Guía paso a paso de Advanced Group Policy Management de ...download.microsoft.com/download/2/7/C/27C86045...Antes de instalar el servidor AGPM, debe ser un miembro del grupo Admins

Guía paso a paso de Advanced Group Policy Management de Microsoft 4.0

Microsoft Corporation

Fecha de publicación: septiembre de 2009

Resumen

En esta guía paso a paso se describe un escenario de ejemplo para instalar Microsoft

Administración de directivas de grupos (AGPM) y realizar la administración de directivas de

grupo mediante Consola de administración de directivas de grupo (GPMC) y AGPM.

Copyright

La información contenida en este documento, incluidas las direcciones URL y otras referencias a

sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que se indique lo

contrario, las compañías, organizaciones, productos, nombres de dominio, direcciones de correo

electrónico, logotipos, personas, lugares y eventos utilizados en los ejemplos son ficticios. No se

pretende indicar ni debe deducirse ninguna asociación con compañías, organizaciones,

productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o

eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos

de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o

introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio

(ya sea electrónico, mecánico, por fotocopia, grabación, etc.) con ningún propósito, sin la previa

autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna

limitación a los derechos de propiedad industrial o intelectual.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y

otros derechos de propiedad intelectual sobre los contenidos de este documento. La entrega de

este documento no le otorga ninguna licencia sobre dichas patentes, marcas, derechos de autor

u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en el contrato

de licencia escrito de Microsoft.

(C) 2009 Microsoft Corporation. All rights reserved.

Microsoft, Windows y Windows Server son marcas registradas o marcas comerciales de

Microsoft Corporation en EE.UU. y en otros países.

Las demás marcas comerciales pertenecen a sus respectivos propietarios.

Contenido

Guía paso a paso de Advanced Group Policy Management de Microsoft 4.0 ............................... 5 Introducción al escenario de AGPM ......................................................................................... 5

Requisitos ................................................................................................................................ 6

Requisitos del servidor AGPM............................................................................................... 7

Requisitos del cliente AGPM ................................................................................................. 8

Requisitos del escenario ....................................................................................................... 8

Pasos para instalar y configurar AGPM .................................................................................... 9

Paso 1: Instalar el servidor AGPM......................................................................................... 9

Paso 2: Instalar el cliente AGPM ......................................................................................... 11 Paso 3: Configurar una conexión del servidor AGPM .......................................................... 11

Paso 4: Configurar notificaciones de correo electrónico ...................................................... 12

Paso 5: Delegar el acceso .................................................................................................. 12

Pasos para administrar GPO .................................................................................................. 13

Paso 1: Crear un GPO ........................................................................................................ 14

Paso 2: Editar un GPO ....................................................................................................... 15

Paso 3: Revisar e implementar un GPO .............................................................................. 16

Paso 4: Usar una plantilla para crear un GPO ..................................................................... 17

Paso 5: Eliminar y restaurar un GPO .................................................................................. 19

5

Guía paso a paso de Advanced Group Policy Management de Microsoft 4.0

En esta guía paso a paso se demuestran técnicas avanzadas para la administración de

directivas de grupo usando la Consola de administración de directivas de grupo (GPMC) y

Microsoft Administración de directivas de grupos (AGPM). AGPM aumenta las capacidades de la

Consola, proporcionando:

Funciones estándar para delegar los permisos con el fin de administrar los Objetos de

directiva de grupo (GPO) a varios administradores de directivas de grupo, así como la

capacidad de delegar el acceso a los GPO en el entorno de producción.

Un archivo para que los administradores de directivas de grupo creen y modifiquen GPO sin

conexión antes de implementarlos en un entorno de producción.

La capacidad de revertir a una versión anterior de un GPO en el archivo y limitar el número

de versiones almacenadas en el archivo.

La capacidad de protección y desprotección de los GPO para asegurarse de que los

administradores de directivas de grupo no sobrescriben inadvertidamente el trabajo de los

demás.

La capacidad de buscar GPO con atributos concretos y filtrar la lista de GPO que se

muestra.

Introducción al escenario de AGPM Para este escenario, se utilizará una cuenta de usuario separada para cada función de AGPM

para mostrar cómo se puede administrar la directiva de grupo en un entorno con varios

administradores de directivas de grupo que tienen diferentes niveles de permisos.

Específicamente, se realizarán las siguientes tareas:

Con una cuenta que sea miembro del grupo de administradores del dominio, instalar el

servidor AGPM y asignar la función Administrador de AGPM a una cuenta o grupo.

Con cuentas a las que se asignarán las funciones de AGPM, instalar el cliente AGPM.

Con una cuenta con la función Administrador de AGPM, configurar AGPM y delegar el

acceso a los GPO asignando funciones a otras cuentas.

Desde una cuenta con la función Editor, solicitar que se cree un nuevo GPO y luego

aprobarlo con una cuenta que tenga la función Aprobador. Con la cuenta de editor,

desproteger el GPO del archivo, editar el GPO, proteger el GPO en el archivo y solicitar su

implementación.

Con una cuenta con la función Aprobador, revisar el GPO e implementarlo en su entorno de

producción.

6

Con una cuenta con la función Editor, crear una plantilla de GPO y usarla como un punto de

partida para crear un nuevo GPO.

Con una cuenta con la función Aprobador, eliminar y restaurar un GPO.

Requisitos Los equipos en los que desee instalar AGPM deben cumplir los siguientes requisitos y asimismo

debe crear cuentas para utilizarlas en este escenario.

Si tiene instalado AGPM 2.5 y está actualizando Windows Server® 2003 a Windows

Server 2008 R2 o Windows Server 2008, o Windows Vista® sin Service Pack a

Windows 7 o Windows Vista® con Service Pack 1 (SP1), debe actualizar el sistema

operativo para poder actualizar a AGPM 4.0.

Si tiene instalado AGPM 3.0, no tiene que actualizar el sistema operativo antes de

actualizar a AGPM 4.0

En un entorno mixto que incluya tanto los sistemas operativos más recientes como los

anteriores, hay algunas limitaciones en la funcionalidad, según se indica en la tabla siguiente.

Notas

7

Sistema operativo en el que se

ejecuta AGPM Server 4.0

Sistema operativo en el que se

ejecuta AGPM Client 4.0

Estado de la compatibilidad con

AGPM 4.0

Windows Server 2008 R2 o

Windows 7


Windows 7

Admitido


Windows 7

Windows Server 2008 o

Windows Vista con SP1

Admitido, pero no se puede

modificar la configuración de

directiva o los elementos de

preferencia que existan

únicamente en Windows

Server 2008 R2 o Windows 7




Windows 7

No admitido





Admitido, pero no se puede

notificar o modificar la

configuración de directiva o los

elementos de preferencia que

existan únicamente en


Windows 7

Requisitos del servidor AGPM

AGPM Server 4.0 requiere que estén instalados Windows Server 2008 R2, Windows

Server 2008, Windows 7 y GPMC de Herramientas de administración de servidor remoto

(RSAT), o Windows Vista con SP1 y GPMC de RSAT. Se admiten ambas versiones de 32 bits y

de 64 bits.

Antes de instalar el servidor AGPM, debe ser un miembro del grupo Admins. del dominio y deben

estar instaladas las siguientes funciones de Windows, a menos que se especifique lo contrario:

GPMC

Windows Server 2008 R2 o Windows Server 2008: Si GPMC no está presente, AGPM lo

instala automáticamente.

Windows 7: debe instalar la GPMC de RSAT antes de instalar AGPM. Para obtener más

información, vea Herramientas de administración remota del servidor para Windows 7

(http://go.microsoft.com/fwlink/?LinkID=131280).

Windows Vista con SP1: debe instalar la GPMC de RSAT antes de instalar AGPM. Para

obtener más información, vea Herramientas de administración remota del servidor para

Windows Vista con Service Pack 1 (http://go.microsoft.com/fwlink/?LinkID=116179).

.NET Framework 3.5 o versiones posteriores

http://go.microsoft.com/fwlink/?LinkID=131280



8

Windows Server 2008 R2 o Windows 7: Si no está instalado .NET Framework 3.5 o una

versión posterior, AGPM instala automáticamente .NET Framework 3.5.

Windows Server 2008 o Windows Vista con SP1: Debe instalar .NET Framework 3.5 o

una versión posterior antes de instalar AGPM.

El servidor AGPM requiere las funciones de Windows siguientes, que se instalarán

automáticamente si no están presentes:

Activación WCF; activación no HTTP

Servicio WAS (Windows Process Activation Service)

Modelo de proceso

Entorno de .NET

API de configuración

Requisitos del cliente AGPM

AGPM Client 4.0 requiere que estén instalados Windows Server 2008 R2, Windows Server 2008,

Windows Server 2008 R2 y GPMC de RSAT, o Windows Vista con SP1 y GPMC de RSAT. Se

admiten ambas versiones de 32 bits y de 64 bits. El cliente AGPM se puede instalar en un equipo

que ejecuta el servidor AGPM.

El cliente AGPM requiere las siguientes funciones de Windows que, a menos que se indique lo

contrario, se instalarán automáticamente si no están presentes:

GPMC

Windows Server 2008 R2 o Windows Server 2008: Si GPMC no está presente, AGPM lo

instala automáticamente.

Windows 7: debe instalar la GPMC de RSAT antes de instalar AGPM. Para obtener más

información, vea Herramientas de administración remota del servidor para Windows 7

(http://go.microsoft.com/fwlink/?LinkID=131280).

Windows Vista con SP1: debe instalar la GPMC de RSAT antes de instalar AGPM. Para

obtener más información, vea Herramientas de administración remota del servidor para

Windows Vista con Service Pack 1 (http://go.microsoft.com/fwlink/?LinkID=116179).

.NET Framework 3.0 o una versión posterior

Windows Server 2008 R2 o Windows 7: Si .NET Framework 3.0 o una versión posterior

no está presente, AGPM instala automáticamente .NET Framework 3.5.

Windows Server 2008 o Windows Vista con SP1: Si .NET Framework 3.0 o una versión

posterior no está presente, AGPM instala automáticamente .NET Framework 3.0.

Requisitos del escenario

Antes de comenzar este escenario, debe crear cuatro cuentas de usuario. Durante el escenario,

va a asignar una de las siguientes funciones de AGPM a cada una de estas cuentas:

Administrador AGPM (Control total), Aprobador, Editor y Revisor. Estas cuentas deben poder

enviar y recibir mensajes de correo electrónico. Asigne el permiso Vincular Objetos de




9

Directiva de Grupo a las cuentas con las funciones Administrador de AGPM, Aprobador y

(opcionalmente) Editor.

El permiso Vincular Objetos de Directiva de Grupo se asigna a los miembros de

administradores de dominio y administradores de organización. Para asignar el permiso

Vincular Objetos de Directiva de Grupo a usuarios o grupos adicionales (como

cuentas con las funciones Administrador de AGPM o Aprobador), haga clic en el nodo

del dominio y, a continuación, haga clic en la ficha Delegación, seleccione Vincular

Objetos de Directiva de Grupo, haga clic en Agregar y seleccione los usuarios o

grupos a los que desee asignar el permiso.

Pasos para instalar y configurar AGPM Debe completar los pasos siguientes para instalar y configurar AGPM.

Paso 1: Instalar el servidor AGPM

Paso 2: Instalar el cliente AGPM

Paso 3: Configurar una conexión del servidor AGPM

Paso 4: Configurar notificaciones de correo electrónico

Paso 5: Delegar el acceso

Paso 1: Instalar el servidor AGPM

En este paso, va a instalar el servidor AGPM en el servidor miembro o controlador de dominio

que ejecutará el servicio AGPM y se configura el archivo. Todas las operaciones de AGPM están

administradas a través de este servicio Windows y se ejecutan con las credenciales del servicio.

El archivo administrado por un servidor AGPM se puede alojar en dicho servidor o en otro

servidor del mismo bosque.

1. Inicie sesión con una cuenta que sea miembro del grupo de administradores de dominio.

2. Inicie el CD de Microsoft Desktop Optimization Pack y siga las instrucciones que

aparecen en pantalla para seleccionar Advanced Group Policy Management de

Microsoft: servidor.

3. En el cuadro de diálogo Bienvenida, haga clic en Siguiente.

4. En el cuadro de diálogo Términos de licencia del software de Microsoft, acepte los

términos y haga clic en Siguiente.

5. En el cuadro de diálogo Ruta de acceso de la aplicación, seleccione una ubicación en

donde instalar el servidor AGPM. El equipo en el que se instala el servidor AGPM alojará

el servicio AGPM y administrará el archivo. Haga clic en Siguiente.

6. En el cuadro de diálogo Ruta de acceso del archivo, seleccione una ubicación para el

Nota

Para instalar el servidor AGPM en el equipo que alojará el servicio AGPM

10

archivo en relación con el servidor AGPM. La ruta de acceso al archivo puede apuntar a

una carpeta en el servidor AGPM o en otro lugar. Sin embargo, debe seleccionar una

ubicación con espacio suficiente para almacenar todos los objetos de directiva de grupo

y los datos del historial administrados por este servidor AGPM. Haga clic en Siguiente.

7. En el cuadro de diálogo Cuenta de servicio AGPM, seleccione una cuenta de servicio

bajo la cual se ejecutará el servicio AGPM y, a continuación, haga clic en Siguiente.

Esta cuenta debe ser miembro del grupo Admins. del dominio o, en una configuración

con el mínimo privilegio, los grupos siguientes de cada dominio administrado por el

servidor AGPM:

Propietarios del creador de directivas de grupo

Operadores de copia de seguridad

Además, esta cuenta requiere el permiso Control total para las carpetas siguientes:

La carpeta de archivo AGPM, para la que este permiso se concede automáticamente

durante la instalación del servidor AGPM si se instaló en una unidad local.

La carpeta temporal del sistema local, por lo general, %windir%\temp.

8. En el cuadro de diálogo Propietario del archivo, seleccione una cuenta o grupo al que

asignó la función Administrador AGPM (Control total). Los Administradores de AGPM

pueden asignar las funciones y permisos de AGPM a otros administradores de directiva

de grupo, de modo que después se puede asignar la función de Administrador de AGPM

a otros administradores de directiva de grupo. Para este escenario, seleccione la cuenta

en la que va a operar la función Administrador de AGPM. Haga clic en Siguiente.

9. En el cuadro de diálogo Configuración de puerto, escriba el puerto en el que debería

escuchar el servicio AGPM. No desactive la casilla de verificación Agregar una

excepción de puerto al firewall a no ser que se configuren manualmente las

excepciones de puerto o se utilicen reglas para configurar las excepciones de puerto.

Haga clic en Siguiente.

10. En el cuadro de diálogo Idiomas, seleccione uno o más idiomas de visualización que se

instalarán para el servidor AGPM.

11. Haga clic en Instalar y, a continuación, haga clic en Finalizar para salir del Asistente

para la instalación.

Precaución

No cambie la configuración del servicio AGPM con las Herramientas

administrativas y Servicios del sistema operativo. Si lo hace, puede

impedir que se inicie el servicio AGPM. Para obtener más información sobre

cómo cambiar la configuración para el servicio, consulte la Ayuda de

Advanced Group Policy Management.

11

Paso 2: Instalar el cliente AGPM

Cada administrador de directivas de grupo (cualquiera que cree, edite, implemente, revise o

elimine objetos de directiva de grupo) debe tener instalado el cliente AGPM en los equipos que

utilicen para administrar los objetos de directiva de grupo. Para este escenario, instale el cliente

AGPM en al menos un equipo. No es preciso instalar el cliente AGPM en los equipos de los

usuarios finales que no realicen la administración de las directivas de grupo.

1. Inicie el CD de Microsoft Desktop Optimization Pack y siga las instrucciones que

aparecen en pantalla para seleccionar Advanced Group Policy Management: cliente.

2. En el cuadro de diálogo Bienvenida, haga clic en Siguiente.

3. En el cuadro de diálogo Términos de licencia del software de Microsoft, acepte los

términos y haga clic en Siguiente.

4. En el cuadro de diálogo Ruta de acceso de la aplicación, seleccione una ubicación en

donde instalar el cliente AGPM. Haga clic en Siguiente.

5. En el cuadro de diálogo Servidor AGPM, escriba el nombre DNS o la dirección IP del

servidor AGPM y el puerto al que desea conectarse. El puerto predeterminado para el

servicio AGPM es 4600. No desactive la casilla Permitir que la Consola de

administración de Microsoft atraviese el firewall a no ser que configure manualmente

las excepciones de puerto o use reglas para configurar las excepciones de puerto. Haga

clic en Siguiente.

6. En el cuadro de diálogo Idiomas, seleccione uno o más idiomas de visualización para la

instalación del cliente AGPM.

7. Haga clic en Instalar y, a continuación, haga clic en Finalizar para salir del Asistente

para la instalación.

Paso 3: Configurar una conexión del servidor AGPM

AGPM almacena todas las versiones de cada Objeto de directiva de grupo (GPO) controlado, es

decir, cada GPO para el que AGPM permite el control de cambios, en un archivo central. Esto

permite a los administradores de directivas de grupo ver y cambiar los GPO sin conexión sin

afectar de inmediato a la versión implementada de cada GPO.

En este paso, va a configurar una conexión de servidor AGPM y garantizará que todos los

administradores de directivas de grupo se conectan al mismo servidor AGPM. (Para obtener

información sobre cómo configurar varios servidores AGPM, consulte la Ayuda de Advanced

Group Policy Management).

1. En un equipo en el que haya instalado el cliente AGPM, inicie sesión con la cuenta de

usuario que haya seleccionado como propietario del archivo. Este usuario tiene la

Para instalar el cliente AGPM en el equipo de un administrador de directivas de grupo

Para configurar una conexión de servidor de AGPM para todos los administradores de directivas de grupo

12

función de Administrador AGPM (Control total).

2. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga

clic en Administración de directivas de grupo para abrir GPMC.

3. Edite un GPO que se aplique a todos los administradores de directivas de grupo.

4. En la ventana Editor de administración de directivas de grupo, haga doble clic en

Configuración de usuario, Directivas, Plantillas administrativas, Componentes de

Windows y AGPM.

5. En el panel de detalles, haga doble clic en AGPM: especificar servidor AGPM

predeterminado (todos los dominios).

6. En la ventana Propiedades, seleccione Habilitado y escriba el nombre DNS, la

dirección IP y el puerto (por ejemplo, server.contoso.com:4600) del servidor que

hospeda el archivo. De manera predeterminada, el servicio AGPM usa el puerto 4600.

7. Haga clic en Aceptar y, a continuación, cierre la ventana Editor de administración de

directivas de grupo. Cuando se actualiza la directiva de grupo, la conexión del servidor

AGPM se configura para cada administrador de directivas de grupo.

Paso 4: Configurar notificaciones de correo electrónico

Como Administrador AGPM (Control total), puede designar las direcciones de correo electrónico

de los aprobadores y Administradores de AGPM a las que se va a enviar un mensaje de correo

electrónico que contenga una solicitud cuando un editor intente crear, implementar o eliminar un

GPO. También puede determinar el alias desde el que se envían estos mensajes.

1. En el panel de detalles, haga clic en la ficha Delegación de dominio.

2. En Desde dirección de correo electrónico, escriba el alias de correo electrónico de

AGPM desde el que se enviarán las notificaciones.

3. En el campo A dirección de correo electrónico, escriba la dirección de correo

electrónico de la cuenta de usuario a la que pretende asignar la función de aprobador.

4. En el campo Servidor SMTP, escriba un servidor de correo SMTP válido.

5. En los campos Nombre de usuario y Contraseña, escriba las credenciales de un

usuario con acceso al servicio SMTP. Haga clic en Aplicar.

Paso 5: Delegar el acceso

Como Administrador AGPM (Control total), puede delegar el acceso de nivel de dominio a los

objetos de directivas de grupo, asignando funciones a la cuenta de cada administrador de

directivas de grupo.

Para configurar notificaciones por correo electrónico para AGPM

Nota

13

También puede delegar el acceso en el nivel de GPO en lugar de en el nivel de dominio.

Para obtener más información, vea la Ayuda de Advanced Group Policy Management.

Debería restringir la pertenencia al grupo de Propietarios del creador de directivas de

grupo, para que no se pueda usar para sortear la administración de AGPM del acceso a

los GPO. (En la Consola de administración de directivas de grupo, haga clic en

Objetos de Directiva de Grupo del bosque y dominio en los que desea administrar los

objetos de directivas de grupo, haga clic en Delegación y, a continuación, configure los

valores para que cumplan con las necesidades de la organización.)

1. En la ficha Delegación de dominio, haga clic en el botón Agregar, seleccione la cuenta

de usuario del administrador de directivas de grupo para que opere como aprobador y, a

continuación, haga clic en Aceptar.

2. En el cuadro de diálogo Agregar grupo o usuario, seleccione la función Aprobador

para asignar dicha función a la cuenta y, a continuación, haga clic en Aceptar. (Esta

función incluye la función de revisor.)

3. Haga clic en el botón Agregar, seleccione la cuenta de usuario del administrador de

directivas de grupo para que opere como editor y, a continuación, haga clic en Aceptar.

4. En el cuadro de diálogo Agregar grupo o usuario, seleccione la función Editor para

asignar dicha función a la cuenta y, a continuación, haga clic en Aceptar. (Esta función

incluye la función de revisor.)

5. Haga clic en el botón Agregar, seleccione la cuenta de usuario del administrador de

directivas de grupo para que opere como revisor y, a continuación, haga clic en Aceptar.

6. En el cuadro de diálogo Agregar grupo o usuario, seleccione la función Revisor para

asignar sólo dicha función a la cuenta.

Pasos para administrar GPO Debe completar los siguientes pasos para crear, editar, revisar e implementar objetos de

directivas de grupo con AGPM. Además, creará una plantilla, eliminará un GPO y restaurará un

objeto eliminado.

Paso 1: Crear un GPO

Paso 2: Editar un GPO

Paso 3: Revisar e implementar un GPO

Paso 4: Usar una plantilla para crear un GPO

Paso 5: Eliminar y restaurar un GPO

Importante

Para delegar el acceso a todos los GPO a través de un dominio

14

Paso 1: Crear un GPO

En un entorno con varios administradores de directivas de grupo, los que tienen la función Editor

puede solicitar la creación de nuevos GPO. Sin embargo, esa solicitud debe ser aprobada por

alguien que tenga la función Aprobador.

En este paso, va a usar una cuenta con la función Editor para solicitar la creación de un nuevo

GPO. Con una cuenta con la función Aprobador, debe aprobar esta solicitud para crear el GPO.


usuario que tenga asignada la función Editor en AGPM.

2. En el árbol Consola de administración de directivas de grupo, haga clic en Cambiar

control en el bosque y dominio en el que desea administrar los GPO.

3. Haga clic con el botón secundario en el nodo Cambiar control y, a continuación, haga

clic en Nuevo GPO controlado.

4. En el cuadro de diálogo Nuevo GPO controlado:

a. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el

campo CC.

b. Escriba MiGPO como nombre del nuevo GPO.

c. Escriba un comentario para el nuevo GPO.

d. Haga clic en Crear en vivo para que el nuevo GPO se implemente en el entorno de

producción inmediatamente después de la aprobación. Haga clic en Enviar.

5. Cuando la ventana Progreso de AGPM indique que el progreso general está completo,

haga clic en Cerrar. Se muestra el nuevo GPO en la ficha Pendiente.


usuario que tenga asignada la función Aprobador en AGPM.

2. Abra la bandeja de entrada de correo electrónico de la cuenta y observe que ha recibido

un mensaje de correo electrónico desde el alias de AGPM con la solicitud del editor para

crear un GPO.



4. En la ficha Contenido, haga clic en la ficha Pendiente para mostrar los GPO

pendientes.

5. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Aprobar.

6. Haga clic en Sí para confirmar la aprobación y mover el GPO la ficha Controlado.

Para solicitar la creación de un nuevo GPO y administrarlo a través de AGPM

Para aprobar la solicitud pendiente para crear un GPO

15

Paso 2: Editar un GPO

Los GPO se pueden utilizar para configurar los valores del equipo o del usuario e implementarlos

en varios equipos o usuarios. En este paso, va a utilizar una cuenta con la función Editor para

desproteger un GPO del archivo, editar el GPO sin conexión, proteger el GPO editado en el

archivo y solicitar la implementación del GPO en el entorno de producción. Para este escenario,

deberá configurar un valor en el GPO que requiera que la contraseña tenga al menos ocho

caracteres.





3. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado para

mostrar los GPO controlados.

4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en

Desproteger.

5. Escriba un comentario para mostrarlo en el historial del GPO mientras está desprotegido

y, a continuación, haga clic en Aceptar.


haga clic en Cerrar. En la ficha Controlado, el estado del GPO se identifica como

Desprotegido.

1. En la ficha Controlado, haga clic con el botón secundario en MiGPO y, a continuación,

haga clic en Editar para abrir la ventana Editor de administración de directivas de

grupo y realizar cambios en una copia sin conexión del GPO. Para este escenario,

configure la longitud mínima de la contraseña:

a. En Configuración del equipo, haga doble clic en Directivas, Configuración de

Windows, Configuración de seguridad, Directivas de cuentas y Directiva de

contraseñas.

b. En el panel de detalles, haga doble clic en Longitud mínima de la contraseña.

c. En la ventana de propiedades, active la casilla de verificación Definir esta

configuración de directiva, establezca el número de caracteres en 8 y, a

continuación, haga clic en Aceptar.

2. Cierre la ventana Editor de administración de directivas de grupo.


Para desproteger el GPO del archivo para su edición

Para editar el GPO sin conexión y configurar la longitud mínima de la contraseña

Para proteger el GPO en el archivo

16

haga clic en Proteger.

2. Escriba un comentario y, a continuación, haga clic en Aceptar.



Protegido.


haga clic en Implementar.

2. Como esta cuenta no es de un aprobador ni de un Administrador de AGPM, debe enviar

una solicitud de implementación. Para recibir una copia de la solicitud, escriba su

dirección de correo electrónico en el campo CC. Escriba un comentario para mostrarlo

en el historial del GPO y, a continuación, haga clic en Enviar.


haga clic en Cerrar. MiGPO se muestra en la lista de GPO en la ficha Pendiente.

Paso 3: Revisar e implementar un GPO

En este paso, va a actuar como aprobador, creando informes y analizando la configuración y los

cambios en la configuración en el GPO para determinar si debería aprobarlos. Después de

evaluar el GPO, impleméntelo en el entorno de producción y vincúlelo a un dominio o una unidad

organizativa (OU). El GPO entra en vigor cuando se actualiza la directiva de grupo en los

equipos de ese dominio o unidad organizativa.


usuario que tenga asignada la función Aprobador en AGPM. Todos los administradores

de directivas de grupo con la función Revisor, incluida en las demás funciones, pueden

revisar la configuración de un GPO.

2. Abra la bandeja de entrada de correo electrónico de la cuenta y observe que ha recibido

un mensaje de correo electrónico del alias de AGPM con la solicitud del editor para

implementar un GPO.



4. En la ficha Contenido del panel de detalles, haga clic en la ficha Pendiente.

5. Haga doble clic en MiGPO para mostrar su historial.

6. Revise la configuración de la versión más reciente de MiGPO:

a. En la ventana Historial haga clic con el botón secundario en la versión de GPO con

la marca de tiempo más reciente, haga clic en Configuración y, a continuación,

haga clic en Informe HTML para mostrar un resumen de la configuración del GPO.

Para solicitar la implementación del GPO al entorno de producción

Para revisar la configuración en el GPO

17

b. En el explorador web, haga clic en mostrar todo para mostrar todas las

configuraciones del GPO. Cierre el navegador.

7. Compare la versión más reciente de MiGPO con la primera versión protegida en el

archivo:

a. En la ventana Historial, haga clic en la versión de GPO con la marca de hora más

reciente. Presione CTRL y haga clic en la versión de GPO más antigua para la que

la Versión de equipo no sea *.

b. Haga clic en el botón Diferencias. La sección Directivas de cuenta/Directiva de

contraseñas se resalta en verde y se precede de [+]. Esto indica que la opción está

configurada únicamente en la versión más reciente del GPO.

c. Haga clic en Directivas de cuentas/Directiva de contraseñas. La sección

Longitud mínima de la contraseña está también resaltada en verde y precedida

por un [+], que indica que este valor está configurado sólo en la última versión del

GPO.

d. Cierre el navegador web.

1. En la ficha Pendiente, haga clic con el botón secundario en MiGPO y, a continuación,

haga clic en Aprobar.

2. Escriba un comentario para incluirlo en el historial del GPO.

3. Haga clic en Sí. Cuando la ventana Progreso de AGPM indique que el progreso general

está completo, haga clic en Cerrar. El GPO se implementa en el entorno de producción.

1. En GPMC, haga clic con el botón secundario en el dominio o en una unidad organizativa

(OU) a la que se vaya a aplicar el GPO que ha configurado y, a continuación, haga clic

en Vincular un GPO existente.

2. En el cuadro de diálogo Seleccionar GPO, haga clic en MiGPO y, a continuación, haga

clic en Aceptar.

Paso 4: Usar una plantilla para crear un GPO

En este paso, va a usar una cuenta con la función Editor para crear y usar una plantilla. Esa

plantilla es una versión estática de un GPO para usarse como punto de partida en la creación de

nuevos GPO. Aunque no puede editar una plantilla, puede crear un GPO nuevo que se base en

ella. Las plantillas son útiles para la creación rápida de varios GPO que incluyen algunas de las

mismas opciones de directiva.


Para implementar el GPO en el entorno de producción

Para enlazar el GPO a un dominio o unidad organizativa

Para crear una plantilla basada en un GPO existente

18




3. En la ficha Contenido del panel de detalles, haga clic en la ficha Controlado.

4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Guardar

como plantilla para crear una plantilla que incorpore toda la configuración actual de

MiGPO.

5. Escriba MiPlantilla como nombre para la plantilla y un comentario y, a continuación,

haga clic en Aceptar.

6. Cuando la ventana Progreso de AGPM indique que se ha completado, haga clic en

Cerrar. La nueva plantilla aparece en la ficha Plantillas.

1. Haga clic en la ficha Controlado.

2. Haga clic con el botón secundario en el nodo Cambiar control y, a continuación, haga

clic en Nuevo GPO controlado.

3. En el cuadro de diálogo Nuevo GPO controlado:

a. Para recibir una copia de la solicitud, escriba su dirección de correo electrónico en el

campo CC.

b. Escriba MiOtroGPO como nombre del nuevo GPO.

c. Escriba un comentario para el nuevo GPO.

d. Haga clic en Crear en vivo para que el nuevo GPO se implemente en el entorno de

producción inmediatamente después de la aprobación.

e. En Desde plantilla GPO, seleccione MiPlantilla. Haga clic en Enviar.


haga clic en Cerrar. Se muestra el nuevo GPO en la ficha Pendiente.

Utilice la cuenta con la función Aprobador asignada para aprobar la solicitud pendiente con

objeto de crear el GPO, al igual que se hizo en el Paso 1: Crear un GPO. MiPlantilla incorpora

todos los valores que ha configurado en MiGPO. Como MiOtroGPO se ha creado con MiPlantilla,

primero contiene toda la configuración que contenía MiGPO cuando se creó MiPlantilla. Puede

confirmarlo generando un informe de diferencias para comparar MiOtroGPO con MiPlantilla.



2. Haga clic con el botón secundario en MiOtroGPO y, a continuación, haga clic en

Desproteger.

3. Escriba un comentario para mostrarlo en el historial del GPO mientras está desprotegido

Para solicitar la creación de un nuevo GPO y administrarlo a través de AGPM

Para desproteger el GPO del archivo para su edición

19

y, a continuación, haga clic en Aceptar.



Desprotegido.

1. En la ficha Controlado, haga clic con el botón secundario en MiOtroGPO y, a

continuación, haga clic en Editar para abrir la ventana Editor de administración de

directivas de grupo y realizar cambios en una copia sin conexión del GPO. Para este

escenario, configure la longitud mínima de la contraseña:

a. En Configuración del equipo, haga doble clic en Directivas, Configuración de

Windows, Configuración de seguridad, Directivas de cuentas y Directiva de

bloqueo de cuenta.

b. En el panel de detalles, haga doble clic en Duración del bloqueo de cuenta.

c. En la ventana de propiedades, active la casilla de verificación Definir esta

configuración de directiva, establezca la duración en 30 y, a continuación, haga

clic en Aceptar.

2. Cierre la ventana Editor de administración de directivas de grupo.

Proteja MiOtroGPO en el archivo y solicite la implementación al igual que hizo para MiGPO en el

Paso 2: Editar un GPO. Puede comparar MiOtroGPO con MiGPO o con MiPlantilla mediante

informes de diferencias. Cualquier cuenta que incluya la función de revisor (administrador de

AGPM [Control total], aprobador, editor o revisor) puede generar informes.

1. Para comparar MiGPO y MiOtroGPO:

a. En la ficha Controlado, haga clic en MiGPO. Presione CTRL y, a continuación, haga

clic en MiOtroGPO.

b. Haga clic con el botón secundario en MiOtroGPO, seleccione Diferencias y haga

clic en Informe HTML.

2. Para comparar MiOtroGPO y MiPlantilla:

a. En la ficha Controlado, haga clic en MiOtroGPO.

b. Haga clic con el botón secundario en MiOtroGPO, seleccione Diferencias y haga

clic en Plantilla.

c. Seleccione MiPlantilla e Informe HTML y, a continuación, haga clic en Aceptar.

Paso 5: Eliminar y restaurar un GPO

En este paso, va a desempeñar la función de aprobador para eliminar un GPO.

Para editar el GPO sin conexión y configurar la duración de bloqueo de la cuenta

Para comparar un GPO con otro y con una plantilla

20


usuario que tenga asignada la función Aprobador.



3. En la ficha Contenido, haga clic en la ficha Controlado para mostrar los GPO

controlados.

4. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Eliminar.

Haga clic en Suprimir GPO del archivo y producción para eliminar tanto la versión del

archivo como la versión implementada del GPO en el entorno de producción.

5. Escriba un comentario para mostrarlo en la traza de auditoría del GPO y, a continuación,

haga clic en Aceptar.


Cerrar. El GPO se quita de la ficha Controlado y aparece en la ficha Papelera de

reciclaje, donde se puede restaurar o destruir.

Ocasionalmente, después de eliminar un GPO, puede descubrir que todavía es necesario. En

este paso, actúe como Aprobador para restaurar un GPO que se haya eliminado.

1. En la ficha Contenido, haga clic en la ficha Papelera de reciclaje para mostrar los GPO

eliminados.

2. Haga clic con el botón secundario en MiGPO y, a continuación, haga clic en Restaurar.

3. Escriba un comentario para mostrarlo en el historial del GPO y, a continuación, haga clic

en Aceptar.


Cerrar. El GPO se quita de la ficha Papelera de reciclaje y se muestra en la ficha

Controlado.

Nota

La restauración de un GPO al archivo no vuelve a implementarlo

automáticamente en el entorno de producción. Para devolver el GPO al

entorno de producción, implemente el GPO como se hizo en el Paso 3:

Revisar e implementar un GPO.

Después de editar y de implementar un GPO, puede descubrir que algunos cambios recientes en

el GPO están causando un problema. En este paso, actúa como aprobador para revertir a una

versión anterior del GPO. Puede revertir a cualquier versión del historial del GPO. Utilice

comentarios y etiquetas para identificar las versiones aptas conocidas y cuándo se han realizado

cambios específicos.

Para eliminar un GPO

Para restaurar un GPO eliminado

21

1. En la ficha Contenido, haga clic en la ficha Controlado para mostrar los GPO

controlados.

2. Haga doble clic en MiGPO para mostrar su historial.

3. Haga clic con el botón secundario en la versión que se va a implementar, haga clic en

Implementar y, a continuación, haga clic en Sí.

4. Cuando la ventana Progreso indica que se ha completado, haga clic en Cerrar. En la

ventana Historial, haga clic en Cerrar.

Nota

A fin de comprobar que la versión que se ha vuelto a implementar coincide

con la versión que se pretendía, examine el informe de diferencias entre las

dos versiones. En la ventana Historial del GPO, seleccione las dos

versiones, haga clic en ellas con el botón secundario, seleccione Diferencia

y, a continuación, haga clic en Informe HTML o Informe XML.

Para revertir a una versión anterior de GPO

Documents

Guía paso a paso de Advanced Group Policy Management de ...download.microsoft.com/download/2/7/C/27C86045...Antes de instalar el servidor AGPM, debe ser un miembro del grupo Admins