Admin is Trac Ion de Active Directory

download Admin is Trac Ion de Active Directory

of 33

  • date post

    07-Apr-2018
  • Category

    Documents

  • view

    213
  • download

    0

Embed Size (px)

Transcript of Admin is Trac Ion de Active Directory

  • 8/6/2019 Admin is Trac Ion de Active Directory

    1/33

    1

    Administracin de ActiveDirectory

    Instalacin y configuracin de redes.Instalacin de Aplicaciones.

    Integrantes: Mauricio BalczarGuido GutirrezRodrigo Medina

    Emilse QuintanaWiden GonzalesShigueiko Sakihama

    04 de noviembre de 2010

    Santa Cruz Bolivia

  • 8/6/2019 Admin is Trac Ion de Active Directory

    2/33

    2

    Contenido

    Administracin de Active Directory ................................................................................................................... 4

    Introduccin .................................................................................................................................................. 4

    Requisitos previos ..................................................................................................................................... 4

    Usar el complemento Dominios y confianzas de Active Directory ................................................................. 4

    Iniciar el complemento Dominios y confianzas de Active Directory........................................................... 4

    Cambiar la funcionalidad de dominios y bosques...................................................................................... 5

    Usar el complemento Usuarios y equipos de Active Directory ...................................................................... 6

    Reconocer objetos de Active Directory...................................................................................................... 6

    Unidades organizativas.............................................................................................................................. 7

    Crear unidades organizativas de dominio en Windows Server 2003.......................................................... 7

    Crear una unidad organizativa ................................................................................................................... 7

    Modificar los atributos de una unidad organizativa .................................................................................. 8

    Ejemplo de creacin de una UO................................................................................................................. 8

    Agregar una unidad organizativa..................................................................................................................... 11

    Crear una cuenta de usuario ........................................................................................................................... 12

    Mover una cuenta de usuario.................................................................................................................. 13

    Crear un grupo ................................................................................................................................................ 13

    Publicar una carpeta compartida............................................................................................................. 14

    Publicar una impresora............................................................................................................................ 15

    Crear un objeto de equipo............................................................................................................................... 17

    Cambiar el nombre, mover y eliminar objetos......................................................................................... 17

    Administrar objetos de equipo ................................................................................................................ 18

    Grupos anidados ............................................................................................................................................. 19

    Buscar objetos especficos ....................................................................................................................... 19

    Filtrar una lista de objetos ....................................................................................................................... 20

    Introduccin a Directiva de grupo ............................................................................................................... 20

    Objetos de directiva de grupo que existen de manera predeterminada...................................................... 21

    Directiva de usuario y de equipo ................................................................................................................. 21

    Orden de aplicacin..................................................................................................................................... 21

    Filtrar la directiva en funcin de la pertenencia a grupos de seguridad....................................................... 22

    Bloquear la herencia de directivas............................................................................................................... 22

    Aplicar la directiva desde arriba .................................................................................................................. 22

  • 8/6/2019 Admin is Trac Ion de Active Directory

    3/33

    3

    Administracin de directivas de grupo ........................................................................................................ 22

    Utilizar la Directiva de grupo ....................................................................................................................... 22

    Formas de abrir el Editor de objetos de directiva de grupo ...........................................................................22

    Directiva de grupo local............................................................................................................................... 23

    Permisos de directiva de grupo ................................................................................................................... 24

    Permisos predeterminados .......................................................................................................................... 24

    Directiva para Microsoft Management Console ............................................................................................24

    Delegar el control de la directiva de grupo ...................................................................................................24

    Directiva de grupo e infraestructura de red................................................................................................. 26

    Caractersticas de Directiva de grupo que se pueden utilizar entre distintos bosques............................. 26

    Directiva de grupo en redes multiplataforma .......................................................................................... 27

    Directiva de grupo en entornos replicados .............................................................................................. 28

    Directiva de grupo con vnculos lentos .................................................................................................... 29

    Directiva de grupo en sitios ..................................................................................................................... 29

    Administrar la Directiva de grupo desde la lnea de comandos ................................................................... 30

    Gpresult................................................................................................................................................... 30

    Gpupdate................................................................................................................................................. 31

    Formas nuevas de realizar tareas habituales............................................................................................... 32

  • 8/6/2019 Admin is Trac Ion de Active Directory

    4/33

  • 8/6/2019 Admin is Trac Ion de Active Directory

    5/33

    5

    El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fcil de usar para que losusuarios inicien sesin en Active Directory. El estilo del UPN se basa en el estndar RFC 822 de Internet, al quetambin se hace referencia como direccin de correo. El sufijo UPN predeterminado es el nombre DNS delbosque, que es el nombre DNS del primer dominio del primer rbol del bosque.

    Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de sesin. Tambin puedesimplificar los nombres de inicio de sesin de usuario si utiliza un solo sufijo UPN para todos los usuarios. El

    sufijo UPN slo se utiliza dentro del dominio de Windows Server 2003 y no es necesario que sea un nombrevlido de dominio DNS.

    Para agregar sufijos UPN adicionales1. Seleccione Dominios y confianzas de Active Directory en el panel superior izquierdo, haga clic con el botn

    secundario delmouse (ratn) en l y, a continuacin, haga clic enPropiedades.2. Especifique cualquier sufijo UPN alternativo en el cuadro SufijosUPN alternativos y haga clic enAgregar.3. Haga clic en Aceptar para cerrar la ventana.Cambiar la funcionalidad de dominios y bosquesLa funcionalidad de dominios y bosques, incluida en Active Directory de Windows Server 2003, proporciona un

    modo de habilitar las caractersticas de Active Directory para todo el dominio o todo el bosque dentro delentorno de red. Existen diferentes niveles de funcionalidad de dominios y de bosques, que dependen delentorno.

    Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivelfuncional est establecido en Windows Server 2003, estarn disponibles todas las caractersticas para todo eldominio y para todo el bosque. Cuando se incluyen controladores de dominio Windows NT 4.0 oWindows 2000 en el dominio o bosque con controladores de dominio que ejecutan Windows Server2003, sloest disponible un subconjunto de las caractersticas de Active Directory para todo el dominio y todo el bosque.

    El concepto de habilitar funciones adicionales de Active Directory existe en Windows2000 con modos mixtos y

    nativos. Los dominios de modo mixto puede contener controladores de dominio de reserva Windows NT 4.0 yno pueden utilizar las caractersticas de grupos de seguridad universal, anidacin de grupos ni historial de ID deseguridad (SID). Cuando el dominio est establecido en modo nativo, se pueden utilizar las caractersticas degrupos de seguridad universal, anidacin de grupos e historial de SID. Los controladores de dominio queejecutan Windows 2000 Server no admiten la funcionalidad de dominio y bosque.

    Advertencia: una vez elevado el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anterioresno podrn incluirse en el dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los controladores dedominio que ejecutan Windows 2000 Server no se podrn agregar a dicho dominio.

    La funcionalidad de dominio habilita caractersticas que afectan a todo el dominio y slo a ese dominio. Existencuatro niveles funcionales de dominio: Windows 2000 mixto (opcin predeterminada), Windows 2000 nativo,Windows Server 2003 versin provisional y Windows Server 2003. De forma predeterminada, los dominiosoperan en el nivel funcional Windows 2000 mixto.

    Para elevar la funcionalidad del dominio1. Haga clic derecho en el objeto de dominio (en el ejemplo, contoso.com) y, a continuacin, haga clic

    en Elevar el nivel funcional del dominio.2. Seleccione un nivel funcional del dominio disponible, luego Windows Server 2003 y haga clic en Elevar.3. Haga clic en Aceptar en el mensaje de advertencia para elevar la funcionalidad del dominio. Haga clic de

    nuevo en Aceptar para finalizar el proceso.4. Cierre la ventana Dominios y confianzas de Active Directory.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    6/33

    6

    Usar el complemento Usuarios y equipos de Active DirectoryPara iniciar el complemento Usuarios y equipos de Active Directory1. Haga clic en el botn Inicio, seleccione Todos los programas, Herramientas administrativas y luego haga

    clic en Usuarios y equipos de Active Directory.2. Expanda el dominio (en el ejemplo Contoso.com) haciendo clic en el signo +.

    En la Figura2

    se muestran loscomponentes clave delcomplemento Usuarios y equipos deActive Directory.

    Figura 2. Complemento Usuarios y equipos

    de Active Directory

    Reconocer objetos de Active Directory

    Los objetos descritos en la tabla siguiente se crean durante la instalacin de Active Directory.Icono Carpeta Descripcin

    Dominio El nodo raz del complemento representa el dominio que se va a administrar.

    Equipos

    Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y WindowsServer 2003 que se unen a un dominio. Entre stos se incluyen los equipos que ejecutanWindows NT versiones 3.51 y 4.0. Si actualiza de una versin anterior, Active Directorymigra la cuenta de equipo a esta carpeta. Es posible mover estos objetos.

    Sistema Contiene informacin de sistemas y servicios de Active Directory.

    UsuariosContiene todos los usuarios del dominio. En una actualizacin, se migran todos los usuariosdel dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario.

    Se puede usar Active Directory para crear los siguientes objetos.Icono Objeto Descripcin

    UsuarioUn objeto de usuario es un objeto que es un principal de seguridad en el directorio.Unusuario puede iniciar sesin en la red con estas credenciales y a los usuarios se les puedeconceder permisos de acceso.

    ContactoUn objeto de contacto es una cuenta que no tiene ningn permiso de seguridad. No sepuede iniciar sesin como contacto. Los contactos se suelen utilizar para representar ausuarios externos con fines relacionados con el correo electrnico.

    EquipoObjeto que representa un equipo en la red. Para las estaciones de trabajo y servidorescon Windows NT, sta es la cuenta de equipo.

    Unidadorganizativa

    Las unidades organizativas se utilizan como contenedores para organizar de maneralgica objetos de directorio tales como usuarios, grupos y equipos, de forma muyparecida a como se utilizan las carpetas para organizar archivos en el disco duro.

    GrupoLos grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican laadministracin de cantidades grandes de objetos.

    Carpetacompartida

    Una carpeta compartida es un recurso compartido de red que se ha publicado en eldirectorio.

    Impresoracompartida

    Una impresora compartida es una impresora de red que se ha publicado en el directorio.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    7/33

    7

    Unidades organizativasLa unidad organizativa es un tipo de objeto de directorio muy til incluido en los dominios. Las unidadesorganizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otrasunidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios.Una unidad organizativa es el mbito o unidad ms pequea a la que se pueden asignar configuraciones deDirectiva de grupo o en la que se puede delegar la autoridadadministrativa. Con las unidades organizativas, puede crearcontenedores dentro de un dominio que representan lasestructuras lgicas y jerrquicas existentes dentro de unaorganizacin. Esto permite administrar la configuracin y eluso de cuentas y recursos, en funcin de su modeloorganizativo. Para obtener ms informacin acerca de laconfiguracin de Directiva de grupo, vea Directiva de grupo(pre-GPMC).Como se muestra en la ilustracin, las unidadesorganizativas pueden contener otras unidades organizativas.La jerarqua de contenedores se puede extender tanto como sea necesario para modelar la jerarqua de laorganizacin dentro de un dominio. Las unidades organizativas permiten a disminuir el nmero de dominios

    necesarios en una red.Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquiertamao. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominioo slo para una de ellas. El administrador de una unidad organizativa no necesita tener autoridadadministrativa sobre cualquier otra unidad organizativa del dominio. Para obtener ms informacin acerca decmo delegar la autoridad administrativa

    Crear unidades organizativas de dominio en Windows Server 2003Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos,equipos y otras unidades organizativas. Puede crear unidades organizativas que reflejen la estructura funcionalo empresarial de su organizacin. Cada dominio puede implementar su propia jerarqua de unidad

    organizativa. Si su organizacin contiene varios dominios, puede crear en cada uno estructuras de unidadorganizativa que sean independientes de las estructuras de los otros dominios.Una unidad organizativa es la unidad o mbito ms pequeo al que puede asignar valores de Directiva de grupoo delegar autoridad administrativa. Con las unidades organizativas puede crear en un dominio contenedoresque representan las estructuras jerrquicas y lgicas de su organizacin. Puede hacerlo para facilitar laadministracin de la configuracin y el uso de cuentas y recursos basndose en su modelo organizativo.Las unidades organizativas pueden contener usuarios, grupos, equipos, impresoras y carpetas compartidas, ascomo un nmero ilimitado de otras unidades organizativas, pero no pueden contener objetos de otrosdominios.

    NOTA: debe iniciar sesin como miembro del grupo Administradores de dominio o Administradores de organizacin, o debe tener laautoridad necesaria para realizar los procedimientos en este artculo.

    Crear una unidad organizativa1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Usuarios y

    equipos de Active Directory.2. Siga uno de estos procedimientos:

    o En el rbol de la consola, haga clic con el botn secundario delmouse (ratn) en el objeto dedominio o en la unidad organizativa en la que quiere crear las unidades organizativas,seleccione Nuevo y, a continuacin, haga clic en Unidad organizativa.

    o Haga clic en el botn Crear un nuevo departamento en el contenedor actual.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    8/33

    8

    o En el rbol de la consola, haga clic con el botn secundario delmouse en el objeto de dominioo en la unidad organizativa en la que quiere crear las unidades organizativas,seleccione Nuevo en el men Accin y, a continuacin, haga clic en Unidad organizativa.

    3. En el cuadro Nombre, escriba un nombre para la nueva unidad organizativa y, despus, haga clicen Aceptar. La nueva unidad organizativa que cre aparece en el rbol de consola. Ahora puedeagregar otros objetos a la unidad organizativa, como usuarios, equipos, grupos y otras unidadesorganizativas.

    Modificar los atributos de una unidad organizativa1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic en Usuarios y

    equipos de Active Directory.2. Expanda el objeto del dominio.3. Haga clic con el botn secundario delmouse en la unidad organizativa cuyos atributos desea modificar

    y, a continuacin, haga clic en Propiedades.4. Haga clic en la ficha correspondiente a las propiedades de la unidad organizativa que desea modificar y,

    despus, especifique las opciones deseadas.

    Ejemplo de creacin de una UO

    Lo primero que vamos a hacer para crear las Unidades Organizativas deseadas en nuestro centro es acceder alas "Herramientas administrativas" del "Panel de Control" y hacer doble clic sobre "Usuarios y Equipos deActive Directory".

    En la pantalla que se muestra a continuacin, sobre el Dominio "micentro.edu", pulsamos con el botn derechodel ratn y seleccionamos la opcin "Nuevo" y posteriormente "Unidad organizativa".

  • 8/6/2019 Admin is Trac Ion de Active Directory

    9/33

    9

    Indicamos el nombre de la nueva U.O. a crear, tecleando "Profesores" en la caja de texto destinada a tal efecto.

    Procederemos de igual manera para crear la U.O. correspondiente a los alumnos; tras ello en la pantalla de los"Usuarios y equipos de Active Directory" observaremos como han sido creadas las U.O. "Profesores" y"Alumnos".

    Para finalizar, debemos incluir a los profesores del centro ("javier", "joaquin" y "miguel") en el contenedorcorrespondiente a la U.O. "Profesores"; para ello accedemos a la carpeta "Users" y seleccionamos los 3usuarios profesores que previamente habamos creado; con el botn derecho del ratn pulsamos sobre laseleccin efectuada y elegimos la opcin "Mover".

  • 8/6/2019 Admin is Trac Ion de Active Directory

    10/33

    10

    En la ventana que se muestra especificamos que deseamos mover dichos usuarios a la U.O. "Profesores", ypulsamos sobre el botn "Aceptar".

    Procederemos de igual modo con los alumnos "Bachiller" y "ESO", pero ahora a estos los incluiremos en laU.O."Alumnos"; tras ello observaremos como en las U.O. "Profesores" y "Alumnos", se encuentran ubicados losusuarios correspondientes que hemos movido anteriormente.

    Es MUY IMPORTANTE, que bloqueemos la herencia de directivas para el controlador de dominio "SERVIDOR",pues sino se aplicarn al servidor todas las directivas propias del dominio. Si accedemos a la U.O. "DomainControllers", veremos nuestro equipo "SERVIDOR"; como est incluido en una U.O. bajo el dominio"micentro.edu", las directivas anteriores y las que posteriormente asociaremos de distribucin de software, sele aplicarn exactamente igual que a cualquier estacin de trabajo; para evitarlo pulsaremos con el botnderecho del ratn sobre la U.O. "Domain Controllers" y seleccionaremos la opcin "Propiedades", yposteriormente nos ubicamos sobre la pestaa "Directiva de Grupo", en la cual activaremos la casilla "Bloquearla herencia de directivas"; finalmente pulsaremos sobre el botn "Aceptar"

    De este modo evitaremos que por defecto las directivas del dominio sean aplicadas a nuestro servidorWindows 2000, pero s se apliquen a todos los equipos clientes de nuestro dominio.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    11/33

    11

    Agregar una unidad organizativaEste procedimiento crea una unidad organizativa adicional en el dominio ya creado. Tenga en cuenta que sepueden crear unidades organizativas anidadas, y que no hay lmite de niveles de anidacin.Estos pasos se basan en la estructura de Active Directory de infraestructura comn. Si no ha creado esaestructura, agregue las unidades organizativas y los usuarios directamente bajo el dominio deseado(ej.: Contoso.com); es decir, donde se hace referencia a una unidad organizativa (ej.: Cuentas en elprocedimiento, sustituya Contoso.com.

    Para agregar una unidad organizativa1. Haga clic en el signo + situado junto a Cuentas para expandirlo.2. Haga clic con el botn secundario delmouse en Cuentas.3. Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construccin como el nombre de la nueva

    unidad organizativa y, a continuacin, haga clic enAceptar.

    Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes: Unidad organizativa Ingeniera bajo Cuentas. Unidad organizativa Fabricacin bajo Cuentas. Unidad organizativa Consumidor bajo la unidad organizativa Fabricacin. (Para ello, haga clic con el botn

    secundario delmouse en Fabricacin, seleccione Nuevo y, a continuacin, haga clic en Unidadorganizativa.)

    Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricacin. Haga clicen Fabricacin para que su contenido se muestre en el panel de la derecha.

    Al terminar, debera tener la jerarqua que aparece a continuacin en la Figura 3.

    Figura 3. Nuevas unidades organizativas

  • 8/6/2019 Admin is Trac Ion de Active Directory

    12/33

    12

    Crear una cuenta de usuarioEl siguiente procedimiento crea la cuenta de usuario Juan Garca en la unidad organizativa Construccin.

    Para crear una cuenta de usuario1. Haga clic con el botn secundario delmouse en la unidad organizativa Construccin, seleccione Nuevo y, a

    continuacin, haga clic en Usuario o Usuario nuevo en la barra de herramientas del complemento.2. Escriba la informacin del usuario que se muestra en la Figura 4.

    Figura 4. Cuadro de dilogo Usuario nuevo

    3. Haga clic en Siguiente para continuar.4. Escriba pass#word1 en los cuadros Contrasea y Confirmar contrasea y, despus, haga clic en Siguiente.

    Nota: a menudo, el papel que desempean las contraseas en la proteccin de la red de una organizacin se subestima y no setiene en cuenta. Las contraseas proporcionan el primer mecanismo de defensa contra el acceso no autorizado a laorganizacin. La familia Windows Server 2003 dispone de una nueva caracterstica que requiere contraseas complejas paratodas las cuentas de usuario de nueva creacin. Para obtener informacin sobre esta caracterstica, consulte la gua detalladade configuracin de directivas de contrasea.

    5. Haga clic en Finalizar para aceptar la confirmacin en el siguiente cuadro de dilogo.Para agregar informacin adicional sobre este usuario1. Seleccione Contruccion en el panel de la izquierda, haga clic derecho en el Usuario en el panel de la

    derecha y luego haga clic en Propiedades.2. Agregue ms informacin sobre el usuario en el cuadro de dilogo Propiedades en la ficha General como se

    muestra en la Figura 5 y, a continuacin, haga clic en Aceptar. Haga clic en cada ficha disponible y revise lainformacin opcional del usuario que se puede definir.

    Figura 5. Informacin adicional del usuario

  • 8/6/2019 Admin is Trac Ion de Active Directory

    13/33

    13

    Mover una cuenta de usuarioLos usuarios se pueden mover de una unidad organizativa a otra del mismo dominio o de un dominio distinto.Por ejemplo, en este procedimiento, Juan Garca se mueve de la divisin Construccin a la divisin Ingeniera.

    Para mover un usuario de una unidad organizativa a otra1. Haga clic en la cuenta de usuario Juan Garca en el panel de la derecha, haga clic con el botn secundario

    del mouse en ella y, despus, haga clic en Mover.2. En la pantalla Mover, haga clic en el signo + situado junto a Cuentas para expandirlo, como se muestra en la

    Figura 6.

    Figura 6. Lista de unidades organizativas disponibles

    3. Haga clic en la unidad organizativa Ingeniera y luego en Aceptar.Crear un grupoPara crear un grupo1. Haga clic con el botn secundario del mouse en la unidad organizativa Ingeniera, haga clic en Nuevo y

    despus en Grupo.2. En el cuadro de dilogo Nuevo objeto Grupo, escribaHerramientas para el nombre.3. Revise el tipo y el mbito de los grupos disponibles en Windows Server 2003, mostrados en la tabla

    siguiente. Mantenga la configuracin predeterminada y, a continuacin, haga clic enAceptar para crear elgrupo Herramientas.

    El Tipo de grupo indica si se puede utilizar el grupo para asignar permisos a otros recursos de la red, comoarchivos e impresoras. Tanto los grupos de seguridad como los de distribucin se pueden utilizar paraconfeccionar listas de distribucin de correo electrnico.

    El mbito de grupo determina la visibilidad del grupo y qu tipo de objetos puede contener el grupo.mbito Visibilidad Puede contener

    Dominio local Dominio Grupos Usuario, Dominio local, Global o UniversalGlobal Bosque Grupos Usuarios o Global

    Universal Bosque Grupos Usuarios, Global o Universal

  • 8/6/2019 Admin is Trac Ion de Active Directory

    14/33

    14

    Para agregar un usuario a un grupo1. Haga clic en la unidad organizativa Ingeniera en el panel de la izquierda.2. Haga clic con el botn secundario delmouse en el grupoHerramientas en el panel de la derecha y, a

    continuacin, haga clic en Propiedades.3. Haga clic en la ficha Miembros y luego en Agregar.4. En el cuadro de texto Escriba los nombres de objeto que desea seleccionar, escriba Juan y, a continuacin,

    haga clic en Aceptar.

    Figura 7. Agregar Juan Garca al grupo de seguridad

    Herramientas

    5. En la pantalla Propiedades de herramientas, compruebe que Juan Garca es un miembro del grupo deseguridad Herramientas y, despus, haga clic enAceptar.

    Publicar una carpeta compartidaPara que los usuarios puedan encontrar ms fcilmente las carpetas compartidas, puede publicar informacinsobre dichas carpetas en Active Directory. Cualquier carpeta compartida en la red, incluida una carpeta deSistema de archivos distribuido (DFS), se puede publicar en Active Directory. Cuando se crea un objeto decarpeta compartida en el directorio, la carpeta no se comparte automticamente. ste es un proceso queconsta de dos pasos: en primer lugar se debe compartir la carpeta y despus publicarla en Active Directory.Para compartir una carpeta1. Utilice el Explorador de Windows para crear una nueva carpeta llamada Especificaciones de ingeniera en

    uno de los volmenes del disco.2. En el Explorador de Windows, haga clic con el botn secundario delmouse en la carpeta Especificaciones

    de ingeniera y, a continuacin, haga clic en Propiedades. Haga clic en Compartir y despus en Compartiresta carpeta.

    3. En la pantalla Propiedades de especificaciones de ingeniera, escriba ES en el cuadro Nombre del recurso y,a continuacin, haga clic enAceptar. Cierre el Explorador deWindows cuando termine.

    Nota: de forma predeterminada, el grupo integrado Todos tiene permisos en esta carpeta compartida. Puede cambiar el permisopredeterminado haciendo clic en el botn Permisos.

    Para publicar la carpeta compartida en el directorio1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario delmouse en

    la unidad organizativa Ingeniera, seleccione Nuevo y, a continuacin, haga clic en Carpeta compartida.2. En la pantalla Nuevo objeto Carpeta compartida, escriba Especificaciones deingeniera en el

    cuadro Nombre.3. En el cuadro Ruta de acceso de red, escriba \\hq-con-dc-01.contoso.com\ES y haga clic enAceptar.4. Haga clic con el botn secundario delmouse en Especificaciones de ingeniera y, despus, haga clic

    en Propiedades.5. Haga clic en Palabras clave. Para Valornuevo, escriba especificaciones y, a continuacin, haga clic

    en Agregar para continuar. Haga clic dos veces enAceptar para finalizar.Los usuarios ahora pueden buscar en Active Directory por nombre de recurso compartido o palabra clave para localizareste recurso compartido.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    15/33

    15

    Para buscar una carpeta compartida1. En el complemento de MMC Usuariosyequipos deActiveDirectory, haga clic con el botn secundario

    del mouse en Contoso y, a continuacin, haga clic en Buscar.2. En la lista desplegable Buscar, haga clic en Carpetascompartidas. Escriba especificaciones en el cuadro de

    texto Palabras clave y, despus, haga clic en Buscarahora.3. En Resultados de labsqueda, haga clic con el botn secundario delmouse en Especificaciones

    deingeniera y, a continuacin, haga clic en Abrir.

    Figura 8. Buscar carpetas compartidas enActive Directory

    Nota: cuando se rellene la carpeta compartida ES, su contenido estar disponible a los usuarios finales mediante bsquedas en eldirectorio. Los usuarios pueden asignar tambin este recurso compartido como una unidad de red.

    4. Cierre el cuadro de dilogo Buscarcarpetascompartidas.Publicar una impresoraPuede publicar tambin informacin sobre impresoras compartidas en Active Directory. La informacin de las

    impresoras compartidas de Windows NT debe publicarse manualmente. La informacin de las impresorascompartidas de la familia Windows Server 2003 o de la familia Windows 2000 Server se publicaautomticamente en el directorio cuando se crea una impresora compartida. Utilice Usuarios y equipo deActive Directory para publicar manualmente informacin sobre impresoras compartidas.El subsistema de impresin propaga de forma automtica al directorio los cambios realizados en los atributosde la impresora (ubicacin, descripcin, carga de papel. etc.).Nota: en esta seccin se describen los pasos para configurar y publicar una impresora que imprime directamente en unarchivo. Si desea utilizar una impresora basada en IP, LPT o USB, debe modificar los pasos de estos procedimientos.

    Para agregar una nueva impresora1. Haga clic en el botn Inicio, en Impresoras y faxes y, despus, haga doble clic en Agregar impresora.

    Aparece el Asistente para agregar impresoras. Haga clic en Siguiente.2. Haga clic en Impresora local conectada a este equipo, desactive la casilla de verificacin Detectar e instalar

    mi impresora Plug and Play automticamente y, a continuacin, haga clic en Siguiente.3. En la lista desplegable Usar el puerto siguiente, haga clic en la opcinARCHIVO: (Imprimir a archivo) y

    despus en Siguiente.4. En el panel de resultados Fabricante, haga clic en Genrico. En el panel de resultados Impresoras, haga clic

    en Genrico / slo texto. Haga clic en Siguiente para continuar.5. En la pgina Dar un nombre a su impresora, cambie el nombre de la impresora por Imprimir a archivo y,

    despus, haga clic en Siguiente.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    16/33

    16

    6. En la pgina Compartir impresora, cambie el Nombre del recurso por ImpresoraArchivo y, a continuacin,haga clic en Siguiente.

    7. Para Ubicacin en la pgina Ubicacin y comentario, escriba Oficinas centrales Edificio 4 Oficina 2200.Haga clic en Siguiente para continuar.

    8. Haga clic en Siguiente para imprimir una pgina de prueba y, despus, haga clic en Finalizar para completarla instalacin.

    9. Cuando se le indique, escriba Impresin deprueba como nombre del archivo para la pgina de prueba de laimpresora. Cuando termine, haga clic enAceptar.

    La impresora se publica automticamente en Active Directory.

    Para buscar una impresora en Active Directory1. En la pantalla Impresoras y faxes, haga doble clic en el iconoAgregar impresora.2. Aparece el cuadro de dilogo Asistente para agregar impresoras. Haga clic en Siguiente para continuar.3. Haga clic en Unaimpresora de red y luego en Siguiente.4. Haga clic en Buscar una impresora en el directorio (opcin predeterminada) y, despus, haga clic

    en Siguiente.5. Aparece el cuadro de dilogo Buscar impresoras. Haga clic en Buscar ahora para buscar todas las impresoras

    publicadas en Active Directory. Si define opciones de bsqueda adicionales, puede limitar los resultados a

    las caractersticas disponibles o a la ubicacin de la impresora.

    Seguimiento de la ubicacin de impresoras: utilice el seguimiento de la ubicacin de impresoras para simplificar labsqueda de impresoras. Cuando el seguimiento de la ubicacin de impresoras est habilitado y el usuario hace clic enBuscar ahora, Active Directory muestra todas las impresoras que coinciden con la consulta del usuario que se encuentranen la ubicacin del usuario. Los usuarios pueden cambiar el campo de ubicacin haciendo clic en Examinar para buscarimpresoras en otras ubicaciones. Para obtener ms informacin sobre cmo configurar el seguimiento de la ubicacin deimpresoras, consulte el Centro de ayuda y soporte tcnico de Windows Server 2003.

    6. En Resultados de la bsqueda en la pgina Buscar Impresoras, haga doble clic en Imprimir a un archivo parainstalar la impresora. Haga clic en Spara definir esta impresora como la impresora predeterminada del sistemay, despus, haga clic en Siguiente.

    Figura 9. Buscar impresoras compartidas en Active Directory

    7. Haga clic en Finalizar para completar la instalacin de la impresora.8. Cierre la ventana Impresoras y faxes.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    17/33

    17

    Puede publicar impresoras compartidas por sistemas operativos distintos de Windows Server 2003, Windows 2000 oWindows XP en Active Directory. La manera ms sencilla de hacerlo es utilizar la secuencia de comandos pubprn.vbs ,aunque tambin se puede usar el complemento Usuarios y equipos de Active Directory. Esta secuencia de comandospublicar todas las impresoras compartidas en un servidor dado. Se encuentra en el directorio \winnt\system32.

    Publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs

    Para publicar una impresora manualmente mediante la secuencia de comandos pubprn.vbs

    1. Haga clic en el botn Inicio y luego en Ejecutar. Escriba cmd en el cuadro de texto y, despus, haga clicen Aceptar.2. Escriba cd \ windows\ system32 y presione ENTRAR.3. Escriba cscript pubprn.vbs prserv1 "LDAP://ou=cuentas,dc=contoso,dc=com"y, despus,

    presione ENTRAR.

    Nota: este ejemplo publica todas las impresoras del servidor Prserv1 en la unidad organizativa Cuentas. La secuencia decomandos slo copia el subconjunto siguiente de atributos de impresora, que incluyen la ubicacin, el modelo, elcomentario y la ruta de acceso UNC. Esta secuencia de comandos no funciona en Windows Server 2003; se proporcionacomo una herramienta manual para publicar impresoras en Active Directory nicamente desde servidores de impresin

    de bajo nivel.

    4. Cierre la ventana.Publicar una impresora manualmente mediante el complemento Usuarios y equipos de Active

    Directory1. Haga clic con el botn secundario delmouse en la unidad organizativa Mercadotecnia, haga clic en Nuevo y

    despus en Impresora.2. Aparece el cuadro de dilogo Nuevo objeto - Impresora. En el cuadro de texto, escriba la ruta de acceso de

    la impresora, como \\servidor\recurso compartido y, a continuacin, haga clic en Siguiente.Los usuarios finales podrn realizar operaciones perfectamente integradas desde las impresoras que sepublican en el directorio, ya que pueden buscar impresoras, enviar trabajos a esas impresoras e instalar loscontroladores de impresora directamente desde el servidor.

    Crear un objeto de equipo

    Un objeto de equipo se crea de forma automtica cuando un equipo se une a un dominio. Si no desea otorgar atodos los usuarios la capacidad de agregar equipos al dominio, puede crear objetos de equipo antes de que elequipo se una a un dominio de forma manual o mediante secuencias de comandos.

    Para agregar manualmente un equipo al dominio1. Haga clic con el botn secundario delmouse en la unidad organizativa Ingeniera, seleccione Nuevo y,

    despus, haga clic en Equipo.2. Para el nombre del equipo, escribaHeredado y, a continuacin, haga clic en Siguiente.3. Si el equipo es un sistema administrado, puede especificar elGUID del sistema. En este ejemplo, deje

    el GUID del sistema en blanco, haga clic en Siguiente y despus enFinalizar.4. Para administrar este equipo desde el complementoUsuarios y equipos de Active Directory, haga clic con

    el botn secundario delmouse en el objeto de equipo y, a continuacin, haga clic en Administrar.

    De forma opcional, es posible seleccionar a qu usuarios se les permite unir un equipo al dominio. Esto permiteque el administrador cree la cuenta de equipo y que otra persona con menos permisos instale el equipo y louna al dominio.

    Cambiar el nombre, mover y eliminar objetosSe puede cambiar el nombre y eliminar todos los objetos del directorio, y se puede mover la mayor parte de losobjetos a contenedores distintos. En el siguiente procedimiento se ampla el ejemplo para crear un objeto deequipo.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    18/33

    18

    Para mover el objeto de equipo Heredado a un contenedor diferente1. En la unidad organizativa Cuentas, haga clic en la unidad organizativa Ingeniera.2. Haga clic con el botn secundario delmouse en el objeto de equipo Heredado y, despus, haga clic

    en Mover.3. Expanda la unidad organizativa Recursos y, a continuacin, haga clic para resaltar Servidores como se

    muestra en la Figura 10.

    Figura 10. Mover un objeto de equipo

    4. Haga clic enAceptar para mover el equipo a la unidad organizativa Servidor dentro de la unidadorganizativa Recursos.

    Administrar objetos de equipo

    Los objetos de equipo de Active Directory se pueden administrar directamente desde el complementoUsuariosy equipos de Active Directory. Administracin de equipos es un componente que sirve para ver y controlarnumerosos aspectos de la configuracin del equipo. Administracin de equipos combina varias utilidades deadministracin en un nico rbol de consola, lo que proporciona un fcil acceso a las propiedadesadministrativas y herramientas de los equipos locales o remotos.Nota: en el siguiente ejemplo se asume que trabaja desde la consola HQ-CON-DC-01 y que HQ-CON-DC-02 se est ejecutando.

    Administrar un equipo remoto

    Para administrar un equipo remoto1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario

    delmouse en contoso.com y, despus, haga clic en Conectar con el dominio.2. Haga clic en Examinar y luego en el signo + situado junto a contoso.com. Haga doble clic

    en vancouver.contoso.com y, a continuacin, haga clic enAceptar.3. Expanda vancouver.contoso.com haciendo clic en el signo + y, despus, haga clic en Controladores de

    dominio.4. Haga clic con el botn secundario delmouse en HQ-CON-DC-02 y, despus, haga clic enAdministrar. El

    sistema se puede administrar ahora de forma remota, como se ilustra en la Figura 11.

    Figura 11. Administrar un equipo de forma remota

  • 8/6/2019 Admin is Trac Ion de Active Directory

    19/33

    19

    5. Cierre la ventanaAdministracin deequipos.

    Grupos anidadosLos grupos anidados permiten proporcionar acceso a los recursos a toda la empresa o a todo el departamentocon un mantenimiento mnimo. Colocar cada grupo de cuentas de equipo en un nico grupo de recursos detoda la empresa no es una solucin eficaz, ya que para ello es necesario crear y mantener un gran nmero devnculos de pertenencia. Para utilizar grupos anidados, los administradores crean una serie de grupos de

    cuentas que representan las divisiones administrativas de la empresa.

    Para crear un grupo anidado1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario

    delmouse en vancouver.contoso.com y, despus, haga clic en Conectar con el dominio.2. Haga clic en Examinar y luego en contoso.com. Haga clic dos veces enAceptar para finalizar.3. Expanda contoso.com y, despus, expanda la unidad organizativa Cuentas.4. Cree un nuevo grupo haciendo clic con el botn secundario delmouse en Ingeniera,

    seleccionando Nuevo y haciendo clic en Grupo. Escriba Toda la ingeniera y, a continuacin, haga clicen Aceptar.

    5. Haga clic con el botn secundario delmouse en el grupo Toda la ingeniera y, despus, haga clic

    en Propiedades.6. Haga clic en la ficha Miembros y luego en Agregar.7. En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Herramientas y, a continuacin,

    haga clic en Aceptar.8. Haga clic de nuevo enAceptar. Se crea un grupo anidado.

    Buscar objetos especficosEn una implementacin de directorios de gran tamao sera absurdo examinar una gran lista de objetos enbusca de un nico objeto. Suele ser ms eficaz buscar objetos especficos que satisfagan determinadoscriterios. En el ejemplo siguiente, buscar todos los usuarios con un nombre de inicio de sesin que empiecepor J en el dominio Contoso.

    Para buscar usuarios con un nombre de inicio de sesin que empiece por J

    1. Haga clic para seleccionar contoso.com. Haga clic con el botn secundario delmouse en contoso.com y,despus, haga clic en Buscar.2. Haga clic en la ficha Opciones avanzadas. En la lista desplegable Campo, seleccione Usuario y, a

    continuacin, haga clic en Nombre deinicio de sesin.3. Escriba J para Valor y, despus, haga clic en Agregar. Haga clic en Buscar ahora. Los resultados deben ser

    similares a los que se muestran en la Figura 12.

    Figura 12. Uso de tcnicas avanzadas de bsqueda en directorios

  • 8/6/2019 Admin is Trac Ion de Active Directory

    20/33

  • 8/6/2019 Admin is Trac Ion de Active Directory

    21/33

    21

    y Redirigir carpetas. Puede redirigir carpetas, como Mis documentos y Mis imgenes, desde la carpetaDocumentos y Configuracin del equipo local a ubicaciones de red. Para obtener ms informacin acerca deRedireccin de carpetas, vea Utilizar Redireccionamiento de carpetas.

    y Administrar aplicaciones. Con la Directiva de grupo puede asignar, publicar, actualizar o repararaplicaciones mediante Instalacin de software de Directiva de grupo. Para obtener ms informacin,vea Utilizar Instalacin de software de Directiva de grupo.

    y Especificar las opciones de seguridad. Para aprender cmo configurar las opciones de seguridad, consulteConfiguracin de seguridad.

    Objetos de directiva de grupo que existen de manera predeterminadaTodos los equipos que ejecutan los sistemas operativos Windows 2000, Microsoft Windows XP Professional oWindows Server 2003 tienen almacenado localmente un objeto de directiva de grupo. Este objeto de directivade grupo local contiene un subconjunto de los valores disponibles en objetos de directiva de grupo no locales.Para obtener ms informacin, consulte Directiva de grupo local.

    De manera predeterminada, al configurar Active Directory se crean dos objetos de directiva de grupo nolocales:y Directiva de dominio predeterminada est vinculada al dominio y afecta a todos los usuarios y equipos del

    mismo (incluidos los equipos que son controladores de dominio) a travs de la herencia de directivas. Paraobtener ms informacin, consulte Herencia de directivas.

    y Directiva predeterminada de controladores de dominio est vinculada a la unidad organizativaControladores de dominio y generalmente slo afecta a los controladores de dominio, ya que las cuentas deequipo de los mismos se almacenan exclusivamente en la unidad organizativa Controladores de dominio.

    Precaucin

    y Si mueve un controlador de dominio fuera de la unidad organizativa Controladores de dominio, deja de aplicarse ladirectiva predeterminada de Controladores de dominio. Si debe mantener un controlador de dominio en una unidadorganizativa diferente, vincule la directiva predeterminada de Controladores de dominio a esa unidad organizativa.

    Directiva de usuario y de equipoLa configuracin de la directiva de usuario est ubicada en Configuracin de usuario en la Directiva de grupo yse obtiene cuando el usuario inicia una sesin. La configuracin de la directiva de equipo est ubicada enConfiguracin de equipo y se obtiene al iniciar el equipo. Para obtener ms informacin,consulte Configuracin de usuario y Configuracin del equipo.Los usuarios y los equipos son los nicos tipos de objetos de Active Directory que reciben directivas.Especficamente, la directiva no se aplica a los grupos de seguridad. En su lugar, por motivos de rendimiento, seutilizan grupos de seguridad para filtrar la directiva mediante una entrada de control de acceso (ACE) de Aplicardirectiva de grupos, que se puede establecer en Permitir o Denegar, o dejar sin configurar. Para obtener msinformacin, consulte Filtrar el mbito de la Directiva de grupo segn la pertenencia a los grupos de seguridad.

    Orden de aplicacinLas directivas se aplican en el orden siguiente:1. El objeto de directiva de grupo local nico.2. Objetos de directiva de grupo del sitio, en el orden especificado por el administrador.3. Objetos de directiva de grupo del dominio, en el orden especificado por el administrador.4. Objetos de directiva de grupo de la unidad organizativa, de unidad organizativa mayor a menor (de principal

    a secundaria), en el orden especificado por el administrador en el nivel de cada unidad organizativa.

    De forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas conanterioridad cuando son incoherentes. Sin embargo, si no hay incoherencias en las directivas, tanto las

  • 8/6/2019 Admin is Trac Ion de Active Directory

    22/33

    22

    anteriores como las posteriores contribuyen a la eficacia de las directivas. Para obtener ms informacin,consulte Prioridad de la directiva de grupo.

    Filtrar la directiva en funcin de la pertenencia a grupos de seguridadUna entrada ACE para un grupo de seguridad en un objeto de directiva de grupo puede establecerse como Noconfigurada (no hay preferencia), Permitida o Denegada. Denegada tiene prioridad sobre Permitida. Para

    obtener ms informacin, consulte Filtrar el mbito de la Directiva de grupo segn la pertenencia a los gruposde seguridad.

    Bloquear la herencia de directivasLas directivas que normalmente se heredaran de sitios, dominios o unidades organizativas superiores sepueden bloquear en el nivel de sitio, dominio o unidad organizativa. Para obtener ms informacin,consulte Bloquear la herencia de directivas.

    Aplicar la directiva desde arribaPuede configurar directivas que de otro modo seran sobrescritas por directivas de unidades organizativassecundarias como No omitir en el nivel de objeto de directiva de grupo. Para obtener ms informacin,

    consulte Evitar la suplantacin de un objeto de directiva de grupo.Notasy Las directivas que se han configurado como No omitir no se pueden bloquear.y Las opciones No omitir y Bloquear deben utilizarse con moderacin. El uso incontrolado de estas caractersticas

    avanzadas complica la solucin de problemas. Para ver sugerencias acerca del uso de Directiva de grupo, veaSolucionar problemas de la Directiva de grupo y Prcticas recomendadas para Directiva de grupo (anterior a GPMC).

    Administracin de directivas de grupoEl complemento Consola de administracin de directivas de grupo proporciona una interfaz de usuario nicapara administrar directivas de grupo en una empresa. Consola de administracin de directivas de grupocontiene un complemento de Microsoft Management Console (MMC) y un conjunto de interfaces desecuencias de comandos para administrar directivas de grupo.y Antes de utilizar Consola de administracin de directivas de grupo, vea Lista de comprobacin: utilizar la

    Consola de administracin de directivas de grupo.y Para buscar formas de realizar realizar tareas habituales con Consola de administracin de directivas de

    grupo, vea Formas nuevas de realizar tareas habituales mediante GPMC.

    Utilizar la Directiva de grupoFormas de abrir el Editor de objetos de directiva de grupoPuede abrir el Editor de objetos de directiva de grupo de varias maneras, dependiendo de la accin que desee

    llevar a cabo y del objeto al que desee aplicar la Directiva de grupo.

    Directiva de grupo aplicada a Haga estoEquipo local En el Editor de objetos de directiva de grupo, modifique el objeto de directiva de grupo

    local, tal como se describe en Editar un objeto de directiva de grupo local.

    Otro equipo Abra el objeto de directiva de grupo local que est almacenado en el equipo de red, talcomo se describe en Abrir la Directiva de grupo como un complemento MMC y, acontinuacin, busque el equipo de red. Debe tener derechos administrativos en el equipode red.

    Sitio Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva degrupo desde Sitios y servicios de Active Directory y, a continuacin, vincule un objeto de

  • 8/6/2019 Admin is Trac Ion de Active Directory

    23/33

    23

    directiva de grupo al sitio deseado.

    Dominio Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva degrupo desde Usuarios y equipos de Active Directory y, a continuacin, vincule un objetode directiva de grupo al dominio deseado.

    Unidades organizativas Abra el Editor de objetos de directiva de grupo, tal como se describe en Abrir Directiva de

    grupo desde Usuarios y equipos de Active Directory y, a continuacin, vincule un objetode directiva de grupo a la unidad organizativa deseada. Tambin puede vincular un objetode directiva de grupo a una unidad organizativa que se encuentre en un nivel superior dela jerarqua de Active Directory. De esta forma, la unidad organizativa podr heredar laconfiguracin de la Directiva de grupo.

    Objeto de directiva de grupoo conjunto de objetos dedirectiva de grupo existentes

    Puede crear y guardar su propia consola Microsoft Management Console (MMC)personalizada. Para obtener ms informacin, vea Microsoft Management Console.

    Tambin puede abrir el Editor de objetos de directiva de grupo si hace clic enInicio, en Ejecutar y, acontinuacin, escribe un comando. O bien, puede abrir el Editor de objetos de directiva de grupo en el smbolodel sistema en una ventana de MS-DOS. La siguiente tabla contiene algunos ejemplos de cmo puede abrir elEditor de objetos de directiva de grupo desde la l nea de comandos en diferentes situaciones.

    Para modificar En la lnea de comandos, utilice esta sintaxis de lnea de comandos

    El objeto nombreDeEsteEquipo gpedit.msc /gpcomputer:"nombreDeEsteEquipo"

    El objeto nombreDeEsteEquipo(especificado en el estilo DNS)

    gpedit.msc /gpcomputer:"nombreDeEsteEquipo.dominio.com"

    Objetos de directiva de grupoalmacenadas en Active Directory

    gpedit.msc/gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=WingTipToys,DC=com"Nota: El GUID del objeto de directiva de grupo descrito anteriormente es un ejemplo ficticio.

    Directiva de grupo localCada equipo que ejecuta Windows 2000, Windows XP Professional, Windows XP 64-bit Edition (Itanium) o unsistema operativo Windows Server 2003 tiene exactamente un objeto de directiva de grupo local. En estosobjetos, la configuracin de la Directiva de grupo se almacena en equipos individuales tanto si forman parte deun entorno de Active Directory o de un entorno de red como si no.

    Los objetos de directiva de grupo local contienen menos opciones de configuracin que los objetos de directivade grupo no local, especialmente en Configuracin de seguridad. Los objetos de directiva de grupo local noadmiten Re-direccionamiento de carpetas ni Instalacin de software de Directiva de grupo.Debido a que los objetos de directiva de grupo asociados a sitios, dominios y unidades organizativas pueden

    sobrescribir la configuracin del objeto de directiva de grupo local, ste es el menos influyente en un entornode Active Directory. En un entorno que no sea de red (o en un entorno de red que no disponga de uncontrolador de dominio), la configuracin del objeto de directiva de grupo local es ms importante, ya queotros objetos de directiva de grupo no puedensobrescribirla.

    Para modificar el objeto de directiva de grupo local almacenado en el equipo local, utilice el complementoEditor de objetos de directiva de grupo.Si desea editar el objeto de directiva de grupo local almacenado en otroequipo de la red, abra la Directiva de grupo como un complemento de Microsoft Management Console (MMC)independiente y busque el objeto de directiva de grupo que desee.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    24/33

    24

    El objeto de directiva de grupo local reside en razDelSistema\System32\GroupPolicy.Los equipos con Windows NT 4.0 o versiones anteriores no tienen un objeto de directiva de grupo local y noreconocen la Directiva de grupo no local. Para obtener ms informacin, vea Problemas de migracin.

    Permisos de directiva de grupo

    Permisos predeterminadosEn la siguiente tabla se describen los permisos predeterminados de los objetos de directiva de grupo.

    Grupo de seguridad Configuracin predeterminada

    Usuarios autenticados Leer, Aplicar Directiva de grupo (AGP)Sistema local Control total (incluye AGP)

    Administradores de dominio Leer, Escribir, Crear secundario, Eliminar secundario, AGPAdministradores Leer, Escribir, Crear secundario, AGP

    Propietarios del creador de directiva de grupo Lectura, Escritura, AGP

    De forma predeterminada, ningn administrador puede eliminar el objeto de directiva de grupo Directiva dedominio predeterminada. El propsito de esta restriccin es evitar que se elimine accidentalmente este objetode directiva de grupo, el cual contiene valores de configuracin importantes que el dominio requiere. Si poralgn motivo debe eliminarse la Directiva de dominio predeterminada, debe concederse explcitamente elpermiso Eliminar al grupo correspondiente. Se trata de una entrada de control de acceso (ACE,Access ControlEntry) avanzada del objeto de directiva de grupo.

    Directiva para Microsoft Management Console

    Uno de los archivos de Plantillas administrativas, System.adm, contiene varios valores de Directiva de grupoque rigen el uso de Microsoft Management Console (MMC). Puede delegar derechos administrativosguardando las consolas configuradas anteriormente. Para obtener ms informacin, vea Delegar el control dela directiva de grupo. Puede buscar los valores de configuracin de directiva MMC en el Editor de objetos dedirectiva de grupo. A continuacin, puede hacer doble clic en cada uno de los elementos para los que desea

    establecer una configuracin administrativa de Directiva de grupo que rija el uso de los mismos en MMC.

    Si desea delegar tareas relacionadas con la directiva a otras personas, incluidos usuarios que no seanadministradores:

    Delegar el control de la directiva de grupo

    yDelegar la modificacin de objetos Directiva de grupo Para delegar la modificacin de objetos Directiva de grupo

    1. Abra el Editor de objetos de directiva de grupo.2. En el rbol de la consola, haga clic con el botn secundario del mouse (ratn) en el icono o en

    el nombre del objeto de directiva de grupo y, a continuacin, haga clic enPropiedades.3. Realice una de las siguientes acciones:

    y Para agregar un usuario o un grupo de usuarios, haga clic en la ficha Seguridad y, despus,en Agregar. Escriba el nombre del usuario o grupo de usuarios y, a continuacin, haga clicen Aceptar.

    y Para conceder permisos de modificacin de objetos de directiva de grupo a un grupo o usuario,en Permisos para usuarios autenticados, active las casillas de verificacin correspondientes a lospermisos que desea conceder. Al finalizar, haga clic enAceptar.

    y Si no desea aplicar la directiva a un usuario o a un grupo de usuarios, en Permisos de usuariosautenticados, desactive la casilla de verificacin Permitir de Aplicar Directiva de grupos. Alfinalizar, haga clic enAceptar.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    25/33

    25

    Notas

    yPara realizar este procedimiento, deber iniciar la sesin como miembro del grupo Administradores dedominio o del grupo Administradores de empresa.

    yPara abrir el Editor de objetos de directiva de grupo, vea Temas relacionados.Informacin acerca de diferencias funcionales

    yEs posible que el servidor funcione de forma distinta segn la versin y la edicin del sistema operativoinstalado, de los permisos de la cuenta y de la configuracin de los mens.

    Delegar la creacin de objetos Directiva de grupoPara delegar la creacin de objetos Directiva de grupo

    1. Abra Usuarios y equipos de Active Directory.2. En el rbol de la consola, haga clic en Usuarios.3. En la columna Nombre del panel de detalles, haga doble clic en Propietarios del creador de directivas

    de grupo.4. En el cuadro de dilogo Propiedades de propietarios del creador de directivas de grupo, haga clic en

    la fichaMiembros.5. Haga clic Agregar, escriba el nombre del usuario o grupo y, a continuacin, haga clic enAceptar.

    Notas

    yPara realizar este procedimiento, deber iniciar la sesin como miembro del grupo Administradores dedominio o del grupo Administradores de empresa.

    yPara abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clicenHerramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de ActiveDirectory.

    yDe manera predeterminada, slo los administradores del dominio, los administradores de empresa, lospropietarios del creador de directivas de grupo y el sistema operativo pueden crear nuevos objetos deDirectiva de grupo. Si el administrador del dominio desea que un grupo o un usuario que no seaadministrador pueda crear objetos de Directiva de grupo, los puede agregar al grupo de seguridadPropietarios del creador de directivas de grupo. Cuando un usuario que no es administrador pero queforma parte del grupo Propietarios del creador de directivas de grupo crea un objeto de directiva degrupo, dicho usuario se convierte en el creador y propietario del objeto, por lo que puede modificarlo. Sermiembro del grupo Propietarios del creador de directivas de grupo otorga al usuario control total

    nicamente sobre los objetos de directiva de grupo que haya creado o los que se le deleganexplcitamente. No ofrece al usuario que no es administrador ningn derecho adicional sobre otros objetosde directiva de grupo para el dominio; no se concede a estos usuarios derechos sobre los objetos dedirectiva de grupo que no crearon.

    yCuando un administrador crea un objeto de directiva de grupo, el grupo Administradores del dominio seconvierte en el Creador propietario del objeto.

    ySi delega esta tarea en usuarios que no son administradores, debe considerar la posibilidad de delegartambin la capacidad para administrar los vnculos de una unidad organizativa especfica. Esto se debe aque, de modo predeterminado, los usuarios que no son administradores no pueden administrar vnculos,lo que les impide utilizar Usuarios y equipos de Active Directory para crear un objeto de directiva de grupo.Informacin acerca de diferencias funcionales

    yEs posible que el servidor funcione de forma distinta segn la versin y la edicin del sistema operativoinstalado, de los permisos de la cuenta y de la configuracin de los mens.

    Delegar la vinculacin de objetos Directiva de grupoPara delegar la vinculacin de objetos Directiva de grupo

    1. Abra Usuarios y equipos de Active Directory.2. Haga clic con el botn secundario delmouse (ratn) en la unidad organizativa en la que desea

    delegar el derecho de vincular objetos directiva de grupo y, a continuacin, haga clic en Delegarcontrol.

    3. En el Asistente para delegacin de control, haga clic en Siguiente y, a continuacin, haga clicen Agregar.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    26/33

    26

    4. En el cuadro de dilogo Seleccionar usuarios, equipos o grupos, escriba el nombre del objeto quedesea seleccionar y, a continuacin, haga clic enAceptar y en Siguiente.

    5. En Delegar las siguientes tareas comunes de la pgina de tareas para delegar, active la casilla deverificacinAdministrar vnculos de directiva de grupo y, a continuacin, haga clic en Siguiente.

    6. Haga clic en Finalizar.Notas

    y Para realizar este procedimiento, deber iniciar la sesin como miembro del grupo Administradores dedominio o del grupo Administradores de empresa.

    y Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, en Panel de control, haga doble clicenHerramientas administrativas y, a continuacin, haga doble clic en Usuarios y equipos de ActiveDirectory.

    y Para abrir el Editor de objetos de directiva de grupo, vea Temas relacionados.Informacin acerca de diferencias funcionales

    y Es posible que el servidor funcione de forma distinta segn la versin y la edicin del sistema operativoinstalado, de los permisos de la cuenta y de la configuracin de los mens.

    Directiva de grupo e infraestructura de redCaractersticas de Directiva de grupo que se pueden utilizar entre distintos bosques

    La familia Windows Server 2003 presenta un conjunto eficaz de caractersticas nuevas que permitenautenticar y autorizar el acceso a recursos de bosques independientes en red. Si hay relaciones de confianzacompleta entre los bosques, puede administrar Directiva de grupo en la totalidad de Active Directory,independientemente del bosque; esto proporciona mayor flexibilidad, especialmente a las grandesorganizaciones.A continuacin se presenta una lista de caractersticas de Directiva de grupo compatibles entre bosques:y Inicio de sesin interactivo

    En la siguiente tabla se enumeran las tareas de inicio de sesin compatibles entre bosques.

    Tarea

    Es compatible a

    travs del

    dominio?

    Es compatible entre

    dominios del mismo

    bosque?

    Es compatible con el inicio

    de sesin interactivo entre

    bosques?

    Aplicar directiva a un objeto de

    usuario

    S S S

    Aplicar directiva a un objeto deequipo

    S S S

    Compatibilidad con elprocesamiento de bucle invertidode Directiva de grupo

    S S S

    Para el inicio de sesin interactivo entre bosques con procesamiento de bucle invertido, se aplican losobjetos de Directiva de grupo con bucle invertido, habilitados para combinar y reemplazar, entre bosques enel mismo modelo de inicio de sesin, como se especific para el inicio de sesin interactivo.y Inicio de sesin en la red

    Las siguientes extensiones de Directiva de grupo son compatibles para el inicio de sesin en la red

    entre bosques:y Puntos de distribucin de software que se encuentran en otro bosquey Secuencias de comandos de inicio de sesin en un directorio de red compartido de otro

    bosque.y Perfiles de usuario mvil almacenados en un directorio de red compartido en otro bosque.y Carpetas redirigidas que estn almacenadas en un recurso compartido de archivos en otro

    bosque.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    27/33

    27

    y DelegacinEs compatible la delegacin entre bosques para administrar vnculos de Directiva de grupo. No soncompatibles otras tareas como crear, eliminar o modificar objetos de Directiva de grupo entre bosques.

    Directiva de grupo en redes multiplataformaMuchas redes incluyen equipos con diferentes sistemas operativos y versiones. Para permitir que losadministradores tengan el mayor control posible, se puede aplicar Directiva de grupo y sus extensiones aequipos que ejecuten Windows 2000 Professional, Windows 2000 Server, Windows XP Professional,Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server2003.

    En los equipos cliente que ejecutan Windows XP Professional, Windows XP 64-bit Edition (Itanium) o lossistemas operativos Windows Server 2003, que funcionan en redes con Active Directory de Windows 2000,se aplican las siguientes caractersticas y limitaciones:

    yOptimizacin del inicio de sesin rpido. La familia Windows Server 2003 proporciona una caractersticade optimizacin del inicio de sesin rpido. Produce la aplicacin asincrnica de la directiva cuando elequipo se inicia y cuando el usuario inicia la sesin. Esta caracterstica se puede usar en equipos cliente queejecutan Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos

    Windows Server 2003, que funcionan en cualquier entorno. Esta caracterstica no est disponible paraclientes Windows 2000.

    yPlantillas administrativas. La familia Windows Server 2003 admite todas las opciones de configuracin dedirectivas del Registro disponibles en Windows 2000. Adems, dispone de 212 opciones nuevas deconfiguracin del Registro. Esas nuevas opciones de configuracin del Registro slo se aplican a equiposcliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemasoperativos Windows Server 2003. Las opciones de configuracin se omiten si se especifican para clientesWindows 2000. Puede implementar los nuevos archivos .adm proporcionados con Windows XPProfessional o los sistemas operativos Windows Server2003 desde Active Directory de Windows 2000.

    yRedireccionamiento de carpetas. La familia Windows Server

    200

    3 contiene una nueva caractersticaRedireccionamiento de carpetas con una interfaz de usuario simplificada. Puede configurar elredireccionamiento de carpetas para los equipos cliente que ejecuten Windows2000, Windows XPProfessional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server2003. Enequipos cliente que ejecuten Windows XP Professional, Windows XP 64-bit Edition (Itanium) o los sistemasoperativos Windows Server 2003, puede redirigir las carpetas a un directorio principal (HomeDir) o redirigiruna carpeta de nuevo a un perfil local. Esas opciones no se pueden aplicar a clientes Windows2000.

    yPerfiles mviles de usuario. Esta caracterstica contiene nuevas opciones de configuracin de directivas delRegistro para impedir que se propaguen al servidor los cambios de los perfiles mviles de usuario, permitirnicamente perfiles de usuario local y agregar el grupo de seguridad Administradores a los perfiles mvilesde usuario. Esas caractersticas slo pueden aplicarse a equipos cliente que ejecuten Windows XP

    Professional, Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server2003. Losusuarios pueden moverse entre equipos cliente que ejecuten Windows XP Professional, Windows XP 64-bitEdition (Itanium) o los sistemas operativos Windows Server2003, o clientes Windows 2000, aunque slo seutilizarn las directivas que se puedan aplicar a cada plataforma.

    ySeguridad. Con una directiva de restriccin de software, puede identificar software en equipos cliente eimpedir que se ejecute. El software puede identificarse por nombre de archivo, ruta de acceso, direccinURL y Hash MD5. Esta directiva debe configurarse en un objeto de directiva de grupo desde elcomplemento de configuracin de seguridad de un equipo cliente que ejecuta Windows XP Professional,

  • 8/6/2019 Admin is Trac Ion de Active Directory

    28/33

    28

    Windows XP 64-bit Edition (Itanium) o los sistemas operativos Windows Server2003. Esta caracterstica noes compatible con clientes Windows 2000.

    y Instalacin del software de directiva de grupos. La familia de Windows Server 2003 contiene numerosasmejoras en la interfaz de usuario de la instalacin de software de Directiva de grupo. Adems, esta versinde Windows tambin admite la implementacin de aplicaciones MSI de 32 bits en equipos cliente queejecutan Windows XP 64-bit Edition (Itanium), versiones de 64 bits de Windows Server2003, Enterprise

    Edition y versiones de 64 bits de Windows Server 2003, Datacenter Edition. No puede instalar aplicacionesde 64 bits en clientes de 32 bits. Aunque la Directiva de grupo proporciona una solucin slida para lainstalacin y distribucin de software, la mejor solucin para el diseo, distribucin y administracin desoftware de empresa es Microsoft Systems Management Server.

    yFiltrado WMI. Con filtros WMI, puede especificar una consulta basada en WMI para filtrar la aplicacin deun objeto de directiva de grupo. Los filtros WMI se escriben en el lenguaje de consulta de WMI (WQL). Losfiltros WMI slo se aplican a equipos cliente que ejecutan Windows XP Professional, Windows XP 64-bitEdition (Itanium) o los sistemas operativos Windows Server2003. Los filtros WMI asociados a un objeto dedirectiva de grupo sern omitidos por los clientes Windows2000.

    Directiva de grupo en entornos replicadosEn un dominio con varios controladores de dominio, la informacin de Active Directory tarda en propagarsede uno a otro. De manera predeterminada, los objetos de directiva de grupo se crean o editan nicamenteen el controlador de dominio que contiene el testigo del maestro de operaciones para el emulador delcontrolador principal del dominio (PDC). Este testigo pasa de un controlador de dominio a otro con eltiempo, a medida que la informacin de Active Directory se replica para mantener sincronizados loscontroladores de dominio.Una unidad organizativa debe replicarse en el controlador de dominio que contiene el testigo antes de queel objeto de directiva de grupo creado all pueda vincularse a ella, lo que permitir que se aplique laconfiguracin de la Directiva de grupo. Si utiliza Usuarios y equipos de Active Directory, puede crear unaunidad organizativa en cualquier controlador de dominio. Estas consideraciones son ms significativas si los

    vnculos dentro del dominio son lentos.Opciones que controlan la seleccin de un controlador de dominioSi hace clic en el nombre de objeto de directiva de grupo en el rbol de consola del Editor de objetos deDirectiva de grupo, el men Ver contiene un comando denominado Opciones de controlador de dominio(DC). Este comando abre el cuadro de dilogo Opciones para la seleccin de controladores de dominio,donde puede especificar un controlador de dominio que se utilizar para editar la Directiva de grupo. Lasopciones de este cuadro de dilogo son las siguientes:y El que tiene el smbolo del maestro de operaciones para el emulador PDC: sta es la opcin

    predeterminada y preferida, y la ms adecuada desde el punto de vista de la seguridad de los datos.y El que usan los complementos de Active Directory: esta opcin utiliza el mismo controlador de

    dominio que la utilidad desde la que se invoc el Editor de objetos de directiva de grupo, si la Directivade grupo se inici de esta manera.

    y Usar cualquier controlador de dominio disponible: esta opcin permite que el Editor de objetos dedirectiva de grupo elija cualquier controlador de dominio disponible. Se trata de la opcin menossegura, ya que diferentes administradores podran, en teora, editar un objeto de Directiva de gruposimultneamente, con resultados impredecibles. Por otro lado, cuando se utiliza esta opcin, es msprobable que se seleccione un controlador de dominio del sitio local. Si slo un administrador puedeadministrar la Directiva de grupo de un dominio de grandes dimensiones con varios sitios, la mejora enel rendimiento podra merecer la pena.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    29/33

    29

    Seleccin del controlador de dominio a travs de la Directiva de grupo

    Adems del comando Opciones DC, existe un parmetro de configuracin de la Directiva de grupo para laseleccin de controladores de dominio. Forma parte de la plantilla administrativa System.adm que se cargaen Editor de objetos de directiva de grupo de manera predeterminada. Puede buscar esta opcin deconfiguracin de Directiva de grupo en el Editor de objetos de directiva de grupo, en Configuracin delusuario\Plantillas administrativas\Sistema\Directiva de grupo. En el panel de detalles, haga doble clicen Seleccin del controlador de dominio de la directiva de grupo y, a continuacin, haga clic en la

    configuracin adecuada de la lista.

    Directiva de grupo con vnculos lentosSi el equipo es miembro del dominio al que el servidor de Enrutamiento y acceso remoto pertenece o en elque se confa, puede aplicar Directiva de grupo de forma remota. Esto es vlido tanto si se inicia una sesinmediante Enrutamiento y acceso remoto, como si se hace con credenciales en cach y, despus, se estableceuna conexin de Enrutamiento y acceso remoto.

    La Directiva de grupo no se aplica a equipos que son miembros de un grupo de trabajo o de un dominioexterno (un dominio que no contiene el equipo y no tiene una relacin de confianza con el dominio delequipo). Aunque puede establecerse la conexin, el acceso a los recursos del dominio puede verse afectado

    desfavorablemente debido a que la seguridad de Protocolo Internet (IPSec) de ambos equipos no coincide.

    De manera predeterminada, las directivas basadas en el Registro siempre se aplican y no es posibledesactivarlas. La Configuracin de seguridad tambin se aplica de manera predeterminada, pero los demsparmetros de configuracin no se aplican. En todas las configuraciones, excepto en la del Registro, puedeaplicarse o no el comportamiento predeterminado.

    Una conexin de acceso remoto no es necesariamente un vnculo lento, as como una red de rea local (LAN)no es necesariamente un vnculo rpido. De manera predeterminada, la rapidez o lentitud de un vnculo sebasa en un ping de prueba al servidor. Si tarda menos de2000 milisegundos (dos segundos), se considera unvnculo rpido. Si tarda ms tiempo, se considera un vnculo lento. Puede establecer este valor mediante laopcin de Directiva de grupo Tiempo de espera agotado de conexin de red a baja velocidad para los

    perfiles del usuario, que se encuentra en Configuracin del equipo\Plantillasadministrativas\Sistema\Perfiles de usuario.

    En esta carpeta tambin aparecen otras muchas opciones de configuracin de la Directiva de gruporelacionadas con vnculos lentos. Compruebe tambin la opcinDeteccin de vnculo de baja velocidad dela directiva de grupo, que se encuentra en Configuracin del equipo\Plantillasadministrativas\Sistema\Directiva de grupo.

    Directiva de grupo en sitiosLos objetos de directiva de grupo aplicados a los objetos de sitio de Active Directory afectan a todos losequipos del sitio. La informacin de directorio se replica y se encuentra disponible en todos loscontroladores de dominio del sitio y para cualquier controlador de dominio de sitios para los que se hayaestablecido un vnculo. Por lo tanto, cualquier objeto de directiva de grupo vinculado a un sitio se aplicar atodos los equipos de dicho sitio, independientemente de qu dominio (del bosque) contenga los equipos.

    Esto permite que varios dominios de un bosque reciban el mismo objeto de directiva de grupo (incluidas lasdirectivas), aunque dicho objeto nicamente exista como entidad almacenada en un nico dominio y debaleerse desde ese dominio cuando los clientes afectados lean su Directiva de grupo vinculada al sitio.

    Si los dominios secundarios estn configurados a travs de los lmites de la red de rea extensa (WAN,Wide Area Network), la configuracin del sitio debe tenerlo en cuenta. En caso contrario, los equipos

  • 8/6/2019 Admin is Trac Ion de Active Directory

    30/33

    30

    del dominio secundario tendrn acceso a un objeto de directiva de grupo vinculado al sitio a travs de unvnculo de WAN. Esto aumenta el tiempo de procesamiento de la Directiva de grupo.Nota. Generalmente, la Directiva de grupo no se aplica a sitios. Se suele aplicar a dominios y unidades organizativas.

    Administrar la Directiva de grupo desde la lnea de comandosAdems de utilizar el Editor de objetos de directiva de grupo, puede utilizar herramientas de la lnea decomandos para administrar Directiva de grupo. Por ejemplo, puede utilizar gpresult para ver qu directiva seest aplicando y para la solucin de problemas. Puede utilizar gpupdate para actualizar inmediatamente ladirectiva y para especificar determinadas opciones en la lnea de comandos.

    GpresultMuestra la configuracin de Directiva de grupo y Conjunto resultante de directivas (RSOP, Resultant Set ofPolicy) para un usuario o un equipo.Sintaxis

    Gpresult [/s equipo [/u dominio\usuario/p contrasea]][/user nombreDeUsuarioDeDestino ][/scope {user |computer}][{/v | /z}]

    Parmetros

    /sequipo

    Especifica el nombre o la direccin IP de un equipo remoto. No utilice barras diagonales inversas. El valorpredeterminado es el equipo local./udominio\usuario

    Ejecuta el comando con los permisos de cuenta del usuario especificado por usuario o dominio\usuario.La opcin predeterminada son los permisos del usuario que inici la sesin actual en el equipo que emiteel comando.

    /pcontraseaEspecifica la contrasea de la cuenta de usuario especificada en el parmetro/u.

    /usernombreDeUsuarioDeDestinoEspecifica el nombre del usuario cuyos datos RSOP se van a mostrar.

    /scope {user|computer}Muestra resultados de usuario (user) o equipo (computer). Los valores aceptados para el

    parmetro /scope son usero computer. Si se omite el parmetro /scope, el comando gpresult mostrarla configuracin de user y computer.

    /vEspecifica que se muestre informacin detallada de directiva en el resultado.

    /zEspecifica que se muestre en el resultado toda la informacin disponible acerca de Directiva de grupo.Como este parmetro produce ms informacin que el parmetro /v, redirija el resultado a un archivode texto cuando lo utilice (por ejemplo, gpresult /z >directiva.txt).

    /?Muestra Ayuda en el smbolo del sistema.

    Notas

    y Directiva de grupo es la herramienta administrativa principal para modificar y controlar cmo funcionarn losprogramas, los recursos de red y el sistema operativo para los usuarios y equipos en una organizacin. En unentorno Active Directory, la directiva de grupo se aplica a usuarios o equipos en funcin de su pertenencia asitios, dominios o unidades organizativas.

    y Como se pueden aplicar a un equipo o un usuario niveles de directivas que se superpongan, la caractersticaDirectiva de grupo genera un conjunto resultante de directivas al iniciar sesin. Gpresult muestra el conjuntoresultante de directivas que se aplicaron en el equipo cuando el usuario especificado inici sesin.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    31/33

    31

    Ejemplos

    Los ejemplos siguientes muestran cmo se puede utilizar el comando gpresult:gpresult /user nombreDeUsuarioDeDestino /scope computer

    gpresult /s srvmain /u maindom\hiropln /p [email protected] /user nombreDeUsuarioDeDestino /scope USERgpresult /s srvmain /u maindom\hiropln /p [email protected] /user nombreDeUsuarioDeDestino /z >directiva.txtgpresult /s srvmain /u maindom\hiropln /p [email protected]

    Dar formato a la leyenda

    Formato Significado

    Cursiva Informacin que debe suministrar el usuario

    Negrita Elementos que debe escribir el usuario exactamente comose muestran

    Puntos suspensivos (...) Parmetro que se puede repetir varias veces en una lnea decomandos

    Entre corchetes ([]) Elementos opcionales

    Entre llaves ({}); opciones separadas por barrasverticales (|). Ejemplo: {par|impar}

    Conjunto de opciones de las que el usuario debe elegir slouna

    Courier Font Cdigo o resultado del programa

    GpupdateActualiza las configuraciones de Directiva de grupo local y Directiva de grupo que estn almacenadas enActive Directory, incluida la configuracin de seguridad. Este comando sustituye la opcin/refreshpolicy , yaobsoleta, del comando secedit.Sintaxis

    gpupdate [/target:{computer | user}] [/force] [/wait:valor] [/logoff] [/boot]Parmetros

    /target:{computer | user}Procesa slo la configuracin del equipo o la del usuario actual. De forma predeterminada, se procesanlas configuraciones del equipo y las del usuario actual.

    /forceOmite todas las optimizaciones de proceso y vuelve a aplicar todas las configuraciones.

    /wait:valorNmero de segundos que el proceso de directivas espera para terminar. El valor predeterminado es600 segundos. 0 significa sin esperar, y -1 significa esperar indefinidamente.

    /logoffCierra la sesin despus de completar la actualizacin. Esto es necesario para aquellas extensiones delcliente de Directiva de grupo que no se procesan en un ciclo de actualizacin en segundo plano, sino quese procesan cuando el usuario inicia una sesin, como Instalacin de software de Directiva de grupo yRedireccin de carpetas del usuario. Esta opcin no tiene efecto si no se invocan extensiones querequieren que el usuario cierre la sesin.

    /bootReinicia el equipo despus de completar la actualizacin. Esto es necesario para aquellas extensiones delcliente de Directiva de grupo que no se procesan en un ciclo de actualizacin en segundo plano, sino quese procesan cuando el equipo se inicia, como Instalacin de software de Directiva de grupo del equipo.Esta opcin no tiene efecto si no se invocan extensiones que requieren el reinicio del equipo.

    /?

    Muestra Ayuda en el smbolo del sistema.

  • 8/6/2019 Admin is Trac Ion de Active Directory

    32/33

    32

    Ejemplos

    Los ejemplos siguientes muestran cmo se puede utilizar el comandogpupdate:gpupdategpupdate /target:computergpupdate /force /wait:100gpupdate /boot

    Dar formato a la leyenda

    Formato Significado

    Cursiva Informacin que debe suministrar el usuario

    Negrita Elementos que debe escribir el usuario exactamente como smuestran

    Puntos suspensivos (...) Parmetros que se pueden repetir varias veces en una lnea dcomandos.

    Entre corchetes ([]) Elementos opcionales

    Entre llaves ({}); opciones separadas por barrasverticales (|). Ejemplo: {par|impar}

    Conjunto de opciones de las que el usuario debe elegir slo una

    Courier Font Cdigo o resultado del programa

    Notasy Gpupdate reemplaza al comando secedit /refreshpolicy de Windows 2000.

    Formas nuevas de realizar tareas habitualesCon Windows NT 4.0 se present el Editor de directivas del sistema, que puede utilizarse para crear unadirectiva del sistema que controle las acciones del usuario y el entorno de trabajo, as como para exigir laconfiguracin del sistema en todos los equipos que ejecuten Windows NT 4.0. Las opciones de configuracin delas directivas definen los distintos componentes del entorno del escritorio, incluidas las aplicacionesdisponibles para los usuarios, las aplicaciones que aparecen en sus escritorios y las opciones que se muestranen el men Inicio.Directiva de grupo y sus extensiones, incluidas en Windows XP Professional, Windows XP 64-bit Edition(Itanium) y en la familia de servidores de Windows Server2003, reemplazan muchas de las herramientashabituales de Windows NT 4.0.En la tabla siguiente se enumeran tareas comunes para configurar directivas. La interfaz de usuario quepermite realizar estas tareas es diferente en esta versin de Windows de como era en Windows NT versin 4.0.

    Nota

    y No existen diferencias importantes en cuanto a la interfaz de usuario entre Windows 2000, Windows XP y la familia deservidores de Windows Server 2003 para este componente.

    Si desea En Windows NT 4.0 utilice En esta versin de Windows, utilice

    Establecer directivas en los equipos yusuarios de un sitio

    No aplicableDirectiva de grupo, a la que se tieneacceso desde Sitios y servicios de Active

    Directory.

    Establecer directivas en los equipos yusuarios de un dominio

    Editor de directivas del sistema(Poledit.exe)

    Directiva de grupo, a la que se tieneacceso desde Usuarios y equipos de ActiveDirectory

    Establecer directivas en los equipos yusuarios de una unidad organizativa

    No aplicableDirectiva de grupo, a la que se tieneacceso desde Usuarios y equipos de ActiveDirectory

    Vincular un objeto de directiva de No aplicable Directiva de grupo, a la que se tiene

  • 8/6/2019 Admin is Trac Ion de Active Directory

    33/33

    grupo a un sitio, dominio o unidadorganizativa

    acceso desde Usuarios y equipos de ActiveDirectory

    Utilizar grupos de seguridad para filtrarel alcance de la directiva

    No aplicablePermisos de la ficha Seguridad del cuadrode dilogo de propiedades del objeto deDirectiva de grupo.

    Administrar software

    Para un administrador, SystemsManagement Server. Para unusuario, Agregar o quitarprogramas en el Panel de control.

    Systems Management Server y las tres

    herramientas de Mantenimiento einstalacin de software de Directiva degrupo:yIntroduccin a Instalacin de software

    de Directiva de grupo, una extensin delcomplemento Editor de objetos dedirectiva de grupo

    yWindows InstalleryAgregar o quitar programas del Panel de

    control

    Crear una interfaz de usuario segurapara editar el Registro

    Plantillas administrativas deWindows NT 4.0 para el Editor dedirectivas del sistema

    Plantillas administrativas para Directiva degrupoPara ver una explicacin de cmo hacambiado la funcin de archivos .adm en lafamilia de servidores de WindowsServer 2003, vea Funcin de las plantillasadministrativas.

    Realizar tareas administrativasgenerales

    Asistentes administrativos,Administrador de usuarios yAdministrador de servidores

    Complementos de Microsoft ManagementConsole (MMC): Usuarios y equipos deActive Directory, Sitios y servicios deActive Directory y Abrir el Editor deobjetos de directiva de grupo y susextensiones.

    En la siguiente tabla se muestra una tarea comn para configurar Redireccin de carpetas en Directiva degrupo. La interfaz de usuario para realizar esta tarea es diferente en esta versin de Windows de la que habaen Windows 2000. Para obtener ms informacin acerca de los cambios adicionales en Directiva de grupo,vea Nuevas caractersticas de Directiva de grupo (anterior a GPMC).

    Si desea En Windows 2000 utilice En esta versin de Windows, utilice

    Redirigir una carpeta especial a un

    directorio de red compartido con unaruta de acceso de Convencin denomenclatura universal (UNC,Universal Naming Convention)personalizada para el usuario.

    Una ruta de acceso UNC que

    incorporeN

    omb

    reDeUsuario,por ejemplo:\\NombreDeServidor\NombreDeRecurso\NombreDeUsuario\Mis documentos

    El cuadro de dilogo de propiedades

    de la carpeta especial, descrito enRedirigir carpetas especiales aldirectorio raz.