Guía detallada de introducción al conjunto de características de Directiva de grupo
En esta guía detallada se ofrece una breve introducción a la Directiva de grupo y se muestra cómo utilizar el complemento Directiva de grupo para especificar opciones de directiva para grupos de usuarios y equipos.
En esta página
 | Introducción |
| Introducción |
| La Directiva de grupo y Microsoft Management Console |
| Apéndice |
| Recursos adicionales |
Introducción
Guías detalladas
Las guías detalladas de desarrollo de Microsoft Windows Server 2003 proporcionan experiencia práctica para muchas configuraciones de sistemas operativos. Las guías comienzan estableciendo una infraestructura de red común a través de la instalación de Windows Server 2003, la configuración de Active Directory®, la instalación de una estación de trabajo Windows XP Professional y, por último, la incorporación de esta estación de trabajo a un dominio. Las guías detalladas posteriores asumen que posee esta infraestructura de red común. Si no desea seguir esta infraestructura de red común, tendrá que efectuar las modificaciones pertinentes mientras utiliza estas guías.
La infraestructura de red común requiere que se sigan las instrucciones de las guías siguientes.
| • | Parte I: Instalar Windows Server 2003 como un controlador de dominio |
| • | Parte II: Instalar una estación de trabajo Windows XP Professional y conectarla a un dominio |
Una vez configurada la infraestructura de red común, pueden utilizarse todas las guías detalladas adicionales. Tenga en cuenta que algunas guías detalladas pueden tener requisitos previos adicionales además de los requisitos de infraestructura de red común. Todos los requisitos adicionales se indicarán en la guía detallada específica.
Microsoft Virtual PC
Las guías detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio físico o mediante tecnologías de creación de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnología de máquina virtual permite a los usuarios ejecutar varios sistemas operativos simultáneamente en un único servidor físico. Virtual PC 2004 y Virtual Server 2005 están diseñados para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migración de aplicaciones heredadas y los escenarios de consolidación de servidores.
En las guías detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarán en un entorno de laboratorio físico, aunque la mayoría de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicación de los conceptos proporcionados en estas guías detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y datos mencionados aquí son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o datos reales.
Esta infraestructura común está concebida para su uso en una red privada. El nombre ficticio de la compañía y el nombre DNS (Servicio de nombres de dominio) utilizados en la infraestructura común no están registrados para su uso en Internet. No debe utilizar estos nombres en una red pública ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura común es mostrar cómo funciona la administración de cambios y configuración de Windows Server 2003 con Active Directory. No se ha diseñado como un modelo para configurar Active Directory en una organización.
Introducción
La configuración de la Directiva de grupo define los distintos componentes del entorno de escritorio del usuario que un administrador del sistema necesita administrar, como los programas que están disponibles a los usuarios, los que aparecen en el escritorio del usuario y las opciones del menú Inicio. Las opciones de Directiva de grupo que especifique se incluyen en un objeto de Directiva de grupo que, a su vez, se asocia a los objetos de Active Directory seleccionados: sitios, dominios o unidades organizativas.
La Directiva de grupo no sólo se aplica a los usuarios y a los equipos cliente, sino también a los servidores miembro, a los controladores de dominio y a cualquier otro equipo Windows Server 2003 dentro del ámbito de administración. De forma predeterminada, la Directiva de grupo que se aplica a un dominio (es decir, la que se aplica en el nivel de dominio justo encima de la raíz de Usuarios y equipos de Active Directory) afecta a todos los equipos y usuarios del dominio. Usuarios y equipos de Active Directory proporciona también una unidad organizativa integrada llamada Controladores de dominio. Si almacena aquí sus cuentas de controlador de dominio, puede utilizar el objeto de Directiva de grupo Directiva predeterminada de controladores de dominio para administrar los controladores de dominio independientemente de los demás equipos.
Los objetos de Directiva de grupo se vinculan a los contenedores de sitio, dominio y unidad organizativa en Active Directory. El orden de prioridad predeterminado sigue el orden jerárquico de Active Directory: primero los sitios, luego los dominios y después cada unidad organizativa. Un objeto de Directiva de grupo puede estar asociado a varios contenedores de Active Directory, o varios contenedores pueden estar vinculados a un único objeto de Directiva de grupo.
Un objeto de Directiva de grupo se puede utilizar para filtrar objetos en función de su pertenencia a grupos de seguridad, lo que permite a los administradores administrar los equipos y usuarios de una manera centralizada o descentralizada. Para ello, los administradores pueden utilizar filtros basados en grupos de seguridad que definan el ámbito de administración de la Directiva de grupo, de forma que se pueda aplicar centralmente en el nivel de dominio. También se puede aplicar de una manera descentralizada en el nivel de unidad organizativa y volverse a filtrar por grupos de seguridad. Los administradores pueden utilizar grupos de seguridad en la Directiva de grupo para:
| • | Filtrar el ámbito de un objeto de Directiva de grupo. De esta forma, se definen los grupos de usuarios y equipos que resultan afectados por un objeto de Directiva de grupo. |
| • | Delegar el control de un objeto de Directiva de grupo. Hay dos aspectos relacionados con la administración y delegación de la Directiva de grupo: administrar los vínculos de Directiva de grupo y administrar quién puede crear y modificar objetos de Directiva de grupo. |
Para la administración de la configuración de Directiva de grupo existen varias herramientas administrativas, entre las que se incluyen:
| • | El complemento Microsoft Management Console (MMC) del Editor de objetos de Directiva de grupo
| ||
| • | La Consola de administración de Directivas de grupo (GPMC) con el Service Pack 1
| ||
| • | Extensiones de otros fabricantes, que contengan otra configuración de directivas |
La Directiva de grupo incluye opciones de directiva para Configuración de usuario, que afectan a los usuarios, y para Configuración del equipo, que afectan a los equipos.
Con la Directiva de grupo, puede hacer lo siguiente:
| • | Administrar directivas basadas en el Registro con Plantillas administrativas. La Directiva de grupo crea un archivo que contiene opciones del Registro que se escriben en la parte Usuario o Máquina local de la base de datos del Registro. |
| • | Asignar secuencias de comandos, como inicio y cierre del equipo o inicio y cierre de sesión. |
| • | Redirigir carpetas. Puede redirigir carpetas, como Mis documentos y Mis Imágenes, de la carpeta Documents and Settings del equipo local a ubicaciones de red. |
| • | Administrar aplicaciones. Puede asignar, publicar, actualizar o reparar aplicaciones mediante la instalación de software de Directiva de grupo. |
| • | Especificar opciones de seguridad. |
En este documento se ofrece una breve introducción a la Directiva de grupo y se muestra cómo utilizar el complemento Directiva de grupo para especificar opciones de directiva para grupos de usuarios y equipos.
Requisitos previos
| • | Parte 1: Instalar Windows Server 2003 como un controlador de dominio |
| • |
Requisitos de esta guía
Nota: en este documento no se describen todos los escenarios posibles de la Directiva de grupo. Este conjunto de instrucciones debe utilizarse para empezar a entender cómo funciona la Directiva de grupo y cómo puede ser utilizada por una organización para reducir sus costos de administración de IT. Otras características de Windows Server 2003, como Configuración de seguridad e Instalación y mantenimiento de software, se basan en la Directiva de grupo. Para obtener una lista completa de los documentos disponibles, consulte el sitio Web Directiva de grupo en Windows Server 2003 (en inglés).
La Directiva de grupo y Microsoft Management Console
La Directiva de grupo está directamente integrada con las herramientas de administración de Active Directory mediante el mecanismo de extensión del complemento MMC. Los complementos de Active Directory definen el ámbito de administración de la Directiva de grupo. La forma habitual de tener acceso a la Directiva de grupo es utilizar el complemento Usuarios y equipos de Active Directory para establecer el ámbito de administración en el dominio y en las unidades organizativas. También puede utilizar el complemento Sitios y servicios de Active Directory para establecer el ámbito de administración en un sitio. Estas dos herramientas están disponibles en el grupo de programas Herramientas administrativas; la extensión del complemento Directiva de grupo está habilitada en ambas herramientas. También puede crear una consola MMC personalizada, como se describe en la siguiente sección.
Configurar una consola personalizada
En los ejemplos de este documento se utiliza la consola MMC personalizada que puede crear mediante los procedimientos descritos en esta sección. Para poder realizar los demás procedimientos de este documento, necesita crear esta consola personalizada.
Para configurar una consola personalizada
1. | Inicie sesión en HQ-CON-DC-01 como administrator@contoso.com. |
2. | Haga clic en el botón Inicio y en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar. |
3. | En la ventana Consola1, haga clic en Archivo y luego en Agregar o quitar complemento. |
4. | En el cuadro de diálogo Agregar o quitar complemento, haga clic en Agregar. |
5. | En el cuadro de diálogo Agregar un complemento independiente, en el cuadro de lista Complementos independientes disponibles, haga clic en Usuarios y equipos de Active Directory y luego en Agregar. |
6. | Haga doble clic en el complemento Sitios y servicios de Active Directory en el cuadro de lista Complementos independientes disponibles. |
7. | Desplácese hacia abajo y, a continuación, haga doble clic en Editor de objetos de directiva de grupo. |
8. | En el cuadro de diálogo Seleccionar un objeto de directiva de grupo, asegúrese de que Equipo local está seleccionado bajo Objeto de directiva de grupo. Haga clic en Finalizar y luego en Cerrar. |
9. | En el cuadro de diálogo Agregar o quitar complemento, haga clic en la ficha Extensiones. Compruebe que la casilla de verificación Agregar todas las extensiones está activada para cada una de las extensiones principales agregadas a la consola MMC (están seleccionadas de forma predeterminada). Haga clic en Aceptar. |
Para guardar los cambios realizados en la consola
1. | En la consola MMC, haga clic en Archivo y luego en Guardar. |
2. | En el cuadro de diálogo Guardar como, en el cuadro de texto Nombre de archivo, escriba GPWalkThrough y, a continuación, haga clic en Guardar. La consola debe ser similar a la que se muestra en la Figura 1.  Figura 1. Consola MMC de Directiva de grupo |
Obtener acceso a la Directiva de grupo
Para tener acceso a la Directiva de grupo puede utilizar las herramientas de Active Directory adecuadas siempre que el ámbito esté establecido en un sitio, dominio o unidad organizativa.
Para abrir la Directiva de grupo desde Sitios y servicios de Active Directory
1. | En la consola MMC GPWalkthrough, en el árbol de la consola, haga clic en el signo más (+) situado junto a Sitios y servicios de Active Directory. |
2. | En el árbol de la consola, haga clic en el signo más (+) situado junto a Sitios y, después, haga clic con el botón secundario del mouse (ratón) en Nombre-predeterminado-primer-sitio. |
3. | Haga clic en Propiedades y luego en la ficha Directiva de grupo. |
4. | Haga clic en Cancelar. |
Para abrir la Directiva de grupo desde Usuarios y equipos de Active Directory
1. | En el árbol de la consola MMC GPWalkthrough, haga clic en el signo más (+) situado junto a Usuarios y equipos de Active Directory. |
2. | En el árbol de la consola, haga clic con el botón secundario del mouse en contoso.com para tener acceso a la Directiva de grupo. |
3. | Haga clic en Propiedades y luego en la ficha Directiva de grupo. |
4. | Haga clic en Cancelar. |
Para tener acceso a la Directiva de grupo aplicable a un equipo específico (o al equipo local), debe cargar el complemento Directiva de grupo en el espacio de nombres de la consola MMC dirigido al equipo específico (o al equipo local). Esto se debe a dos motivos principales:
| • | Los sitios, los dominios y las unidades organizativas pueden tener varios objetos de Directiva de grupo vinculados; estos objetos requieren una página de propiedades intermedia para poder administrarlos. |
| • | Un objeto de Directiva de grupo para un equipo específico se almacena en ese equipo y no en Active Directory. |
Crear un objeto de Directiva de grupo
La configuración de Directiva de grupo se incluye en objetos de Directiva de grupo que se vinculan de forma individual a objetos de Active Directory seleccionados, como sitios, dominios o unidades organizativas.
Para crear y vincular un nuevo objeto de Directiva de grupo a la unidad organizativa Oficinas centrales
1. | En la consola MMC GPWalkThrough, expanda contoso.com bajo Usuarios y equipos de Active Directory. |
2. | Haga clic en el signo más (+) situado junto a Cuentas para expandir el árbol. |
3. | Haga clic con el botón secundario del mouse en Oficinas centrales y, a continuación, haga clic en Propiedades. |
4. | En la página Propiedades de Oficinas centrales, haga clic en la ficha Directiva de grupo. |
5. | Haga clic en Nuevo, escriba Directiva de OC y, después, presione ENTRAR. Aparecerá la página Propiedades de Oficinas centrales que se muestra en la Figura 2.  Figura 2. Nuevo objeto de Directiva de grupo vinculado a la unidad organizativa Oficinas centrales |
Los pasos anteriores muestran cómo crear y vincular automáticamente un objeto de Directiva de grupo a un contenedor de Active Directory: la unidad organizativa Oficinas centrales. Sin embargo, el objeto de Directiva de grupo no repercutirá directamente en los usuarios o equipos hasta que se definan algunas opciones. En la siguiente sección se explica cómo modificar la configuración del objeto de Directiva de grupo Directiva de OC.
Se pueden crear o vincular varios objetos de Directiva de grupo bajo cualquier contenedor de Active Directory. Si hay varios objetos de Directiva de grupo asociados a un contenedor de Active Directory, debe asegurarse de que dichos objetos están correctamente ordenados. Los objetos de Directiva de grupo de la lista con la prioridad más alta se procesan en último lugar. (Esto es lo que les otorga una prioridad más alta.)
Los objetos de Directiva de grupo son objetos: pueden tener menús contextuales para poder ver sus propiedades. Puede utilizar los menús contextuales para obtener y modificar información general sobre un objeto de Directiva de grupo. Esta información incluye Listas de control de acceso discrecional (DACL) e indica el otro sitio, el otro dominio o las otras unidades organizativas a las que está vinculado el objeto.
Recomendación: puede refinar aún más un objeto de Directiva de grupo a través de la pertenencia de usuarios o equipos a grupos de seguridad definiendo listas DACL basadas en esa pertenencia. Para obtener información sobre cómo usar las listas DACL, consulte la sección Filtros de grupos de seguridad.
Administrar la Directiva de grupo
Para administrar la Directiva de grupo
| • | Obtenga acceso al menú contextual de un sitio, un dominio o una unidad organizativa. | ||||||||||||||||||
| • | Seleccione Propiedades y, después, haga clic en la ficha Directiva de grupo. Aparecerá la página Propiedades de Directiva de grupo. Observe lo siguiente en la página Propiedades de Directiva de grupo.
|
Modificar un objeto de Directiva de grupo
Puede utilizar la consola personalizada GPWalkThrough creada anteriormente para modificar un objeto de Directiva de grupo.
Para modificar el objeto de Directiva de grupo Directiva de OC
1. | En la consola MMC GPWalkThrough, haga doble clic en el objeto de Directiva de grupo Directiva de OC (o resáltelo y, después, haga clic en Editar). Se abrirá el Editor de objetos de Directiva de grupo para modificar la Directiva de OC. Debe tener un aspecto similar al de la Figura 3. |
2. | Cierre el Editor de objetos de Directiva de grupo para la Directiva OC. |
Agregar o examinar un objeto de Directiva de grupo
Para agregar un objeto de Directiva de grupo
1. | En la página Propiedades de Oficinas centrales, en la ficha Directiva de grupo, haga clic en Agregar. En el cuadro de diálogo Agregar un vínculo de objeto de directiva de grupo se muestran los objetos de Directiva de grupo actualmente asociados a dominios/unidades organizativas o sitios, o todos los objetos de Directiva de grupo existentes en la estructura de Active Directory. En la Figura 4 se ilustra este cuadro de diálogo.  Figura 4. Agregar un vínculo de objeto de Directiva de grupo |
Revise los siguientes componentes del cuadro de diálogo Agregar un vínculo de objeto de directiva de grupo y, a continuación, cierre el cuadro de diálogo.
| • | El cuadro desplegable Buscar en permite desplazarse por toda la estructura de Active Directory para buscar un objeto de Directiva de grupo. Cuando cambie el valor de este cuadro, los objetos de Directiva de grupo y todos los objetos secundarios se mostrarán en el panel de resultados. |
| • | En la ficha Dominios y OUs, el cuadro de lista contiene las unidades organizativas secundarias y los objetos de Directiva de grupo para la unidad organizativa o el dominio actualmente seleccionado. Para desplazarse por la jerarquía, haga doble clic en una unidad organizativa secundaria o utilice el botón de la barra de herramientas Subir un nivel. |
| • | En la ficha Sitios, se muestran todos los objetos de Directiva de grupo asociados al sitio seleccionado. Utilice la lista desplegable para seleccionar otro sitio. No hay jerarquía de sitios. |
| • | En la ficha Todos se muestra una lista plana de todos los objetos de Directiva de grupo almacenados en el dominio seleccionado. Esto es útil para seleccionar un objeto de Directiva de grupo que conoce por el nombre, en lugar de por su asociación actual. Éste es el único sitio donde se puede crear un objeto de Directiva de grupo que no esté vinculado a un sitio, dominio o unidad organizativa. |
| • | Para crear un objeto de Directiva de grupo desvinculado en la ficha Todos, seleccione el botón Crear nuevo objeto de directiva de grupo de la barra de herramientas o haga clic con el botón secundario del mouse en el espacio en blanco y, después, haga clic en Nuevo. Asigne un nombre al nuevo objeto de Directiva de grupo, haga clic en Entrar y luego en Cancelar (no haga clic en Aceptar. Si hace clic en Aceptar vinculará el nuevo objeto de directiva de grupo al sitio, dominio o unidad organizativa actual). Al hacer clic en Cancelar se crea un objeto de Directiva de grupo desvinculado. |
| • | Para asociar un objeto de Directiva de grupo al dominio o unidad organizativa actualmente seleccionado, haga doble clic en el objeto de Directiva de grupo que desee. |
Nota: puede haber dos o más objetos de Directiva de grupo con el mismo nombre. Ésta es una decisión de diseño, ya que los objetos de Directiva de grupo se almacenan en realidad como identificadores únicos globales (GUID). El nombre que se muestra es en realidad un nombre descriptivo almacenado en Active Directory.
Directivas basadas en el Registro
La interfaz de usuario para las directivas basadas en el Registro está disponible a través de los archivos de Plantilla administrativa (.adm). Estos archivos describen la interfaz de usuario que se muestra en el nodo Plantillas administrativas del complemento Directiva de grupo. Son archivos con un formato compatible con los archivos .adm utilizados por la herramienta Editor de Directiva de grupo (Poledit.exe) de Microsoft Windows NT® 4.0. En Windows Server 2003 se han ampliado las opciones disponibles en las directivas basadas en el Registro.
Nota: aunque es posible agregar cualquier archivo .adm a un objeto de Directiva de grupo, si utiliza un archivo .adm de una versión anterior de Windows, es bastante improbable que las claves del Registro surtan efecto en Windows Server 2003.
De forma predeterminada, sólo se muestran las opciones de directiva definidas en los archivos .adm cargados que existen en los árboles de Directiva de grupo aprobados; estas opciones reciben el nombre de directivas reales. Esto significa que el complemento Directiva de grupo no muestra los elementos descritos en el archivo .adm que establecen claves del Registro fuera de los árboles de la Directiva de grupo; estos elementos se conocen como preferencias de Directiva de grupo. Las preferencias se indican mediante un icono rojo para distinguirlas de las directivas reales, que se indican mediante un icono azul. Los árboles de Directiva de grupo aprobados son:
| • | \Software\Policies |
| • | \Software\Microsoft\Windows\CurrentVersion\Policies |
Nota: no se recomienda en absoluto prescindir de las directivas en la infraestructura de Directiva de grupo debido al comportamiento persistente de las opciones del Registro anteriormente mencionado. Para definir directivas de Registro en Windows NT 4.0 y clientes Windows 95 y Windows 98, utilice la herramienta Editor de directivas del sistema de Windows NT 4.0, Poledit.exe.
De manera predeterminada, los archivos conf.adm, inetres.adm, system.adm, wmplayer.adm y wuau.adm se cargan y están disponibles para su configuración, como se muestra en la Figura 5.
Figura 5. Configuración de usuario
Los archivos .adm predeterminados ofrecen las siguientes opciones de configuración.
| • | Conf.adm: configuración de NetMeeting |
| • | Inetres.adm: configuración de Internet Explorer. |
| • | System.adm: configuración del sistema operativo |
| • | wmplayer.adm: configuración del Reproductor de Windows Media |
| • | wuau.adm: configuración de Windows Update |
Agregar plantillas administrativas
Las plantillas administrativas (archivos .adm) contienen una jerarquía de categorías y subcategorías que definen en conjunto cómo se organizan las opciones en la interfaz de usuario de Directiva de grupo.
Para agregar una plantilla administrativa (archivos .adm)
1. | En la página Propiedades de Oficinas centrales, haga doble clic en el objeto de Directiva de grupo Directiva de OC. |
2. | En Configuración de usuario o Configuración del equipo, haga clic con el botón secundario del mouse en Plantillas administrativas y, a continuación, haga clic en Agregar o quitar plantillas. Se mostrará una lista de los archivos de plantilla que se encuentran activos para este contenedor de Active Directory. |
3. | Haga clic en Agregar. Aparecerá una lista de los archivos .adm disponibles en el directorio %raízsistema%\inf del equipo donde se ejecuta la Directiva de grupo. Puede elegir un archivo .adm de otra ubicación. Una vez seleccionado, el archivo .adm estará disponible para su configuración dentro del objeto de Directiva de grupo. |
4. | Haga clic en Cancelar y luego en Cerrar. (No se van a agregar plantillas administrativas en estos ejercicios.) |
Configurar plantillas administrativas
Los pasos siguientes proporcionan un ejemplo simple de cómo utilizar las plantillas administrativas para quitar el comando Ejecutar del escritorio de un usuario. Debe estar familiarizado con las opciones disponibles proporcionadas en las plantillas administrativas. En otras guías detalladas de esta serie se utilizarán las opciones disponibles en las plantillas administrativas.
Para definir opciones basadas en el Registro mediante plantillas administrativas
1. | En el Editor de objetos de Directiva de grupo para el objeto de Directiva de grupo Directiva de OC, haga clic en el signo más (+) situado junto a Plantillas administrativas en el nodo Configuración de usuario. |
2. | Haga clic en Menú Inicio y barra de tareas. Observe que en el panel de detalles se muestran todas las directivas como No configuradas. |
3. | En el panel de la derecha, haga doble clic en la directiva Quitar el menú Ejecutar del menú Inicio. |
4. | En el cuadro de diálogo Quitar el menú Ejecutar del menú Inicio, haga clic en Habilitada (como se muestra en la Figura 6). Haga clic en Aceptar para finalizar.  Figura 6. Quitar el menú Ejecutar del menú Inicio |
Observe los botones Valor anterior y Valor siguiente del cuadro de diálogo. Puede utilizar estos botones para desplazarse por el panel de detalles y definir el estado de otras directivas. También puede dejar el cuadro de diálogo abierto y hacer clic en otra directiva en el panel de detalles del complemento Directiva de grupo. Cuando el panel de detalles tiene el foco, puede utilizar las teclas de dirección Arriba y Abajo del teclado y presionar ENTRAR para desplazarse rápidamente por las opciones (o la ficha Explicación) de cada directiva del nodo seleccionado.
Observe el cambio del estado a Habilitada en la columna Configuración del panel de detalles. Este cambio es inmediato; se ha guardado en el objeto de Directiva de grupo. Si se encuentra en un entorno de controlador de dominio replicado, esta acción define un indicador que activa un ciclo de replicación.
Si inicia sesión en una estación de trabajo del dominio contoso.com con un usuario de la unidad organizativa Oficinas centrales, observará que se ha quitado el menú Ejecutar.
Nota: en este punto tal vez desee probar otras directivas disponibles. Lea el texto de la ficha Explicación para obtener información sobre cada directiva.
Implementar secuencias de comandos a través de objetos de Directiva de grupo
Puede definir una configuración de objeto de Directiva de grupo que ejecute secuencias de comandos cuando los usuarios inicien o cierren sesión o cuando se inicie o se cierre el sistema. Todas las secuencias de comandos están habilitadas para Windows Scripting Host. Por tanto, pueden incluir secuencias de comandos Java o Microsoft Visual Basic®, así como archivos .bat y .cmd.
Crear una secuencia de comandos de inicio de sesión
Nota: en este procedimiento se utiliza la secuencia de comandos welcome.js descrita en el Apéndice. Cree una carpeta Elementos incluidos y, después, cree el archivo welcome.js en la carpeta Elementos incluidos copiando la secuencia de comandos del Apéndice de esta guía.
Para definir una configuración de Directiva de grupo de secuencia de comandos de inicio de sesión
1. | Cierre el Editor de objetos de Directiva de grupo para la Directiva de OC. |
2. | En el cuadro de diálogo Propiedades de Oficinas centrales, haga clic en Cerrar. |
3. | En la consola GPWalkthrough, haga clic con el botón secundario del mouse en el dominio contoso.com, haga clic en Propiedades y luego en la ficha Directiva de grupo. |
4. | En la página de propiedades de Directiva de grupo, seleccione el objeto de Directiva de grupo Directiva predeterminada de dominio de la lista Vínculos de objetos de directiva de grupo y, a continuación, haga clic en Editar para abrir el complemento Editor de objetos de Directiva de grupo. |
5. | En el complemento Directiva de grupo, bajo Configuración de usuario, haga clic en el signo más (+) situado junto a Configuración de Windows y, después, haga clic en el nodo Secuencias de comandos (inicio de sesión/cierre de sesión). |
6. | En el panel de detalles, haga doble clic en Inicio de sesión. En el cuadro de diálogo Propiedades de inicio de sesión se muestra la lista de secuencias de comandos que se ejecutan cuando un usuario designado inicia sesión. Ésta es una lista ordenada, en la que la secuencia de comandos que se ejecuta primero aparece al principio de la lista. Puede cambiar el orden seleccionando una secuencia de comandos y utilizando las teclas de dirección Arriba o Abajo. Para agregar una nueva secuencia de comandos a la lista, haga clic en el botón Agregar. Aparecerá el cuadro de diálogo Agregar un archivo de comandos. Desde este cuadro de diálogo podrá buscar el nombre de un archivo de comandos existente en el objeto de Directiva de grupo actual o buscarlo en otra ubicación y seleccionarlo para utilizarlo en este objeto de Directiva de grupo. El archivo de comandos debe estar accesible al usuario cuando inicie sesión o, de lo contrario, no se ejecutará. Las secuencias de comandos del objeto de Directiva de grupo actual están disponibles automáticamente para el usuario. Para crear un nuevo archivo de comandos, haga clic con el botón secundario del mouse en el espacio en blanco, seleccione Nuevo y, después, seleccione un nuevo archivo. Para modificar el nombre o los parámetros de un archivo de comandos existente en la lista, selecciónelo y, a continuación, haga clic en el botón Editar. Este botón no permite modificar la secuencia de comandos. Para modificarla, utilice el botón Mostrar archivos. Para quitar un archivo de comandos de la lista, selecciónelo y, después, haga clic en Quitar. El botón Mostrar archivos muestra una vista en el Explorador de Windows de los archivos de comandos para el objeto de Directiva de grupo. Desde ahí tendrá un acceso rápido a estos archivos o a la ubicación para copiar archivos auxiliares si son necesarios para los archivos de comandos. Si cambia el nombre de un archivo de comandos desde esta ubicación, debe utilizar también el botón Editar para cambiar el nombre del archivo, o la secuencia de comandos no podrá ejecutarse. Nota: si las opciones de presentación de esta carpeta están establecidas en Ocultar las extensiones de archivo para tipos de archivo desconocidos, puede que el archivo tenga una extensión no deseada que impida que se ejecute. |
7. | Haga clic en el botón Inicio, en Todos los programas, en Accesorios y luego en Explorador de Windows. Desplácese al archivo welcome2000.js del directorio Elementos incluidos, haga clic con el botón secundario del mouse en el archivo y, después, haga clic en Copiar. |
8. | Cierre el Explorador de Windows. |
9. | En el cuadro de diálogo Propiedades de inicio de sesión, haga clic en el botón Mostrar archivos y pegue el archivo de comandos welcome.js en la ubicación de archivos predeterminada. Debe aparecer una ventana similar a la de la Figura 7.  Figura 7. Archivo de comandos Welcome.js incluido en la directiva predeterminada del dominio |
10. | Cierre la ventana que contiene welcome.js. |
11. | En el cuadro de diálogo Propiedades de inicio de sesión, haga clic en Agregar. |
12. | En el cuadro de diálogo Agregar un archivo de comandos, haga clic en Examinar. En el cuadro de diálogo Examinar, haga doble clic en el archivo welcome.js. |
13. | En el cuadro de diálogo Agregar un archivo de comandos, haga clic en Aceptar (no se necesitan parámetros de secuencia de comandos) y vuelva a hacer clic en Aceptar. |
14. | Cierre el Editor de objetos de Directiva de grupo. |
15. | En la página Propiedades de contoso.com, haga clic en Cancelar. |
Esta secuencia de comandos estará disponible inmediatamente para cualquier miembro de contoso.com ya que se ha definido dentro de la directiva predeterminada del dominio. Puede iniciar sesión en una estación de trabajo cliente para comprobar que la secuencia de comandos se ejecuta cuando un usuario inicia sesión.
Definir una secuencia de comandos de cierre de sesión, de inicio del equipo o de cierre del equipo
Puede utilizar el mismo procedimiento descrito en la sección Crear una secuencia de comandos de inicio de sesión para configurar secuencias de comandos que se ejecuten cuando un usuario cierre sesión o cuando se inicie o se cierre un equipo. Para las secuencias de comandos de cierre de sesión, debe seleccionar Cierre de sesión en el paso 6 de la sección Crear una secuencia comandos de inicio de sesión. Para las secuencias de comandos de inicio o cierre del equipo, cambie a Configuración del equipo – Configuración de Windows – Archivos de comandos (inicio/apagado) en el Editor de objetos de Directiva de grupo.
Otras consideraciones sobre las secuencias de comandos
De manera predeterminada, los archivos de comandos de Directiva de grupo que se ejecutan en una ventana de comandos (como los archivos .bat o .cmd) se ejecutan de forma oculta, y los archivos de comandos heredados (los definidos en el objeto de usuario) están visibles, de forma predeterminada, cuando se procesan, si bien existe una opción de Directiva de grupo que permite cambiar la visibilidad. La directiva para los usuarios se llama Ejecutar secuencias de comandos de manera visible o Mostrar las instrucciones de los archivos de comandos de cierre de sesión, y se encuentra en el nodo Configuración de usuario\Plantillas administrativas, bajo System\Scripts. Para los equipos, la directiva es Hacer visible las instrucciones en los archivos de comandos de inicio y Hacer visible las instrucciones en los archivos de comandos de cierre, y se encuentra en el nodo Configuración del equipo\Plantillas administrativas, bajo System\Scripts.
Filtros de grupos de seguridad
Puede ajustar el efecto que tendrá un objeto de Directiva de grupo en los usuarios o equipos definiendo el modo en que este objeto se aplica a los grupos de seguridad. Para ello, utilice la ficha Seguridad en la página Propiedades de un objeto de Directiva de grupo con el fin de definir listas DACL. Las listas DACL se utilizan principalmente por motivos de rendimiento, pero esta característica ofrece una gran flexibilidad para el diseño e implementación de objetos de Directiva de grupo y las directivas que contienen.
De forma predeterminada, los objetos de Directiva de grupo afectan a todos los usuarios y equipos incluidos en la unidad organizativa, dominio o sitio vinculado. Mediante las listas DACL, se puede modificar el efecto de un objeto de Directiva de grupo de forma que excluya o incluya a los miembros de cualquier grupo de seguridad.
Para filtrar la aplicación de objetos de Directiva de grupo en función de su pertenencia a grupos de seguridad
1. | En la consola GPWalkthrough, bajo la unidad organizativa Cuentas, haga clic con el botón secundario del mouse en la unidad organizativa Oficinas centrales y, después, haga clic en Propiedades. |
2. | En el cuadro de diálogo Propiedades de Oficinas centrales, haga clic en la ficha Directiva de grupo. |
3. | Haga clic con el botón secundario del mouse en el objeto de Directiva de grupo Directiva de OC en la lista Vínculos de objetos de directiva de grupo y, a continuación, seleccione Propiedades del menú contextual. |
4. | En la página Propiedades, haga clic en la ficha Seguridad. |
5. | En la página de propiedades Seguridad, haga clic en Agregar. |
6. | En el cuadro de diálogo Seleccionar usuarios, equipos y grupos, escriba Administración en Escriba los nombres de objeto que desea seleccionar y, a continuación, haga clic en Aceptar. |
7. | En la ficha Seguridad de la página Propiedades de Directiva de OC, seleccione el grupo Administración y observe los permisos. Nota: de manera predeterminada, sólo la entrada de control de acceso (ACE) Leer está establecida en Permitir para el grupo Administración. Esto significa que a los miembros del grupo Administración no se les aplica este objeto de Directiva de grupo salvo que también sean miembros de otro grupo (de forma predeterminada también son Usuarios autenticados) que tenga la entrada de control de acceso Aplicar directiva de grupos seleccionada. Por el momento, este objeto de Directiva de grupo se aplica a todos los miembros del grupo Usuarios autenticados, incluidos los miembros del grupo de seguridad Administración, como se ilustra en la Figura 8.  Figura 8. Usuarios autenticados |
Para configurar el objeto de Directiva de grupo para que se aplique únicamente a los miembros del grupo Administración
1. | Active la casilla de verificación Permitir de la entrada de control de acceso Aplicar directiva de grupos para el grupo Administración. |
2. | Desactive la casilla de verificación Permitir de la entrada de control de acceso Aplicar directiva de grupos para el grupo Usuarios autenticados. Nota: al cambiar las entradas de control de acceso que se aplican a diferentes grupos, los administradores pueden personalizar el modo en que el objeto de Directiva de grupo afecta a los usuarios o equipos que están sujetos a dicho objeto. Para poder efectuar modificaciones se requiere acceso de escritura; las entradas de control de acceso Leer y Permitir directiva de grupos son necesarias para que una directiva se aplique al grupo. |
Para denegar la aplicación de un objeto de Directiva de grupo a los miembros del grupo Administración
Nota: utilice la entrada de control de acceso Denegar con precaución. Un valor de entrada de control de acceso Denegar para un grupo tiene prioridad sobre cualquier valor Permitir otorgado a un usuario o equipo debido a la pertenencia a otro grupo. Para obtener más información sobre esta interacción, consulte la Ayuda en pantalla de Windows 2000 Server y busque Grupo de seguridad.
1. | Desactive la casilla de verificación Permitir y active la casilla de verificación Denegar de la entrada de control de acceso Aplicar directiva de grupos para el grupo Administración. |
2. | Active la casilla de verificación Permitir de la entrada de control de acceso Aplicar directiva de grupos para el grupo Usuarios autenticados. En la Figura 9 se muestra un ejemplo de configuración de seguridad que permite que este objeto de Directiva de grupo afecte a todos los miembros, salvo a los del grupo Administración, para los que se ha denegado explícitamente el permiso al objeto de Directiva de grupo. Si un miembro del grupo Administración fuera también miembro de un grupo con el valor Permitir explícito para la entrada de control de acceso Aplicar directiva de grupos, el valor Denegar tendría prioridad y el objeto de Directiva de grupo no afectaría al usuario.  Figura 9. Denegar la asignación de un objeto de Directiva de grupo en función de la pertenencia a grupos |
3. | Haga clic en Aceptar y luego en Sí para confirmar el mensaje de advertencia sobre utilizar listas de control de acceso Denegar. |
4. | Haga clic en Aceptar para cerrar la página Propiedades de Oficinas centrales. |
Este procedimiento puede sufrir las siguientes variaciones:
| • | Se pueden agregar objetos de Directiva de grupo adicionales con conjuntos diferentes de directivas y hacer que se apliquen únicamente a grupos distintos del grupo Administración. |
| • | Se puede crear otro grupo que incluya miembros de los grupos existentes y utilizar esos grupos como filtros para un objeto de Directiva de grupo. |
Nota: puede utilizar estos mismos tipos de opciones de seguridad con las secuencias de comandos de inicio de sesión que configuró en la sección anterior. Puede definir una secuencia de comandos que se ejecute únicamente para los miembros de un determinado grupo u para todos los miembros salvo para los de un grupo específico.
Los filtros de grupos de seguridad tienen dos funciones: la primera es modificar los grupos que resultan afectados por un objeto de Directiva de grupo determinado, y la segunda es delegar el grupo de administradores que puede modificar el contenido del objeto de Directiva de grupo restringiendo el Control total a un conjunto limitado de administradores (por grupo). Ésta es una práctica recomendada porque limita la posibilidad de que varios administradores realicen cambios al mismo tiempo.
Herencia de directivas
En general, la Directiva de grupo se transmite de los contenedores principales a los secundarios dentro de un dominio. La Directiva de grupo no se hereda a los dominios secundarios desde los principales. Si asigna una opción de Directiva de grupo específica a un contenedor principal de alto nivel, dicha opción se aplica a todos los contenedores que se encuentran debajo del principal, incluidos los objetos de usuario y equipo de cada uno de los contenedores. Sin embargo, si especifica explícitamente una opción de Directiva de grupo para un contenedor secundario, dicha opción sustituye a la opción del contenedor principal.
Si una unidad organizativa principal tiene opciones de directiva que no están configuradas, la unidad organizativa secundaria no hereda estas opciones. Las opciones de directiva que están deshabilitadas se heredan deshabilitadas. Asimismo, si una opción de directiva está configurada (habilitada o deshabilitada) para una unidad organizativa principal, y la misma opción de directiva no está configurada para una unidad organizativa secundaria, esta unidad hereda la opción de directiva habilitada o deshabilitada de la principal.
Si una opción de directiva que se aplica a una unidad organizativa principal y otra que se aplica a una unidad organizativa secundaria son compatibles, la unidad organizativa secundaria hereda la opción de directiva principal, y la opción de la unidad organizativa secundaria también se aplica.
Si una opción de directiva configurada para una unidad organizativa principal es incompatible con la misma opción de directiva configurada para una unidad organizativa secundaria (porque la opción está habilitada en un caso y deshabilitada en el otro), la unidad organizativa secundaria no hereda la opción de directiva de la unidad organizativa principal. Se aplica la opción de directiva de la unidad organizativa secundaria.
Bloquear la herencia y No reemplazar
La opción Bloquear la herencia de directivas bloquea los objetos de Directiva de grupo que se aplican en el nivel superior de la jerarquía de sitios, dominios y unidades organizativas de Active Directory. No bloquea los objetos de Directiva de grupo si tienen la opción No reemplazar habilitada. La opción Bloquear la herencia de directiva sólo se define en sitios, dominios y unidades organizativas, pero no en objetos de Directiva de grupo individuales. Estas opciones proporcionan un control exhaustivo sobre las reglas de herencia predeterminadas.
En la siguiente sección configurará un objeto de Directiva de grupo en la unidad organizativa Cuentas, que se aplica de manera predeterminada a los usuarios (y equipos) de todos los objetos secundarios de dicha unidad organizativa. A continuación, establecerá otro objeto de Directiva de grupo en la unidad organizativa Cuentas y lo definirá como No reemplazar. Estas opciones se aplicarán a todos los objetos secundarios aunque entren en conflicto con otras opciones aplicadas mediante un objeto de Directiva de grupo. Después utilizará la característica Bloquear la herencia para impedir que las directivas de grupo definidas en el sitio, dominio o unidad organizativa principal (en este caso, la unidad organizativa Cuentas) se apliquen a la unidad organizativa Producción.
Para crear nuevos objetos de Directiva de grupo
1. | En la consola MMC GPWalkthrough, bajo contoso.com, haga clic con el botón secundario del mouse en la unidad organizativa Cuentas. |
2. | Haga clic en Propiedades y luego en la ficha Directiva de grupo. |
3. | Haga clic en Nuevo, escriba Directivas predeterminadas de usuario para el nombre del objeto de Directiva de grupo y, después, presione ENTRAR. |
4. | Haga clic otra vez en Nuevo, escriba Directivas de usuario forzadas para el nombre del objeto de Directiva de grupo y, después, presione ENTRAR. |
5. | Haga clic en el objeto de Directiva de grupo Directivas de usuario forzadas y, a continuación, haga clic en el botón Arriba para moverlo al principio de la lista. Nota: el objeto de Directiva de grupo Directivas de usuario forzadas debe tener la prioridad más alta. Tenga en cuenta que este paso sólo sirve para demostrar la funcionalidad del botón Arriba; un objeto de Directiva de grupo de aplicación forzosa siempre tiene prioridad sobre los que no son de aplicación forzosa. |
6. | Seleccione la opción No reemplazar para el objeto de Directiva de grupo Directivas de usuario forzadas haciendo doble clic en la columna No reemplazar o mediante el botón Opciones. Debe aparecer la página Propiedades de Cuentas, como se ilustra en la Figura 10.  Figura 10. Directivas de usuario forzadas con No reemplazar |
Para habilitar opciones en los objetos de Directiva de grupo Directivas de usuario forzadas y Directivas predeterminadas de usuario
1. | En la página Propiedades de Cuentas, haga doble clic en el objeto de Directiva de grupo Directivas de usuario forzadas. |
2. | En el Editor de objetos de Directiva de grupo, bajo Configuración de usuario, expanda Plantillas administrativas. |
3. | Expanda Sistema y, a continuación, haga clic en Opciones de Ctrl+Alt+Supr. |
4. | En el panel de detalles, haga doble clic en la directiva Quitar Administrador de tareas, haga clic en Habilitada en el cuadro de diálogo Quitar Administrador de tareas y, a continuación, haga clic en Aceptar. Para obtener más información sobre la directiva, haga clic en la ficha Explicación. El valor es ahora Habilitada, como se muestra en la Figura 11.  Figura 11. Deshabilitar el uso del Administrador de tareas |
5. | Haga clic en Archivo y luego en Salir para cerrar el Editor de objetos de Directiva de grupo. |
6. | En el cuadro de diálogo Propiedades de Cuentas, en la ficha Directiva de grupo, haga doble clic en el objeto de Directiva de grupo Directivas predeterminadas de usuario en la lista Vínculos de objetos de directiva de grupo. |
7. | En el Editor de objetos de Directiva de grupo, bajo Configuración de usuario, expanda Plantillas administrativas, expanda Escritorio y, a continuación, haga clic en Active Desktop. |
8. | En el panel de detalles, haga doble clic en la directiva Deshabilitar Active Desktop. |
9. | Haga clic en Habilitada, en Aceptar y luego otra vez en Aceptar. |
10. | Haga clic en Archivo y luego en Salir para cerrar el Editor de objetos de Directiva de grupo. |
Al iniciar sesión en una estación de trabajo cliente como usuario bajo la unidad organizativa Cuentas, incluidas las unidades organizativas secundarias, se aplicarán los objetos de Directiva de grupo Directivas predeterminadas de usuario y Directivas de usuario forzadas. Se deshabilitará el Administrador de tareas y Active Desktop.
Mejorar el rendimiento de los objetos de Directiva de grupo
Como estos objetos de Directiva de grupo se utilizan únicamente para la configuración de usuario, se puede deshabilitar la parte correspondiente a los equipos de estos objetos. Al deshabilitar las opciones de configuración de equipo se reduce el tiempo de inicio del equipo de destino, ya que no es necesario evaluar los objetos de Directiva de grupo de equipo.
Si no hay equipos en la unidad organizativa Cuentas, ni en sus unidades organizativas secundarias, no se obtendrá un beneficio inmediato al deshabilitar la parte correspondiente a los equipos del objeto de Directiva de grupo. Sin embargo, dado que estos objetos de Directiva de grupo se pueden vincular más adelante a un contenedor diferente que puede incluir equipos, tal vez considere conveniente deshabilitar la parte correspondiente a los equipos de estos objetos de Directiva de grupo.
Para deshabilitar la parte correspondiente a los equipos de un objeto de Directiva de grupo
1. | En el cuadro de diálogo Propiedades de Cuentas, haga clic con el botón secundario del mouse en el objeto de Directiva de grupo Directivas de usuario forzadas y, a continuación, seleccione Propiedades. |
2. | En el cuadro de diálogo Propiedades de Directivas de usuario forzadas, haga clic en la ficha General (opción predeterminada) y, después, active la casilla de verificación Deshabilitar los parámetros de configuración del equipo. En el cuadro de diálogo Confirmar deshabilitar, haga clic en Sí y luego en Aceptar para finalizar. Observe que la página de propiedades General incluye dos casillas de verificación para deshabilitar una parte del objeto de Directiva de grupo. |
3. | Repita los pasos 1 y 2 para el objeto de Directiva de grupo Directivas predeterminadas de usuario. |
Bloquear la herencia
Puede bloquear la herencia para que un objeto de Directiva de grupo no herede la directiva de otro objeto de Directiva de grupo de la jerarquía. En el ejemplo siguiente se muestra cómo bloquear la herencia para que sólo las opciones de las Directivas de usuario forzadas afecten a los usuarios de esta unidad organizativa.
Para bloquear la herencia de la Directiva de grupo para la unidad organizativa Producción
1. | En el cuadro de diálogo Propiedades de Cuentas, haga clic en Cerrar. |
2. | En la unidad organizativa Cuentas en la consola GPWalkThrough, haga clic con el botón secundario del mouse en la unidad organizativa Producción, seleccione Propiedades en el menú contextual y, a continuación, haga clic en la ficha Directiva de grupo. |
3. | Active la casilla de verificación Bloquear la herencia de directivas y, después, haga clic en Aceptar. |
Para comprobar que las opciones heredadas están bloqueadas, inicie sesión como usuario en la unidad organizativa Producción. Observe que Active Desktop está disponible, pero el Administrador de tareas sigue deshabilitado ya que el objeto de Directiva de grupo que lo deshabilita está establecido en No reemplazar en la unidad organizativa principal.
Vincular un objeto de Directiva de grupo a varios sitios, dominios y unidades organizativas
En esta sección se explica cómo vincular un objeto de Directiva de grupo a varios contenedores (sitios, dominios o unidades organizativas) en Active Directory. Según la configuración exacta de las unidades organizativas, puede utilizar otros métodos para obtener efectos de Directiva de grupo similares; puede utilizar, por ejemplo, filtros de grupos de seguridad o bloquear la herencia. En algunos casos, sin embargo, estos métodos no producen los efectos deseados. Utilice el método siguiente siempre que tenga que definir explícitamente qué sitios, dominios o unidades organizativas necesitan el mismo conjunto de directivas.
Para vincular un objeto de Directiva de grupo a varios sitios, dominios y unidades organizativas
1. | En la unidad organizativa Cuentas en la consola GPWalkThrough, haga clic con el botón secundario del mouse en la unidad organizativa Oficinas centrales, seleccione Propiedades en el menú contextual y, a continuación, haga clic en la ficha Directiva de grupo. |
2. | En el cuadro de diálogo Propiedades de Oficinas centrales, en la ficha Directiva de grupo, haga clic en Nuevo para crear un nuevo objeto de Directiva de grupo llamado Directivas vinculadas. |
3. | Seleccione el objeto de Directiva de grupo Directivas vinculadas y, a continuación, haga clic en Editar. |
4. | En el Editor de objetos de Directiva de grupo, bajo Configuración de usuario, expanda Plantillas administrativas, haga clic en Panel de control y luego en Mostrar. |
5. | En el panel de detalles, haga doble clic en la directiva Impedir cambios en el papel tapiz y, a continuación, haga clic en Habilitada. Haga clic en Aceptar para continuar. |
6. | Haga clic en Archivo y luego en Salir para cerrar el Editor de objetos de Directiva de grupo. |
7. | En la página Propiedades de Oficinas centrales, haga clic en Cerrar. |
8. | En la unidad organizativa Cuentas en la consola GPWalkThrough, haga clic con el botón secundario del mouse en la unidad organizativa Producción, haga clic en Propiedades en el menú contextual y, a continuación, haga clic en la ficha Directiva de grupo en el cuadro de diálogo Propiedades de Producción. |
9. | Haga clic en Agregar o haga clic con el botón secundario del mouse en el área en blanco de la lista Vínculos de objetos de directiva de grupo y seleccione Agregar en el menú contextual. |
10. | En el cuadro de diálogo Agregar un vínculo de objeto de directiva de grupo, haga clic en la flecha abajo en el cuadro Buscar en y seleccione la unidad organizativa Cuentas.contoso.com. |
11. | Haga doble clic en la unidad organizativa Oficinas centrales.Cuentas.contoso.com en la lista Dominios, unidades organizativas y objetos de directiva de grupo vinculados. |
12. | Haga clic en el objeto de Directiva de grupo Directivas vinculadas y, a continuación, haga clic en Aceptar. |
13. | Haga clic en Aceptar para finalizar. |
Acaba de vincular un único objeto de Directiva de grupo a dos unidades organizativas. Los cambios realizados en el objeto de Directiva de grupo en cualquiera de las ubicaciones provocan un cambio en ambas unidades organizativas.
Procesamiento de bucle invertido
El bucle invertido es una alternativa al método predeterminado de obtener la lista ordenada de objetos de Directiva de grupo cuyas opciones de Configuración de usuario afectan a un usuario. De forma predeterminada, la configuración de un usuario proviene de una lista de objetos de Directiva de grupo que depende de la ubicación del usuario en Active Directory. La lista ordenada abarca desde los objetos de Directiva de grupo vinculados a sitios a los vinculados a dominios y a los vinculados a unidades organizativas, y la herencia se determina por la ubicación del usuario en Active Directory con el orden especificado por el administrador en cada nivel.
Un bucle invertido se puede establecer en No configurado, Habilitado o Deshabilitado, como cualquier otra opción de Directiva de grupo. En el estado Habilitado, el bucle invertido se puede establecer en Combinar o Reemplazar.
| • | Bucle invertido con Reemplazar La lista de objetos de Directiva de grupo para el usuario se sustituye en su totalidad por la lista de objetos de Directiva de grupo obtenida para el equipo al iniciarse. Las opciones de Configuración de usuario de esta lista se aplican al usuario. |
| • | Bucle invertido con Combinar La lista de objetos de Directiva de grupo es una lista concatenada. Los objetos de Directiva de grupo predeterminados para los equipos se agregan a los objetos de Directiva de grupo predeterminados para los usuarios, y el usuario obtiene las opciones de Configuración de usuario de la lista concatenada. Tenga en cuenta que la lista de objetos de Directiva de grupo que se obtiene para el equipo se aplica después y, por tanto, tiene prioridad si existe un conflicto con las opciones de la lista del usuario. |
Para habilitar el procesamiento de bucle invertido
1. | Expanda la unidad organizativa Recursos en la consola GPWalkThrough, haga clic con el botón secundario del mouse en la unidad organizativa Escritorio, haga clic en Propiedades en el menú contextual y, a continuación, haga clic en la ficha Directiva de grupo en el cuadro de diálogo Propiedades de Escritorio. |
2. | Haga clic en Nuevo para crear un objeto de Directiva de grupo llamado Directivas de bucle invertido. |
3. | Seleccione el objeto de Directiva de grupo Directivas de bucle invertido y, a continuación, haga clic en Editar. |
4. | En el Editor de objetos de Directiva de grupo, en el nodo Configuración del equipo, expanda Plantillas administrativas, expanda Sistema y, a continuación, haga clic en Directiva de grupo. |
5. | En el panel de detalles, haga doble clic en la directiva Modo de procesamiento de bucle invertido de la directiva de grupo de usuario. |
6. | Haga clic en Habilitado en el cuadro de diálogo Modo de procesamiento de bucle invertido de la directiva de grupo de usuario, seleccione Reemplazar (opción predeterminada) en la lista desplegable Modo y, a continuación, haga clic en Aceptar. |
En la siguiente sección se definen opciones restrictivas para los entornos Menú Inicio y barra de taras y Escritorio del usuario que podrían aplicarse a un escenario Quiosco. Para desplazarse de forma eficaz por las directivas, utilice los botones de exploración Valor siguiente de los cuadros de diálogo de directivas.
Para definir un entorno restrictivo del Menú Inicio y barra de tareas
1. | En el Editor de objetos de Directiva de grupo, bajo el nodo Configuración de usuario, expanda Plantillas administrativas y, a continuación, haga clic en Menú Inicio y barra de tareas. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2. | En cada uno de los cuadros de diálogo de directivas siguientes, establezca el estado de las directivas como se indica en la tabla.
|
Para definir un entorno restrictivo de Escritorio
1. | En el Editor de objetos de Directiva de grupo, bajo Configuración de usuario y Plantillas administrativas, haga clic en Escritorio. | ||||||||||||||||||||||||||||||||||||||||||||||||
2. | En cada uno de los cuadros de diálogo de directivas siguientes, establezca el estado de las directivas como se indica en la tabla.
| ||||||||||||||||||||||||||||||||||||||||||||||||
3. | Una vez configuradas todas las directivas, haga clic en Aceptar. | ||||||||||||||||||||||||||||||||||||||||||||||||
4. | En el Editor de objetos de Directiva de grupo, desplácese al nodo Active Desktop bajo Configuración de usuario\Plantillas administrativas\Escritorios, establezca la directiva Deshabilitar Active Desktop en Habilitada y, a continuación, haga clic en Aceptar. | ||||||||||||||||||||||||||||||||||||||||||||||||
5. | En el Editor de objetos de Directiva de grupo, desplácese al nodo Panel de control bajo Configuración de usuario\Plantillas administrativas y a continuación, haga clic en el nodo Agregar o quitar programas. Haga doble clic en la directiva Deshabilitar Agregar o quitar programas, establézcala en Habilitada y, a continuación, haga clic en Aceptar. | ||||||||||||||||||||||||||||||||||||||||||||||||
6. | En el Editor de objetos de Directiva de grupo, desplácese al nodo Panel de control bajo Configuración de usuario\Plantillas administrativas y a continuación, haga clic en el nodo Pantalla. Haga doble clic en la directiva Quitar el elemento Pantalla en Panel de control, establézcala en Habilitada y, a continuación, haga clic en Aceptar. | ||||||||||||||||||||||||||||||||||||||||||||||||
7. | En el Editor de objetos de Directiva de grupo, haga clic en Archivo y luego en Salir. | ||||||||||||||||||||||||||||||||||||||||||||||||
8. | En el cuadro de diálogo Propiedades de Escritorios, haga clic en Aceptar. |
Los usuarios que inicien sesión en los equipos de la unidad organizativa Escritorio no tendrán las directivas que se les aplicarían normalmente; en su lugar, tendrán las directivas de usuario definidas en el objeto de Directiva de grupo Directivas de bucle invertido. Puede emplear los procedimientos descritos en la sección Filtros de grupos de seguridad para restringir este comportamiento a grupos específicos de equipos creando un grupo de seguridad y denegando después la aplicación de objetos de Directiva de grupo a dicho grupo.
Apéndice
Secuencia de comandos de ejemplo Welcome.js
// Script Sample for Windows Scripting Host
//
// Define constant values.
//
var MB_ICONINFORMATION = 0x40;
var MB_ICONQUESTION = 0x20;
var MB_ICONYESNO = 0x04
var IDYES = 6;
var IDTIMEOUT = -1;
var POPUP_WAIT = 5; // close popup after 5 seconds.
//
// Create ActiveX Controls
//
var Shell = WScript.CreateObject("WScript.Shell")
var Env = Shell.Environment("PROCESS")
//
// Set greeting message.
//
var strTitle = "Sample Login Script";
var strMsg = "Welcome \"" + Env("UserName")
strMsg += "\" to the \"" + Env("UserDomain") + "\" domain\r\n\r\n"
Shell.Popup(strMsg, POPUP_WAIT, strTitle, MB_ICONINFORMATION);
//
// Launch Internet Explorer if user wants.
//
strMsg = "Do you want to visit the Windows Server 2003 web site?";
var strURL;
strURL = "http://www.microsoft.com/windowsserversystem/default.mspx";
var intAnswer = Shell.Popup(strMsg,
POPUP_WAIT,
strTitle,
MB_ICONQUESTION | MB_ICONYESNO );
if (intAnswer == IDYES) {
Shell.Run(strURL);
}
Recursos adicionales
Para obtener más información, consulte los siguientes recursos:
| • | Directiva de grupo en http://www.microsoft.com/technet/grouppolicy/ (en inglés) |
| • | Consola de administración de Directivas de grupo con el Service Pack 1 en http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en (en inglés) |
| • | Windows Scripting en http://msdn.microsoft.com/library/default.asp?url=/nhp/default.asp?contentid=28001169 (en inglés) |
| • | Para obtener la información más reciente sobre Windows Server 2003, visite el sitio Web de Windows Server 2003 en http://www.microsoft.com/windowsserver2003 |