

El escenario Estación de tareas es similar al de Estación de aplicaciones, con las siguientes diferencias:

Sólo tiene una aplicación instalada, que se inicia automáticamente cuando el usuario inicia una sesión.

No contiene ni escritorio ni menú Inicio.

Quiosco

Utilice este escenario en un área pública, como en un aeropuerto en el que los pasajeros facturan sus equipajes y consultan la información de sus vuelos. Dado que el equipo estará normalmente desatendido, debe ser muy seguro.

El escenario Quiosco se caracteriza por lo siguiente:

Es una estación de trabajo pública.

Ejecuta sólo una aplicación.

Utiliza únicamente una cuenta de usuario e inicia sesión automáticamente. El sistema se restablece automáticamente a un estado predeterminado al inicio de cada sesión.

Se ejecuta de forma desatendida.

Es muy seguro.

Es fácil de utilizar, sin ningún procedimiento de inicio de sesión.

No permite que los usuarios realicen cambios en la configuración predeterminada de usuario o del sistema.

No guarda datos en el disco.

Siempre está habilitado (el usuario no cierra sesión ni apaga el equipo).

Una estación de trabajo que utiliza el escenario Quiosco es similar a una Estación de tareas, pero los usuarios son anónimos en el sentido de que comparten una única cuenta de usuario que se inicia automáticamente al arrancar el equipo. Esto se consigue modificando el equipo Quiosco del modo descrito más adelante en este documento. Los usuarios no pueden personalizar su entorno y no se conserva el estado de los usuarios.

Aunque las sesiones de usuario suelen ser anónimas, los usuarios pueden iniciar sesión en una cuenta específica de una aplicación, como una aplicación basada en Web a través de Internet Explorer (si Internet Explorer es la "aplicación quiosco" lanzada durante el arranque).

La aplicación dedicada puede ser una aplicación empresarial, una aplicación alojada en Internet Explorer u otra aplicación, como una de Microsoft Office. La aplicación predeterminada no debe ser el Explorador de Windows ni otra aplicación de tipo shell. El Explorador de Windows permite un mayor acceso al equipo que el indicado para un equipo Quiosco. Asegúrese de que el símbolo del sistema está deshabilitado y de que no se puede tener acceso al Explorador de Windows desde ninguna aplicación utilizada para este propósito.

Las aplicaciones utilizadas para los escenarios Quiosco deben comprobarse exhaustivamente para asegurarse de que no contienen “puertas traseras” que permitan a los usuarios contravenir las directivas del sistema. Por ejemplo, no deben permitir que los usuarios tengan acceso a las aplicaciones que utilizan el sistema de archivos. Lo ideal sería que sólo se utilizaran aplicaciones que cumplieran la especificación de aplicaciones para Windows 2000, que estuvieran certificadas para Windows y que comprobaran la configuración de la directiva de grupo antes de proporcionar acceso a los usuarios a las características prohibidas. Para obtener más información, consulte “The Application Specification for Windows 2000” (La especificación de aplicaciones para Windows 2000) en el sitio Web de Microsoft (http://go.microsoft.com/fwlink/?linkid=1636). Por lo general, las aplicaciones antiguas no serán compatibles con la directiva de grupo, por lo que debe tratar de deshabilitar cualquier característica que permita a los usuarios sortear la directiva administrativa.

Las entradas del Registro Run y RunOnce están deshabilitadas en el escenario Quiosco mediante la configuración de la directiva asociada.

Importante: las aplicaciones que utilizan la entrada RunOnce para finalizar una instalación o actualización producirán un error cuando la configuración de la directiva de grupo No procesar la lista de una sola ejecución se encuentre habilitada.

Consulte la tabla “Comparación de escenarios” del Apéndice A para ver una comparación de las características de los distintos escenarios.

Descripción y uso de los escenarios

Los escenarios se implementan mediante el uso de los objetos de directiva de grupo proporcionados en el paquete .MSI con estas notas del producto. Al vincular las combinaciones adecuadas de objetos de directiva de grupo a las unidades organizativas para la configuración de equipos y usuarios, puede implementar cada uno de los escenarios en su entorno. En esta sección se describen las características generales de estos objetos y el modo en que se pueden vincular a unidades organizativas.

Cómo se diseñan los escenarios

Objetos de directiva de grupo distintos para la configuración de directivas de equipos y usuarios

La mayoría de los escenarios están directamente asociados a dos objetos de directiva de grupo: uno para la configuración de equipos y otro para la configuración de usuarios. Por ejemplo, el escenario Menor grado de administración está directamente asociado al GPO Menor grado de administración (equipo) para la configuración de equipos y al GPO Menor grado de administración (usuario) para la configuración de usuarios. Este enfoque simplifica la resolución de problemas, permite aplicar los objetos de directiva de grupo de un modo más intuitivo y es una práctica recomendada para la directiva de grupo.

“Objetos de directiva de grupo base” para la configuración común

Muchos de los escenarios comparten una gran parte de la configuración de directivas y de sus valores asociados. En esta versión de las notas del producto Escenarios comunes se describe el concepto de “objeto de directiva de grupo base”, que es más relevante en un entorno de producción real que los objetos de directiva de grupo monolíticos proporcionados con versiones anteriores.

Los objetos de directiva de grupo base (dos para Menor grado de administración y dos para Alto grado de administración) contienen opciones de directiva de grupo comunes a otros escenarios “secundarios” (consulte la siguiente sección). Los GPO de estos escenarios secundarios amplían estos objetos de directiva de grupo base habilitando, deshabilitando o modificando los valores de un número relativamente pequeño de opciones adaptadas a requisitos específicos.

Relaciones entre los escenarios y los objetos de directiva de grupo

Para implementar cualquiera de los escenarios, los objetos de directiva de grupo deben estar vinculados a contenedores del ámbito de administración (un sitio, dominio o unidad organizativa). La mayoría de los objetos de directiva de grupo proporcionados con estas notas del producto se han concebido para que se vinculen a unidades organizativas, en lugar de a sitios o dominios.

Nota: los objetos de directiva de grupo proporcionados tienen como finalidad crear una configuración de directiva común y sus relaciones no dependen técnicamente de ninguna jerarquía de unidades organizativas que implemente. Para los escenarios que requieren varios objetos de directiva de grupo, puede vincular distintos objetos de este tipo en una cadena de unidades organizativas (herencia de directiva de grupo), o bien vincular varios de estos objetos a una única unidad organizativa (prioridad de directiva de grupo). Estas opciones se describen detalladamente más adelante en este documento.

La siguiente lista ilustra las relaciones entre los objetos de directiva de grupo.

Objetos de directiva de grupo de directiva de equipo

      Menor grado de administración

            Móvil: no se diferencia del objeto de directiva de grupo de Mayor grado de administración, por lo que no existe un objeto de directiva de grupo de equipo para el escenario Móvil

      Alto grado de administración

            Estación de aplicaciones: no se diferencia del objeto de directiva de grupo de Alto grado de administración, por lo que no existe un objeto de directiva de grupo de equipo para el escenario Estación de aplicaciones

            Multiusuario: objeto de directiva de grupo proporcionado

            Estación de tareas: objeto de directiva de grupo proporcionado

            Quiosco: objeto de directiva de grupo proporcionado

Objetos de directiva de grupo de directiva de usuario

      Menor grado de administración

            Móvil: objeto de directiva de grupo proporcionado

      Alto grado de administración

            Estación de aplicaciones: objeto de directiva de grupo proporcionado

            Multiusuario: objeto de directiva de grupo proporcionado

            Estación de tareas: objeto de directiva de grupo proporcionado

            Quiosco: objeto de directiva de grupo proporcionado

Por ejemplo, el escenario Estación de aplicaciones comparte muchas de sus opciones de directiva de grupo con los objetos de directiva de grupo de Alto grado de administración:

En la parte de la directiva correspondiente al equipo del escenario Estación de aplicaciones, la configuración es idéntica a la del escenario Alto grado de administración y, por tanto, no existe ningún objeto de directiva de grupo específico de Estación de aplicaciones para la configuración de la directiva de equipo. Para implementar la configuración de equipo correspondiente al escenario Estación de aplicaciones, sólo es necesario asegurarse de que el objeto de directiva de grupo de Alto grado de administración (equipo) está vinculado al ámbito de administración que contiene los equipos de destino.

Por el contrario, existen algunas diferencias entre la configuración de la directiva de usuario de Alto grado de administración y la de Estación de aplicaciones. Por este motivo, se proporciona un objeto de directiva de grupo para la configuración de directiva de usuario en el escenario Estación de aplicaciones, que presenta diferencias con respecto al GPO de usuario de Alto grado de administración. Para implementar la configuración de usuario para el escenario Estación de aplicaciones, es necesario que tanto los objetos de directiva de grupo de Alto grado de administración (usuario) como los de Estación de aplicaciones (usuario) estén vinculados (directamente o de otro modo) a un ámbito de administración que contenga a los usuarios de destino. Para ello se puede utilizar la herencia o prioridad de la directiva de grupo cuando los objetos de directiva de grupo están vinculados al mismo contenedor.

El escenario Estación de aplicaciones constituye una excepción. La mayoría de los escenarios se implementan mediante dos GPO (uno para la configuración de equipos y otro para la configuración de usuarios), mientras que el escenario Estación de aplicaciones sólo utiliza la configuración de usuarios. Asimismo, la mayoría de ellos están asociados a los escenarios base, Menor grado de administración y Alto grado de administración, mediante la herencia o prioridad de la directiva de grupo. Teniendo en cuenta estas consideraciones, en la Tabla 1 se muestran los objetos de directiva de grupo que se aplican a cada escenario.

Tabla 1.    Objetos de directiva de grupo de cada escenario

Nombre del escenarioNombre del GPO baseNombre del GPO específico del escenario

Menor grado de administración

 

 

        Equipo

Menor grado de administración (equipo)

N/D (ningún cambio con respecto al GPO base)

        Usuario

Menor grado de administración (usuario)

N/D (ningún cambio con respecto al GPO base)

Móvil

 

 

        Equipo

Menor grado de administración (equipo)

N/D (ningún cambio con respecto al GPO base)

        Usuario

Menor grado de administración (usuario)

Móvil (usuario)

Estación de aplicaciones

 

 

        Equipo

Alto grado de administración (equipo)

N/D (ningún cambio con respecto al GPO base)

        Usuario

Alto grado de administración (usuario)

Estación de aplicaciones (usuario)

Multiusuario

 

 

        Equipo

Alto grado de administración (equipo)

Multiusuario (equipo)

        Usuario

Alto grado de administración (usuario)

Multiusuario (usuario)

Estación de tareas

 

 

        Equipo

Alto grado de administración (equipo)

Estación de tareas (equipo)

        Usuario

Alto grado de administración (usuario)

Estación de tareas (usuario)

Quiosco

 

 

        Equipo

Alto grado de administración (equipo)

Quiosco (equipo)

        Usuario

Alto grado de administración (usuario)

Quiosco (usuario)

Finalidad de los objetos de directiva de grupo de Alto grado de administración

El escenario Alto grado de administración es un escenario virtual, cuya finalidad es proporcionar un conjunto de opciones comunes a otros escenarios (en concreto, a los escenario Multiusuario, Estación de aplicaciones, Estación de tareas y Quiosco). Por este motivo, los objetos de directiva de grupo de Alto grado de administración no están concebidos (ni probados) para operar en su propio contexto, sino que sirven para asegurarse de que, al habilitar los demás escenarios, estos objetos se aplican a las cuentas mediante la herencia o prioridad de la directiva de grupo. Es decir, no debe existir ninguna cuenta de equipo o usuario en las unidades organizativas diseñadas específicamente para el escenario Alto grado de administración.

Crear un entorno de prueba

En las versiones anteriores de estas notas del producto se necesitaban un número considerable de secuencias de comandos para crear y configurar los objetos de directiva de grupo proporcionados con dichas notas. Con la llegada de GPMC (y, en concreto, su función de importación) ya no son necesarias estas secuencias de comandos. Se ha creado una copia de seguridad de los objetos de directiva de grupo y esta copia se ha incluido con las notas del producto para que pueda importar los objetos directamente en su entorno.

Para ayudarle a crear dicho entorno, se utiliza un archivo de comandos incluido con GPMC, CreateEnvirommentFromXML.wsf, que sirve para crear una jerarquía de unidades organizativas, generar los objetos de directiva de grupo y vincular dichos objetos a las unidades organizativas, según convenga. Con estas notas del producto se proporciona un archivo de comandos llamado CreateCommonScenarios.cmd que sirve para llamar a este archivo de comandos con los parámetros adecuados.

Una vez ejecutado correctamente el archivo de comandos, dispondrá de unidades organizativas y objetos de directiva de grupo vinculados con una configuración similar a la que se ilustra en la Figura 1.

Figure 1.    GPMC Screenshot of Scenario GPOs

Figura 1.    Captura de pantalla de GPMC de objetos de directiva de grupo de los escenarios
Ver la imagen a tamaño completo

Vincular objetos de directiva de grupo a unidades organizativas para crear escenarios

Para utilizar los objetos de directiva de grupo con el fin de crear escenarios en un entorno se pueden emplear dos enfoques generales. Para ilustrar estas opciones se ha utilizado el escenario Estación de aplicaciones, que es una ampliación del escenario Alto grado de administración (muchas de las opciones de Estación de aplicaciones están definidas por los objetos de directiva de grupo de Alto grado de administración).

Vincular objetos de directiva de grupo a una jerarquía de unidades organizativas (herencia de directiva de grupo)

Con esta opción, se crea una jerarquía de unidades organizativas en la que las unidades organizativas de Estación de aplicaciones (una para las cuentas de equipo y otra para las cuentas de usuario) dependen de las unidades organizativas de Alto grado de administración. En la Figura 2 se ilustra cómo se vincularían los objetos de directiva de grupo.

Figure 2.    Linking Scenario GPOs Using Inheritance

Figura 2.    Vincular los objetos de directiva de grupo de los escenarios mediante herencia

Tenga en cuenta que dado que la directiva de equipo del escenario Estación de aplicaciones no difiere de la del escenario Alto grado de administración, no existe ningún objeto de directiva de grupo de Estación de aplicaciones (equipo). Técnicamente, no es necesario ubicar los equipos de Estación de aplicaciones afectados en la unidad organizativa Estación de aplicaciones, ya que éstos pueden residir en la unidad organizativa Alto grado de administración y se les puede aplicar la misma configuración. Sin embargo, para mayor claridad y para acomodar fácilmente las diferencias que podrían surgir en el futuro entre los objetos de directiva de grupo del escenario Alto grado de administración y de Estación de aplicaciones (en lo referente al equipo), podría ser útil conservar la unidad organizativa Estación de aplicaciones. Una vez vinculados los objetos de directiva de grupo pertinentes a estas unidades organizativas, las cuentas de equipo y usuario deberían moverse a las unidades organizativas de Estación de aplicaciones correspondientes.

Vincular objetos de directiva de grupo directamente a unidades organizativas (prioridad de directiva de grupo)

En este enfoque, sólo se crean dos unidades organizativas: una para las cuentas de equipo y otra para las cuentas de usuario). En cada una de ellas, se vinculan directamente los objetos de directiva de grupo de Alto grado de administración y Estación de aplicaciones. Esto se ilustra en la Figura 3.

Figure 3.    Linking Scenario GPOs Using Precedence

Figura 3.    Vincular los objetos de directiva de grupo de los escenarios mediante prioridad

Después de vincular los objetos de directiva de grupo, es importante asegurarse de que la prioridad de estos objetos permite que los objetos de directiva de grupo de Estación de aplicaciones tengan prioridad sobre los de Alto grado de administración. GPMC proporciona una interfaz sencilla e intuitiva para imponer esta prioridad. Para ello se selecciona un contenedor, como una unidad organizativa, en la vista de árbol de GPMC y se utiliza la ficha Linked Group Policy Objects (Objetos de directiva de grupo vinculados) del panel de la derecha para ajustar el orden de los GPO vinculados a ese contenedor.

Después de crear las unidades organizativas y los vínculos de GPO, mueva las cuentas de usuario y equipo a las unidades organizativas de Estación de aplicaciones correspondientes.

Diferencias con versiones anteriores de escenarios comunes

Existe una versión anterior de estas notas del producto centrada en los dominios de Windows 2000. Desde entonces, se han realizado una serie de mejoras en la directiva de grupo, siendo GPMC la más importante. Las siguientes áreas son diferentes en los escenarios comunes de Windows 2000 y los de Windows Server 2003.

Objetos de directiva de grupo base

Como se ha indicado anteriormente, los objetos de directiva de grupo base (Menor grado de administración y Alto grado de administración) son un nuevo concepto en esta versión de las notas del producto.

Desarrollo de objetos de directiva de grupo basado en GPMC

GPMC proporciona un gran número de características (copia de seguridad, importación, copia, etc.) que simplifican considerablemente la administración de los objetos de directiva de grupo. En estas notas del producto se aprovechan al máximo estas nuevas utilidades proporcionando copias de seguridad de los objetos de directiva de grupo que pueden importarse fácilmente a un entorno de prueba.

Archivo de comandos de creación del entorno (CreateCommonScenarios.cmd)

GPMC incluye una serie de archivos de comandos de ejemplo que ilustran la automatización de las operaciones comunes de la directiva de grupo. Una de estos archivos de comandos es CreateEnvironmentFromXML.wsf, que utiliza un archivo XML para recrear un entorno (compuesto normalmente de unidades organizativas, objetos de directiva de grupo y vínculos de objetos de directiva de grupo) en un dominio. Con estas notas del producto se incluye un archivo XML (CommonScenarios.xml) que simplifica el uso del archivo de comandos para automatizar casi todas las tareas de creación del entorno.

También se proporciona un archivo de comandos (CreateCommonScenarios.cmd) para simplificar la instalación de un entorno de ejemplo.

Es importante tener en cuenta que aunque el archivo de comandos debe ejecutarse desde un equipo Windows XP o Windows Server 2003, el dominio en el que se recrea el entorno de ejemplo puede ser un dominio Windows 2000 o Windows Server 2003.

Documentación de informes de directiva de grupo

GPMC proporciona un nuevo método para elaborar informes sobre el contenido de los objetos de directiva de grupo: los informes de directiva de grupo. Se trata de informes HTML que documentan todos los aspectos de cada objeto de directiva de grupo. Estos informes se proporcionan con este archivo CommonScenarios.msi como herramienta de documentación. Cuando realice cambios en los objetos de directiva de grupo, GPMC le ayudará a documentar los cambios mediante informes de directiva de grupo.

Nueva configuración de directiva de grupo

Windows Server 2003 proporciona algunas opciones nuevas, no sólo para este sistema operativo, sino también para Windows XP Professional. Muchas de estas opciones se utilizan en los objetos de directiva de grupo actualizados de los escenarios.

Hoja de cálculo consolidada de configuración de directiva de grupo

Las versiones de Windows 2000 y Windows XP de los escenarios instalaban una hoja de cálculo para cada escenario. Esta versión revisada incluye una hoja de cálculo consolidada (CommonScenarios.xls) en la que cada escenario aparece en una columna distinta. Puede utilizar el filtro de columnas de Microsoft Excel para comparar rápidamente la configuración de los objetos de directiva de grupo.

Implementar los escenarios

En esta sección se describen los pasos necesarios para implementar los escenarios. Como requisito previo, se asume que se ha creado un dominio Active Directory totalmente operativo y que se ha validado la integridad y funcionamiento de la infraestructura de DNS subyacente. La directiva de grupo depende de un entorno de Active Directory confiable correctamente configurado.

Para implementar los escenarios debe realizar los pasos siguientes:

1.

Ejecute el paquete CommonScenarios.msi para copiar los objetos de directiva de grupo, los archivos de comandos y la documentación asociada (como estas notas del producto) en la estación de trabajo administrativa.

2.

Cree un entorno de unidades organizativas adecuado.

3.

Utilice GPMC para importar los objetos de directiva de grupo de los escenarios en el entorno.

4.

Vincule los objetos de directiva de grupo a las unidades organizativas.

Para realizar los pasos 2, 3 y 4 existen dos opciones:

1.

Crear automáticamente una jerarquía de unidades organizativas, objetos de directiva de grupo y vínculos de objetos de directiva de grupo mediante un archivo de comandos proporcionado con estas notas del producto (CreateCommonScenarios.cmd).

2.

Implementar manualmente cada paso (crear las unidades organizativas, importar los objetos de directiva de grupo, etc.). Éste es un enfoque más flexible, pero requiere más tiempo de implementación.

Tras realizar estos pasos (independientemente de si ha utilizado el enfoque de archivo de comandos o manual), deberá efectuar el siguiente procedimiento para realizar la configuración y probar los escenarios:

Configure las características específicas de cada escenario (consulte la sección “Configurar características específicas”)

Cree cuentas de equipo y usuario para los escenarios.

Pruebe los escenarios.

Consideraciones sobre el entorno de prueba y producción

Antes de instalar los escenarios en el entorno (procedimiento que se describe en la siguiente sección), debe conocer las opciones disponibles para realizar la comprobación. Para realizar la comprobación, los objetos de directiva de grupo se pueden incorporar en el entorno de dos modos distintos: vinculando los objetos de directiva de grupo para probar las unidades organizativas en el dominio de producción o utilizando un dominio de prueba distinto (en el mismo bosque o en uno diferente).

Usar unidades organizativas de prueba en el entorno de producción

Cuando no sea posible utilizar un dominio de prueba distinto (el enfoque preferente), se pueden importar los objetos de directiva de grupo del escenario a un entorno de producción y vincularlos a unidades organizativas creadas en dicho dominio con el fin de realizar las pruebas. Estas unidades organizativas deben estar correctamente diferenciadas de las utilizadas para la producción normal. La ventaja de este enfoque es que no es necesario crear una infraestructura de apoyo para un dominio distinto (controladores de dominio, conexiones de red, etc.). El inconveniente es que la configuración incorrecta de las cuentas, los objetos de directiva de grupo y los vínculos de dichos objetos puede afectar directamente al entorno de producción.

Usar un dominio de prueba distinto

Con este enfoque se utiliza un dominio distinto del empleado en el entorno de producción (pueden existir o no relaciones de confianza entre los entornos de prueba y de producción). Este enfoque permite realizar pruebas más realistas, ya que al crear un dominio de prueba en el dominio existente puede probar la configuración y otras interacciones en todo el dominio de prueba según sea necesario. Una ventaja importante de este enfoque es que el efecto de los errores producidos al vincular o filtrar incorrectamente los objetos de directiva de grupo es considerablemente menor que el que resultaría en un entorno de producción. El principal inconveniente de este enfoque es que es necesario instalar controladores de dominio y otra infraestructura de apoyo (conexiones de red, DNS, etc.) para implementar el dominio de prueba. Si es posible, se recomienda utilizar este enfoque.

Consideraciones sobre el uso cruzado de bosques y dominios

Los dos dominios utilizados para los entornos de prueba y producción pueden estar o no en el mismo bosque. Si están en bosques distintos, puede existir o no una relación de confianza entre bosques, ya que esta relación sólo se puede establecer entre bosques de Windows Server 2003.

Cuando existe una relación de confianza entre los dominios (por ejemplo, cuando los dominios de prueba y producción están en el mismo bosque y existen relaciones de confianza transitivas predeterminadas), un administrador con los derechos adecuados en cada dominio puede utilizar GPMC para copiar los objetos de directiva de grupo entre dominios. Para ello, basta con arrastrar y colocar dichos objetos entre dominios mediante la interfaz gráfica de usuario de GPMC. Tenga en cuenta que si los objetos de directiva de grupo del entorno de prueba incluyen principales de seguridad (como nombres de grupos) o rutas UNC (por ejemplo, cuando se especifican parámetros de redireccionamiento de carpetas), las tablas de migración le ayudarán a administrar los cambios que necesite realizar entre los límites de los dominios. El editor de tablas de migración (componente de GPMC) proporciona una interfaz simple para modificar las tablas de migración. Para obtener más información, consulte el documento “Migrating GPOs Across Domains with GPMC” (Migrar objetos de directiva de grupo entre dominios con GPMC) en el sitio Web de Microsoft (http://go.microsoft.com/fwlink/?linkid=14321).

Si no existe una relación de confianza, puede utilizar las siguientes opciones:

Cree su propia estructura de unidades organizativas y utilice la función de importación de GPMC para crear nuevos objetos de directiva de grupo en el entorno de producción. La copia de seguridad de la que importa estos objetos puede ser la que se proporciona con estas notas del producto o, si ya ha adaptado estos objetos a sus necesidades específicas, una copia de seguridad que haya creado.

Utilice el archivo de comandos CreateEnvironmentFromXML.wsf (un archivo de comandos de ejemplo instalado con GPMC; consulte la Ayuda de GPMC para obtener más información) para crear el entorno de unidades organizativas predeterminado en el dominio de producción y, si es necesario, cambie el nombre de las unidades organizativas y objetos de directiva de grupo de forma que refleje las convenciones estructurales y de nomenclatura del entorno de producción.

Utilice la característica Nombres de usuarios y contraseñas almacenados de Windows XP para almacenar las credenciales de un usuario en un dominio que no es de confianza.

Recomendaciones sobre el entorno de prueba

Si se disponen de recursos adecuados (controladores de dominio, infraestructura de red, etc.), es absolutamente recomendable que los objetos de directiva de grupo se importen a un dominio de prueba. El uso de un dominio distinto permite disponer de un entorno relativamente seguro para evaluar los objetos de directiva de grupo y ofrece mayor flexibilidad a la hora de probar la configuración de la directiva de grupo en todo el dominio.

Instalar los archivos de comandos y los objetos de directiva de grupo de los escenarios comunes

Con estas notas del producto se incluyen una serie de archivos de comandos y copias de seguridad de objetos de directiva de grupo que forman la base de la implementación de los escenarios comunes. El archivo CommonScenarios.msi instala estos componentes (incluido este documento) en la carpeta “%archivos de programa%\Microsoft\Group Policy Common Scenarios” y crea opciones de menú en el menú Inicio para algunos de estos componentes (por ejemplo, un vínculo a las notas del producto y a la hoja de cálculo asociada). Después de ejecutar este paquete, se crea la siguiente estructura de directorios:

%archivos de programa%\Microsoft\Group Policy Common Scenarios

    \Documentation (notas del producto y hoja de cálculo de escenarios comunes)

    \GPO-Backups (copias de seguridad originadas por GPMC de los GPO de los escenarios)

    \GPO-Reports (informes originados por GPMC para cada GPO en formato HTML)

    \Environment (representación XML de la estructura de unidades organizativas de ejemplo para los escenarios)

    \Scripts (archivos de comandos utilizados para crear el entorno de prueba)

Se asume que el equipo en el que se ha creado este directorio ya tiene instalado GPMC (los archivos de comandos proporcionados incluyen llamadas a las interfaces de secuencias de comandos de GPMC). GPMC requiere Windows XP Professional o Windows Server 2003 (consulte la documentación de GPMC para obtener información detallada sobre los requisitos). El directorio en el que se instalan los archivos de los escenarios comunes se llamará, a partir de ahora, <directorioInstalación>, (normalmente, %archivos de programa%\Microsoft\Group Policy Common Scenarios).

Además de instalar los archivos, se crea un menú Group Policy Common Scenarios (Escenarios comunes de directivas de grupo) en el menú Inicio/Programas del usuario. Este menú proporciona acceso a las notas del producto y a la hoja de cálculo, un acceso directo al directorio Group Policy Reports y una línea de comandos configurada para iniciarse en el directorio %archivos de programa%\Microsoft\Group Policy Common Scenarios\Scripts.

Después de ejecutar el instalador, debe importar los objetos de directiva de grupo asociados a los escenarios en el dominio. Hay dos opciones para realizar esta operación: un método rápido que permite crear un entorno de prueba global para los escenarios comunes (una estructura de unidades organizativas de ejemplo, objetos de directiva de grupo y vínculos de objetos de directiva de grupo), y un proceso más manual en el que la creación de las unidades organizativas, los objetos y sus vínculos se realiza en pasos distintos.

Opción de implementación 1: Configuración rápida mediante CreateCommonScenarios.cmd

Se incluye un archivo de comandos que le ayudará a instalar una estructura representativa de unidades organizativas, objetos de directiva de grupo y vínculos de objetos de directiva de grupo en su entorno. Este archivo de comandos se llama CreateCommonScenarios.cmd y se instala en el directorio <directorioInstalación>\Scripts. El archivo de comandos llama a otro archivo de comandos de ejemplo instalado por GPMC (CreateEnvironmentFromXML.wsf), que está instalado en el directorio %archivos de programa%\GPMC\Scripts.

CreateCommonScenarios.cmd inicia las siguientes tareas:

Crea una jerarquía de unidades organizativas de ejemplo, que representa las ubicaciones de las cuentas de equipo y usuario

Crea los objetos de directiva de grupo de los escenarios, incluidos los permisos predeterminados

Vincula estos objetos a las unidades organizativas correspondientes

Ejecutar CreateCommonScenarios.cmd

Para ejecutar el archivo de comandos, proceda del modo siguiente:

1.

Haga clic en Inicio, en Programas, en Group Policy Common Scenarios (Escenarios comunes de directiva de grupo) y, a continuación, en Common Scenarios Scripts Command Prompt (Símbolo del sistema de secuencias de comandos de escenarios comunes).

2.

Desde el símbolo del sistema, escriba CreateCommonScenarios y, a continuación, presione Entrar.

Resultados de la ejecución del archivo de comandos

Al ejecutar el archivo de comandos en su dominio, se crea un entorno de prueba independiente con las unidades organizativas adecuadas y objetos de directiva de grupo vinculados a ellas. Tenga en cuenta que aún puede ser necesario crear o modificar los objetos de directiva de grupo vinculados en el nivel de dominio, especialmente si se modifica la configuración de la directiva de cuentas, pero al ser algo específico de su dominio, se sale del ámbito de los objetos de directiva de grupo asociados a los escenarios. Para evitar un posible conflicto con el entorno existente, no se implementa ninguna configuración de directiva de nivel de dominio en los escenarios.

Modificar el comportamiento de CreateCommonScenarios.cmd

El archivo de comandos CreateCommonScenarios.cmd es un contenedor del archivo de comandos CreateEnvironmentFromXML.wsf, que se instala con GPMC. En algunos casos, es posible que tenga que cambiar el comportamiento predeterminado de este archivo de comandos. Por ejemplo, si desea modificar el controlador de dominio para el que se ejecuta el archivo de comandos. Todos los parámetros pasados directamente a CreateCommonScenarios.cmd se pasan al archivo de comandos CreateEnvironmentFromXML.wsf. Para obtener más información sobre los parámetros compatibles con el archivo de comandos CreateEnvironmentFromXML.wsf, consulte la Ayuda de GPMC.

Opción de implementación 2: Procedimiento de implementación manual mediante la GUI de GPMC

Este método es más lento, pero ofrece mayor control sobre el diseño de las unidades organizativas y los vínculos de los objetos de directiva de grupo.

Crear un entorno de prueba de unidades organizativas adecuado

Deberá crear las unidades organizativas para los usuarios y equipos que desee administrar en su dominio. Si su entorno requiere una estructura de unidades organizativas más compleja que la descrita en este documento, consulte el capítulo “Designing the Active Directory Logical Structure” (Diseño de la estructura lógica de Active Directory) del manual Designing and Deploying Directory and Security Services (Diseño y desarrollo de servicios de directorio y seguridad) del Kit de desarrollo de Windows Server 2003. Para obtener más información, consulte el sitio Web de Microsoft (http://go.microsoft.com/fwlink/?linkid=18341).

Usar GPMC para importar los objetos de directiva de grupo

Los objetos de directiva de grupo proporcionados con estas notas del producto también se pueden importar manualmente en el entorno, con una secuencia de comandos de ejemplo de GPMC como la siguiente:

cscript %archivos de programa%\gpmc\scripts\ImportAllGPOs.wsf <directorioInstalación>\GPO-Backups

Tenga en cuenta que

“Cscript” se puede omitir si se ha configurado previamente como el entorno de secuencias de comandos predeterminado para su equipo. Más concretamente, si ha ejecutado con anterioridad:

cscript //hh:cscript

, cscript se establecerá como el entorno predeterminado, en cuyo caso funcionará el siguiente comando:

%archivos de programa%\gpmc\scripts\ImportAllGPOs.wsf <directorioInstalación>\GPO-Backups

El archivo de comandos ImportAllGPOs.wsf hará que se creen todos los objetos de directiva de grupo proporcionados en el directorio <directorioInstalación>GPO-Backups en el entorno y que se importe su configuración. Tras realizar este paso deberá vincular a continuación los objetos de directiva de grupo a las unidades organizativas que ha creado.

Los mismos resultados se pueden obtener mediante el complemento MMC de GPMC, con el siguiente procedimiento:

1.

Cree objetos de directiva de grupo vacíos (sin configuración de directiva) en su entorno haciendo clic con el botón secundario del mouse (ratón) en el nodo Objeto de directiva de grupo y seleccionando Nuevo en el menú contextual. Cree un objeto de directiva de grupo para cada uno de los objetos de directiva de grupo de los escenarios comunes, utilizando los nombres indicados en la sección “Cómo se diseñan los escenarios” de estas notas del producto.

2.

En GPMC, haga clic con el botón secundario del mouse en cada GPO y, a continuación, haga clic en Import (Importar). Vaya al directorio <directorioInstalación>\GPO-Backups e importe la configuración de directiva de la copia de seguridad del objeto de directiva de grupo correspondiente.

Vincule los objetos de directiva de grupo a las unidades organizativas

Para aplicar la configuración de un objeto de directiva de grupo a los usuarios y equipos de un dominio, sitio o unidad organizativa, debe agregar un vínculo a dicho objeto. Puede agregar varios vínculos de objetos de directiva de grupo a cada dominio, sitio o unidad organizativa mediante GPMC. Tenga en cuenta que la creación y vinculación de objetos de directiva de grupo es un privilegio importante que sólo debe delegarse a administradores de confianza que conozcan la directiva de grupo.

Para vincular un objeto de directiva de grupo existente

1.

En GPMC, haga clic con el botón secundario del mouse en un dominio o unidad organizativa y, a continuación, haga clic en Link an Existing GPO here (Vincular aquí un GPO existente).

2.

En el cuadro de diálogo Select GPO (Seleccionar GPO), haga clic en el objeto de directiva de grupo que desee vincular y, a continuación, haga clic en Aceptar. En el panel de la izquierda, el objeto de directiva de grupo aparecerá debajo del dominio o unidad organizativa al que está vinculado.

Puede vincular a la vez varios objetos de directiva de grupo a un objeto Active Directory manteniendo presionada la tecla CTRL mientras selecciona los objetos.

Configuración tras la instalación

Después de crear el entorno en el que va a alojar los objetos de directiva de grupo del escenario (ya sea automáticamente mediante el archivo de comandos CreateCommonScenarios.cmd o manualmente), debe realizar una serie de pasos adicionales para finalizar la configuración de determinados aspectos del entorno. En esta sección se describe cada uno de estos pasos.

Configurar las características del escenario

La configuración de perfiles móviles de usuarios y carpetas redirigidas requiere que se proporcionen rutas UNC específicas del entorno (en los objetos de usuario incluidos en los objetos de Active Directory y en los objetos de directiva de grupo correspondientes, respectivamente). Para obtener información detallada, consulte "Configurar características específicas”.

Crear cuentas de usuario y equipo

Mediante el complemento Usuarios y equipos de Active Directory, cree un número suficiente de cuentas de usuario para poder probar cada uno de los escenarios.

Es importante tener en cuenta que cada escenario se implementa mediante una combinación de cuentas de usuario y equipo a la que deben aplicarse los objetos de directiva de grupo asociados a dicho escenario. Por ejemplo, para reproducir el escenario Estación de tareas, un usuario de la unidad organizativa Escenarios comunes/Usuarios/Estación de tareas podría iniciar sesión en un equipo de la unidad organizativa Escenarios comunes/Equipo/Estación de tareas. Las “asignaciones cruzadas” de escenarios de usuarios y equipos no se han probado y pueden dar lugar a resultados imprevistos.

Migrar los escenarios a un entorno de producción

Después de probar y posiblemente personalizar el entorno de escenarios comunes, tal vez desee moverlo a un entorno de producción. Se pueden utilizar los siguientes enfoques:

Creación manual en el entorno de producción. Con este enfoque, se crean cada una de las unidades organizativas desde GPMC o desde Usuarios y equipos de Active Directory. Los objetos de directiva de grupo se copian (si existe una relación de confianza entre los entornos de origen y de destino) o se crean o importan (si se utilizan copias de seguridad de objetos de directiva de grupo basadas en archivos). A continuación, vincule los objetos de directiva de grupo a las unidades organizativas y mueva los equipos y usuarios a las unidades organizativas según convenga.

Usar los archivos de comandos CreateXMLFromEnvironment y CreateEnvironmentFromXML. El archivo de comandos CreateXMLFromEnvironment (incluido con GPMC como ejemplo) permite al administrador crear un archivo XML que represente todos los objetos relacionados con la directiva (unidades organizativas, objetos de directiva de grupo y vínculos de objetos de directiva de grupo). Opcionalmente, puede especificar una unidad organizativa inicial en lugar de todo el dominio. El archivo de comandos crea una representación de la unidad organizativa y de sus objetos de directiva de grupo vinculados en el archivo XML especificado. Este archivo puede utilizarlo entonces el archivo de comandos CreateEnvironmentFromXML para crear una estructura de unidades organizativas reflejada y los objetos de directiva de grupo asociados y sus vínculos en el entorno de destino. Si se planean cuidadosamente, estos dos archivos de comandos pueden ayudare a crear un marco de trabajo inicial en el entorno de producción.

Para obtener más información sobre la administración de objetos de directiva de grupo entre dominios, consulte el documento “Migrating GPOs Across Domains with GPMC” (Migrar objetos de directiva de grupo entre dominios con GPMC) en el sitio Web de Microsoft (http://go.microsoft.com/fwlink/?linkid=14321).

Quitar los escenarios del entorno

Quitar los escenarios del entorno es una tarea relativamente simple. Para quitar los escenarios realice los siguientes pasos:

Mueva las cuentas de equipo y usuario que desee conservar a otras unidades organizativas si es necesario. Vuelva a configurar los objetos de usuario, según convenga, para modificar las rutas de perfiles móviles de usuarios.

Compruebe que cada objeto de directiva de grupo del escenario está vinculado a los ámbitos de administración previstos (utilizando la ficha Scope (Ámbito) de GPMC). Este paso es importante para asegurarse de que no existen dominios cruzados no deseados u otros vínculos.

Elimine los objetos de directiva de grupo de los escenarios.

Compruebe que las unidades organizativas del escenario están vacías y, a continuación, utilice Usuarios y equipos de Active Directory para eliminarlas.

Si ha agregado el objeto de directiva de grupo del dominio, compruébelo, desvincúlelo y elimínelo según convenga.

Si ha utilizado el archivo de comandos CreateCommonScenarios.cmd para crear el entorno de ejemplo, se habrá llamado de manera implícita al archivo de comandos de ejemplo CreateEnvironmentFromXML.wft. Este archivo de comandos tiene un modificador /undo que quita el entorno descrito por el archivo XML pasado como argumento. Consulte la Ayuda en línea de GPMC para obtener información detallada sobre este archivo de comandos.

Además de estas consideraciones, si desea conocer otros factores que pueden ser relevantes a la hora de quitar los escenarios (como marcar el Registro con opciones de seguridad), consulte la sección “Cambiar de un escenario a otro”.

Configurar características específicas

En esta sección se describen las distintas características configuradas en los objetos de directiva de grupo de los escenarios comunes.

Perfiles móviles de usuarios

Un perfil de usuario es un grupo de opciones y archivos que definen el entorno de un usuario. Un perfil incluye elementos de programa, colores de pantalla, conexiones de red, tamaños y posiciones de las ventanas, etc. Los perfiles móviles de usuarios permiten el almacenamiento basado en servidor de perfiles de usuarios, lo que implica que los usuarios pueden cambiar de un equipo a otro y ver el mismo entorno. Estos perfiles se descargan para el usuario cuando éste inicia una sesión y, de forma predeterminada, se vuelven a guardar en el servidor cuando el usuario cierra la sesión. Esta característica es un componente del concepto “entornos de trabajo no asignados”: la capacidad de los usuarios de cambiar de equipo sin cambiar de entorno.

Escenarios en los que se utilizan perfiles móviles de usuarios

Debido al orden en que se produce el cierre de sesión, la creación o carga de perfiles y la aplicación de objetos de directiva de grupo, no es posible especificar la ubicación de un perfil de usuario mediante la directiva de grupo. Por este motivo, la especificación de la ubicación del perfil de usuario se realiza en un paso distinto de la aplicación de los objetos de directiva de grupo. Así pues, para asegurarse de que un usuario está correctamente configurado, es importante que ese usuario se mueva a la unidad organizativa adecuada y que se configure el objeto de usuario como se describe a continuación.

Los escenarios comunes aprovechan los perfiles móviles de usuarios del modo siguiente:

Utilizados: Menor grado de administración, Alto grado de administración, Multiusuario, Estación de aplicaciones y Estación de tareas

Utilizados opcionalmente: Usuario móvil

No utilizados: Quiosco

Pasos de configuración de perfiles móviles de usuarios

Con fines meramente ilustrativos, en este documento se asume que existe un servidor llamado ServidorComún para almacenar los perfiles de usuarios. Los siguientes pasos son necesarios para crear un recurso común para los perfiles de usuarios y para configurar correctamente las cuentas de usuario.

1.

En el equipo ServidorComún, cree una carpeta llamada perfiles.

2.

Comparta esta carpeta como perfiles$.

3.

Establezca los permisos del recurso compartido en Control total para el grupo Todos (la seguridad vendrá impuesta por los permisos NFTS cuando se creen las carpetas de perfiles de usuarios).

4.

Asegúrese de que el almacenamiento en caché de esta carpeta está deshabilitado (sólo se utiliza el almacenamiento en caché de las carpetas en las que no se almacenan perfiles).

5.

Para cada cuenta en la que se requieren perfiles móviles de usuarios, establezca la ruta de acceso del perfil del objeto de usuario en \\ServidorComún\perfiles$\%nombre de usuario% (normalmente, se utiliza el complemento de MMC Usuarios y Equipo de Active Directory para modificar este parámetro). Cuando se cree el perfil de usuario, la variable de entorno %nombre de usuario% se resolverá en el nombre del usuario.

Notas sobre los perfiles móviles de usuarios

Una práctica recomendada es permitir que las cuentas específicas del usuario (incluidas en la carpeta Perfiles) se creen automáticamente cuando se establezca por primera vez el perfil de usuario. De esta forma se asegurará de que se ha definido el conjunto correcto de permisos NTFS y propietarios en la carpeta.

Importante: los perfiles móviles de usuarios tienen su propio mecanismo de almacenamiento en caché, que puede interferir con la sincronización de archivos sin conexión y producir un comportamiento imprevisto y la pérdida de datos. Por tanto, asegúrese de que el almacenamiento en caché está deshabilitado para los recursos compartidos cuando almacene los perfiles.

Carpetas redirigidas

El redireccionamiento de carpetas permite que el contenido de una carpeta del perfil de usuario se redireccione a una ubicación de la red. Por ejemplo, puede mover Mis documentos, que suele formar parte del perfil de usuario y se almacena en caché en la unidad local, a una carpeta del directorio principal del usuario en la red. Es útil habilitar esta característica, ya que las carpetas Mis documentos y Datos de programa suelen contener grandes cantidades de datos. Cuando se habilita el redireccionamiento de carpetas, se reduce el tiempo de inicio y cierre de sesión, ya que el contenido de las carpetas redirigidas no se copia junto con el resto del perfil de usuario.

Generalmente, cuando se utiliza el redireccionamiento de carpetas, éste se combina con la característica Archivos sin conexión para que los usuarios tengan acceso a las copias almacenadas en caché de las carpetas redirigidas cuando están desconectados de la red. De hecho, en Windows XP, todas las carpetas redirigidas se almacenan en caché localmente de forma predeterminada (lo que no ocurre en Windows 2000).

Si son muchos los usuarios que utilizan un único equipo, considere la posibilidad de habilitar la configuración de directiva de grupo Al cerrar sesión, eliminar la copia local de archivos sin conexión del usuario para evitar que el disco duro local se llene con archivos almacenados en caché de un gran número de usuarios. Esta opción se encuentra en Configuración del equipo\Plantillas administrativas\Red\Archivos sin conexión.

Precaución

esta configuración de directiva debe utilizarse con cuidado. Si un usuario ha estado trabajando sin conexión y no ha sincronizado sus cambios, éstos se perderán al cerrar la sesión cuando se eliminen sus archivos sin conexión.

Cuando se implementa el redireccionamiento de carpetas, se crean automáticamente las carpetas de destino y se configura automáticamente la seguridad en esas carpetas. Puede cambiar la seguridad de las carpetas redirigidas activando o desactivando la opción Otorgar al usuario derechos exclusivos en nombre de carpeta, que se encuentra en esta ruta de acceso: Configuración de usuario\Configuración de Windows\Redireccionamiento de carpetas\nombre de carpeta - ficha Configuración.

Por ejemplo, si redirecciona la carpeta Mis documentos a \\ServidorComún\Documentos\%Nombre de usuario%, no cree de antemano una carpeta Nombre de usuario. Si la carpeta existe de antemano y el usuario actual no es el propietario de la carpeta y de su contenido, el proceso de redireccionamiento producirá un error. Sin embargo, si la carpeta no existe antes del redireccionamiento, se crea y se asigna al usuario como propietario. Si utiliza la opción Crear una carpeta para cada usuario en la ruta raíz del cuadro desplegable Ubicación de la carpeta de destino, el redireccionamiento de carpetas agregará automáticamente %nombre de usuario% a la ruta raíz que especifique.

Importante: si tiene que crear con antelación la carpeta, asegúrese de que el usuario es el propietario de la carpeta y de su contenido. Para cambiar el propietario de un archivo o carpeta, use el Explorador de Windows o la utilidad Subinacl.exe, disponible en el CD que acompaña al Kit de recursos de Microsoft Windows Server 2003. Para obtener más información, consulte el sitio Web de Microsoft (http://go.microsoft.com/fwlink/?linkid=18341).

Nota: cuando la configuración de redireccionamiento de carpetas de directiva de grupo queda fuera de ámbito, se mantiene el redireccionamiento, de forma predeterminada. La ficha Configuración tiene una opción que permite redirigir las carpetas al equipo local, pero procure no utilizarla. La configuración predeterminada es la más segura porque los datos no se mueven cuando el redireccionamiento de carpetas queda fuera de ámbito. Todas las directivas nuevas de redireccionamiento de carpetas realizarán el redireccionamiento según corresponda.

Escenarios en los que se utiliza el redireccionamiento de carpetas

Los escenarios comunes aprovechan el redireccionamiento de carpetas del modo siguiente:

Redireccionamiento de Mis documentos y Datos de programa: Menor grado de administración, Alto grado de administración, Móvil, Multiusuario, Estación de aplicaciones y Estación de Tareas

Ningún redireccionamiento: Quiosco

Pasos de configuración de carpetas redirigidas

Puesto que al configurar las carpetas redirigidas se especifica un nombre de servidor, los objetos de directiva de grupo proporcionados con CommonScenarios.msi no especifican propiedades de redireccionamiento de carpetas. Para implementar totalmente los escenarios en su entorno, debe realizar los pasos siguientes.

1.

En el equipo ServidorComún, cree una carpeta llamada redirigidas.

2.

Comparta esta carpeta como redirigidas$ (el nombre completo del recurso compartido será, por tanto, \\ServidorComún\redirigidas$).

3.

Establezca los permisos del recurso compartido redirigidas$ en Control total para el grupo Todos (la seguridad vendrá impuesta por los permisos NTFS cuando se creen las carpetas de perfiles de usuarios).

4.

Para los objetos de directiva de grupo de Menor grado de administración (usuario) y Alto grado de administración (usuario), proceda del modo siguiente:

1.

En GPMC, haga clic con el botón secundario del mouse en el objeto de directiva de grupo y, a continuación, haga clic en Edit (Modificar).

2.

En el editor de objetos de directiva de grupo, vaya a Configuración de usuario/Configuración de Windows/Redireccionamiento de carpetas.

3.

Haga clic con el botón secundario del mouse en el nodo Mis documentos y haga clic en Propiedades.

4.

En el cuadro de diálogo Propiedades, cambie la lista Configuración a Básico: redirigir la carpeta de todos a la misma ubicación.

5.

Deje la lista Ubicación de la carpeta de destino establecida en Crear una carpeta para cada usuario en la ruta raíz.

6.

Establezca el campo Ruta de acceso raíz en \\ServidorComún\redirigidas$ y, a continuación, haga clic en Aceptar. El redireccionamiento de carpetas agregará automáticamente %nombre de usuario% a la ruta especificada.

7.

Haga clic con el botón secundario del mouse en el nodo Escritorio y haga clic en Propiedades.

8.

En el cuadro de diálogo Propiedades, cambie el cuadro desplegable Configuración a Básico: redirigir la carpeta de todos a la misma ubicación.

9.

Deje la lista Ubicación de la carpeta de destino establecida en Crear una carpeta para cada usuario en la ruta raíz.

10.

Establezca el campo Ruta de acceso raíz en \\ServidorComún\redirigidas$\ y, a continuación, haga clic en Aceptar. El redireccionamiento de carpetas agregará automáticamente %nombre de usuario% a la ruta especificada.

11.

Cierre el objeto de directiva de grupo.

Notas sobre las carpetas redirigidas

Con el procedimiento anterior se asegurará de que todos los escenarios (salvo el escenario Quiosco) implementan carpetas redirigidas. Como el escenario Quiosco depende del escenario Alto grado de administración, es necesario que deshabilite la configuración de redireccionamiento de carpetas especificada en el objeto de directiva de grupo de Alto grado de administración (usuario). Para ello, mediante los objetos de directiva de grupo de Quiosco proporcionados, vuelva a redireccionar las carpetas correspondientes a la ubicación local del perfil de usuario, lo que es lo mismo, en esencia, que deshabilitar el redireccionamiento de carpetas.

Configuración de Internet Explorer

Hay dos tipos de configuración de directiva de grupo de Internet Explorer: la configuración del Registro estándar de Windows y un grupo de opciones del Registro y archivos utilizados para configurar Internet Explorer. La configuración estándar se encuentra en el editor de objetos de directiva de grupo bajo Plantillas administrativas\Componentes de Windows\Internet Explorer, y las opciones de configuración se encuentran en Configuración de usuario\Configuración de Windows\Mantenimiento de Internet Explorer.

La configuración de Mantenimiento de Internet Explorer se puede establecer en dos modos: modo de directiva o modo preferente. El modo de directiva se aplica y restablece automáticamente todas las opciones que los usuarios modifiquen (si disponen de los permisos adecuados) al aplicar la directiva de grupo.

Nota: al igual que todas las opciones de directiva de grupo basadas en el Registro, la configuración del modo de directiva de Mantenimiento de Internet Explorer sólo se vuelve a aplicar cuando el objeto de directiva de grupo sufre algún cambio. A diferencia de la mayoría de las opciones de directiva de grupo basadas en el Registro, la configuración de una opción de Mantenimiento de Internet Explorer no impide que los usuarios modifiquen dicha opción.

El modo preferente establece valores predeterminados iniciales que el usuario puede cambiar, en función de otras opciones de directiva de grupo que afectan al usuario. La configuración de preferencias sólo se vuelve a aplicar cuando el administrador efectúa cambios en ella. Para permitir que los usuarios cambien estas preferencias, deben tener acceso a Opciones de Internet en el menú Herramientas. Este acceso se puede otorgar configurando opciones en el editor de objetos de directiva de grupo bajo Configuración del equipo (o usuario)\Plantillas administrativas\Componentes de Windows\Internet Explorer.

No se pueden utilizar los modos preferente y de directiva al mismo tiempo en un objeto de directiva de grupo. Si necesita utilizar ambos modos, debe usar dos objetos de directiva de grupo distintos. Los escenarios incluidos están configurados mediante el modo de directiva, por lo que tal vez necesite crear otro objeto de directiva de grupo que utilice el modo preferente para su entorno.

Configuración del escenario Quiosco

El escenario Quiosco utiliza una sola cuenta que forma parte del grupo Usuarios del dominio (todas las cuentas nuevas de un dominio se agregan a este grupo) sin privilegios especiales. Para poder utilizar esta cuenta sin intervención del usuario, se emplea la característica Inicio automático de sesión. Durante el arranque, el sistema operativo inicia sesión automáticamente utilizando la cuenta y la contraseña especificadas en la clave del Registro que se incluye a continuación.

Configuración de la cuenta de usuario del escenario Quiosco

La cuenta utilizada por el escenario Quiosco debe estar configurada del modo siguiente:

La contraseña nunca caduca

El usuario no puede cambiar la contraseña

Para configurar la cuenta para el inicio automático de sesión, puede utilizar la herramienta TweakUI (componente de Windows XP PowerToys) para especificar el nombre de usuario y la contraseña.

Especificar la aplicación del escenario Quiosco

Los objetos de directiva de grupo proporcionados especifican Internet Explorer como la aplicación de lanzamiento automático para los escenarios Estación de tareas y Quiosco. Esto se controla habilitando la opción \Configuración de usuario\Plantillas administrativas\Sistema\Directiva de grupo de interfaz de usuario personalizada. El valor utilizado para esta directiva (en ambos escenarios) es:

%archivos de programa%\internet explorer\iexplore.exe –k

Este comando lanza automáticamente Internet Explorer (en modo de pantalla completa debido al modificador –k) cuando un usuario inicia una sesión. En realidad, la directiva se utiliza para reemplazar al Explorador de Windows como shell. Si actualiza la configuración de la directiva de grupo de interfaz de usuario personalizada, puede indicar que la aplicación se lance en los escenarios Estación de tareas y Quiosco en su propio entorno.

Restablecer la configuración de Quiosco a un estado predeterminado

En algunas ocasiones, tal vez desee restablecer el entorno de Quiosco a un estado conocido. Aunque los usuarios de Quiosco no pueden realizar apenas ningún cambio en un equipo basado en este escenario, hay una serie de opciones específicas de la aplicación que no se pueden administrar fácilmente mediante la configuración de directiva de grupo. Por ejemplo, si un usuario cambia el tamaño de la ventana de Internet Explorer, la ventana se abrirá en ese tamaño para los siguientes usuarios.

Puede utilizar un perfil de usuario obligatorio para restablecer la configuración del escenario Quiosco. Para ello, emplee el siguiente procedimiento:

1.

Inicie una sesión en la cuenta de usuario y configure las opciones correspondientes.

2.

Cierre la sesión de la cuenta de usuario e inicie una sesión como Administrador.

3.

Copie el perfil a un directorio local o de red y después cambie el nombre de la raíz del perfil a NombreAntiguo.man.

4.

Modifique el objeto de usuario y especifique este directorio como ruta de acceso del perfil.

Una vez realizado este procedimiento, si un usuario de Quiosco inicia una sesión, la configuración del equipo reflejará la configuración definida en el perfil obligatorio.

Mantenimiento de los discos

Las aplicaciones utilizadas en un equipo basado en el escenario Quiosco pueden escribir datos en el disco duro. Para evitar que el disco duro se llene, establezca una cuota de disco que deje al menos 100 megabytes (MB) libres en el disco del sistema.

Debe considerar la posibilidad de utilizar la cuota de disco junto con una secuencia de comandos programada que elimine todas las noches los archivos temporales antiguos. Si la aplicación de Quiosco crea muchos archivos temporales, la secuencia de comandos también debería ejecutar la desfragmentación de disco para mantener el rendimiento del sistema.

Deshabilitar la utilidad de cierre de sesión para los usuarios del escenario Quiosco

Los usuarios del escenario Quiosco no pueden cerrar la sesión de la cuenta de Quiosco presionando Ctrl+Alt+Supr ni utilizando el menú Inicio. Cuando se arranca el equipo, este inicia automáticamente una sesión en la cuenta de Quiosco.

Importante: aunque en el escenario Quiosco los usuarios no pueden cerrar una sesión, en los objetos de directiva de grupo de Quiosco proporcionados con estas notas del producto la utilidad de cierre de sesión está habilitada para simplificar el proceso de comprobación. Por tanto, antes de implementar el escenario, debe deshabilitar la característica de cierre de sesión.

Un inconveniente de deshabilitar la característica de cierre de sesión es que el administrador no puede iniciar sesión fácilmente en el equipo. El administrador no puede reiniciar el equipo desde la consola porque el cierre y el reinicio están deshabilitados para el usuario de Quiosco. Para solventar este problema, puede utilizar alguna de las soluciones siguientes:

Solución 1

1.

Reinicie el equipo mediante alguna de estas operaciones:

Ejecute un reinicio remoto mediante shutdown.exe.

Realice un restablecimiento de hardware o una desconexión del equipo (esta solución no es aconsejable ya que podría producir una pérdida de datos o un funcionamiento incorrecto del sistema).

2.

Cuando se reinicie el equipo, mantenga presionada la tecla Mayús para omitir la característica de inicio automático de sesión y tener acceso al cuadro de diálogo de inicio de sesión estándar.

Solución 2

En esta opción, la característica de inicio de sesión permanece habilitada. El administrador cierra la sesión de la cuenta de Quiosco y, a continuación, mantiene presionada la tecla Mayús para omitir la característica de inicio automático de sesión. El inconveniente de este método es que el usuario podría realizar la primera parte de esta operación. Aunque no podría iniciar sesión, dejaría el cuadro de diálogo de inicio de sesión mostrado y el equipo Quiosco no se podría utilizar hasta que se reiniciara.

Cambiar de un escenario a otro

La unión de un determinado escenario es relativamente simple: mueva las cuentas de equipo y usuario correspondientes a las unidades organizativas a las que están vinculados los objetos de directiva de grupo del escenario en cuestión. Por ejemplo, si un usuario va a utilizar el escenario Multiusuario, su cuenta debe existir en una unidad organizativa en la que se haya vinculado el objeto de directiva de grupo Multiusuario (usuario), y debe iniciar sesión en un equipo en una unidad organizativa en la que se haya vinculado el objeto de directiva de grupo Multiusuario (equipo).

En general, el movimiento entre escenarios consiste básicamente en mover equipos y usuarios a las unidades organizativas correspondientes. Sin embargo, tal vez tenga que realizar algunas operaciones adicionales para efectuar la transición entre los escenarios en relación con la configuración de seguridad y los perfiles móviles de usuarios.

Tenga en cuenta que para mover usuarios entre unidades organizativas es necesario un inicio de sesión que asegure que este movimiento queda reflejado y que se aplican los objetos de directiva de grupo adecuados. De igual forma, para mover un equipo a otra unidad organizativa es necesario que el equipo se reinicie para que se reconozca la nueva unidad organizativa.

Configuración de la seguridad

Hay una serie de opciones de seguridad que marcan el Registro: una vez aplicadas mediante un objeto de directiva de grupo, permanecen activas aunque dicho objeto se mueva fuera del alcance del equipo o usuario de destino (desvinculando el objeto, moviendo la cuenta de una unidad organizativa afectada o deshabilitando el objeto). Por tanto, cuando se cambia una cuenta de equipo o usuario a una unidad organizativa asociada a otro escenario, se conservan algunas de las opciones del escenario original. Esto es especialmente evidente cuando se cambia a un escenario con una configuración de seguridad menos estricta que la del escenario original.

Hay una serie de opciones para solucionar este problema:

Asegúrese de que los objetos de directiva de grupo asociados al nuevo escenario deshabilitan y habilitan explícitamente la configuración de seguridad definida en los objetos de directiva de grupo asociados al escenario original. Por ejemplo, si se ha configurado una opción de seguridad en un objeto de directiva de grupo del escenario original, el objeto de directiva de grupo del nuevo escenario debe configurar esa opción de seguridad, aunque no sea relevante para el nuevo escenario. Aunque esto dé lugar a una aplicación más determinista de estas opciones (el resultado eventual de la configuración de seguridad es independiente de la configuración en el escenario original), no implica que todos los objetos de directiva de grupo tengan que incluir el superconjunto de todas las opciones de seguridad posibles, lo que dificultaría la administración y el control.

Mueva temporalmente las cuentas de equipo y usuario a una unidad organizativa “limpia” que establezca todas las opciones de seguridad en un estado predeterminado. Una vez implementadas las cuentas (permitiendo que la directiva de grupo las actualice tras esperar al menos 120 minutos o utilizando el comando gpupdate), éstas se mueven a las unidades organizativas correspondientes del nuevo escenario. Un inconveniente de este enfoque es la posibilidad de que se produzca un retraso para garantizar que la configuración de la directiva temporal se aplica a las cuentas de equipo y usuario. Además, es necesario que se inicie al menos una sesión en la cuenta de usuario para garantizar que los objetos de grupo de directiva “limpios” asociados a la configuración de seguridad basada en el usuario se aplican.

Como administrador del equipo de destino, quite manualmente la configuración de seguridad que ya no se aplica. Éste es sin duda el enfoque más laborioso, requiere conocer a fondo el modo en que se implementa cada configuración de seguridad y normalmente no constituye una opción cuando se dispone de muchos equipos.

Perfiles móviles de usuarios

El atributo Perfil móvil de usuario de un usuario (la ubicación del perfil móvil, si se define) se almacena en el objeto de cuenta de usuario en Active Directory. Debido al orden en que se aplican los perfiles, en relación con la aplicación de la directiva de grupo, este parámetro no se puede definir mediante la directiva de grupo. Por tanto, si un usuario se mueve de un escenario a otro en el que el uso de los perfiles móviles de usuario es diferente (por ejemplo, si el escenario inicial utiliza un perfil móvil de usuario, pero no así el escenario de destino), es necesario actualizar el objeto de usuario para reflejar este cambio.

Ampliación de los escenarios

Puede utilizar los objetos de directiva de grupo de los escenarios comunes como punto de partida de sus propios escenarios personalizados. Para obtener más información sobre las características y funciones de la directiva de grupo, consulte el manual Designing a Managed Environment (Diseño de un entorno administrado) en el Kit de desarrollo de Windows Server 2003. Para obtener más información, consulte el sitio Web de Microsoft (http://go.microsoft.com/fwlink/?linkid=18341).

Distribución de software mediante la directiva de grupo

Los escenarios no implementan ningún modo de distribución de software, aunque ésta es una característica de la directiva de grupo. Mediante la creación de paquetes .MSI y su asociación a objetos de directiva de grupo de destino, es posible administrar aplicaciones con la directiva de grupo, incluida la compatibilidad con la implementación inicial, las transformaciones y las instalaciones de recuperación automática (detección y reparación automática de componentes inexistentes, como archivos DLL). La directiva de grupo le permite instalar y mantener automáticamente la instalación de software en los equipos de destino o dejar que el usuario realice la instalación.

Directivas de restricción de software

Las directivas de restricción de software, nuevas en Windows XP y Windows Server 2003, proporcionan un mecanismo controlado mediante directivas que permite identificar los programas que se ejecutan en los equipos del dominio y controlar su capacidad de ejecución. Mediante las directivas de restricción de software, puede:

Controlar qué programas se ejecutan en el sistema. Por ejemplo, puede aplicar una regla que no permita que se ejecuten determinados tipos de archivos en el directorio de datos adjuntos del correo del programa de correo electrónico, si le preocupa que los usuarios reciban virus a través del correo electrónico.

Ejecutar únicamente secuencias de comandos firmadas digitalmente.

Permitir que los usuarios sólo ejecuten archivos específicos en equipos multiusuario. Por ejemplo, si hay varios usuarios que utilizan un solo equipo, puede configurar directivas de restricción de software y opciones de lista de control de acceso, para que no puedan realizar cambios en el equipo.

Decidir quién puede agregar editores de confianza a un equipo.

Controlar si las directivas de restricción de software afectan a todos los usuarios o sólo a algunos de los usuarios que utilizan un equipo.

Impedir que se ejecuten archivos en un equipo local. Por ejemplo, si sabe de la existencia de un virus conocido, puede prohibir un hash de ese virus para que los equipos del dominio no puedan ejecutar ese programa.

Crear unidades organizativas predeterminadas para las nuevas cuentas de equipo y usuario

De forma predeterminada, todas las cuentas de equipo y usuario nuevas se crean en los contenedores Equipo o Usuario, respectivamente. Como estos contenedores no son unidades organizativas, no es posible vincularles objetos de directiva de grupo. Sin embargo, mediante las dos nuevas herramientas proporcionadas con Windows Server 2003, puede especificar que todas las cuentas nuevas se creen en unidades organizativas específicas. Para ello, primero debe crear unidades organizativas para las nuevas cuentas de usuario y equipo y después ejecutar una vez Redirusr.exe (para las cuentas de usuario) y Redircmp.exe (para las cuentas de equipo) para cada dominio. A partir de ese momento, todas las cuentas de usuario y equipo nuevas se incluirán en las unidades organizativas especificadas. Estas herramientas se incluyen en el CD de Windows Server 2003. Puede ejecutar una de ellas o las dos.

Para obtener información detallada, consulte el artículo 324949, “Redirigir los contenedores de Usuarios y equipos en los dominios Windows Server 2003” en Microsoft Knowledge Base (http://support.microsoft.com/default.aspx?scid=kb;es;324949).

Apéndice A: Configuración de directivas para los escenarios de los objetos de directiva de grupo

La configuración de la directiva de grupo de cada escenario (los GPO de la configuración de directivas de equipo y usuario) se documenta en la hoja de cálculo que acompaña a este documento, CommonScenarios.xls. Gracias a la utilidad de filtro de columnas de Excel, la hoja de cálculo le permite consultar fácilmente la configuración asociada a cada escenario.

Asimismo, se proporcionan informes de objetos de directiva de grupo basados en HTML en el directorio <directorioInstalación>\GPO-Reports. Hay un informe para cada objeto de directiva de grupo proporcionado con CommonScenarios.msi en el que se ofrece gran cantidad de información sobre cada uno de los objetos.

Tabla de comparación de escenarios

En la Tabla 2 se incluyen las características de cada escenario.

Tabla 2.    Características de los escenarios

 Menor grado de administraciónMóvilMultiusuarioEstación de aplicacionesEstación de tareasQuiosco

Número de usuarios

Varios

1

Varios

Varios

Varios

1 (anónimo)

Tipo de perfil de usuario

Móvil

Móvil

Móvil

Móvil

Móvil

Local

Persistencia del perfil al cerrar sesión

Almacenado en caché

Almacenado en caché

Eliminado al cerrar sesión

Almacenado en caché

Eliminado al cerrar sesión

N/A

Redireccionamiento de carpetas

Mis documentos y Datos de programa

Mis documentos y Datos de programa

Mis documentos y Datos de programa

Mis documentos y Datos de programa

Mis documentos y Datos de programa

No

El usuario puede personalizar

Casi todas las opciones

Algunas o la mayoría de las opciones

Algunas opciones

Pocas opciones

Ninguna opción

Ninguna opción

Barra de tareas y menú Inicio

No

No

Aplicaciones asignadas

Varias

Varias

Varias

Algunas

1 (normalmente asignada al equipo)

1 (asignada al equipo)

Aplicaciones publicadas

No

No

No

Contexto de seguridad

Usuario o usuario avanzado

Usuario o usuario avanzado

Usuario

Usuario

Usuario

Usuario

Basado en plantilla de seguridad

Estación de trabajo segura

Estación de trabajo segura

Estación de trabajo muy segura

Estación de trabajo muy segura

Estación de trabajo muy segura

Estación de trabajo muy segura

Notas:

Los escenarios se basan en las plantillas de seguridad indicadas; sin embargo, en cada escenario, las plantillas se han modificado.

Se han realizado las siguientes modificaciones importantes por motivos de compatibilidad:

Se ha deshabilitado la firma digital obligatoria del tráfico SMB.

Se ha deshabilitado el cifrado obligatorio de las comunicaciones de canal seguro.

No se ha especificado el nivel de autenticación de LAN Manager.

Permisos necesarios para el redireccionamiento de carpetas

Cuando configure el redireccionamiento de carpetas, es recomendable que cree el recurso compartido raíz únicamente en el servidor y que permita que el sistema cree las carpetas para cada usuario. Para obtener resultados óptimos, establezca los permisos del recurso compartido en Control total para los grupos de seguridad que vaya a redirigir, y establezca los permisos NTFS en Control total en esta carpeta, subcarpetas y archivos.

Si tiene que crear carpetas para los usuarios, asegúrese de establecer los permisos correctos. En las Tablas 3, 4, y 5 incluidas a continuación se muestran los permisos predeterminados y mínimos necesarios para el redireccionamiento de carpetas.

Tabla 3.  Permisos NTFS necesarios para la carpeta raíz

Cuenta de usuarioValores predeterminados de redireccionamiento de carpetasPermisos mínimos necesarios

Creador/propietario

Control total, esta carpeta, subcarpetas y archivos

Control total, esta carpeta, subcarpetas y archivos

Administrador local

Control total, esta carpeta, subcarpetas y archivos

Control total, esta carpeta, subcarpetas y archivos

Todos

Control total, esta carpeta, subcarpetas y archivos

Listar carpeta/Leer datos, Crear archivos/Escribir datos, Crear carpetas/Anexar datos - Sólo esta carpeta

Sistema local

Control total, esta carpeta, subcarpetas y archivos

Control total, esta carpeta, subcarpetas y archivos

Tabla 4.    Permisos necesarios en el nivel de recursos compartidos (SMB) para la carpeta raíz

Cuenta de usuarioValores predeterminados de redireccionamiento de carpetasPermisos mínimos necesarios

Todos

Control total

Todos - sin permisos.

Utilizar el grupo de seguridad que coincida con los usuarios que necesitarán poner datos en el recurso compartido.

Tabla 5.    Permisos NTFS necesarios para cada carpeta redirigida del usuario

Cuenta de usuarioValores predeterminados de redireccionamiento de carpetasPermisos mínimos necesarios

%Nombre de usuario%

Control total, propietario de la carpeta

Control total, propietario de la carpeta

Sistema local

Control total

Control total

Todos

Recorrer carpeta, Atributos de lectura, Atributos extendidos de lectura y Permisos de lectura

Todos - sin permisos

Apéndice B: Ejecutar CommonScenarios.msi

Estas notas del producto se distribuyen con una serie de archivos auxiliares: hojas de cálculo, copias de seguridad de objetos de directiva de grupo e informes de directiva de grupo basados en HTML. El paquete de instalación CommonScenarios.msi instala estos archivos.

Cuando instale este paquete, los archivos mostrados en la Tabla 6 se copiarán al directorio %archivos de programa%\Microsoft\CommonScenarios y se creará un nuevo menú, Group Policy Common Scenarios, en Inicio/Programas.

Tabla 6.    Archivos instalados por el paquete CommonScenarios.msi

DirectorioNombre de archivoDescripción

\Documentation

CommonScenariosWS2003.doc

Estas notas del producto.

\Documentation

CommonScenariosWS2003.xls

Hoja de cálculo en la que se describe cada una de las opciones especificadas para todos los escenarios.

\Environment

CommonScenarios.xml

Archivo que representa el entorno de ejemplo para los escenarios comunes y para su uso por el archivo de comandos CreateEnvironmentFromXML.

\GPO-Backups

[GUID]

Un subdirectorio para cada objeto de directiva de grupo incluido en los escenarios comunes.

\GPO-Reports

[Nombre de GPO].htm

Informe basado en HTML para cada objeto de directiva de grupo (generado desde GPMC).

\Scripts

CreateCommonScenarios.cmd

Archivo de comandos para instalar una estructura de unidades organizativas de ejemplo, crear los objetos de directiva de grupo de los escenarios comunes y vincular dichos objetos.



©2017 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft